Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
AUDITORIA INFORMATICA
Contenido
• Conceptos Básicos de Auditoría
Informática
• Justificación
• Objetivos
• Ejemplos
Primero: ¿Que es la auditoría?
Es la revisión independiente que
realiza un auditor profesional,
aplicando técnicas, métodos y
procedimientos especializados, a fin
de evaluar el cumplimiento de
funciones, actividades, tareas y
procedimientos de una organización,
así como dictaminar sobre el
resultado de dicha evaluación.
Muñoz (2002,34)
Administración de la
Configuración de
Bases de Datos
Justificación
Aumento de la vulnerabilidad
Beneficios para alcanzar los objetivos
Información como recurso
estratégico
Magnitud de los costos e inversiones
TIC
Aumento de la productividad
Automatización de los procesos y
prestación de servicios
Recursos
TIC´s
Fuente: Rodríguez (2006)
“La productividad de cualquier organización depende del funcionamiento
ininterrumpido de los sistemas TIC, transformando a todo el entorno en
un proceso crítico adicional” (Rodríguez, 2006:3).
Evidencias
1 El crecimiento del acceso a Internet y de usuarios conectados
incrementa la posibilidad de concreción de amenazas informáticas.
2 Crecimiento de la información disponible de empresas y sus
empleados en redes sociales Ingeniería Social.
3 Mensajes de e-mail que contienen attachments que explotan
vulnerabilidades en las aplicaciones instaladas por los usuarios.
4 Robo de credenciales o captura ilegal de datos.
5 Acceso a redes empresariales a través de códigos maliciosos
diseñados para obtener información sensitiva.
6 En el 2009 los sectores financiero, proveedores de servicios TIC,
comercios, seguros, comunidad de Internet, empresas de
telecomunicaciones y el gobierno han sido los más vulnerables ante
las amenazas informáticas.
7 En el 2017 Symantec identificó 240 millones de programas maliciosos,
un aumento del 100% con respecto al 2016.
Fuente: Symantec (2018).
Evidencias
8 En el 2010 hubo 286 millones de nuevas ciberamenazas.
9 Junto con las redes sociales otra área de peligro en el espacio móvil
(Smartphones).
10 ¿Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el
mundo, como Estados Unidos, UK o España, han mostrado la
preocupación que tienen ante ataques que puedan afectar a la
economía del país o incluso a otras áreas, tales como las
denominadas infraestructuras críticas. También este año 2009 vimos
un ataque lanzado a diferentes páginas web de Estados Unidos y
Corea del Sur.
Previsión de tendencias de amenazas informáticas para 2010 Fuente: www.cxo-
community.com
11 Cuidar a las empresas en esos momentos no es labor fácil. Los
ataques son incesantes (al menos 10,000 amenazas circulan en la red
cada minuto), y cada año causan pérdidas por más de 650,000
millones de dólares, dice el grupo Crime-Research.org.
El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com
Fuente: Symantec (2017) e ITESPRESSO.ES (2017)..
Supervisión de los CONTROLES IMPLEMENTADOS y determinación de su eficiencia
Rol Básico de la Función de Auditoría Informática
Se requiere contar con una efectiva administración de los RIESGOS asociados con las TIC
Fuente: Rodríguez (2006)
Factores que propician la Auditoría
Informática
Leyes gubernamentales.
Políticas internas de la empresa.
Necesidad de controlar el uso de equiposcomputacionales.
Altos costos debido a errores.
Pérdida de información y de capacidadesde procesamiento de datos, aumentando así laposibilidad de toma de decisionesincorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad yconfidencialidad de las transacciones de laorganización.
Objetivos generales de la Auditoría en
Informática
• Asegurar la integridad, confidencialidad
y confiabilidad de la información.
• Minimizar existencias de riesgos en el
uso de Tecnología de información
• Conocer la situación actual del área
informática para lograr los objetivos.
• Seguridad, utilidad, confianza,
privacidad y disponibilidad en el
ambiente informático, así como también
seguridad del personal, los datos, el
hardware, el software y las instalaciones.
