21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
01 Auditoria Sistemas Informacion-España (1)
-
Upload
jose-espejo-pantigoso -
Category
Documents
-
view
233 -
download
0
description
Transcript of 01 Auditoria Sistemas Informacion-España (1)
ÍndiceÍndice
Estrategia para la Auditoría de Sistemas de la Información
Esquema Organizativo Auditor Informático Estándares y Normas Técnicas Planificación de Actuaciones Proceso de Auditorías de Sistemas de Información Guión para Auditorías de Sistemas de Información Informes de Auditorías de Sistemas de Información
Estrategia para la Auditoría de Sistemas de InformaciónEstrategia para la Auditoría de Sistemas de Información
Necesidad de definir una estrategiaNecesidad de definir una estrategia
Las TIC han acompañado la automatización y el crecimientoLa información y los recursos TIC como activos de las
organizacionesDependencia de las TIC
Implicación de la DirecciónImplicación de la Dirección
Incremento vulnerabilidad de los sistemasDar respuesta a la dependencia de la informaciónImportancia costes e inversiones TICPotencial de las TIC para introducir cambiosDesconfianza en los procedimientos automatizados
Objetivos de las Administraciones Públicas:
Cumplimiento de la legalidad vigente
Eficacia
Eficiencia
Auditoría Sistemas de Información > Supervisión de los riesgos de los sistemas de información que pudieran afectar al cumplimiento de la legalidad vigente, la eficiencia y la eficacia de los procesos soportados por los sistemas de información, en especial los de la administración electrónica.
Estrategia para la Auditoría de Sistemas de InformaciónEstrategia para la Auditoría de Sistemas de Información
Estrategia para la Auditoría de Sistemas de InformaciónEstrategia para la Auditoría de Sistemas de Información
Esquema OrganizativoEsquema Organizativo
IndependenciaAutoridad
Esquema OrganizativoEsquema Organizativo
Mandato para una Auditoría Interna
Esquema OrganizativoEsquema Organizativo
Mandato para una Auditoría Externa
Esquema OrganizativoEsquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de información (I)Naturaleza del trabajo de auditoría de sistemas de información (I)
Actuaciones de apreciación independiente para supervisar el control establecido
A- Actividades básicasA- Actividades básicasDirección o Gobierno de las TIC (Gobernanza TIC)
Supervisar el control interno TIC
Supervisar la gestión de riesgos TIC
Esquema OrganizativoEsquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de información (II)Naturaleza del trabajo de auditoría de sistemas de información (II)
Protección de datos de carácter personalControl de accesosAdministración ElectrónicaEquipamiento informáticoSeguridad sistemasDesarrollo y mantenimiento de aplicacionesExplotación de sistemas de informaciónContratación bienes y servicios TICTécnica de sistemasContinuidad del servicio TICAcreditación de confianza
Esquema OrganizativoEsquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de información (III)Naturaleza del trabajo de auditoría de sistemas de información (III)
B- Acciones proactivasB- Acciones proactivasParticipación en el ciclo de controlParticipación en el ciclo de control
Asegurar existencia de controles internos razonables y adecuados
Divulgar y fomentar las buenas prácticas
Fomentar la documentación de los sistemas y procedimientos
Asesorar en la implementación de pistas de auditoría
Asesorar en las salvaguardas de activos
Asegurar eficiencia gestión recursos
Esquema OrganizativoEsquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de información (IV)Naturaleza del trabajo de auditoría de sistemas de información (IV)
C- Auditoría forenseC- Auditoría forenseDesafío ante delitos informáticos, garantizando la evidencia digital que se Desafío ante delitos informáticos, garantizando la evidencia digital que se presentase en un proceso judicial.presentase en un proceso judicial.Recuperar informaciónDeterminar cusa y origen de una situaciónIdentificar autor(es) acciones ilícitasIdentificar uso inapropiado de los medios de la Organización
Esquema OrganizativoEsquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de información (V)Naturaleza del trabajo de auditoría de sistemas de información (V)
D- Apoyo en auditorías externasD- Apoyo en auditorías externasSupervisión de auditores externos.Supervisión de auditores externos.
E- Apoyo a otras áreas de AuditoríaE- Apoyo a otras áreas de AuditoríaAsistencia para la obtención, estructuración y análisis de la información.Asistencia para la obtención, estructuración y análisis de la información.
