Introducción a la Auditoría Informática Asignatura: Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista en Redes y Telemática La comunicación como la evidencia más significativa a la hora de tomar decisiones…

Nuestro Apoyo al Aprendizaje Nuestra intención es enriquecer la experiencia de aprender con ayuda de las TICs. www.AuditoriaInformatica.ecaths.com

Evaluación Diagnóstica - ¿qué IMPORTANCIA TIENE LA INFORMACIÓN EN LA ORGANIZACIÓN? - ¿qué es in sistema de información? - ¿qué es AUDITORIA? - ¿Qué se entiende por auditoría en informática?

BASE TEÓRICA PRINCIPAL ISACF (2006). "COBIT: Control Objectives for Information and Related Technology". The Information System Audit and Control Foundation, Illinois, EEUU. PIATTINI, M. (ed.) (2000).“Auditing Information Systems”. EEUU, Idea Group Publishing. PIATTINI, M. y DEL PESO, E. (2001). “Auditoría informática: Un enfoque práctico”. 2ª ed. Madrid, Ra-Ma. SOLER, P., PIATTINI, M. y COEIC (2006). “Contratación y gestión informática”. Barcelona, Ed. Aranzadi. UNIVERSIDAD DE CASTILLA-LA MANCHA - ESCUELA SUPERIOR DE INFORMÁTICA – CASOS - Documentos propiedad de Dr. Mario Piattini V., Dr. Ignacio García R. Compilado de MSc.Lorena Moreno Jiménez Sitios web: www.isaca.org, www.asia.org

Antecedentes Originalmente la informática se orientó al apoyo de áreas tales como contabilidad, nóminas, etc., lo que originó la necesidad de conocer y medir el apoyo que la misma realizaba en las áreas antes mencionadas, y a la empresa en general, dando paso al proceso conocido como auditoría a sistemas de información o auditoria de sistemas. Posteriormente, cubrió las áreas de negocio en todos los niveles por medio de productos y servicios variados; proliferaron el uso de computadoras personales e irrumpieron de lleno las redes locales, la integración empresarial a través de las telecomunicaciones y un sinnúmero de componentes de tecnología.

Antecedentes De este modo la tarea de los responsables de informática y los auditores de sistemas tradicionales se vió desbordada por estos acontecimientos y les imposibilitó continuar con los métodos utilizados hasta ese entonces Así surgió la necesidad del replanteamiento de fondo y forma de la auditoría en informática, conocida también como auditoría de sistemas, si bien ésta abarca solamente la revisión de los sistemas de información en desarrollo, operación y mantenimiento, siendo éste concepto inadecuado para la auditoría en informática, ya que los elementos de informática susceptibles de revisión y control son muchos y manifiestan diversas complejidades.

En la Actualidad… La auditoría en informática se encarga de evaluar y verificar políticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la información, mediante la aplicación de una metodología que debe de ejecutarse con formalidad y oportunidad. La función del auditor en informática es el de funcionar como un punto de control y confianza para la alta dirección o los dueños de la empresa, además debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de conducir siempre a la empresa a optimizar el uso de los recursos informáticos

Antecedentes Importancia de la auditoria en informática: La tecnología informática (hardware, software, redes, bases de datos, etc.) es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado La solución clara es entonces realizar evaluaciones oportunas y completas de la función informática, a cargo de personal calificado, consultores externos, auditores en informática o evaluaciones periódicas realizadas por el mismo personal de informática

Antecedentes Importancia de la auditoria en informática: Existe una obvia necesidad de auditar la función informática, ya que resulta innegable que la misma se ha convertido en una herramienta permanente y necesaria de los procesos principales de los negocios, en un aliado confiable y oportuno. Su auditoría evita errores, fallas, etc., brinda confianza a la empresa ya que el principal insumo organizacional se encuentra resguardado y permanentemente controlado.

Terminología de la auditoria en informática Informática: es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de la información por medios electrónicos, el cual comprende las áreas de la TECNOLOGÍA DE INFORMACIÓN (TI) orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluya de manera oportuna y veraz.