Auditoria de Sistemas de Barcelona (2004)
• Incrementar la satisfacción de los
usuarios de los sistemas informáticos.
• Capacitación y educación sobre
controles en los Sistemas de
Información.
• Buscar una mejor relación costo-
beneficio de los sistemas automáticos y
tomar decisiones en cuanto a
inversiones para la tecnología de
información.
Auditoria de Sistemas de Barcelona (2004)
Objetivos generales de la Auditoría en
Informática
Riesgo Informático
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la
Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la
Gestión de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto específico, el cual
puede estar representado por
pérdidas y daños.
Amenaza
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo
Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias
Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible: fallas,
ingresos no autorizados a las áreas de
computo, virus, uso inadecuado de
activos informáticos, desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.
Vulnerabilidad
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo
Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias
Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas
se materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del usuario, tecnología
inadecuada, fallas en la
transmisión, inexistencia de
antivirus, entre otros.
Impacto
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo
Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias
Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Consecuencias de la
ocurrencia de las distintas
amenazas: financieras o no
financieras.
Perdida de dinero, deterioro
de la imagen de la empresa,
reducción de eficiencia, fallas
operativas a corto o largo
plazo, pérdida de vidas
humanas, etc.
Administración de Riesgos
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación.
Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Luego de efectuar el análisis de riesgo-impacto, el
ciclo de administración de riesgo finaliza con la
determinación de las acciones a seguir respecto:
•Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
•Eliminar el riesgo.
•Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informática).
•Aceptar el riesgo, determinando el nivel de
exposición.
Y...¿Qué es el control interno?Es un proceso, mediante el cual la
administración, los directivos y/o la alta
gerencia le proporcionan a sus
actividades, un grado razonable de
confianza, que le garantice la consecución
de sus objetivos, tomando en cuenta: la
eficacia y eficiencia de las operaciones,
fiabilidad de la información financiera y
cumplimiento de las leyes y normas
aplicables, con la finalidad de dotar a la
organización medidas preventivas,
detección y corrección de errores, fallos y
fraudes o sabotajes
CONTROL INTERNO. DEFINICIÓN Y TIPOS
Cualquier actividad o acción realizada
manual y/o automáticamente para
prevenir, corregir errores o irregularidades
que puedan afectar el funcionamiento de
un sistema para conseguir sus objetivos.
La tipología tradicional de los controles informáticos es:
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daños intencionales o no)
Objetivos: Desafío,
ganancia financiera/política,
daño
Causa Física (Natural o no)
Concreción
de la
Amenaza
¿Bajo Nivel de
Vulnerabilidad?
Daño a los
equipos, datos
o información
Confidencialidad
Integridad
Disponibilidad
Pérdida de
•Dinero
•Clientes
•Imagen de la Empresa
Correctivo
Disuasivos Preventivos
Detectivo
Tmin
Plataforma Informática Operatividad
Amenaza o
Riesgo
Tratar de evitar el
hechoCuando fallan los
preventivos para
tratar de conocer
cuanto antes el
evento
Vuelta a la
normalidad cuando
se han producido
incidencias
Normas de Auditoría Informática
disponibles
• COSO (Committee of Sponsoring
Organizations of the Treadway
Commission, EEUU 1992).
• ITIL (Information Technology
Infrastructure Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000).
• COBIT (Control Objectives for
Information and Related Technology IT,
EEUU 1998).
Modelo de evaluación del
control interno en los
sistemas, funciones,
procesos o actividades en
forma íntegra.
Marco referencial que evalúa
el proceso de gestión de los
Servicios de tecnología de
información y de la
infraestructura tecnología.
Guía de auditoria del
sistema de gestión de
seguridad de la información
para su protección.
Referencia Bibliográfica
IT GOVERNANCE
INSTITUTE. 2006. COBIT
4.0. Fuente: www.isaca.org
Information Systems Audit and Control Association
Fundada en 1969, ISACA patrocina conferencias
internacionales, publica la revista “ISACA Journal” y
desarrolla estándares internacionales en control y auditoria
de sistemas de información. También administra la respetada
certificación a nivel mundial como Auditor de Sistemas de
Información.
