El proceso de auditoria de sistemas de

Información. Capitulo 1 - CISA -

Introducción El objetivo de esta área es garantizar

que se obtengan los conocimientos necesarios para proporcionar servicios de auditoria en conformidad con los estándares y mejores practicas de auditoria para apoyar a la organización a validar que su IT y sus sistemas de negocio estén protegidos y controlados.

Esta área representa el 10 % del examen CISA

Tareas

T1.1 Desarrollar una estrategia de ASI basada en los riesgos de la organización en cumplimiento con estándares y directrices.

T1.2 Planear auditorias especificas para validar que la TI y los sistemas de negocio estén protegidos y controlados.

T1.3 Llevar a cabo auditorias en conformidad con los estándares para lograr los objetivos planeados.

Tareas

T1.4 Comunicar los hallazgos emergentes, riesgos potenciales y los resultados de la AI a los accionistas clave.

T1.5 Asesorar sobre la implantación de la administración de riesgos y las practicas de control dentro de la organización al tiempo que se mantiene la independencia.

Declaraciones de conocimiento (KS)KS1.1 Estándares, directrices y procedimientos

de ASI y el código de ética de ISACA.

KS1.2 Practicas y técnicas de auditoria de SI.

KS1.3 Técnicas para recopilar información y preservar la evidencia (investigación, entrevistas técnicas de auditoria asistidas por computadora (CAATs), etc.).

KS1.4 Ciclo de vida de la evidencia.

KS1.5 Objetivos de control y de los controles relacionados con SI (eje. COBIT).

KS

KS1.6 Evaluación de riesgos en un contexto ASI.

KS1.7 Técnicas de planeación y de administración de la auditoria.

KS1.8 Técnicas de reporte y comunicación.

KS1.9 Autoevaluación del control (CSA).

KS1.10 Técnicas de auditoria continua.

Relación entre tarea y KSLas declaraciones de tarea son lo que

se espera que el auditor sepa hacer, las KS delinean el conocimiento necesario para realizar las tareas.

TAREA: En su cuaderno escriba el mapeo de las declaraciones de tarea y de conocimiento (Pág. 18)

Administración de la función de ASIRecordamos que los servicios de ASI pueden

ser provistos interna o externamente.Internamente: puede ser un grupo

independiente o formar parte de la auditoria financiera.Los estándares de ISACA requieren un estatuto de

auditoria para establecer claramente las responsabilidades, objetivos, autoridad y obligación de rendir cuentas aprobado por el nivel mas alto de dirección.

Externamente: el alcance y objetivos deben ser documentados en un contrato formal o declaración de trabajo.

Administración de los recursos de ASILos estándares ISACA requieren competencia

profesional a través de una educación profesional continua, considerando las habilidades cuando se asigne personal para tareas especificas.

Se deberá diseñar un plan anual detallado de capacitación basado en la dirección de la organización, y revisarse semestralmente para asegurar que las necesidades estén de acuerdo con la dirección que esta tomado la organización.

La dirección debería también proveer los recursos necesarios (software, escaners, etc.)

Planeación de la auditoriaPlaneación Anual: esta constituida por la

planeación a corto y largo plazo.Corto plazo: toma en cuenta los aspectos

relevantes que serán cubiertos durante el año.Largo plazo: aspectos relacionados con riesgos

debido a cambios en la dirección estrategia de TI.

El análisis de los aspectos relevantes debe hacerse por lo menos una vez al año para tomar en cuenta los nuevos aspectos de control, cambios de entorno, de tecnología, procesos de negocio, etc., para su posterior evaluación y aprobación por parte de la alta dirección.

Planeación de la auditoriaAsignaciones de auditoria individual

Además de la planeación general, cada tarea individual debe ser planeada adecuadamente.

El auditor de SI debe tener entendimiento general del ambiente a revisar, esto incluye, las practicas del negocio, las funciones, los tipos de SI y la tecnología que se utiliza.

El auditor de SI deberá estar familiarizado con el marco regulatorio en el que opera el negocio.

Planeación de la auditoriaAsignaciones de auditoria individual

Pasos para realizar la planeación:1. Lograr un entendimiento de la misión,

objetivos, propósitos, y los procesos del negocio.

2. Identificar contenidos específicos tales como políticas, estándares y estructura de la organización.

3. Realizar un análisis de riesgos.4. Llevar a cabo una revisión de los

controles internos relacionados con TI.5. Establecer el alcance y los objetivos de

la auditoria.

Planeación de la auditoriaAsignaciones de auditoria individual

Pasos para realizar la planeación:6. Desarrollar el enfoque o la estrategia

de auditoria.7. Asignar recursos humanos a la

auditoria.8. Dirigir la logística del trabajo de

auditoria.

