Audotoría Informática
-
Upload
damian-anibal-nicolalde-rodriguez -
Category
Documents
-
view
74 -
download
2
description
Transcript of Audotoría Informática
AUDITORÍA EN TECNOLOGÍA I
Unidad 1:EL PROCESO DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN (SI)Gestión y Metodología
Auditoría en Tecnología I 2
Contenido
1. Fundamentos de Auditoría2. Gestión de Auditoría de Sistemas de Información
(SI) Importancia de la función de Auditoría de SI Organización de la función de Auditoría de SI Administración de los Recursos de Auditoría de SI Planeación de la Auditoría de SI Leyes y regulaciones
3. Normas y Directrices para la Auditoría de SI4. Análisis de Riesgos5. Controles Internos6. Metodología de Auditoría de SI7. Tendencias en Auditoría
10/03/2012 Auditoría en Tecnología I 3
I. Fundamentos de Auditoría1. Conceptos Clave
Auditoría: La recopilación y evaluación de datos sobre información de una entidad para determinar e informar sobre el grado de correspondencia entre la información y los criterios establecidos. La auditoría debe ser realizada por una persona competente e independiente [Gustavo Alonso Cepeda]. Es el examen objetivo, sistemático y profesional de las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones [Kell Zeigler].
Servicios de Expresión de Opinión: Se refieren a la diversa gama de servicios que prestan los Contadores Públicos Autorizados. Principalmente los servicios de auditoría y de expresión de opinión.
Principios de Contabilidad Generalmente Aceptados: Normas que establecen organismos de regulación y que son aceptados por los contadores para preparar informes financieros adecuados. (NIIFs)
Auditoría en Tecnología I 410/03/2012
08/10/2010 Auditoría en Tecnología I 5
• El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado:
Salvaguarda activos
DañoDestrucciónUso no autorizadoRobo
Mantiene Integridad de los datos
Información precisa,CompletaOportunaConfiable
Alcanza metas organizacionales
Consume recursoseficientemente
Contribución de la función informática
Utiliza los recursos adecuadamenteEn el procesamiento de la información
I. Fundamentos de Auditoría2. Conceptos Auditoría de Sistemas Tecnológicos
08/10/2010 Auditoría en Tecnología I 6
Es el examen o revisión de carácter objetivo (independiente), crítico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de tecnología de información, con el fin de emitir una opinión profesional (imparcial) con respecto a: • Eficiencia en el uso de los recursos informáticos• Validez de la información• Efectividad de los controles establecidos
I. Fundamentos de Auditoría2. Conceptos Auditoría de Sistemas Tecnológicos
Auditoría en Tecnología I 7
I. Fundamentos de Auditoría 3. Tipos de Auditoría
Auditoría Interna: Cuando es ejecutada por auditores internos que tienen la condición de empleados de la entidad. La auditoría interna es un elemento del sistema de control interno de una entidad, ejecutada como un servicio a la alta dirección, destinada a salvaguardar los recursos, verificar la exactitud y veracidad de la información de las operaciones, estimular la observancia de las políticas previstas y lograr el cumplimiento de las metas y objetivos programados.
Auditoría Externa: Es practicada por profesionales independientes a la entidad sujeta a examen, con el objeto de emitir un juicio sobre la razonabilidad de los estados financieros, la misma que es realizada por firmas privadas de auditoría contratadas para el efecto o por auditores de la Contraloría (en el caso del sector público)
10/03/2012
Auditoría en Tecnología I 8
Principios básicos que deben guiar el desempeño de los auditores durante el proceso de la auditoria. Calidad del trabajo profesional del auditor.
Emitidas originalmente por el Comité de Auditoría del Instituto Americano de Contadores Públicos de EEUU (AICPA) en 1948. (Statement on Auditing Standard – SAS).
Normas Generales o Personales Entrenamiento y capacidad profesional Independencia
Normas de Ejecución del Trabajo Cuidado o esmero profesional Planeamiento y Supervisión Estudio y Evaluación del Control Interno
Normas de Preparación del Informe Evidencia Suficiente y Competente Aplicación de los Principios de Contabilidad Generalmente
Aceptados Consistencia Revelación Suficiente Opinión del Auditor
I. Fundamentos de Auditoría 4. Normas de Auditoría Generalmente Aceptadas (NAGAs)
10/03/2012
Auditoría en Tecnología I 9
Son un conjunto de principios, reglas o procedimientos que obligatoriamente debe seguir el profesional Contador Público que se dedique a labores de auditoria de estados financieros, con la finalidad de evaluar de una manera razonable y confiable la situación financiera de la empresa o ente por él auditados, y en base de aquello le permita emitir su opinión en forma independiente con criterio y juicio profesionales acertados.
El IFAC (Internacional Federation of Accountants) creó el Comité IAASB (Internacional Auditing and Assurance Standards Board) con el fin uniformizar las prácticas de auditoría y servicios relacionados.
