Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMACION: DIRECTRICES Y
ESTÁNDARES
Auditoria
Auditoria de Sistemas de Información
Growing
by a
Factor of 44
2009:
0.8 ZB
Total
Digital Universe
35 ZB
By 2020, more
than a 3rd of the
Digital Universe Touched
will either live in by Cloud
or pass through 12 ZB
the cloud . . .
Auditoria
Auditoria de Sistemas de Información
Total
Digital Universe
35 ZB
Auditoria de Sistemas de Información
Auditoria
Total
Digital Universe
35 ZB
SGSI
Auditoria de Sistemas de Información
Violación de contraseñas
Intercepción y modificación y violación de e-mails
Captura de PC desde el exterior
Virus Incumplimiento de leyes y regulaciones
Robo de información
Acceso indebido a documentos impresos
Indisponibilidad de información clave Propiedad de la información
Intercepción de comunicaciones voz y
Falsificación de información wireless
Agujeros de seguridad de redes conectadas
para terceros
Auditoria de Sistemas de Información
Escalamiento de privilegios
Password cracking
Fraudes informáticos
Puertos vulnerables abiertos Exploits
Man in the middle
Violación de la privacidad de los empleados
Introducción
El avance de las Tecnologías de Información está incorporando Sistemas
con mayor automatización o mayor “inteligencia”, con la finalidad de
aumentar su eficiencia y permitir rediseñar los procesos de negocio, . La
aparición de los softwares o paquetes de administración, basados en
metodologías estrictas, ha llevado a la dirección de las Organizaciones a
tomar conciencia de los riesgos que implica el incorporar Sistemas de
Información globales y de alta complejidad e integración y con gestión de
calidad (TQM). Incorporación de auditoria informática en apoyo a la
auditoria financiera inicialmente.
Funciones de Control Interno y Auditoria Informática
Existen dos aspectos esenciales que los controles deben atender: “Que debería lograrse y
debería evitarse”.
Funciones de Control Interno y Auditoria Informática
2.- Auditoria informática
Es el proceso de la evaluación de evidencias para comprobar si el SI salvaguarda los
activos, integridad de los datos, cumple con las objetivos de la organización y hace uso
eficiente de los recursos asignados.
Objetivos tradicionales:
• Protección de activos y integridad de los datos
• Eficiencia y eficacia en la gestión
El auditor evalúa los controles utilizando técnicas mecanizadas para validar la fiabilidad de
la información suministrada, y generar los reportes de la Dirección.
de redes.
migración de aplicaciones.
Sistema de Control Interno Informático
La implantación de una política y cultura sobre la seguridad requiere ser realizada por
fases :
Política de
Seguridad
Plan de Seguridad
Normas y procedimientos
DIRECCION
POLITICAS Y
Exigencias internas POLITICA
DIRECTRICES
y externas
ESTANDARES,
PROCEDIMIENTOS,
NORMAS Y
METODOLOGIAS
CULTURA
COMPROBACION Y IMPLAMTAR
SEGUIMIENTO DE PROCEDIMIENTOS
CONTROLES DE CONTROL
Sistema de Control Interno Informático
Controles Internos para SI funcionales
1. Controles generales organizativos: Políticas, Planificación (Plan estratégico, informático,
general de seguridad física y lógica, emergencia ante desastres.
a) Estándares: regulación, diseño, modificación y explotación de sistemas.
b) Procedimientos: Regular las relaciones entre Informática y los departamentos
usuarios.
c) Organización: Informática debe estar independiente de los departamentos usuarios.
d) Funciones y responsabilidades: Definición clara dentro del Departamento de
informática.
e) Políticas de personal: Selección, plan de formación, vacaciones, evaluación y
promoción.
f) Revisión de informes: La Dirección debe revisar los informes de control y resolución.
g) Clasificación de Información: Designación de personal autorizado y nivel de acceso.
h) Roles: Control Interno Informático y Auditoria Informática.
Sistema de Control Interno Informático
4. Controles de aplicaciones: Cada App debe tener controles incorporados para garantizar su
disponibilidad.
y corrección de datos.
1. Conceptos previos
a) Sistema: Conjunto de cosas que relacionadas entre si ordenadamente contribuyen al
objetivo
b) Información: Recurso importante para las personas y para las organizaciones.
c) Sistema de Información: Componente que colaboran para procesar los datos y producir
información.
d) Sistema Informático: Formado por datos, sw, hw, personas, telecomunicaciones y
procedimientos.
e) Tecnología de información: Conformada por HW, SW, y Telecomunicaciones.
f) Informática: Conjunto de conocimientos técnicos y científicos que hacen posible el
tratamiento automático de la información.
g) Software de Aplicaciones: Permite a los usuarios concretar una tarea o una aplicación.
h) Software del sistema: Permite la operación del sw de las computadoras.
