M. Sc. Miguel Cotaña Mier Lp, Septiembre 2018

14.6. Normas de Buenas Prácticas

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

Carrera de Contaduría Pública

GABINETE DE AUDITORIA DE

SISTEMAS

2

Desde un tiempo atrás, la sociedad estestigo de la existencia de publicacionesde normas y “buenas prácticas” sobre lagestión y la seguridad de las TIC´s,algunas totalmente nuevas, otras conactualizaciones periódicas y otrassimplemente “remozadas”.

INTRODUCCIÓN

3

En muchos de estos casos, estas normas ybuenas prácticas están relacionadas con elgobierno de TI.La implantación de una norma, en unentorno de TI, no es un obstáculo para quelos ASI puedan emitir un informe o dictamenindependiente, basado en pruebasindependientes, sobre la confianza quepuede depositar en su TI, como soporte desu “negocio” e identificando los riesgos queTI puede implicar.

4

La necesidad de contar con lineamientosy herramientas estándar para elejercicio de la ASI ha promovido lacreación y desarrollo de mejoresprácticas como:

5

Las mejores prácticas son directrices quepermiten a las empresas modelar susprocesos para que se ajusten a sus propiasnecesidades, proporcionan a las empresas y/oorganizaciones métodos utilizados paraestandarizar procesos y administrar de unamejor manera los entornos de TI.

MEJORES PRÁCTICAS

6

Las empresas que deseen utilizar un enfoquebasado en mejores prácticas para laestandarización de estas directrices, tienencomo opción varias metodologías que serándescritas a lo largo de este capítulo.A continuación se presenta un marco en elque se pueden encerrar las mejores prácticasde la auditoría, dado que todas responden alsiguiente esquema:

7

Identificación: Buscan definir lasnecesidades de la organización que deben seridentificadas respecto de la auditoría, asícomo las debilidades propias, a fin dedeterminar el objetivo a seguir;Administración de calidad total:Incorporan conceptos de calidad totalaplicada a la auditoría sobre la base de lamejora continua, con el pertinente conceptode medición y evaluación de resultados;

8

Comunicación: Buscan establecer unproceso de comunicación interna quepropenda a informar lo actuado, lo planeado ylas mejoras obtenidas;Tecnología: Recomiendan emplear recursosde tecnología informática al proceso deauditorías privilegiando la eficacia, eficiencia yoportunidad en los resultados de lasrevisiones;

9

Interrelación externa: Proponen mantenerestrechas relaciones profesionales con otrasgerencias de auditoría a fin de intercambiarestrategias, criterios y resultados;Agente de cambio: Proporcionan las basespara posicionar a la Auditoría como un agentede cambio a fin de implementar la autoevaluación del control;Reingeniería de auditoría: Proponen elcambio funcional.

10

Es la base sobre la que se construye la tomade decisiones de una organización. Sinaseguramiento, las empresas no tienencertidumbre de que la información sobre laque sustentan sus decisiones es confiable,segura y está disponible cuando se lenecesita.

ASEGURAMIENTO DE LA INFORMACIÓN

11

Definimos Aseguramiento de la Informacióncomo “la utilización de información y dediferentes actividades operativas, con el fin deproteger la información, los sistemas deinformación y las redes de forma que sepreserve la disponibilidad, integridad,confidencialidad, autenticación y el norepudio, ante el riesgo de impacto deamenazas locales, o remotas a través decomunicaciones e Internet”.

12

Una tarea de aseguramiento puede darse acualquier nivel, por lo que a continuación sedescribe brevemente las más importantes:Aseguramiento de los Datos: Referente lainformación histórica o prospectiva,probabilística e indicadores de desempeño;Aseguramiento de los Procesos: Basadoprincipalmente en controles internos yprocedimientos establecidos para laprotección de intereses;

13

Aseguramiento del Comportamiento:Conformidad con normas, regulaciones omejores prácticas;Aseguramiento del Sistema de Gestión:En la que los objetivos del negocio sonestablecidos para proteger a todos losinvolucrados: directivos y empleados.

14

La administración del aseguramiento de lacalidad valida que los SI producidos por lafunción de sistemas de información logren lasmetas de calidad y que el desarrollo,implementación, operación, y mantenimientode dichos sistemas, cumplan con un conjuntode normas de calidad.

ASEGURAMIENTO DE LA CALIDAD

15

En la actualidad es más común ver que losusuarios se están haciendo más exigentes entérminos de la calidad del software queemplean para realizar su trabajo, por elloactualmente el aseguramiento de la calidadha tomado mayor importancia.Las entidades se están comprometiendo enproyectos de SI que tienen requerimientos decalidad más estrictos y se preocupan cada vezmás sobre sus responsabilidades legales alproducir y vender software defectuoso.

16

Debido a esto, mejorar la calidad del softwarees parte de una tendencia universal entre lasorganizaciones proveedoras para mejorar lacalidad de los productos y los servicios queofrecen, agregando valor a los controles deproducción, implementación, operación ymantenimiento del software.

17

Vigente apartir del1ro. denoviembrede 2012

Normas de TIC

18

Es el examen objetivo, crítico, metodológico yselectivo de evidencia relacionada con políticas,prácticas, procesos y procedimientos en materia detecnologías de la información y la comunicación,para expresar una opinión independiente respecto:a) A la confidencialidad, integridad, disponibilidad yconfiabilidad de la información.

b) Al uso eficaz de los recursos tecnológicos.c) A la eficacia del control interno asociado a losprocesos de las Tecnologías de la Información yla Comunicación.