El IASSB emite las NIAs, usadas para reportar sobre confiabilidad de información preparada bajo NIIFs, Estándares Internacionales para trabajos de aseguramiento (ISAE), Control de Calidad (ISQC), y servicios relacionados (ISRS).
I. Fundamentos de Auditoría 5. Normas Internacionales de Auditoría y Aseguramiento (NIAA)
10/03/2012
Auditoría en Tecnología I 10
SECTOR PRIVADO NO FINANCIERO:1. Normas Internacionales de Auditoría y Aseguramiento (NIAA’s)
SECTOR PRIVADO FINANCIERO:2. Disposiciones señaladas por la Superintendencia de Bancos y Seguros3. Normas de Auditoría Generalmente Aceptadas (NAGA’s) 4. Normas Internacionales de Auditoría (NIA’s)5. Normas Internacionales para Ejercicio Profesional de la Auditoría Interna6. Directrices de Auditoría del ISACA
SECTOR PUBLICO NO FINANCIERO:7. Normas Ecuatorianas de Auditoría Gubernamental (NEAG’s)8. Normas de Auditoría Generalmente Aceptadas (NAGA’s) 9. Normas Ecuatorianas de Auditoría (NEA’s)
SECTOR PUBLICO FINANCIERO:Aspectos Administrativos y Gastos10. Normas Ecuatorianas de Auditoría Gubernamental (NEAG’s)Aspectos Financieros11. Disposiciones señaladas por la Superintendencia de Bancos y Seguros12. Normas Ecuatorianas de Auditoría Gubernamental (NEAG’s)13. Normas de Auditoría Generalmente Aceptadas (NAGA’s) 14. Normas Internacionales de Auditoría (NIA’s)
I. Fundamentos de Auditoría 5. 1 Aplicación de las Normas de Auditoría en el Ecuador
AUD.EXT.
AUD.INT.
AUD.SISTEMAS
10/03/2012
Auditoría en Tecnología I 11
Riesgo de Auditoría: es el riesgo de que los auditores emitan una opinión o criterio en su informe sobre la auditoría realizada, que contenga desviaciones sustanciales respecto de la realidad del cliente, área o proceso en revisión. El riesgo de auditoría se reduce con la reunión de la evidencia, mientras más competente sea la evidencia, menor es el riesgo de auditoría asumido. El riesgo de auditoría a su vez comprende los siguientes:
Riesgo Inherente: es la posibilidad de un error material en una afirmación antes de evaluar o examinar el control interno del cliente.
Riesgo de Control: es el riesgo de que el control interno del cliente no haya evitado o detectado un error en forma oportuna.
Riesgo de Detección: es el riesgo de que los auditores no descubran los errores al aplicar sus procedimientos. El riesgo de detección se limita efectuando pruebas sustantivas.
Evidencia de Auditoría: conjunto de hechos comprobados, suficientes, competentes y pertinentes que sustentan las conclusiones del auditor.
I. Fundamentos de Auditoría 6. Riesgo de Auditoría y Evidencia
10/03/2012
08/10/2010 Auditoría en Tecnología I 12
Auditoría en Tecnología I 1310/03/2012
Auditoría en Tecnología I 14
Los auditores realizan procedimientos para obtener evidencia sobre lo que están revisando. En el caso de una auditoría financiera por ejemplo, ver si los estados financieros del cliente se ajustan a los principios de contabilidad generalmente aceptados. Estos procedimientos hacen uso de las técnicas de auditoría, así por ejemplo:
1. Realizar una inspección del inventario de la compañía. 2. Observar el proceso de producción de materiales. 3. Realizar una entrevista para conocer el estado de proyectos estratégicos. 4. Comprobar la legalidad de las facturas de venta generadas.
Los procedimientos que permiten mitigar el riesgo de error material (riesgo inherente y de control) son conocidos como Procedimientos de Control o Cumplimiento y se realizan de la siguiente forma:
Conocer el cliente y su ambiente a fin de evaluar los riesgos de error material. Conocer el control interno del cliente. Diseñar y realizar pruebas de controles para verificar su eficiencia operativa en
la prevención o detección de errores materiales. Los procedimientos que apuntan a disminuir el riesgo de detección son
los Procedimientos Analíticos o Sustantivos, estas son revisiones más detalladas, sobre algún proceso, sistema, informático, cuenta, etc.
I. Fundamentos de Auditoría 8. Procedimientos de Auditoría
10/03/2012
Auditoría en Tecnología I 15
Los papeles de trabajo o documentación de la auditoría son todos los documentos elaborados por el auditor durante el curso de la auditoría, que fundamentan y respaldan su informe.
Algunos de sus propósitos son: Registrar de forma sistemática las labores o tareas efectuadas
al llevar a cabo una auditoría. Registrar la información y evidencia obtenidas. Respaldar el informe de auditoría es decir los hallazgos,
conclusiones y recomendaciones resultantes de la labor de auditoría.
