Servicio de Auditoría Interna Auditoría de Sistemas de Información Auditoría de Sistemas de Información Servicio de Auditoría Interna Fernando Rodríguez Rivadulla Colaborador de Auditoría (CISA)

Servicio de Auditoría Interna Índice  Estrategia para la Auditoría de Sistemas de la Información  Esquema Organizativo  Auditor Informático  Estándares y Normas Técnicas  Planificación de Actuaciones  Proceso de Auditorías de Sistemas de Información  Guión para Auditorías de Sistemas de Información  Informes de Auditorías de Sistemas de Información

Servicio de Auditoría Interna Estrategia para la Auditoría de Sistemas de Información Necesidad de definir una estrategia  Las TIC han acompañado la automatización y el crecimiento  La información y los recursos TIC como activos de las organizaciones  Dependencia de las TIC Implicación de la Dirección  Incremento vulnerabilidad de los sistemas  Dar respuesta a la dependencia de la información  Importancia costes e inversiones TIC  Potencial de las TIC para introducir cambios  Desconfianza en los procedimientos automatizados

Servicio de Auditoría Interna Objetivos de las Administraciones Públicas:  Cumplimiento de la legalidad vigente  Eficacia  Eficiencia Auditoría Sistemas de Información > Supervisión de los riesgos de los sistemas de información que pudieran afectar al cumplimiento de la legalidad vigente, la eficiencia y la eficacia de los procesos soportados por los sistemas de información, en especial los de la administración electrónica. Estrategia para la Auditoría de Sistemas de Información

Servicio de Auditoría Interna Estrategia para la Auditoría de Sistemas de Información

Servicio de Auditoría Interna Esquema Organizativo  Independencia  Autoridad

Servicio de Auditoría Interna Esquema Organizativo Mandato para una Auditoría Interna

Servicio de Auditoría Interna Esquema Organizativo Mandato para una Auditoría Externa

Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información (I) Actuaciones de apreciación independiente para supervisar el control establecido A- Actividades básicas  Dirección o Gobierno de las TIC (Gobernanza TIC)  Supervisar el control interno TIC  Supervisar la gestión de riesgos TIC

Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información (II)  Protección de datos de carácter personal  Control de accesos  Administración Electrónica  Equipamiento informático  Seguridad sistemas  Desarrollo y mantenimiento de aplicaciones  Explotación de sistemas de información  Contratación bienes y servicios TIC  Técnica de sistemas  Continuidad del servicio TIC  Acreditación de confianza

Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información (III) B- Acciones proactivas Participación en el ciclo de control  Asegurar existencia de controles internos razonables y adecuados  Divulgar y fomentar las buenas prácticas  Fomentar la documentación de los sistemas y procedimientos  Asesorar en la implementación de pistas de auditoría  Asesorar en las salvaguardas de activos  Asegurar eficiencia gestión recursos

Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información (IV) C- Auditoría forense Desafío ante delitos informáticos, garantizando la evidencia digital que se presentase en un proceso judicial.  Recuperar información  Determinar cusa y origen de una situación  Identificar autor(es) acciones ilícitas  Identificar uso inapropiado de los medios de la Organización

Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información (V) D- Apoyo en auditorías externas Supervisión de auditores externos. E- Apoyo a otras áreas de Auditoría Asistencia para la obtención, estructuración y análisis de la información.

Servicio de Auditoría Interna Auditor Informático Áreas de Conocimiento (certificables)  Técnica o metodología de auditoría informática  Gestión, planificación y organización de las TIC  Infraestructura técnica, prácticas operativas y protección de activos  Recuperación de desastres y continuidad de la actividad  Desarrollo, adquisición, implementación y mantenimiento de sistemas  Evaluación de procesos y gestión de riesgos

Servicio de Auditoría Interna Auditor Informático Otras características (no certificables)  Comprender procesos de gestión y normativa legal  Identificar problemas y plantear soluciones  Llenar vacío de comunicación entre dirección, usuarios y técnicos  Saber comunicar  Negociar situaciones de conflicto  Saber cuando solicitar asistencia