Proceso de Auditoria de SI
3. Objetivos de la Auditoria de SI
Evaluar el uso correcto de los sistemas
para el correcto ingreso de los datos, el
procesamiento adecuado de la
información y la emisión oportuna de los
resultados en la organización.
Proceso de Auditoria de SI
6. Ámbitos de actuación
El papel de la auditoria de SI es amplio y complejo, por ello encontramos muchos
problemas asociados a:
• La función de análisis de SI
• La función de diseño y construcción del SI
• La administración y control del SI
• El entorno operativo de los SI
• La adaptación e implementación de TI
• La seguridad de la función informática
• La gestión de la función informática
• El procesamiento electrónico de datos.
CAE: Chief Audit Excutive (Ejecutivo de alto nivel responsable de hacer la auditoria)
Estándares y Directrices de Auditoria de SI
Auditoria de SI
Es el proceso metodológico que recoge, agrupa y evalúa las evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a
cabo los fines de la organización y utiliza eficientemente los recursos de la organización.
ISACA
ISACA (Information Systems Audit and Control Association) Asociación de Auditoría y
Control de Sistemas de Información), una asociación internacional que apoya y patrocina
el desarrollo de metodologías y certificaciones para la realización de actividades auditoria
y control en sistemas de información.
Fundada en 1969, es la única entidad a nivel mundial de los auditores de SI, y que la
única que certifica en CISA (Certified Information Systems).
Actualmente atiende a unos 95.000 electores (miembros y profesionales con
certificaciones ISACA) en unos 160 países. Trabajan en casi todas las categorías de la
industria. Hay una red de capítulos de ISACA con 170 capítulos establecidos en 160
países.
Estándares y Directrices de Auditoria de SI
4. Estándares de Auditoria
S1 Estatuto de Auditoria
S2 Independencia
S3 Ética profesional y estándares
S4 Competencia profesional
S5 Planificación
S6 Ejecución de trabajo de auditoria
S7 Reportes
S8 Actividades de seguimiento
S9 Irregularidades y actos ilegales
S10 Gobierno de TI
S11 Uso de la evaluación de riesgos en la planificación de auditoria
S12 Materialidad de la auditoria
S13 Uso del trabajo de otros expertos
S14 Evidencia de auditoria
S15 Controles de Ti
S16 Comercio electrónico
Estándares y Directrices de Auditoria de SI
5. Directrices de Auditoria
G1 Uso de trabajo de otros auditores, con efecto a partir del 1 marzo 2008
G2 Requerimiento de evidencia de auditoria con efecto a partir del 1 mayo 2008
G3 Uso de técnica de auditoria asistidas por computadoras (CAATs), con efecto 1 mayo 2008
G4 Contratación de servicios externos de actividades de SI para otras organizaciones, con efecto
1 mayo 2008
G5 Estatuto de auditoria, con efecto 1 febrero 2008
G6 Conceptos de materialidad para la auditoria de SI, con efecto 1 mayo 2008
G7 Debido cuidado profesional, con efecto 1 marzo 2008
G8 Documentación de la auditoria, con efecto 1 marzo 2008
G9 Consideraciones de auditoria para casos de irregularidades, con efecto 1 setiembre 2008
G10 Muestreo de auditoria, con efecto de 1 agosto 2008
G11 Efecto de los controles generales de SI, con efecto 1 agosto 2008
G12 Relación de organizacional e independencia, con efecto 1 agosto 2008
G13 Uso de la evaluación de riesgos en la planificación de la auditoria, con efecto 1 agosto 2008
G14 Revisión de los Sistemas de aplicación, con efecto 1 octubre 2008
G15 Planificación revisada, con efecto 1 mayo 2010
G16 Efecto de terceros en los controles de TI de una organización, con efecto 1 marzo 2009
G17 Efecto del rol no auditor sobre la independencia del auditor de SI, con efecto 1 mayo 2010
Estándares y Directrices de Auditoria de SI
4. Riesgos de TI
Son un componente del universo de riesgos a los que
está sometida una organización
Análisis de riesgos de TI
5. Categorías de los riesgos de TI
Los riesgos de TI pueden clasificarse de diversas
maneras:
• El valor de los riesgos de TI permitidos:
Asociado con las oportunidades no
aprovechadas para mejorar la eficiencia o
efectividad de los procesos de negocio, o la
capacidad de soportar nuevas iniciativas, a
través del uso de la tecnología.
• Programas de TI y riesgos en las entregas de
proyectos: Asociada a la contribución de IT
sobre nuevas soluciones de negocio,
generalmente en forma de proyectos y
programas.
• Operaciones de TI y riesgos en las entregas de
servicios: Asociadas con todos los aspectos
relacionados con los servicios y sistemas de TI,
los cuales puede producir pérdidas o reducción
del valor a la organización.
