1 Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información y Apoyo Sindicatura de Comptes de la Comunitat Valenciana Vitoria, 7 de mayo de 2009 AUDITORÍA DE SISTEMAS DE INFORMACIÓN (SI) Y EL CONTROL EXTERNO DEL SECTOR PÚBLICO

2 ¿Qué es la auditoría de SI? AUDITORÍA DE SI La auditoría de Sistemas de Información (SI) consiste en la emisión de una opinión (por parte de un auditor de sistemas de información independiente) en base a un trabajo de auditoría realizado de acuerdo con unas normas concretas, sobre: si los sistemas de información de una entidad se gestionan de forma que existe una alineación entre ellos y los objetivos generales de la entidad, si garantizan la integridad, disponibilidad y confidencialidad de la información contenida en los sistemas de información, si se gestionan los activos del sistema de manera económica, eficiente y eficaz. si se protegen adecuadamente los activos. También es una auditoría de SI un trabajo de las características indicadas, limitado a alguno o algunos de los aspectos a que nos hemos referido, en cuyo caso el alcance del trabajo deberá quedar perfectamente identificado en el informe resultado del trabajo.

3 Funciones de los órganos de control externo a las que aporta valor la auditoría de SI: Evaluación de la economía y eficiencia derivada del uso más o menos intensivo de las Tecnologías de la Información por los entes fiscalizados Evaluación de la eficacia mediante la verificación de la alineación de los SI de los entes con sus objetivos corporativos Análisis y comprensión de los controles informáticos implantados por los entes auditados: correcta evaluación del riesgo de auditoría Apoyo a los equipos de fiscalización en la explotación de la información rendida en soporte informático Emisión de recomendaciones para mejorar los niveles de seguridad en los SI auditados que permitan incrementar los niveles de disponibilidad, integridad y confidencialidad de la información los entes auditados AUDITORÍA DE SI

4 Tipos de auditoría de SI en función de su alcance: Revisión general de los SI y de las aplicaciones: Opinión de auditoría sobre SI general Revisión limitada a los controles implantados en los SI y a las aplicaciones que gestionan los procesos de negocio fiscalizados: apoyo a las auditorías financieras, de legalidad y operativas Otros tipos: LOPD, intrusión, seguridad, limitadas a otros aspectos de los SI. … AUDITORÍA DE SI

5 PASOS PARA LA IMPLANTACIÓN DE LA AUDITORÍA DE SI EN LOS ÓRGANOS DE CONTROL EXTERNO Inclusión en los objetivos estratégicos de la función de auditoría de sistemas: toma de decisiones Planificación de la implantación de la auditoría de SI en un órgano de control externo Asignación de funciones los puestos de trabajo Formación y capacitación del personal Asesoramiento necesario, en su caso. Inicio de la actividad Evaluación de resultados AUDITORÍA DE SI

6 Aportación de la auditoría de SI a la actividad de los OCEX respecto a la gestión de la actividad de los entes fiscalizados: 1)Concienciación en materia de seguridad y gestión de los SI en las entidades fiscalizadas: integridad, disponibilidad y confidencialidad de la información. 2)Control y protección de los activos de SI 3)Análisis y detección de riesgos en los SI: - Alineación de la gestión de SI con los objetivos y funciones corporativos de la entidad pública. - Ausencia de segregación de funciones en las gestores de los sistemas. - Control de accesos a los SI - Políticas de antivirus y detección de intrusos - Aprobación de políticas de seguridad de la información - Existencia de planes de continuidad de negocio - Cumplimiento regulatorio: LOPD, licencias software, … - Seguimiento (monitorización) sobre los accesos a activos de SI críticos. - Normas sobre ciclo de vida de desarrollo del software - Test de intrusión AUDITORÍA DE SI

7 4)Análisis y detección de riesgos en los procesos de negocio gestionados a través de aplicaciones informáticas -Ausencia de segregación de funciones en los usuarios de las aplicaciones. - Implantación y efectividad de controles de aplicación. 5)Recomendaciones de mejora en la gestión de los SI: Economía, eficiencia y eficacia en la gestión de los SI y, en consecuencia, de los niveles generales de EEE de la entidad. AUDITORÍA DE SI

8 Creación de la función de auditoría de sistemas en la Sindicatura de Comptes de la Comunitat Valenciana: -Formación del personal (cursos auditor SI CISA de ISACA): actualmente 6 personas con la formación, 2 de ellas en posesión de la certificación CISA. -Creación del Gabinete Técnico y del puesto de trabajo de la Unidad de Auditoría de SI y apoyo -Contratación de asesoramiento especializado -Inicio de las auditorías de SI con el trabajo coordinado de los equipos tradicionales que cuentan con formación en auditoría de sistemas y la unidad de auditoría de sistemas -Firma de un convenio marco de colaboración entre Sindicatura de Comptes e ISACA-CV AUDITORÍA DE SI

