AuditoríaSistemasEjemplos prácticos.2012v0

MODELO ORGANIZACIONAL Y OPERATIVO DE LA PRÁCTICA DE LA AUDITORÍA INFORMÁTICA

Ejemplos prácticos Auditoría de procesos Auditorías de Arquitecturas Tecnológicas Damián Ruiz Soriano (CISA, CISSP. Lead Auditor) Departamento de Auditoría de Sistemas de Producción de Bankia [email protected] 23 de octubre de 2012 Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos

1

Conceptos básicos. Objetivos de control. Controles Evaluación

Auditoría Informática: Misión Evaluar la estructura de control interno Fortalezas y debilidades materiales en el diseño e implementación de controles internos y su eficacia para alcanzar los objetivos de control

Controles Objetivo de Control

Evaluar

Práctica de control=Controles Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

2

Conceptos básicos. Objetivos de control. Controles Evaluación Objetivo de Control •Un objetivo de control en TI es una definición del resultado o propósito que se desea alcanzar implementando prácticas de control (técnicos, humanos, procedimentales) en un proceso específico de TI (o directamente con las actividades específicas dentro del proceso) • Los objetivos de control son requisitos de alto nivel que deben ser considerados para el control eficaz del proceso.

Controles •Políticas, procedimientos, prácticas y estructuras organizacionales implementadas para proveer una certeza razonable de que se alcanzarán los objetivos de negocio de una organización y que los eventos de riesgo no deseados serán previstos o detectados. •El control es el medio por el cual se alcanza los objetivos de control.

Evaluar

•Políticas, procedimientos, prácticas y estructuras organizacionales implementadas. Práctica de control=Controles

Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

3

Conceptos básicos. Objetivos de control. Controles Evaluación … Asegurar el servicio continuo Garantizar la seguridad del sistema …

Proceso

Administración de Instalaciones Administración de problemas e incidentes Administración de Operaciones

… Sistema de Administración de Problemas Escalamiento de Problemas Seguimiento de Problemas

Actividad …

Objetivo de Control

Controles

La Gerencia deberá definir e implementar procedimientos de escalamiento de problemas para asegurar que los problemas sean resueltos oportunamente de la manera más eficiente. Estos procedimientos deberán asegurar que las prioridades sean establecidas apropiadamente.

•Los escalamientos de problemas se notifican al nivel apropiado. •Se evalúa periódicamente el proceso de manejo de problemas (efectividad y eficiencia). •Se realizan reportes de incidentes para los eventos críticos


4

Conceptos básicos. Objetivos de control. Controles Evaluación Objetivos de Control. Controles. Pueden estar identificados (o no) e implementados (o no) por parte del propietario del proceso. En cualquier caso el Auditor debe estar capacitado para definir/exigir objetivos de control y controles a partir de modelos de buenas prácticas de gestión y control (ej. CoBIT, ITIL)

Identificación Objetivos de Control Existen definiciones formales

NO existen definiciones formales

Identificar objetivos de control de alto nivel del propietario del proceso Mapear con objetivos de control de alto nivel con marcos de referencia. (identificar ausencias)

Definir objetivos de control de alto nivel según marcos de referencia.

Identificación de Controles Analizar documentación existente asociada al proceso a auditar, para identificar controles definidos formalmente o tareas de las cuales se puedan inferir controles.

Mapear con controles de marcos de referencia. (identificar ausencias) Definir prácticas de control que den cobertura a los objetivos de control. Analizar los marcos de referencia.

Desarrollar un cuestionario de puntos de control


5

Metodología Objetivos de Control. Controles. [Mejores prácticas] Mejores prácticas: "una manera de hacer las cosas o un trabajo, aceptado ampliamente por la Evolución de la práctica auditora de industria y que funciona correctamente..." Aidan Lawes, CEO itSMF Sistemas de Información

"Las mejores prácticas" son la mejor identificación de acercamiento a una situación basada en observaciones sobre organizaciones efectivas en similares circunstancias de negocio. Un acercamiento a "las mejores prácticas" significa la búsqueda de ideas y experiencias que han funcionado con aquellos que emprendieron actividades similares en el pasado y se decide cuál de esas prácticas son relevantes con la situación actual que se tiene. Una vez identificadas, se prueban con intención de ver si las mismas funcionan, antes de incorporarlas cómo prácticas aprobadas en su propio proceso documentado.

"Las mejores prácticas" evitan "re-inventar la rueda", sino que es el aprendizaje a través de otros, con implementaciones que han sido desarrolladas para que funcionen correctamente.


6

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3

Cobit • • •

Objetivos de Control para Tecnología de Información ¿Qué es?: Un estándar de Controles y Auditoría de Tecnología Informática Un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes, auditores.

•

Gerencia (apoyo a decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control) Auditores : soportar opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido. Responsables de TI: para identificar los controles que requieren en sus áreas

• •

• •

• •

Define las actividades de TI de una organización, en un modelo genérico de procesos. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los trabajos de la organización, con el fin de que visualicen y administren las actividades de TI. La incorporación de un modelo y un lenguaje común para todas las partes de un negocio involucradas en TI es uno de los pasos iniciales más importantes hacia un buen gobierno. Brinda un marco de trabajo para la medición y monitorización del desempeño de las Tecnologías de Información, e integra las mejores prácticas administrativas. Fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Determina las actividades y los riesgos que requieren ser administrados.


7

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 Pilares del Modelo CobiT

• • •

Requerimientos de la información del negocio. Recursos de Tecnología Informática Procesos de Tecnología Informática

REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO

PROCESOS DE TI RECURSOS DE TI


8

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 Requerimientos de la Información del Negocio • Confidencialidad: Protección de la información sensible contra divulgación no autorizada o desde el punto de vista del uso no autorizado. –

Grado de protección que tiene la información y los sistemas de información para evitar el acceso no autorizado

• Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa. –

Que la información sea coherente, competa, fiable y veraz

• Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. –

Que la información y los sistemas de información estén disponibles siempre que se necesiten

• Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. • Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en su debido momento oportuna, correcta, consistente y de manera utilizable . –

Que los sistemas informáticos sea suficientes para dar soporte a los procesos

• Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica). –

Que los costes en los que se incurre sean razonables y proporcionados a sus necesidades y que estén correctamente gestionados

• Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.


9

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 Recursos de Tecnología Informática •

Datos: Los objetos de información. Información interna y externa, estructurada o no, gráficas, sonidos, etc. Información

•

Aplicaciones: Entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Aplicaciones propias, desarrolladas por terceras casa o compradas a terceros.

•

Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

•

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Infraestructura: Hardware, sistemas operativos, gestores de bases de datos, redes e instalaciones.

•

Recurso Humanos: Todo lo relacionado con la gestión de personal propio o subcontratado para planificar, adquirir, prestar servicios, dar soporte y monitorizar los sistemas de Información.


10

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 Procesos de TI :Los Tres Niveles Dominios Agrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional • • • •

Planificación y Organización (Planning and Organization) Adquisición e implementación (Acquisition and Implementation) Prestación de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring)

Procesos Conjuntos o series de actividades unidas con delimitación o cortes de control.

Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.


11

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 MARCO DE REFERENCIA

C

ME1 ME2 ME3 ME4

O B I

T

OBJETIVOS DEL NEGOCIO OBJETIVOS DE GOBIERNO

PO1 PO2 PO3 PO4

Definir un plan estratégico de TI. Definir la arquitectura de información. Determinar la dirección tecnológica. Definir los procesos de TI, la organización y sus relaciones. PO5 Administrar las inversiones en TI. PO6 Comunicar la dirección y objetivos de la gerencia. PO7 Administrar los recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI. PO10 Administrar proyectos.

Monitorear y Evaluar el desempeño de TI. Monitorear y Evaluar el control interno. Garantizar el cumplimiento regulatorio. Proveer Gobierno de TI. INFORMACION Integridad Disponibilidad Confidencialidad

Cumplimiento Eficiencia Efectividad Confiabilidad

PLANIFICACIÓN Y ORGANIZACIÓN

MONITORIZAR Y EVALUAR RECURSOS DE TI

DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuración. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente físico. DS13 Administrar operaciones.

Aplicaciones Información Infraestructura Personas ENTREGA Y SOPORTE


ADQUISICIÓN E IMPLEMENTACIÓN

AI1 AI2 AI3 AI4 AI5 AI6 AI7

Identificar soluciones de automatización. Adquirir y mantener software de aplicación. Adquirir y mantener la infraestructura tecnológica. Permitir la operación y uso. Obtener recursos de TI. Administrar cambios. Instalar y acreditar soluciones y cambios.