Servicio de Auditoría Interna Estándares y Normas Técnicas Principios  Salvar brechas entre riesgos del proceso de gestión, necesidades de control y aspectos técnicos  Determinar el alcance de las actuaciones e identificar los controles mínimos  Observar e incorporar estándares y regulaciones nacionales o internacionales Hechos  Adecuar técnicas auditoría tradicionales a los controles de las TIC  Generar resultados homogéneos  Organizar los trabajos (tipificar tareas)  Emplear distintos referentes según tipo de auditoría  Estándares basados en buenas prácticas

Servicio de Auditoría Interna Estándares y Normas Técnicas 1)Instrumentos de normalización de las Administraciones Públicas en España  Normas de Auditoría del Sector Público de la IGAE: No son específicas a la auditoría de sistemas de información  MAGERIT Versión 2: Es la metodología de análisis y gestión de riesgos de los sistemas de información.  Modelo EFQM de Excelencia: Es una orientación de la Fundación Europea para la Gestión de la Calidad que contempla algunos criterios que hacen referencia a las TIC  Serie Seguridad de las Tecnologías de la Información del Centro Criptográfico Nacional (CCN-STIC)

Servicio de Auditoría Interna Estándares y Normas Técnicas 2)Instrumentos de normalización de las Administraciones Públicas en EE.UU.  Government Auditing Standars (GAGAS): Son las normas de aplicación para el General Accountability Office (GAO) de EE.UU.  Federal Information System Controls Audit Manual (FISCAM): Una guía metodológica que aplica las normas del GAO y del NIST.  Serie de Publicaciones Especiales SP-800 del Instituto Nacional de Estándares y Tecnología (NIST)

Servicio de Auditoría Interna Estándares y Normas Técnicas 3)Prácticas y recomendaciones de asociaciones internacionales (I)  Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (The Institute of Internal Auditors)  Asociación de Auditoría y Control de Sistemas de Información (ISACA)  Control Objetives for Information and Related Technologies (COBIT)  IS Standars, Guidelines and Procedures for Auditing and Control Professionals  Information Technology Infraestructure Library (ITIL)

Servicio de Auditoría Interna Estándares y Normas Técnicas 3)Prácticas y recomendaciones de asociaciones internacionales (II)  Modelo de Madurez de las Capacidades Integrado para el Desarrollo (CMMI) del Instituto de Ingeniería del Software (SEI)  Instituto SANS (SysAdmin, Audit, Network, Security)  Normalización internacional ISO:  Gestión de Servicios de las Tecnologías de la Información (IT Service Management): ISO/IEC 20000:2005  Seguridad de la Información: Familia ISO/IEC  Criterios comunes de evaluaci ó n de la seguridad de las tecnolog í as de la informaci ó n ISO/IEC 15408:2005 (Common Criteria for Information Technology Security Evaluation)

Servicio de Auditoría Interna Planificación de Actuaciones Qué auditar  Cumplimiento de requerimientos legales  Sensibilidad de la organización a riesgos / resultado de análisis  Resultado de auditorías anteriores  Condicionantes de la Organización Cuándo auditar  Priorizar las actuaciones detectadas y ajustando el alcance a los recursos disponibles y las demandas de la dirección  Elaborar el documento de planificación periódica de la unidad de auditoría  Revisión periódica del plan inicial para incorporar actuaciones no previstas Cómo auditar  Proceso para planificar las actuaciones individuales

Servicio de Auditoría Interna Planificación de Actuaciones Análisis de riesgos Sensibilidad de la Dirección Requerimientos legales Prioridades de la Organización Situaciones de riesgo inicialmente no previstas Plan de Actuaciones de Auditoría Actuación 1Actuación 2Actuación n.... Tarea 2 Tarea 1 Tarea n

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información PLANIFICACIÓN DE ACTIVIDADES  Identificar la información a recopilar  Identificar las tareas de campo  Identificar interlocutores  Recursos necesarios/disponibles  Responsabilidades de los miembros del equipo auditoría  Calendario tentativo

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Identificar el Alcance de la Actuación  Que se quiere comprobar  Que se pretende demostrar  Que se va a informar Obtención de Información Preliminar  Actividad llevada a cabo por el área a auditar  Esquema de control interno (políticas, normas, etc.)  Estándares de referencia  Informes anteriores  Familiarizarse con el entorno tecnológico a auditar

