information audit planning m.c. juan carlos olivares rojas department of computer and system...
TRANSCRIPT
![Page 1: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/1.jpg)
Information Audit Planning
M.C. Juan Carlos Olivares Rojas
Department of Computer and SystemInstituto Tecnológico de Morelia
[email protected] lat, -101.1848 long
![Page 2: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/2.jpg)
DisclaimerSome material in this presentation has been obtained from various sources, each of which has intellectual property, so in this presentation will only have some rights reserved.
These slides are free, so you can add, modify, and delete slides (including this one) and slide content to suit your needs. They obviously represent a lot of work on my part. In return for use, I only ask the following: if you use these slides (e.g., in a class) in substantially unaltered form, that you mention their source.
![Page 3: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/3.jpg)
OutlineAuditing Phases
Planning
Preliminar Review
Detailed Review
Exam and Evaluation of Information.
Tests of User Control
Sustantive Test
System Assesment according to Risk.
Preliminar Investigation
Staff Participant
![Page 4: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/4.jpg)
Objectives of the Session• The students will know the basis of planning
and make plans for Information Audit Project
![Page 5: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/5.jpg)
Planning• Itinerary
• Estimation
• Tracking
![Page 6: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/6.jpg)
Planning• The first step for planning consist in replanning
all the time.
• The estimation is a dificult activity because we manage impredictible sources such as time, money and people.
• The tracking process is an especial activity who is a critical factor for sucessfully development a project
![Page 7: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/7.jpg)
Itinerary• It consist of a serie of activities which some
order, duration and other resources assignations.
• Results:
• Plan Diagram• Activity Matrix• Gant Chart• PERT/CPM• Program
![Page 8: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/8.jpg)
Itinerary• Resources Matrix
• Estimation is implicit in the process.
• The most important estimation are time, cost, human resources, among others.
• Tracking is realized in a especial period of time called milestone. Tracking is a control process inside planning process.
![Page 9: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/9.jpg)
Activity• Make the planning for a vacation trip (your
choose the place) this must be include all planning elements described in this class.
• Where we must be to beginning?
• Homework: Make a planning for an IT Auditing Process at Instituto Tecnológico de Morelia.
![Page 10: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/10.jpg)
Preliminar and Detailed Review• In this Phase we works with documents
information systems and other resources.
• Preliminar Review is fast and acts as a filter. Detailed Review is important because we assurance the process.
![Page 11: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/11.jpg)
Exam and Evaluation of Information
• The most important thing in a organization is asset, frecuently information assets.
• What are the principal assets in a Telecomunication Firm such as AT&T, Telmex, etc.?
• Cupper in 1976 60%
• Cupper, Fiber and Infraestructure 30% aprox. in 2008
![Page 12: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/12.jpg)
Exam and Evaluation of Information
• Where are the rest of the money?
• Information System
• What is the most important thing in Coca-Cola?
• The Secret Formula. It’s the same since 1886, only 3 pesons in the world know it.
• This formula is patented like a comercial secret
![Page 13: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/13.jpg)
Test of User Control’s• What’s a User Control?• It’s a control which applied to final user or
employees.
• This process is important because a lot of firms are interesting in their relations with theirs user, employees, providers and third-parts.
• In Programming the User Controls are the User Interface (UI). Remember for a end user, the UI is the system.
![Page 14: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/14.jpg)
Substantive Test• Substantive testing is the stage of an audit
when the auditor gathers evidence as to the extent of misstatements in client's accounting records.
• This evidence is referred to as substantive evidence and is an important factor in determining the auditor's opinion on the financial statements as a whole.
![Page 15: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/15.jpg)
Substantive Test• For example, the substantive test in an Inventory
System consists of:
• Physically examine inventory on balance date as evidence that inventory shown in the accounting records actually exists (validity assertion);
• Arrange for suppliers to confirm in writing the details of the amount owing at balance date as evidence that accounts payable is complete (completeness assertion);
![Page 16: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/16.jpg)
Substantive Test• And make inquires of management about the
collectibility of customers' accounts as evidence that trade debtors is accurate as to its valuation. Evidence that an account balance or class of transaction is not complete, valid or accurate is evidence of a substantive misstatement.