12

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 Relación entre componentes Requerimientos de la información del negocio. Recursos de Tecnología Informática Procesos de Tecnología Informática

Procesos TI

• • •

Criterios de la Información

Dominios

Procesos

Actividades Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

13

ct iv Ef ida d C icie on n fid cia en In cia te li D gri dad is da po d ni bi C um lid ad pl i m C on ie fia nto bi lid ad Pe rs o A pl nas ic ac Te ion es cn in olo st al gía ac io ne D s at os

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 DOMINIO

PLAN Y ORGANIZACIÓN

ADQUISICIÓN E IMPLEMENTACIÓN

PROCESOS PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 PO11

Definir el plan estratégico de TI

AI1 AI2 AI3 AI4 AI5 AI6

Identificar soluciones automatizadas

DS1 DS2 DS3 DS4 DS5 DS6 ENTREGA Y SOPORTE DS7 DS8 DS9 DS10 DS11 DS12 DS13

MONITORIZACIÓN Y EVALUACIÓN

Ef e

Relación entre componentes

M1 M2 M3 M4

Definir la Arquitectura de la información Determinar la dirección tecnológica Definir procesos, organización y relaciones de TI Administra la inversión en TI Comuinicar las aspiraciones y la dirección de Gerencia Administrar Recursos Humanos de TI Administrar calidad Evaluar y Administrar riesgos de TI Administrar proyectos Administrar calidad

Adquiriri y mantener el Software aplicativo Adquiriri y mantener el la Infraestructura ttecnológica Facilitar la operación y el uso Adquirir recursos de TI Administrar Cambios Definir y administrar niveles de Servicio Administrar servicios de terceros Administrar desempeño y capacidad Garantizar la continuidad del Servicio

P P P P P P P P P P P

S S S S P

P P P P P P

S P P P

P P P P

P P P S

Educar y entrenar a los usuarios Administrar la mesa de servicio y los incidentes Administrar la configuración Administrar lños problemas

P P P P

S

P S P P

P

S S S S P

P S S

S S

P

P

P

P

Monitorear y evaluar el desempeño de TI

P P P P

P P P P


P S

S S S S

S S S

S

S

S

S

P P S

P S

S S S S

S S S S

√

√

√

√

√

√

√

√ √ √ √

√ √ √

√ √ √

√

√

√ √

S

√ √ √

√ √ √ √

√ √ √

S S

S S

√ √

S

S P

√ √ √ √ √ √

√ √ √ √ √ √

√ √ √ √ √ √

√

√ √ √

√ √

√ √

√

√

√ √ √ √

√ √ √ √

S P S S S P S

√ √ √ √ √ √ √ √

√ √

√ √ √

S S

P

Administrar las operaciones

Proporcionar Gobierno de TI

P

P S P

Administrar el ambiente físico

Garantizar cumplimiento interno

P P

Administrar los datos

Monitorear y evaluaar el control interno

S

S

Garantizar la seguridad de los sistemas Identificar y asignar costos

√ S

√ √ √ √ √

S P

S P P P

S S S S

√ √ √ √

√ √

√ √

√ √ √ √ √ √ √

√ √

√ √

√

√ √ √ √

√ √ √ √

14


Procesos del Dominio

Dominio: DS Entrega y Soporte DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. Proceso DS9 Administrar la configuración. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente físico. DS13 Administrar operaciones.

Actividades del proceso «Administrar servicios de apoyo e incidentes» DS8.1 Mesa de Servicio (Service Desk) DS8.2 Registros de consultas de clientes DS8.3 Escalamiento de incidentes Actividad DS8.4 Cierre de incidentes DS8.5 Análisis de tendencias Actividad

Objetivo de control de alto nivel para el PROCESO Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI, requiere de una mesa de servicio bien diseñada y bien ejecutada, y de un proceso de administración de incidentes. Este proceso incluye la creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raiz y resolución. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas. Además, el negocio puede identificar la causa raíz (tales como un pobre entrenamiento a los usuarios) a través de un proceso de reporte efectivo.

Objetivo de control detallado para la ACTIVIDAD Establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de acuerdo con los límites acordados en el SLA y, si es adecuado, brindar soluciones alternas. Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de qué grupo de TI esté trabajando en las actividades de resolución

Objetivo de control detallado para la ACTIVIDAD Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el desempeño del servicio y los tiempos derespuesta, así como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma continua.


15

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 COBIT 4.1


16









17

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 CoBIT Control Practices. Proporciona directivas para alcanzar los objetivos de control. Documento detallado de ayuda para la justificación y diseño de controles. Asociado a cada OBJETIVO DE CONTROL (1)

Riesgos que se evitan

(2)

Valor que se obtiene.

(3)

PRACTICAS DE CONTROL. Instrucción para la consecución del objetivo.

Proceso p Control Objective

Value Drivers

Risk Drivers

Actividad n (del proceso p) Texto del Objetivo de Control detallado para la actividad n

Valores que se obtienen cuando se cubre el objetivo de control

Ejemplos de riesgos que se evitan cunado se cubre elobjetivo de control

Control Practices 1. 2.

Instrucciones para la consecución del objetivo

3.


18

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 CoBIT Control Practices. DS8 Administrar servicios de apoyo e incidentes DS8.3 Escalado de Incidentes


19

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 CoBIT Control Practices. DS8 Administrar servicios de apoyo e incidentes DS8.5 Reporte y análisis de tendencias


20

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 IT Assurance Guide (Using COBIT). Guía de Aseguramiento de TI. Reemplaza a un documento anterior de directrices de auditoría.

Se trata de una guía sobre la forma en que COBIT puede servir de apoyo para diversas actividades de aseguramiento y cómo se puede realizar una revisión (auditoría) del aseguramiento en cada uno de los procesos de TI.

Proceso p Texto del Objetivo de Control de alto nivel para el proceso p

Control Objective

Value Drivers

Risk Drivers

Actividad n (del proceso p) Texto del Objetivo de Control detallado para la actividad n

Valores que se obtienen cuando se cubre el objetivo de control

Ejemplos de riesgos que se evitan cunado se cubre elobjetivo de control

Test de Control Design 1. 2.

Instrucciones para la revisión del diseño del control

3.


21

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 IT Assurance Guide DS8 Administrar servicios de apoyo e incidentes DS8.3 Escalado de Incidentes


22

Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 IT Assurance Guide DS8 Administrar servicios de apoyo e incidentes DS8.5 Reporte y análisis de tendencias


23



24

Objetivos de control. Controles. ITIL Mejores prácticas. Fuente 2/3 ¿Qué es ITIL?  Una biblioteca que documenta las Buenas Prácticas de la Gestión de Servicios de TI.  ITIL es un estándar enfocado a la planificación, provisión y soporte de servicios de TI.  Describe la arquitectura para establecer y operar la gestión de servicios de TI. ¿Por qué es útil ITIL a la práctica de la Auditoría Informática?  Framework para identificar un mapa de procesos de TI (tareas, actividades, y roles)  Herramienta para identificar objetivos de control y controles dentro de los procesos a auditar.

•Provisión de Servicios TI

•Soporte de Servicios TI •Perspectiva de Negocios •Gestión de Infraestructura •Perspectiva de Negocio


25

Objetivos de control. Controles. ITIL Mejores prácticas. Fuente 2/3 Soporte de Servicios Gestión de Incidencias Gestión de Problemas Gestión de Cambios Gestión de la Configuración


Provisión de Servicios Gestión de la Capacidad Gestión de la Disponibilidad Gestión de la Continuidad Gestión Financiera Gestión de Niveles de Servicio

2626

Cobit e ITIL son frameworks complementarios que nos permiten identificar procesos, actividades y tareas y dentro de ellos, objetivos de control, en la Auditoría de Procesos.


27

Objetivos de control. Controles. ITIL Mejores prácticas. Fuente 3/3 FFIEC IS Requeriments (Federal Financial Institutions Examination Council‟s)  El estándar utilizado por la Reserva Federal de EEUU como guía de trabajo para evaluar la idoneidad y adecuación de los controles implantados sobre los sistemas de información de las Entidades Financieras que presentan oficinas en Estados Unidos. Dispone de cuadernos de revisión (IT Examination Handbook):  IS- Information Security  AUD – Audit

 OT – Outsourcing Technology Services  TSP – Technology Services Provider  BCP – Business Continuity Plan

 Herramienta para identificar objetivos de control y controles dentro de los procesos a auditar.