Terminología de la auditoria en informática Auditoria, es un proceso formal y necesario para las empresas que tiene como fin asegurar que sus activos sean protegidos en forma adecuada. Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados American Accounting Association

Terminología de la auditoria en informática Auditoria en informática. Es un proceso formal ejecutado por especialistas del área de auditoria y de informática cuyo objetivo es el de verificar y asegurar que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología informática en la organización, se realicen de manera eficiente y eficaz.

Terminología de la auditoria en informática Las actividades ejecutadas por los profesionales del área de informática y de auditoria están encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.). Dicha evaluación deberá ser la pauta para la entrega del INFORME DE AUDITORIA, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio.

SISTEMAS DE INFORMACION Sistemas de información. Son el conjunto de módulos computacionales organizados e interrelacionados de una manera formal para la administración y uso eficiente de los recursos (humanos, materiales, tecnológicos, etc.) de un área específica de la empresa (manufactura, administración, dirección, etc.) con la finalidad de representar los procesos reales del negocio y orientar los procedimientos, políticas y funciones inherentes para lograr las metas y objetivos del negocio en forma eficiente. Los sistemas de información pueden orientarse al apoyo de los siguientes aspectos: Niveles operativos del negocio Niveles tácticos del negocio Niveles estratégicos del negocio

TECNOLOGÍAS DE LA INFORMACIÓN TI TECNOLOGÍAS DE LA INFORMACIÓN

ORIGEN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Presión para incroporar tecnología en estrategias empresariales Aumento de la complejidad de los entornos de TI Infraestructuras TI fragmentadas Brecha de comunicación entre directivos y gerentes TI Niveles de servicio de TI decepcionantes tanto por parte de las funciones internas de TI como los proveedores externos Costes de TI fuera de control Productividad y ROI marginales sobre inversiones en TI Inflexibilidad organizacional Frustración por parte de los usuarios, dando lugar a soluciones ad-hoc

ORIGEN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Dependencia creciente de la información y los sistemas que la gestionan Vulnerabilidades crecientes y amplio espectro de amenazas Escalado y coste de las inversiones actuales y futuras de la información y los sistemas de información Necesidad de cumplir con leyes y regulaciones Potencial de las TI para cambiar espectacularmente las organizaciones y las prácticas empresariales, crear nuevas oportunidades y reducir costes Reconocimiento por parte de muchas organizaciones de los beneficios potenciales que las TI pueden aportar

REQUERIMIENTOS de fiabilidad de los servicios REQUERIMIENTOS legales GESTIÓN DE SISTEMAS DE INFORMACIÓN EN TI Perspectiva de la gestión de SI/TI IMPACTO en el desarrollo del negocio o actividad empresarial REQUERIMIENTOS de fiabilidad de los servicios REQUERIMIENTOS legales

Informática Jurídica 2. Derecho Informático APLICACIONES LEGALES Diferencias entre: Informática Jurídica 2. Derecho Informático

AUDITORIA DE SISTEMAS DE INFORMACION La Auditoría de Sistemas de Información nace hace más de 35 años justamente como un mecanismo para valorar y evaluar LA CONFIANZA que se puede depositar en los sistemas de información

AUDITORIA DE SISTEMAS DE INFORMACION la AUDITORIA de SI es el PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIAS para DETERMINAR si un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS

RESPONSABILIDAD EN AUDITORIA DE SI Un Auditor de Sistemas de Información debe, entre sus responsabilidades, realizar: 1. La redacción de los procedimientos de control en el área de seguridad lógica 2. La aprobación de nuevos sistemas de gestión 3. Evaluar los riesgos de los sistemas de información 4. Las pruebas del plan de continuidad del negocio

RESPONSABILIDAD EN AUDITORIA DE SI La responsabilidad en último extremo, en una empresa sobre la optimización de la calidad de los SI, y la rentabilidad de los recursos informáticos la tiene: 1. La Dirección de la empresa 2. El auditor de SI interno 3. El responsable de las Tecnologías de la Información 4. El vendedor del software y el hardware

OBJETIVOS DE LA AUDITORIA DE SISTEMAS DE INFORMACION

OPINIÓN INDEPENDIENTE OBJETIVOS DE LA AUDITORIA DE SI AUDITORÍA de SI/TIC OPINIÓN INDEPENDIENTE APOYO a la DIRECCIÓN = CONTROL INTERNO

