Metodologías de seguridad
Me gustaría que me comentaras las metodologías de la auditoría de seguridad informática que conozcas y si puedes comentarme un poco de ellas.
Yo conozco tres:
*MAGERIT (del MAP)
*CobiT (de ISACA)
*OSSTMM (de www.ideahamster.org)
¿Me podrías recomendar alguna otra y comentarme un poco de que va?
Yo conozco tres:
*MAGERIT (del MAP)
*CobiT (de ISACA)
*OSSTMM (de www.ideahamster.org)
¿Me podrías recomendar alguna otra y comentarme un poco de que va?
1 Respuesta
Respuesta de kuerti
1
Y perdón de antemano por contestarte más tarde de lo que habitualmente yo contesto.
En realidad, solo magerit es una metodología de auditoría. Esta es una metodología tradicional, pero muy buena por cierto.
OSSTMM es una metodología pero de testing, en realidad. Y cobit NO es una metodología sino un "framework" o marco de referencia que se puede usar tanto para realizar auditorías como para hacer un checklist por parte de la Alta Gerencia.
Pero te ofrezco los documentos que tengo al respecto: son una monografía chilena, una argentina; lo único que necesito es tu mail para enviártelos.
Paso a comentar:
1) Principales procesos:
Hay un proceso TRADICIONAL (también llamado metodología) que consiste en:
- Planificación estratégica o inicial, en donde se relevan los controles generales a auditar (Control de Operaciones, Control de Aplicaciones, Controles de continuidad de negocios, controles referidos a seguridad informática y controles estructurales) y la matriz de riesgo; en este relevamiento surge la necesidad de hacer más o menos PRUEBAS SUSTANTIVAS y DE CUMPLIMIENTO (si te dan bien los controles generales, harás MENOS pruebas...)
- Ejecución de la auditoría: Consiste en efectuar las matrices de controles y las de prueba que vas a auditar y efectuar las pruebas (sustantivas y/o de cumplimiento, en función de lo que hayas descubierto en la Planificación y lo que te hayas programado en las matrices). Dependiendo de la metolodogía, también se puede dividir esta etapa en PLANIFICACIÓN TÁCTICA (donde se hacen las matrices) y EJECUCIÓN (donde se hacen las pruebas)
- Elaboración del Informe: Consiste en poner estructuradamente los HALLAZGOS que detectaste (yo utilizo la metodología de comentar el HALLAZGO, el RIESGO ASOCIADO y la RECOMENDACIÓN; el riesgo asociado tiene que ver con la MATERIALIDAD (cuan riesgoso es) y el hallazgo con las VULNERABILIDADES detectadas.
Más data en: www.bcra.gov.ar (página del Banco Central de la RA) y ahí buscas la norma "A" 2679 CONAU. También en las monografías que te ofrecí.
2) Objetivo: siempre es verificar la existencia y cumplimiento de controles. Nunca es CONTROLAR.´(Siempre VES el partido, nunca lo jugás)
3) Participantes: Principalmente, la llamada ÁREA AUDITADA (en mi caso, las áreas de sistemas, tecnología o seguridad informática) y los AUDITORES.
4) Fuentes de Información: Son diversas y dependen de cada auditoría; pero se cuentan:
- Organigrama (Apunta a control estructural)
- Reportes de transacciones (apunta a controles de aplicaciones)
- Reportes de programas (también llamada source list). Básicamente, es el código fuente de un programa que se evaluará en una PRUEBA SUSTANTIVA si sospechás que hay algo raro.
- Reportes de Operaciones (apunta a control de operaciones)
Y siempre se completan con (en este orden de preferencia)
- Reportes de terceros (documentos formales sobre el tema a auditar hechos por alguien independiente del tema)
- Observaciones y entrevista realizadas por el auditor
Esto, más o menos, es la metodología que yo utilizo.
Más data: existe una al menos, metodología por cada consultora o estudio, tipo Deloitte o price. En particular, de esta rescato la metodología ORCA (Objetivos, Recursos, Controles, Alineamiento) que no deja de ser una metodología de administración de riesgo y SAMP de Deloitte. De esta podés saber más conectándote a http://www.deloitte.com/dtt/cda/doc/content/SAssetM.pdf y de la de price, en http://www.pwcglobal.com/Extweb/service.nsf/docid/4BDEF7C26380A03F85256B72005FE8F9?OpenDocument
Por supuesto, también - como magerit - encontrarás data en los sites de los gobiernos. Particularmente, en el site de www.sigen.gov.ar y en www.agn.gov.ar, que eson sitios de auditoría de la Argentina. Pero estas, son metodologías TRADICIONALES (o sea, más como la que te comento y describo más arriba)
Saludos y no te olvides de puntuar la respuesta.
