1 / 31

RIESGOS ESPECÍFICOS EN EL ÁREA DE LA AUDITORÍA INTERNA: SEGURIDAD DE LA INFORMACIÓN Mayo, 2009

RIESGOS ESPECÍFICOS EN EL ÁREA DE LA AUDITORÍA INTERNA: SEGURIDAD DE LA INFORMACIÓN Mayo, 2009. SEGURIDAD DE LA INFORMACIÓN. I N D I C E POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA AEAT REGULACIÓN EN LA ADMINISTRACIÓN PÚBLICA COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA DE LA AEAT

marc
Download Presentation

RIESGOS ESPECÍFICOS EN EL ÁREA DE LA AUDITORÍA INTERNA: SEGURIDAD DE LA INFORMACIÓN Mayo, 2009

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. RIESGOS ESPECÍFICOS EN EL ÁREA DE LA AUDITORÍA INTERNA: SEGURIDAD DE LA INFORMACIÓN Mayo, 2009

  2. SEGURIDAD DE LA INFORMACIÓN I N D I C E • POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA AEAT • REGULACIÓN EN LA ADMINISTRACIÓN PÚBLICA • COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA DE LA AEAT • GESTIÓN DE USUARIOS • CONTROL DE ACCESOS • SUPERVISIÓN POR EL SERVICIO DE AUDITORÍA INTERNA

  3. OBJETIVOS DE LA POLÍTICA DE SEGURIDAD INFORMÁTICA • La AEAT dispone de una política de seguridad de la información cuyo objetivos son: • Asegurar la confianzade los usuarios externos e internos en los sistemas de información. • Mantener la apuesta estratégicade la organización por los sistemas de información y en particular por Internet. • Cumplir las regulacionesimpuestas por la normativa española y comunitaria. 1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA AEAT

  4. 1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA AEAT ACTIVOS DE INFORMACIÓN • Un “activo de información” es un elemento que permite a una organización construir y mantener una política tecnológica y un sistema de información acorde con su misión y objetivos. • Ejemplos en la AEAT: • El personal. • Las instalaciones. • Las infraestructuras tecnológicas de proceso de datos y de comunicaciones. • Lossistemas y aplicacionesde gestión del sistema tributario y aduanero. • La información tributaria y aduanera.

  5. 1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA AEAT ACTIVIDADES DE SEGURIDAD INFORMÁTICA • La política de seguridad de la AEAT se concreta en tres tipos de actividades: • Las actividades que persiguen garantizar la protección de los activos de información, en particular el acceso y utilización de la información tributaria y aduanera. • Las actividades cuyo fin es el conseguir la continuidad del servicio prestadopor el sistema informático de la organización a losusuarios externos e internos. • Las actividades destinadas ala mejora la calidad de la información tributaria y aduanera, reforzando su fiabilidad.

  6. 1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA AEAT GESTIÓN DE LA SEGURIDAD INFORMÁTICA (1) • La política de seguridad se instrumenta en lo técnico y organizativo por distintas instancias: • El Departamento de Informática Tributaria (DIT) que dirige la política de seguridad y dicta las directrices técnicas. En el DIT trabajan los técnicos informáticos y los especialistas en seguridad informática, y de él dependen las Dependencias Regionales de Informática de las Delegaciones Especiales. • La Comisión de Seguridad y Control de Informática Tributaria. • El Servicio de Auditoría Interna, que cuenta con personal dedicado preferentemente a estas actuaciones.

  7. 1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA AEAT GESTIÓN DE LA SEGURIDAD INFORMÁTICA (2) • Los roles principales de la política de seguridad de la AEAT son los siguientes: • Responsable de Seguridad: Asume la responsabilidad de la seguridad de la información en el ámbito correspondiente • Administrador de Seguridad: Se encarga, bajo la dependencia del Responsable de Seguridad, de asegurar el buen funcionamiento y control de la política de seguridad informática. Cada ámbito territorial y departamental dispone de un Administrador de Seguridad. • Controlador: Controla los accesos a la información de un conjunto de usuarios, verificando que el acceso está justificado por el trabajo desempeñado. • Autorizador: Concede autorizaciones a un conjunto de usuarios del sistema de información, que tiene asignados.