9 Costes de la implantación de la auditoría de sistemas en la actividad de los OCEX: 1)Costes de personal: Puestos de trabajo asignados a esta tarea 2)Costes de formación: técnicas muy especializadas 3)Costes de asesoramiento inicial (mayores) y costes de asesoramiento puntual una vez se cuenta con un equipo formado. AUDITORÍA DE SI

10 AUDITORÍA DE SI Se impone un análisis coste-beneficio en los que hay que considerar: Dependencia de los entes fiscalizados de los SI Aportación de los SI a la economía y eficiencia de su actividad Riesgos derivados del uso intensivo de SI por parte de los entes fiscalizados Previsiones sobre la evolución en el uso de Tecnologías de la Información por los entes fiscalizados Posible incidencia de las auditorías de SI sobre la gestión de los aspectos anteriores por los entes auditados Verificación de la calidad de la evidencia informática

11 AUDITORÍA DE SI Informes de la Sindicatura de Comptes de la Comunitat Valenciana que contienen una revisión de los SI de la entidad fiscalizada (disponibles en -Ciegsa y Vaersa Ciegsa y Vaersa IMPIVA 2007 y Fundación Palau de les Arts Reina Sofia 2007

12 AUDITORÍA DE SI Resumen de incidencias detectadas en uno de los casos: a) Respecto a controles generales -La entidad no cuenta con un plan de recuperación de negocio - No dispone de plan de concienciación de seguridad de la información -Usuarios genéricos, procedimientos de gestión de usuarios inadecuados o políticas de autenticación débiles -Debilidades en las medidas de protección física del CPD - Aplicaciones web con acceso desde Internet no seguras - Inexistencia de metodología formal de desarrollo de aplicaciones (formalización requisitos previos, documentación, pruebas)

13 AUDITORÍA DE SI b) Respecto a controles de aplicación - Ausencia de controles en la aplicación para la contratación: se puede facturar por importe superior al presupuesto, se pueden introducir facturas anteriores al contrato, es posible registrar dos veces la misma factura. - No están implementados en la aplicación determinados procedimientos. - Ausencia de validaciones de datos de entrada. - Los perfiles de capacidades de algunos usuarios no se adecuan a las funciones de sus puestos. - Ausencia segregación de funciones usuarios departamento financiero.

14 AUDITORÍA DE SI Recomendaciones efectuadas sobre controles generales: -Definir un plan de continuidad de negocio - Definir una estrategia de concienciación de la seguridad - Adecuar las normas de gestión de usuarios y autenticación - Actualizar el firewall con protección antiintrusos e implementar protocolos de acceso seguro por Internet (https). - Definir las normas de desarrollo de aplicaciones de acuerdo con los estándares generalmente aceptados.

15 AUDITORÍA DE SI Recomendaciones efectuadas sobre los controles de aplicación: -Definir procedimiento para la aprobación de encomiendas anticipadas y desarrollar un procedimiento para su gestión - Adecuar e implementar los controles de aplicación: controles validación de datos, y sobre determinadas fases del proceso de gasto - Incrementar los controles del módulo de facturación - Implementar una política de formación sobre el uso de la aplicación

16 AUDITORÍA DE SI En las siguientes fichas se muestra el grado de implantación de las recomendaciones realizadas en la revisión de seguimiento realizada en el ejercicio siguiente.

17 AUDITORÍA DE SI Seguimiento recomendaciones efectuadas sobre controles generales:

18 AUDITORÍA DE SI Seguimiento recomendaciones efectuadas sobre controles de aplicación:

19 AUDITORÍA DE SI Valor de los informes para los entes auditados: - Aportación de una opinión externa sobre sus sistemas de información - Subsanación de vulnerabilidades detectadas - Mejora integridad, disponibilidad y confidencialidad de la información - Valoración y reconocimiento de la función del área de sistemas de información de las entidades: positiva para que se aprueben los presupuestos de estos departamentos - Seguimiento de recomendaciones

20 AUDITORÍA DE SI Contribuir a prevenir:

21 AUDITORÍA DE SI Contribuir a prevenir:

22 AUDITORÍA DE SI Contribuir a prevenir:

23 AUDITORÍA DE SI Contribuir a favorecer:

24 AUDITORÍA DE SI Contribuir a favorecer: