Auditoría Informática
2010
Definición de Auditoría
Examen de las operaciones de una empresa por especialistas ajenos a ella y con objetivos de evaluar la situación de la misma. La Auditoría requiere el ejercicio de un juicio profesional, sólido, maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos.
Definición de Auditor
Persona que realiza la Auditoría. El auditor tiene conocimientos especializados para realizar sus tareas. El auditor adquiere responsabilidad con el cliente.
El proceso de Auditoría de SI
Proveer servicios de auditoría de SI de acuerdo con las normas, pautas y mejores prácticas de auditoría de SI para ayudar a la organización en sus esfuerzos por asegurarse de que sus Sistemas de Tecnologías de la Información y de riesgos estén protegidos y controlados.
Metodologías de la Auditoría Informática
Permiten a las empresas modelar sus procesos para que se ejecuten a sus propias necesidades, proporcionan métodos utilizados para estandarizar procesos y administrar los entornos de IT.
Alcance de la Auditoría Informática
El alcance debe definir con precisión el entorno y los límites en que va a desarrollarse la Auditoría Informática. En el informe final debe figurar hasta que puntos se ha llegado y cuales fueron omitidos. La identificación de los alcances de la Auditoría Informática compromete el éxito de la misma.
1
Ing Claudia Chaparro
Auditoría Informática
2010
Control de Integridad de registros y Validación de errores
Los Registros Comunes son los que se comparten entre Aplicaciones. Si una Aplicación no tiene integrado un Registro Común, cuando quiera utilizar el Registro y no lo encuentre se generaran problemas y errores, esto tiene que ver con el Control de Integridad de Registros. El Control de Validación de errores prueba que el sistema que se utiliza para detectar y corregir errores sea eficiente.
Marco de las Mejores Prácticas de la Auditoria
Identificación: buscan definir las necesidades respecto de la auditoría, así como también las debilidades propias para determinar el objetivo a seguir. Administración de la Calidad Total: incorporan conceptos sobre la base de la mejora continua aplicada a la auditoría, como la medición y evaluación de resultados. Comunicación: obtener un proceso de comunicación interna para informar lo actuado, lo planeado y las mejoras obtenidas. Tecnología: incorporar recursos de tecnología informática al proceso de auditorias para optimizar la eficiencia, eficacia y los resultados de las revisiones. Interrelación externa: mantener relaciones profesionales con otras gerencias de auditorias para intercambiar estrategias, criterios y resultados. Agente de cambio: posicionar la auditoría como agente de cambio con el objetivo de auto evaluación del control. Reingeniería de auditoría: proyectan a los auditores como facilitadores para la auto evaluación del control.
Áreas de la Auditoría Informática
Las empresas controlan su stock y realizan inversiones informáticas. De éste sector se ocupa la Auditoría de Inversión Informática. La Auditoría de Seguridad Informática se encarga de proteger los Sistemas Informáticos. La Auditoría de Organización Informática se ocupa de los cambios estructurales en la informática y la función de la reorganización. Las actividades auditoras abarcan éstas tres áreas de inversión, de seguridad y de organización por esta razón es que se pueden presentar problemas de ineficiencia, debilidades de organización, de inversión, o de seguridad.
2
Ing Claudia Chaparro
Auditoría Informática
2010
Necesidad de una Auditoría Informática
Las Auditorías externas se realizan cuando se perciben síntomas de debilidad, son: Síntomas de descoordinación y desorganización: no coinciden los objetivos de la informática de la compañía. Los estándares de productividad de desvían. Síntomas de mala imagen e insatisfacción de los usuarios: no se atienden las peticiones de los usuarios. No se reparan las averías. No se cumplen con los plazos de entrega. Síntomas de debilidades económicas-financieras: incremento de costos. Justificar la inversión financiera. Síntomas de Inseguridad: seguridad lógica. Seguridad física. Confidencialidad.
Las Normas de la Auditoría
Las Normas de Auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor. Normas Personales: son cualidades que el auditor debe tener basados en conocimientos profesionales y entrenamiento técnico. Deber ser imparcial a la hora de dar sus sugerencias. Normas de Ejecución del trabajo: son de planificación de los métodos y procedimientos. Normas de Información: son el resultado que el auditor debe entregar. Es el informe.
Técnicas de Auditoria
Son los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias. Las técnicas se clasifican con base en la acción que se va a efectuar, pueden ser oculares, verbales o escritas.
3
Ing Claudia Chaparro
Auditoría Informática
2010
Las técnicas de Auditoría se agrupan el siguiente modo: Estudio General. Análisis. Inspección. Confirmación. Investigación. Declaración. Certificación. Observación. Cálculo.
Procedimientos de Auditoría
Son técnicas de investigación aplicables a situaciones que permiten fundamentar la opinión del auditor en el marco de una auditoría informática. A su vez los procedimientos en un conjunto forman los programas de auditorias. El plan de Auditoría esta compuesto por programas de auditoría que permiten implementar una estrategia y organización de la Auditoría Informática. Los Procedimientos de Auditoría permiten: Obtener conocimientos del control interno. Analizar las características del control interno. Verificar los resultados del control interno. Fundamentar conclusiones de la Auditoría.
4
Ing Claudia Chaparro
Auditoría Informática
2010
Plan Anual de Auditoría
Los Departamentos de Auditoría Interna utilizan un plan anual de auditoría basado en los riesgos. El plan debe reflejar y responder a esos riesgos. Desarrollado por la alta organización de los departamentos de riesgos, las unidades de negocio, procesos y controles respectivos. Queda claro que debe abordar los principales riesgos tanto a nivel de la organización y dentro de los distintos departamentos unidades o procesos. Este planteamiento centra sus esfuerzos y actividades para obtener el impacto más significativo sobre el valor agregado.
Programa de Auditoría
El Programa de Auditoría establece los procedimientos necesarios para optimizar una auditoría. Incluye los pasos para alcanzar los objetivos de auditoría. Un programa de Auditoría: Proporciona un resumen de los trabajos a realizar. Ayuda a controlar el trabajo y la asignación de responsabilidades. Ayuda en la revisión de la auditoría. Evidencia si el trabajo se planea adecuadamente. Proporciona supervisión de asignación. Garantiza que las áreas de riesgo han sido consideradas y que aspectos importantes de la auditoría no han sido omitidos.
Auditoría Interna
Es la realizada con recursos, materiales y personas que pertenecen a la empresa auditada. La Auditoría Interna existe por decisión de la propia empresa. La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, realizada para agregar valor y mejorar las operaciones de una organización. Aporta un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de la gestión de riesgos, control y los procesos.
5
Ing Claudia Chaparro
Auditoría Informática
2010
Auditoría Externa
Es realizada por personas ajenas a la empresa auditada. El auditor que realiza ésta tarea es siempre remunerado económicamente. Se presupone con mayor objetividad que en la Auditoría Interna por el distanciamiento entre auditores y auditados. Algunos motivos para realizar Auditoría Externa son: Necesidad de auditar una especialización, para la cual los recursos de la empresa no están capacitados. Contrastar algún informe de Auditoría Interna con el que resulte de la Auditoría Externa. La Auditoría Externa es necesaria para poder tener una visión desde afuera de la empresa.
Informe de Auditoria
Existen 10 reglas simples: Estado de la situación: los clientes, ejecutivos y comité de auditoría necesitan una descripción de la situación, el nivel de riesgo, medidas de recomendación correctivas. Debe ser breve y claro, no extenso. Ilustrar el riesgo: se debe comunicar la gravedad del riesgo para que se entienda la situación. Se pueden cuantificar las perdidas. Centrarse en los resultados: se debe evitar escribir “nuestra revisión” o “se observo que”. La auditoría debe informar lo que se reveló. Evitar la jerga: la auditoría tiene su propia jerga. No confiar en sinónimos: aunque la repetición de palabras puede ser inapropiado, esto es aceptable para los documentos de auditoría. Uso de sustantivos concretos: no se debe impresionar a los lectores con nombres largos y abstractos. Son mejores los sustantivos concretos para expresar una idea. No cargar oraciones: describir demasiadas ideas en una oración compromete la legibilidad del documento y confundir a los lectores.
6
Ing Claudia Chaparro
Auditoría Informática
2010
Simplificar las ideas: ayuda al lector a digerir la información. Utilizar patrones o estructura paralela. Hacer hincapié en el potencial de la mejora: se pueden lograr mejores resultados señalando la mejora en lugar de resaltar las consecuencias negativas. Evite el lenguaje negativo: la utilización de palabras negativas tiene una tendencia de oponer al lector.
