ggfgfgggff

AUDITORÍA DE SISTEMAS INFORMÁTICOS

Proyectos de Auditoría Marco normativo Estándares Proyectos de Auditoría Desafíos de la Auditoría de TI Casos prácticos 3

Marco Normativo SDG AUI SIGEN SDG SIT (TI) DI AUOC DE AUSI SDG SIT- cuenta con sus propias regulaciones DE AUSI - SDG AUI: Sub. Gral. de Auditoría Interna. - DI AUOC: Dir. Auditoría de Operaciones Centrales. - DE AUSI: Dep. Auditoría de Sistemas Informáticos. - SDG SIT: Sub. Gral. de Sistemas y Telecomunicaciones. Referencias:

Marco Normativo Resolución 152/02 (SIGEN) Resolución 48/05 (SIGEN) 5

Marco Normativo – RG 152/02 (SIGEN) Resolución 152/02 (SIGEN): Instaura un cuerpo de Normas de Auditoría Interna Gubernamental. Adopta los conceptos de la Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna. Incluye tareas especificas para las Auditorías de Sistemas Informáticos.

Marco Normativo – RG 152/02 (SIGEN) Objetivos de Control Interno para TI Ciclo de vida para el desarrollo y mantenimiento de software. Calidad y atributos de la información electrónica. Documentación de Sistemas. Controles incorporados a las aplicaciones desarrolladas. Planes de continuidad y contingencia de negocios. Plan de capacitación continua de usuarios. Nivel de satisfacción.

Marco Normativo – RG 48/05 (SIGEN) Resolución 48/05 (SIGEN): NORMAS DE CONTROL INTERNO PARA TECNOLOGÍA DE LA INFORMACIÓN DEL SECTOR PÚBLICO NACIONAL. Vigente desde el año 2005.

Marco Normativo – RG 48/05 (SIGEN) Destinatarios: Responsables de los organismos. Responsables informáticos. Auditores.

Marco Normativo – RG 48/05 (SIGEN) Objetivos de Control Interno: Se incluyen pautas sobre aspectos especificos de TI Organización Informática. Plan Estratégico de TI. Arquitectura de la Información. Políticas y Procedimientos. Cumplimiento de Regulaciones Externas. Administración de Proyectos. Desarrollo, Mantenimiento o Adquisición de Software de Aplicación. Adquisición y Mantenimiento de la Infraestructura Tecnológica. Seguridad Informática.

Marco Normativo – RG 48/05 (SIGEN)

Marco Normativo – RG 48/05 (SIGEN) Ventajas: Establece un marco de control homogeneo. Resumen de Buenas Prácticas

Estándares COBIT COBIT COBIT (Control Objectives for Information and Related Technology). Se compone de 34 procesos de alto nivel y 210 objetivos de control. ISO 17799 ISO 17799 Código de Práctica para la Administración de la Seguridad de la Información. 13

Estándares - COBIT Dominios de Control OBJETIVOS DE NEGOCIO en Tecnología de Información OBJETIVOS DE NEGOCIO GOBIERNO DE TI • efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad MONITOREO PLANEACIÓN Y ORGANIZACIÓN RECURSOS DE TI • datos sistemas de aplicación tecnología instalaciones gente ADQUISICION E IMPLANTACION ENTREGA Y SOPORTE Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders//COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

Estándares - COBIT Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders /COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

Estándares - Mapping

Estándares Proceso de adopción de COBIT: 2005 – Creación de grupo mixto Auditoría + TI. 2006 – Talleres conjuntos en ISACA (Arg). 2007 – Inclusión de Objetivos COBIT en la programación de auditorías. 2008 – Adquisición de producto GRC para administración de riesgos. 2009 – Primeras auditorías evaluando procesos y riesgos con perspectiva GRC.

Proyectos de Auditorías En la actualidad en el Departamento DE AUSI se practican: Auditorias de gestión de TI (basadas en CobiT). Auditorias de sistemas aplicativos y bases de datos. Auditorias de revisión limitada (objetivo puntual y acotado en alcance). Auditorias forenses (verificaciones de hechos denunciados). Auditorias de seguridad Test de penetración y análisis de vulnerabilidades Seguridad en accesos Seguridad física Cumplimiento de las Políticas de Seguridad de la Información de AFIP

Desafios de la Auditoría de TI Ambiente auditado altamente dinámico provocado por cambios tecnológicos continuos. Necesidad de capacitación en últimas tendencias tecnológicas. Alta interrelación entre aplicaciones. Compleja trazabilidad motivada por la diversidad de plataformas. Necesidad de contar con personal con distintos perfiles y visiones profesionales. Programas diferentes para igual objetivo de control.