28

Conceptos básicos. Objetivos de control. Controles Evaluación (Niveles) IT Governance  Verificación de cumplimiento de objetivos. Eficacia  Evaluar la eficiencia. Identificar oportunidades de mejora.

Procesos

 Identificar las causas origen de un problema establecido.

 Verificar si los controles son adecuados e identificar los

Procedimientos Guías Técnicas Configuraciones técnicas

riesgos (debilidades) para la organización.

 Determinar si practicas establecidas (Procedimientos, Instrucciones de trabajo) se están instrumentando y ejecutando.


29

Objetivos de control. Controles. Metodologías (Tipologías)

Gestión



IT Governance

Procesos Política

Identificación Objetivos Control

Identificación Proceso

 Análisis y verificación de controles

Valoración Controles

Procedimientos Control Guías Técnicas

Configuraciones técnicas Controles

Definición de controles (comprobaciones)

Desarrollo herramienta de soporte

Revisión y análisis

Resultados [Adecuación]




30

Objetivos de control. Controles Informe Auditor [ Introducción ] Aspectos Organizativos Objetivos Descripción de Arquitectura/Proceso Alcance y limitaciones Hechos observados Conclusiones

Objetivos de Control Puntos de Control

Valoración de controles Recomendaciones

 

[ Manifestaciones ]


31

Modelo Organizacional y Operativo de la práctica de la auditoría informática Ejemplos prácticos Auditorías orientadas a procesos. Auditorías de SLA‟s


32

Objetivo. Alcance

Revisión y evaluación del nivel de cumplimiento de todos los Acuerdos de Nivel de Servicio (en adelante ANS) involucrados en la operativa del Área de Producción.

Objetivo

Análisis del Proceso de Gestión de Nivel de Servicio (proceso responsable de garantizar que se satisfagan los ANS‟s y que cualquier influencia adversa sobre la calidad del servicio sea normalizada)

Alcance considerado Área de Producción. La Gestión de Niveles de Servicio comprende los procesos de planificación, coordinación, diseño, acuerdo, monitorización e informe de los ANS y la revisión continua de los logros del servicio para asegurarse un mantenimiento y mejora de la calidad del servicio necesaria, justificable en términos de su coste. Al tratarse de un proceso en curso (ANS‟s en vigor) ha quedado fuera del alcance todas las actividades previas al establecimiento de los ANS* estableciéndose como alcance del análisis de la gestión del proceso:: Monitorización y reporte. Actividad que permite evaluar y gestionar el rendimiento de los proveedores e identificar potenciales deficiencias. Revisión del servicio. Debe estar establecido un procedimiento de revisión de los acuerdos orientado al cumplimiento de objetivos y detección de deficiencias. Programa de mejora del servicio. Actividades proactivas de detección y toma de acciones no asociadas a deficiencias y/o incumplimientos. Mantenimiento de los contratos ANS. * Actividades de planificación, catalogo de servicios, diseño de ANS, negociado y acuerdos Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

33

Aspectos Organizativos Aspectos Organizativos Área de Producción. Esta Área, tiene, entre otras, como misión "definir, desarrollar y gestionar el soporte técnico y funcionamiento de los sistemas del Grupo" . Y dentro de sus funciones, en relación con la gestión de equipos e infraestructura tecnológica y el aseguramiento de la disponibilidad de las plataformas, presta soporte técnico para el desarrollo y mantenimiento de los sistemas. …

Proveedor n. [De los ANS‟s y/o del análisis de las operativas se obtiene]. (1) Ámbito del acuerdo: lo que cubre y lo que se excluye -y por tanto no es responsabilidad del prestador del servicio-, (2) Responsabilidades y obligaciones del Cliente y del Proveedor del servicio - acciones que uno y otro deben llevar a cabo para el cumplimiento normal de acuerdo-..


34

Metodología


Identificación Objetivos Control. Controles

Roles Actividades

Identificación controles

Análisis y verificación de controles


Modelo de Madurez

Diagrama procesos Modelo Teórico

Criterio auditor

Buenas prácticas CISA


ISO 27001 ITIL COBIT

Controles conceptos

35

Modelo teórico




36

Metodología Objetivos de Control. Controles Identificación Proceso

Roles Actividades Diagrama procesos Modelo Teórico





Criterio auditor


Modelo de Madurez


Controles conceptos

Tres fuentes de metodologías de control, buenas prácticas y cumplimientos normativos: COBIT. Se han utilizado controles del capítulo “Entrega y Servicio”, apartados DS1 “Definición y Gestión de niveles de servicio” y DS2 “Gestión de Servicios con terceros”.

 Las mejores prácticas indicadas para la “Gestión de Niveles de Servicio” del “Libro de Provisión de Servicio” de la librería ITIL.  Outsourcing Technology Services, IT Examination Handbook, de la FFIEC (Federal Financial Institutions Examination Council). Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

37

Objetivos de control. Controles. ITIL Mejores prácticas. Fuente 2/3

Provisión de Servicio



 Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

38

Esquema modelo de Acuerdo de Nivel de Servicio


Identificación Objetivos Control Controles



1.- Aspectos generales 2.- Horario de servicio

COMPROBACIÓN DE RAZONABILIDAD.COMPLETITUD

3.- Disponibilidad



Se valida el contenido frente a las tres fuentes de metodologías de control, buenas prácticas y cumplimientos normativos elegidos

 

ANÁLISIS DE PROCESO/TAREAS. ENTREGABLES

4.- Fiabilidad 5.- Soporte y atención al cliente 6.- Tráfico y consumo 7.- Tiempo de respuesta de las transacciones 8.- Tiempo de ejecución de procesos en diferido 9.- Procedimientos de Gestión del cambio 10.- Continuidad de los servicios TI

11.- Seguridad Física y Lógica



12.- Impresión 13.- Facturación 14.- Revisión e informes de los servicios 15.- Incentivos/Penalizaciones del rendimiento




Todos aquellos objetivos de control que lleven asociados procedimientos, adicionalmente a la verificación de su razonabilidad/completitud, serán revisadas sus tareas y entregables.



Incluye procesos, tareas, entregables,… 39





Aspectos generales: Se analizan las partes implicadas en el acuerdo, firmantes, fechas, ámbitos del acuerdo, responsabilidades clientes-proveedor y descripción de los servicios cubiertos. Horario de servicio: Además del horario que se proporcionará, se deberá considerar diferencias horarias, posibles acuerdos de ampliación, horarios especiales y calendario del servicio. Disponibilidad: Establecimiento de alcances y objetivos medibles. Deben quedar estipulados periodos y métodos de medida. Fiabilidad: Existencia de términos de fiabilidad , indicadores (ej. número máximo de interrupciones, tiempo medio entre incidentes…), su monitorización y registro. Soporte y atención al cliente: Deben quedar estipuladas las condiciones de asistencia al cliente, procedimientos, categorización/priorización de incidencias y registro/documentación de las mismas. Tráfico y consumos: Estipular volúmenes de tráfico/consumo potenciales para poder identificar las dificultades en el rendimiento originadas por un tráfico/consumo excesivo, superior al acordado. Tiempo de respuesta de las transacciones: Objetivos para los tiempos de respuesta media o máxima de las estaciones de trabajo. Lo más común es que se expresen en porcentaje. Se podrán establecer rangos que identifiquen tiempos de respuesta y porcentaje de ocurrencia. Tiempo de ejecución de procesos en diferido: Para procesos en diferido (ej. cierres,…), que conllevan consumo de recursos y ejecuciones lentas y costosas, deberán establecerse tiempos para la provisión de entradas, y el tiempo y el lugar para la entrega de los resultados. Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

40





Gestión de Cambios: Procedimiento para la aprobación, gestión e implementación de las peticiones y órdenes de cambio, que normalmente estará basado en la categoría y urgencia o prioridad del cambio. Continuidad de los servicios TI: Deben contemplarse los planes de continuidad de los servicios ofrecidos por el proveedor, y cómo ponerlos en marcha. Igualmente, debe existir información acerca del objetivo de cualquier servicio reducido o modificado en caso de desastre. Seguridad Física y Lógica: Referencias a la política de seguridad de la organización (control de contraseñas, violaciones de seguridad, software no autorizado, virus, etc) y detalles de responsabilidades para cualquiera de las partes (i.e., protección antivirus, firewalls, etc.). Impresión: En caso necesario, se incluirá información sobre cualquier condición especial relativa a la impresión o a las impresoras (i.e., detalles sobre la distribución de las mismas, notificación previa de grandes volúmenes, manejo de documentos con especial valor…). Facturación: Se establecerán periodos y fórmulas de facturación, y bonificaciones o penalizaciones que haya que pagar si los objetivos del servicio no cumplen con lo esperado. Revisiones e informes: Se deberá especificar cuándo y cómo se revisarán los objetivos del servicio, qué informes se realizarán, distribución de los informes, reuniones de seguimiento y su frecuencia, etc. Incentivos/Penalizaciones del rendimiento: Se incluirán detalles sobre cualquier acuerdo relacionado con los incentivos y/o penalizaciones económicas basadas en el rendimiento real contrastado con los niveles de servicio previamente acordados. Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

41




Soporte y atención al cliente (1/2)

Valoración Controles Auditoría Razonabilidad Proceso/Tareas Completitud Entregables

Condiciones de asistencia de soporte al cliente: Deberán estar reflejadas las responsabilidades/eximentes del proveedor del servicio y del cliente.



