Ing. Nicolás Serrano

nserrano@bcu.gub.uy

Detalles del trabajo

Problema

Objetivos

Antecedentes en la FIng

Temas tratados

Estado del arte

Caso de estudio

Conclusiones

Tesis de Grado – Junio a Diciembre del 2012

Estudiante: Nicolás Serrano Tutor: Cristina Mayr Tribunal:

• María Eugenia Corti • Daniel Meerhoff • Sebastián Pizard

Centro de estudios:

• Universidad de la República Facultad de Ingeniería Instituto de Computación

La operativa de las organizaciones es soportada por la Tecnología.

• Además, la información es un activo fundamental (bien intangible con el cual la empresa obtiene un beneficio).

Es sumamente importante administrar y brindar la

seguridad adecuada de los sistemas, infraestructura, procesos, políticas, etc. de TI dentro de éstas.

Los Bancos tienen un rol muy importante en la sociedad.

Estas instituciones requieren que su soporte tecnológico reciba la auditoría adecuada, para evaluar su eficacia, eficiencia, seguridad, gestión, etc.

• Luego de realizar un estudio de estos conceptos, aplicarlos a organizaciones del tipo bancario.

Estado del arte

Auditoría de TI

Control Interno de

TI

Riesgo de TI

Seguridad Informática

Gobierno de TI

No son temas que se tengan mucho en cuenta a nivel de grado.

• Se focaliza en otros temas.

Sin antecedente estrechamente relacionado con la temática en tesis de grado o trabajos similares.

• No fue un proyecto de grado fácilmente aceptado en un principio.

De igual manera, no existen grupos de trabajo o

investigación dedicados plenamente a estos temas.

Pero…a nivel de posgrado, existen materias más relacionadas y se desarrollan tesis de maestría cercanas en la temática.

Administración del riesgo de TI • Basado en la NIST SP 800-30. • Identificación, evaluación y priorización de

vulnerabilidades y amenazas. • Medidas para evitar, mitigar o reducir su impacto.

• Adm. del Riesgo de TI integrado al ciclo de vida de los sistemas.

Gestión de la Seguridad de la Información • Basado en la familia ISO/IEC 27.000.

• Confidencialidad – Integridad – Disponibilidad. • SGSI – PDCA. • Buenas prácticas – Auditoría de un SGSI – Gobierno.

Control Interno de TI • Qué es el Control Interno

• Controles Preventivos – Evitar eventos

• Controles Detectivos – Registrar eventos

• Controles Reactivos – Mec. sistemático para detectar y corregir

• Cobit 4.1 – COBIT 5 Más allá de que haya cambiado su alcance

Gobierno de TI

• Qué es el Gobierno de TI

• Objetivos Alineación – Valor – Monitoreo - Etc

• Decisiones Principios – Arq – Estrategias – Inver.

• ISO/IEC 38.500 y MITSloan

Auditoría Misión: Realizar una revisión independiente y

especializada de las tareas, áreas o funciones de una

institución, con el fin de emitir un reporte sobre la

eficacia y eficiencia de sus operaciones y resultados.

Interna/Externa

Financiera, Fiscal, Operativa, etc…

Metodología de la Auditoría de TI

Planeación

Trabajo de campo y documentación

Detección y validación de problemas

Desarrollo de soluciones

Redacción y emisión del reporte de auditoría

Seguimiento de los problemas

Valor aportado al Banco

Focos en la auditoría de TI:

Aplicaciones

Estructura, operativa y

administración de TI

Infraestructura de red

CPD y recuperación de desastres

Seguridad de la información

Principales estándares y frameworks

utilizados:

ISO/IEC 27.001

ISO/IEC 27.002

ISO/IEC 27.007

ISO/IEC 27.014

ISO/IEC 38.500

SP 800-30

CobiT 4.1

COBIT 5

TIA 942

Entidades financieras:

Casas Financie

-ras

Consor-cios

Bancos IFEs

Coope- rativas

Adm. de Crédito

Casas de Cambio

AFAPs

Seguros

Mercado de Valores

Aspectos tecnológicos claves:

Core del Negocio

Base de Datos Redes de

Comunicaciones

Centro de Procesamiento

de Datos

Seguridad Informática y de la Información

Continuidad del Negocio

Gestión y Gobierno de TI

Plan Estratégico

Políticas y Procedimientos

Riesgo y Control Interno de TI

Servicios Tercerizados

Normativa: AGESIC

• Normas técnicas

• Políticas - Guías - Directrices

• Marco legal

• Artículos - Leyes - Decretos - Etc.

