Políticas de seguridad
Plan de Seguridad
Normas Y Procedimientos
Medidas Tecnológicas implantadas
Incremento desmesurado de costes.
Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).
Desviaciones Presupuestarias significativas.
Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).
Síntomas de debilidades económico-financiero
Hay que conocer detalladamente la configuración de los sistemas informáticos para analizar los elementos, los productos y las herramientas que se disponen; de esta manera saber donde se pueden implantar los controles y así identificar los posibles riesgos.
IMPLANTACIÓN DE CONTROLES INTERNOS IFORMÁTICOS
Para asegurar la integridad, la disponibilidad y la eficacia de los sistemas informáticos es necesario establecer mecanismos de control ya sean completamente automáticos o completamente manuales; dependiendo de la combinación de elementos de software y procedimientos.
Se categoriza a los controles internos en:
Preventivos.
Detectivos.
Correctivos.
CATEGORÍAS DE CONTROLES INTERNOS
CONTROL INTERNO Y AUDITORIA
CONTROL INTERNO VS
AUDITORIA INFORMATICA
Cambios y versiones de software.
Producción diaria.
Control de la calidad y eficiencia del desarrollo y mantenimiento del software
Redes de datos y Redes de comunicaciones.
Software Base.
Seguridad informática.
Usuarios, Responsables, Perfiles de uso de archivos y Bases de Datos
Normas de seguridad.
Control de información clasificada.
Licencias y relaciones contractuales con otras empresas.
Transmisión de cultura sobre el riesgo informático.
CONTROL DE ACTIVIDADES OPERATIVAS
Por lo que es muy importante documentar todos los detalles en los diferentes niveles de control relacionados, entre los más importantes :
Entorno de Red.
Configuración de servidores y estaciones de trabajo.
Seguridad de servidores y estaciones de trabajo.
Entorno de aplicaciones.
Productos y herramientas.
Sistemas de información
Modificación de programas.
IMPLANTACIÓN DE CONTROLES INTERNOS INFORMÁTICOS
1. Controles Generales Organizativos
Políticas
Planificación
Plan estratégico de Información
Plan Informático
Plan General de seguridad (física y lógica)
Plan de emergencias ante desastres
Estándares.
Procedimientos.
Organigrama.
Descripción de funciones y responsabilidades.
Políticas de personal.
Revisión de informes de control.
Resolución clasificación de información
Designación oficial de Control Interno.
TIPOS DE CONTROLES INTERNOS
2. Controles de desarrollo, adquisición de S.I.
Metodología del ciclo de vida.
3. Controles de mantenimiento de S.I.
Planificación y gestión de recursos.
Control de uso de los recursos
Calendario de carga de trabajo
Programación de personal
Mantenimiento preventivo.
Gestión de problemas
Biblioteca de soportes
Procedimientos de selección del software.
Seguridad Física y lógica
TIPOS DE CONTROLES INTERNOS
FASE 4. SÍNTESIS Y DIAGNÓSTICO.
Conclusión del estudio y el equipo auditor deberá analizar e interpretar la información obtenida concluyendo con un diagnóstico de lo observado.
Debilidades
Amenazas
Fortalezas
Oportunidades
Riesgos Eventuales
Posibles soluciones y mejoras.
FASES DE DESARROLLO DE UNA AUDITORIA T.I.
FASE 3. DESARROLLO DE LA AUDITORÍA.
Buscar las evidencias que pudieran llevar a las conclusiones ciertas del diagnóstico.
Entorno Informático
Grado de utilización y satisfacción de los usuarios.
FASES DE DESARROLLO DE UNA AUDITORIA T.I.
FASE 2. PLANIFICACION DE LA OPERACIÓN.
Objetivos
Fechas
Ámbito de estudio
Posibles problemas
Inventario de puntos a estudiar.
Personal de la organización que debe colaborar y en que momento deben hacerlo.
Documentos a reunir, etc.
FASES DE DESARROLLO DE UNA AUDITORIA T.I.
FASE 1. TOMA DE CONTACTO.
Conocimiento de la organización y objeto de la auditoría.
Análisis Inicial.