Facilitar la revisión y supervisión del proceso realizado.
I. Fundamentos de Auditoría 9. Papeles de Trabajo de Auditoría
10/03/2012
Auditoría en Tecnología I 16
Los hallazgos para que sean efectivos en su propósito de comunicar la debilidad encontrada, deben contener en su redacción 4 atributos: Condición, Criterio, Causa y Efecto.
I. Fundamentos de Auditoría 10. Hallazgos de Auditoría
Condición Lo que es Es la situación que se presenta. Diferencia con lo que debe ser.
Criterio Lo que debe ser Base legal, reglamentos, disposiciones internas, externas, que no se cumplen
Causa Por qué sucedió El motivo por el cual se produjo
este hecho o desviación
Efecto Es el resultado adverso, real o potencial que resulta de la condición encontrada.
Las consecuencias que produjo a la institución, empresa, entidad
10/03/2012
Auditoría en Tecnología I 17
II. Gestión de Auditoría de SI1. Importancia de la Función de Auditoría de SI
Proliferación de uso de tecnologías de información y comunicación (TICs) en la última década.
La sociedad de fines del siglo XX “sociedad de la información”.
La importancia de la información para el desarrollo económico y social - “activo de información”.
Auge y crecimiento del comercio por Internet - “era digital” - “economía digital”.
Conexión a Internet abre oportunidades, pero también complejos tipos de Amenazas - incremento de Vulnerabilidad.
Datos tratados mediante TICs - importancia control, seguridad y auditoría en tecnología.
Desarrollo de estándares y mejores prácticas: ISACA CobIT, ISO 17799, ISO 27000, ITIL.
Auditor SI – Certificación CISA; Oficial de Seguridad Información – Certificación CISM.
Auditoría Integral
10/03/2012
Auditoría en Tecnología I 18
II. Gestión de Auditoría de SI 1. Importancia de la Función de Auditoría de SI
Propósitos generales de una Auditoría de Sistemas: Buscar una mejor relación costo-beneficio de los sistemas
tecnológicos Incrementar la satisfacción de los usuarios de los sistemas
tecnológicos Asegurar una mayor integridad, confidencialidad, disponibilidad y
confiabilidad de la información mediante la recomendación de seguridades y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones Apoyo de función informática a las metas y objetivos de la
organización Minimizar la existencia de riesgos en el uso de Tecnología de
información Capacitación y educación sobre controles en los Sistemas de
Información
10/03/2012
Auditoría en Tecnología I 19
II. Gestión de Auditoría de SI 1. Importancia de la Función de Auditoría de SI
Justificativos comunes de una Auditoría de Sistemas: Aumento considerable e injustificado del presupuesto de TI Desconocimiento en el nivel directivo de la situación informática de
la empresa Falta total o parcial de seguridades lógicas y físicas que garanticen
la integridad del personal, equipos e información. Descubrimiento de fraudes informáticos Falta de una planificación informática Organización que no funciona correctamente, falta de políticas,
objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados (información)
Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción
10/03/2012
Auditoría en Tecnología I 20
II. Gestión de Auditoría de SI 1. Importancia de la Función de Auditoría de SI
Responsabilidades de la función de Auditoría de SI1: Desarrollar e implementar una estrategia de auditoría basada
en los riesgos de la organización en cumplimiento con las normas, directrices y mejores prácticas de auditoría de SI.
Planificar auditorías específicas para validar que TI y los sistemas de negocio son protegidos y controlados.
Conducir auditorías de SI en conformidad con las normas, directrices y mejores prácticas de auditoría de SI para alcanzar los objetivos planeados de auditoría.
Comunicar los hallazgos emergentes, riesgos potenciales y resultados de auditorías a los “stakeholders” clave.
Aconsejar en la implementación de una estrategia de Administración de Riesgos y prácticas de control dentro de la organización al tiempo que se mantiene la independencia.
(1) ISACA.- http://www.isaca.org
10/03/2012
Auditoría en Tecnología I 21
II. Gestión de Auditoría de SI 2. Organización de la Función de Auditoría de SI
Estatuto de Auditoría (“Audit Charter”) Establece la responsabilidad, objetivos de la
administración y delegación de autoridad para la función de auditoría de SI.
Describe la autoridad, alcance y responsabilidades generales de la función de Auditoría.
