Universidad de los Lagos AUDITORÍA INFORMÁTICA Miguel Ángel Barahona M. Ingeniero Informático, UTFSM Magíster en Tecnología y Gestión, UC PMP Certificado
Evaluaciones NF = (S1 + S2 + S3) / 3 S1, 25 de Septiembre S2, 30 de Octubre S3, 4 de Diciembre
Introducción Historia Cambios en el tiempo. Se piensa que el origen de la escritura surge como respuesta a la necesidad de auditar En el 1800 se extiende la auditoría en Reino Unido y Norteamérica En 1950 la informática se convierte en una herramienta importante en labores de auditoría. Primeros casos de fraude en los años 60’s. Surge la “Auditoría del Computador”. Cambios en el tiempo. De Sociedad Industrial a Sociedad de la Información. Empresas deben adaptarse rápidamente para sobrevivir. La COMPETENCIA GLOBAL ha llegado. Las empresas deben orientarse a operaciones cada vez más competitivas, por lo que deben aprovechar todos los avances tecnológicos. I+T son los activos más importantes para muchas organizaciones.
Auditoría Conceptos “La auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas”. Auditoría Informática, Piattini y Del Peso.
Clases de Auditoría El Objeto sometido a estudio, y la finalidad con que se realiza el estudio definen el tipo de auditoría. Entre las cuales se encuetran: Clase Objeto Finalidad Financiera Cuentas Anuales Presentar la realidad Informática Aplicaciones, recursos informáticos, planes de contingencia, etc. Operatividad eficiente y consistente con las normas establecidas Gestión Dirección Eficacia, eficiencia, economía. Cumplimiento Normas o políticas establecidas Las operaciones se adecuan a las normas.
PROCEDIMIENTOS La opinión profesional, esencial en la auditoría, se fundamenta y justifica por medio de procedimientos específicos que nos permitirán entregar una seguridad razonable de lo que se afirma. Cada una de las clases de auditoría posee sus propios procedimientos para alcanzar su fin. La amplitud y profundidad de los procedimientos que se apliquen definirán el alcance de la auditoría. La evidencia obtenida debe recogerse adecuadamente, ya que servirá de evidencia y soporte del trabajo efectuado. La introducción de las TI’s en los sistemas de información, afecta a los auditores de forma dual: Cambia el soporte objeto de su actividad La utilización de tecnología para la ejecución de sus procedimientos.
Consultoría La consultoría consiste en dar asesoramiento o consejo de carácter especializado sobre lo que se ha de hacer o como llevar adecuadamente una actividad para obtener los fines deseados. Lo anterior en base a un examen o análisis. La auditoría verifica a posteriormente si estas condiciones se cumplen y los resultados pretendidos se obtienen realmente.
Control Interno y Auditoría Informática En el pasado el control interno estaba limitado a los controles contables internos. El control interno en muchas empresas no incluía actividades operativas claves para la detección de riesgos potenciales en la organización. Hoy en día, ante la rapidez de los cambios (fusiones, alianzas estratégicas, respuestas a la competencia, etc.) las organizaciones están tomando conciencia de que para evitar fallos significativos se deben evaluar y reestructurar sus sistemas de control interno. Se debe actuar con proactividad. El auditor ha dejado de centrarse en la evaluación y la comprobación de resultados de procesos, desplazando su atención en la evaluación de riesgos de riesgos y en la comprobación de controles.
Las Funciones de Control Interno y Auditoría Informática Control Interno Informático Suele ser un staff del Área de Informática. El control interno informático controla diariamente que todas las actividades de los sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas por la organización. La misión del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados sean correctas y válidas. Debe asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo del equipo de auditoría. Realizar en los diferentes sistemas y entornos informáticos las siguientes acciones: Controles sobre la producción diaria Controles sobre la calidad y eficiencia del desarrollo y mantención de software Controles en las redes de comunicaciones Controles sobre el software base La seguridad informática (usuarios, normas de seguridad, control de información clasificada) Licencias y relaciones contractuales con terceros
Las Funciones de Control Interno y Auditoría Informática La auditoría informática es el proceso de recoger, agrupar, y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, cumple con los fines de la organización y utiliza eficientemente los recursos. El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos. Se pueden establecer tres grupos de funciones a realizar por el auditor informático: Participar en el ciclo de desarrollo de software. Revisar y juzgar los controles implantados en los sistemas informáticos para validar el cumplimientos de las normas y políticas de la organización. Revisar y juzgar los niveles de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.