  8. 2. REGULACIÓN EN LA ADMINISTRACIÓN ESPAÑOLA LEY DE PROTECCIÓN DE DATOS • La Ley 5/1992, derogada por la vigente Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, supuso un cambio en la seguridad aplicada a los sistemas de información: • Se crea la Agencia Española de Protección de Datos,que puede desarrollar auditorías de cumplimiento como órgano de auditoría externa de las organizaciones sometidas a su control. • Los organismos públicos deben declarar los ficheros automatizados que contienen datos de carácter personal en el Registro General de Protección de Datos. • Se regula el derecho de acceso, rectificación y cancelación de la información de carácter personal contenida en ficheros automatizados (“habeas data”).

  9. 2. REGULACIÓN EN LA ADMINISTRACIÓN ESPAÑOLA AGENCIA DE PROTECCIÓN DE DATOS • La Agencia de Protección de Datos (APD) es un ente de Derecho Publico que tiene por objeto la garantía del cumplimiento y aplicación de las previsiones contenidas en la Ley de Protección de Datos de Carácter Personal. • Su Estatuto fue aprobado por el Real Decreto 428/1993 y se relaciona con el Gobierno a través del Ministerio de Justicia. • La Inspección de Datos depende de la APD y puede efectuar: • Examen de soportes. • Examen de equipos. • Análisis de programas. • Examen de los sistemas de transmisión. • Requerimientos de información.

  10. 2. REGULACIÓN EN LA ADMINISTRACIÓN ESPAÑOLA REGLAMENTO DE MEDIDAS DE SEGURIDAD (1) • El Reglamento de medidas de seguridad de los ficheros automáticos que contengan datos de carácter personal (Real Decreto 994/1999),establece medidas de seguridad en nivel alto, medio y básico. • Las medidas de nivel básico se aplican a todos los ficheros que contengan datos de carácter personal. Ejemplo: El responsable de los ficheros debe elaborar e implantar un Documento de Seguridad de obligado cumplimiento por el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. • Las medidas de nivel medio se aplican a los ficheros que contienen datos relativos a la comisión de faltas administrativas o penales, Hacienda Pública y servicios financieros y los que se rigen por el artículo 28 de la Ley 5/1992.

  11. 2. REGULACIÓN EN LA ADMINISTRACIÓN ESPAÑOLA REGLAMENTO DE MEDIDAS DE SEGURIDAD (2) Ejemplo: Los sistemas de información e instalaciones de proceso de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del Reglamento y de los procedimientos e instrucciones en materia de seguridad de datos, al menos, cada dos años. Los informes de auditoría deben ser analizados por el responsable de seguridad, que elevará las conclusiones al responsable del fichero para que adopte medidas correctoras adecuadas. • Las medidas de nivel alto se aplican a los ficheros que contienen datos de ideología, religión, creencias, origen racial, salud o vida sexual, datos recabados para fines policiales sin consentimiento de las personas afectadas o datos que permiten obtener una evaluación de la personalidad del individuo.

  12. 2. REGULACIÓN EN LA ADMINISTRACIÓN ESPAÑOLA APROBACIÓN DE APLICACIONES • La aprobación de aplicaciones que efectúen tratamientos de información utilizados para el ejercicio de potestades por la Administración,debe hacerse pública y puede requerir la emisión de informes técnicos sobre: • La legalidad de la aplicación. • La seguridad de la aplicación. • La normalización de los medios de acceso. • La conservación de los soportes utilizados. • Otras materias reguladas que afectan indirectamente a la seguridad de la información son: • La firma electrónica. • La facturación telemática.

  13. 2. REGULACIÓN EN LA ADMINISTRACIÓN ESPAÑOLA CONSEJO SUPERIOR DE ADMINISTRACIÓN ELECTRÓNICA (1) • El Consejo Superior de Administración Electrónica CSAE (Real Decreto 589/2005), es el órgano colegiado adscrito al Ministerio de Administraciones Públicas encargado de:. • La preparación, elaboración, desarrollo y aplicación de la política y estrategia del Gobierno en materia de tecnologías de la información. • El impulso e implantación de la“Administración electrónica”. • Funciones: • Desarrollo de Estrategias; Planificación, Asesoramiento y Consultoría; Cooperación; Seguridad; Divulgación; Análisis y Estudio.

