La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORÍA Auditoría de Sistemas Informáticos 1. AUDITORÍA AUDITORÍA DE SISTEMAS INFORMÁTICOS.

Presentaciones similares


Presentación del tema: "AUDITORÍA Auditoría de Sistemas Informáticos 1. AUDITORÍA AUDITORÍA DE SISTEMAS INFORMÁTICOS."— Transcripción de la presentación:

1 AUDITORÍA Auditoría de Sistemas Informáticos 1

2 AUDITORÍA AUDITORÍA DE SISTEMAS INFORMÁTICOS

3 AUDITORÍA Auditoría de Sistemas Informáticos 1 Estándares Proyectos de Auditoría Desafíos de la Auditoría de TI Marco normativo Casos prácticos

4 AUDITORÍA Auditoría de Sistemas Informáticos 1 Marco Normativo SIGEN - SDG AUI: Sub. Gral. de Auditoría Interna. - DI AUOC: Dir. Auditoría de Operaciones Centrales. - DE AUSI: Dep. Auditoría de Sistemas Informáticos. - SDG SIT: Sub. Gral. de Sistemas y Telecomunicaciones. SDG AUI SDG SIT (TI) Referencias: DI AUOC DE AUSI SDG SIT- cuenta con sus propias regulaciones

5 AUDITORÍA Auditoría de Sistemas Informáticos 1 Resolución 48/05 (SIGEN) Marco Normativo Resolución 152/02 (SIGEN)

6 AUDITORÍA Auditoría de Sistemas Informáticos 1 Marco Normativo – RG 152/02 (SIGEN) Resolución 152/02 (SIGEN): Instaura un cuerpo de Normas de Auditoría Interna Gubernamental. Adopta los conceptos de la Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna. Incluye tareas especificas para las Auditorías de Sistemas Informáticos.

7 AUDITORÍA Auditoría de Sistemas Informáticos 1 Marco Normativo – RG 152/02 (SIGEN) Objetivos de Control Interno para TI Ciclo de vida para el desarrollo y mantenimiento de software. Calidad y atributos de la información electrónica. Documentación de Sistemas. Controles incorporados a las aplicaciones desarrolladas. Planes de continuidad y contingencia de negocios. Plan de capacitación continua de usuarios. Nivel de satisfacción.

8 AUDITORÍA Auditoría de Sistemas Informáticos 1 Marco Normativo – RG 48/05 (SIGEN) Resolución 48/05 (SIGEN): NORMAS DE CONTROL INTERNO PARA TECNOLOGÍA DE LA INFORMACIÓN DEL SECTOR PÚBLICO NACIONAL. Vigente desde el año 2005.

9 AUDITORÍA Auditoría de Sistemas Informáticos 1 Marco Normativo – RG 48/05 (SIGEN) Destinatarios: Responsables de los organismos. Responsables informáticos. Auditores.

10 AUDITORÍA Auditoría de Sistemas Informáticos 1 Marco Normativo – RG 48/05 (SIGEN) Objetivos de Control Interno: Se i ncluyen pautas sobre aspectos especificos de TI Organización Informática. Plan Estratégico de TI. Arquitectura de la Información. Políticas y Procedimientos. Cumplimiento de Regulaciones Externas. Administración de Proyectos. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación. Adquisición y Mantenimiento de la Infraestructura Tecnológica. Seguridad Informática.

11 AUDITORÍA Auditoría de Sistemas Informáticos 1 Marco Normativo – RG 48/05 (SIGEN)

12 AUDITORÍA Auditoría de Sistemas Informáticos 1 Marco Normativo – RG 48/05 (SIGEN) Ventajas: Establece un marco de control homogeneo. Resumen de Buenas Prácticas

13 AUDITORÍA Auditoría de Sistemas Informáticos 1 ISO COBIT ISO COBIT (Control Objectives for Information and Related Technology). Se compone de 34 procesos de alto nivel y 210 objetivos de control. Estándares Código de Práctica para la Administración de la Seguridad de la Información.