Los estándares ISACA requieren que el auditor planee el trabajo para alcanzar los objetivos y cumplir con los estándares profesionales, tomando en consideración los puntos relevantes del área auditada y su infraestructura tecnológica.

Planeación de la auditoriaAsignaciones de auditoria individual

Pasos que un auditor podría tomar para lograr un entendimiento del negocio.1. Recorrido de las instalaciones de la

organización2. Lectura de antecedentes (informes,

análisis financieros independientes, etc.)

3. Revisión de los planes estratégicos de TI a largo plazo.

4. Entrevistas a los gerentes clave para entender pormenores del negocio.

Planeación de la auditoriaAsignaciones de auditoria individual

5. Revisión de informes anteriores relacionados con TI (provenientes de auditorias externas o internas).

6. Identificar las regulaciones especificas aplicables a TI.

7. Identificar las funciones de TI o las actividades relacionadas que han sido contratadas externamente.

Otro componente básico de la planeación es lograr correspondencia entre los recursos disponibles y las tareas definidas en el plan.

Efecto de las leyes y regulaciones sobre la planificación de ASIToda organización debe cumplir con

requerimientos gubernamentales relacionados con las practicas y controles de TI, asi como la forma en que los datos se procesan, transmiten y almacenan.

Se debe prestar especial atención a las industrias con marco regulatorio estricto (bolsa de valores, bancos, etc.)

En vario países, los ISP están sujetos a leyes especificas de confidencialidad y disponibilidad.

Efecto de las leyes y regulaciones sobre la planificación de ASILos auditores deben revisar la política

sobre privacidad respecto al flujo de datos al cruzar fronteras.

Un ejemplo de practicas sólidas de control es la ley Sarbens-Oxley de los Estados Unidos, la cual requiere evaluar los controles de TI de una organización.

Tarea: investigue la ley Sarbens-Oxley y su relación con IT

Estándares y directrices de ISACA para ASICódigo de ética profesional de ISACA

Tarea: escriba en su cuaderno el código de ética profesional de los miembros de la asociación.

Nota: No se espera que se memoricen todas las palabras contenidas en los estándares, los candidatos serán examinados respecto a su comprensión y aplicación en una situación dada.

Estándares y directrices de ISACA para ASIMarco de estándares

El carácter especializado de ASI requieren estándares aplicables globalmente, la divulgación de estos es la piedra angular de la contribución profesional de ISACA.

Los objetivos son informar:A los auditores sobre el nivel mínimo

requerido de desempeño aceptable para cumplir con las responsabilidades profesionales.

A la gerencia sobre las expectativas de la profesión en relación con el trabajo de los auditores.

Estándares y directrices de ISACA para ASIMarco de estándares

Niveles de los estándares:Los estándares: definen los

requerimientos obligatorios para la ASI y para los informes.

Las directrices: brindan una guía para aplicar los estándares, el auditor debe tenerlas en cuenta y usar su juicio profesional al aplicarlas.

Los procedimientos: estos documentos brindan información sobre la manera de cumplir los estándares cuando se esta realizando un trabajo de ASI.

Estándares y directrices de ISACA para ASIEstándares de auditoria.Tarea: en su cuaderno, hacer un resumen de

los 13 estándares (S1-S13)

Directrices: su objetivo es proveer información adicional sobre como cumplir los estándares, el auditor debería:Considerarlos para determinar como

implementar los estándares.Usar el juicio profesional para aplicarlos.Poder justificar cualquier diferencia.

Tarea: en su cuaderno, hacer un resumen de las directrices G5, G9, G17 y G35.

Estándares y directrices de ISACA para ASIProcedimientos de ISACA para ASI

Los procedimientos desarrollados proveen ejemplos de proceso que un auditor podría seguir en un trabajo de auditoria, para determinar si alguno es apropiado, el auditor debe usar su juicio profesional.

Proveen información sobre como satisfacer los estándares pero no establecen requerimientos.

No es obligatoria su utilización, sin embargo, al seguirlos el auditor la certeza de estar siguiendo los estándares.

Estándares y directrices de ISACA para ASIProcedimientos de ISACA para ASI

Índice de procedimientos:P1 Evaluación de riesgosP2 Firmas digitalesP3 Detección de intrusosP4 Virus y otros códigos maliciososP5 Autoevaluación de control de riesgosP6 FirewallsP7 Irregularidades y actos ilegalesP8 Evaluación de la seguridadP9 Evaluación de los controles de la dirección

sobre las metodologías de encriptación P10 Control de cambios de aplicación del negocio

Estándares y directrices de ISACA para ASIRelación entre estándares, directrices y procedimientosLos estándares deben ser cumplidos,

las directrices proveen una guía sobre como implementar los estándares y los procedimientos proveen ejemplos de pasos que puede realizar un auditor para implementar los estándares.