  14. 2. REGULACIÓN EN LA ADMINISTRACIÓN ESPAÑOLA CONSEJO SUPERIOR DE ADMINISTRACIÓN ELECTRÓNICA (2) • Entre otras actividades de producción y difusión de estándares y recomendaciones del CSAE, cabe citar los siguientes, relacionados con la seguridad de los sistemas de información • Criterios generales de seguridad, normalización y conservación de las aplicaciones (www.map.es). • Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT) (www.map.es). • Esquema Nacional de Evaluación y Certificación de la Seguridad de los Sistemas de Información.

  15. 2. REGULACIÓN EN LA ADMINISTRACIÓN ESPAÑOLA CONSEJO SUPERIOR DE ADMINISTRACIÓN ELECTRÓNICA (3) • Las Comisiones Ministeriales de Administración Electrónica actúan como órgano de apoyo y coordinación de la política de cada Ministerio en materia de informática y de telecomunicaciones, y sirven de enlace con el Consejo Superior. • El Consejo Superior y las Comisiones Ministeriales elaboran informes técnicos preceptivos de los pliegos de prescripciones técnicas de las contrataciones de bienes y servicios informáticos. • La AEAT participa en el Consejo Superior y en la Comisión Ministerial del Ministerio de Economía y Hacienda, pero no está sujeta a la revisión de los expedientes de contratación.

  16. 3. COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA DE LA AEAT COMISIÓN SECTORIAL DE INFORMÁTICA TRIBUTARIA • Desde 1998, la AEAT dispone de Comisiones Sectoriales de Seguridad para cada una de las áreas de la organización, que serán tratadas en otra presentación con más generalidad. • La Comisión de Seguridad y Control de Informática Tributaria remonta a un grupo de trabajo que se ocupaba, desde 1996, de la regulación del acceso a las bases de datos corporativas. • La Comisión está compuesta por representantes de los Departamentos y de Delegaciones Especiales y aprueba anualmente un programa de actividades. • La Comisión se reúne con carácter trimestral presidida por el Director del Departamento de Informática Tributaria. El representante del Servicio de Auditoría Interna ejerce la vicepresidencia.

  17. 3. COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA DE LA AEAT FUNCIONES ESPECÍFICAS DE LA COMISIÓN (1) • La Comisión, directamente o a través de Grupos de Trabajo: • Supervisa la situación de la gestión de usuarios, del control de accesos y de la cesión de información en la AEAT. • Es responsable funcional de los subsistemas informáticos de gestión de usuarios y de control de accesos (“USUARIO ÚNICO” y “CONTROLA”). • Elabora las propuestas de desarrollo y de modificación del Documento de Seguridad de los ficheros automatizados que contienen datos de carácter personal. • Analiza y, si procede, resuelve, las incidencias de seguridad informática que le son planteados en el ámbito de sus competencias por los Departamentos y Servicios.

  18. 3. COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA DE LA AEAT FUNCIONES ESPECÍFICAS DE LA COMISIÓN (2) • Prepara el Mapa de Riesgos sectorial del área informática de la AEAT. • Trata asuntos de índole técnica con incidencia en la seguridad informática física y lógica de la AEAT como: • La utilización del correo electrónico y de Internet. • El cifrado de los equipos y de las comunicaciones. • El uso de información tributaria y aduanera en las redes de área local. • Los criterios de seguridad a aplicar en los desarrollos informáticos y en la explotación del sistema informático.

  19. 3. COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA DE LA AEAT FUNCIONES ESPECÍFICAS DE LA COMISIÓN (3) • Mantiene actualizada la relación de ficheros automatizados con datos de carácter personal de la AEAT. • La relación tiene que ser publicada en el Boletín Oficial del Estado y comunicada a la Agencia de Protección de Datos. • Traslada los acuerdos adoptados a los Responsables y Administradores de Seguridad para su cumplimiento. • La Comisión emite directrices de seguridad (“CDIT”) por escrito y convoca periódicamente a los Administradores de Seguridad.