19

La auditoría de TIC está definidaprincipalmente por sus objetivos y puede serorientada hacia uno o varios de los siguientesenfoques:a) Enfoque a las seguridades;b) Enfoque a la información;c) Enfoque a la infraestructura tecnológica;d) Enfoque al software de aplicación;e) Enfoque a las comunicaciones y redes.

20

La auditoría detecnologías de lainformación y lacomunicación se debeplanificar en formametodológica, paraalcanzareficientemente losobjetivos de la misma.

1ra. Norma: PLANIFICACIÓN

21

Personal competentedebe supervisarsistemática yoportunamente eltrabajo realizado porlos profesionales queconformen el equipode auditoría.

2da. Norma: SUPERVISIÓN

22

Debe obtenerseuna comprensióndel control internorelacionado con elobjeto del examen.

3ra. Norma: CONTROL INTERNO

23

Debe obtenerseevidenciacompetente ysuficiente comobase razonablepara sustentar loshallazgos yconclusiones delauditorgubernamental.

4ta. Norma: EVIDENCIA

24

La acumulación de evidencia es unproceso integrado a toda la ejecución dela auditoría y debe sustentar todos losatributos de los hallazgos de auditoría:

Condición: Situación deficienteencontrada. “Lo que es”;

Criterio: Es la norma contra la cual elauditor mide la condición. “Lo quedebe o debió ser” ;

25

Causa: Párrafo donde el auditor detallalas razones por las cuales a su juicio,ocurrió la condición observada. “Porqué ocurrió la condición”;

Efecto: Es la consecuencia real opotencial, cuantitativa o cualitativa de lacondición descrita. “La diferenciaentre lo que es y debió ser”

RecomendaciónComentario de la entidadConclusión.

26

Recomendaciones generales con el propósito de minimizar los riesgos y eliminar las causas detectadas que afectan a: la integridad y confiabilidad de la información gestionada en XX.

COMENTARIOS Y SUGERENCIAS RESULTANTES DE LA EVALUACIÓN DE LOS SISTEMAS DE

INFORMACIÓN

1 Necesidad de una Auditorías de Sistemas

2 Necesidad de actualizar e implementar normas políticas y procedimientos para la

administración de las tareas relacionadas con tecnología de la información

3 Recomendaciones para la seguridad física del centro de cómputo

4 Debilidades en el proceso de desarrollo y mantenimiento de componentes y/o sistemas de

información.

5 Debilidades en las copias de respaldo

6 Necesidad de implementar modificaciones y bajas automáticas en la gestión de claves.

27

3 RECOMENDACIONES PARA LA SEGURIDAD FÍSICA DEL CENTRO DE CÓMPUTO

Condición

Como resultado de la evaluación de seguridad física realizada al Centro de Cómputo de

la Entidad, se observó que el Data Center al ser un activo informático, no se ubica en un

lugar adecuado para garantizar la seguridad de los equipos donde residen los sistemas del

Programa.

Por otro lado, el acceso al área de sistemas ni al Centro de Cómputo es controlado, como

especifica el Manual de Seguridad y Contingencias.

No se aplica correctamente el Cableado Estructurado.

28

Criterio

De acuerdo con la ISO 27002, en su apartado 9.2.1 "Ubicación y protección del

equipamiento", los equipos deben ser ubicados y protegidos para reducir los riegos

ocasionados por amenazas y peligros ambientales y oportunidades de accesos no

autorizados.

Asimismo, el Estándar TIA-942 se encarga de brindar los requerimientos y lineamientos

necesarios para el diseño e instalación del Data Center.

La aplicación de infraestructura con componentes redundantes (TIER II), infraestructura

con mantenimiento simultaneo (TIER III) e infraestructura tolerante a fallos (TIER IV), control

de ingreso y salida, tanto de personal autorizado y no autorizado y Cableado Estructurado,

deben ser considerados a la hora de implementar un Data Center.

29

Causa

Este aspecto no fue considerado con anterioridad.

Efecto

El no contar con infraestructura adecuada reduce las medidas de seguridad básicas de

protección del equipamiento, incrementa el riesgo de que se generen accesos no

autorizados a la información y que los equipos puedan sufrir amenazas físicas y ambientales

las cuales deriven en la interrupción de las operaciones del programa por falta de los

sistemas de información.

30

Recomendación

Debería considerarse que el ambiente de procesamiento de datos cuente con las

siguientes medidas como ser:

Empresas que dan soporte 24/7;

Servicios 24x365;

Manejo térmico;

Software de administración de infraestructura física diseñada como solución

integral;

Detección y supresión de incendios;

Generadores de energía

Cajas ignifugas, para el resguardo de los medios de almacenamiento removibles

(tales como cintas, discos ópticos, etc.)

Armarios especiales con algún tipo de dispositivo de cierre;

Monitoreo y personal de seguridad 7x24;

Acceso restringido a través de tarjetas de proximidad y sensores biométricos de

huella, temperatura corporal y de iris;

Resguardo físico por vidrios anti-balas nivel 7 y puertas de acero;

Sistemas de detección de intrusos;

Sistemas de análisis de seguridad de activos.

31

Comentario de la entidad:

Se tomará en cuenta la presente recomendación, acorde con la propuesta de

modernización de las Tecnologías de la Información presentada por la Unidad de Sistemas,

evaluando la posibilidad institucional de realizar mejoras en el ambiente y otros

requerimientos relacionados, si el caso amerita.