Control Interno y Auditoría: Campos Análogos. Control Interno Informático Auditor Informático Similitudes Conocimientos especializados en TI Verificación de cumplimientos internos Diferencias Análisis de los controles en el día a día Informa al Gte. de Informática Personal Interno El alcance de sus funciones esta restringido al área de informática Análisis de un momento determinado Informa al Gte. Gral. Personal Interno y/o Externo Cubre toda la organización
Definición y Tipos de Controles Internos Se puede definir como control interno a cualquier actividad o acción realizada manual o automáticamente para prevenir y corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. Los objetivos de los controles informáticos se clasifican en: Controles preventivos: para tratar de evitar algún hecho no deseado. Por ejemplo, un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos trata de conocer cuanto antes el evento. Por ejemplo, registro de intento de acceso no autorizado. Controles correctivos: facilitan la vuelta atrás cuando se han producido incidentes. Por ejemplo, la recuperación de un BD a partir de copias de seguridad.
Implantación de Controles Internos Informáticos Los controles se pueden implantar en diferentes niveles Es necesario que conozcamos la configuración tecnológica de la empresa para saber donde implantar los controles, como también poder identificar riesgos. Entorno de red: topología, HW de comunicaciones, etc. Configuración de Servidores y Pc’s: SO, SW, HW. Entorno de Aplicaciones Productos y herramientas Seguridad
1.Controles Generales Organizativos Políticas: Deberán servir de base para la planificación, control y evaluación de las actividades del departamento de informática. Planificación: Plan Estratégico: Realizado por la alta dirección, en donde se definen los procesos corporativos y se considera el uso de diversas tecnologías de información, a si como las amenazas y oportunidades de su uso o ausencia. Plan Informático: Realizado por el área de informática, el cual debe cubrir las necesidades estratégicas de la compañía. Plan de Seguridad: Que garantice confidencialidad, integridad y disponibilidad de la información. Plan de emergencia ante desastres: Que garantice la disponibilidad de los sistemas ante eventos. Estándares: que regulen la adquisición de recursos,el diseño, desarrollo, modificación y explotación de sistemas.
1.Controles Generales Organizativos Procedimientos: que describan la forma y las responsabilidades de ejecución. Organizar al departamento de informática en un nivel suficientemente alto en la estructura organizativa. Definiciones claras de las funciones y responsabilidades de cada integrante de la organización. Políticas de personal: selección, plan de formación, plan de vacaciones, evaluación y promoción. Asegurar que existe una política de clasificación de la información, y las restricciones a los usuarios.
2.Controles de desarrollo, adquisición y mantenimientos de sistemas de información Metodología de Ciclo de Vida del Desarrollo de Sistemas: Su correcto empleo nos debería llevar a alcanzar los objetivos definidos para el sistema. Algunos controles que deben existir en la metodología son: La alta dirección debe publicar una normativa sobre el uso de metodología de ciclo de vida en el desarrollo de sistemas. La metodología debe establecer los papeles y responsabilidades de las distintas áreas del depto. de informática. Las especificaciones del nuevo sistema deben quedar definidas por los usuarios (stackeholders), y quedar escritas y aprobadas antes que comience el proyecto. Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos del proyecto, acompañadas de análisis coste-beneficio.
2.Controles de desarrollo, adquisición y mantenimientos de sistemas de información Cuando se seleccione una alternativa debe realizarse un plan director del proyecto, con una metodología de control de costos. Procedimientos para la definición y documentación de especificaciones Plan de validación, verificación y pruebas. Estándares de prueba de programas o sistemas Prueba de aceptación funcional final Los procedimientos de adquisición de software deberán seguir las políticas de adquicicón de la organización. La contratación de servicios externos deberá ser justificada. Deberán prepararse manuales de operación, usuario y mantenimiento como parte de todo proyecto.
2.Controles de desarrollo, adquisición y mantenimientos de sistemas de información Explotación y mantenimiento: El establecimiento de controles asegurará que los datos se tratan correctamente y que la mantención de los sistemas deberá efectuarse con las autorizaciones necesarias.
3. Controles de explotación de sistemas de información Planificación y Gestión de Recursos. Presupuesto Adquisición de Equipos Gestión de la Capacidad de Equipos Controles para usar de manera efectiva los recursos en computadores. Calendario de carga de trabajo Programación de personal Mantenimiento preventivo Gestión de problemas y cambios Procedimientos de facturación de usuarios Procedimientos de selección del software, instalación, mantención, de seguridad y control de cambios. Seguridad física y lógica.
4. Controles en Aplicaciones Control de entrada de datos: Conversión, validación y corrección de datos. Control de manipulación de datos Controles de salidas de datos
5. Controles específicos de ciertas tecnologías Controles en Sistemas de Gestión de Base de Datos (SGBD) Controles sobre el acceso a los datos y concurrencia Recuperación de la BD en caso de fallos Controles en computación distribuida y redes Procedimientos de cifrado de información sensible que viaja en la red. Detectar la correcta o mala recepción de mensajes. Revisar contratos de mantención. Controles sobre computadores personales Controles de acceso a las redes Procedimientos de control de software licenciado
Conclusión Es necesario revisar frecuentemente los controles internos para asegurarnos que el proceso funciona según lo previsto. Lo anterior es muy importante, ya que a medida que cambian los factores internos o externos, los controles que antes eran adecuados, ahora no lo son.