Aprobación del Estatuto de Auditoría Cambios en el Estatuto de Auditoría Servicios provistos por auditores externos Nivel de Reporte e Independencia
10/03/2012
Auditoría en Tecnología I 22
II. Gestión de Auditoría de SI 3. Administración de los Recursos de Auditoría de SI
Número limitado de auditores de SI. Mantenimiento de su competencia técnica. Conformación del equipo de auditoría idóneo. Plan de capacitación anual Proveer al auditor de SI recursos de TI:
Software de Auditoría Herramientas de monitoreo Herramientas para pruebas de vulnerabilidad de
red Pruebas de penetración de la red
10/03/2012
Auditoría en Tecnología I 23
II. Gestión de Auditoría de SI 4. Planeación de Auditoría
Auditoría integral (basada en riesgo y continua) Planeación global de Auditoría
Planeación Largo Plazo Planeación Corto Plazo Aspectos a considerar:
Referencia de problemas de control Cambios tecnológicos Cambios en los procesos de negocio Rotación de personal Técnicas mejoradas de evaluación
Planeación Individual de auditoría Comprensión general del ambiente
Prácticas del negocio y funciones relacionadas Sistemas de información y tecnología
10/03/2012
Auditoría en Tecnología I 24
II. Gestión de Auditoría de SI4. Planeación de Auditoría
Pasos de la Auditoría de SI1. Obtener un entendimiento de la misión, objetivos,
propósito y procesos del negocio2. Identificar el estado de contenidos específicos
(políticas, normas, directrices, procedimientos y estructura organizacional)
3. Realizar un análisis de riesgos4. Conducir una revisión de control interno5. Establecer el alcance y los objetivos de la auditoría6. Desarrollar el enfoque o la estrategia de auditoría7. Asignar los recursos de personal a la auditoría y
dirigir la logística del trabajo de auditoría8. Documentar hallazgos9. Comunicar resultados
10/03/2012
Auditoría en Tecnología I 25
II. Gestión de Auditoría de SI 5. Leyes y Regulaciones sobre Auditoría de SI
Pasos para determinar el cumplimiento de los requerimientos externos: Identificar los requerimientos externos Documentar las leyes y requerimientos pertinentes Evaluar si la administración y la función de TI han
considerado los requerimientos externos Revisar los documentos con resultados sobre el
cumplimiento regulatorio Determinar el cumplimiento de los procedimientos
establecidos
10/03/2012
Auditoría en Tecnología I 26
III. Normas y Directrices Auditoría de SI1. Código de Ética Profesional de ISACA
El Código de Ética Profesional de ISACA provee una guía de conducta profesional y personal para los miembros de la Asociación y/o los poseedores de la certificación CISA o CISM.
Normas_ISACA.pdf
(www.isaca.org)
10/03/2012
Auditoría en Tecnología I 27
III. Normas y Directrices Auditoría de SI 2. Normas de ISACA para Auditoría de SI
Objetivos de las Normas de ISACA
Informar a la dirección y a otros interesados sobre las expectativas de la profesión en relación con el trabajo de los auditores.
Informar a los auditores de SI del nivel mínimo de desempeño requerido aceptable para cumplir con las responsabilidades profesionales establecidas en el Código de Ética de ISACA.
10/03/2012
Auditoría en Tecnología I 28
III. Normas y Directrices Auditoría de SI 2. Normas de ISACA para Auditoría de SI
1. Estatuto de Auditoría2. Independencia3. Ética y Estándares4. Competencia5. Planeación6. Desempeño del trabajo
de Auditoría7. Reporte8. Seguimiento de las acti
vidades
9. Irregularidades y actos ilegales
10. Gobierno de TI11. Uso de la evaluación de
riesgos en la planeación de auditoría
12. Materialidad de Auditoría
13. Usar el trabajo de expertos
14. Evidencia de Auditoría15. Controles de TI16. Comercio electrónico
Normas de Auditoría de SI
10/03/2012
Auditoría en Tecnología I 29
III. Normas y Directrices Auditoría de SI 2. Normas de ISACA para Auditoría de SI
1. Estatuto de Auditoría Propósito, responsabilidad, autoridad y obligación
de rendir cuentas Aprobación
2. Independencia Independencia Profesional Independencia Organizacional
3. Ética Profesional y Estándares Código de Ética Profesional Debido cuidado Profesional
10/03/2012
Auditoría en Tecnología I 30
III. Normas y Directrices Auditoría de SI 2. Normas de ISACA para Auditoría de SI
4. Competencia Habilidades y conocimiento Educación Profesional Continua
5. Planeación Alcance del Plan de Auditoría de SI Desarrollar y documentar el enfoque de auditoría
basado en riesgos Desarrollar y documentar el plan de auditoría Desarrollar el programa y los procedimientos de
auditoría
10/03/2012
Auditoría en Tecnología I 31
III. Normas y Directrices Auditoría de SI 2. Normas de ISACA para Auditoría de SI
6. Desempeño del trabajo de auditoría Supervisión Evidencia Documentación
7. Reporte Identificar organización, destinatarios y cualquier
restricción Establecer el alcance, objetivos, período cubierto
y naturaleza del trabajo de auditoría realizado Establecer los hallazgos, conclusiones y
recomendaciones, y limitaciones Justificar los resultados reportados Firmado, fechado y distribuido según estatuto de
auditoría
10/03/2012
Auditoría en Tecnología I 32
III. Normas y Directrices Auditoría de SI 2. Normas de ISACA para Auditoría de SI
8. Actividades de Seguimiento Revisión previa de conclusiones y recomendaciones Revisión previa de hallazgos relevantes Determinar si la administración ha tomado las
acciones apropiadas de manera oportuna
9. Irregularidades y actos ilegales Considerar el riesgo de irregularidades y actos
ilegales Mantener una actitud de escepticismo profesional Obtener un entendimiento de la organización y
ambiente Considerar relaciones inusuales e inesperadas Evaluar lo adecuado del control interno Evaluar cualquier declaración errónea
10/03/2012
Auditoría en Tecnología I 33
III. Normas y Directrices Auditoría de SI 2. Normas de ISACA para Auditoría de SI
9. Irregularidades y actos ilegales Obtener declaraciones escritas de la
administración Tener conocimiento de cualquier alegato,
irregularidad o acto ilegal Comunicar irregularidades y actos ilegales
materiales Tomar acciones apropiadas en caso de ver
afectada su capacidad para continuar con el trabajo de auditoría
Documentar comunicaciones, planeación, resultados, evaluaciones y conclusiones relacionadas con irregularidades o actos ilegales.
