MODELO ORGANIZACIONAL Y OPERATIVO DE LA PRÁCTICA DE LA AUDITORÍA INFORMÁTICA
Ejemplos prácticos Auditoría de procesos Auditorías de Arquitecturas Tecnológicas Damián Ruiz Soriano (CISA, CISSP. Lead Auditor) Departamento de Auditoría de Sistemas de Producción de Bankia
[email protected] 23 de octubre de 2012 Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos
1
Conceptos básicos. Objetivos de control. Controles Evaluación
Auditoría Informática: Misión Evaluar la estructura de control interno Fortalezas y debilidades materiales en el diseño e implementación de controles internos y su eficacia para alcanzar los objetivos de control
Controles Objetivo de Control
Evaluar
Práctica de control=Controles Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
2
Conceptos básicos. Objetivos de control. Controles Evaluación Objetivo de Control •Un objetivo de control en TI es una definición del resultado o propósito que se desea alcanzar implementando prácticas de control (técnicos, humanos, procedimentales) en un proceso específico de TI (o directamente con las actividades específicas dentro del proceso) • Los objetivos de control son requisitos de alto nivel que deben ser considerados para el control eficaz del proceso.
Controles •Políticas, procedimientos, prácticas y estructuras organizacionales implementadas para proveer una certeza razonable de que se alcanzarán los objetivos de negocio de una organización y que los eventos de riesgo no deseados serán previstos o detectados. •El control es el medio por el cual se alcanza los objetivos de control.
Evaluar
•Políticas, procedimientos, prácticas y estructuras organizacionales implementadas. Práctica de control=Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
3
Conceptos básicos. Objetivos de control. Controles Evaluación … Asegurar el servicio continuo Garantizar la seguridad del sistema …
Proceso
Administración de Instalaciones Administración de problemas e incidentes Administración de Operaciones
… Sistema de Administración de Problemas Escalamiento de Problemas Seguimiento de Problemas
Actividad …
Objetivo de Control
Controles
La Gerencia deberá definir e implementar procedimientos de escalamiento de problemas para asegurar que los problemas sean resueltos oportunamente de la manera más eficiente. Estos procedimientos deberán asegurar que las prioridades sean establecidas apropiadamente.
•Los escalamientos de problemas se notifican al nivel apropiado. •Se evalúa periódicamente el proceso de manejo de problemas (efectividad y eficiencia). •Se realizan reportes de incidentes para los eventos críticos
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
4
Conceptos básicos. Objetivos de control. Controles Evaluación Objetivos de Control. Controles. Pueden estar identificados (o no) e implementados (o no) por parte del propietario del proceso. En cualquier caso el Auditor debe estar capacitado para definir/exigir objetivos de control y controles a partir de modelos de buenas prácticas de gestión y control (ej. CoBIT, ITIL)
Identificación Objetivos de Control Existen definiciones formales
NO existen definiciones formales
Identificar objetivos de control de alto nivel del propietario del proceso Mapear con objetivos de control de alto nivel con marcos de referencia. (identificar ausencias)
Definir objetivos de control de alto nivel según marcos de referencia.
Identificación de Controles Analizar documentación existente asociada al proceso a auditar, para identificar controles definidos formalmente o tareas de las cuales se puedan inferir controles.
Mapear con controles de marcos de referencia. (identificar ausencias) Definir prácticas de control que den cobertura a los objetivos de control. Analizar los marcos de referencia.
Desarrollar un cuestionario de puntos de control
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
5
Metodología Objetivos de Control. Controles. [Mejores prácticas] Mejores prácticas: "una manera de hacer las cosas o un trabajo, aceptado ampliamente por la Evolución de la práctica auditora de industria y que funciona correctamente..." Aidan Lawes, CEO itSMF Sistemas de Información
"Las mejores prácticas" son la mejor identificación de acercamiento a una situación basada en observaciones sobre organizaciones efectivas en similares circunstancias de negocio. Un acercamiento a "las mejores prácticas" significa la búsqueda de ideas y experiencias que han funcionado con aquellos que emprendieron actividades similares en el pasado y se decide cuál de esas prácticas son relevantes con la situación actual que se tiene. Una vez identificadas, se prueban con intención de ver si las mismas funcionan, antes de incorporarlas cómo prácticas aprobadas en su propio proceso documentado.
"Las mejores prácticas" evitan "re-inventar la rueda", sino que es el aprendizaje a través de otros, con implementaciones que han sido desarrolladas para que funcionen correctamente.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
6
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3
Cobit • • •
Objetivos de Control para Tecnología de Información ¿Qué es?: Un estándar de Controles y Auditoría de Tecnología Informática Un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes, auditores.
•
Gerencia (apoyo a decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control) Auditores : soportar opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido. Responsables de TI: para identificar los controles que requieren en sus áreas
• •
• •
• •
Define las actividades de TI de una organización, en un modelo genérico de procesos. El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para todos los implicados en los trabajos de la organización, con el fin de que visualicen y administren las actividades de TI. La incorporación de un modelo y un lenguaje común para todas las partes de un negocio involucradas en TI es uno de los pasos iniciales más importantes hacia un buen gobierno. Brinda un marco de trabajo para la medición y monitorización del desempeño de las Tecnologías de Información, e integra las mejores prácticas administrativas. Fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Determina las actividades y los riesgos que requieren ser administrados.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
7
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 Pilares del Modelo CobiT
• • •
Requerimientos de la información del negocio. Recursos de Tecnología Informática Procesos de Tecnología Informática
REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO
PROCESOS DE TI RECURSOS DE TI
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
8
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 Requerimientos de la Información del Negocio • Confidencialidad: Protección de la información sensible contra divulgación no autorizada o desde el punto de vista del uso no autorizado. –
Grado de protección que tiene la información y los sistemas de información para evitar el acceso no autorizado
• Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa. –
Que la información sea coherente, competa, fiable y veraz
• Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. –
Que la información y los sistemas de información estén disponibles siempre que se necesiten
• Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. • Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en su debido momento oportuna, correcta, consistente y de manera utilizable . –
Que los sistemas informáticos sea suficientes para dar soporte a los procesos
• Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica). –
Que los costes en los que se incurre sean razonables y proporcionados a sus necesidades y que estén correctamente gestionados
• Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
9
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 Recursos de Tecnología Informática •
Datos: Los objetos de información. Información interna y externa, estructurada o no, gráficas, sonidos, etc. Información
•
Aplicaciones: Entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Aplicaciones propias, desarrolladas por terceras casa o compradas a terceros.
•
Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.
•
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Infraestructura: Hardware, sistemas operativos, gestores de bases de datos, redes e instalaciones.
•
Recurso Humanos: Todo lo relacionado con la gestión de personal propio o subcontratado para planificar, adquirir, prestar servicios, dar soporte y monitorizar los sistemas de Información.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
10
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 Procesos de TI :Los Tres Niveles Dominios Agrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional • • • •
Planificación y Organización (Planning and Organization) Adquisición e implementación (Acquisition and Implementation) Prestación de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring)
Procesos Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
11
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 MARCO DE REFERENCIA
C
ME1 ME2 ME3 ME4
O B I
T
OBJETIVOS DEL NEGOCIO OBJETIVOS DE GOBIERNO
PO1 PO2 PO3 PO4
Definir un plan estratégico de TI. Definir la arquitectura de información. Determinar la dirección tecnológica. Definir los procesos de TI, la organización y sus relaciones. PO5 Administrar las inversiones en TI. PO6 Comunicar la dirección y objetivos de la gerencia. PO7 Administrar los recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI. PO10 Administrar proyectos.
Monitorear y Evaluar el desempeño de TI. Monitorear y Evaluar el control interno. Garantizar el cumplimiento regulatorio. Proveer Gobierno de TI. INFORMACION Integridad Disponibilidad Confidencialidad
Cumplimiento Eficiencia Efectividad Confiabilidad
PLANIFICACIÓN Y ORGANIZACIÓN
MONITORIZAR Y EVALUAR RECURSOS DE TI
DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuración. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente físico. DS13 Administrar operaciones.
Aplicaciones Información Infraestructura Personas ENTREGA Y SOPORTE
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
ADQUISICIÓN E IMPLEMENTACIÓN
AI1 AI2 AI3 AI4 AI5 AI6 AI7
Identificar soluciones de automatización. Adquirir y mantener software de aplicación. Adquirir y mantener la infraestructura tecnológica. Permitir la operación y uso. Obtener recursos de TI. Administrar cambios. Instalar y acreditar soluciones y cambios.