Procedimiento para la resolución de problemas e incidencias: El ANS debe incluir un adecuado procedimiento para la resolución y reporte de incidencias registradas como consecuencia de la operativa de servicio.



Horario de soporte al cliente: Debe estar reflejado sea diferente o no del horario de servicio. Provisiones para posibles ampliaciones de soporte al cliente: Se comprueba la existencia de cláusulas, procedimientos para solicitud de ampliaciones, condiciones de la solicitud de ampliación (quién, cómo,…), tiempo de preaviso necesario y tipos de ampliaciones contenidas en el acuerdo. Horarios especiales: Si procede, se fijarán condiciones para horarios vacacionales, festivos o no laborables (tanto para el cliente como para el proveedor). Se establecerán todas las condiciones especiales para dichas excepciones y el medio de recibir asistencia (ej.vía telefónica). Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

 



n.a

 n.a

 n.a

42




Soporte y atención al cliente (2/2) Tiempo objetivo de respuesta a los incidentes. Deben fijarse objetivos relacionados con el tiempo que transcurre desde la comunicación de la incidencia hasta que el equipo de mantenimiento se pone en disposición de resolverla.

Valoración Controles Auditoría Razonabilidad Proceso/Tareas Entregables Completitud













Procedimientos operacionales. Los operadores deben disponer de operativas de actuación ante problemas reiterados.





Documentación de los problemas comunicados y registrados: Fecha de ocurrencia, descripción incidencia, intervinientes (escalado y a qué nivel, si es necesario), solución y resolución adoptada.





Prioridad en la resolución de incidentes: Debe establecerse una categorización de incidentes y un orden de resolución en función de prioridades previamente catalogadas. Tiempo objetivo de resolución de incidentes: Deben fijarse objetivos relacionados con el tiempo de resolución (tiempo desde que hay constancia que se ha recibido la incidencia hasta que realmente se resuelve y se cierra).


43





Razonabilidad Proceso/Tareas Completitud Entregables 1.- Aspectos generales 2.- Horario de servicio 3.- Disponibilidad 4.- Fiabilidad 5.- Soporte y atención al cliente 6.- Tráfico y consumo 7.- Tiempo de respuesta de las transacciones 8.- Tiempo de ejecución de procesos en diferido

9.- Procedimientos de Gestión del cambio 10.- Continuidad de los servicios TI

11.- Seguridad Física y Lógica 12.- Impresión 13.- Facturación 14.- Revisión e informes de los servicios 15.- Incentivos/Penalizaciones del rendimiento Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

   

n.a

Revisar

Revisar

  

  

Revisar

Revisar





Revisar

Revisar

 

n.a

Revisar

Revisar





  



44

Metodología Valoración. Modelo de Madurez. [Mejores prácticas]

 Identificación Proceso


Roles Actividades




Modelo de Madurez


Criterio auditor




Controles conceptos

45

Metodología Valoración. Modelo de Madurez. [Mejores prácticas] Objetivo: Elaboración de criterios que nos permitan evaluar el proceso desde el punto de vista de la administración y control de proceso. Desarrollar un contenido del modelo de valoración basado en Modelos de Madurez, a partir del cual se podrá identificar el nivel de control interno del proceso auditado. El enfoque de los Modelos de Madurez para el control sobre procesos de las TI consiste en el desarrollo de un método de asignación de puntuación para que una organización, proceso o actividad pueda ser calificado.

Características del proceso

Utilizar modelos de madurez genéricos (ej Cobit)

Utilzar modelos de madurez específicos del proceso auditado (fuente: Cobit)

Nivel de Madurez

Proceso autogestionado y basado en mejores prácticas

Optimizado

Proceso monitorizado y medible

Gestionado

Proceso formalizado y documentado

Definido

Proceso intuitivo y repetible

Repetible

Proceso AdHoc y desorganizado

Inicial

Proceso Inexistente

Inexistente


46

Metodología Valoración. Modelo de Madurez Genérico Identificación Proceso




Inexistente

Total falta de un proceso reconocible. No existe reconocimiento de problemas que resolver.

Inicial

Evidencias del reconocimiento de problemas y necesidad de resolución. Sin embargo, no hay procesos estandarizados aunque hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado.

Repetible

Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores.

Definido

Procedimientos estandarizados y documentados. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes.

Administrado

Es posible monitorizar y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y presentan buenas prácticas. Se usan automatismos y herramientas en una forma limitada o fragmentada.

Optimizado

Procesos refinados a nivel de mejor práctica, basados en los resultados de mejora continua y madurez de otras organizaciones. Se usan herramientas en una forma integrada para automatizar el flujo de trabajo para mejorar la calidad y la efectividad.

Cobit. Modelo de madurez genérico Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

47

Metodología Valoración. Modelo de Madurez Específico Identificación Proceso




Inexistente

Las responsabilidades y la rendición de cuentas no están definidas. No hay políticas y procedimientos formales respecto a la contratación con terceros. Los servicios de terceros no son ni aprobados ni revisados por la gerencia. No hay actividades de medición y los terceros no reportan. A falta de una obligación contractual de reportar, la alta gerencia no está al tanto de la calidad del servicio prestado.

Inicial

La gerencia está conciente de la importancia de la necesidad de tener políticas y procedimientos documentados para la administración de los servicios de terceros, incluyendo la firma de contratos. No hay condiciones estandarizadas para los convenios con los prestadores de servicios. La medición de los servicios prestados es informal y reactiva. Las prácticas dependen de la experiencia de los individuos y del proveedor (por ejemplo, por demanda).

Repetible

El proceso de supervisión de los proveedores de servicios de terceros, de los riesgos asociados y de la prestación de servicios es informal. Se utiliza un contrato pro-forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán). Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio.

Cobit. Modelo de madurez específico Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

48





Definido

Hay procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar y negociar con los proveedores. La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control. Se asigna la responsabilidad de supervisar los servicios de terceros. Los términos contractuales se basan en formatos estandarizados. El riesgo del negocio asociado con los servicios del tercero esta valorado y reportado.

Administrado

Se establecen criterios formales y estandarizados para definir los términos de un acuerdo, incluyendo alcance del trabajo, servicios/entregables a suministrar, suposiciones, calendario, costos, acuerdos de facturación y responsabilidades. Se asignan las responsabilidades para la administración del contrato y del proveedor. Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma continua. Los requerimientos del servicio están definidos y alineados con los objetivos del negocio. Existe un proceso para comparar el desempeño contra los términos contractuales para evaluar los servicios actuales y futuros del tercero. Todas las partes involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPIs y KGIs para la supervisión del servicio


49


Optimizado




Los contratos firmados con los terceros son revisados de forma periódica en intervalos predefinidos. La responsabilidad de administrar a los proveedores y la calidad de los servicios prestados está asignada. Se monitorea el cumplimiento de las condiciones operacionales, legales y de control y se implantan acciones correctivas. El tercero está sujeto a revisiones periódicas independientes y se le retroalimenta sobre su desempeño para mejorar la prestación del servicio. Las mediciones varían como respuesta a los cambios en las condiciones del negocio. Las mediciones ayudan a la detección temprana de problemas potenciales con los servicios de terceros. La notificación completa y bien definida del cumplimiento de los niveles de servicio, está asociada con la compensación del tercero. La gerencia ajusta el proceso de adquisición y monitoreo de servicios de terceros con base en los resultados de los KPIs y KGIs.