10/03/2012
Auditoría en Tecnología I 34
III. Normas y Directrices Auditoría de SI 2. Normas de ISACA para Auditoría de SI
10. Gobierno de TI Revisar y evaluar la alineación de la TI con la
misión, visión, valores, objetivos y estrategias de la organización.
Revisar el estatuto de la función de TI acerca del desempeño esperado y evaluar su cumplimiento.
Revisar y evaluar la efectividad de TI en la administración de los recursos y del desempeño
Revisar y evaluar el cumplimiento con los requerimientos legales, ambientales, de calidad de la información, fiduciarios y de seguridad
Usar un esquema basado en riesgos para evaluar la función de TI
Revisar y evaluar los riesgos que puedan afectar a la TI
10/03/2012
Auditoría en Tecnología I 35
III. Normas y Directrices Auditoría de SI 2. Normas de ISACA para Auditoría de SI
11. Uso de la Evaluación de Riesgos en la planeación de la auditoría
Usar técnicas de evaluación de riesgos en el desarrollo de todo el plan de auditoría de SI
Identificar y evaluar los riesgos relevantes en la planeación de auditorías individuales
10/03/2012
Auditoría en Tecnología I 36
III. Normas y Directrices Auditoría de SI Relaciones entre Normas, Directrices y Procedimientos
NormasDeben ser seguidos por el Auditor
DirectricesProveen asistencia sobre cómo puede el
Auditor implementar las normas
ProcedimientosProveen ejemplos de cómo implementar las
normas
10/03/2012
Auditoría en Tecnología I 37
III. Normas y Directrices Auditoría de SI 3. Directrices de ISACA para Auditoría de SI
G1 Usar el trabajo de otros auditoresG2 Requerimiento de Evidencia de AuditoríaG3 Uso de Técnicas de Auditoría Asistidas por Computador (CAATs)G4 Servicio Externo de Actividades de SI para otras organizacionesG5 Estatuto de AuditoríaG6 Conceptos de Materialidad para la Auditoría de SIG7 Debido cuidado profesionalG8 Documentación de AuditoríaG9 Consideraciones de Auditoría en caso de irregularidadesG10 Muestreo de AuditoríaG11 Efecto de los Controles Generales de SIG12 Relación organizacional e IndependenciaG13 Uso de la Evaluación de Riesgos en la Planeación de AuditoríaG14 Revisión de los Sistemas de AplicaciónG15 Planeación Revisada
10/03/2012
Auditoría en Tecnología I 38
III. Normas y Directrices Auditoría de SI 3. Directrices de ISACA para Auditoría de SI
G16 Efecto de Terceros en los controles de TIG17 Efecto de funciones ajenas a la Auditoría sobre la
independencia del AuditorG18 Gobierno de TIG19 Irregularidades y Actos IlegalesG20 InformesG21 Revisión de Sistemas de Planeación de Recursos Empresariales
(ERP)G22 Revisión Comercio Electrónico (B2C)G23 Ciclo de Vida del Desarrollo de Sistemas (SDLC)G24 Banca por InternetG25 Revisión Redes Privadas VirtualesG26 Revisión de Proyectos de Reingeniería de Procesos (BPR)G27 Computación MóvilG28 Cómputo ForenseG29 Revisión Post-ImplementaciónG30 Competencia
10/03/2012
Auditoría en Tecnología I 39
III. Normas y Directrices Auditoría de SI 3. Directrices de ISACA para Auditoría de SI
G31 PrivacidadG32 Revisión del Plan de Continuidad de Negocio (BCP)G33 Consideraciones Generales para el uso de InternetG34 Responsabilidad de Rendir CuentasG35 Actividades de Seguimiento
10/03/2012
Auditoría en Tecnología I 40
III. Normas y Directrices Auditoría de SI 4. Procedimientos de ISACA para Auditoría de SI
P1 Evaluación de Riesgos de SIP2 Firmas DigitalesP3 Detección de IntrusosP4 Virus y otros códigos maliciososP5 Autoevaluación de Control de RiesgosP6 FirewallsP7 Irregularidades y Actos IlegalesP8 Evaluación de la Seguridad – Prueba de Penetración y Análisis de
VulnerabilidadesP9 Evaluación de los controles Dirección sobre las Metodologías de
Encripción
10/03/2012
Auditoría en Tecnología I 41
IV. Análisis de Riesgos1. Definición de Riesgo