12
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 Relación entre componentes Requerimientos de la información del negocio. Recursos de Tecnología Informática Procesos de Tecnología Informática
Procesos TI
• • •
Criterios de la Información
Dominios
Procesos
Actividades Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
13
ct iv Ef ida d C icie on n fid cia en In cia te li D gri dad is da po d ni bi C um lid ad pl i m C on ie fia nto bi lid ad Pe rs o A pl nas ic ac Te ion es cn in olo st al gía ac io ne D s at os
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 DOMINIO
PLAN Y ORGANIZACIÓN
ADQUISICIÓN E IMPLEMENTACIÓN
PROCESOS PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 PO11
Definir el plan estratégico de TI
AI1 AI2 AI3 AI4 AI5 AI6
Identificar soluciones automatizadas
DS1 DS2 DS3 DS4 DS5 DS6 ENTREGA Y SOPORTE DS7 DS8 DS9 DS10 DS11 DS12 DS13
MONITORIZACIÓN Y EVALUACIÓN
Ef e
Relación entre componentes
M1 M2 M3 M4
Definir la Arquitectura de la información Determinar la dirección tecnológica Definir procesos, organización y relaciones de TI Administra la inversión en TI Comuinicar las aspiraciones y la dirección de Gerencia Administrar Recursos Humanos de TI Administrar calidad Evaluar y Administrar riesgos de TI Administrar proyectos Administrar calidad
Adquiriri y mantener el Software aplicativo Adquiriri y mantener el la Infraestructura ttecnológica Facilitar la operación y el uso Adquirir recursos de TI Administrar Cambios Definir y administrar niveles de Servicio Administrar servicios de terceros Administrar desempeño y capacidad Garantizar la continuidad del Servicio
P P P P P P P P P P P
S S S S P
P P P P P P
S P P P
P P P P
P P P S
Educar y entrenar a los usuarios Administrar la mesa de servicio y los incidentes Administrar la configuración Administrar lños problemas
P P P P
S
P S P P
P
S S S S P
P S S
S S
P
P
P
P
Monitorear y evaluar el desempeño de TI
P P P P
P P P P
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
P S
S S S S
S S S
S
S
S
S
P P S
P S
S S S S
S S S S
√
√
√
√
√
√
√
√ √ √ √
√ √ √
√ √ √
√
√
√ √
S
√ √ √
√ √ √ √
√ √ √
S S
S S
√ √
S
S P
√ √ √ √ √ √
√ √ √ √ √ √
√ √ √ √ √ √
√
√ √ √
√ √
√ √
√
√
√ √ √ √
√ √ √ √
S P S S S P S
√ √ √ √ √ √ √ √
√ √
√ √ √
S S
P
Administrar las operaciones
Proporcionar Gobierno de TI
P
P S P
Administrar el ambiente físico
Garantizar cumplimiento interno
P P
Administrar los datos
Monitorear y evaluaar el control interno
S
S
Garantizar la seguridad de los sistemas Identificar y asignar costos
√ S
√ √ √ √ √
S P
S P P P
S S S S
√ √ √ √
√ √
√ √
√ √ √ √ √ √ √
√ √
√ √
√
√ √ √ √
√ √ √ √
14
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3
Procesos del Dominio
Dominio: DS Entrega y Soporte DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. Proceso DS9 Administrar la configuración. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente físico. DS13 Administrar operaciones.
Actividades del proceso «Administrar servicios de apoyo e incidentes» DS8.1 Mesa de Servicio (Service Desk) DS8.2 Registros de consultas de clientes DS8.3 Escalamiento de incidentes Actividad DS8.4 Cierre de incidentes DS8.5 Análisis de tendencias Actividad
Objetivo de control de alto nivel para el PROCESO Responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI, requiere de una mesa de servicio bien diseñada y bien ejecutada, y de un proceso de administración de incidentes. Este proceso incluye la creación de una función de mesa de servicio con registro, escalamiento de incidentes, análisis de tendencia, análisis causa-raiz y resolución. Los beneficios del negocio incluyen el incremento en la productividad gracias a la resolución rápida de consultas. Además, el negocio puede identificar la causa raíz (tales como un pobre entrenamiento a los usuarios) a través de un proceso de reporte efectivo.
Objetivo de control detallado para la ACTIVIDAD Establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de acuerdo con los límites acordados en el SLA y, si es adecuado, brindar soluciones alternas. Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de qué grupo de TI esté trabajando en las actividades de resolución
Objetivo de control detallado para la ACTIVIDAD Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el desempeño del servicio y los tiempos derespuesta, así como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma continua.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
15
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 COBIT 4.1
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
16
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
17
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 CoBIT Control Practices. Proporciona directivas para alcanzar los objetivos de control. Documento detallado de ayuda para la justificación y diseño de controles. Asociado a cada OBJETIVO DE CONTROL (1)
Riesgos que se evitan
(2)
Valor que se obtiene.
(3)
PRACTICAS DE CONTROL. Instrucción para la consecución del objetivo.
Proceso p Control Objective
Value Drivers
Risk Drivers
Actividad n (del proceso p) Texto del Objetivo de Control detallado para la actividad n
Valores que se obtienen cuando se cubre el objetivo de control
Ejemplos de riesgos que se evitan cunado se cubre elobjetivo de control
Control Practices 1. 2.
Instrucciones para la consecución del objetivo
3.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
18
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 CoBIT Control Practices. DS8 Administrar servicios de apoyo e incidentes DS8.3 Escalado de Incidentes
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
19
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 CoBIT Control Practices. DS8 Administrar servicios de apoyo e incidentes DS8.5 Reporte y análisis de tendencias
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
20
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 IT Assurance Guide (Using COBIT). Guía de Aseguramiento de TI. Reemplaza a un documento anterior de directrices de auditoría.
Se trata de una guía sobre la forma en que COBIT puede servir de apoyo para diversas actividades de aseguramiento y cómo se puede realizar una revisión (auditoría) del aseguramiento en cada uno de los procesos de TI.
Proceso p Texto del Objetivo de Control de alto nivel para el proceso p
Control Objective
Value Drivers
Risk Drivers
Actividad n (del proceso p) Texto del Objetivo de Control detallado para la actividad n
Valores que se obtienen cuando se cubre el objetivo de control
Ejemplos de riesgos que se evitan cunado se cubre elobjetivo de control
Test de Control Design 1. 2.
Instrucciones para la revisión del diseño del control
3.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
21
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 IT Assurance Guide DS8 Administrar servicios de apoyo e incidentes DS8.3 Escalado de Incidentes
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
22
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3 IT Assurance Guide DS8 Administrar servicios de apoyo e incidentes DS8.5 Reporte y análisis de tendencias
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
23
Objetivos de control. Controles. Cobit Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
24
Objetivos de control. Controles. ITIL Mejores prácticas. Fuente 2/3 ¿Qué es ITIL? Una biblioteca que documenta las Buenas Prácticas de la Gestión de Servicios de TI. ITIL es un estándar enfocado a la planificación, provisión y soporte de servicios de TI. Describe la arquitectura para establecer y operar la gestión de servicios de TI. ¿Por qué es útil ITIL a la práctica de la Auditoría Informática? Framework para identificar un mapa de procesos de TI (tareas, actividades, y roles) Herramienta para identificar objetivos de control y controles dentro de los procesos a auditar.
•Provisión de Servicios TI
•Soporte de Servicios TI •Perspectiva de Negocios •Gestión de Infraestructura •Perspectiva de Negocio
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
25
Objetivos de control. Controles. ITIL Mejores prácticas. Fuente 2/3 Soporte de Servicios Gestión de Incidencias Gestión de Problemas Gestión de Cambios Gestión de la Configuración
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Provisión de Servicios Gestión de la Capacidad Gestión de la Disponibilidad Gestión de la Continuidad Gestión Financiera Gestión de Niveles de Servicio
2626
Cobit e ITIL son frameworks complementarios que nos permiten identificar procesos, actividades y tareas y dentro de ellos, objetivos de control, en la Auditoría de Procesos.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
27
Objetivos de control. Controles. ITIL Mejores prácticas. Fuente 3/3 FFIEC IS Requeriments (Federal Financial Institutions Examination Council‟s) El estándar utilizado por la Reserva Federal de EEUU como guía de trabajo para evaluar la idoneidad y adecuación de los controles implantados sobre los sistemas de información de las Entidades Financieras que presentan oficinas en Estados Unidos. Dispone de cuadernos de revisión (IT Examination Handbook): IS- Information Security AUD – Audit
OT – Outsourcing Technology Services TSP – Technology Services Provider BCP – Business Continuity Plan
Herramienta para identificar objetivos de control y controles dentro de los procesos a auditar.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
28
Conceptos básicos. Objetivos de control. Controles Evaluación (Niveles) IT Governance Verificación de cumplimiento de objetivos. Eficacia Evaluar la eficiencia. Identificar oportunidades de mejora.
Procesos
Identificar las causas origen de un problema establecido.
Verificar si los controles son adecuados e identificar los
Procedimientos Guías Técnicas Configuraciones técnicas
riesgos (debilidades) para la organización.
