Download
1 / 46
560 likes | 1.6k Vues
AUDITORIA INFORMATICA. Informática II Semana No. 18 Período 2010-II Dra. Aymara Hernández Arias. Contenido. Conceptos Básicos de Auditoría Informática Justificación Objetivos Ejemplos . Primero: ¿Que es la auditoría?.
E N D
AUDITORIA INFORMATICA Informática II Semana No. 18 Período 2010-II Dra. Aymara Hernández Arias
Contenido • Conceptos Básicos de Auditoría Informática • Justificación • Objetivos • Ejemplos
Primero: ¿Que es la auditoría? Es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de funciones, actividades, tareas y procedimientos de una organización, así como dictaminar sobre el resultado de dicha evaluación. Muñoz (2002,34)
Justificación Recursos TIC´s Fuente: Rodríguez (2006)
“La productividad de cualquier organización depende del funcionamiento ininterrumpido de los sistemas TIC, transformando a todo el entorno en un proceso crítico adicional” (Rodríguez, 2006:3).
Factores que propician la Auditoría Informática Leyes gubernamentales. Políticas internas de la empresa. Necesidad de controlar el uso de equipos computacionales. Altos costos debido a errores. Pérdida de información yde capacidades de procesamiento de datos, aumentando así la posibilidad de toma de decisiones incorrectas. Valor del hardware, software y personal. Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organización.
Objetivos generales de la Auditoría en Informática • Asegurar la integridad, confidencialidad y confiabilidad de la información. • Minimizar existencias de riesgos en el uso de Tecnología de información • Conocer la situación actual del área informática para lograr los objetivos. • Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones. Auditoria de Sistemas de Barcelona (2004)
Objetivos generales de la Auditoría en Informática • Incrementar la satisfacción de los usuarios de los sistemas informáticos. • Capacitación y educación sobre controles en los Sistemas de Información. • Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información. Auditoria de Sistemas de Barcelona (2004)
Riesgo Informático La Organización Internacional de Normalización (ISO) define riesgo tecnológico (Guías para la Gestión de la Seguridad) como: La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto específico,el cual puede estarrepresentado por pérdidas y daños. SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Amenaza Acciones que pueden ocasionar consecuencias negativas en la plataforma informática disponible: fallas, ingresos no autorizados a las áreas de computo, virus, uso inadecuado de activos informáticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas eléctricas. Pueden ser de tipo lógico o físico. SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Vulnerabilidad Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se manifiestan como debilidades o carencias: falta de conocimiento del usuario, tecnología inadecuada, fallas en la transmisión, inexistencia de antivirus, entre otros. SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Impacto Consecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras. Perdida de dinero, deterioro de la imagen de la empresa, reducción de eficiencia, fallas operativas a corto o largo plazo, pérdida de vidas humanas, etc. SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Administración de Riesgos • Luego de efectuar el análisis de riesgo-impacto, el ciclo de administración de riesgo finaliza con la determinación de las acciones a seguir respecto: • Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos controles. • Eliminar el riesgo. • Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informática). • Aceptar el riesgo, determinando el nivel de exposición. SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Y...¿Qué es el control interno? Es un proceso, mediante el cual la administración, los directivos y/o la alta gerencia le proporcionan a sus actividades, un grado razonable de confianza, que le garantice la consecución de sus objetivos, tomando en cuenta: la eficacia y eficiencia de las operaciones, fiabilidad de la información financiera y cumplimiento de las leyes y normas aplicables, con la finalidad de dotar a la organización medidas preventivas, detección y corrección de errores, fallos y fraudes o sabotajes
CONTROL INTERNO. DEFINICIÓN Y TIPOS Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos. La tipología tradicional de los controles informáticos es:
¿Bajo Nivel de Vulnerabilidad? Daño a los equipos, datos o información Concreción de la Amenaza Agente Amenazante Hacker Cracker Espionaje Industrial Criminales Profesionales Usuarios (Daños intencionales o no) Objetivos: Desafío, ganancia financiera/política, daño Causa Física (Natural o no) Confidencialidad Integridad Disponibilidad • Pérdida de • Dinero • Clientes • Imagen de la Empresa
Disuasivos Preventivos Amenaza o Riesgo Plataforma Informática Operatividad Tmin Detectivo Correctivo Tratar de evitar el hecho Cuando fallan los preventivos para tratar de conocer cuanto antes el evento Vuelta a la normalidad cuando se han producido incidencias
Normas de Auditoría Informática disponibles Guía de auditoria del sistema de gestión de seguridad de la información para su protección. • COSO (Committee of Sponsoring Organizations of the Treadway Commission, EEUU 1992). • ITIL (Information Technology Infrastructure Library, Inglaterra 1990). • ISO/IEC 17799:2000 (International Organization for Standardization/International Electrotechnical Commission, Inglaterra 2000). • COBIT (Control Objectives for Information and Related Technology IT, EEUU 1998). Modelo de evaluación del control interno en los sistemas, funciones, procesos o actividades en forma íntegra. Marco referencial que evalúa el proceso de gestión de los Servicios de tecnología de información y de la infraestructura tecnología.