Auditor InformáticoAuditor Informático
Áreas de Conocimiento (certificables)Áreas de Conocimiento (certificables)
Técnica o metodología de auditoría informática
Gestión, planificación y organización de las TIC
Infraestructura técnica, prácticas operativas y protección de activos
Recuperación de desastres y continuidad de la actividad
Desarrollo, adquisición, implementación y mantenimiento de sistemas
Evaluación de procesos y gestión de riesgos
Auditor InformáticoAuditor Informático
Otras características (no certificables)Otras características (no certificables)
Comprender procesos de gestión y normativa legal
Identificar problemas y plantear soluciones
Llenar vacío de comunicación entre dirección, usuarios y técnicos
Saber comunicar
Negociar situaciones de conflicto
Saber cuando solicitar asistencia
Estándares y Normas TécnicasEstándares y Normas Técnicas
PrincipiosPrincipiosSalvar brechas entre riesgos del proceso de gestión,
necesidades de control y aspectos técnicosDeterminar el alcance de las actuaciones e identificar los
controles mínimosObservar e incorporar estándares y regulaciones nacionales
o internacionales
HechosHechos
Adecuar técnicas auditoría tradicionales a los controles de las TIC
Generar resultados homogéneos
Organizar los trabajos (tipificar tareas)
Emplear distintos referentes según tipo de auditoría
Estándares basados en buenas prácticas
Estándares y Normas TécnicasEstándares y Normas Técnicas
1)1) Instrumentos de normalización de las Administraciones Instrumentos de normalización de las Administraciones Públicas en EspañaPúblicas en España
Normas de Auditoría del Sector Público de la IGAE: No son específicas a la auditoría de sistemas de información
MAGERIT Versión 2: Es la metodología de análisis y gestión de riesgos de los sistemas de información.
Modelo EFQM de Excelencia: Es una orientación de la Fundación Europea para la Gestión de la Calidad que contempla algunos criterios que hacen referencia a las TIC
Serie Seguridad de las Tecnologías de la Información del Centro Criptográfico Nacional (CCN-STIC)
Estándares y Normas TécnicasEstándares y Normas Técnicas
2)2) Instrumentos de normalización de las Administraciones Públicas Instrumentos de normalización de las Administraciones Públicas en EE.UU.en EE.UU.
Government Auditing Standars (GAGAS): Son las normas de aplicación para el General Accountability Office (GAO) de EE.UU.
Federal Information System Controls Audit Manual (FISCAM): Una guía metodológica que aplica las normas del GAO y del NIST.
Serie de Publicaciones Especiales SP-800 del Instituto Nacional de Estándares y Tecnología (NIST)
Estándares y Normas TécnicasEstándares y Normas Técnicas
3)3) Prácticas y recomendaciones de asociaciones internacionales (I)Prácticas y recomendaciones de asociaciones internacionales (I)
Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (The Institute of Internal Auditors)
Asociación de Auditoría y Control de Sistemas de Información (ISACA)
Control Objetives for Information and Related Technologies (COBIT)
IS Standars, Guidelines and Procedures for Auditing and Control Professionals
Information Technology Infraestructure Library (ITIL)
Estándares y Normas TécnicasEstándares y Normas Técnicas
3)3) Prácticas y recomendaciones de asociaciones internacionales (II)Prácticas y recomendaciones de asociaciones internacionales (II)
Modelo de Madurez de las Capacidades Integrado para el Desarrollo (CMMI) del Instituto de Ingeniería del Software (SEI)
Instituto SANS (SysAdmin, Audit, Network, Security) Normalización internacional ISO:Normalización internacional ISO:
Gestión de Servicios de las Tecnologías de la Información (IT Service Management): ISO/IEC 20000:2005
Seguridad de la Información: Familia ISO/IEC 27000 Criterios comunes de evaluación de la seguridad de las
tecnologías de la información ISO/IEC 15408:2005 (Common Criteria for Information Technology Security Evaluation)
Planificación de ActuacionesPlanificación de Actuaciones
Qué auditarQué auditar Cumplimiento de requerimientos legales Sensibilidad de la organización a riesgos / resultado de análisis Resultado de auditorías anteriores Condicionantes de la Organización
Cuándo auditarCuándo auditar Priorizar las actuaciones detectadas y ajustando el alcance a
los recursos disponibles y las demandas de la dirección Elaborar el documento de planificación periódica de la unidad
de auditoría Revisión periódica del plan inicial para incorporar actuaciones
no previstas
Cómo auditarCómo auditar
Proceso para planificar las actuaciones individuales
Planificación de ActuacionesPlanificación de Actuaciones
Análisis de riesgos
Sensibilidad de la Dirección
Requerimientos legales
Prioridades de la Organización
Situaciones de riesgo inicialmente no previstas
Plan de Actuaciones de Auditoría
Actuación 1 Actuación 2 Actuación n....