Determinar si practicas establecidas (Procedimientos, Instrucciones de trabajo) se están instrumentando y ejecutando.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
29
Objetivos de control. Controles. Metodologías (Tipologías)
Gestión
IT Governance
Procesos Política
Identificación Objetivos Control
Identificación Proceso
Análisis y verificación de controles
Valoración Controles
Procedimientos Control Guías Técnicas
Configuraciones técnicas Controles
Definición de controles (comprobaciones)
Desarrollo herramienta de soporte
Revisión y análisis
Resultados [Adecuación]
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
30
Objetivos de control. Controles Informe Auditor [ Introducción ] Aspectos Organizativos Objetivos Descripción de Arquitectura/Proceso Alcance y limitaciones Hechos observados Conclusiones
Objetivos de Control Puntos de Control
Valoración de controles Recomendaciones
[ Manifestaciones ]
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
31
Modelo Organizacional y Operativo de la práctica de la auditoría informática Ejemplos prácticos Auditorías orientadas a procesos. Auditorías de SLA‟s
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
32
Objetivo. Alcance
Revisión y evaluación del nivel de cumplimiento de todos los Acuerdos de Nivel de Servicio (en adelante ANS) involucrados en la operativa del Área de Producción.
Objetivo
Análisis del Proceso de Gestión de Nivel de Servicio (proceso responsable de garantizar que se satisfagan los ANS‟s y que cualquier influencia adversa sobre la calidad del servicio sea normalizada)
Alcance considerado Área de Producción. La Gestión de Niveles de Servicio comprende los procesos de planificación, coordinación, diseño, acuerdo, monitorización e informe de los ANS y la revisión continua de los logros del servicio para asegurarse un mantenimiento y mejora de la calidad del servicio necesaria, justificable en términos de su coste. Al tratarse de un proceso en curso (ANS‟s en vigor) ha quedado fuera del alcance todas las actividades previas al establecimiento de los ANS* estableciéndose como alcance del análisis de la gestión del proceso:: Monitorización y reporte. Actividad que permite evaluar y gestionar el rendimiento de los proveedores e identificar potenciales deficiencias. Revisión del servicio. Debe estar establecido un procedimiento de revisión de los acuerdos orientado al cumplimiento de objetivos y detección de deficiencias. Programa de mejora del servicio. Actividades proactivas de detección y toma de acciones no asociadas a deficiencias y/o incumplimientos. Mantenimiento de los contratos ANS. * Actividades de planificación, catalogo de servicios, diseño de ANS, negociado y acuerdos Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
33
Aspectos Organizativos Aspectos Organizativos Área de Producción. Esta Área, tiene, entre otras, como misión "definir, desarrollar y gestionar el soporte técnico y funcionamiento de los sistemas del Grupo" . Y dentro de sus funciones, en relación con la gestión de equipos e infraestructura tecnológica y el aseguramiento de la disponibilidad de las plataformas, presta soporte técnico para el desarrollo y mantenimiento de los sistemas. …
Proveedor n. [De los ANS‟s y/o del análisis de las operativas se obtiene]. (1) Ámbito del acuerdo: lo que cubre y lo que se excluye -y por tanto no es responsabilidad del prestador del servicio-, (2) Responsabilidades y obligaciones del Cliente y del Proveedor del servicio - acciones que uno y otro deben llevar a cabo para el cumplimiento normal de acuerdo-..
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
34
Metodología
Identificación Proceso
Identificación Objetivos Control. Controles
Roles Actividades
Identificación controles
Análisis y verificación de controles
Valoración Controles
Modelo de Madurez
Diagrama procesos Modelo Teórico
Criterio auditor
Buenas prácticas CISA
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
ISO 27001 ITIL COBIT
Controles conceptos
35
Modelo teórico
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
36
Metodología Objetivos de Control. Controles Identificación Proceso
Roles Actividades Diagrama procesos Modelo Teórico
Identificación Objetivos Control. Controles
Análisis y verificación de controles
Valoración Controles
Identificación controles
Criterio auditor
Buenas prácticas CISA
Modelo de Madurez
ISO 27001 ITIL COBIT
Controles conceptos
Tres fuentes de metodologías de control, buenas prácticas y cumplimientos normativos: COBIT. Se han utilizado controles del capítulo “Entrega y Servicio”, apartados DS1 “Definición y Gestión de niveles de servicio” y DS2 “Gestión de Servicios con terceros”.
Las mejores prácticas indicadas para la “Gestión de Niveles de Servicio” del “Libro de Provisión de Servicio” de la librería ITIL. Outsourcing Technology Services, IT Examination Handbook, de la FFIEC (Federal Financial Institutions Examination Council). Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
37
Objetivos de control. Controles. ITIL Mejores prácticas. Fuente 2/3
Provisión de Servicio
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
38
Esquema modelo de Acuerdo de Nivel de Servicio
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
1.- Aspectos generales 2.- Horario de servicio
COMPROBACIÓN DE RAZONABILIDAD.COMPLETITUD
3.- Disponibilidad
Se valida el contenido frente a las tres fuentes de metodologías de control, buenas prácticas y cumplimientos normativos elegidos
ANÁLISIS DE PROCESO/TAREAS. ENTREGABLES
4.- Fiabilidad 5.- Soporte y atención al cliente 6.- Tráfico y consumo 7.- Tiempo de respuesta de las transacciones 8.- Tiempo de ejecución de procesos en diferido 9.- Procedimientos de Gestión del cambio 10.- Continuidad de los servicios TI
11.- Seguridad Física y Lógica
12.- Impresión 13.- Facturación 14.- Revisión e informes de los servicios 15.- Incentivos/Penalizaciones del rendimiento
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Todos aquellos objetivos de control que lleven asociados procedimientos, adicionalmente a la verificación de su razonabilidad/completitud, serán revisadas sus tareas y entregables.
Incluye procesos, tareas, entregables,… 39
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
Aspectos generales: Se analizan las partes implicadas en el acuerdo, firmantes, fechas, ámbitos del acuerdo, responsabilidades clientes-proveedor y descripción de los servicios cubiertos. Horario de servicio: Además del horario que se proporcionará, se deberá considerar diferencias horarias, posibles acuerdos de ampliación, horarios especiales y calendario del servicio. Disponibilidad: Establecimiento de alcances y objetivos medibles. Deben quedar estipulados periodos y métodos de medida. Fiabilidad: Existencia de términos de fiabilidad , indicadores (ej. número máximo de interrupciones, tiempo medio entre incidentes…), su monitorización y registro. Soporte y atención al cliente: Deben quedar estipuladas las condiciones de asistencia al cliente, procedimientos, categorización/priorización de incidencias y registro/documentación de las mismas. Tráfico y consumos: Estipular volúmenes de tráfico/consumo potenciales para poder identificar las dificultades en el rendimiento originadas por un tráfico/consumo excesivo, superior al acordado. Tiempo de respuesta de las transacciones: Objetivos para los tiempos de respuesta media o máxima de las estaciones de trabajo. Lo más común es que se expresen en porcentaje. Se podrán establecer rangos que identifiquen tiempos de respuesta y porcentaje de ocurrencia. Tiempo de ejecución de procesos en diferido: Para procesos en diferido (ej. cierres,…), que conllevan consumo de recursos y ejecuciones lentas y costosas, deberán establecerse tiempos para la provisión de entradas, y el tiempo y el lugar para la entrega de los resultados. Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
40
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
Gestión de Cambios: Procedimiento para la aprobación, gestión e implementación de las peticiones y órdenes de cambio, que normalmente estará basado en la categoría y urgencia o prioridad del cambio. Continuidad de los servicios TI: Deben contemplarse los planes de continuidad de los servicios ofrecidos por el proveedor, y cómo ponerlos en marcha. Igualmente, debe existir información acerca del objetivo de cualquier servicio reducido o modificado en caso de desastre. Seguridad Física y Lógica: Referencias a la política de seguridad de la organización (control de contraseñas, violaciones de seguridad, software no autorizado, virus, etc) y detalles de responsabilidades para cualquiera de las partes (i.e., protección antivirus, firewalls, etc.). Impresión: En caso necesario, se incluirá información sobre cualquier condición especial relativa a la impresión o a las impresoras (i.e., detalles sobre la distribución de las mismas, notificación previa de grandes volúmenes, manejo de documentos con especial valor…). Facturación: Se establecerán periodos y fórmulas de facturación, y bonificaciones o penalizaciones que haya que pagar si los objetivos del servicio no cumplen con lo esperado. Revisiones e informes: Se deberá especificar cuándo y cómo se revisarán los objetivos del servicio, qué informes se realizarán, distribución de los informes, reuniones de seguimiento y su frecuencia, etc. Incentivos/Penalizaciones del rendimiento: Se incluirán detalles sobre cualquier acuerdo relacionado con los incentivos y/o penalizaciones económicas basadas en el rendimiento real contrastado con los niveles de servicio previamente acordados. Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
41
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Soporte y atención al cliente (1/2)
Valoración Controles Auditoría Razonabilidad Proceso/Tareas Completitud Entregables
Condiciones de asistencia de soporte al cliente: Deberán estar reflejadas las responsabilidades/eximentes del proveedor del servicio y del cliente.
Procedimiento para la resolución de problemas e incidencias: El ANS debe incluir un adecuado procedimiento para la resolución y reporte de incidencias registradas como consecuencia de la operativa de servicio.