  20. 3. COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA DE LA AEAT DOCUMENTO DE SEGURIDAD (1) • La AEAT ha aprobado un Documento de Seguridad que determina los aspectos principales de la política de seguridad de la organización (Resolución 5/2001 de la Dirección General de la AEAT, modificada por la Resolución 4/2004). • El Documento de Seguridad se ocupa de los siguientes aspectos: • Ámbito de Aplicación. • Órganos que intervienen en la seguridad informática de la AEAT. “Servicio de Auditoría Interna. Encargado de velar por el estricto cumplimiento de las normas contenidas en este documento” • Cuestiones generales sobre las bases de datos de la AEAT.

  21. 3. COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA DE LA AEAT DOCUMENTO DE SEGURIDAD (2) • Sistemas de información accesible y ficheros que contienen dicha información. • Seguridad física. Plan de Contingencias. • Seguridad en la información de los sistemas informáticos corporativos. “... Control de Accesos: ... El Servicio de Auditoría Interna supervisará el control y podrá realizar el control de cualquier usuario.” • Seguridad de las redes y ordenadores personales. “... Se entiende por auditoría la comprobación periódica, por parte del personal encargado de esta función, del cumplimiento en todas las actividades realizadas en la organización de los procedimientos, normas y estándares fijados por la Dirección o exigibles por requisito legal.“

  22. 3. COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA DE LA AEAT DOCUMENTO DE SEGURIDAD (3) • Responsables de seguridad. • Comisión de Seguridad y Control de Informática Tributaria. “Vicepresidente: Un Inspector de los Servicios del Servicio de Auditoría Interna” • Tratamiento de incidencias. • Auditoría. Control del cumplimiento de las normas de seguridad e informe de auditoría. “El Servicio de Auditoría Interna realizará, al menos cada dos años, una auditoría de los sistemas de información e instalaciones de tratamiento de proceso de datos que verifique el cumplimiento del Documento de Seguridad y de los procedimientos e instrucciones vigentes en materia de seguridad de datos” • Responsabilidades.

  23. 4. GESTIÓN DE USUARIOS CARACTERÍSTICAS DEL SISTEMA DE GESTIÓN DE USUARIOS • La gestión de usuarios es el conjunto de operaciones cuyo objetivo es que los usuarios tengan un adecuado nivel de acceso al sistema de información de la AEAT, que les facilite el desempeño de su trabajo, garantizando la seguridad de la información. • Cada usuario dispone de un solo usuario de acceso al sistema informático de la AEAT, denominado usuario único (“simple sign on”). • Los procedimientos de gestión de usuarios y concesión de autorizaciones están formalizados, documentados y automatizados, configurando un sistema auditable. • El Administrador de Seguridad de cada ámbito, la Comisión de Seguridad y el SAI supervisan el buen funcionamiento del sistema.

  24. 4. GESTIÓN DE USUARIOS DESCRIPCIÓN DEL SISTEMA DE GESTIÓN DE USUARIOS (1) ALTA, BAJA Y REVOCACIÓN DEL CÓDIGO DE USUARIO. • A cada empleado de la AEAT se le concede un código de usuario del sistema por el Administrador de Seguridad que le corresponde y una contraseña que es personal e intransferible. • El empleado debe utilizar la contraseña únicamente para su actividad laboral en la AEAT, efectuando consultas a información o tomando decisiones en los procedimientos automatizados que implican mantenimiento de datos. • El código de usuario es revocado si el usuario efectúa varios reintentos infructuosos de acceso. • El código se da de baja cuando el empleado deja de prestar servicio en la AEAT.

  25. 4. GESTIÓN DE USUARIOS DESCRIPCIÓN DEL SISTEMA DE GESTIÓN DE USUARIOS (2) CONCESIÓN DE PERFILES Y AUTORIZACIONES. • El conjunto de autorizaciones que se concede a un nuevo usuario trata de incluir las opciones del sistema de información que va a necesitar en el desempeño de su trabajo. • A este perfil inicial se incorporan otras autorizaciones que deben ser concedidas por el autorizador competente, a solicitud de un responsable de la unidad. • Ciertas autorizaciones especiales sólo pueden ser concedidas por ciertos autorizadores o por los Administradores de Seguridad. • Los Departamentos responsables funcionales de las aplicaciones deben mantener eficazmente perfiles tipo. • Bajo ciertas condiciones, se puede revocar automáticamente la autorización de un usuarios para las opciones que no son utilizadas.

