Unidad 3: Proceso de Auditoría Ing. Elizabeth Guerrero

Definiciones Amenaza  una persona o cosa vista como posible fuente de peligro o catástrofe (inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.) Vulnerabilidad  la situación creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y así afectar al entorno informático (falta de control de acceso logico, de versiones, inexistencia de un control de soporte magnético, etc.).

Definiciones Riesgo  la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadísticos de cada evento de una base de datos de incidentes). Exposición o Impacto  la evaluación del efecto del riesgo. (es frecuente evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas humanas, imágenes de la empresa, honor, etc.).

Tópicos generales Determinación del área a auditar. Riesgos y contingencias

Determinación del área a auditar Planificar el área a Auditar es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: Evaluación de los sistemas y procedimientos. Evaluación de los equipos de cómputo.

Determinación del área a auditar Para analizar y dimensionar la estructura por auditar se debe solicitar: A NIVEL DEL ÁREA DE INFORMÁTICA.- Objetivos a corto y largo plazo. RECURSOS MATERIALES Y TECNICOS.- Solicitar documentos sobre los equipos, número de ellos, localización y características. Estudios de viabilidad. Número de equipos, localización y las características (de los equipos instalados y por instalar y programados) Fechas de instalación de los equipos y planes de instalación. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuración de los equipos y capacidades actuales y máximas. Planes de expansión. Ubicación general de los equipos. Políticas de operación. Políticas de uso de los equipos.

Determinación del área a auditar SISTEMAS Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información. Manual de formas. Manual de procedimientos de los sistemas. Descripción genérica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalación de los sistemas. Proyecto de instalación de nuevos sistemas.

Análisis de Riesgos El análisis de riesgo, también conocido como evaluación de riesgo, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.

Análisis de Riesgos El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente. Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.

Tipos de riesgo Riesgo inherente Riesgo de detección Riesgo de Control Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar.

RIESGO INHERENTE Cuando un error no se puede evitar que suceda porque no existen controles compensatorios relacionados que se puedan establecer.

RIESGO DE CONTROL Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno.

RIESGO DE DETECCIÓN Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay.

Esquema básico de un proceso de análisis de riesgos Etapa 1 Cuestionario Etapa 2 Identificar los riesgos Etapa 3 Caldular el impacto Etapa 4 Identificar las contramedidas y el coste Etapa 5 Simulaciones Etapa 6 Creación de los informes

Esquema básico de un proceso de análisis de riesgos Se identifican vulnerabilidades y riesgos en base a cuestionarios y se evalúa el impacto para luego identificar las contramedidas y el coste. La siguiente etapa es la más importante, mediante el juego de simulación (¿Qué pasa SI…?) se analiza el efecto de las distintas contramedidas en la disminución de los riesgos analizados, eligiendo de esta manera un plan de contramedidas (plan de seguridad) que compondrá el informe final de evaluación

Riesgos relacionados con la informática Riesgos de integridad Interfaz de usuario Procesamiento Procesamiento de errores Interfaz Administración de cambios Información Ver documento Riesgos Informáticos y seguridad

Riesgos relacionados con la informática Riesgos de relación Riesgos de acceso Procesos de negocio Aplicación Administración de la información Entorno de procesamiento Redes Nivel Físico

Riesgos relacionados con la informática Riesgos de utilidad Riesgos de infraestructura Planeación organizacional Definición de las aplicaciones Administración de seguridad Operaciones de red y computacionales Administración de sistemas de bases de datos Información / Negocio Riesgos de seguridad general (eléctrico, incendio, niveles inadecuados de energía eléctrica, radiaciones, mecanicos)

Plan de contigencia Es una estrategía planificada constituida por: Un conjunto de recursos de respaldo Una organización de emergencia y Unos procedimientos de actuación Encaminaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa

Plan de Contingencia Un Plan de contingencias contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una empresa. Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informática o tecnologías. Dada la importancia de las tecnologías en las organizaciones modernas, el plan de contingencias es el más relevante.

Fases de un plan de contingencia Análisis y Diseño: para su desarrollo se diferencias dos familias metodológicas: Análisis de Riesgos Impacto de Negocio Fase 2 Desarrollo del Plan Fase 3 Pruebas y Mantenimiento

Fase 1. Análisis y Diseño Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo, y se analiza el coste/beneficio de las mismas. Familias metodológicas: Análisis de Riesgo: se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan. Impacto de Negocio: se basan en el estudio del impacto (pérdida económica o de imagen) que ocaciona la falta de algun recurso de los que soporta la actividad del negocio. Permiten hacer estudios coste/beneficio que justifican las inversiones con más rigor que los estudios de probabilidad que se obtienen con los análisis de riesgos

Fase 2: Desarrollo del Plan Se desarrolla la estrategia seleccionada, implantándose hasta el final todas las acciones previstas. Se analiza la vuelta a la normalidad, dado que pasr de la situación normal a la alternativa debe concluirse con la restitución de la situación inicial antes de la contingencia.

Fase 3. Pruebas y mantenimiento Se definen las pruebas, sus caracterísiticas y sus ciclos, y se realiza la primera prueba como comprobación de todo el trabajo realizado, asi como mentalizar al personal implicado Se define la estrategia de mantenimiento, la organización destinada a ello y la normativa y procedimientos necesarios para llevarlo a cabo.

Plan de Contingencia Ejemplo Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.

Plan Auditor Informático Las partes de un plan auditor informático: Funciones Describir las funciones de forma precisa, y la organización interna del departamento, con todos sus recursos Procedimientos Para las distintas tareas de auditoría Tipos de Auditorías Auditoría completa de un área Limitada a un aspecto Comprobación de acciones correctivas de auditorías anteriores Sistema de Evaluación Definir varios aspectos a evaluar como gestión de recursos, cumplimiento de normas. Realizar una evaluación global de resumen para toda la auditoría Niveles: Bien, Regular o Mal (grado de gravedad)

Ciclos de Auditorías Nivel de Exposición Evaluación Frecuencia Visitas 10-9 B 18 meses R 9 meses M 6 meses 8 -7 12 meses 6 – 5 24 meses 4 -1 36 meses

Nivel de exposición El valor del nivel de exposición significa la suma de factores como impacto, peso del área, situación de control en el área En la tabla anterior se aprecia un numero del 1 al 10 definido subjetivamente y que permite en base a la evaluación final de la última auditoría realizada definir la fecha de la repetición de la misma auditoría.

Plan Auditor Informático Lista de distribución de informes Seguimiento de las acciones correctoras Plan quinqueenal Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos y deben repetirse en 4 o 5 años Plan de trabajo anual Deben estimarse tiempos de manera racional y componer un calendario que una vez terminado nos dé un resultado de horas de trabajo previstas y, por lo tanto, de los recursos que se necesitarán