Antes Durante y Después de la Auditoría
La comunicación es un elemento fundamental para una auditoría exitosa, así como también en períodos de no auditoría. Antes de la auditoría los auditores deben explicar como será el proceso de auditoría. Debe entender límites y restricciones del cliente, como días complejos de reuniones, viajes, fechas importantes, vacaciones u otros factores que podrían afectar la participación del cliente durante la auditoría. Durante la auditoría la comunicación debe ser regular y consistente para minimizar las sorpresas. Después de la Auditoría los departamentos deben hacer una reunión para realizar una capacitación y ver lo que se hizo bien, que cosas salieron mal y las futuras mejoras. La relación auditoría – empresa tiene éxito si establecen un diálogo permanente.
Aseguramiento de la Información
Es la utilización de información y de diferentes actividades operativas, con el fin de proteger la información, los sistemas de información y las redes de forma que se preserve la disponibilidad, integridad, confidencialidad, autenticación, y el no repudio, ante el riesgo de impacto de amenazas locales o remotas. El aseguramiento se da en los siguientes niveles: Aseguramiento de datos: información histórica y de probabilidad. Aseguramiento de procesos: controles internos y procedimientos. Aseguramiento del comportamiento: conformidad con normas, regulaciones y mejores prácticas. Aseguramiento del sistema de gestión: protege a todos los involucrados; directivos y empleados.
7
Ing Claudia Chaparro
Auditoría Informática
2010
Aseguramiento de la Calidad de la Información
La administración del aseguramiento de la calidad promueve que los sistemas de información logren las metas de calidad y que el desarrollo, implementación operación y mantenimiento de sistemas de información cumplan con un conjunto de normas de calidad. Mejorar la Calidad es parte de una tendencia global entre las organizaciones proveedoras para mejorar la calidad de los productos y los servicios que ofrecen, agregando valor a los controles de producción, implementación, operación y mantenimiento.
COBIT
(Control Objectives for Information and related Technology) COBIT es una herramienta de gobierno IT creada en 1996. Permite evaluar la calidad del soporte de IT actual de la organización, vinculando los distintos procesos del negocio con los recursos informáticos que los sustentan. COBIT establece un diagnóstico que permite definir las metas desde el punto de vista de la seguridad y el control que le serán de utilidad para la organización en cada uso de sus procesos, generando luego un plan de acción para alcanzar estas metas con un proceso de monitoreo acorde y mejora continua.
COBIT: Marco para el Control y la Gobernabilidad IT
Principales características: La Estructura de Cubo: es la capacidad de poder trabajar con sus objetivos de control, desde tres puntos de vista diferentes, los procesos, los recursos de IT, la información. Esta Estructura ayuda en la planificación estratégica al promover las funciones relacionadas a la gobernabilidad IT. También permite vincular las expectativas de la Dirección con las de la Gerencia IT. Dominios: los dominio principales son: Planificación y Organización; Adquisición e Implantación; Soporte y Servicios; Monitoreo. Cada uno de estos dominios están enfocados a los diferentes niveles y departamento que pueden existir en una organización. Modelo de Madurez: provee las bases para la evaluación de las principales funciones del área de IT considerando los procesos claves, a los cuales se les asignará un valor de cero a cinco, según:
8
Ing Claudia Chaparro
Auditoría Informática
2010
0.- Inexistente: ausencia total de cualquier proceso o control reconocible. 1.- Inicial: existe evidencia de que la organización ha reconocido la necesidad de mejorar los procesos o controles. 2.- Repetible: se han desarrollado procesos donde se siguen procedimientos similares por diferentes personas para la misma tarea. 3.- Definido: los procedimientos han sido estandarizados y documentados y son comunicados a través de la capacitación. 4.- Gestionado o Administrado: es posible monitorear y medir el cumplimiento de los procedimientos y tomar acciones cuando los procesos no están funcionando efectivamente. 5.- Optimizado: los procesos han sido redefinidos al nivel de las mejoras prácticas, basados en los resultados de mejoras continuas y el modelo de madurez con otras organizaciones.
ITIL Information Technology Infraestructure Library
ITIL describe las mejores prácticas que se pueden utilizar y mejor se adecuan a una organización, incluye cinco disciplinas que proporcionan a las empresas flexibilidad y estabilidad para ofrecer servicios IT. Gestión de Incidencias. Gestión de Problemas. Gestión de Cambios. Gestión de Versiones. Gestión de Configuración. Incluye también cinco disciplinas que soportan los servicios IT de Calidad: Gestión de Nivel de Servicio. Gestión de la Disponibilidad. Gestión de la Capacidad. Gestión Financiera para Servicios IT. Gestión de la Continuidad de los Servicios IT. El objetivo de ITIL en todas las disciplinas es la definición de las mejores prácticas para los procesos y responsabilidades para gestionar servicios IT.