  26. 5. CONTROL DE ACCESOS CARACTERÍSTICAS DEL SISTEMA DE CONTROL DE ACCESOS • El control de los accesos es el proceso seguido para registrar los accesos de los usuarios a la información, almacenar los accesos en un soporte adecuado para su análisis y recuperación, y establecer una supervisión de esos accesos conforme a unas pautas de comportamiento aprobadas por la Dirección de la AEAT. • Los procedimientos de control de accesos están formalizados, documentados y automatizados, configurando un sistema auditable. • El Administrador de Seguridad de cada ámbito, la Comisión de Seguridad y el SAI supervisan el buen funcionamiento del sistema.

  27. 5. CONTROL DE ACCESOS DESCRIPCIÓN DEL SISTEMA DE CONTROL DE ACCESOS (1) REGISTRO DE LOS ACCESOS. • Cada vez que un usuario accede al sistema de información corporativo para una consulta o para una actividad de gestión, debe declarar el motivo del acceso. • El acceso queda registrado, con un conjunto de datos técnicos y administrativos que permiten su control posterior. • El registro de los accesos a todos los subsistemas es consolidado cada quince días por una única aplicación de control de accesos (“CONTROLA”) para toda la AEAT. • En ocasiones, se realizan controles especiales cruzando información de varias fuentes. • En la AEAT, la gestión de los usuarios y el control de accesos emplea tecnologías de análisis de información propias (“ZÚJAR”).

  28. 5. CONTROL DE ACCESOS DESCRIPCIÓN DEL SISTEMA DE CONTROL DE ACCESOS (2) CONTROL DE LOS ACCESOS. • La aplicación CONTROLA realiza un análisis de riesgo para determinar los accesos que son susceptibles de presentar una cierta incoherencia con las tareas desempeñadas por el usuario. • Los accesos seleccionados deben ser explicados por los usuarios y la justificación debe ser aceptada por el controlador del usuario en un proceso administrativo que está automatizado. • Bajo ciertas condiciones, los accesos no justificados pueden dar lugar a un expediente disciplinario. • Los resultados obtenidos en el proceso de control de los accesos retroalimentan el sistema, mediante las opciones estadísticas de CONTROLA y los informes que elaboran los Administradores de Seguridad.

  29. 6. SUPERVISIÓN POR EL SERVICIO DE AUDITORÍA INTERNA SUPERVISIÓN DEL SAI (1) • El rol del Servicio de Auditoría en la supervisión y control de la seguridad de la información se resume en: • La participación en la Comisión de Seguridad y Control de Informática Tributaria y en sus Grupos de Trabajo técnicos. • El SAI actúa como dinamizador de la Comisión de Seguridad y Control de Informática Tributaria, dirigiendo distintos Grupos de Trabajo. • La realización de actuaciones de auditoría (Inspección de los Servicios y auditoría informática), incluidas en el Plan de Actuaciones anual del SAI.

  30. 6. SUPERVISIÓN POR EL SERVICIO DE AUDITORÍA INTERNA SUPERVISIÓN DEL SAI (2) • Verificación de la gestión de la seguridad de la información realizada por los Responsables y Administradores de Seguridad, determinando entre otras cuestiones, si: • Se tramitan con rapidez las altas y bajas, así como las opciones solicitadas por los usuarios. • Se controlan de manera eficaz y en plazo los accesos a la información residente en los sistemas corporativos. • Comprobación de la infraestructuras de seguridad informática, mediante actuaciones de auditoría informática en el Departamento de Informática Tributaria, determinando entre otras cuestiones si:

  31. 6. SUPERVISIÓN POR EL SERVICIO DE AUDITORÍA INTERNA SUPERVISIÓN DEL SAI (3) • Se registran los accesos a la información de forma exhaustiva. • Se dispone de un adecuado sistema de salvaguardas y de un Plan de Contingencias. • Comprobación del cumplimiento de las instrucciones de seguridad informática, mediante actuaciones de auditoría informática en las Dependencias Regionales de Informática, determinando entre otras cuestiones si: • Las redes de área local y los equipos se configuran adecuadamente. • La información de carácter personal se protege convenientemente en los entornos de red.

More Related