Referencia Bibliográfica IT GOVERNANCE INSTITUTE. 2006. COBIT 4.0. Fuente: www.isaca.org Information Systems Audit and Control Association Fundada en 1969, ISACA patrocina conferencias internacionales, publica la revista “ISACA Journal” y desarrolla estándares internacionales en control y auditoria de sistemas de información. También administra la respetada certificación a nivel mundial como Auditor de Sistemas de Información.
Marco de Trabajo de Control COBIT • Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo. • El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: • Estableciendo un vínculo con los requerimientos del negocio. • Organizando las actividades de TI en un modelo de procesos generalmente aceptado. • Identificando los principales recursos de TI utilizados. • Definiendo los objetivos de control gerencial a ser considerados.
NEGOCIO Herramientas para ayudar a asignar responsabilidades, medir el desempeño, llevar a cabo benchmarks(…) Las directrices ayudan a brindar respuestas a preguntas de la administración: ¿Qué tan lejos podemos llegar para controlar la TI?, y ¿el costo justifica el beneficio? ¿Cuáles son los indicadores de un buen desempeño? ¿Cuáles son las prácticas administrativas clave a aplicar? ¿Qué hacen otros? ¿Cómo medimos y comparamos? (IT GovernanceInstitute, 2006). Los Objetivos de Control COBIT® brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Representan el consenso de expertos. Enfocadas fuertemente en el control y menos en la ejecución. Ayudan a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien (IT Governance Instituye, 2006). Requerimientos Información TIC´S Vs. PROCESOS Controlados por Medidos por Auditados a través de Objetivos de Control Ejecutados a través de Indicadores de Desempeño Indicadores Meta Prácticas de Control Metas de Actividades Directrices de Auditoría Modelo de Madurez Traducción Implementación
Las mejores prácticas de TI se han vuelto significativas debido a un número de factores: • Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en TI. • Preocupación por el creciente nivel de gasto en TI. • La necesidad de satisfacer requerimientos regulatorios para controles de TI en áreas como privacidad y reportes financieros y en sectores específicos como el financiero, farmacéutico y de atención a la salud.
Las mejores prácticas de TI se han vuelto significativas debido a un número de factores: • La selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de servicios • Riesgos crecientemente complejos de la TI como la seguridad de redes • Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de TI, aumentar el valor del negocio y reducir los riesgos de éste.
Las mejores prácticas de TI se han vuelto significativas debido a un número de factores: • La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques desarrollados especialmente. • La madurez creciente y la consecuente aceptación de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, entre otros. • La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia (Benchmarking)
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 1 PLANEAR Y ORGANIZAR Estrategias y tácticas. Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. La visión estratégica requiere ser planeada, comunicada y administrada. Implementar una estructura organizacional y una estructura tecnológica apropiada.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. PLANEAR Y ORGANIZAR Cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 2 ADQUIRIR E IMPLEMENTAR Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la implementación e integración en los procesos del negocio.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. ADQUIRIR E IMPLEMENTAR Además para garantizar que las soluciones sigan cubre los siguientes cuestionamientos de la gerencia: ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades? ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios afectarán las operaciones actuales del negocio?