Análisis de riesgosEl análisis de riesgos es parte de la planeación de

auditoría y ayuda a identificar los riesgos y las vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigarlos.

Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas distintas para diferentes personas. Tal vez una de las definiciones de riesgo más sucintas usadas en el negocio de seguridad de la información es la provista por las Directrices para la Administración de Seguridad de TI publicadas por la Organización Internacional de Estandarización (ISO): "El potencial de que una amenaza determinada

explote las vulnerabilidades de un activo (G3) o grupo de activos ocasionando pérdida o daño a la organización.”

Análisis de riesgosEl proceso de evaluación del riesgo se caracteriza

como un ciclo de vida iterativo que comienza identificando los objetivos del negocio, los activos de información y los sistemas o recursos de información subyacentes que generan /almacenan, usan o manipulan los activos clave (hardware, software, bases de datos, redes, instalaciones, personas, etc.) para lograr estos objetivos.

Una vez que los activos de información sensitiva y/o crítica están identificados, se realiza una evaluación de riesgos para identificar las amenazas, determinar la probabilidad de ocurrencia y el impacto resultante y las medidas adicionales que mitigarían este impacto a un nivel aceptable para la gerencia.

Análisis de riesgosLuego, durante la fase de mitigación

de riesgos, se identifican los controles para mitigar los riesgos identificados. Estos controles son contramedidas para la mitigación de riesgos que buscan prevenir o reducir la probabilidad de ocurrencia de un evento de riesgo, detectar la ocurrencia del mismo, minimizar el impacto o transferir el riesgo a otra organización.

Análisis de riesgosLa evaluación de contramedidas debería realizarse

mediante un análisis costo - beneficio, en el que los controles para mitigar riesgos se seleccionan de manera que se logre reducir los riesgos hasta un nivel aceptable para la dirección. Este proceso de análisis puede basarse en cualquiera de las siguientes opciones:El costo del control comparado con el beneficio de

minimización del riesgoLa tolerancia a riesgos de la gerencia (p. ej.. el nivel de

riesgo residual que la gerencia está preparada para aceptar)

Los métodos preferidos de reducción de riesgos (p. ej.., eliminar el riesgo, minimizar la probabilidad de ocurrencia, minimizar el impacto, transferir /asegurar)

Análisis de riesgosDesde la perspectiva del auditor, el análisis de

riesgos tiene más de un propósito:Apoya al auditor en la identificación de riesgos y

amenazas para un ambiente de TI y los sistemas de SI que necesitan ser tratados por la dirección así como los controles internos específicos del sistema.

Dependiendo del nivel de riesgo, este análisis apoya al auditor en la selección de ciertas áreas para examinar.

Ayuda al auditor en su evaluación de los controles durante la planeación de la auditoría.

Apoya al auditor a determinar los objetivos de la auditoría.

Soporta decisiones de la auditoría basada en riesgos.

Controles InternosLas políticas, procedimientos, prácticas y

estructuras organizacionales implementadas para reducir riesgos también son conocidos como controles internos.

Los controles internos son desarrollados para proveer una certeza razonable de que se alcanzarán los objetivos de negocio de una organización y que los eventos de riesgo no deseados serán evitados o detectados y corregidos.

Las actividades de control interno y los procesos que las soporten pueden ser manuales o manejados por recursos de información automatizados.

Estos operan en todos los niveles dentro de una organización para mitigar su exposición a riesgos que potencialmente podrían impedirle alcanzar sus objetivos de negocio.

Controles InternosExisten dos aspectos clave que el

control debe atender: qué debería lograrse y qué debería evitarse. Los controles internos no sólo tratan los objetivos de negocio /operativos, sino que también deberían estar preparados a través de la prevención, detección y corrección.

Control InternoObjetivosEstos tipos de controles incluyen los controles

relacionados con el ambiente de tecnología. Los tipos de controles incluyen:Controles de contabilidad interna - Primariamente

dirigidos a las operaciones contables, como por ejemplo la salvaguarda de los activos y la confiabilidad de los registros financieros.

Controles operacionales - Dirigidos a las operaciones, funciones y actividades cotidianas para asegurar que la operación está cumpliendo los objetivos del negocio

Controles administrativos - se ocupa de la eficiencia operacional en un área funcional y el acatamiento de las políticas de administración que incluye los controles operacionales. Estos pueden describirse como que soportan los controles operacionales específicamente concernidos con la eficiencia operacional y el acatamiento de la política organizacional.