Análisis de riesgos de TI
6. Apetito de riesgo
de la frecuencia y la magnitud de un
1. La misión de COBIT
Investigar, desarrollar, hacer público y promover un marco de control de gobierno de
TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte
de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI
y profesionales de aseguramiento.
Misión Misión
Marco conceptual de COBIT
2. Definición y características de COBIT
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en
que TI puede contribuir de la mejor manera al logro de los objetivos del negocio.
Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica
apropiada. este dominio cubre los siguientes cuestionamientos típicos de la gerencia:
• Es probable que los nuevos proyectos generan soluciones que satisfagan las
necesidades del negocio?
• Es probable que los nuevos proyectos sean entregados a tiempo y dentro del
presupuesto?
• Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
• Los cambios no afectarán a las operaciones actuales del negocio?
Marco conceptual de COBIT
5. Entregar y dar soporte (DS)
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación
del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a
los usuarios, la administración de los datos y de las instalaciones operativos.
Por lo general cubre las siguientes preguntas de la gerencia:
• Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?
• Están optimizados los costos de TI?
• Es capaz la fuerza del trabajo de utilizar los sistemas de TI de manera productiva y
segura?
• Están implantadas de forma adecuada la confidencialidad, la integridad y la
disponibilidad?
Marco conceptual de COBIT
6. Monitorear y evaluar (ME)
• Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado
tarde?
• La Gerencia garantiza que los controles internos son efectivos y eficientes?
• Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio?
• Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
Marco conceptual de COBIT
7. Objetivos de control
Cada uno de los procesos de TI de COBIT tiene un objetivo de control de alto nivel y varios
objetivos de control detallados.
Los objetivos de control detallados se identifican por dos caracteres que representan el
dominio (PO, AI, DS y ME) más un número de proceso y un número de objetivo de control.
Además de los objetivos de control detallados, cada proceso de TI tiene requerimientos de
control genéricos que se identifican con PCn, que significa Control de Proceso número.
COBIT 5 introduce una nueva forma de medir la madurez de los procesos a través del
“Process Capability Model”, basado en el estándar internacionalmente reconocido
“ISO/IEC 15504 Software Engineering – Process Assessment Standard”.
Marco conceptual de COBIT
10. El proceso de control
Consiste en cuatro pasos importantes :
1. Se especifica un estándar de desempeño deseado para un proceso
2. Existe un medio de saber que esta pasando en el proceso
3. La unidad de control compara la información con el estándar
4. Si lo que esta sucediendo no cumple con el estándar, la unidad de control dirige
aquella acción correctiva a tomar, en forma de información para el proceso.
Realización de una Auditoria de SI
Introducción
Se muestra los requerimientos genéricos para auditar procesos de TI. Está orientado hacia
la comprensión del proceso y la determinación de la propiedad y deberá ser el fundamento
y el marco referencial para todas las directrices detalladas de auditoría.
Obtención de un entendimiento
Los pasos de auditoría que se deben realizar para documentar las actividades que generan
inconvenientes a los objetivos de control, así como también identificar las medidas/procedimientos
de control establecidas.
Confirmar el entendimiento del proceso bajo revisión, los KPI del proceso, las implicaciones de
control, por ejemplo, mediante una revisión paso a paso del proceso.
Realización de una Auditoria de SI
4. Directriz General de Auditoria
Se muestra los requerimientos genéricos para auditar procesos de TI. Está orientado hacia
la comprensión del proceso y la determinación de la propiedad y deberá ser el fundamento
y el marco referencial para todas las directrices detalladas de auditoría.
Evaluación de controles
Los pasos de au ditoría a ejecutar en la evaluación de la eficacia de las medidas de control
establecidas o el grado en el que se logra el objetivo de control. Básicamente, decidir qué se va a
probar, si se va a probar y cómo se va a probar.
Se muestra los requerimientos genéricos para auditar procesos de TI. Está orientado hacia
la comprensión del proceso y la determinación de la propiedad y deberá ser el fundamento
y el marco referencial para todas las directrices detalladas de auditoría.
Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el
proceso de TI es adecuado.
Realización de una Auditoria de SI
4. Directriz General de Auditoria
Se muestra los requerimientos genéricos para auditar procesos de TI. Está orientado hacia
la comprensión del proceso y la determinación de la propiedad y deberá ser el fundamento
y el marco referencial para todas las directrices detalladas de auditoría.
Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa -
efecto.
Una prueba de cumplimiento “determina si los controles están siendo aplicados de manera
que cumplen con las políticas y los procedimientos de gestión”. Una prueba sustantiva
indican que los papeles de trabajo posean fecha, firmas, páginas numeradas, que sean
se mantengan en custodia.
identificarlos mejor. Tienen un significado preciso que todos los auditores conocen y se
utilizan para destacar aspectos importantes de los documentos que van revisado
Informe de la Auditoria de SI
El auditor debe entregar un informe balanceado, no solamente que describa los aspectos
negativos en términos de hallazgos, si no también comentarios constructivos sobres los
procesos y procedimientos.