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3 ENTREGAR Y DAR SOPORTE Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3 ENTREGAR Y DAR SOPORTE Aclara las siguientes preguntas de la gerencia: •¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? •¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 4 MONITOREAR Y EVALUAR Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. MONITOREAR Y EVALUAR Abarca las siguientes preguntas de la gerencia: •¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
AI1 Identificar soluciones automatizadas • AI1.1 Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio. • Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos. • Definir los criterios de aceptación de los requerimientos. Estas iniciativas deben incluir todos los cambios requeridos dada la naturaleza del negocio, de los procesos, de las aptitudes y habilidades del personal, su estructura organizacional y la tecnología de apoyo. • Establecer procesos para garantizar y administrar la integridad, exactitud y la validez de los requerimientos del negocio, como base para el control de la adquisición y el desarrollo continuo de sistemas.
AI1.2 Reporte de análisis de riesgos Identificar, documentar y analizar los riesgos asociados con los procesos del negocio como parte de los procesos organizacionales para el desarrollo de los requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad, disponibilidad y privacidad de los datos, así como el cumplimiento de las leyes y reglamentos. AI1.3 Estudio de factibilidad y formulación de cursos de acción alternativos Desarrollar un estudio de factibilidad que examine la posibilidad de implantar los requerimientos. AI1.4 Requerimientos, decisión de factibilidad y aprobación. El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. Cada autorización va después de la terminación de las revisiones de calidad.
Modelo de Madurez Escala de medición creciente a partir de 0 (No existente) hasta 5 (Optimizado) para la evaluación de los procesos a partir de los objetivos de control (IT Governance Institute, 2006). Estado Actual de la empresa Promedio de la Industria Objetivo de la empresa
Norma COBIT • COBIT es la fusión entre prácticas de informática (ITIL, ISO/IEC 17799) y prácticas de control (COSO), las cuales plantean tres tipos de requerimientos de negocio para la información: • De calidad (calidad, costo y entrega de servicio). • Fiduciarios (efectividad y eficiencia de operaciones, confiabilidad de la información y cumplimiento de las leyes y regulaciones). • De Seguridad (confidencialidad, integridad y disponibilidad).
Terminología COBIT Efectividad: Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como la entrega oportuna sea correcta, consistente y de manera utilizable ante terceros, para poder cumplir con parte del requerimiento fiduciario. Eficiencia: Siguiendo los requerimientos del negocio de la información, en cuanto a calidad-costo, la eficiencia viene dada a través de la utilización óptima (más productiva y económica) de recursos.
Terminología COBIT Confidencialidad: Se refiere a la protección de información sensible contra divulgación no autorizada. Cumple con el principio de calidad. Integridad: Para el requerimiento de seguridad, la integridad es la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad: Se trata de la oportunidad de entrega de la información cuando ésta sea requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
Terminología COBIT Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la información: Es la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
Bibliografía Referencial • AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004). Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com (Consulta: Noviembre 2006). • ECHENIQUE GARCÍA, JOSÉ (2001). Auditoría en Informática. 2da Edición. McGraw Hill. México. • INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998). COBIT, marco referencial, objetivos de control para la información y tecnología afines. 2da Edición. • MUÑOZ RAZO, CARLOS. 2002. Auditoría en Sistemas Computacionales. Pearson-Prentice Hall. México. • RODRÍGUEZ R., FERNANDO (2006). Auditoría Informática en la Administración: un reto para los profesionales TIC. Tecnimap. Comunicación No. 043. España. • PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditoría en Informática. Un enfoque práctico. Editorial RAMA. España. • RUIZ GONZÁLEZ, FRANCISCO (1999). Planificación y Gestión de Sistemas de Información. 2da. Edición. COBIT-Universidad de Castilla. España. • SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com • VEGA, JAIME (2003). Auditoría de sistemas. Sección 9. Capítulo 53. Enciclopedia de Auditoría. Editorial Océano Centrum. España.