Para que la TI tenga éxito en satisfacer los requerimientos
del negocio, la dirección debe implantar un sistema de
control interno o un marco de trabajo.
El marco de trabajo de control COBIT contribuye a estas
necesidades de la siguiente manera:
•Estableciendo un vínculo con los requerimientos del
negocio.
•Organizando las actividades de TI en un modelo de
procesos generalmente aceptado.
•Identificando los principales recursos de TI utilizados.
•Definiendo los objetivos de control gerencial a ser
considerados.
Marco de Trabajo de Control COBIT
NEGOCIO
TIC´S Vs. PROCESOS
Requerimientos Información
Indicadores
de
DesempeñoIndicadores
Meta
Modelo de Madurez
Medidos
por
Metas de
Actividades
Prácticas de
ControlDirectrices
de
Auditoría
Ejecutados a
través de
Auditados
a través
de
Objetivos de
Control
Controlados
por
Traducción Implementación
Los Objetivos de Control COBIT® brindan
buenas prácticas a través de un marco de
trabajo de dominios y procesos, y presenta las
actividades en una estructura manejable y
lógica. Representan el consenso de expertos.
Enfocadas fuertemente en el control y menos
en la ejecución. Ayudan a optimizar las
inversiones facilitadas por la TI, asegurarán la
entrega del servicio y brindarán una medida
contra la cual juzgar cuando las cosas no
vayan bien (IT Governance Instituye, 2006).
Herramientas para ayudar a asignar
responsabilidades, medir el desempeño, llevar
a cabo benchmarks (…) Las directrices
ayudan a brindar respuestas a preguntas de la
administración: ¿Qué tan lejos podemos llegar
para controlar la TI?, y ¿el costo justifica el
beneficio? ¿Cuáles son los indicadores de un
buen desempeño? ¿Cuáles son las prácticas
administrativas clave a aplicar? ¿Qué hacen
otros? ¿Cómo medimos y comparamos? (IT
Governance Institute, 2006).
Las mejores prácticas de TI se han vuelto
significativas debido a un número de factores:
•Directores de negocio y consejos directivos que demandan un
mayor retorno de la inversión en TI.
•Preocupación por el creciente nivel de gasto en TI.
•La necesidad de satisfacer requerimientos regulatorios
para controles de TI en áreas como privacidad y reportes
financieros y en sectores específicos como el financiero,
farmacéutico y de atención a la salud.
Las mejores prácticas de TI se han vuelto
significativas debido a un número de factores:
•La selección de proveedores de servicio y el manejo de
Outsourcing y de Adquisición de servicios
•Riesgos crecientemente complejos de la TI como la
seguridad de redes
•Iniciativas de gobierno de TI que incluyen la adopción de
marcos de referencia de control y de mejores prácticas
para ayudar a monitorear y mejorar las actividades críticas
de TI, aumentar el valor del negocio y reducir los riesgos de
éste.
Las mejores prácticas de TI se han
vuelto significativas debido a un
número de factores:
•La necesidad de optimizar costos siguiendo,
siempre que sea posible, un enfoque
estandarizado en lugar de enfoques
desarrollados especialmente.
•La madurez creciente y la consecuente
aceptación de marcos de trabajo respetados
tales como COBIT, ITIL, ISO 17799, ISO 9001,
entre otros.
•La necesidad de las empresas de valorar su
desempeño en comparación con estándares
generalmente aceptados y con respecto a su
competencia (Benchmarking)
Para gobernar efectivamente TI, es importante
determinar las actividades y los riesgos que
requieren ser administrados. DOMINIO 1
PLANEAR Y ORGANIZAR
Estrategias y tácticas.
Identificar la manera en que TI
pueda contribuir de la mejor
manera al logro de los objetivos
del negocio.
La visión estratégica requiere ser
planeada, comunicada y
administrada.
Implementar una estructura
organizacional y una estructura
tecnológica apropiada.
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados.
PLANEAR Y ORGANIZAR
Cubre los siguientes cuestionamientos típicos de
la gerencia: ¿Están alineadas las estrategias
de TI y del negocio?