“El potencial de que una amenaza determinada explote vulnerabilidades de un activo o grupo de activos causando pérdida o daño a la organización.” ISO/IEC PDTR 13335-1
Amenaza: factor externo fuera de nuestro control
Vulnerabilidad: factor interno susceptible de control
Activo: información, Hw, Sw, Personal TI, Instalaciones
Pérdida o daño: Impacto ($)
10/03/2012
Auditoría en Tecnología I 42
IV. Análisis de Riesgos 2. Elementos de Riesgo
Amenazas a, y Vulnerabilidades de, procesos y/o activos (incluyendo tanto activos físicos como de información)
Impacto sobre los activos basado en amenazas y vulnerabilidades
Probabilidad de amenazas (combinación de la posibilidad y la frecuencia de ocurrencia)Ejemplo:
Amenaza: Fallas en equipamiento de TI de producción
Vulnerabilidad: Instalaciones de procesamiento con insuficientes medidas de protección ambiental
Riesgo: Interrupción de la operación de aplicaciones principales de negocio
Impacto: Pérdida de ingresos, reputación
Probabilidad de ocurrencia: Alta: 3 incidentes último año
10/03/2012
Auditoría en Tecnología I 43
IV. Análisis de Riesgos 3. Riesgo y Planeación de Auditoría
El análisis de riesgos es parte de la planeación de auditoría y ayuda a identificar riesgos y vulnerabilidades para que el Auditor pueda determinar los controles necesarios para mitigar esos riesgos.
S11 – Uso de la evaluación de riesgos en la Planeación de Auditoría El auditor de SI debe utilizar una técnica o
enfoque apropiado de evaluación de riesgos al desarrollar el plan general de auditoría de SI y al determinar prioridades para la asignación eficaz de los recursos de auditoría de SI.
Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos relevantes del área bajo revisión.
10/03/2012
Auditoría en Tecnología I 45
V. Controles Internos1. Concepto y Clasificación
Los Controles Internos son políticas, procedimientos, prácticas y estructuras organizacionales implementadas para reducir los Riesgos.Son desarrollados para proveer una certeza razonable a la Gerencia de que se alcanzarán los objetivos de negocio y de que se prevendrán o detectarán y corregirán los eventos de riesgo.Pueden ser manuales o manejados por recursos de información automatizados.Operan en todos los niveles dentro de una organización.Clasificación de los Controles Internos:
Controles Preventivos Controles Detectivos Controles Correctivos
Responsabilidad del Directorio, Alta Gerencia y empleados.
10/03/2012
Auditoría en Tecnología I 46
V. Controles Internos1. Concepto y Clasificación
Clase Función Ejemplos
Preventivos •Detectar problemas antes que surjan•Monitorear operaciones e ingreso de datos•Impedir que ocurran errores, omisiones o actos deliberados
•Segregar funciones•Controlar acceso físico•Autorización de transacciones•Usar SW Control Acceso•Usar SW de Encripción
Detectivos •Usar controles que detecten y reporten que ha ocurrido un error, una omisión o un acto malicioso.
•Totales de control•Puntos de revisión•Doble verificación de cálculos•Reportes periódicos de desempeño•Funciones de auditoría interna•Revisar logs para detectar intentos de acceso no autorizado
Correctivos •Minimizar el impacto de una amenaza•Remediar problemas descubiertos por los controles detectivos•Identificar la causa de un problema•Corregir errores resultantes de un problema
•Planeación de contingencias•Procedimientos de respaldo•Procedimientos de reproceso
10/03/2012
Auditoría en Tecnología I 48
V. Controles Internos 3. Objetivos de Control de SI
Los objetivos de control interno son declaraciones del resultado deseado o del propósito a ser alcanzado con la implementación de actividades de control (procedimientos).
Los objetivos de control interno aplican a todas las áreas, ya sean manuales o automatizadas. Por lo tanto, conceptualmente, los objetivos de control interno en ambientes automatizados permanecen invariables respecto de un ambiente manual.