Sobre la organización en general
Sobre el CPED, (Estructura, Recursos Humanos, Materiales y Tecnológicos
Análisis Detallado.
Se profundiza en el análisis anterior y se elaboran El Plan de trabajo (equipo de trabajo, presupuesto, tiempos, etc.
FASES DE DESARROLLO DE UNA AUDITORIA T.I.
4. Control en aplicaciones
Entrada de datos
Procesamiento de datos.
Salida de información.
5. Control específicos.
Bases de datos locales
Bases de datos distribuidos y redes
Computares personales y redes lan
TIPOS DE CONTROLES INTERNOS
Controlar que TODAS las actividades se realizan de acuerdo a los procedimientos y normas establecidas
Evaluar permanentemente los procedimientos y normas vigilando que no se contradigan con las normas y procedimientos legales
Difundir adecuadamente el conocimiento de las normas y procedimientos.
Colaborar y apoyar el trabajo de la Auditoría Informática.
Definir, implantar y ejecutar controles que permitan comprobar la eficiencia y eficacia de los servicios informáticos.
Controlar las actividades operativas en todos los entornos informáticos (redes, computadores, servidores, comunicaciones, Bases de Datos, etc.)
OBJETIVOS DEL CONTROL INTERNO
Controla diariamente que todas actividades de los sistemas de información se realicen cumpliendo requerimientos legales establecidos por la autoridad de control gubernamental, así como estándares y procedimientos propios que fijados por la Dirección General y/o por la Dirección de Informática.
Asegura que las medidas implantadas sean correctas y validas.
Se conforma por personal propio de Dirección de Informática de la empresa
CONTROL INTERNO INFORMÁTICO
Un centro de informática en cualquier empresa es muy importante; por el volumen de información y recursos tecnológicos que utiliza.
Esto hace necesario que los controles sean los adecuados apareciendo dos elementos :
CONTROL INTERNO INFORMÁTICO
AUDITORÍA INFORMÁTICA
CONTROL INTERNO
Según "The Electronic Data Processing Auditors Foundations Inc." lo indispensable es que tenga INDEPENDENCIA y sus características deben ser
El auditor de TI tienen la obligación de ser independiente respecto a la auditoría "Punto de vista imparcial que le permita obrar objetiva y justamente."
El auditor no debería participar en la auditoría si su independencia se viera controlada.
El auditor no solo debe ser independiente, sino guardar las apariencias.
El auditor debe ser independiente organizativamente del área auditada.
Si la independencia del auditor se viera coartada, deberá ser notificada por escrito.
El Auditor y la dirección debe evaluar continuamente la independencia.
El trabajo e informe del auditor debe representar ser un descargo de responsabilidades profesionales detallando todo lo que debería informar
PERFIL DEL AUDITOR T.I.
PERFIL DEL AUDITOR DE TECNOLOGIAS DE INFORMACIÓN
Conocimientos importantes de informática, aunque no debe ser un experto en todos los ámbitos.
Conocimientos de auditoría, psicología, dirección de equipos de trabajo, redacción de informes, etc.
Cualidades personales, equilibrio emocional, intuición profesional, dinamismo, capacidad de escuchar y de dar valor a los problemas con suficiente independencia.
De la seguridad física. Ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
De la seguridad lógica. Comprende los métodos de autenticación de los sistemas de información.
De las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
De la seguridad en producción. Frente a errores, accidentes y fraudes.
TIPOS DE AUDITORÍA INFORMÁTICA
De la Gestión. La contratación de bienes y servicios, documentación de los programas, etc.
Legal del Reglamento de Protección de Datos. Cumplimiento legal de las medidas de seguridad exigidas por los reglamentos y leyes de cada país.
De los datos. Clasificación de los datos, estudio de las aplicaciones y análisis de los diagramas de flujo.
De las bases de datos. Controles de acceso, de actualización, de integridad y calidad de los datos.
De la seguridad. Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
AUDITORÍAS INFORMÁTICA ESPECIALIZADAS
Seguridad Lógica
Seguridad Física
Confidencialidad
Continuidad del Servicio
Planes de Contingencia
Síntomas de inseguridad
Herramientas ofimáticas
Procesadores de texto, hojas de cálculo, bases de datos
Programas estadísticos (software de auditoria general y aplicaciones específicas) "computing auditing tools" CAT, ENCASE
INSTRUMENTOS DE AYUDA
DEL AUDITOR DE TI
Hasta hace ya algunos años se han utilizado productos software llamados genéricamente
, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático.
Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación.
En la actualidad, los productos Software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada.
Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.
Del mismo modo, la proliferación de las redes locales y de la filosofía "Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informático copia en su propia PC la información más relevante para su trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e información parcial generada por la organización informática de la Compañía.
Existen aspectos externos que influyen en las empresas y organizaciones
Globalización. Diversificación de actividades. Eliminación de negocios no rentables. Introducción de nuevos productos para responder a la competencia. Fusiones y formación de alianzas estratégicas, etc.
Los directivos deben evitar fallas en el control por lo que deben re-evaluar y re-estructurar sus sistemas de control interno.
Deben actuar de manera pro-activa antes de que surjan los problemas, garantizando que los controles internos estén diseñados para enfrentar el futuro asegurando integridad
CONTROL INTERNO
Asociaciones Profesionales
Representarles antes los poderes públicos.
Defensa de intereses de la profesión.
Vigilancia de estándares éticos y profesionales.
Difusión de información y formación profesional.
ISACA: Information Systems Audit and Control Association
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Gráficos, Hojas de Cálculo, etc.
Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditoría) a recabar información de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones más autorizadas indican que el trabajo de campo del auditor informático debe realizarse principalmente con los productos del cliente.
FASE 5. PRESENTACION DE CONCLUSIONES.
El equipo auditor deberá exponer a la dirección las conclusiones a las que ha llegado, manteniendo con las personas afectadas entrevistas previas al informe final.
Hechos constatados.
Conclusiones argumentadas.
Propuestas realistas y constructivas.
Plan de mejoras.
FASES DE DESARROLLO DE UNA AUDITORIA T.I.
FASE 6. REDACCIÓN DEL INFORME Y FORMULACIÓN DEL
PLAN DE MEJORAS
Carta de presentación del informe
Introducción al informe
Principales observaciones y deficiencias encontradas.
Descripción exacta conveniente y no repetitiva con repercusiones y recomendaciones sobre
Auditoría funcional (procedimientos, seguridad, costo, etc)
Auditoria operativa (plazos, relaciones controles etc.)
Recomendaciones y plan de acción.
Plan de mejoras realista a
Corto Plazo Inversiones en tiempo y dinero.
Mediano Plazo Mayor inversión en tiempo y dinero.
Largo Plazo Políticas y reorganizaciones estructurales, mayor necesidad de esfuerzo y planificación
FASES DE DESARROLLO DE UNA AUDITORIA T.I.
Las entrevistas iniciales son muy importantes
Evitar situaciones preventivas de los usuarios ante el auditor.
Cuidar la veracidad de los datos recibidos.
Los usuarios deben contribuir a verificar la ausencia de errores.
Comprobar la colaboración de los otros departamentos con el de informática.
Establecer buenos controles.
RECOMENDACIONES PRÁCTICAS
GENERALIDADES
La Sistemas Informáticos actuales son parte de gestión integral de la empresa u organización, por esta razón las normas y estándares propiamente informáticos deben someterse a las normas y estándares generales de la empresa u organización.
La auditoría de sistemas informáticos tiene los siguientes objetivos
Analizar la eficiencia de los Sistemas Informáticos.
Verificar del cumplimiento de la normativa en este ámbito.
Revisar de la eficaz gestión de los recursos informáticos.
Emitir una opinión de la gestión informática.
OBJETIVOS
No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.
No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de aplicaciones críticas y sensibles.
Síntomas de mala imagen e insatisfacción de los usuarios
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.
Una definición general sería:
Auditoría de Sistemas Informáticos es un examen sistemático, profesional, ético y objetivo que analiza y evalúa procesos y sistemas informáticos a través de un muestreo y hallazgos, donde se incluye evidencia para dar una opinión razonable de lo evaluado en una organización o empresa el mismo que será presentado en un informe de auditoría con sus respectivo dictamen y recomendaciones.