¿La empresa está alcanzando un uso óptimo
de sus recursos?
¿Entienden todas las personas dentro de la
organización los objetivos de TI?
¿Se entienden y administran los riesgos de TI?
¿Es apropiada la calidad de los sistemas de TI
para las necesidades del negocio?
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 2
ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan la implementación e integración en los
procesos del negocio.
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados.
ADQUIRIR E IMPLEMENTAR
Además para garantizar que las soluciones
sigan cubre los siguientes cuestionamientos de
la gerencia:
¿Los nuevos proyectos generan soluciones
que satisfagan las necesidades?
¿Los nuevos proyectos son entregados a
tiempo y dentro del presupuesto?
¿Trabajarán adecuadamente los nuevos
sistemas una vez sean implementados?
¿Los cambios afectarán las operaciones
actuales del negocio?
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE
Este dominio cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación del servicio, la
administración de la seguridad y de la continuidad, el
soporte del servicio a los usuarios, la administración de los
datos y de las instalaciones operacionales.
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE
Aclara las siguientes preguntas de la
gerencia: •¿Se están entregando los
servicios de TI de acuerdo con las
prioridades del negocio? •¿Están
optimizados los costos de TI? •¿Es
capaz la fuerza de trabajo de utilizar los
sistemas de TI de manera productiva y
segura? •¿Están implantadas de forma
adecuada la confidencialidad, la
integridad y la disponibilidad?
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados. DOMINIO 4
MONITOREAR Y EVALUAR
Todos los procesos de TI deben
evaluarse de forma regular en el
tiempo en cuanto a su calidad y
cumplimiento de los requerimientos
de control.
Este dominio abarca la administración
del desempeño, el monitoreo del
control interno, el cumplimiento
regulatorio y la aplicación del gobierno.
Para gobernar efectivamente TI, es
importante determinar las actividades
y los riesgos que requieren ser
administrados.
MONITOREAR Y EVALUAR
Abarca las siguientes preguntas de la
gerencia: •¿Se mide el desempeño de TI
para detectar los problemas antes de que
sea demasiado tarde? •¿La Gerencia
garantiza que los controles internos son
efectivos y eficientes? •¿Puede vincularse
el desempeño de lo que TI ha realizado
con las metas del negocio? •¿Se miden
y reportan los riesgos, el control, el
cumplimiento y el desempeño?
Procedimientos de Selección del
Software
Evaluación del cumplimiento de los objetivos de control
basados en la Norma COBIT
¿DOMINIO?
Objetivos de Control
(PO) Planear y Organizar
(ME) Monitorear y Evaluar
(ES) Entregar y dar soporte
(AI) Adquirir e Implementar
Establecimiento inadecuado de los
requerimientos funcionales
Se detectan fallas en la puesta en
marcha del sistema automatizado
Debido a las fallas los usuarios se
resisten a utilizar el sistema
(AI1) Identificar soluciones
automatizadas
(AI2) Adquirir y mantener software
(AI3) Adquirir y mantener
infraestructura TIC
(AI4) Facilitar operación y uso
Ejemplo: Supongamos la siguiente situación…
AI1 Identificar soluciones automatizadas
AI1.1 Definición y mantenimiento de los requerimientos técnicos y
funcionales del negocio.
•Identificar, dar prioridades, especificar y acordar los requerimientos de negocio
funcionales y técnicos.
•Definir los criterios de aceptación de los requerimientos. Estas iniciativas deben
incluir todos los cambios requeridos dada la naturaleza del negocio, de los
procesos, de las aptitudes y habilidades del personal, su estructura
organizacional y la tecnología de apoyo.
•Establecer procesos para garantizar y administrar la integridad, exactitud y
la validez de los requerimientos del negocio, como base para el control de la
adquisición y el desarrollo continuo de sistemas.
AI1.2 Reporte de análisis de riesgosIdentificar, documentar y analizar los riesgos asociados con los procesos del
negocio como parte de los procesos organizacionales para el desarrollo de los
requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad,
disponibilidad y privacidad de los datos, así como el cumplimiento de las
leyes y reglamentos.