![Page 17: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/17.jpg)
Activity• In a Spreadsheet (electronic or paper) obtain
de Standard Deviation of the follow numbers: 1, 3, 5, 7, 9, 11, 13, 21, and the last 2 digit of yours control number.
• For the first number (until 21) SD = 6.36
• This is an example of compliance test
![Page 18: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/18.jpg)
Activity• What did the next pseudocode do?
• W, X, Y, Z: real
• READ W, X
• Z = 1
• While (z > 0.01) do
• Y = X – (((X*X) – W)/ (2*X))
• Z = abs(X – Y)
• X = Y
• End While
• Print X
![Page 19: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/19.jpg)
Activity• Realized a desktop test or paper run of the
algoritm with some values.
![Page 20: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/20.jpg)
Risk Assesment• In auditing, risk assessment is a very crucial
stage before accepting an audit engagement.
• According to ISA315 Understanding the Entity and its Environment and Assessing the Risks of Material Misstatement, "the auditor should perform risk assessment procedures to obtain an understanding of the entity and its environment, including its internal control"
![Page 21: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/21.jpg)
Risk Assessment• Auditor obtains initial evidence regarding the
classes of transactions at the client and the operating effectiveness of the client’s internal controls.
• In auditing, audit risk includes inherent risk, control risk and detection risk.
![Page 22: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/22.jpg)
Risk Assessment• What’s a Risk?
• It`s a probability of activity occurs.
• It’s related with Threats, Vulnerabilities, Impact and Exposures.
• All activities have a risk.
![Page 23: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/23.jpg)
Risk Assesment
What’s the probability of ocurrence of this activity?
![Page 24: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/24.jpg)
Risk Assesment• There are a lot of Methodologies for Calculating
Risk but all are dependents of the user.
• Risk are calculating in three levels: high, medium and low.
• Risk are calculating by dimension like Impact and Frecuency of Ocurrence.
![Page 25: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/25.jpg)
Risk Assesment
![Page 26: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/26.jpg)
Simulators• Assurance-Life:
• 194.224.248.32/simuladores/ *
• Business:
• http://www.gameonsoftware.com/index.htm
• http://www.beer-war.com/ *
• http://www.riskybusiness.com/
![Page 27: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/27.jpg)
27
Riesgo
Calculado por el producto de la probabilidad de ocurrencia de la amenaza vs los impactos que tendría
el activo de materializarse dicha amenaza.
![Page 28: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/28.jpg)
28
Controles
Es una tecnología, política, proceso o procedimiento que contrarresta una amenaza y por consecuencia
mitiga los riesgos asociados a un activo.
![Page 29: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/29.jpg)
29
Modelo de Riesgos
Riesgo
VulnerabilidadesAmenazas
Controles
Requerimientos de seguridad Valor del activo
Activos
Proteccióncontra
Explotan
Reduce
Aumenta
Establece
Aumenta
Exponen
TieneAumenta
Implementan
Impacto en la organización
![Page 30: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/30.jpg)
30
Objetivo
• Implementación de controles que ayuden a mitigar los riesgos.
• Monitoreo de la efectividad de los controles y su impacto (reducción) en los riesgos
El análisis de riesgos debe contar con el soporte de la alta dirección
![Page 31: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/31.jpg)
31
Análisis de Riesgos
• ¿Quién debe participar?
– Se debe formar un equipo interdisciplinario que debe estar conformado por al menos las siguientes funciones:
• Dueños de los activos
• Custodios de los activos
• Seguridad de Información
– Se pueden incluir según sea el caso:
• Recursos Humanos
• Legal / Regulatorio
• Finanzas
![Page 32: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/32.jpg)
32
Responsabilidades de Dueños y Custodios de activos
• Responsabilidades de los dueños:– Últimos responsables de los activos– Responsables de los riesgos asociados a los activos– Responsables de la valuación de activos– Responsables de la clasificación de activos
• Responsabilidades de los custodios:– Operación y mantenimiento de los activos
(incluyendo sus servicios asociados)– Operación de los controles asociados a los activos
• Monitoreo, respaldos, análisis de bitácoras, etc.