Tarea 2Tarea 1
Tarea n
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
PLANIFICACIÓN DE ACTIVIDADESPLANIFICACIÓN DE ACTIVIDADES
Identificar la información a recopilar
Identificar las tareas de campo
Identificar interlocutores
Recursos necesarios/disponibles
Responsabilidades de los miembros del equipo auditoría
Calendario tentativo
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Identificar el Alcance de la ActuaciónIdentificar el Alcance de la Actuación Que se quiere comprobar Que se pretende demostrar Que se va a informar
Obtención de Información PreliminarObtención de Información Preliminar Actividad llevada a cabo por el área a auditar Esquema de control interno (políticas, normas, etc.) Estándares de referencia Informes anteriores Familiarizarse con el entorno tecnológico a auditar
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Identificar Objetivos DetalladosIdentificar Objetivos Detallados Evaluación preliminar para identificar objetivos de control Identificar posibles condicionantes Grado de extensión acorde al alcance
Auditorías de cumplimiento:
Modelo de control de referencia
Existencia de controles
Adecuación y eficacia de los controles
Proporcionalidad
Auditorías operativas:
Modelo de control de referencia
Planificación y gestión de controles
Aseguramiento de los controles
Oportunidad de introducir cambios
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
FORMALIZACIÓN DEL INICIO DE LA ACTUACIÓNFORMALIZACIÓN DEL INICIO DE LA ACTUACIÓN
Notificación del responsable de la unidad de auditoría al responsable del área a auditar
Reunión del equipo auditor con el responsable de la unidad a auditar para comunicar:
Alcance de los trabajos
Necesidad/obligación de colaboración
Interlocutor del equipo auditor
Se debe tener presente no interferir con el trabajo realizado por el área auditada
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
TRABAJOS DE CAMPOTRABAJOS DE CAMPO
Técnicas Recolección de EvidenciasTécnicas Recolección de Evidencias
Revisión de documentos
Entrevistas
Observación del trabajo realizado
Pruebas y verificaciones
Uso de herramientas
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - por Ordenador - CAATCAAT (I) (I)
Obtención de información de los SI
Recolección de evidencias de los SI
Creación de muestras para realizar pruebas
Ventajas
Aseguran independencia en la recolección de datos
Disminuyen el riesgo propio del proceso de auditoría
Mayor cobertura y consistencia de la pruebas
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Características Productos informáticos ad-hoc o herramientas de los sistemas Acceso a distintas estructuras o formatos de datos Aplicación de criterios de selección Reorganización de la información obtenida Funciones estadísticas y aritméticas
Precauciones El acceso a los datos reales por los auditores debe ser siempre sólo
en modo lectura Los datos extraídos deben aislarse del entorno de producción para
evitar que las manipulaciones alteren los originales El empleo de herramientas que puedan causar perturbaciones debe
ser limitado
Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - Ordenador - CAATCAAT (II) (II)
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - Ordenador - CAATCAAT (III) (III)
Ejemplos
Logs: contienen el registro de actividad
Utilidades de sistema: contienen los parámetros que implementan las políticas de control
Software generalizado de auditoría: acceso a archivos, selección de datos, reorganización, etc.
Software específico: herramientas empleadas con un propósito concreto
Guión para Auditorías de Sistemas de InformaciónGuión para Auditorías de Sistemas de Información
El GUIÓNGUIÓN es la herramienta fundamental de apoyo para el auditor que documenta el proyecto de la auditoría
Identifica que tareas se deben efectuar durante la actuación
Cuantifica los medios necesarios
Define la secuencia de los trabajos
Para que el equipo comprenda lo que debe realizar y obtenga una visión del conjunto
Guión para Auditorías de Sistemas de InformaciónGuión para Auditorías de Sistemas de Información
ESTRUCTURA DEL GUIÓNESTRUCTURA DEL GUIÓN
1. Punto(s) de control
En función del objetivo y alcance de la actuación se habrán establecido objetivos de control detalladosobjetivos de control detallados => apartados del guión. Identifica lo que se va a supervisar del sistema de control.
2. Directriz de auditoría Desarrollan los Puntos de control señalando las tareas a tareas a
efectuarefectuar, antes o durante la actuación. Determinan los medios y técnicas necesarios para cada punto
de control Limitadas por el desarrollo de la función de auditoría en la
Organización
Guión para Auditorías de Sistemas de InformaciónGuión para Auditorías de Sistemas de Información
Esquema COBIT para el guiónEsquema COBIT para el guiónS
ecu
enci
a d
e la
s ac
tivi
dad
es
Informes de Auditorías de Sistemas de InformaciónInformes de Auditorías de Sistemas de Información
Contenidos del Informe de Auditoría
Informes de Auditorías de Sistemas de InformaciónInformes de Auditorías de Sistemas de Información
Ejemplos de Informes de Auditorías Sistemas de InformaciónEjemplos de Informes de Auditorías Sistemas de InformaciónElaboración propia
Basado en actuaciones reales Cumplimiento de políticas e instrucciones
Georgia Department of Audits and Accounts Informe sistema información para la gestión del IVA Informe de seguimiento
National Audit Office Informe de calidad de la información Impuesto Renta Progreso en información y servicios on-line
Goverment Accountabillity Office Uso de datos adquiridos Desafío en el uso del correo electrónico