Horario de soporte al cliente: Debe estar reflejado sea diferente o no del horario de servicio. Provisiones para posibles ampliaciones de soporte al cliente: Se comprueba la existencia de cláusulas, procedimientos para solicitud de ampliaciones, condiciones de la solicitud de ampliación (quién, cómo,…), tiempo de preaviso necesario y tipos de ampliaciones contenidas en el acuerdo. Horarios especiales: Si procede, se fijarán condiciones para horarios vacacionales, festivos o no laborables (tanto para el cliente como para el proveedor). Se establecerán todas las condiciones especiales para dichas excepciones y el medio de recibir asistencia (ej.vía telefónica). Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
n.a
n.a
n.a
42
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Soporte y atención al cliente (2/2) Tiempo objetivo de respuesta a los incidentes. Deben fijarse objetivos relacionados con el tiempo que transcurre desde la comunicación de la incidencia hasta que el equipo de mantenimiento se pone en disposición de resolverla.
Valoración Controles Auditoría Razonabilidad Proceso/Tareas Entregables Completitud
Procedimientos operacionales. Los operadores deben disponer de operativas de actuación ante problemas reiterados.
Documentación de los problemas comunicados y registrados: Fecha de ocurrencia, descripción incidencia, intervinientes (escalado y a qué nivel, si es necesario), solución y resolución adoptada.
Prioridad en la resolución de incidentes: Debe establecerse una categorización de incidentes y un orden de resolución en función de prioridades previamente catalogadas. Tiempo objetivo de resolución de incidentes: Deben fijarse objetivos relacionados con el tiempo de resolución (tiempo desde que hay constancia que se ha recibido la incidencia hasta que realmente se resuelve y se cierra).
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
43
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
Razonabilidad Proceso/Tareas Completitud Entregables 1.- Aspectos generales 2.- Horario de servicio 3.- Disponibilidad 4.- Fiabilidad 5.- Soporte y atención al cliente 6.- Tráfico y consumo 7.- Tiempo de respuesta de las transacciones 8.- Tiempo de ejecución de procesos en diferido
9.- Procedimientos de Gestión del cambio 10.- Continuidad de los servicios TI
11.- Seguridad Física y Lógica 12.- Impresión 13.- Facturación 14.- Revisión e informes de los servicios 15.- Incentivos/Penalizaciones del rendimiento Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
n.a
Revisar
Revisar
Revisar
Revisar
Revisar
Revisar
n.a
Revisar
Revisar
44
Metodología Valoración. Modelo de Madurez. [Mejores prácticas]
Identificación Proceso
Identificación Objetivos Control. Controles
Roles Actividades
Identificación controles
Análisis y verificación de controles
Valoración Controles
Modelo de Madurez
Diagrama procesos Modelo Teórico
Criterio auditor
Buenas prácticas CISA
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
ISO 27001 ITIL COBIT
Controles conceptos
45
Metodología Valoración. Modelo de Madurez. [Mejores prácticas] Objetivo: Elaboración de criterios que nos permitan evaluar el proceso desde el punto de vista de la administración y control de proceso. Desarrollar un contenido del modelo de valoración basado en Modelos de Madurez, a partir del cual se podrá identificar el nivel de control interno del proceso auditado. El enfoque de los Modelos de Madurez para el control sobre procesos de las TI consiste en el desarrollo de un método de asignación de puntuación para que una organización, proceso o actividad pueda ser calificado.
Características del proceso
Utilizar modelos de madurez genéricos (ej Cobit)
Utilzar modelos de madurez específicos del proceso auditado (fuente: Cobit)
Nivel de Madurez
Proceso autogestionado y basado en mejores prácticas
Optimizado
Proceso monitorizado y medible
Gestionado
Proceso formalizado y documentado
Definido
Proceso intuitivo y repetible
Repetible
Proceso AdHoc y desorganizado
Inicial
Proceso Inexistente
Inexistente
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
46
Metodología Valoración. Modelo de Madurez Genérico Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
Inexistente
Total falta de un proceso reconocible. No existe reconocimiento de problemas que resolver.
Inicial
Evidencias del reconocimiento de problemas y necesidad de resolución. Sin embargo, no hay procesos estandarizados aunque hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado.
Repetible
Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores.
Definido
Procedimientos estandarizados y documentados. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes.
Administrado
Es posible monitorizar y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y presentan buenas prácticas. Se usan automatismos y herramientas en una forma limitada o fragmentada.
Optimizado
Procesos refinados a nivel de mejor práctica, basados en los resultados de mejora continua y madurez de otras organizaciones. Se usan herramientas en una forma integrada para automatizar el flujo de trabajo para mejorar la calidad y la efectividad.
Cobit. Modelo de madurez genérico Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
47
Metodología Valoración. Modelo de Madurez Específico Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
Inexistente
Las responsabilidades y la rendición de cuentas no están definidas. No hay políticas y procedimientos formales respecto a la contratación con terceros. Los servicios de terceros no son ni aprobados ni revisados por la gerencia. No hay actividades de medición y los terceros no reportan. A falta de una obligación contractual de reportar, la alta gerencia no está al tanto de la calidad del servicio prestado.
Inicial
La gerencia está conciente de la importancia de la necesidad de tener políticas y procedimientos documentados para la administración de los servicios de terceros, incluyendo la firma de contratos. No hay condiciones estandarizadas para los convenios con los prestadores de servicios. La medición de los servicios prestados es informal y reactiva. Las prácticas dependen de la experiencia de los individuos y del proveedor (por ejemplo, por demanda).
Repetible
El proceso de supervisión de los proveedores de servicios de terceros, de los riesgos asociados y de la prestación de servicios es informal. Se utiliza un contrato pro-forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán). Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio.
Cobit. Modelo de madurez específico Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
48
Metodología Valoración. Modelo de Madurez Específico Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
Definido
Hay procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar y negociar con los proveedores. La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control. Se asigna la responsabilidad de supervisar los servicios de terceros. Los términos contractuales se basan en formatos estandarizados. El riesgo del negocio asociado con los servicios del tercero esta valorado y reportado.
Administrado
Se establecen criterios formales y estandarizados para definir los términos de un acuerdo, incluyendo alcance del trabajo, servicios/entregables a suministrar, suposiciones, calendario, costos, acuerdos de facturación y responsabilidades. Se asignan las responsabilidades para la administración del contrato y del proveedor. Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma continua. Los requerimientos del servicio están definidos y alineados con los objetivos del negocio. Existe un proceso para comparar el desempeño contra los términos contractuales para evaluar los servicios actuales y futuros del tercero. Todas las partes involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPIs y KGIs para la supervisión del servicio
Cobit. Modelo de madurez específico Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
49
Metodología Valoración. Modelo de Madurez Específico Identificación Proceso
Optimizado
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
Los contratos firmados con los terceros son revisados de forma periódica en intervalos predefinidos. La responsabilidad de administrar a los proveedores y la calidad de los servicios prestados está asignada. Se monitorea el cumplimiento de las condiciones operacionales, legales y de control y se implantan acciones correctivas. El tercero está sujeto a revisiones periódicas independientes y se le retroalimenta sobre su desempeño para mejorar la prestación del servicio. Las mediciones varían como respuesta a los cambios en las condiciones del negocio. Las mediciones ayudan a la detección temprana de problemas potenciales con los servicios de terceros. La notificación completa y bien definida del cumplimiento de los niveles de servicio, está asociada con la compensación del tercero. La gerencia ajusta el proceso de adquisición y monitoreo de servicios de terceros con base en los resultados de los KPIs y KGIs.
Cobit. Modelo de madurez específico Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
50
Metodología Valoración. Otro Adecuación
Descripción y acciones necesarias Además de cumplir las características del nivel elevado, existe una estrategia continua de mejoramiento de controles.
Óptimo
Están gestionada su eficacia y eficiencia mediante métricas, cuadros de mando, etc… Los controles que alcanzan el objetivo de control:
Elevado
Están perfectamente definidos. Están implementados y operativos prevaleciendo controles automáticos Son medibles. Existe un control o conjunto de controles definidos, establecidos y operativos que dan cobertura al objetivo de control.
Adecuado
Los controles pueden ser manuales y automáticos y los procedimientos y operaciones son correctos Existen controles que alcanzan el objetivo de control.
Razonable
Pero los procedimientos y operaciones asociados a los controles presentan deficiencias. Si la evaluación de un control es evaluada como “razonable”, son necesarias acciones correctivas y debe desarrollarse un plan de mejora que analice y subsane las deficiencias en procedimientos y operaciones. El objetivo de control no es alcanzado debido a:
Mejorable
la ausencia de algún control la presencia de controles inefectivos. Debilidades materiales en el diseño e implementación Si la evaluación de un control es evaluada como “mejorable”, son necesarias acciones correctivas y debe desarrollarse un plan que incorpore estas acciones dentro de un período de tiempo prudente. El objetivo de control no es alcanzado debido a que
Deficiente (o nulo)
No existen control(es) Si la evaluación de un control es evaluada como de “deficiente o nulo”, existe una necesidad inmediata de acciones correctivas. El sistema puede continuar operando pero debe ponerse en marcha un plan de acción correctivo tan pronto como sea posible.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
51
Modelo Organizacional y Operativo de la práctica de la auditoría informática Ejemplos prácticos Auditoría de procesos. Auditoría de Gestión de Proyectos de Producción
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
52
Objetivo. Alcance Objetivo Revisión de las actividades relacionadas con la Gestión de Proyectos sin desarrollo de software (ej. implantación de arquitecturas hardware, infraestructuras de comunicaciones, etc.)
Alcance considerado Gestión de Proyectos sin desarrollo de software. En Bankia las actividades desarrollo de software siguen una metodología acreditada con el nivel de madurez 3 del modelo CMMI-DEV que indica que se posee y aplica un modelo de trabajo definido, maduro y eficaz. Las premisas del modelo de evaluación utilizado y el diseño de sus controles han sido que bajo una política de mínimos, si el proyecto evaluado contempla los controles analizados, se pueda tener garantías razonables de la existencia de un marco de control de desviaciones (tolerancias ) y riesgos.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
53
Metodología
Identificación Proceso
Identificación Objetivos Control. Controles
Roles Actividades
Identificación controles
Análisis y verificación de controles
Valoración Controles
Modelo de Madurez
Diagrama procesos Modelo Teórico
Criterio auditor
Buenas prácticas CISA
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
ISO 27001 ITIL COBIT
Controles conceptos
54
Metodología Objetivos de Control. Controles
Identificación Proceso
Roles Actividades Diagrama procesos
Modelo Teórico
Identificación Objetivos Control. Controles
Análisis y verificación de controles
Valoración Controles
Identificación controles
Criterio auditor
Buenas prácticas CISA
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Modelo de Madurez
ISO 27001 ITIL COBIT
Controles conceptos
55
Metodología Objetivos de Control. Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
56
Metodología Objetivos de Control. Controles En opinión de Auditoría Informática, una gestión básica de proyectos debe contemplar al menos una adecuada estructura de gobierno, un ciclo de vida básico y un mínimo de soporte documental como base de definiciones, compromisos y trazabilidad de actividades críticas. Por ello la actual revisión está centrada en tres áreas: Gobierno, Productos de Gestión y Ciclo de Vida, sobre las cuales se comprueba la presencia y cumplimiento de actividades garantes de un buen gobierno y control del proyecto.
•Gobierno. Se revisa la presencia de una estructura de gestión que contemple los interesados (stakeholders), actividades de reporte y seguimiento; y gestión de eventos no planificados o inciertos (cuestiones y riesgos). •Productos de Gestión. Se establecen unos mínimos productos documentales donde se soporten requisitos, aspectos organizacionales o de planificación. Como su nombre y contenido puede variar en cada proyecto, la revisión se realiza garantizando que si un punto de control no está contemplado en el Producto evaluado, tampoco está en otro elemento del proyecto o bajo otra denominación. •Ciclo de vida. Se han establecido como actividades básicas sobre las cuales se analizarán la presencia de controles: (1) actividades de Inicio y Puesta en Marcha del Proyecto, (2) la Ejecución del Proyecto y (3) el Cierre del Proyecto. Los controles no están orientados a la presencia de fases o actividades sino a la presencia de controles sobre la planificación, la entrega de productos en tiempo y forma y la gestión de desviaciones.
Gobierno
Equipo Gestión
Ciclo de Vida
Inicio de Proyecto
Productos de Gestión
Business Case
Seguimiento y control
Gestión Eventos
Ejecución del Proyecto
Cierre del Proyecto
Descripción de Producto
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Plan de Proyecto
Informes Estado Productos
57
Metodología Objetivos de Control. Controles INDICE
1
2
INTRODUCCIÓN __________________________________________________________ 2 1.1
Antecedentes __________________________________________________________ 2
1.2
Áreas de revisión _______________________________________________________ 2
ÁREAS DE REVISIÓN _____________________________________________________ 3 2.1
Gobierno ______________________________________________________________ 3
2.1.1
Equipo de Gestión del proyecto _______________________________________ 3
2.1.2
Seguimiento y reporte _______________________________________________ 5
2.1.3
Gestión de cuestiones y riesgos. ______________________________________ 5
2.2
Controles sobre Productos de gestión _____________________________________6
2.2.1 2.2.2 2.2.3
Resultado
Plan de Proyecto ___________________________________________________ 8
Gestor. El rol de gestor de las actividades de Seguimiento y Control del Proyecto está
Informes de Seguimiento ____________________________________________ 9 Project Manager) definido y asignado (ej. Ciclo de vida __________________________________________________________ 10
2.2.4 2.3
Cuadro 3 Controles sobre seguimiento y reporte Descripción del Producto ____________________________________________ Punto de control 7 Business Case _____________________________________________________ 6
Alcance. Entre los aspectos a controlar figuran al menos: (1) los desvíos en las fechas de
2.3.2
Inicio y puesta en marcha del Proyecto _______________________________ 10 obtención de productos, compromisos e hitos que requieran modificar la planificación Ejecución del Proyecto _____________________________________________ 11 vigente, (2) y la gestión de eventos (cuestiones, incidentes y riesgos) y (3) los recursos
2.3.3
humanos (equipo) y 12 económicos (presupuesto). Cierre del proyecto _________________________________________________
2.3.1
(1)
3
CONCLUSIONES_________________________________________________________ 14 (informes). Está definido y acordado un reporte con: (1) los canales Estrategia de reporte
4
de comunicación y destinatarios, (2) el contenido de los reportes y (3) la frecuencia. OPINIONES Y RECOMENDACIONES ______________________________________ 15
5
MANIFESTACIONES _____________________________________________________ 16 Estrategia de seguimiento. Están definidos y acordados: (1) los responsables,
6
mecanismo de seguimiento –Comité, reunión, …- , (3) su periodicidad y (4) los registros de Anexo. Dinámica de evaluación ____________________________________________ 17
(2)
Cobertura. Las actividades de seguimiento y control del proyecto se realizan sobre los todos elementos de gestión del proyecto.
Acciones correctivas/preventivas. En caso de identificarse desvíos, problemas con productividades, incidencias o incumplimientos de objetivos existen acciones correctoras (o preventivas) con su correspondiente plan de acción. Todas las acciones están registradas y sometidas a revisión de su progreso en las reuniones de seguimiento
(2) el
su actividad y sus decisiones (ej. actas de reunión)
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
58
Metodología Valoración. Controles
Identificación Proceso
Identificación Objetivos Control. Controles
Roles Actividades
Identificación controles
Análisis y verificación de controles
Valoración Controles
[Modelo de Madurez]
Diagrama procesos Modelo Teórico
Criterio auditor
Buenas prácticas CISA
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
ISO 27001 ITIL COBIT
Controles conceptos
59
Metodología Valoración.
Equipo de gestión del proyecto
Seguimiento y reporte
Gestión de cuestiones y riesgos.
Business Case
Descripción del Producto
Plan de Proyecto
Inicio y puesta en marcha del Proyecto
Ejecución del Proyecto
Cierre del proyecto
Proyecto1 Proyecto2 Proyecto3 … Proyecton Evaluación final
Leyenda
Elevado Adecuado
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Mejorable Razonable
Deficiente
60
Metodología Valoración.
Adecuación
Descripción y acciones necesarias Los controles que alcanzan el objetivo de control:
Elevado
Están perfectamente definidos.
Están implementados y operativos prevaleciendo controles automáticos
Son medibles.
Existe un control o conjunto de controles definidos, establecidos y operativos que dan cobertura al objetivo de control. Adecuado
Los controles pueden ser manuales y automáticos y los procedimientos y operaciones son correctos
Existen controles que alcanzan el objetivo de control. Razonable
Pero los procedimientos y operaciones asociados a los controles presentan deficiencias.
El objetivo de control no es alcanzado debido a: Mejorable
Deficiente (o nulo)
la ausencia de algún control
la presencia de controles inefectivos.
Debilidades materiales en el diseño e implementación
El objetivo de control no es alcanzado debido a que
No existen control(es)
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
61
Modelo Organizacional y Operativo de la práctica de la auditoría informática Ejemplos prácticos Auditoría de procesos. Auditoría de Gestión de Usuarios
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
62
Objetivo. Alcance Objetivo Auditoría de la estructura general de control interno de las actividades relacionadas con la gestión de usuarios de los principales sistemas. El objetivo básico ha sido el siguiente: Revisión de los principales elementos en la gestión de usuarios: circuitos de altas y bajas de identificadores de usuario, asignación de permisos, procesos de revisión y resolución de incidencias.
Alcance considerado … las diferentes categorías de usuarios identificados en el capítulo B) Catalogación/Tipología de usuarios del presente informe, quedando fuera del alcance de la auditoría (1) el análisis de usuarios residuales no contemplados en esta catalogación, (2) los aspectos técnicos de autenticación en los diferentes sistemas corporativos. De esta forma las principales áreas de trabajo de la auditoría han sido:
Identificación y análisis de los principales circuitos involucrados en la gestión de usuarios. Análisis de la gestión de perfiles de acceso a información y sistemas. Estudio de procedimientos de revisión de usuarios y permisos de accesos. Análisis de las actividades relacionadas con la gestión de usuarios realizada por otros grupos de trabajo distintos al Departamento de Seguridad Informática. Gestión de incidencias relacionadas con la gestión de usuarios.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
63
Aspectos Organizativos Aspectos Organizativos Dpto. de Seguridad de la Información: La gestión de seguridad en sus aspectos de planificación, definición y control de acceso lógico a la información, programas, sistemas y recursos, residentes en los SSII del Grupo Altea, se realizará de forma centralizada, siendo esta responsabilidad del Dpto. de Seguridad de la Información. Sin embargo, existen operativas de seguridad, tales como administración de usuarios y control de acceso que pueden ser realizadas por otros Departamentos; al respecto indicar que la definición y el control de dichas operativas continuarán residiendo en el Dpto. de Seguridad de la Información.
Dirección de RRHH. Los procedimientos corporativos de contratación de personal de RRHH incluyen, expresamente, dotar a las nuevas incorporaciones de los identificadores de usuario necesarios y de los accesos a servicios y aplicaciones, que pudieran requerir en el desempeño de sus funciones. Centro de Atención a Usuarios. Ofrece un primer nivel de atención que integra consultas y resolución de incidencias de aspectos relacionados con la gestión de usuarios. Administradores de Sistemas (administración delegada de usuarios y el control de acceso): Tal y como se ha descrito anteriormente existen actividades relacionadas con la gestión de usuarios realizadas por otros Departamentos (ej. administración operativa de identificadores de usuarios y control de acceso). Aunque la ejecución de dichas actividades es realizada por el grupo funcional designado, el Seguridad Informática mantiene la definición y el control de estas operativas. Personas autorizadas. Para la realización de las solicitudes relacionadas con la aprobación de los accesos a la información y otras posibles solicitudes, se considera persona autorizada a los Directores de … o aquel responsable en quien ellos deleguen expresamente, y por escrito, esa función (Directores de Departamento, Coordinador Grupo…). Esta delegación deberá ser comunicada al Departamento de Seguridad de la Información. Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
64
Aspectos Organizativos [ Introducción ] Descripción de Arquitectura/Proceso
Objetivos Circuitos de gestión de usuarios
Alcance y limitaciones
Gestión de perfiles
Hechos observados
Procesos de depuración
Conclusiones
Administración de usuarios delegada
Recomendaciones [ Manifestaciones ]
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Gestión de incidencias
Valoración de controles
65
Metodología
Identificación Proceso
Identificación Objetivos Control. Controles
Roles Actividades
Identificación controles
Análisis y verificación de controles
Valoración Controles
Modelo de Madurez
Diagrama procesos Modelo Teórico
Criterio auditor
Buenas prácticas CISA
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
ISO 27001 ITIL COBIT
Controles conceptos
66
Identificación Objetivos Control Controles
Identificación Proceso
Análisis y verificación de controles
Valoración Controles
Modelo Teórico Administración rutinaria de usuarios Se inicia la relación
Provisioning
Promoción Cambio de destino
Sustitución
Gestión de acceso Modificación de accesos lógicos
Ciclo de vida de la Identidad
Autorización temporal
Gestión de Tarjetas
Contraseña bloqueada
De-provisioning La relación finaliza Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Contraseña caduca
Gestión de contraseñas
67
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
Usuarios Finales
Roles Actividades
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
68
Identificación Proceso
Gestores: solicitantes, autorizadores…
Roles Actividades
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
Solicitantes de accesos. Para la realización de las solicitudes de aprobación de los accesos a la información, se considera persona autorizada a los Directores de XXX o aquel responsable en quien ellos deleguen expresamente. Recursos Humanos. Los procedimientos corporativos de contratación de personal del Recursos Humanos incluyen, expresamente, dotar a las nuevas incorporaciones de los identificadores de usuario necesarios y de los accesos a servicios y aplicaciones, que pudieran requerir en el desempeño de sus funciones. Seguridad Informática. Responsabilidad operativa de la seguridad y gestión de seguridad en sus aspectos de planificación, definición y control de acceso lógico a la información, programas, sistemas y recursos. Adicionalmente existen operativas de seguridad, tales como administración de usuarios y control de acceso que pueden ser realizadas por otros Departamentos. La definición y el control de dichas operativas continuarán residiendo en Seguridad Informática. Centro de Atención a Usuarios. Primer nivel de atención que integra consultas y resolución de incidencias de aspectos relacionados con la gestión de usuarios. Administradores de Sistemas. Ejecutan actividades relacionadas con la gestión de usuarios (ej. administración operativa de identificadores de usuarios y control de acceso). …
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
69
Identificación Objetivos Control Controles
Diagrama procesos
Usuario Autorizado
Identificación Proceso
Análisis y verificación de controles
Valoración Controles
Correo Electrónico Correo / Formulario Alta/Baja/Modificación Usuario
Respuesta
Solicitud
Buzón Seguridad Informática
Buzón Técnico Seguridad
Seguridad Informática
Circuito #n
(1)
Combrobación Automática Credenciales
OK
Asignación 1. Ticket 2. Técnico Seguridad
NO ok
Combrobación Manual Credenciales
OK
Comunicación (1) Usuario (2) Técnico Seguridad
NO ok
Implementación efectuada + lista de usuarios autorizados
Solicitud
(2) Análisis (1) Petición Técnico Seguridad
Necesidad Info adicional
Comunicación Aprobación Implementación
Denegación Si
No Valoración Necesidad
No OK
Verificación Información recibida
OK Solicitud de Implementación
Técnicos Sistemas
Implementación Efectuada
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Recepción Técnicos Sistemas
Implementación en Sistemas
Verificación accesos
70
Identificación Objetivos Control Controles
Dirección (2)
Análisis y verificación de controles Recepción - Token - Clave - Impreso de reconocimiento y aceptación de cláusulas de seguridad
Impreso firmado de solicitud de alta Valija y Correo Electrónico
Alta de solicitud en aplicación X
Envío automático de solicitud a Seguridad
Verificación de información recibida
Valoración Controles
Entrega personal a usuario: - Token - Sobre ciego con Clave - Impreso de reconocimiento y aceptación de cláusulas de seguridad
Firma del impreso de reconocimiento y aceptación de cláusulas de seguridad
Primera conexión al Sistema
Valija Valija
Archivado de impresos firmados
Asignación e inactivación de Token
Alta de usuario (2) Valija y Correo Electrónico Generación de sobre ciego
CAU (1)
Seguridad Informática
Correo Electrónico
Desvío de llamada a CAU (1)
CAU (2)
Circuito #n
Diagrama procesos
Dirección (1)
Identificación Proceso
Verificación de identidad
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Activación de Token
Formalización de Operación
71
Identificación Proceso
Identificación Objetivos Control Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Análisis y verificación de controles
Valoración Controles
72
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
Identificación controles C.1. Formalización: Debe existir un procedimiento formal y operativo de registro de altas y bajas que proporcione garantías de acceso y revocado de identificadores de usuario sobre todos los sistemas de información y servicios. C.2 Verificación de credenciales: Debe existir un sistema de comprobación de credenciales del solicitante de forma que únicamente personas autorizadas puedan efectuar solicitudes relacionadas con accesos. Los procedimientos deben asegurar que los procesos de autorización han sido completados y disponen de los permisos oportunos previamente a la concesión del acceso. C.3 Criterios de concesión de accesos. Principios de necesidad de conocer y de lo que no está explícitamente permitido, está prohibido: “La concesión de derechos de acceso se regirá por el criterio de „sólo si es estrictamente necesario‟ y se establecerá por defecto la denegación de acceso a los recursos”. “La autorización de acceso estará determinada por la necesidad de utilización para el desarrollo de las distintas actividades dentro de la organización.” Considerando estos principios: las acciones automáticas de gestión de usuarios y permisos de acceso deben estar respaldadas mediante un sistema de perfiles; y todo proceso manual debe contener un análisis de la petición en relación a los criterios de concesión de accesos… Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
73
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
C.4 Actualización de inventarios de usuarios/accesos: Existencia de un mantenimiento formalizado del registro de todos los usuarios autorizados para usar un servicio. El sistema que soporte dicho registro debe ser distinto del utilizado por los propios sistemas para el control de acceso.