50

Metodología Valoración. Otro Adecuación

Descripción y acciones necesarias Además de cumplir las características del nivel elevado, existe una estrategia continua de mejoramiento de controles.

Óptimo

Están gestionada su eficacia y eficiencia mediante métricas, cuadros de mando, etc… Los controles que alcanzan el objetivo de control:

Elevado

Están perfectamente definidos. Están implementados y operativos prevaleciendo controles automáticos Son medibles. Existe un control o conjunto de controles definidos, establecidos y operativos que dan cobertura al objetivo de control.

Adecuado

Los controles pueden ser manuales y automáticos y los procedimientos y operaciones son correctos Existen controles que alcanzan el objetivo de control.

Razonable

Pero los procedimientos y operaciones asociados a los controles presentan deficiencias. Si la evaluación de un control es evaluada como “razonable”, son necesarias acciones correctivas y debe desarrollarse un plan de mejora que analice y subsane las deficiencias en procedimientos y operaciones. El objetivo de control no es alcanzado debido a:

Mejorable

la ausencia de algún control la presencia de controles inefectivos. Debilidades materiales en el diseño e implementación Si la evaluación de un control es evaluada como “mejorable”, son necesarias acciones correctivas y debe desarrollarse un plan que incorpore estas acciones dentro de un período de tiempo prudente. El objetivo de control no es alcanzado debido a que

Deficiente (o nulo)

No existen control(es) Si la evaluación de un control es evaluada como de “deficiente o nulo”, existe una necesidad inmediata de acciones correctivas. El sistema puede continuar operando pero debe ponerse en marcha un plan de acción correctivo tan pronto como sea posible.


51

Modelo Organizacional y Operativo de la práctica de la auditoría informática Ejemplos prácticos Auditoría de procesos. Auditoría de Gestión de Proyectos de Producción


52

Objetivo. Alcance Objetivo Revisión de las actividades relacionadas con la Gestión de Proyectos sin desarrollo de software (ej. implantación de arquitecturas hardware, infraestructuras de comunicaciones, etc.)

Alcance considerado Gestión de Proyectos sin desarrollo de software. En Bankia las actividades desarrollo de software siguen una metodología acreditada con el nivel de madurez 3 del modelo CMMI-DEV que indica que se posee y aplica un modelo de trabajo definido, maduro y eficaz. Las premisas del modelo de evaluación utilizado y el diseño de sus controles han sido que bajo una política de mínimos, si el proyecto evaluado contempla los controles analizados, se pueda tener garantías razonables de la existencia de un marco de control de desviaciones (tolerancias ) y riesgos.


53

Metodología



Roles Actividades




Modelo de Madurez


Criterio auditor




Controles conceptos

54

Metodología Objetivos de Control. Controles


Roles Actividades Diagrama procesos

Modelo Teórico





Criterio auditor



Modelo de Madurez


Controles conceptos

55

Metodología Objetivos de Control. Controles


56

Metodología Objetivos de Control. Controles En opinión de Auditoría Informática, una gestión básica de proyectos debe contemplar al menos una adecuada estructura de gobierno, un ciclo de vida básico y un mínimo de soporte documental como base de definiciones, compromisos y trazabilidad de actividades críticas. Por ello la actual revisión está centrada en tres áreas: Gobierno, Productos de Gestión y Ciclo de Vida, sobre las cuales se comprueba la presencia y cumplimiento de actividades garantes de un buen gobierno y control del proyecto.

•Gobierno. Se revisa la presencia de una estructura de gestión que contemple los interesados (stakeholders), actividades de reporte y seguimiento; y gestión de eventos no planificados o inciertos (cuestiones y riesgos). •Productos de Gestión. Se establecen unos mínimos productos documentales donde se soporten requisitos, aspectos organizacionales o de planificación. Como su nombre y contenido puede variar en cada proyecto, la revisión se realiza garantizando que si un punto de control no está contemplado en el Producto evaluado, tampoco está en otro elemento del proyecto o bajo otra denominación. •Ciclo de vida. Se han establecido como actividades básicas sobre las cuales se analizarán la presencia de controles: (1) actividades de Inicio y Puesta en Marcha del Proyecto, (2) la Ejecución del Proyecto y (3) el Cierre del Proyecto. Los controles no están orientados a la presencia de fases o actividades sino a la presencia de controles sobre la planificación, la entrega de productos en tiempo y forma y la gestión de desviaciones.

Gobierno

Equipo Gestión

Ciclo de Vida

Inicio de Proyecto

Productos de Gestión



Business Case



Seguimiento y control

Gestión Eventos

Ejecución del Proyecto

Cierre del Proyecto

Descripción de Producto




Plan de Proyecto



Informes Estado Productos

57

Metodología Objetivos de Control. Controles INDICE

1

2

INTRODUCCIÓN __________________________________________________________ 2 1.1

Antecedentes __________________________________________________________ 2

1.2

Áreas de revisión _______________________________________________________ 2

ÁREAS DE REVISIÓN _____________________________________________________ 3 2.1

Gobierno ______________________________________________________________ 3

2.1.1

Equipo de Gestión del proyecto _______________________________________ 3

2.1.2

Seguimiento y reporte _______________________________________________ 5

2.1.3

Gestión de cuestiones y riesgos. ______________________________________ 5

2.2

Controles sobre Productos de gestión _____________________________________6

2.2.1 2.2.2 2.2.3

Resultado

Plan de Proyecto ___________________________________________________ 8

Gestor. El rol de gestor de las actividades de Seguimiento y Control del Proyecto está

Informes de Seguimiento ____________________________________________ 9 Project Manager) definido y asignado (ej. Ciclo de vida __________________________________________________________ 10

2.2.4 2.3

Cuadro 3 Controles sobre seguimiento y reporte Descripción del Producto ____________________________________________ Punto de control 7 Business Case _____________________________________________________ 6

Alcance. Entre los aspectos a controlar figuran al menos: (1) los desvíos en las fechas de

2.3.2

Inicio y puesta en marcha del Proyecto _______________________________ 10 obtención de productos, compromisos e hitos que requieran modificar la planificación Ejecución del Proyecto _____________________________________________ 11 vigente, (2) y la gestión de eventos (cuestiones, incidentes y riesgos) y (3) los recursos

2.3.3

humanos (equipo) y 12 económicos (presupuesto). Cierre del proyecto _________________________________________________

2.3.1



(1)

3

CONCLUSIONES_________________________________________________________ 14 (informes). Está definido y acordado un reporte con: (1) los canales Estrategia de reporte

4

de comunicación y destinatarios, (2) el contenido de los reportes y (3) la frecuencia. OPINIONES Y RECOMENDACIONES ______________________________________ 15

5

MANIFESTACIONES _____________________________________________________ 16 Estrategia de seguimiento. Están definidos y acordados: (1) los responsables,

6

mecanismo de seguimiento –Comité, reunión, …- , (3) su periodicidad y (4) los registros de Anexo. Dinámica de evaluación ____________________________________________ 17

(2)

Cobertura. Las actividades de seguimiento y control del proyecto se realizan sobre los todos elementos de gestión del proyecto.



Acciones correctivas/preventivas. En caso de identificarse desvíos, problemas con productividades, incidencias o incumplimientos de objetivos existen acciones correctoras (o preventivas) con su correspondiente plan de acción. Todas las acciones están registradas y sometidas a revisión de su progreso en las reuniones de seguimiento





(2) el

su actividad y sus decisiones (ej. actas de reunión)


58

Metodología Valoración. Controles



Roles Actividades




[Modelo de Madurez]


Criterio auditor




Controles conceptos

59

Metodología Valoración.

Equipo de gestión del proyecto

Seguimiento y reporte

Gestión de cuestiones y riesgos.

Business Case

Descripción del Producto

Plan de Proyecto

Inicio y puesta en marcha del Proyecto

Ejecución del Proyecto

Cierre del proyecto

Proyecto1 Proyecto2 Proyecto3 … Proyecton Evaluación final

Leyenda

Elevado Adecuado


Mejorable Razonable

Deficiente

60

Metodología Valoración.

Adecuación

Descripción y acciones necesarias Los controles que alcanzan el objetivo de control:

Elevado



Están perfectamente definidos.



Están implementados y operativos prevaleciendo controles automáticos



Son medibles.

Existe un control o conjunto de controles definidos, establecidos y operativos que dan cobertura al objetivo de control. Adecuado



Los controles pueden ser manuales y automáticos y los procedimientos y operaciones son correctos

Existen controles que alcanzan el objetivo de control. Razonable



Pero los procedimientos y operaciones asociados a los controles presentan deficiencias.

