viernes, 6 de noviembre de 2015

PROYECTO AUDITORIA



MAGERIT hace referencia a una metodología de análisis y gestión de riesgos de los Sistemas de Información.

HISTORIA Y VERSIONES DE MAGERIT
Esta metodología fue elaborada por el Consejo Superior de Administración Electrónica, publicando su primera versiónen 1997, con un enfoque hacia los riesgos fundamentales en materia de sistemas de información. 
La segunda versión fue publicada en 2005 con el fin de realizar una  revisión constructiva con respecto a los riesgos de las compañías, involucrando cuestiones más profundas a cerca de la gestión de riesgos. 
La tercera versión y ultima busca una nueva adaptación, teniendo en cuenta no solo la experiencia práctica sino también la evolución de las normas internacionales de ISO que constituyen un referente.

¿QUE BUSCA MAGERIT?
  • Concientizar a la organización de la existencia de riesgos. 
  • Conocer el riesgo al que está sometida la información de las compañías y realizar una  buena gestión en la implantación y uso de las Tecnologías de la Información. 
  • Planificar medidas para controlar y responder a los riesgos. 
  • Apoyar los procesos de evaluación y auditoria.
  •  Dar seguridad en la información y sistemas.   
  •  Permite tomar decisiones acorde a la situación actual de la compañía.

MÉTODO DE ANÁLISIS DE RIESGOS: Indica los pasos a seguir para determinar y evaluar de forma adecuada los riesgos, amenazas y salvaguardas que puede tener y ejecutar la compañía.
  •  Establecer los activos relevantes para la organización, su interrelación y su valor. 
  • Definir a qué amenazas están expuestos los activos. 
  •  Determinar las salvaguardas hay dispuestas y cuan eficaces son frente al riesgo. 
  • Estimar el impacto o daño sobre el activo derivado de la materialización de la amenaza. 
  • Estimar el riesgo y el impacto ponderado con la tasa de ocurrencia de la amenaza.
El siguiente gráfico muestra el proceso de la Metodología Magerit y los elementos del análisis de riesgos potenciales:


Tomado de: https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/Libro_I_metodo.pdf

Es importante que las organizaciones tengan un claro conocimiento de estas metodologías ya que además de ser aplicadas fácilmente, son bastante útiles y ayudan a lograr eficiencia y eficacia en los sistemas de información mediante la minimización de los riesgos.

FUENTES:
  







COBIT es un marco de referencia generalmente aplicable y aceptado para las buenas prácticas de control, seguridad y gobierno de la Tecnología de la Información (TI). COBIT está principalmente enfocado al negocio, además posee un diseño amigable y bastante práctico para ser usado tanto por los usuarios de TI como por la gerencia.

Actualmente COBIT se encuentra en su quinta versión, la cual fue publicada el10 de Abril de 2012.

COBIT está usualmente representado por un cubo en donde se muestra la relación de sus tres componentes, la búsqueda de los requerimientos del negocio mediante el uso de los recursos de tecnologías y siendo administrados por los procesos y actividades de control.

Tomado de: http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf

1. Requerimientos del negocio: Hace referencia a las cualidades que COBIT establece debe tener toda información en las compañías. Dichas cualidades son:
  • Efectividad: Relevancia y pertinencia.
  • Eficiencia:  Optimización de recursos.
  • Confidencialidad: Contra divulgación no autorizada.
  • Integridad: Precisa, completa y válida.
  • Disponibilidad: Disponible cuando sea requerida.
  • Cumplimiento: Leyes, reglamentos.
  • Confiabilidad: Apropiada para el desarrollo de funciones.