C.5 Comunicación de políticas de seguridad: Verificación de la entrega a los usuarios de una comunicación que, al menos, contemple: (1) Normas relativas al uso de dispositivos de autenticación, identificador de usuario y contraseña -carácter personal e intransferible, recomendaciones en la composición de la contraseña y sus cambios-, (2) Normas relativas a la monitorización de los sistemas de información -motivos y conocimiento-, (3) Normas relativas a la propiedad de la información, (4) Normas relativas a la responsabilidad, (5) Normas relativas al uso del sistema de información y (6) Normas relativas al cumplimiento del marco legal vigente. Adicionalmente, se comprueba el reconocimiento firmado de la comprensión de sus condiciones de acceso, compromisos y posibilidad de sanciones por incumplimiento de normativas. C.6 Protección de credenciales de acceso: Verificación: (1) uso de contraseñas temporales seguras para el primer acceso y obligatoriedad de cambio en el primer uso, (2) uso de conductos seguros para hacer llegar las contraseñas, (3) claves temporales son únicas para un usuario y no adivinables, (4) acuse de recibo de recepción de contraseñas por parte de los usuarios e (5) inclusión de compromisos de protección de las identidades digitales (contraseñas, tarjetas, tokens, etc…) en cláusulas de seguridad incluidas en contratos y/o entrega de credenciales. Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
74
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
C.7 Eliminación de autorizaciones: Comprobación de la existencia de eliminaciones inmediatas de las autorizaciones de acceso a los usuarios (tanto empleados, como proveedores, colaboradores, usuarios administradores de sistemas/aplicaciones, etc…) que abandonan la Organización.
C.8 Cambio de autorizaciones: Debe existir un procedimiento eficiente que permita efectuar cambios/revisiones inmediatas de las autorizaciones de acceso para los usuarios que cambian de funcionalidad dentro de la Organización. C.9 Segregación de actividades: Se comprueba que las distintas actividades (solicitudes, aprobaciones, implementación en los sistemas) cumplen el principio de segregación de funciones, esto es, que todas estas actividades evitan la concentración de funciones en una misma persona.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
75
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
() Aunque existe supervisión para la solicitudes de permisos de acceso, no se han observado evidencias formales de análisis/comprobaciones de las mismas y registro de esta actividad efectuada sobre la solicitudes. () Para el entorno X, existe un registro independiente de usuarios activos junto con datos detallados para llevar a cabo su gestión, si bien, tal y como se ha podido comprobar, dicho registro no se encuentra actualizado. () En estos circuitos, el contenido de las comunicaciones no contempla las mejores prácticas recomendadas que hemos indicado en este control, careciendo, a su vez, de un reconocimiento firmado de la comprensión de la política de seguridad corporativa y sus condiciones de acceso. Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
76
Metodología Valoración. Modelo de Madurez. [Mejores prácticas]
Identificación Proceso
Identificación Objetivos Control. Controles
Roles Actividades
Identificación controles
Análisis y verificación de controles
Valoración Controles
Modelo de Madurez
Diagrama procesos Modelo Teórico
Criterio auditor
Buenas prácticas CISA
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
ISO 27001 ITIL COBIT
Controles conceptos
77
Identificación Proceso
Identificación Objetivos Control Controles
Análisis y verificación de controles
Valoración Controles
Objetivo: Identificación de áreas potenciales de riesgo, recomendando, en su caso, posibles soluciones que mitiguen los eventuales riesgos detectados: Uso de conductos no seguros para hacer llegar las contraseñas a los usuarios… Prácticas inadecuadas en el uso de contraseñas temporales,… Ausencia de un proceso eficiente de eliminación de autorizaciones…
Deficiencias en los procedimientos de mantenimiento de las autorizaciones de acceso para los usuarios que cambian de funcionalidad o de Centro dentro de la Organización… Ausencia de un catálogo/inventariado de perfiles de acceso como base para conocimiento, asignaciones, revisiones, depuraciones y ayuda a la toma de decisiones de concesión de permisos,… Ausencia de revisiones periódicas de los derechos de acceso de los usuarios (más frecuentes de las autorizaciones de derechos de acceso con privilegios especiales) Ausencia de revisiones de los derechos de acceso de los usuarios después de todo cambio de actividad funcional o finalización de actividades (ej. contrato). … Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
78
Metodología Valoración. Modelo de Madurez. [Mejores prácticas] Objetivo: Elaboración de criterios que nos permitan evaluar el proceso desde el punto de vista de la administración y control de proceso. Desarrollar un contenido del modelo de valoración basado en Modelos de Madurez, a partir del cual se podrá identificar el nivel de control interno del proceso auditado. El enfoque de los Modelos de Madurez para el control sobre procesos de las TI consiste en el desarrollo de un método de asignación de puntuación para que una organización, proceso o actividad pueda ser calificado.
Características del proceso
Utilizar modelos de madurez genéricos (ej Cobit)
Utilzar modelos de madurez específicos del proceso auditado (fuente: Cobit)
Nivel de Madurez
Proceso autogestionado y basado en mejores prácticas
Optimizado
Proceso monitorizado y medible
Gestionado
Proceso formalizado y documentado
Definido
Proceso intuitivo y repetible
Repetible
Proceso AdHoc y desorganizado
Inicial
Proceso Inexistente
Inexistente
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
79
Identificación Proceso
Identificación Objetivos Control Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Análisis y verificación de controles
Valoración Controles
80
Áreas de análisis
Valoración
Descripción
Circuitos de gestión de usuarios
Los circuitos analizados están estandarizados, documentados y existe seguimiento de procesos por parte de sus ejecutores que lo aplican de manera general.
Gestión de perfiles
Las actividades de definición, catalogación y gestión de permisos (en peticionarios y técnicos de seguridad) a nivel corporativo se encuentran parcialmente conseguidas pero no pueden catalogarse a como definidas o administradas según nuestro modelo de madurez.
Procesos de depuración de usuarios y revisión de accesos
Aunque existen evidencias de actividades de depuración y revisión éstas son aperiódicas y no están sujetas a un método susceptible de seguimiento y gestión.
Administración de usuarios delegada
De forma general, existe un seguimiento de los procedimientos por parte de sus ejecutores, pero no hay comunicación formal de los mismos y definición de ciertas actividades (ej. revisión de usuarios o gestión de contraseñas). Los procedimientos no están estandarizados, ni documentados y no hay productos identificables que testifiquen una gestión continua de la actividad delegada.
Gestión de incidencias
La resolución de incidencias por parte del CAU está compuesta por procedimientos estandarizados/documentados y se han detectado planes de mejora basados en análisis de resultados. Aunque el responsable del servicio efectúa seguimientos de incidencias éstos no presentan acciones orientadas a medir el cumplimiento de los procedimientos propios de un proceso administrado.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
81
Modelo Organizacional y Operativo de la práctica de la auditoría informática Ejemplos prácticos Auditoría de Arquitecturas Tecnológicas Auditoría Seguridad Lógica Plataforma Sun Solaris
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
82
[ Introducción ] Aspectos Organizativos
Objetivos Descripción de la Arquitectura
Alcance y limitaciones
Objetivos de Control
Hechos observados
- Puntos de control (comprobaciones)
Conclusiones Recomendaciones
Valoración de controles
[ Manifestaciones ] Definición de objetivos de control
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Desarrollo herramienta de soporte
Revisión y análisis
Adecuación y mejora
83
Auditoría de la Seguridad Lógica de la infraestructura del entorno Sun Solaris gestionada por el Departamento Técnico XYZ (Producción) y el Departamento de Seguridad. Sus objetivos básicos han sido los siguientes:
Objetivo
(1) Verificar la implantación de adecuados niveles de seguridad lógica y control interno de la plataforma Sun Solaris, con el fin de comprobar que los riesgos informáticos se encuentran adecuadamente controlados. (2) Efectuar la revisión de los procedimientos y controles asociados a las actividades de implantación y administración de sistemas en sus aspectos de seguridad lógica. (3) Proponer la implantación de recomendaciones que permitan minimizar eventuales riesgos identificados con el fin de garantizar la integridad, confidencialidad y disponibilidad de los servicios ofrecidos por esta infraestructura.