El objetivo de control no es alcanzado debido a: Mejorable

Deficiente (o nulo)



la ausencia de algún control



la presencia de controles inefectivos.



Debilidades materiales en el diseño e implementación

El objetivo de control no es alcanzado debido a que 

No existen control(es)


61

Modelo Organizacional y Operativo de la práctica de la auditoría informática Ejemplos prácticos Auditoría de procesos. Auditoría de Gestión de Usuarios


62

Objetivo. Alcance Objetivo Auditoría de la estructura general de control interno de las actividades relacionadas con la gestión de usuarios de los principales sistemas. El objetivo básico ha sido el siguiente: Revisión de los principales elementos en la gestión de usuarios: circuitos de altas y bajas de identificadores de usuario, asignación de permisos, procesos de revisión y resolución de incidencias.

Alcance considerado … las diferentes categorías de usuarios identificados en el capítulo B) Catalogación/Tipología de usuarios del presente informe, quedando fuera del alcance de la auditoría (1) el análisis de usuarios residuales no contemplados en esta catalogación, (2) los aspectos técnicos de autenticación en los diferentes sistemas corporativos. De esta forma las principales áreas de trabajo de la auditoría han sido:    

Identificación y análisis de los principales circuitos involucrados en la gestión de usuarios. Análisis de la gestión de perfiles de acceso a información y sistemas. Estudio de procedimientos de revisión de usuarios y permisos de accesos. Análisis de las actividades relacionadas con la gestión de usuarios realizada por otros grupos de trabajo distintos al Departamento de Seguridad Informática.  Gestión de incidencias relacionadas con la gestión de usuarios.


63

Aspectos Organizativos Aspectos Organizativos Dpto. de Seguridad de la Información: La gestión de seguridad en sus aspectos de planificación, definición y control de acceso lógico a la información, programas, sistemas y recursos, residentes en los SSII del Grupo Altea, se realizará de forma centralizada, siendo esta responsabilidad del Dpto. de Seguridad de la Información. Sin embargo, existen operativas de seguridad, tales como administración de usuarios y control de acceso que pueden ser realizadas por otros Departamentos; al respecto indicar que la definición y el control de dichas operativas continuarán residiendo en el Dpto. de Seguridad de la Información.

Dirección de RRHH. Los procedimientos corporativos de contratación de personal de RRHH incluyen, expresamente, dotar a las nuevas incorporaciones de los identificadores de usuario necesarios y de los accesos a servicios y aplicaciones, que pudieran requerir en el desempeño de sus funciones. Centro de Atención a Usuarios. Ofrece un primer nivel de atención que integra consultas y resolución de incidencias de aspectos relacionados con la gestión de usuarios. Administradores de Sistemas (administración delegada de usuarios y el control de acceso): Tal y como se ha descrito anteriormente existen actividades relacionadas con la gestión de usuarios realizadas por otros Departamentos (ej. administración operativa de identificadores de usuarios y control de acceso). Aunque la ejecución de dichas actividades es realizada por el grupo funcional designado, el Seguridad Informática mantiene la definición y el control de estas operativas. Personas autorizadas. Para la realización de las solicitudes relacionadas con la aprobación de los accesos a la información y otras posibles solicitudes, se considera persona autorizada a los Directores de … o aquel responsable en quien ellos deleguen expresamente, y por escrito, esa función (Directores de Departamento, Coordinador Grupo…). Esta delegación deberá ser comunicada al Departamento de Seguridad de la Información. Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

64

Aspectos Organizativos [ Introducción ] Descripción de Arquitectura/Proceso

Objetivos Circuitos de gestión de usuarios

Alcance y limitaciones



Gestión de perfiles

Hechos observados

Procesos de depuración

Conclusiones

Administración de usuarios delegada

Recomendaciones [ Manifestaciones ]


Gestión de incidencias



Valoración de controles

65

Metodología



Roles Actividades




Modelo de Madurez


Criterio auditor




Controles conceptos

66





Modelo Teórico Administración rutinaria de usuarios Se inicia la relación

Provisioning

Promoción Cambio de destino

Sustitución

Gestión de acceso Modificación de accesos lógicos

Ciclo de vida de la Identidad

Autorización temporal

Gestión de Tarjetas

Contraseña bloqueada

De-provisioning La relación finaliza Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

Contraseña caduca

Gestión de contraseñas

67





Usuarios Finales

Roles Actividades


68


Gestores: solicitantes, autorizadores…

Roles Actividades




Solicitantes de accesos. Para la realización de las solicitudes de aprobación de los accesos a la información, se considera persona autorizada a los Directores de XXX o aquel responsable en quien ellos deleguen expresamente. Recursos Humanos. Los procedimientos corporativos de contratación de personal del Recursos Humanos incluyen, expresamente, dotar a las nuevas incorporaciones de los identificadores de usuario necesarios y de los accesos a servicios y aplicaciones, que pudieran requerir en el desempeño de sus funciones. Seguridad Informática. Responsabilidad operativa de la seguridad y gestión de seguridad en sus aspectos de planificación, definición y control de acceso lógico a la información, programas, sistemas y recursos. Adicionalmente existen operativas de seguridad, tales como administración de usuarios y control de acceso que pueden ser realizadas por otros Departamentos. La definición y el control de dichas operativas continuarán residiendo en Seguridad Informática. Centro de Atención a Usuarios. Primer nivel de atención que integra consultas y resolución de incidencias de aspectos relacionados con la gestión de usuarios. Administradores de Sistemas. Ejecutan actividades relacionadas con la gestión de usuarios (ej. administración operativa de identificadores de usuarios y control de acceso). …


69


Diagrama procesos

Usuario Autorizado




Correo Electrónico Correo / Formulario Alta/Baja/Modificación Usuario

Respuesta

Solicitud

Buzón Seguridad Informática

Buzón Técnico Seguridad

Seguridad Informática

Circuito #n

(1)

Combrobación Automática Credenciales

OK

Asignación 1. Ticket 2. Técnico Seguridad

NO ok

Combrobación Manual Credenciales

OK

Comunicación (1) Usuario (2) Técnico Seguridad

NO ok

Implementación efectuada + lista de usuarios autorizados

Solicitud

(2) Análisis (1) Petición Técnico Seguridad

Necesidad Info adicional

Comunicación Aprobación Implementación

Denegación Si

No Valoración Necesidad

No OK

Verificación Información recibida

OK Solicitud de Implementación

Técnicos Sistemas

Implementación Efectuada


Recepción Técnicos Sistemas

Implementación en Sistemas

Verificación accesos

70


Dirección (2)

Análisis y verificación de controles Recepción - Token - Clave - Impreso de reconocimiento y aceptación de cláusulas de seguridad

Impreso firmado de solicitud de alta Valija y Correo Electrónico

Alta de solicitud en aplicación X

Envío automático de solicitud a Seguridad

Verificación de información recibida


Entrega personal a usuario: - Token - Sobre ciego con Clave - Impreso de reconocimiento y aceptación de cláusulas de seguridad

Firma del impreso de reconocimiento y aceptación de cláusulas de seguridad

Primera conexión al Sistema

Valija Valija

Archivado de impresos firmados

Asignación e inactivación de Token

Alta de usuario (2) Valija y Correo Electrónico Generación de sobre ciego

CAU (1)

Seguridad Informática

Correo Electrónico

Desvío de llamada a CAU (1)

CAU (2)

Circuito #n

Diagrama procesos

Dirección (1)


Verificación de identidad


Activación de Token

Formalización de Operación

71






72





Identificación controles C.1. Formalización: Debe existir un procedimiento formal y operativo de registro de altas y bajas que proporcione garantías de acceso y revocado de identificadores de usuario sobre todos los sistemas de información y servicios. C.2 Verificación de credenciales: Debe existir un sistema de comprobación de credenciales del solicitante de forma que únicamente personas autorizadas puedan efectuar solicitudes relacionadas con accesos. Los procedimientos deben asegurar que los procesos de autorización han sido completados y disponen de los permisos oportunos previamente a la concesión del acceso. C.3 Criterios de concesión de accesos. Principios de necesidad de conocer y de lo que no está explícitamente permitido, está prohibido: “La concesión de derechos de acceso se regirá por el criterio de „sólo si es estrictamente necesario‟ y se establecerá por defecto la denegación de acceso a los recursos”. “La autorización de acceso estará determinada por la necesidad de utilización para el desarrollo de las distintas actividades dentro de la organización.” Considerando estos principios: las acciones automáticas de gestión de usuarios y permisos de acceso deben estar respaldadas mediante un sistema de perfiles; y todo proceso manual debe contener un análisis de la petición en relación a los criterios de concesión de accesos… Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

73





C.4 Actualización de inventarios de usuarios/accesos: Existencia de un mantenimiento formalizado del registro de todos los usuarios autorizados para usar un servicio. El sistema que soporte dicho registro debe ser distinto del utilizado por los propios sistemas para el control de acceso.