![Page 33: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/33.jpg)
33
Análisis de Riesgos
• Existen dos tipos de análisis de riesgos:
– Cualitativo• Se utilizan escenarios, juicios, percepciones e
incluso la intuición para el calculo de los valores de los elementos que conforman el proceso.
• Se asume que el personal que participa en los análisis son expertos en las funciones que les compete.
![Page 34: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/34.jpg)
34
Análisis de Riesgos
• Existen dos tipos de análisis de riesgos:– Cuantitativo
• Se realizan cálculos numéricos para la estimación de todos los elementos que conforman el proceso, tales como:
– El valor de los activos.– La probabilidad de ocurrencia de las amenazas.– Los impactos en el negocio.
• Un análisis cuantitativo “puro” no es posible dada la naturaleza cualitativa de los elementos que conforman el proceso.
![Page 35: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/35.jpg)
35
Cualitativo vs. Cuantitativo
Cuantitativo Cualitativo
Ventajas
Se asignan prioridades a los riesgos según las repercusiones financieras; se asignan prioridades de los activos según los valores financieros. Los resultados facilitan la administración del riesgo por el rendimiento de la inversión en seguridad. Los resultados se pueden expresar en términos de negocio (ejemplo: perdidas financieras, costos anuales) La precisión tiende a incrementarse con el tiempo a medida que se gana experiencia y se acumula información histórica.
Permite la visibilidad y la comprensión de la clasificación de riesgos.
Resulta más fácil lograr el consenso.
No es necesario cuantificar la frecuencia de las amenazas.
No es necesario determinar los valores financieros de los activos.
Resulta más fácil involucrar a personas que no sean expertas en seguridad o en informática.
![Page 36: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/36.jpg)
36
Cualitativo vs. Cuantitativo
Cuantitativo Cualitativo
Desventajas
Los valores de impacto asignados a los riesgos se basan en las opiniones subjetivas de los participantes. Los procesos para alcanzar el consenso y resultados creíbles consumen mucho tiempo. Los cálculos pueden ser complejos y lentos. Los resultados sólo se presentan en términos monetarios y pueden ser difíciles de interpretar por algunas personas. El proceso requiere experiencia, los participantes no pueden ser educados con facilidad a través del proceso.
No hay una distinción suficiente entre los riesgos importantes.
Es difícil de justificar la inversión en la implementación de los controles debido a que no hay bases de un análisis costo-beneficio.
Los resultados dependen de la calidad del equipo que este trabajando en el proceso.
![Page 37: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/37.jpg)
37
1- Asignar valor a los activos
2- Estimar pérdida potencial por riesgoCalcular SLE (single loss expectancy)SLE = Valor del Activo * EF (EF= % de pérdida de activo causada por identificar amenazas)
3- Ejecutar un análisis de amenazasCalcular ARO (annualized rate of ocurrence)Es la frecuencia esperada donde una amenaza pueda ocurrir en base anualizada
Modelos Cuantitativos, pasos a seguir
Calcular ALE (annualized rate of ocurrence)ALE = SLE * ARO
4- Derivar la pérdida potencial global por amenaza
5- Reducir, asignar o aceptar el riesgo
![Page 38: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/38.jpg)
38
Modelos Cualitativos de Análisis de RiesgosModelos Cualitativos de Análisis de Riesgos
• No asigna números reales o valores monetarios a componentes y perdidas.
• Analizan diversos escenarios de posibilidades de riesgo y “rankean” la seriedad de las amenazas y la validez de las diversas posibles contramedidas.
