UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Septiembre del 2012 Normas de Auditoria A UDITORIA DE S ISTEMAS

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Riesgos-Definición Es el potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasione pérdida o daño a los activos Es la posibilidad que un evento, o su ausencia, afecte negativamente la habilidad de la organización para lograr sus objetivos

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: AMENAZAS: Password cracking Exploits Escalamiento de privilegios Keylogging Puertos vulnerables abiertos Violación de la privacidad de los empleados Fraudes informáticos Destrucción de equipamiento Spamming Robo o extravío de notebooks, palms Robo de información Mails anónimos con agresiones Ingeniería social Acceso indebido a documentos Destrucción de soportes documentales Virus Acceso clandestino a redes Falsificación de información para terceros VULNERABILIDADES: Inadecuado compromiso por la dirección Personal no capacitado y concientizado Inadecuada asignación de responsabilidades Ausencia de controles Ausencia de reportes de incidentes y vulnerabilidades Servicios de log inexistentes o que no son chequeados Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Eval. del proceso de adm. de riesgo El Proceso Identificar a los activos de información Analizar las vulnerabilidades de los activos Identificar y evaluar los controles propuestos.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Identificar y evaluar controles Identificando controles Identificar los controles existente. Evaluar controles adicionales o compensatorios Categorizar los controles: efectividad eficiencia. Selección de medidas preventivas El costo del control en comparación con el beneficio de reducir el riesgo Predisposición de aceptar riesgos de la Gerencia Métodos de reducción de riesgos (aceptar, reducir, transferir, eliminar)

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Identificando elementos de riesgo Activos Amenazas Vulnerabilidades Impactos Riesgo global Riesgo inherente Riesgo residual

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES “Las políticas, prácticas y las estructuras organizativas diseñadas para brindar garantía adicional de que se lograrán los objetivos del negocio y se impedirán o detectarán o corregirán los acontecimientos no deseados”. Un objetivo de control es una declaración del resultado o del propósito que se desea alcanzar mediante la implementación de controles en una actividad partícular.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES Objetivos de control interno (COSO) Objetivos de control de los sistemas de información (COBIT) Procedimientos de control de los sistemas de información Son controles que aplican a todas las funciones dentro de una organización (controles generales) Clasificación del control Preventivos Detectivos Correctivos

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES - PREVENTIVOS FUNCION Descartar problemas antes de que surjan Monitorear tanto las operaciones como el ingreso de datos Tratar de predecir los problemas antes de que estos ocurran y hacer ajustes Impedir que ocurra un error, una omisión o un acto malicioso EJEMPLOS Emplear solo personal calificado Segregar las tareas (factor disuasivo) Controlar el acceso a las instalaciones físicas Uso de documentos bien diseñados (evitar errores) Establecer procedimientos adecuados para autorizar transacciones Uso de software de control de accesos

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES - DETECTIVOS FUNCION Controles que detectan que ha ocurrido un error, una omisión o un acto malicioso y lo reportan EJEMPLOS Totales o subtotales de control Puntos de verificación en las tareas de producción Controles de interrupción en las telecomunicaciones Mensajes de error Doble verificación en los cálculos Revisión periódica de reportes con variación Reporte de cuentas vencida Función de auditoria interna de TI

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES - CORRECTIVOS FUNCION Minimizar el impacto de una amenaza Remediar problemas descubiertos por los controles de detección Identificar la causa de un problema Modificar el o los sistemas de procesamiento para minimizar que el problema ocurra en el futuro EJEMPLOS Planificación de contingencias Procedimientos de copias de seguridad Procedimientos de nueva ejecución de programas

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES – OTROS TIPOS

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC EJEMPLOS DE CONTROLES

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC EJEMPLOS DE CONTROLES

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC EJEMPLOS DE CONTROLES

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC MATRIZ DE CONTROLES

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de evaluación de controles El control debe ser evaluado en: DISEÑO:- Análisis conceptual de oportunidad y orientación a minimizar un riesgo relevante. EFICACIA OPERATIVA:- Pruebas y evidencia de funcionamiento efectivo del control.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Pruebas de cumplimiento vs sustantivas La recolección de evidencias con el fin de comprobar el cumplimiento de una organización con procedimientos de control La recolección de evidencias para evaluar la integridad de las transacciones individuales, los datos u otra información

