gtag 06 global technology audit guide
TRANSCRIPT
-
8/14/2019 GTAG 06 Global Technology Audit Guide
1/12
Global Technology Audit
Guide
GUIA 06:
Manejar y Auditarvulnerabilidades de TI
-
8/14/2019 GTAG 06 Global Technology Audit Guide
2/12
GTAG Global Technology Audit Guide
Importancia
Segn US National vulnerability database:
5.000 nuevas cada ao.
40% de ellas son de severidad.
Consecuencias?.
-
8/14/2019 GTAG 06 Global Technology Audit Guide
3/12
GTAG Global Technology Audit Guide
Con esta guia
Conocer el proceso de administrar
vulnerabilidades.
Revisar el ciclo de evaluacin devulnerabilidades.
Diferenciar alta y baja administracin de
vulnerabilidades.
-
8/14/2019 GTAG 06 Global Technology Audit Guide
4/12
GTAG Global Technology Audit Guide
Baja admin. de vulnerabilidad
Vulnerabilidades en numero mayor a lasaceptables*.
Incapacidad de definir las
vulnerabilidades. Incapacidad de asociar los riesgos.
Pobre relacin entre admin. de TI y
seguridad de TI. Falta de evaluaciones de admin. de
sistemas / manejo de configuraciones.
-
8/14/2019 GTAG 06 Global Technology Audit Guide
5/12
GTAG Global Technology Audit Guide
Admin. efectiva
Identificar y solucionar vulnerabilidades,
administrando el riesgo.
Tener un conocimiento de lasvulnerabilidades.
Soluciones de acuerdo al riesgo.
Evaluacin continua de vulnerabilidades. Utilizar la mejor tecnologa posible.
-
8/14/2019 GTAG 06 Global Technology Audit Guide
6/12
GTAG Global Technology Audit Guide
Labor del Auditor
Conocer y evaluar los controles.
Generar medidas de contencin
preventivas y correctivas.
Informar al nivel superior sobre las
vulnerabilidades y su administracin.
-
8/14/2019 GTAG 06 Global Technology Audit Guide
7/12
GTAG Global Technology Audit Guide
Ciclo de evaluacin
-
8/14/2019 GTAG 06 Global Technology Audit Guide
8/12
GTAG Global Technology Audit Guide
Ciclo de vida
Stop theSpread
Set OLAs
Automate
Past - Future
Mitigate
Create aMitigation
Process
Assess Risks
Prioritize
Vulerabilities
ScopingSystems
Detecting
Validate
Identificationand Validation
Risk Assessmentand Prioritization
RemediationContinuous
Improvement
-
8/14/2019 GTAG 06 Global Technology Audit Guide
9/12
GTAG Global Technology Audit Guide
10 preguntas a realizar
Qu porcentaje de los sistemas sonmonitoreados o escaneados?
Cuntas vulnerabilidades unicas existen
en su empresa? Qu porcentaje de los sistemas son
manejados?
Qu porcentaje de vulnerabilidades sehan validado?
Cul es el retraso para validar?
-
8/14/2019 GTAG 06 Global Technology Audit Guide
10/12
GTAG Global Technology Audit Guide
Qu porcentaje ha sido remediado en el ultimo
periodo?
Que nivel de aceptacin de nivel operacional
(OLA) existe. Cunto del trabajo de seguridad es no
planeado?
Cuntos incidentes ha tenido en el ultimo xx? Cul ha sido el costo de los ultimos xx
incidentes de seguridad?
-
8/14/2019 GTAG 06 Global Technology Audit Guide
11/12
-
8/14/2019 GTAG 06 Global Technology Audit Guide
12/12
GTAG Global Technology Audit Guide
Preguntas?