10/03/2012
Auditoría en Tecnología I 49
V. Controles Internos 3. Objetivos de Control de SI
Salvaguarda de activos – información protegida Asegurar la integridad de los ambientes de sistema
operativo en general – operaciones y gestión de red. Asegurar la integridad de los ambientes de sistemas de
aplicación sensibles y críticos, a través de: Autorización para ingreso de datos Validación de la entrada de datos Exactitud e integridad del procesamiento de transacciones Confiabilidad de las actividades de procesamiento de
información en general Exactitud, integridad y seguridad de la información de
salida Integridad, disponibilidad y confidencialidad de la base de
datos
10/03/2012
Auditoría en Tecnología I 50
V. Controles Internos 3. Objetivos de Control de SI
Asegurar la eficiencia y efectividad de las operaciones (objetivos operativos)
Cumplimiento con los requisitos de usuarios, políticas y procedimientos organizaciones, así como leyes aplicables (objetivos de cumplimiento)
Asegurar la disponibilidad de los servicios de TI desarrollando Planes de Continuidad de Negocio (BCP) y de Recuperación ante Desastres (DRP)
Aumentar la protección de datos y sistemas desarrollando un Plan de Respuesta ante Incidentes.
Asegurar la integridad y confiabilidad de los sistemas implementando procedimientos efectivos de Gestión de Cambios.
10/03/2012
Auditoría en Tecnología I 51
V. Controles Internos 3. Objetivos de Control de SI
COSO-ERM
Marco integrado de Control Interno y Gestión de Riesgos Corporativos
COBITMarco de referencia de Control de Tecnología de Información y procesos relacionados
10/03/2012
Auditoría en Tecnología I 52
V. Controles Internos 3.1 COSO-ERM
Componentes y
Elementos Clave
de
COSO-ERM
10/03/2012
Auditoría en Tecnología I 53
V. Controles Internos 4. CobiT
Provee un marco con 34 objetivos de control de alto nivel agrupados en un modelo genérico de
procesos organizado en 4 dominios
10/03/2012
Auditoría en Tecnología I 54
V. Controles Internos 4. CobiT
10/03/2012
10/03/2012
Auditoría en Tecnología I 56
V. Controles Internos 5. Procedimientos de Control de Negocio y de TI
El sistema de control interno de la organización impacta en TI a tres niveles:
Al nivel de dirección ejecutiva, se fijan los objetivos de negocio, se establecen políticas y se toman decisiones de cómo aplicar y administrar los recursos empresariales para ejecutar la estrategia de la compañía.
Al nivel de procesos de negocio, se aplican controles para actividades específicas del negocio. La mayoría de los procesos de negocio están automatizados e integrados con los sistemas aplicativos de TI, por eso se conocen como controles de aplicación.
A nivel de TI, los controles aplicados a todas las actividades de servicio de TI se conocen como controles generales de TI.
10/03/2012
Auditoría en Tecnología I 57
V. Controles Internos 5. Procedimientos de Control de Negocio y de TI
Objetivos y Políticas de Alto Nivel: Estrategia y Dirección Organización general y administrativa Políticas y normas de contabilidad Normas de operación relacionadas con el día a día de las
operaciones Controles administrativos relacionados con la eficiencia
operacional y la adherencia a las políticas de la administración
Políticas y procedimientos organizacionales de seguridad Políticas generales para el diseño y uso de documentos y
registros Procedimientos para el acceso autorizado a los activos Políticas de administración del recurso humano Políticas del negocio: Ej: Crédito, Inventarios, Producción
10/03/2012
Auditoría en Tecnología I 58
V. Controles Internos 5. Procedimientos de Control de Negocio y de TI
Controles de Aplicación:Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general como controles de aplicación:
Preparación y Autorización de Información Fuente Recolección y Entrada de Información Fuente Chequeos de Exactitud, Integridad y Autenticidad Integridad y Validez del Procesamiento Autenticación e Integridad de Transacciones Autorización de Transacciones Segregación de funciones Revisión de Salidas, Reconciliación y Manejo de
Errores Registro de pistas de auditoría
10/03/2012
Auditoría en Tecnología I 59
V. Controles Internos 5. Procedimientos de Control de Sistemas de Información
Controles Generales de TI: Planes de TI Controles de acceso a los datos y programas Metodología de Desarrollo de Sistemas y Control de Cambios Operaciones de Procesamiento de Datos Programación de sistemas y funciones de soporte técnico Procedimientos para aseguramiento de calidad Controles de acceso físico Planeación de la Continuidad de Negocios y Recuperación de
Desastres Controles de Redes y Comunicaciones Administración de Base de Datos Seguridad física para todos los centros de datos Revisiones independientes de TI
10/03/2012
Auditoría en Tecnología I 60
VI. Metodología de Auditoría de SI
Proceso sistemático por el cual una persona calificada, competente e independiente revisa y evalúa objetivamente los sistemas automatizados de procesamiento de información y procesos relacionados.
Pasos:
1. Planeación2. Valorar los riesgos generales y de aplicación3. Desarrollar un programa de auditoría4. Ejecución de procedimientos de auditoría5. Elaborar informe de auditoría
10/03/2012
Auditoría en Tecnología I 61
VI. Metodología de Auditoría de SI 1. Programa de Auditoría
Contiene el alcance, los objetivos y los procedimientos de auditoría para lograr la evidencia suficiente, competente y confiable para obtener y sustentar las conclusiones y opiniones de auditoría.