2. Procesos de Tecnologías de la Información: COBIT define las actividades de TI en un modelo genérico de procesos en cuatro (4) dominios interconectados entre sí.
  • Dominios: Planear y organizar, Adquirir e implementar, Entregar y dar soporte, Monitorear y evaluar.
  • Procesos y Actividades: Se derivan de los dominios y permiten su funcionamiento y desarrollo.
3.Recursos de Tecnologías de la Información: Son los recursos necesarios para crear una capacidad técnica adecuada, dar soporte y generar los resultados deseados. Dichos recursos son:
  • Aplicaciones: Sistemas de usuario final y procedimientos manuales que procesan información.
  • Información: Datos en diferentes formas de entrada, procesados y generados por los SI.
  • Infraestructura: Tecnología e instalaciones que permiten el procesamiento de las aplicaciones.
  • Personas: Personal requerido para planear, dirigir, implementar y evaluar los sistemas y los servicios d einformación.
Fuentes:

COBIT - Control Objectives for Information and related Technology


    Hoy les hablaremos de un estándardel cual siempre escuchamos pero que a veces no logra quedarnos claro en que consiste básicamente, les hablamos del informe COSO, así que haremos un breve recorrido por su definición, sus componentes y su función.

    COSO (Committee of Sponsoring Organizations of the Treadway Commission) hace referencia a una guía de gestión e implementación del control interno en una compañía. COSO está enfocado al cumplimiento de 3 objetivos principales:

    1. Eficiencia y efectividad en las operaciones de la compañía.
    2. Confiabilidad en la información financiera.
    3. Debido cumplimiento de las leyes y regulaciones aplicables.
    Este proceso integrado debe cumplir con 5 componentes que permiten una buena planificación y control de las actividades internas de la compañía, usualmente está representado en una gráfica en forma de cubo.


    Tomado de: http://www.cancer.gov.co/images/dinamicas/meci.jpg
    • Ambiente de control: Es el fundamento del control interno pues en él se apoya y establece el control para toda la organización. Principios: Integridad y valores éticos, Compromiso para las competencias, Estructura organizacional, Filosofía de la administración
    •  Evaluación de Riesgos: Establece la forma en que la Entidad identifica los eventos que ponen en riesgo la consecución de sus objetivos y la forma de afrontar dichos riesgos. Principios: Establecimiento de objetivos, Identificación de riesgos, Respuesta y valoración.
    • Actividades de controlPolíticas, procedimientos y demás acciones adoptadas por la Entidad para asegurar el cumplimiento de los objetivos. Las actividades de control tienen lugar a través de la organización, a todos los niveles y en todas las funciones. Principios: Revisiones de alto nivel, Gestión directa a actividades, Procesamiento de información, Controles físicos, Indicadores de gestión.
    • Información y comunicación: La información se necesita en todos los niveles de la organización para identificar, evaluar y responder a los riesgos, y por otra parte dirigir la Entidad y conseguir sus objetivos. Principios:Comunicación (Interna-externa) y Calidad de la información.
    • Monitoreo: Se debe evaluar la presencia y funcionamiento de los controles a lo largo del tiempo mediante actividades de monitoreo permanentes yevaluaciones independientes para garantizar el cumplimiento de los objetivos de la Entidad. PrincipiosMonitoreo permanente y Evaluaciones independientes.
    Finalmente lo que pretende el informe COSO es lograr que exista una interacción entre los componentes ya mencionados para poder cumplir los objetivos principales propuestos para el control interno en la organización. 

    En la siguiente gráfica podemos observar de manera muy resumida y clara como debería ser el funcionamiento e integración de los componentes de COSO: 
    Tomado de: http://www.auditool.org/index.php?option=com_content&view=article&id=290:el-informe-coso-i-y-ii&catid=39:trip-deals&Itemid=56
     Esperamos hayan aclarado un poco su idea acerca del informe COSO y recuerden que si desean más información acerca de este tema pueden encontrarla en los siguientes enlaces:

    •  COSO - Página Principal
     • Cámara de Comercio de Bogotá - COSO
    • Auditool - Informe COSO
    Publicado por en No hay comentarios:

    cuestionario auditoria en redes

    1. ¿Cuentas con un servidor?

    2. ¿Qué versión es?

    3. ¿Con que capacidad de banda de ancha cuanta?

    4. ¿Con que tipo de topología de red cuenta?

    5. ¿Alguien más tiene acceso a su WIFI?

    6. ¿Qué compañía tiene usted contratada de internet?

    7. ¿Cuántos equipos están conectados a la red?

    8. ¿Cuál es la ip de cada computadora?