REVISIÓN y EVALUACIÓN de todos los aspectos ISACA La Auditoría de Sistemas de Información se define como cualquier auditoría que abarca la REVISIÓN y EVALUACIÓN de todos los aspectos (o alguna sección/área) de los sistemas automatizados de procesamiento de información, incluyendo procedimientos relacionados no automáticos, y las interrelaciones entre ellos Information Systems Audit & Control Association

Se debe DISTINGUIR claramente entre: Utilización de medios informáticos en la realización de una Auditoría Realización de supervisión o control rutinario informático dentro del entorno de sistemas de información Consultoría en áreas de sistemas de información, seguridad, calidad, etc. Diagnósticos de la fortaleza o seguridad de ciertos mecanismos de seguridad como “pruebas de intrusismo”, etc.

una Auditoría de Sistemas de Información EL OBJETIVO DE una Auditoría de Sistemas de Información ES la EVALUACIÓN y EMISIÓN de una OPINIÓN OBJETIVA e INDEPENDIENTE sobre la FIABILIDAD de un sistema de información

OTROS ALCANCES DE LA EVALUACION LA AI DE SISTEMAS DE INFORMACIÓN EVALÚA: Procedimientos organizativos y operativos Sistemas en producción y participación en nuevos desarrollos La confidencialidad La integridad de la Información Eficiencia o de eficacia de los SI Cumplimiento Legal y Normativo

LA AI DE SI ESTÁ PRESENTE EN : ORGANIZACIÓN DIRECCIÓN y Gestión DESARROLLO e Implantación SERVICIOS - EXPLOTACIÓN SEGURIDAD LOGICA y FISICA CONTINUIDAD del NEGOCIO Etc.

ENTORNO DE AI DE SISTEMAS DE INFORMACION AUDITORÍA EXTERNA AUDITORÍA INTERNA CONTROL INTERNO SOFTWARE DATOS

AUDITORIA de SI INTERNA Actúa de forma continua y periódica, dentro de una planificación a corto y largo plazo, que permite incluir todas y cada una de las áreas relacionadas con TI VENTAJA: formación en el concepto de control de los auditados, y el seguimiento de la implantación de las recomendaciones VALOR AÑADIDO: actúa como control preventivo, contribuyendo a evitar que la empresa incurra en pérdidas o costes elevados

AUDITORIA de SI EXTERNA Su primera ventaja es la independencia de opinión del auditor, y que además puede aportar conocimientos técnicos que aun no se han desarrollado en la empresa, o que la empresa no tiene posibilidad de sustentar Suele solicitarse cuando la empresa detecta síntomas de riesgos de seguridad, en temas de eficiencia/ eficacia de los sistemas de información, o por requerimientos legales

COBIT

RIESGOS PROTECCION (**) MODELO DE RIESGO (*) RIESGOS VULNERABILIDAD IMPACTO PROTECCION (**) (*) Basado en el modelo "Infosec"(ref. 92/242/ECC) (**) Incluye los conceptos de control y auditoría de sistemas de información

RIESGO La probabilidad de que se dé un error, falle un proceso, o tenga lugar un hecho negativo para la empresa u organización, incluyendo la posibilidad de fraudes

CONTROL el MECANISMO o PROCEDIMIENTO que EVITA o PREVIENE un RIESGO

una seguridad razonable “el sistema de control interno en TI está constituido por las políticas, procedimientos, prácticas y estructuras organizativas diseñadas para proveer una seguridad razonable Diseñadas para que los objetivos empresariales o de negocio sean alcanzados o logrados y que los sucesos indeseados sean detectados, prevenidos y corregidos” COBIT (Governance, control and Audit for Information and Related Technology)

en procesos operativos en procesos operativos Riesgos y controles en procesos operativos MANUALES Riesgos y controles en procesos operativos AUTOMATIZADOS

COMPLEMENTARIOS e INTERDEPENDIENTES CONTROLES COMPLEMENTARIOS e INTERDEPENDIENTES

CONTROL INTERNO Revisión periódica de procedimientos de controles establecidos Detección de riesgos Seguimiento de errores o irregularidades

dificultad para implantar una adecuada segregación de funciones obtención de evidencias o pistas de auditoría relevantes, fiables y eficientes complejidad tecnológica