Procedimientos básicos: Obtener conocimiento sobre el objeto de auditoría Valorar los riesgos y planeación general de la auditoría Planeación detallada de auditoría Revisión preliminar del área/objeto de la auditoría Evaluación del área/objeto de la auditoría Verificación y evaluación de controles Pruebas de cumplimiento Pruebas sustantivas Comunicar resultados
10/03/2012
Auditoría en Tecnología I 64
VI. Metodología de Auditoría de SI 3. Enfoque de Auditoría Basado en Riesgos
10/03/2012
Pregunta de Repaso
10/03/2012
Auditoría en Tecnología I 67
VI. Metodología de Auditoría de SI 5. Valoración y Tratamiento de Riesgos
Valoración de los Riesgos de Seguridad Comprender el proceso de administración del riesgo Gestionar los riesgos de seguridad de la información Alcance de la valoración de riesgos
Opciones para Tratar los Riesgos de Seguridad Aplicar los controles apropiados para reducir los riesgos Aceptar los riesgos en concordancia con la política de
aceptación de riesgos Evitar riesgos al no permitir acciones que causarían que
ocurrieran los riesgos Transferir los riesgos asociados a otras partes
10/03/2012
Auditoría en Tecnología I 68
VI. Metodología de Auditoría de SI 6. Técnicas de Valoración de Riesgos en Auditoría
El auditor debe evaluar los riesgos para determinar las áreas funcionales a ser auditadas.
Metodologías cualitativas y cuantitativas Sistema de puntuación (scoring) para priorizar auditorías
con base en una evaluación de factores de riesgo: Complejidad técnica Nivel de procedimientos de control establecidos Nivel de pérdida financiera…
Permite la asignación efectiva de los recursos limitados de auditoría.
10/03/2012
Auditoría en Tecnología I 69
VI. Metodología de Auditoría de SI 7. Objetivos de la Auditoría
Los objetivos de la auditoría se enfocan generalmente en validar que existen controles para minimizar los riesgos del negocio, y que estos funcionan como se espera:
Confidencialidad Integridad Disponibilidad Confiabilidad Cumplimiento
Traducir los objetivos generales de una auditoría integral en objetivos específicos de control de SI.
En la planeación el auditor debe identificar los objetivos de control y los controles relacionados que tratan el objetivo.
La revisión inicial del SI identificará los controles clave tanto generales como de aplicación; y, entonces decidir si se los prueba para verificar su cumplimiento.
También se puede valorar la integridad de los datos de un informe financiero (prueba sustantiva) a través de TAAC´s.
10/03/2012
Auditoría en Tecnología I 71
VI. Metodología de Auditoría de SI 9. Evidencia
Es la información usada por el auditor para determinar si el objeto auditado cumple los criterios u objetivos establecidos, y soporta las conclusiones de auditoría.
Evidencia suficiente, relevante y competente. Determinantes de la confiabilidad de la evidencia:
Independencia de la fuente de la evidencia Credenciales de quién provee la evidencia Objetividad de la evidencia Tiempo de disponibilidad de la evidencia
Técnicas para recopilación de evidencia: Revisión de las estructuras organizacionales de TI Revisión de políticas y procedimientos de SI Revisión de las normas de SI Revisión de la documentación de SI Entrevistas al personal apropiado Observación de procesos
10/03/2012
Auditoría en Tecnología I 77
VI. Metodología de Auditoría de SI 12. Comunicación de Resultados
Entrevista final para discutir los hallazgos y las recomendaciones con la Gerencia.
Estructura y Contenido: Introducción, declaración de objetivos, limitaciones y alcance Conclusión y opinión generales respecto a si los controles evaluados son
los adecuados Las reservas o calificaciones del auditor con relación a la auditoria Los hallazgos detallados y las recomendaciones de auditoria
10/03/2012
Auditoría en Tecnología I 78
VII. Tendencias en Auditoría 1. Papeles de Trabajo Automatizados
Uso de aplicaciones especializadas diseñadas para crear papeles de trabajo de auditoría (análisis de riesgos, programas de auditoría, resultados, evidencia de pruebas, conclusiones, informes)
Ejemplo: Autoaudit
10/03/2012
Auditoría en Tecnología I 79
VII. Tendencias en Auditoría 2. Auditoría Integrada
10/03/2012
Auditoría en Tecnología I 80
VII. Tendencias en Auditoría 3. Auditoría Continua
Monitoreo en tiempo real Informes financieros con mayor frecuencia Módulos integrados de auditoría Captura de tipos predefinidos de eventos Inspección directa de condiciones y transacciones anormales o
sospechosas. Evaluar el Costo de los módulos integrados. Evaluar las Habilidades técnicas requeridas. Tendencia en SW de tipo ERP
10/03/2012