Casos Prácticos Marco normativo área de TI CASO 1. Auditoría de desarrollo y mantenimiento de sistemas. CASO 2. Auditoria de compras y contrataciones. 20

Marco Normativo área de TI “ Disposición N°76/05 AFIP – Manual de Políticas de Seguridad de la Información (Parte pertinente con el objeto auditado). ” Definir una apropiada segregación de funciones y separación de ambientes, a fin de no comprometer a la seguridad de la información. Introduce los conceptos de ambientes de desarrollo, prueba y homologación. Regula las responsabilidades de las áreas definidoras, homologación, control de calidad y Seguridad. Establece Ámbito de aplicación Todos los recursos informáticos de la AFIP. Las áreas responsables del desarrollo, control de calidad, homologación y puesta en producción de sistemas informáticos (SLDC). El oficial de seguridad informática participa en la definición de las pautas de seguridad que debe cumplir los sistemas desarrollados según el entorno de operativo. Las áreas responsables de la contratación de sistemas ó programas a medida. Destinatarios

Marco Normativo área de TI “Instrucción General N° 2/05 (SDG SIT) y Anexos – Pautas para el desarrollo y mantenimiento de sistemas informáticos en la AFIP. ” Objetivo Definir pautas y documentación entregable para el proceso de desarrollo y mantenimiento de sistemas que se realice dentro del ámbito de la SDG SIT. Establece Las etapas del ciclo de vida de las aplicaciones. Roles y responsabilidades. Contenidos minimos de la documentación y/o entregables de cada etapa. Vigente desde el 2005

Marco Normativo área de TI Ejemplos de contenidos mínimos En la “Fase de Definición” se utiliza el documento REQ – Requerimiento de Sistemas · Objetivo: Formalizar la necesidad de desarrollo o mantenimiento de sistema que realiza un área, indicando prioridades y la justificación del pedido. · Responsables: Este documento debe ser aprobado por el Responsable del Área Definidora. · Contenido mínimo requerido: Solicitud del requerimiento: Datos del Área Definidora, Descripción, Alcance, Beneficios y Restricciones, Impacto, Asignación de prioridad, Fecha requerida de puesta en producción. Recepción del requerimiento: Datos del Área Informática, Objetivo (nuevo desarrollo de sistemas y/o mantenimiento). En la “Fase de Implementación” se utiliza el DAP - Documento de Pase a Producción · Objetivo: Especificar la puesta efectiva en producción del sistema · Responsables: Este documento debe ser aprobado por el Responsable del Área de Control de Calidad. Fecha de Puesta en Producción. Procedimientos para verificar el buen funcionamiento del software en los aspectos operativos y de negocio (criterios de éxito). Mecanismos de recuperación ante caídas en operación. Procedimientos de restauración de versiones anteriores.

CASO 1 “Caso 1 - Auditoría de Desarrollo y Mantenimiento de Sistemas.” Objeto de la auditoría Evaluar los procedimientos o metodo-logías utilizadas en las actividades de desarrollo y mantenimiento de sistemas. Relevar y analizar el cumplimiento de la normativa aplicable y las actividades de control relativos al proceso de desarrollo y mantenimiento de sistemas, con cada una de las áreas intervinientes en el proceso. Alcance Disposición N°76/05 AFIP – Manual de Políticas de Seguridad de la Información (Parte pertinente con el objeto auditado). IG. N° 2/05 (SDG SIT) y Anexos – Pautas para el desarrollo y mantenimiento de sistemas informáticos en la AFIP. Marco Normativo

CARACTERISTICAS DEL ENTORNO A AUDITAR: CASO 1 CARACTERISTICAS DEL ENTORNO A AUDITAR: No existen en la AFIP una unica área de desarrollo, sino seis (6). Una por cada unidad de negocio y todas dependen de la SDG SIT. Diversas áreas definidoras y/o solicitantes de requerimientos. Diversidad de lenguajes y entornos de producción. La dotación es de más 600 personas Aplicativos cedidos a otros Organismos. Dirección de Informática Tributaría Dirección de Informática de Fiscalización Dep. Informática de Administración Dirección de Informática Aduanera Dir. De Inf. Rec. de la Seguridad Social Dep. Informática Jurídica y Colaborativa SDG SIT