14 AUDITORÍA Auditoría de Sistemas Informáticos 1 ADQUISICION E IMPLANTACION ENTREGA Y SOPORTE datos sistemas de aplicación tecnología instalaciones gente MONITOREO efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad RECURSOS DE TI OBJETIVOS DE NEGOCIO GOBIERNO DE TI Dominios de Control en Tecnología de Información PLANEACIÓN Y ORGANIZACIÓN Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders//COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf Estándares - COBIT

15 AUDITORÍA Auditoría de Sistemas Informáticos 1 Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders /COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf Estándares - COBIT

16 AUDITORÍA Auditoría de Sistemas Informáticos 1 Estándares - Mapping

17 AUDITORÍA Auditoría de Sistemas Informáticos 1 Estándares Proceso de adopción de COBIT: 2005 – Creación de grupo mixto Auditoría + TI – Talleres conjuntos en ISACA (Arg) – Inclusión de Objetivos COBIT en la programación de auditorías – Adquisición de producto GRC para administración de riesgos – Primeras auditorías evaluando procesos y riesgos con perspectiva GRC.

18 AUDITORÍA Auditoría de Sistemas Informáticos 1 Proyectos de Auditorías En la actualidad en el Departamento DE AUSI se practican: Auditorias de gestión de TI (basadas en CobiT). Auditorias de sistemas aplicativos y bases de datos. Auditorias de revisión limitada (objetivo puntual y acotado en alcance). Auditorias forenses (verificaciones de hechos denunciados). Auditorias de seguridad Test de penetración y análisis de vulnerabilidades Seguridad en accesos Seguridad física Cumplimiento de las Políticas de Seguridad de la Información de AFIP

19 AUDITORÍA Auditoría de Sistemas Informáticos 1 Desafios de la Auditoría de TI Desafios de la Auditoría de TI: Ambiente auditado altamente dinámico provocado por cambios tecnológicos continuos. Necesidad de capacitación en últimas tendencias tecnológicas. Alta interrelación entre aplicaciones. Compleja trazabilidad motivada por la diversidad de plataformas. Necesidad de contar con personal con distintos perfiles y visiones profesionales. Programas diferentes para igual objetivo de control.

20 AUDITORÍA Auditoría de Sistemas Informáticos 1 Marco normativo área de TI Casos Prácticos CASO 1. Auditoría de desarrollo y mantenimiento de sistemas. CASO 2. Auditoria de compras y contrataciones.

21 AUDITORÍA Auditoría de Sistemas Informáticos 1 Marco Normativo área de TI Disposición N°76/05 AFIP – Manual de Políticas de Seguridad de la Información (Parte pertinente con el objeto auditado). Disposición N°76/05 AFIP – Manual de Políticas de Seguridad de la Información (Parte pertinente con el objeto auditado). Definir una apropiada segregación de funciones y separación de ambientes, a fin de no comprometer a la seguridad de la información. Introduce los conceptos de ambientes de desarrollo, prueba y homologación. Regula las responsabilidades de las áreas definidoras, homologación, control de calidad y Seguridad. Establece Ámbito de aplicación Todos los recursos informáticos de la AFIP. Todos los recursos informáticos de la AFIP. Destinatarios Las áreas responsables del desarrollo, control de calidad, homologación y puesta en producción de sistemas informáticos (SLDC). Las áreas responsables del desarrollo, control de calidad, homologación y puesta en producción de sistemas informáticos (SLDC). El oficial de seguridad informática participa en la definición de las pautas de seguridad que debe cumplir los sistemas desarrollados según el entorno de operativo. El oficial de seguridad informática participa en la definición de las pautas de seguridad que debe cumplir los sistemas desarrollados según el entorno de operativo. Las áreas responsables de la contratación de sistemas ó programas a medida. Las áreas responsables de la contratación de sistemas ó programas a medida.

22 AUDITORÍA Auditoría de Sistemas Informáticos 1 Marco Normativo área de TI Instrucción General N° 2/05 (SDG SIT) y Anexos – Pautas para el desarrollo y mantenimiento de sistemas informáticos en la AFIP. Definir pautas y documentación entregable para el proceso de desarrollo y mantenimiento de sistemas que se realice dentro del ámbito de la SDG SIT. Objetivo Establece Las etapas del ciclo de vida de las aplicaciones. Las etapas del ciclo de vida de las aplicaciones. Roles y responsabilidades. Roles y responsabilidades. Contenidos minimos de la documentación y/o entregables de cada etapa. Contenidos minimos de la documentación y/o entregables de cada etapa. Vigente desde el 2005 Vigente desde el 2005