En realidad, solo magerit es una metodología de auditoría. Esta es una metodología tradicional, pero muy buena por cierto.
OSSTMM es una metodología pero de testing, en realidad. Y cobit NO es una metodología sino un "framework" o marco de referencia que se puede usar tanto para realizar auditorías como para hacer un checklist por parte de la Alta Gerencia.
Pero te ofrezco los documentos que tengo al respecto: son una monografía chilena, una argentina; lo único que necesito es tu mail para enviártelos.
Paso a comentar:
1) Principales procesos:
Hay un proceso TRADICIONAL (también llamado metodología) que consiste en:
- Planificación estratégica o inicial, en donde se relevan los controles generales a auditar (Control de Operaciones, Control de Aplicaciones, Controles de continuidad de negocios, controles referidos a seguridad informática y controles estructurales) y la matriz de riesgo; en este relevamiento surge la necesidad de hacer más o menos PRUEBAS SUSTANTIVAS y DE CUMPLIMIENTO (si te dan bien los controles generales, harás MENOS pruebas...)
- Ejecución de la auditoría: Consiste en efectuar las matrices de controles y las de prueba que vas a auditar y efectuar las pruebas (sustantivas y/o de cumplimiento, en función de lo que hayas descubierto en la Planificación y lo que te hayas programado en las matrices). Dependiendo de la metolodogía, también se puede dividir esta etapa en PLANIFICACIÓN TÁCTICA (donde se hacen las matrices) y EJECUCIÓN (donde se hacen las pruebas)
- Elaboración del Informe: Consiste en poner estructuradamente los HALLAZGOS que detectaste (yo utilizo la metodología de comentar el HALLAZGO, el RIESGO ASOCIADO y la RECOMENDACIÓN; el riesgo asociado tiene que ver con la MATERIALIDAD (cuan riesgoso es) y el hallazgo con las VULNERABILIDADES detectadas.
Más data en: www.bcra.gov.ar (página del Banco Central de la RA) y ahí buscas la norma "A" 2679 CONAU. También en las monografías que te ofrecí.
2) Objetivo: siempre es verificar la existencia y cumplimiento de controles. Nunca es CONTROLAR.´(Siempre VES el partido, nunca lo jugás)
3) Participantes: Principalmente, la llamada ÁREA AUDITADA (en mi caso, las áreas de sistemas, tecnología o seguridad informática) y los AUDITORES.
4) Fuentes de Información: Son diversas y dependen de cada auditoría; pero se cuentan:
- Organigrama (Apunta a control estructural)
- Reportes de transacciones (apunta a controles de aplicaciones)
- Reportes de programas (también llamada source list). Básicamente, es el código fuente de un programa que se evaluará en una PRUEBA SUSTANTIVA si sospechás que hay algo raro.
- Reportes de Operaciones (apunta a control de operaciones)
Y siempre se completan con (en este orden de preferencia)
- Reportes de terceros (documentos formales sobre el tema a auditar hechos por alguien independiente del tema)
- Observaciones y entrevista realizadas por el auditor
Esto, más o menos, es la metodología que yo utilizo.
Más data: existe una al menos, metodología por cada consultora o estudio, tipo Deloitte o price. En particular, de esta rescato la metodología ORCA (Objetivos, Recursos, Controles, Alineamiento) que no deja de ser una metodología de administración de riesgo y SAMP de Deloitte. De esta podés saber más conectándote a http://www.deloitte.com/dtt/cda/doc/content/SAssetM.pdf y de la de price, en http://www.pwcglobal.com/Extweb/service.nsf/docid/4BDEF7C26380A03F85256B72005FE8F9?OpenDocument
Por supuesto, también - como magerit - encontrarás data en los sites de los gobiernos. Particularmente, en el site de www.sigen.gov.ar y en www.agn.gov.ar, que eson sitios de auditoría de la Argentina. Pero estas, son metodologías TRADICIONALES (o sea, más como la que te comento y describo más arriba)
Saludos y no te olvides de puntuar la respuesta.
Muchas gracias por tu atención y creo que me será de gran ayuda. Mi correo es [email protected] (si puedes envíame la documentación que me comentaste)
Gracias.
Gracias.