Toda la plataforma Sun Solaris corporativa.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Alcance considerado
84
Aspectos Organizativos En la definición y administración de la seguridad del entorno Sun Solaris intervienen: El DEPARTAMENTO TÉCNICO DE SISTEMAS que gestiona la infraestructura Sun Solaris realizando actividades de dimensionamiento, implantación y mantenimiento; y que tiene delegada la administración operativa de la seguridad y entre otros aspectos debe: -Seguir las recomendaciones de seguridad indicadas por Departamento de Seguridad, mediante Guías Técnicas (documentos de requisitos de seguridad) específicas para entornos o notas puntuales. - Implantar las recomendaciones de seguridad (configuración, parches…) indicadas por los fabricantes de las arquitecturas específicas, los fabricantes de los servicios o las recomendaciones de la comunidad informática para el entorno que se administre. El DEPARTAMENTO DE SEGURIDAD, es responsable de la administración operativa de la seguridad y supervisa las actividades de las Áreas de Sistemas orientadas a definir y/o establecer parámetros, reglas y condiciones de seguridad en los distintos sistemas. Adicionalmente, diseña e implanta mecanismos de monitorización y diagnóstico permanente, allí donde se estime conveniente en función del riesgo, para verificar la adecuada implantación de los controles de seguridad en los sistemas de información.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
85
Metodología
Definición de controles (comprobaciones)
Definición de controles (comprobaciones)
Desarrollo herramienta de soporte
Desarrollo programa soporte
Revisión y análisis
Ejecución Programa plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Revisión Análisis
Resultados [Adecuación]
Resultados Adecuación Mejora
86
Objetivos de Control Resultados y Análisis
Definición de controles (comprobaciones)
Matriz de controles
Categorización de controles por tipo máquina
Desarrollo programa soporte
Scripts de auditoría
Ejecución Programa plataforma
Ejecución de scripts
Resultados (evidencias de auditoría)
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Revisión Análisis
Grado adecuación global Dossier técnico individual Informes detallados
87
Definición de controles
Desarrollo Programa de soporte
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Definir y priorizar el conjunto de controles a considerar durante la revisión y especificar su requerimiento en función del tipo de máquinas de Tipo 1 (requisitos máximos), Tipo 2 (requisitos estándar) o Tipo 3 (requisitos mínimos) Tarea Resultado Identificar, agrupar y priorizar el conjunto de Matriz de controles de la plataforma Sun Solaris. controles que se revisarán durante el trabajo de campo. Identificar los controles, del conjunto anterior, Matriz de controles por tipo de máquina. que se requerirán los distintos tipos de máquina (Tipo 1, Tipo 2 y Tipo 3). Objetivo
Cuerpo Normativo de Seguridad de la Información corporativo Normativa Técnica Corporativa específica del entorno (Sun Solaris, “Unix”,…) Informes de Seguridad del Departamento de Seguridad Informática. Guías Técnicas de Seguridad (Fabricantes, Sun Microsystems, SANS…)
+
Know how técnicos auditores (experiencia en administración de sistemas, formación a medida específica, prácticas en laboratorio..). Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Matriz de controles
3 Áreas de Control 320 Puntos de control
88
Definición de controles
Desarrollo Programa de soporte
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Áreas de Control
Categorización
A1. Análisis de parches
•Software base instalado •Control de acceso.
A2. Parametrización A.3 Análisis de usuarios
•Sistema de ficheros.
•Servicios de red.
•Configuración del kernel.
•Registros de Auditoría
•Planificación de procesos. •Protección del equipo
Agrupaciones de Controles x Área
En el análisis realizado de cara a exigir niveles de seguridad en las pruebas se han distinguido tres tipos de servidores: Tipo 1,. Requisitos mayores de seguridad. Ejemplo de dichas máquinas serían los portales de Internet, cuyo grado de exposición frente a amenazas es elevado. Tipo 2, Menos exposición que Tipo 1. Necesitan menos requisitos de seguridad. Ejemplo de estas máquinas serían los servidores de la red interna que dan soporte al negocio. Tipo 3, Requisitos de seguridad son mínimos. Ejemplo: máquinas y elementos de uso interno que no soportan servicios críticos de forma directa (ej. servidores de consolas)
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
89
Definición de controles
Desarrollo Programa de soporte
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Parametrización •Software base instalado
•Planificación de procesos
•Control de acceso.
•Servicios de red.
•Sistema de ficheros.
•Registro de Auditoría
•Configuración del kernel.
•Protección del equipo
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
90
Definición de controles
Desarrollo Programa de soporte
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Scripts de auditoría
Matriz de controles
2000+ líneas de código Resultados (evidencias de auditoría)
Análisis del estado del nivel de parches. Análisis de la configuración y parametrización de seguridad. Análisis de usuarios. Y ficha X usuario. “Imagen” del sistema durante la revisión y obtención de los principales ficheros de configuración como evidencia de auditoría.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
91
Definición de controles
Desarrollo Programa de soporte
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Pruebas desatendidas 10 mínutos x Ejecución en •Desarrollo y pruebas en laboratorio Auditoría
background
•Plan de ejecución con Producción •Primeras ejecuciones en entorno de pruebas bajo control/supervisión de Producciíón. •Análisis y algún ajuste fino •Ejecuciones en los servidores -Envío de [paquete] de resultados a un servidor/repositorio del laboratorio Auditoría.
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
92
Definición de controles
Scripts de auditoría
Ejecución de scripts
Resultados (evidencias de auditoría)
Desarrollo Programa de soporte
Ejecución Programa Plataforma
Adecuación global (1) Dossier técnico individual (3) Informes detallados
Revisión y análisis
Por Servidor
Configuración y parametrización Análisis de usuarios
Nivel de parches
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
Resultados Adecuación Mejora
93
Definición de controles
Desarrollo Programa de soporte
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Grado de adecuación global Dossier técnico individual Informes detallados
Análisis de Configuración y Parametrización (Informe 1/3)
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
94
Definición de controles
Desarrollo Programa de soporte
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Grado de adecuación global Dossier técnico individual Informes detallados
Análisis de usuarios (Informe 2/3)
+ Ficha X Usuario
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
95
Definición de controles
Desarrollo Programa de soporte
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Grado de adecuación global Dossier técnico individual Informes detallados
Análisis de parches (Informe 3/3)
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
96
Definición de controles
Desarrollo Programa de soporte
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Análisis de usuarios
Análisis de parches
Grado de adecuación global Dossier técnico individual
Análisis de configuración
Informes detallados
Detalle puntos de control
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
97
Desarrollo Programa de soporte
Definición de controles
Ejecución Programa Plataforma
Resultados Adecuación Mejora
Revisión y análisis
ANÁLISIS DE CONFIGURACIÓN. GRADO GLOBAL DE ADECUACIÓN TIPO 1
Análisis de configuración
100,00%
80,00%
82,86%
80,69% 73,54%
72,02%
70,00% 60,00% 50,00%
GRADO GLOBAL DE ADECUACIÓN TIPO 1
Análisis de parches
40,00% 30,00% 20,00%
65%
c-
09 4
64%
c-
c-
c-
60%
06 0
06 4
06 3
63,4%
c-
80,0% 70,0%
c
60,0%
65%
63%
59%
69%
63%
MÁQUINAS ANALIZADAS 50,0% 40,0%
30,0% 20,0% 10,0% 0,0%
17 5
c-
09 4
c-
06 0
06 4
c-
83%
83%
83%
83%
83%
83% 77%
70% 60% 50% 40% 30% 20% 10% 17 5 c-
09 4 c-
06 0 c-
06 4 c-
06 3 c-
15 0 c-
14 4
13 0 c-
M E D
IO
0% %
% CUMPLIMIENTO
87% 90% 86,3% MÁQUINAS ANALIZADAS 80%
Grado de Adecuación Global del parque de equipos analizados
Análisis de usuarios
c-
06 3 c-
15 0
100%
c-
14 4 c-
13 0 c-
IO ED M %
TIPO 1 y TIPO 2
GRADO GLOBAL DE ADECUACIÓN TIPO 1
c-
13 0 c-
-1 % CUMPLIMIENTO 44
%
M
ED
IO
0,00%
17 5
100,0% 90,0%
10,00%
…
83,30%
80,48%
79,83%
15 0
Informes detallados
79,42%
c-
Dossier técnico individual
82,65%
90,00%
% CUMPLIMIENTO
Grado de adecuación global
MÁQUINAS ANALIZADAS
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
98
Definición de controles
Desarrollo Programa de soporte
Matrices de tendencias Grado de adecuación global
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Elaboración de CONCLUSIONES: controles NO IMPLANTADOS
Dossier técnico individual Informes detallados
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
99
Definición de controles
Desarrollo Programa de soporte
Matrices de tendencias Grado de adecuación global
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Elaboración de CONCLUSIONES: servidores NO ESTANDARIZADOS
Dossier técnico individual Informes detallados
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
100
Definición de controles
Desarrollo Programa de soporte
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Resultados. Adecuación. Mejora Documentación generada Matriz de controles por plataforma
Matriz de controles por tipo de máquina
Scripts de auditoría
Resultados (evidencias de auditoría)
Grado de adecuación global Dossier técnico individual Informes detallados
Fichas de usuarios (por máquina)
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
101
Desarrollo Programa de soporte
Definición de controles
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Adecuación y mejora: Durante proceso auditoría Una vez enviados los informes detallados y resultado de los scripts, se llevaron a cabo más de 80 acciones correctoras “inmediatas”. % adecuación medio ANÁLISIS DE CONFIGURACIÓN
75,86%
79,42%
+3,56%
69,54%
+5,52%
75,06%
TIPO 2
TIPO 1 % adecuación medio ANÁLISIS DE USUARIOS
48,05%
+15,34% 63,39%
45,04%
TIPO 1
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
+22,66% 67,69% TIPO 2
102
Definición de controles
Desarrollo Programa de soporte
Identificar objetivo de control a mejorar
Ejecución Programa Plataforma
Revisión y análisis
Resultados Adecuación Mejora
Estudiar puntos de control
informe detallado: Consultar No conformidades y causa
Adecuación y mejora: Proceso de adecuación
Modelo Organizacional y Operativo de la práctica de la auditoría informática. Ejemplos prácticos.
103