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de auditoria -Evidencias Cualquier información usada por el auditor de IT para determinar si la entidad o los datos que están siendo auditados cumplen con los criterios u objetivos de auditoria establecidos Independencia del proveedor de la evidencia Calificación de la persona que suministra la información o evidencia Objetividad de la evidencia

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de auditoria -Evidencias Independencia del proveedor de la evidencia La evidencia obtenida de fuentes externas es más confiable que la obtenida dentro de la organización Calificación de la persona que suministra la información o evidencia Siempre se debe considerar la calificación e idoneidad de la fuente de la información, si el auditor no tiene entendimiento del área o competencia técnica apropiada debe entender completamente la prueba Objetividad de la evidencia La evidencia objetiva es mejor que la evidencia que requiere opinión o interpretación considerable

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de auditoria -Evidencias Se debe estimas tanto la CALIDAD (Competente) como la CANTIDAD (Suficiente) de evidencias. La evidencia es competente cuando es tanto VÁLIDA como RELEVANTE Técnicas de recolección de evidencias Revisar la estructura de Organización de IT Revisar las normas de documentación de los SI Entrevistar al personal apropiado Observar los procesos y el desempeño de los empleados

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de auditoria - Muestreo Métodos Generales: Muestreo Estadístico: método objetivo para determinar el tamaño de la muestra y para escoger criterios. Muestreo no estadístico: o a criterio, se usa el criterio del auditor y están basadas en criterios subjetivos

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de auditoria - Muestreo Métodos Primarios: Muestreo de atributos: aplicado en pruebas de cumplimiento. Es la presencia o ausencia del atributo y provee conclusiones que expresan coincidencias. Muestreo de variables: aplicado en situaciones de pruebas sustantivas, se ocupa de las característica de la población que varían ($) y provee conclusiones relacionadas con desviación de la norma

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CAAT (Técnicas de auditoria asistida por computadora) Generadores de datos de prueba Utilidades estándar Paquetes de biblioteca de software Pruebas integradas Instantánea Archivo de revisión del sistema de control de auditoria Software especializado de auditoria

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CAAT - VENTAJAS Generadores de datos de prueba Utilidades estándar Paquetes de biblioteca de software Pruebas integradas Instantánea Archivo de revisión del sistema de control de auditoria Software especializado de auditoria

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Informe de Auditoria El informe de auditoría, es el documento final del proceso auditor, que sintetiza el resultado del cumplimiento de los objetivos definidos en el memorando de asignación de auditoría, en el plan de trabajo y el resultado de las pruebas adelantadas en la ejecución Objetivos del informes Registrar los resultados de la auditoría adelantada correspondientes al periodo auditado. Describir de manera precisa, clara y concisa los hallazgos determinados durante el proceso auditor. Comunicar e informar públicamente la opinión sobre la razonabilidad de los estados financieros y/o el concepto sobre la gestión y resultados obtenidos por el auditado.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Atributos del Informe de Auditoria Preciso Diga lo que tiene que decir. Es conveniente ser exacto (puntual) en cada frase y en el informe completo. Su redacción debe ser sencilla, clara, ordenada, coherente y en orden de importancia. Conciso La redacción debe ser breve pero sin omitir lo relevante, la brevedad permite mayor impacto. Se debe buscar la forma de redactar los hallazgos en forma concreta, pero sin dejar de decir lo que se tiene que decir sobre la condición (situación detectada); asimismo, se debe incluir el criterio de auditoría, la causa y el efecto, aspectos que muestren claramente el impacto que tiene la situación detectada por la CGR. Objetivo Todos los hallazgos deben reflejar una situación real, manejada con criterios técnicos, analíticos e imparciales. Soportado Las afirmaciones, conceptos, opiniones y hallazgos, deben estar respaldadas con evidencia válida, suficiente, pertinente y competente. Oportuno Debe cumplir los términos de elaboración, consolidación, entrega, comunicación y publicidad.