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Identificar Objetivos Detallados  Evaluación preliminar para identificar objetivos de control  Identificar posibles condicionantes  Grado de extensión acorde al alcance Auditorías de cumplimiento:  Modelo de control de referencia  Existencia de controles  Adecuación y eficacia de los controles  Proporcionalidad Auditorías operativas:  Modelo de control de referencia  Planificación y gestión de controles  Aseguramiento de los controles  Oportunidad de introducir cambios

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información FORMALIZACIÓN DEL INICIO DE LA ACTUACIÓN  Notificación del responsable de la unidad de auditoría al responsable del área a auditar  Reunión del equipo auditor con el responsable de la unidad a auditar para comunicar:  Alcance de los trabajos  Necesidad/obligación de colaboración  Interlocutor del equipo auditor Se debe tener presente no interferir con el trabajo realizado por el área auditada

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información TRABAJOS DE CAMPO Técnicas Recolección de Evidencias  Revisión de documentos  Entrevistas  Observación del trabajo realizado  Pruebas y verificaciones  Uso de herramientas

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - CAAT (I)  Obtención de información de los SI  Recolección de evidencias de los SI  Creación de muestras para realizar pruebas Ventajas  Aseguran independencia en la recolección de datos  Disminuyen el riesgo propio del proceso de auditoría  Mayor cobertura y consistencia de la pruebas

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Características  Productos informáticos ad-hoc o herramientas de los sistemas  Acceso a distintas estructuras o formatos de datos  Aplicación de criterios de selección  Reorganización de la información obtenida  Funciones estadísticas y aritméticas Precauciones  El acceso a los datos reales por los auditores debe ser siempre sólo en modo lectura  Los datos extraídos deben aislarse del entorno de producción para evitar que las manipulaciones alteren los originales  El empleo de herramientas que puedan causar perturbaciones debe ser limitado Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - CAAT (II)

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - CAAT (III) Ejemplos  Logs: contienen el registro de actividad  Utilidades de sistema: contienen los parámetros que implementan las políticas de control  Software generalizado de auditoría: acceso a archivos, selección de datos, reorganización, etc.  Software específico: herramientas empleadas con un propósito concreto

Servicio de Auditoría Interna Guión para Auditorías de Sistemas de Información GUIÓN El GUIÓN es la herramienta fundamental de apoyo para el auditor que documenta el proyecto de la auditoría  Identifica que tareas se deben efectuar durante la actuación  Cuantifica los medios necesarios  Define la secuencia de los trabajos  Para que el equipo comprenda lo que debe realizar y obtenga una visión del conjunto

Servicio de Auditoría Interna Guión para Auditorías de Sistemas de Información ESTRUCTURA DEL GUIÓN 1. Punto(s) de control objetivos de control detallados En función del objetivo y alcance de la actuación se habrán establecido objetivos de control detallados => apartados del guión. Identifica lo que se va a supervisar del sistema de control. 2. Directriz de auditoría tareas a efectuar  Desarrollan los Puntos de control señalando las tareas a efectuar, antes o durante la actuación.  Determinan los medios y técnicas necesarios para cada punto de control  Limitadas por el desarrollo de la función de auditoría en la Organización

Servicio de Auditoría Interna Guión para Auditorías de Sistemas de Información Esquema COBIT para el guión Secuencia de las actividades

Servicio de Auditoría Interna Informes de Auditorías de Sistemas de Información Contenidos del Informe de Auditoría

Servicio de Auditoría Interna Informes de Auditorías de Sistemas de Información Ejemplos de Informes de Auditorías Sistemas de Información Elaboración propia  Basado en actuaciones reales  Cumplimiento de políticas e instrucciones Georgia Department of Audits and Accounts  Informe sistema información para la gestión del IVA  Informe de seguimiento National Audit Office  Informe de calidad de la información Impuesto Renta  Progreso en información y servicios on-line Goverment Accountabillity Office  Uso de datos adquiridos  Desafío en el uso del correo electrónico

Servicio de Auditoría Interna Fernando Rodríguez Rivadulla