C.5 Comunicación de políticas de seguridad: Verificación de la entrega a los usuarios de una comunicación que, al menos, contemple: (1) Normas relativas al uso de dispositivos de autenticación, identificador de usuario y contraseña -carácter personal e intransferible, recomendaciones en la composición de la contraseña y sus cambios-, (2) Normas relativas a la monitorización de los sistemas de información -motivos y conocimiento-, (3) Normas relativas a la propiedad de la información, (4) Normas relativas a la responsabilidad, (5) Normas relativas al uso del sistema de información y (6) Normas relativas al cumplimiento del marco legal vigente. Adicionalmente, se comprueba el reconocimiento firmado de la comprensión de sus condiciones de acceso, compromisos y posibilidad de sanciones por incumplimiento de normativas. C.6 Protección de credenciales de acceso: Verificación: (1) uso de contraseñas temporales seguras para el primer acceso y obligatoriedad de cambio en el primer uso, (2) uso de conductos seguros para hacer llegar las contraseñas, (3) claves temporales son únicas para un usuario y no adivinables, (4) acuse de recibo de recepción de contraseñas por parte de los usuarios e (5) inclusión de compromisos de protección de las identidades digitales (contraseñas, tarjetas, tokens, etc…) en cláusulas de seguridad incluidas en contratos y/o entrega de credenciales. Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

74





C.7 Eliminación de autorizaciones: Comprobación de la existencia de eliminaciones inmediatas de las autorizaciones de acceso a los usuarios (tanto empleados, como proveedores, colaboradores, usuarios administradores de sistemas/aplicaciones, etc…) que abandonan la Organización.

C.8 Cambio de autorizaciones: Debe existir un procedimiento eficiente que permita efectuar cambios/revisiones inmediatas de las autorizaciones de acceso para los usuarios que cambian de funcionalidad dentro de la Organización. C.9 Segregación de actividades: Se comprueba que las distintas actividades (solicitudes, aprobaciones, implementación en los sistemas) cumplen el principio de segregación de funciones, esto es, que todas estas actividades evitan la concentración de funciones en una misma persona.


75





() Aunque existe supervisión para la solicitudes de permisos de acceso, no se han observado evidencias formales de análisis/comprobaciones de las mismas y registro de esta actividad efectuada sobre la solicitudes. () Para el entorno X, existe un registro independiente de usuarios activos junto con datos detallados para llevar a cabo su gestión, si bien, tal y como se ha podido comprobar, dicho registro no se encuentra actualizado. () En estos circuitos, el contenido de las comunicaciones no contempla las mejores prácticas recomendadas que hemos indicado en este control, careciendo, a su vez, de un reconocimiento firmado de la comprensión de la política de seguridad corporativa y sus condiciones de acceso. Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

76

Metodología Valoración. Modelo de Madurez. [Mejores prácticas]



Roles Actividades




Modelo de Madurez


Criterio auditor




Controles conceptos

77





Objetivo: Identificación de áreas potenciales de riesgo, recomendando, en su caso, posibles soluciones que mitiguen los eventuales riesgos detectados: Uso de conductos no seguros para hacer llegar las contraseñas a los usuarios… Prácticas inadecuadas en el uso de contraseñas temporales,… Ausencia de un proceso eficiente de eliminación de autorizaciones…

Deficiencias en los procedimientos de mantenimiento de las autorizaciones de acceso para los usuarios que cambian de funcionalidad o de Centro dentro de la Organización… Ausencia de un catálogo/inventariado de perfiles de acceso como base para conocimiento, asignaciones, revisiones, depuraciones y ayuda a la toma de decisiones de concesión de permisos,… Ausencia de revisiones periódicas de los derechos de acceso de los usuarios (más frecuentes de las autorizaciones de derechos de acceso con privilegios especiales) Ausencia de revisiones de los derechos de acceso de los usuarios después de todo cambio de actividad funcional o finalización de actividades (ej. contrato). … Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

78

Metodología Valoración. Modelo de Madurez. [Mejores prácticas] Objetivo: Elaboración de criterios que nos permitan evaluar el proceso desde el punto de vista de la administración y control de proceso. Desarrollar un contenido del modelo de valoración basado en Modelos de Madurez, a partir del cual se podrá identificar el nivel de control interno del proceso auditado. El enfoque de los Modelos de Madurez para el control sobre procesos de las TI consiste en el desarrollo de un método de asignación de puntuación para que una organización, proceso o actividad pueda ser calificado.

Características del proceso

Utilizar modelos de madurez genéricos (ej Cobit)

Utilzar modelos de madurez específicos del proceso auditado (fuente: Cobit)

Nivel de Madurez

Proceso autogestionado y basado en mejores prácticas

Optimizado

Proceso monitorizado y medible

Gestionado

Proceso formalizado y documentado

Definido

Proceso intuitivo y repetible

Repetible

Proceso AdHoc y desorganizado

Inicial

Proceso Inexistente

Inexistente


79






80

Áreas de análisis

Valoración

Descripción

Circuitos de gestión de usuarios

Los circuitos analizados están estandarizados, documentados y existe seguimiento de procesos por parte de sus ejecutores que lo aplican de manera general.

Gestión de perfiles

Las actividades de definición, catalogación y gestión de permisos (en peticionarios y técnicos de seguridad) a nivel corporativo se encuentran parcialmente conseguidas pero no pueden catalogarse a como definidas o administradas según nuestro modelo de madurez.

Procesos de depuración de usuarios y revisión de accesos

Aunque existen evidencias de actividades de depuración y revisión éstas son aperiódicas y no están sujetas a un método susceptible de seguimiento y gestión.

Administración de usuarios delegada

De forma general, existe un seguimiento de los procedimientos por parte de sus ejecutores, pero no hay comunicación formal de los mismos y definición de ciertas actividades (ej. revisión de usuarios o gestión de contraseñas). Los procedimientos no están estandarizados, ni documentados y no hay productos identificables que testifiquen una gestión continua de la actividad delegada.

Gestión de incidencias

La resolución de incidencias por parte del CAU está compuesta por procedimientos estandarizados/documentados y se han detectado planes de mejora basados en análisis de resultados. Aunque el responsable del servicio efectúa seguimientos de incidencias éstos no presentan acciones orientadas a medir el cumplimiento de los procedimientos propios de un proceso administrado.


81

Modelo Organizacional y Operativo de la práctica de la auditoría informática Ejemplos prácticos Auditoría de Arquitecturas Tecnológicas Auditoría Seguridad Lógica Plataforma Sun Solaris


82

[ Introducción ] Aspectos Organizativos



Objetivos Descripción de la Arquitectura

Alcance y limitaciones



Objetivos de Control

Hechos observados

- Puntos de control (comprobaciones)

Conclusiones Recomendaciones

Valoración de controles

[ Manifestaciones ] Definición de objetivos de control




Adecuación y mejora

83

Auditoría de la Seguridad Lógica de la infraestructura del entorno Sun Solaris gestionada por el Departamento Técnico XYZ (Producción) y el Departamento de Seguridad. Sus objetivos básicos han sido los siguientes:

Objetivo

(1) Verificar la implantación de adecuados niveles de seguridad lógica y control interno de la plataforma Sun Solaris, con el fin de comprobar que los riesgos informáticos se encuentran adecuadamente controlados. (2) Efectuar la revisión de los procedimientos y controles asociados a las actividades de implantación y administración de sistemas en sus aspectos de seguridad lógica. (3) Proponer la implantación de recomendaciones que permitan minimizar eventuales riesgos identificados con el fin de garantizar la integridad, confidencialidad y disponibilidad de los servicios ofrecidos por esta infraestructura.

Toda la plataforma Sun Solaris corporativa.