23 AUDITORÍA Auditoría de Sistemas Informáticos 1 Ejemplos de contenidos mínimos En la Fase de Definición se utiliza el documento REQ – Requerimiento de Sistemas · Objetivo: Formalizar la necesidad de desarrollo o mantenimiento de sistema que realiza un área, indicando prioridades y la justificación del pedido. · Responsables: Este documento debe ser aprobado por el Responsable del Área Definidora. · Contenido mínimo requerido: Solicitud del requerimiento: Datos del Área Definidora, Descripción, Alcance, Beneficios y Restricciones, Impacto, Asignación de prioridad, Fecha requerida de puesta en producción. Recepción del requerimiento: Datos del Área Informática, Objetivo (nuevo desarrollo de sistemas y/o mantenimiento). En la Fase de Implementación se utiliza el DAP - Documento de Pase a Producción · Objetivo: Especificar la puesta efectiva en producción del sistema · Responsables: Este documento debe ser aprobado por el Responsable del Área de Control de Calidad. · Contenido mínimo requerido: Fecha de Puesta en Producción. Procedimientos para verificar el buen funcionamiento del software en los aspectos operativos y de negocio (criterios de éxito). Mecanismos de recuperación ante caídas en operación. Procedimientos de restauración de versiones anteriores. Marco Normativo área de TI

24 AUDITORÍA Auditoría de Sistemas Informáticos 1 CASO 1 Caso 1 - Auditoría de Desarrollo y Mantenimiento de Sistemas. Evaluar los procedimientos o metodo- logías utilizadas en las actividades de desarrollo y mantenimiento de sistemas. Evaluar los procedimientos o metodo- logías utilizadas en las actividades de desarrollo y mantenimiento de sistemas. Objeto de la auditoría Alcance Relevar y analizar el cumplimiento de la normativa aplicable y las actividades de control relativos al proceso de desarrollo y mantenimiento de sistemas, con cada una de las áreas intervinientes en el proceso. Marco Normativo Disposición N°76/05 AFIP – Manual de Políticas de Seguridad de la Información (Parte pertinente con el objeto auditado). Disposición N°76/05 AFIP – Manual de Políticas de Seguridad de la Información (Parte pertinente con el objeto auditado). IG. N° 2/05 (SDG SIT) y Anexos – Pautas para el desarrollo y mantenimiento de sistemas informáticos en la AFIP. IG. N° 2/05 (SDG SIT) y Anexos – Pautas para el desarrollo y mantenimiento de sistemas informáticos en la AFIP.

25 AUDITORÍA Auditoría de Sistemas Informáticos 1 CASO 1 CARACTERISTICAS DEL ENTORNO A AUDITAR: No existen en la AFIP una unica área de desarrollo, sino seis (6). Una por cada unidad de negocio y todas dependen de la SDG SIT. Diversas áreas definidoras y/o solicitantes de requerimientos. Diversidad de lenguajes y entornos de producción. La dotación es de más 600 personas Aplicativos cedidos a otros Organismos. SDG SIT Dirección de Informática Tributaría Dirección de Informática de Fiscalización Dep. Informática de Administración Dirección de Informática Aduanera Dir. De Inf. Rec. de la Seguridad Social Dep. Informática Jurídica y Colaborativa

26 AUDITORÍA Auditoría de Sistemas Informáticos 1 CASO 1 PLANIFICACIÓN DE LA AUDITORÍA: El programa de auditoría se basó en el estándar COBIT y se adaptó a las particularidades de la AFIP. Constitución de varios equipos de trabajo. Se ejecutaron en dos (2) auditorías La primer auditoría abarco 3 áreas de desarrollo y la segunda incluyo a las áreas de desarrollo restantes, más las áreas de soporte y definidoras.

27 AUDITORÍA Auditoría de Sistemas Informáticos 1 CASO 1 EJECUCIÓN DEL CASO 1: Elaboración de cuestionarios. Entrevistas. Visualización. Selección de muestra de los sistemas críticos. Análisis de log / Revisión de accesos, permiso y usuarios.

28 AUDITORÍA Auditoría de Sistemas Informáticos 1 CASO 1 Cómo se evaluó la Disp 76/05 AFIP?: Se analizó la segregación de funciones desde distintos aspectos: a) Estructura Orgánica. - Se encuentran definidas las áreas de desarrollo, de calidad, y de homologación en la estructura del Organismo? - Funcionan independiente y responden a distintas jefaturas? b) Ambientes. - Los tareas desarrollo, control de calidad y homologación se realizan en distintos equipos y/o los ambientes son independientes? - Los usuarios de cada entorno responden al rol y la función del agente.?