• Es necesario usar juicios, intuición y experiencia Se usan técnicas como:
BrainstormingFocus GroupsEncuestasCuestionariosChecklistsEntrevistas
![Page 39: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/39.jpg)
39
Identificación de Amenazas
Identificación de Vulnerabilidad
Identificación de Impactos
Riesgo (A,M,B) Enfoques:Relativa Frecuencia, “A priori”, deducción lógica, Subjetividad
Modelo de Análisis de Riesgos de TIModelo de Análisis de Riesgos de TI
Análisis de RiesgosSon necesarios Controles de Seguridad para mitigar riesgos,
pueden ser:Procesos, Directrices, Mecanismos tecnológicos,Políticas, Etc.
Amenaza:Código MaliciosoSi se materializa:Pérdida del Servicio,Pérdida de Información
-Respaldo de Información
-Política de Email
-Separación de ambiente de desarrolloy de producción
- Controles vs troyanos
CONTROLES
![Page 40: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/40.jpg)
40
Matriz deRiesgo
Análisisde
Controles
Modelo de ANÁLISIS DE RIESGOModelo de ANÁLISIS DE RIESGO
Selección de
Amenazas
Datos deEntrada
Caso de Negocios
Plan deAcción
VoBo Rechazado
![Page 41: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/41.jpg)
41
Amenazas Vulnerabilidades
Controles Riesgos Bienes
Explotan
AumentanProtegen de Aumentan
Exponen
Reducen
Matriz de RiesgosMatriz de Riesgos
Riesgo = Vulnerabilidad * Impacto
![Page 42: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/42.jpg)
42
Matriz de RiesgosMatriz de Riesgos
Nivel Definición de Ocurrencia
Alto La amenaza tiene una gran probabilidad de ocurrencia, y los controles que previenen
esta vulnerabilidad son inefectivos.
Medio La amenaza tiene probabilidad de ocurrencia, pero los controles actuales
pueden impedir que se explote dicha vulnerabilidad.
Bajo La amenaza es de muy baja probabilidad o los controles
existentes evitan que suceda.
Determinación del nivel de Vulnerabilidad ante amenazas de TI
![Page 43: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/43.jpg)
43
Magnitud del Impacto Definición del Impacto
Alto Si se explota la vulnerabilidad:1.Existe una pérdida monetaria de los activos tangibles o recursos más importantes de la empresa2.Se ve afectada la misión, reputación o interés de la empresa3.Existen pérdidas humanas o lesiones mayores
Medio Si se explota la vulnerabilidad:1.Puede resultar en la pérdida monetaria de activos o recursos2.puede violar o impedir la misión, reputación o interés de la empresa3.Puede resultar en una lesión
Bajo Si se explota la vulnerabilidad:1.Puede resultar en la pérdida de algunos recursos o activos2.Puede llegar a afectar de manera casi imperceptible la misión, reputación o interés de la empresa
Determinación de nivel de Impactos ante explotación de vulnerabilidades de TI
![Page 44: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/44.jpg)
44
Nivel de Riesgo Impacto Vulnerabilidad
Muy Alto Alto Alto
Alto Alto Medio
Alto Medio Alto
Medio Alto Bajo
Medio Medio Medio
Medio Medio Bajo
Medio Bajo Alto
Medio Bajo Medio
Bajo Bajo Bajo
Determinación de nivel de riesgo
Riesgo = Vulnerabilidad * Impacto
![Page 45: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/45.jpg)
45
WEB
Server
Acceso no autorizado
B A M Se puede presentar el caso en el que personal no autorizado accese al equipo a nivel hardware o software durante el trayecto del Servicio hacia el sitio del Cliente, por lo cual impactaría en el desempeño adecuado del activo.
Front END Server
Falla de Hardware M A A Puede presentarse el caso en que alguna de las partes del activo funcione en forma deficiente, con lo cual afectaría en su funcionamiento general y afectaría también al aprovisionamiento adecuado del servicio.
WEB
Server
Negación de Servicio
A A MA Puede presentarse un ataque DoS dada la popularidad del sitio y la falta de controles para mitigar este ataque, si deja de responder el servicio causaría daños graves financieros y de imagen
Activo de Amenaza Justificación Información Vulnerbilidad Impacto Riesgo
Matriz derivada del análisis de riesgosMatriz derivada del análisis de riesgos
![Page 46: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/46.jpg)
46
• Definición de las reglas de negocio del servicio
Información previa a la ejecución del Información previa a la ejecución del Análisis de riesgosAnálisis de riesgos
• Lista del inventario de activos de información que forman parte del servicio.