DEFINICIONES
AUDITORÍA
DE SISTEMAS INFORMATICOS
La auditoría informática debe poseer, un cuerpo de conocimientos, normas, técnicas y buenas practicas dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la información tratada y almacenada a través del computador y equipos afines, así como de la eficiencia, eficacia y economía con que la administración de una empresa u organización están manejando esta información y junto con todos los recursos físicos y humanos asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y almacenamiento.
Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si el departamento informático salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes. Wikipedia
ALCANCE DE
LA AUDITORÍA DE
SISTEMAS INFORMÁTICOS
No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
(Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante)
Síntomas de descoordinación y desorganización
SÍNTOMAS DE NECESIDAD DE
UNA AUDITORÍA INFORMÁTICA
Los Sistemas Informáticos han de protegerse de modo global y particular; a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función, se está en el campo de la Auditoría de Organización Informática.
La Auditoría Informática comprenderá la evaluación de los equipos de cómputo, calidad de materiales, organización de centros de información, hardware, redes, sistemas o procedimientos específicos.
Tendrá que evaluar los sistemas de información en general, software, sistemas operativos, licencias de software, entradas, procedimientos, controles, archivos, seguridad y obtención de información, contratos, etc.
CARACTÉRISTICAS DE
LA AUDITORÍA DE SISTEMAS INFORMÁTICOS
Cuando se va a realizar una auditoría sistemas informáticos
"El alcance" de la misma es lo primero que se debe definir con precisión, es decir se debe establecer el entorno y los límites en los que se va a desarrollar la misma.
El alcance ha de figurar expresamente en el Informe Final de auditoría, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales aspectos han sido omitidos.
La auditoría de sistemas informáticos permite a través de una revisión independiente, la evaluación de actividades, funciones específicas, resultados u operaciones de una organización, con el fin de evaluar su correcta realización.
Se debe hace énfasis en la revisión independiente, debido a que el auditor debe mantener independencia mental, profesional y laboral para evitar cualquier tipo de influencia en los resultados de la misma, por lo que se establecen equipos multidisciplinarios formados por Ingenieros Informáticos e Ingeniería Técnica en Informática y licenciados en derecho especializados en auditoría, etc.
Ejemplos de alcance
Se someterán los registros grabados a un control de integridad exhaustivo?
¿Se comprobará que los controles de validación de errores son adecuados y suficientes?
La indefinición de los alcances de la auditoría compromete el éxito de la misma.
Haga clic para modificar el estilo de título del patrón
Haga clic para modificar el estilo de texto del patrón
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
10/11/2015
Nº
Haga clic para modificar el estilo de título del patrón
Haga clic para modificar el estilo de subtítulo del patrón
10/11/2015
Nº
Haga clic para modificar el estilo de título del patrón
Haga clic para modificar el estilo de texto del patrón
Haga clic para modificar el estilo de texto del patrón
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
10/11/2015
Nº
Haga clic para modificar el estilo de texto del patrón
Haga clic en el icono para agregar una imagen
10/11/2015
Nº
Haga clic para modificar el estilo de título del patrón
Haga clic para modificar el estilo de título del patrón
Haga clic para modificar el estilo de texto del patrón
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
10/11/2015
Nº
Haga clic para modificar el estilo de título del patrón
Haga clic para modificar el estilo de texto del patrón
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
10/11/2015
Nº
10/11/2015
Nº
Haga clic para modificar el estilo de título del patrón
Haga clic para modificar el estilo de texto del patrón
Haga clic para modificar el estilo de texto del patrón
Haga clic para modificar el estilo de texto del patrón
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrón
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
10/11/2015
Nº
Haga clic para modificar el estilo de texto del patrón
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
10/11/2015
Nº
Haga clic para modificar el estilo de título del patrón
Haga clic para modificar el estilo de título del patrón
Haga clic para modificar el estilo de texto del patrón
10/11/2015
Nº
Haga clic para modificar el estilo de texto del patrón
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Haga clic para modificar el estilo de texto del patrón
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
10/11/2015
Nº
Haga clic para modificar el estilo de título del patrón
10/11/2015
Nº
Haga clic para modificar el estilo de título del patrón