    9. ¿Cuenta con base de datos para tiempos de renta de los equipos?

    10. ¿Usted realizo toda la instalación de la red de sus equipos?

    11. ¿Se encuentra el sistema en una superficie sólida y estable o lo más cerca del suelo posible?

    12. ¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas extremas de
    frío / calor?

    13. ¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco tráfico humano?

    14. ¿Están las puertas cerradas con llave y las alarmas activadas fuera de horario de oficina?

    15. ¿Está la red segura sin peligro de conexión no autorizada?

    16. ¿Tiene sólo el personal autorizado acceso a la red física a la que está conectado el sistema?

    17. ¿Conoce y confía en todos los diversos puntos donde se gestiona la conexión de red física / administrados por otra persona o entidad?

    18. ¿Están los sistemas de su infraestructura asegurados contra problemas eléctricos?

    19. ¿Existe un control de accesos al CPD?

    20. ¿Están habilitados los puertos usb / firewire / lector de tarjetas de los equipos?

    21. ¿Existe un control sobre los dispositivos de almacenamiento extraíble?

    22. ¿Existe un control sobre los distintos software de almacenamiento en la nube instalados en sus equipos (Dropbox, Google Drive, Hibuc…)?

    23. ¿Conoce los nombres de los proveedores, la funcionalidad y la naturaleza del software en su sistema que participa en cualquier actividad de la red?

    24. ¿Ha comprobado que no existan parches de seguridad del software y recibe regularmente las actualizaciones de seguridad o vulnerabilidades del software que utiliza en la red?

    25. ¿Ha probado a fondo cualquier servicio que funcione en la red para asegurarse de que por defecto no proporcionan a algún usuario no autorizado información de seguridad que se podría utilizar para atacar el sistema?

    26. ¿Se limitan las capacidades de los usuarios para que la información sensible sobre el sistema no esté disponible en la red?

    27. ¿Se permite la ejecución de la consola del sistema (o línea de comandos) sólo a usuarios autorizados?

    28. ¿Es consciente de los agujeros de seguridad creados por cierto software que interactúa con otros?

    29. ¿Conoce todo el software que puede interactuar con la red, los números de puerto que utilizan, el tamaño y la ubicación de los ejecutables, etc?

    30. ¿Existen dispositivos móviles con acceso a la red de la empresa?

    31. En caso de que existan, ¿Son propiedad de la empresa o del usuario?

    32. ¿Se comprueba su estado regularmente (actualizaciones, antivirus…)?

    33. ¿Se cambian las contraseñas de las cuentas de usuario de la red con regularidad?

    34. ¿Se cifran los datos confidenciales que se transfieren a través de la red y hacia el exterior?

    35. ¿Suele buscar intentos repetidos de conexión no autorizados para conectarse a su sistema a través de una red?

    36. ¿Mantiene registros suficientes de toda la actividad de red relacionada con su sistema?

    37. ¿Suele comprobar si los programas no autorizados que se ejecutan en su sistema potencialmente podrían permitir a un usuario conectarse a través de la red?

    38. ¿Monitoriza la actividad de red en busca de tráfico excesivo o inusual que llega a su sistema?

    39. ¿Dispone de algún sistema de copia de seguridad?

    40. ¿Presta atención a las copias de seguridad?

    41. ¿Conserva algún respaldo de sus copias de seguridad fuera de su organización?

    42. ¿Alguna de sus máquinas está publicada en internet?

    43. ¿Hay habilitados accesos externos a los equipos de su red?

    44. ¿Existe documentación sobre los permisos otorgados a cada usuario?

    45. ¿Se realiza un seguimiento de los usuarios que dejan de pertenecer a la empresa? ¿Son dados de baja del AD?

    46. ¿Se cumple la LOPD en cuanto a gestión y protección de los ficheros?

    Publicado por en No hay comentarios:

    27001


    los enlaces muestran la norma 27001 en un diagrama esquemático




    http://prezi.com/brnqazatm6ms/?utm_campaign=share&utm_medium=copy&rc=ex0share




    norma 27001


    Publicado por en No hay comentarios:
    Suscribirse a: Entradas (Atom)