SEGREGACIÓN de FUNCIONES Establecer una división de roles y responsabilidades que excluyan la posibilidad que una SOLA PERSONA PUEDA DOMINAR un PROCESO CRÍTICO

¿Cuál de las siguientes tareas pueden ser realizadas por la misma persona en un centro de cómputo de procesamiento de información bien controlado? Administración de seguridad y administración de cambios Operaciones de cómputo y desarrollo de sistemas Desarrollo de sistemas y administración de cambios Desarrollo de sistemas y mantenimiento de sistemas

¿Cuál de las siguientes funciones es más probable que sea realizada por el administrador de seguridad? Aprobar la política de seguridad Probar el software de aplicación Asegurar la integridad de los datos Mantener las reglas de acceso

No admiten desviaciones POLÍTICAS Provienen de la Dirección Generalmente abarcan objetivos, las metas, filosofías, códigos éticos, y los esquemas de responsabilidades No admiten desviaciones

PROCEDIMIENTOS Brindan los pasos específicos necesarios para lograr las metas Son las medidas o dispositivos necesarias para lograr las directrices de las políticas Evolucionan con la tecnología, la estructura organizativa, y se componen de medidas organizativas y técnicas

OBJETIVO DEFINIDO de cada MECANISMO DE CONTROL En la definición de los controles debe existir un: OBJETIVO DEFINIDO de cada MECANISMO DE CONTROL Interdependencia y conexión con otros controles EVIDENCIAS

SEGREGACIÓN de FUNCIONES En los aspectos organizativos debe haber: SEGREGACIÓN de FUNCIONES IDENTIFICACIÓN de RESPONSABILIDAD INDEPENDENCIA de la SUPERVISIÓN

T.I. tienen una necesidad creciente de disponer de una La Dirección deberá decidir sobre el nivel de riesgo que está dispuesta a aceptar, ello implica equilibrar el riesgo y el costo Los usuarios de los servicios de T.I. tienen una necesidad creciente de disponer de una SEGURIDAD RAZONABLE

CONTROLES versus COSTE/BENEFICIO de los CONTROLES Todo control y medida preventiva implica un coste monetario para su IMPLANTACIÓN y MANTENIMIENTO Desembolso que puede evitar pérdidas mayores en el futuro, y por lo tanto puede dar lugar a la RECUPERACIÓN de la INVERSIÓN NO siempre es fácil IDENTIFICAR y CUANTIFICAR que riesgos pueden provocar daño o fraude, y que pérdidas concretas

ESQUEMA BÁSICO MATERIALIDAD de los RIESGOS CONTROLES NECESARIOS COMPARACION de CONTROL versus COSTE DEFINICIÓN de los CONTROLES

Un auditor de SI está auditando los controles relativos al despido/retiro de empleados. ¿Cuál de los siguientes aspectos es el más importante que debe ser revisado? El personal relacionado de la compañía es notificado sobre el despido/retiro El usuario y las contraseñas del empleado han sido eliminadas Los detalles del empleado han sido eliminados de los archivos activos de la nómina Los bienes de la compañía provistos al empleado han sido devueltos

Cuando se revisa un acuerdo de nivel de servicio para un centro de cómputo contratado con terceros (outsourcing), un auditor de SI debería PRIMERO determinar que El coste propuesto para los servicios es razonable Los mecanismos de seguridad están especificados en el contrato Los servicios contratados están basados en un análisis de las necesidades del negocio El acceso de la auditoría al centro de cómputo esté permitido conforme al contrato

Un auditor de SI que hace una auditoría de procedimiento de monitoreo de hardware debe revisar: reportes de disponibilidad del sistema reportes coste-beneficio reportes de tiempo de respuesta reportes de utilización de bases de datos

Un auditor de SI cuando revisa una red utilizada para las comunicaciones de Internet, examinará primero la validez de los casos en que se hayan efectuado cambios de contraseña la arquitectura de la aplicación cliente/servidor la arquitectura y el diseño de la red la protección de firewall y los servidores proxy