9
Ing Claudia Chaparro
Auditoría Informática
2010
BS 7799 e ISO 17799
La norma BS 7799 es un código de buenas prácticas para la gestión de la seguridad de la información. La ISO/IEC 17799 define la seguridad de la información como la preservación de la confidencialidad, la integridad y la disponibilidad de la misma. Esta norma que define las mejores prácticas para gestión de la seguridad de la información, consta de las siguientes partes: 1.- Define un conjunto de objetivos principales e identifica un conjunto de controles de seguridad. 2.- Especifica los controles de seguridad que se pueden utilizar, basados en los resultados de la evaluación de Gestión de Riesgos. ISO/EIC 17799 establece la base para desarrollar normas de seguridad de control de las organizaciones, definiendo diez dominios de control. Política de Seguridad. Aspectos Organizativos para la Seguridad. Clasificación y Control de activos. Seguridad ligada al Personal. Seguridad física y del Entorno. Gestión de Comunicaciones y de Operaciones. Control de Accesos. Desarrollo y mantenimiento de Sistemas. Gestión de Continuidad del Negocio. Conformidad.
COSO Committee of Sponsoring Organizations
Es una herramienta que asiste en la evaluación, auditoría, documentación, mejora y seguimiento del sistema de control interno. Permite facilitar las actividades de los encargados del control interno, auditores internos y externos, y gerencias de las organizaciones ocupadas en mejorar resultados. Los componentes que se interrelacionan para alcanzar los objetivos son:
10
Ing Claudia Chaparro
Auditoría Informática
2010
Ambiente de Control: proporciona disciplina y estructura. Relaciona la integridad y competencia del personal de una organización. Evaluación de Riesgos: identificar y analizar los riesgos que se relacionan con el logro de los objetivos. Cuantificar, proyectar su probabilidad y sus posibles consecuencias. Actividades de Control: en todos los niveles y todas las funciones, incluyendo los procesos de aprobación, autorización, conciliaciones y demás. Pueden ser: Controles Preventivos; Controles Detectivos; Controles Correctivos; Controles Manuales y de Usuarios; Controles de Cómputo o de Tecnología de información y Controles Administrativos. Monitoreo y Aprendizaje: constante para asegurar que todo opera como se planeó. Las actividades de monitoreo pueden ser implantadas mediante la auditoría interna o externa. Información y Comunicación: de la información relevante oportunamente para cumplir con las correspondientes responsabilidades.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
MAGERIT es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas. Presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas y el entorno. Hace recomendaciones para conocer, prevenir, evaluar y controlar los riesgos investigados. Desarrolla el concepto de control de riesgos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales. Sus objetivos son: Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atenderlos a tiempo. Ofrecer un método sistemático para analizar los riesgos. Descubrir y planificar las medidas para mantener los riesgos bajo control. Preparar la organización para procesos de evaluación, auditoría y certificación.
11
Ing Claudia Chaparro
Auditoría Informática
2010
Sarbanes-Oxley, SOX
La Ley Sarbanes-Oxley, tiene como objetivo crear un marco transparente para las actividades de las empresas multinacionales que cotizan en la Bolsa. Contempla una revisión rigurosa de los datos financieros que una empresa declara en sus estados financieros y que utiliza para sus controles internos. El control interno tiene como principales objetivos: Efectividad y eficiencia de las operaciones. Confiabilidad de la información financiera. Cumplimiento de las normas y leyes que sean aplicables. Salvaguardia de los recursos. Esta Ley cuenta con una sección de normas y reglas ,dispone que los auditores deben incluir lo siguiente: El alcance de las pruebas del auditor de la estructura de control interno. Los hallazgos del auditor con respectos a dicha pruebas. Una evaluación sobre dicha estructura de control. Esta Ley tiene 3 secciones que involucran directamente al departamento de IT: Cláusula 302: habla de la obligación de generar reportes donde muestren el resultado financiero de la empresa y que este debe de estar evaluado en cuanto a su integridad. Cláusula 404: dice que deben existir procedimientos y políticas que aseguren la integridad de la información así como su disponibilidad. Cláusula 409: toda organización debe de notificar en menos de 48 hrs cuando uno de los procesos de la cadena de proveedores no va a ser entregado a tiempo y esto afecte de manera seria a las ventas de la organización.
12
Ing Claudia Chaparro