• La identificación y clasificación de la información para los activos de Información.
• Los flujos de información entre activos de información.
• Los usuarios de la información y/o activos.
• Información de impactos (financieros, legal, imagen, etc.)
![Page 47: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/47.jpg)
47
Reglas de NegocioReglas de Negocio
Ejemplos más estructurados:Reglas de Operación
- 24x7 monitoreo y atención a fallas
- Equipo y solución de filtrado operada en XYZ por el equipo de Operaciones
- Cliente dueño de la cuenta, tiene privilegios para realizar cambios a los perfiles de sus usuarios vía el WEBKIT
- Filtrado esta dentro de la solución de los switches de Cache
- Perfiles definidos por el usuario no pueden cambiar ni modificar los perfiles. Tampoco pueden solicitar apoyo para cambiar perfiles, solo el usuario administrados puede hacer esto.
- Solamente el dueño (administrador) de la cuenta puede pedir cambios
- Soporte por medio del centro de atención para clientes de Internet Dial-Up
Atención a Clientes
- Facturación plana, adicional a la cuota de Dial-Up
- Puede ofrecerse un mes de prueba gratis
- Ajuste proporcional al tiempo que se utilizo cuando no entra la solicitud en los ciclos de facturación
Facturación
- Entrega hecha por parte de TMK (adicional a Dial-Up cuando se solicite en conjunto)
- No requiere configuración del lado del cliente
- Cliente se le da una clave de acceso para configurar los accesos adicionales con los perfiles que el requiera.
Entrega de Servicios
![Page 48: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/48.jpg)
48
Lista del inventario de activos de informaciónElemento / Sistema / Aplicación
Descripción de Requerimientos Hardware
Descripción requerimientos de Software
Rol del Activo
Networker Server Servidor Ultra 60 OS Solaris 2.8Parches recomendados for SolarisLEGATO Networker 9.1.1
Servidor que realiza la administración de los respaldos y que recibe las peticiones de los cliente
Storage Node SUN Ultra 450 Networker Client 8.33 Storage nodes incrementa el paralelismo y la capacidad de recuperación de una configuración de networker. Un storage node puede estar conectado a un uno o varios storage devices.
Networker Client Por dispositvo Networker Client 6.1 para sistemas operativo
Agente que se instala en todos los servidores en los cuales se requiere realizar el respaldo
![Page 49: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/49.jpg)
49
Identificación y clasificación de la información para los activos de Información
Activo Información Clasificación Información
Networker Server
Información de configuración del servidor Parámetros para los sistemas cliente que vaya a respaldar (horario y lineamientos)Índices de los archivos de esos clientesBase de datos de todos los volúmenes donde los datos de back up están almacenados. Metadatos
Propietaria ( restringida)
Storage Node
Información de configuración del respaldo para servidor local y de clientes distribuidos
Propietaria ( restringida)
Networker Client
Configuración de cliente Información a respaldar
Propietaria ( restringida)
![Page 50: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/50.jpg)
50
Los flujos de información entre activos de Información
Aplicación / SistemaOrigen
Aplicación o Sistema Destino
Protocolo utilizado
Razón del flujo
Networker Server Network Client TCP / UDP ( Puertos variables)
Generación de respaldo
Network Client Networker Server TCP / UDP ( Puertos variables)
Restauración de información
Storage Node Network Client TCP / UDP ( Puertos variables)
Generación de respaldo cuando aplique
Networker Server Storage Node TCP / UDP ( Puertos variables)
Generación de respaldo cuando aplique
![Page 51: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/51.jpg)
51
Los usuarios de la información y/o activos
Usuarios/ Organización
Aplicación / Sistema
al cual requiere acceso
