7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
1/24
Ing. Nicols Serrano
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
2/24
Detalles del trabajo
Problema
Objetivos
Antecedentes en la FIng
Temas tratados
Estado del arte
Caso de estudioConclusiones
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
3/24
Tesis de GradoJunio a Diciembre del 2012
Estudiante: Nicols Serrano Tutor: Cristina Mayr
Tribunal: Mara Eugenia Corti Daniel Meerhoff Sebastin Pizard
Centro de estudios: Universidad de la Repblica Facultad de Ingeniera Instituto de Computacin
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
4/24
La operativade las organizaciones es soportadaporlaTecnologa.
Adems, la informacines un activofundamental(bien intangiblecon el cual la empresa obtiene un beneficio).
Es sumamente importante administrary brindar laseguridadadecuada de los sistemas, infraestructura,procesos, polticas, etc. de TIdentro de stas.
Los Bancostienen un rol muy importante en la sociedad.
Estas instituciones requieren que su soporte tecnolgicoreciba la auditoraadecuada, para evaluar su eficacia,eficiencia, seguridad, gestin, etc.
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
5/24
Luego de realizar un estudio de estos conceptos, aplicarlos aorganizaciones del tipo bancario.
Estadodelarte
Auditorade TI
ControlInterno de
TI
Riesgo deTI
SeguridadInformtica
Gobiernode TI
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
6/24
No son temas que se tengan mucho en cuenta anivel de grado.
Se focaliza en otros temas.
Sin antecedente estrechamente relacionado con latemtica en tesis de grado o trabajos similares.
No fue un proyecto de grado fcilmente aceptado en unprincipio.
De igual manera, no existen grupos de trabajo o
investigacin dedicados plenamente a estos temas.
Peroa nivel de posgrado, existen materias msrelacionadas y se desarrollan tesis de maestracercanas en la temtica.
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
7/24
Administracin del riesgo de TI Basado en la NIST SP 800-30. Identificacin, evaluacin y priorizacin de
vulnerabilidadesy amenazas.
Medidas para evitar, mitigaro reducirsu impacto. Adm. del Riesgo de TI integrado al ciclodevidadelossistemas.
Gestin de la Seguridad de la Informacin Basado en la familia ISO/IEC 27.000. ConfidencialidadIntegridadDisponibilidad. SGSIPDCA. Buenas prcticasAuditora de un SGSIGobierno.
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
8/24
Control Interno de TI Qu es el Control Interno Controles PreventivosEvitar eventos Controles DetectivosRegistrar eventos Controles ReactivosMec. sistemtico para detectar y
corregir Cobit 4.1COBIT 5 Ms all de que haya cambiado su alcance
Gobierno de TI
Qu es el Gobierno de TI Objetivos AlineacinValorMonitoreo - Etc
Decisiones PrincipiosArqEstrategiasInver.
ISO/IEC 38.500 y MITSloan
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
9/24
Auditora Misin: Realizar una revisin independiente y
especializada de las tareas, reas o funciones de una
institucin, con el fin de emitir un reporte sobre laeficacia y eficiencia de sus operaciones y resultados.
Interna/Externa
Financiera, Fiscal, Operativa, etc
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
10/24
Metodologa de la Auditora de TI
Planeacin
Trabajo de campo y documentacin
Deteccin y validacin de problemas
Desarrollo de soluciones
Redaccin y emisin del reportede auditora
Seguimientode los problemas
Valor aportado al Banco
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
11/24
Focos en la auditora de TI:
Aplicaciones
Estructura,operativa y
administracinde TI
Infraestructurade red
CPD yrecuperacinde desastres
Seguridad dela informacin
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
12/24
Principales estndares y frameworks
utilizados:
ISO/IEC 27.001
ISO/IEC 27.002
ISO/IEC 27.007
ISO/IEC 27.014
ISO/IEC 38.500
SP 800-30
CobiT 4.1
COBIT 5
TIA 942
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
13/24
Entidades financieras:
CasasFinancie
-ras
Consor-cios
Bancos IFEs
Coope-rativas
Adm. deCrdito
Casas deCambio
AFAPs
Seguros
Mercadode Valores
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
14/24
Aspectos tecnolgicos claves:
Core del
NegocioBase de Datos
Redes de
Comunicaciones
Centro deProcesamiento
de Datos
SeguridadInformtica y dela Informacin
Continuidad delNegocio
Gestin yGobierno de TI
Plan Estratgico
Polticas yProcedimientos
Riesgo y ControlInterno de TI
ServiciosTercerizados
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
15/24
Normativa:AGESIC
Normas tcnicas
Polticas - Guas - Directrices
Marco legal
Artculos - Leyes - Decretos - Etc.