PLANIFICACIÓN DE LA AUDITORÍA: CASO 1 PLANIFICACIÓN DE LA AUDITORÍA: El programa de auditoría se basó en el estándar COBIT y se adaptó a las particularidades de la AFIP. Constitución de varios equipos de trabajo. Se ejecutaron en dos (2) auditorías La primer auditoría abarco 3 áreas de desarrollo y la segunda incluyo a las áreas de desarrollo restantes, más las áreas de soporte y definidoras.

CASO 1 EJECUCIÓN DEL CASO 1: Elaboración de cuestionarios. Entrevistas. Visualización. Selección de muestra de los sistemas críticos. Análisis de log / Revisión de accesos, permiso y usuarios.

CASO 1 Cómo se evaluó la Disp 76/05 AFIP?: Se analizó la segregación de funciones desde distintos aspectos: a) Estructura Orgánica. - Se encuentran definidas las áreas de desarrollo, de calidad, y de homologación en la estructura del Organismo? - Funcionan independiente y responden a distintas jefaturas? b) Ambientes. - Los tareas desarrollo, control de calidad y homologación se realizan en distintos equipos y/o los ambientes son independientes? - Los usuarios de cada entorno responden al rol y la función del agente.?

CASO 1 Cómo se evaluó la IG. 02/05 SDG SIT?: Se analizó el cumplimiento de la normativa mediante la solicitud y evaluación de la calidad de la documentación de los sistemas críticos seleccionados, dando especial importancia a los siguientes aspectos: a) Participación del área definidora en los proyectos de nuevos desarrollos. b) Los controles en las etapas del ciclo de vida. c) La conformidad de las áreas de calidad.

Trabajo de Campo CASO 1 PRESENTACIÓN DE RESULTADOS: PAPEL DE TRABAJO Entrevista de Cierre - Aprobación del auditor - PAPEL DE TRABAJO (MT) Observación Informe Preliminar -IP- Informe de Auditoría Interna -IAI-

AUDITORÍA CONJUNTA Definición Características Las AUDITORÍAS CONJUNTAS son actividades que tienen por objetivo dar una opinión integral por parte de la UAI. Definición Informe Consolidado. Los destinarios son las áreas auditadas. Se consolida con los informes técnicos o complementarias de otras áreas de la UAI. Informe Técnico ó Complementario. Los destinatarios son las áreas de la UAI que consolidan. Emitir una opinión especializada (Ej. Opinión técnica informática o legal sobre un proceso contable). Características

CASO 2 “Caso 2 - Auditoría de gestión de compras y contraciones de tecnología.” Objetivo General Evaluar la gestión de la SDG SIT, con relación al proceso de compras y contrataciones. Objetivo DE AUGR Evaluar el cumplimiento del Manual de Contrataciones y la normativa vigente. Objetivo DE AUSI Evaluar la razonabilidad técnica y económica de las decisiones de compras efectuadas por el área de TI. Objeto de la auditoría Conjunta Alcance Período diciembre de 2007 a abril de 2008 Marco Normativo Disposición N°65/05 (SDG ADF) - Régimen Genaral para Contrataciones de Bienes, Servicios y Obras Públicas. Manual de Contrataciones.

CASO 2 Parámetros de evaluación DE AUSI: Análisis del requerimiento de adquisición (Dependencia tecnologíca, compromiso económico, riesgos). Evaluación del detalle documental que avala la necesidad de adquisición. La adquisición se alinea con los objetivos estratégicos de la AFIP. Detección de situaciones fuera de términos - Incumplimiento Normativo-. Intervención de la ONTI -Oficina Nacional de Tecnología de Información- sobre el cumplimiento de ETAP (Estandares Tecnologicos para la Administración Pública)

CASO 2 Tareas de Colaboración: Extracción de información de las base de datos de los sistemas informáticos usados en la gestión de compras. Selección de muestra. Análisis estadístico de la muestra.

CASO 2 Resultado: A una auditoría de cumplimiento normativo, se la enriqueció con una perspectiva técnica y económica de las decisiones de compras efectuadas por el área de TI. A partir de la auditoría, se elevó el estandard de requerimiento documental necesario para justificar una compra/contratación de tecnología.