AI1.3 Estudio de factibilidad y formulación de cursos de acción
alternativosDesarrollar un estudio de factibilidad que examine la posibilidad de implantar
los requerimientos.
AI1.4 Requerimientos, decisión de factibilidad y aprobación.El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto
funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas
clave predeterminadas. Cada autorización va después de la terminación de las
revisiones de calidad.
Modelo de Madurez
Escala de medición creciente a partir de 0 (No existente) hasta 5
(Optimizado) para la evaluación de los procesos a partir de los objetivos
de control (IT Governance Institute, 2006).
No Existente
• 0
Inicial
• 1
Repetible
• 2
Definido
• 3
Administrado
• 4
Optimizado
• 5
Estado Actual de la empresa
Promedio de la Industria
Objetivo de la empresa
0 No se aplican procesos administrativos en lo absoluto
1 Los procesos son ad-hoc y desorganizados
2 Los procesos siguen un patrón regular
3 Los procesos se documentan y se comunican
4 Los procesos se monitorean y se miden
5 Las buenas prácticas se siguen y se automatizan
Norma COBIT
COBIT es la fusión entre prácticas de
informática (ITIL, ISO/IEC 17799) y prácticas
de control (COSO), las cuales plantean tres
tipos de requerimientos de negocio para la
información:
•De calidad (calidad, costo y entrega de
servicio).
•Fiduciarios (efectividad y eficiencia de
operaciones, confiabilidad de la información y
cumplimiento de las leyes y regulaciones).
•De Seguridad (confidencialidad, integridad y
disponibilidad).
Terminología COBIT
Efectividad: Se refiere a que la información
relevante sea pertinente para el proceso del
negocio, así como la entrega oportuna sea
correcta, consistente y de manera utilizable ante
terceros, para poder cumplir con parte del
requerimiento fiduciario.
Eficiencia: Siguiendo los requerimientos del
negocio de la información, en cuanto a calidad-
costo, la eficiencia viene dada a través de la
utilización óptima (más productiva y económica)
de recursos.
Terminología COBIT
Confidencialidad: Se refiere a la protección de
información sensible contra divulgación no
autorizada. Cumple con el principio de calidad.
Integridad: Para el requerimiento de seguridad,
la integridad es la precisión y suficiencia de la
información, así como a su validez de acuerdo
con los valores y expectativas del negocio.
Disponibilidad: Se trata de la oportunidad de
entrega de la información cuando ésta sea
requerida por el proceso de negocio ahora y en
el futuro. También se refiere a la salvaguarda de
los recursos necesarios y capacidades
asociadas.
Terminología COBITCumplimiento: Se refiere al cumplimiento de
aquellas leyes, regulaciones y acuerdos
contractuales a los que el proceso de negocios
está sujeto, por ejemplo, criterios de negocio
impuestos externamente.
Confiabilidad de la información: Es la
provisión de información apropiada para la
administración con el fin de operar la entidad y
para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.
Bibliografía Referencial•AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004).
Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com
(Consulta: Noviembre 2006).
•ECHENIQUE GARCÍA, JOSÉ (2001). Auditoría en Informática. 2da Edición.
McGraw Hill. México.
•INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998).
COBIT, marco referencial, objetivos de control para la información y
tecnología afines. 2da Edición.
•MUÑOZ RAZO, CARLOS. 2002. Auditoría en Sistemas Computacionales.
Pearson-Prentice Hall. México.
•RODRÍGUEZ R., FERNANDO (2006). Auditoría Informática en la
Administración: un reto para los profesionales TIC. Tecnimap. Comunicación
No. 043. España.
•PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditoría en Informática. Un
enfoque práctico. Editorial RAMA. España.
•RUIZ GONZÁLEZ, FRANCISCO (1999). Planificación y Gestión de Sistemas
de Información. 2da. Edición. COBIT-Universidad de Castilla. España.
•SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security
Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com
•VEGA, JAIME (2003). Auditoría de sistemas. Sección 9. Capítulo 53.
Enciclopedia de Auditoría. Editorial Océano Centrum. España.