Permiso ( Lectura / Escritura) y a que parte de la información se refiere
Naturaleza de Acceso
Ubicación del Acceso
Operación de Servicios
GSX.VOICE
GATEWAY
Lectura/Escritura
Configuración de Troncales ,
TELNET, WEB, CLI
RED Gestión
Administrador del sistema
Ruteadores de los clientes
Lectura/Escritura
Sistema Operativo, Configuración de Rutas, Configuración WAN, Configuración de Usuarios y Accesos
TELNET, WEB, CLI Intefase
RED Interna
![Page 52: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/52.jpg)
52
Información de impactos (Financieros)
Descripción Hoy 4to. Cuarto de 2004
Tipo de cliente Empresarial Empresarial
Porcentaje de Mercado
8.8 % 9.1%
Numero de clientes de XYZ al cierre de Abril 2004
6,712 7,098
Volumen de ventas en retención
$ 88,160,000 $ 88,160,000
Volumen estimado de ventas de adquisición
N/A $ 45,510,000
Total de ventas anuales en (promedio)
$ 88,160,000 $ 133,670,000
Total de ventas mensuales (promedio)
$ 7,346,666 $ 11,139,166
Total de ventas diarias entrantes (promedio)
$ 244,888 $ 371,305
Datos crudos de las unidades de negocio, Servicio XYZ
USD
![Page 53: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/53.jpg)
53
Información de impactos (Financieros)Información de impactos (Financieros)
-
5,000
10,000
15,000
20,000
25,000
1 2 3 4 5 6 7 8 9 10
En la Gráfica de Impactos financieros vs indisponibilidad en el servicio XYZ, se muestra la pérdida en el ingreso considerando un evento de afectación total del servicio
15min 1h 3h 12h 1d 2d 1sem 2sem 1mes 2mes
USD K MILES
![Page 54: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/54.jpg)
54
Información de impactos (Legal, Ejemplo)Información de impactos (Legal, Ejemplo)
Existe la posibilidad que a causa de una falla en el servicio XYZ , los clientes puedan reclamar legalmente la reparación de un daño financiero.
Lo anterior es considerado si el servicio de XYZ a consecuencia de algún incidente no deseado o a consecuencia de la falta de capacidad de la infraestructura destinada a ofrecerlo pueda afectar el proceso de facturación y registro de llamadas, además del proceso de análisis de trafico, provocando inconsistencia en la información necesaria para realizar adecuadamente este proceso, afectando así las funcionalidades requeridas por los clientes.
Esto creará inconformidad en la relación Empresa-Cliente, ya que se les estará cobrando algún dato o trafico que no les corresponde, además que sería un factor de deserción y por consecuencia de la perdida porcentual de mercado que se pretende mantener y obtener.
![Page 55: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/55.jpg)
55
Información de impactos (Imagen, Ejemplo)Información de impactos (Imagen, Ejemplo)
Existe la posibilidad que a consecuencia de una falla en el servicio XYZ se tenga un impacto negativo en la imagen de la empresa.
Se podría ante una falla en el servicio afectar en forma muy significativa las relaciones con diversas organizaciones así como en la sociedad en general ante una publicidad adversa ampliamente distribuida a nivel nacional, lo que afectará en los pronósticos realizados para retener y obtener un porcentaje mayor del segmento de mercado.
![Page 56: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/56.jpg)
56
Créditos:Créditos:
Ing. Ricardo Morales González, MCSI, CISA, CISM, ISO27001 Auditor
Diseño y Programación Diseño y Programación
Miguel Angel Reynosa Castro
![Page 57: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/57.jpg)
References• Senft, S. And Gallegos, F. (2008) Information
Technology Control and Audit, Third Edition, CRC Press, United States
![Page 58: Information Audit Planning M.C. Juan Carlos Olivares Rojas Department of Computer and System Instituto Tecnológico de Morelia jcolivar@itmorelia.edu.mx](https://reader035.vdocuments.net/reader035/viewer/2022062809/5665b4761a28abb57c91acee/html5/thumbnails/58.jpg)
¿Preguntas?