Alcance considerado

84

Aspectos Organizativos En la definición y administración de la seguridad del entorno Sun Solaris intervienen: El DEPARTAMENTO TÉCNICO DE SISTEMAS que gestiona la infraestructura Sun Solaris realizando actividades de dimensionamiento, implantación y mantenimiento; y que tiene delegada la administración operativa de la seguridad y entre otros aspectos debe: -Seguir las recomendaciones de seguridad indicadas por Departamento de Seguridad, mediante Guías Técnicas (documentos de requisitos de seguridad) específicas para entornos o notas puntuales. - Implantar las recomendaciones de seguridad (configuración, parches…) indicadas por los fabricantes de las arquitecturas específicas, los fabricantes de los servicios o las recomendaciones de la comunidad informática para el entorno que se administre. El DEPARTAMENTO DE SEGURIDAD, es responsable de la administración operativa de la seguridad y supervisa las actividades de las Áreas de Sistemas orientadas a definir y/o establecer parámetros, reglas y condiciones de seguridad en los distintos sistemas. Adicionalmente, diseña e implanta mecanismos de monitorización y diagnóstico permanente, allí donde se estime conveniente en función del riesgo, para verificar la adecuada implantación de los controles de seguridad en los sistemas de información.


85

Metodología




Desarrollo programa soporte


Ejecución Programa plataforma


Revisión Análisis

Resultados [Adecuación]

Resultados Adecuación Mejora

86

Objetivos de Control Resultados y Análisis


Matriz de controles

Categorización de controles por tipo máquina

Desarrollo programa soporte

Scripts de auditoría

Ejecución Programa plataforma

Ejecución de scripts

Resultados (evidencias de auditoría)


Revisión Análisis

Grado adecuación global Dossier técnico individual Informes detallados

87

Definición de controles

Desarrollo Programa de soporte

Ejecución Programa Plataforma



Definir y priorizar el conjunto de controles a considerar durante la revisión y especificar su requerimiento en función del tipo de máquinas de Tipo 1 (requisitos máximos), Tipo 2 (requisitos estándar) o Tipo 3 (requisitos mínimos) Tarea Resultado  Identificar, agrupar y priorizar el conjunto de  Matriz de controles de la plataforma Sun Solaris. controles que se revisarán durante el trabajo de campo.  Identificar los controles, del conjunto anterior,  Matriz de controles por tipo de máquina. que se requerirán los distintos tipos de máquina (Tipo 1, Tipo 2 y Tipo 3). Objetivo

 Cuerpo Normativo de Seguridad de la Información corporativo  Normativa Técnica Corporativa específica del entorno (Sun Solaris, “Unix”,…)  Informes de Seguridad del Departamento de Seguridad Informática.  Guías Técnicas de Seguridad (Fabricantes, Sun Microsystems, SANS…)

+

Know how técnicos auditores (experiencia en administración de sistemas, formación a medida específica, prácticas en laboratorio..). Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.

Matriz de controles

3 Áreas de Control 320 Puntos de control

88






Áreas de Control



Categorización



A1. Análisis de parches



•Software base instalado •Control de acceso.

A2. Parametrización A.3 Análisis de usuarios

•Sistema de ficheros.

•Servicios de red.

•Configuración del kernel.

•Registros de Auditoría

•Planificación de procesos. •Protección del equipo

Agrupaciones de Controles x Área

En el análisis realizado de cara a exigir niveles de seguridad en las pruebas se han distinguido tres tipos de servidores: Tipo 1,. Requisitos mayores de seguridad. Ejemplo de dichas máquinas serían los portales de Internet, cuyo grado de exposición frente a amenazas es elevado. Tipo 2, Menos exposición que Tipo 1. Necesitan menos requisitos de seguridad. Ejemplo de estas máquinas serían los servidores de la red interna que dan soporte al negocio. Tipo 3, Requisitos de seguridad son mínimos. Ejemplo: máquinas y elementos de uso interno que no soportan servicios críticos de forma directa (ej. servidores de consolas)


89






Parametrización •Software base instalado

•Planificación de procesos

•Control de acceso.

•Servicios de red.

•Sistema de ficheros.

•Registro de Auditoría

•Configuración del kernel.

•Protección del equipo


90







Matriz de controles

 2000+ líneas de código Resultados (evidencias de auditoría)

   

Análisis del estado del nivel de parches. Análisis de la configuración y parametrización de seguridad. Análisis de usuarios. Y ficha X usuario. “Imagen” del sistema durante la revisión y obtención de los principales ficheros de configuración como evidencia de auditoría.


 91






 Pruebas desatendidas  10 mínutos x Ejecución en •Desarrollo y pruebas en laboratorio Auditoría

background

•Plan de ejecución con Producción •Primeras ejecuciones en entorno de pruebas bajo control/supervisión de Producciíón. •Análisis y algún ajuste fino •Ejecuciones en los servidores -Envío de [paquete] de resultados a un servidor/repositorio del laboratorio Auditoría.


92



Ejecución de scripts




Adecuación global (1) Dossier técnico individual (3) Informes detallados


Por Servidor

Configuración y parametrización Análisis de usuarios

Nivel de parches









93






Grado de adecuación global Dossier técnico individual Informes detallados

Análisis de Configuración y Parametrización (Informe 1/3)


94







Análisis de usuarios (Informe 2/3)

+ Ficha X Usuario


95







Análisis de parches (Informe 3/3)


96






Análisis de usuarios

Análisis de parches

Grado de adecuación global Dossier técnico individual

Análisis de configuración

Informes detallados

Detalle puntos de control


97






ANÁLISIS DE CONFIGURACIÓN. GRADO GLOBAL DE ADECUACIÓN TIPO 1

Análisis de configuración

100,00%

80,00%

82,86%

80,69% 73,54%

72,02%

70,00% 60,00% 50,00%

GRADO GLOBAL DE ADECUACIÓN TIPO 1

Análisis de parches

40,00% 30,00% 20,00%

65%

c-

09 4

64%

c-

c-

c-

60%

06 0

06 4

06 3

63,4%

c-

80,0% 70,0%

c

60,0%

65%

63%

59%

69%

63%

MÁQUINAS ANALIZADAS 50,0% 40,0%

30,0% 20,0% 10,0% 0,0%

17 5

c-

09 4

c-

06 0

06 4

c-

83%

83%

83%

83%

83%

83% 77%

70% 60% 50% 40% 30% 20% 10% 17 5 c-

09 4 c-

06 0 c-

06 4 c-

06 3 c-

15 0 c-

14 4

13 0 c-

M E D

IO

0% %

% CUMPLIMIENTO

87% 90% 86,3% MÁQUINAS ANALIZADAS 80%

Grado de Adecuación Global del parque de equipos analizados

Análisis de usuarios

c-

06 3 c-

15 0

100%

c-

14 4 c-

13 0 c-

IO ED M %

TIPO 1 y TIPO 2

GRADO GLOBAL DE ADECUACIÓN TIPO 1

c-

13 0 c-

-1 % CUMPLIMIENTO 44

%

M

ED

IO

0,00%

17 5

100,0% 90,0%

10,00%

…

83,30%

80,48%

79,83%

15 0

Informes detallados

79,42%

c-

Dossier técnico individual

82,65%

90,00%

% CUMPLIMIENTO

Grado de adecuación global

MÁQUINAS ANALIZADAS


98



Matrices de tendencias Grado de adecuación global




Elaboración de CONCLUSIONES: controles NO IMPLANTADOS

Dossier técnico individual Informes detallados


99



Matrices de tendencias Grado de adecuación global




Elaboración de CONCLUSIONES: servidores NO ESTANDARIZADOS

Dossier técnico individual Informes detallados


100






Resultados. Adecuación. Mejora Documentación generada Matriz de controles por plataforma

Matriz de controles por tipo de máquina




Fichas de usuarios (por máquina)


101






Adecuación y mejora: Durante proceso auditoría Una vez enviados los informes detallados y resultado de los scripts, se llevaron a cabo más de 80 acciones correctoras “inmediatas”. % adecuación medio ANÁLISIS DE CONFIGURACIÓN

75,86%

79,42%

+3,56%

69,54%

+5,52%

75,06%

TIPO 2

TIPO 1 % adecuación medio ANÁLISIS DE USUARIOS

48,05%

+15,34% 63,39%

45,04%

TIPO 1


+22,66% 67,69% TIPO 2

102



 Identificar objetivo de control a mejorar




 Estudiar puntos de control

informe detallado:  Consultar No conformidades y causa

Adecuación y mejora: Proceso de adecuación


103

AuditoríaSistemasEjemplos prácticos.2012v0

Recommend Documents