Control InternoObjetivos

Salvaguarda de los activos de TICumplimiento con las políticas

corporativas y requerimientos legalesAutorización y autenticaciónConfidencialidadExactitud e integridad los datosConfíabilidad de los procesosDisponibilidad de los servicios de TIEficiencia y economía de las operaciones.Proceso de administración de cambios

para TI y los sistemas relacionados

Objetivos de control de SI

Salvaguarda de activos. La información en los sistemas automatizados está protegida contra accesos inadecuados y se la mantiene actualizada.

Asegurar la integridad de los ambientes de sistemas operativos en general, incluyendo la administración y operaciones de la red.

Asegurar la integridad de los ambientes de sistemas de aplicación sensitivos y críticos, incluyendo información contable /financiera y gerencial (objetivos de información) a través de:Autorización para el ingreso de datos - Cada

transacción es autorizada e introducida una sola vez- Validación del input. Cada input es validado y no

causará impacto negativo al procesamiento de las transacciones

Exactitud e integridad del procesamiento de transacciones - Todas las transacciones son registradas e ingresadas en la computadora en el período correcto.

Confiabilidad de las actividades de procesamiento de información en general

Exactitud, integridad y seguridad de la información de salida

Integridad de la base de datosAsegurar la identificación y autenticación apropiada

de los usuarios de los recursos de SI (usuarios finales así como también soporte de infraestructura)

Aseguramiento de eficiencia y efectividad en las operaciones (objetivos operativos)

Objetivos de control de SI

Cumplimiento con los requerimientos de los usuarios, con las políticas y procedimientos organizacionales y con las leyes y reglamentaciones aplicables (objetivos de cumplimiento)

Aseguramiento de la disponibilidad de los servicios de TI desarrollando planes de continuidad del negocio y de recuperación de desastres

Aumento de la protección de datos y sistemas desarrollando un plan de respuesta a incidentes

Aseguramiento de la integridad y confiabilidad de los sistemas implementando procedimientos efectivos de administración de cambios

Objetivos de control de SI

Controles generalesLos controles incluyen políticas, procedimientos

y prácticas (tareas y actividades) que son establecidos por la gerencia para proveer garantía razonable de que se alcanzarán objetivos específicos.

Son aplicables a todas las áreas de la organización, incluyendo infraestructura y servicios de soporte de TI.

Éstos incluyen políticas, procedimientos y prácticas establecidas por la dirección para tener una garantía razonable de que se alcanzarán los objetivos específicos.

Controles internos de contabilidad que están principalmente dirigidos a las operaciones de contabilidad. Ellos se refieren a la salvaguarda de activos y a la confiabilidad de los registros financieros

Controles operativos que se ocupan de las operaciones, funciones y actividades cotidianas y aseguran que la operación esté cumpliendo los objetivos del negocio

Controles administrativos que se ocupan de la eficiencia operativa en un área funcional y la adherencia a las políticas de la dirección. Los controles administrativos dan soporte a los controles operativos que se ocupan específicamente de la eficiencia operativa y de la adherencia a las políticas organizacionales.

Políticas y procedimientos organizacionales de seguridad lógica para asegurar la debida autorización de transacciones y actividades

Políticas generales para el diseño y uso de documentos y registros adecuados para ayudar a asegurar el registro apropiado de las transacciones - pista de auditoría de transacciones

Procedimientos y funciones para asegurar la protección adecuada en el acceso y el uso de activos e instalaciones

Políticas de seguridad física y lógica para todos los centros de datos (p. ej., servidores e infraestructura de telecomunicaciones)

Control de SICada procedimiento de control general puede

ser traducido en un procedimiento de control específico de SI. Un sistema de información bien diseñado debería contar con controles construidos en el mismo para todas sus funciones sensitivas o críticas. Por ejemplo, el procedimiento general para asegurar la adecuada custodia del acceso a los activos e instalaciones puede traducirse en un conjunto de procedimientos de control relacionado con sistemas de información, que abarque controles de acceso a los programas de computación, datos y equipos de cómputo

Control de SILos procedimientos de control de SI incluyen:

Estrategia y direcciónOrganización general y administrativaAcceso a los recursos de TI, incluyendo datos y

programasMetodologías de desarrollo de sistemas y control de

cambiosProcedimientos de operaciónProgramación de sistemas y funciones de soporte técnicoProcedimientos de aseguramiento de calidadControles de acceso físicoPlaneación de continuidad del negocio/recuperación de

desastresRedes y comunicacionesAdministración de la base de datos

Tarea: Investigue los 36 estándares COBIT (resumen en su cuaderno)