29 AUDITORÍA Auditoría de Sistemas Informáticos 1 CASO 1 Cómo se evaluó la IG. 02/05 SDG SIT?: Se analizó el cumplimiento de la normativa mediante la solicitud y evaluación de la calidad de la documentación de los sistemas críticos seleccionados, dando especial importancia a los siguientes aspectos: a) Participación del área definidora en los proyectos de nuevos desarrollos. b) Los controles en las etapas del ciclo de vida. c) La conformidad de las áreas de calidad.

30 AUDITORÍA Auditoría de Sistemas Informáticos 1 CASO 1 PRESENTACIÓN DE RESULTADOS: Trabajo de Campo Entrevista de Cierre - Aprobación del auditor - Observación Informe Preliminar -IP- Informe de Auditoría Interna -IAI- PAPEL DE TRABAJO (MT)

31 AUDITORÍA Auditoría de Sistemas Informáticos 1 AUDITORÍA CONJUNTA Las AUDITORÍAS CONJUNTAS son actividades que tienen por objetivo dar una opinión integral por parte de la UAI. Definición Características Informe Consolidado. Los destinarios son las áreas auditadas. Los destinarios son las áreas auditadas. Se consolida con los informes técnicos o complementarias de otras áreas de la UAI. Se consolida con los informes técnicos o complementarias de otras áreas de la UAI. Informe Técnico ó Complementario. Los destinatarios son las áreas de la UAI que consolidan. Los destinatarios son las áreas de la UAI que consolidan. Emitir una opinión especializada (Ej. Opinión técnica informática o legal sobre un proceso contable). Emitir una opinión especializada (Ej. Opinión técnica informática o legal sobre un proceso contable).

32 AUDITORÍA Auditoría de Sistemas Informáticos 1 CASO 2 Caso 2 - Auditoría de gestión de compras y contraciones de tecnología. Objetivo General Evaluar la gestión de la SDG SIT, con relación al proceso de compras y contrataciones. Objetivo DE AUGR Evaluar el cumplimiento del Manual de Contrataciones y la normativa vigente. Objetivo DE AUSI Evaluar la razonabilidad técnica y económica de las decisiones de compras efectuadas por el área de TI. Objeto de la auditoría Conjunta Alcance Período diciembre de 2007 a abril de 2008 Marco Normativo Disposición N°65/05 (SDG ADF) - Régimen Genaral para Contrataciones de Bienes, Servicios y Obras Públicas. Manual de Contrataciones. Disposición N°65/05 (SDG ADF) - Régimen Genaral para Contrataciones de Bienes, Servicios y Obras Públicas. Manual de Contrataciones.

33 AUDITORÍA Auditoría de Sistemas Informáticos 1 CASO 2 Parámetros de evaluación DE AUSI: Análisis del requerimiento de adquisición (Dependencia tecnologíca, compromiso económico, riesgos). Evaluación del detalle documental que avala la necesidad de adquisición. La adquisición se alinea con los objetivos estratégicos de la AFIP. Detección de situaciones fuera de términos - Incumplimiento Normativo-. Intervención de la ONTI -Oficina Nacional de Tecnología de Información- sobre el cumplimiento de ETAP (Estandares Tecnologicos para la Administración Pública)

34 AUDITORÍA Auditoría de Sistemas Informáticos 1 CASO 2 Tareas de Colaboración: Extracción de información de las base de datos de los sistemas informáticos usados en la gestión de compras. Selección de muestra. Análisis estadístico de la muestra.

35 AUDITORÍA Auditoría de Sistemas Informáticos 1 CASO 2 Resultado: A una auditoría de cumplimiento normativo, se la enriqueció con una perspectiva técnica y económica de las decisiones de compras efectuadas por el área de TI. A partir de la auditoría, se elevó el estandard de requerimiento documental necesario para justificar una compra/contratación de tecnología.

36 AUDITORÍA Auditoría de Sistemas Informáticos 1

37 AUDITORÍA 1


Descargar ppt "AUDITORÍA Auditoría de Sistemas Informáticos 1. AUDITORÍA AUDITORÍA DE SISTEMAS INFORMÁTICOS."

Presentaciones similares


Anuncios Google