BCU
Comunicaciones
2008/068 - 2008/069
Circulares
RNRCSF (recopilacin de normas de regulacin y control del sistemafinanciero)
Estndares mnimos de gestin
Tareas del Directorio - Tareas de la Alta Gerencia
Tareas para mitigar el Riesgo Operacional - Estndares de TI
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
16/24
Metodologa:1. Planeacin Objetivos y alcance de la Auditora. Planificacin.
Evaluacin de riesgos.
Entrevistas iniciales.
2. Trabajo de Campo Anlisis de datos. Entrevistas.
Documentacin de hallazgos.
Cumplimiento de los objetivos previamente fijados.
3. Deteccin de Problemas Analizar hallazgos. Validacin de estos.
Medicin de su importancia.
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
17/24
Metodologa:4. Desarrollo de Soluciones Evaluar en conjunto con auditado las mejores
soluciones para los problemas.
Validar estos planes de accin.
5. Reporte de Auditora Redaccin del informe final.
Entrega a las personas adecuadas.
6. Seguimiento Seguimiento peridico de las debilidades/planes de
accin.
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
18/24
Auditora de aplicaciones Rastros de auditoraen el core bancario y toda aplicacin sensible.
Seguirle el rastro a las transacciones en caso de algn problema. Tambin para estudiar posibles intentos de fraudeso ataquesa los sistemas,
etc.
En caso de tercerizarel desarrollo de los sistemas, se deberaexigirle al proveedor que implemente esta funcionalidad en laaplicacin.
Auditora de la estructura, operativa y administracin de TI Organizacin de TI claramente definida en el banco, con sus
responsabilidadesy obligacionesbien marcadas.
TI debe ocupar el lugar indicado dentro del Banco, ni muy abajo nimuy arriba en el organigrama, para evitar casos de falta de poderque le impidan tomar decisiones, o casos de demasiado poder endonde TI obstruya al corriente funcionamiento del negocio.
Dentro de la organizacin de TI, se debera velar por una adecuadasegregacinde funciones.
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
19/24
Auditora de la infraestructura de red Adecuados controles de seguridad y auditora en el accesoremotoa la red
del banco (desde distintas sucursales, o incluso desde casas matrices en elextranjero).
Auditora del centro de procesamiento de datos y recuperacin
de desastres En caso de utilizarse un sitiodecontingencia, el auditor debera visitarlo yasegurarse que cuenta con las medidasdeseguridadadecuada para permitirla reanudacin y continuidad de las operaciones del banco.
Adems, ya que generalmente estos sitiosson compartidoscon otrasempresas, es necesario que el auditor evale las garantas de seguridad,confidencialidady disponibilidadque le ofrece este sitio.
Auditora de la seguridad de la informacin Existen mecanismosdereporteante cualquier situacin problemtica,
incidente, debilidad o malfuncionamiento; por los cuales los empleadospuedan reportaral responsable de Seguridad de la Informacin del Banco.
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
20/24
Auditora sobre los otros conceptos vistos Administracin del Riesgo de TI Existencia de algn procedimientoo metodologade
Administracin del Riesgo de TI. Evaluar uso de SP 800-30.
Gestin de la Seguridad de la Informacin Se podra utilizarla ISO 27.001, 27.002 o 27.007,
dependiendo de si se tiene o no, un SGSI.
Control Interno de TI Para seguir un marcodetrabajoestructurado, lo ms
recomendable en la prctica, sera utilizar el modelo deControl Interno COSO, y para bajar a nivel de TI, usar CobiT4.1 o COBIT 5.
Gobierno de TI Evaluar las responsabilidadesy decisionesclaves del
Gobierno de TI. Se puede utilizar como marco la ISO 38.500.
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
21/24
Instituciones:
GAO IEEE ISACA ISF ISO
ITGI NIST Sandia SANS TIA
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
22/24
Conclusiones del trabajo: El presente trabajo busc explorar nuevos conocimientos en el
campo de la ingeniera en computacin y en la tecnologa, paraluego aplicarlos en un caso de estudio lo ms real posible.
Las organizaciones grandes y complejas (como los bancos),necesitan ser auditados.
Mantener su operativa confiable, segura y eficiente. Es recomendable que estas instituciones se apoyen en estndares,
metodologas y frameworks conocidos y ampliamente aplicados.
Relacionado a la Fing: Generar concienciasobre estos temas en la FIng.
Ms temas en las materias actuales, y ms materias relacionadas(a nivel de grado).
Posibilidad de estructurar perfiles.
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
23/24
Preguntas?
7/24/2019 cigras 2013 - auditora y seguridad de ti - estado del arte y aplicacin en entidades bancarias nicols ser.pdf
24/24
Ing. Nicols [email protected]
Top Related