BCU

• Comunicaciones

• 2008/068 - 2008/069

• Circulares

• RNRCSF (recopilación de normas de regulación y control del sistema financiero)

• Estándares mínimos de gestión

• Tareas del Directorio - Tareas de la Alta Gerencia

• Tareas para mitigar el Riesgo Operacional - Estándares de TI

Metodología: 1. Planeación Objetivos y alcance de la Auditoría. Planificación.

Evaluación de riesgos.

Entrevistas iniciales.

2. Trabajo de Campo Análisis de datos. Entrevistas.

Documentación de hallazgos.

Cumplimiento de los objetivos previamente fijados.

3. Detección de Problemas Analizar hallazgos. Validación de estos.

Medición de su importancia.

Metodología: 4. Desarrollo de Soluciones Evaluar en conjunto con auditado las mejores

soluciones para los problemas.

Validar estos planes de acción.

5. Reporte de Auditoría Redacción del informe final.

Entrega a las personas adecuadas.

6. Seguimiento Seguimiento periódico de las debilidades/planes de

acción.

Auditoría de aplicaciones • Rastros de auditoría en el core bancario y toda aplicación sensible.

• Seguirle el rastro a las transacciones en caso de algún problema. También para estudiar posibles intentos de fraudes o ataques a los sistemas,

etc.

• En caso de tercerizar el desarrollo de los sistemas, se debería exigirle al proveedor que implemente esta funcionalidad en la aplicación.

Auditoría de la estructura, operativa y administración de TI

• Organización de TI claramente definida en el banco, con sus responsabilidades y obligaciones bien marcadas.

• TI debe ocupar el lugar indicado dentro del Banco, ni muy abajo ni muy arriba en el organigrama, para evitar casos de falta de poder que le impidan tomar decisiones, o casos de demasiado poder en donde TI obstruya al corriente funcionamiento del negocio.

• Dentro de la organización de TI, se debería velar por una adecuada segregación de funciones.

Auditoría de la infraestructura de red • Adecuados controles de seguridad y auditoría en el acceso remoto a la red

del banco (desde distintas sucursales, o incluso desde casas matrices en el extranjero).

Auditoría del centro de procesamiento de datos y recuperación

de desastres • En caso de utilizarse un sitio de contingencia, el auditor debería visitarlo y

asegurarse que cuenta con las medidas de seguridad adecuada para permitir la reanudación y continuidad de las operaciones del banco.

• Además, ya que generalmente estos sitios son compartidos con otras empresas, es necesario que el auditor evalúe las garantías de seguridad, confidencialidad y disponibilidad que le ofrece este sitio.

Auditoría de la seguridad de la información

• Existen mecanismos de reporte ante cualquier situación problemática, incidente, debilidad o malfuncionamiento; por los cuales los empleados puedan reportar al responsable de Seguridad de la Información del Banco.

Auditoría sobre los otros conceptos vistos • Administración del Riesgo de TI Existencia de algún procedimiento o metodología de

Administración del Riesgo de TI. Evaluar uso de SP 800-30.

• Gestión de la Seguridad de la Información Se podría utilizar la ISO 27.001, 27.002 o 27.007,

dependiendo de si se tiene o no, un SGSI.

• Control Interno de TI Para seguir un marco de trabajo estructurado, lo más

recomendable en la práctica, sería utilizar el modelo de Control Interno COSO, y para bajar a nivel de TI, usar CobiT 4.1 o COBIT 5.

• Gobierno de TI Evaluar las responsabilidades y decisiones claves del

Gobierno de TI. Se puede utilizar como marco la ISO 38.500.

Instituciones:

GAO IEEE ISACA ISF ISO

ITGI NIST Sandia SANS TIA

Conclusiones del trabajo: • El presente trabajo buscó explorar nuevos conocimientos en el

campo de la ingeniería en computación y en la tecnología, para luego aplicarlos en un caso de estudio lo más real posible.

• Las organizaciones grandes y complejas (como los bancos), necesitan ser auditados.

• Mantener su operativa confiable, segura y eficiente.

• Es recomendable que estas instituciones se apoyen en estándares, metodologías y frameworks conocidos y ampliamente aplicados.

Relacionado a la Fing:

• Generar conciencia sobre estos temas en la FIng.

• Más temas en las materias actuales, y más materias relacionadas (a nivel de grado).

• Posibilidad de estructurar perfiles.

¿Preguntas?

Ing. Nicolás Serrano nserrano@bcu.gub.uy