Gobierno y Gestión de Tecnologías de la Información
1. Gobierno Corporativo
Las empresas son gobernadas por buenas (o mejores) prácticas generalmente aceptadas
para asegurar que la empresa cumpla sus metas asegurando que lo anterior esté garantizado
por cierto controles. Desde estos objetivos fluye la dirección de la organización, la cual dicta
ciertas actividades a la empresa usando sus propios recursos. Los resultados de las
actividades de la empresa son medidos y reportados proporcionando insumos para el
mantenimiento y revisión constante de los controles, comenzando el ciclo de nuevo
Gobierno y Gestión de Tecnologías de la Información
1. Gobierno Corporativo
Gobierno corporativo se define como “el
sistema por el cual se dirigen y controlan las
corporaciones de negocios” ; es un conjunto
de responsabilidades y prácticas usadas por la
gerencia de una organización para proveer
dirección estratégica, para garantizar de este
modo, que las metas se puedan alcanzar, los
riesgos sean manejados de manera adecuada y
los recursos organizacionales sean utilizados
apropiadamente.
Gobierno y Gestión de Tecnologías de la Información
2. Gobierno de TI
TI es gobernado por buenas prácticas para asegurar que la información de la empresa y sus
tecnologías relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados
responsablemente y sus riesgos son manejados apropiadamente
PO
AI
DS
MO
“Un elemento clave del gobierno de TI, es la alineación de TI con el negocio que
conlleva al logro del valor de negocio”.
Gobierno y Gestión de Tecnologías de la Información
2. Gobierno de TI
El gobierno de TI es uno de los dominios del gobierno corporativo y se define como “una
estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr
sus objetivos al añadir valor mientras se equilibran los riesgos contra el retorno sobre TI y
sus procesos”.
El gobierno de TI define quién toma decisiones, cómo toman esas decisiones, y cuándo.
Gobierno y Gestión de Tecnologías de la Información
4. Marco de Gobierno TI
COBIT: Integra tecnología a Gobierno TI, define rol del Directorio en el Gobierno TI,
refuerza fusión de tecnología-negocio, inversión tecnológica aporta al GTI, gestión riesgos.
ISO/IEC 27001 (ISO 27001): Estándares de seguridad de la información, proporcionan
orientación a las organizaciones que aplican y mantienen programas de seguridad de la
información.
ITIL: Es un marco detallado con información práctica sobre cómo lograr el éxito de gestión
de servicios operacionales de TI.
Catálogos de protección de niveles mínimos de TI o Catálogos Grundschutz de TI: Son una
recopilación de documentos de la Oficina Federal Alemana para la seguridad en TI (FSI).
Los documentos son útiles para detectar y combatir los puntos débiles de seguridad en el
entorno de TI.
ISM3 (Modelo de madurez para la gestión de la seguridad de la información): Es un
modelo que se basa en el proceso de madurez de ISM para la seguridad.
AS8015-2005: Es el estándar australiano para el gobierno corporativo de TIC. AS8015 se
adoptó como estándar ISO/IEC 38500 en mayo de 2008.
ISO/IEC 38500:2008: Proporciona un marco para el gobierno efectivo de TI. Ayuda a
aquellos en el nivel más alto de la organización a entender y cumplir con sus obligaciones
legales, reglamentarias y éticas con respecto al uso de TI de su organización. f
Gobierno y Gestión de Tecnologías de la Información
Al revisar una muestra de los contratos, el auditor de SI debe evaluar la adecuación de los
siguientes términos y condiciones:
• Niveles de servicio
• Derecho a auditar o reportar auditorías de terceros
• Poner el SW en custodia de un tercero
• Penalizaciones por incumplimiento
• Acatamiento de las políticas y procedimientos de seguridad
• Protección de información de clientes
• Proceso de cambio de contrato
• Terminación de contrato y cualquier penalización apropiada.
Gobierno y Gestión de Tecnologías de la Información
naturaleza del negocio, así como del valor de cada aplicación para el negocio.
• Verificar los trámites para transportar los medios de respaldo a fin de asegurarse de que
satisfagan los requerimientos apropiados de seguridad
• Evaluar la capacidad del personal para responder efectivamente en situaciones de
emergencia, al revisar los procedimientos de emergencia, la capacitación de empleados
y los resultados de las pruebas y los ensayos
• Velar por el establecimiento y vigencia del proceso para mantener los planes y porque
éste abarque las revisiones tanto periódicas como no programadas
• Evaluar si los manuales sobre la continuidad del negocio y los procedimientos están
redactados de una manera sencilla y fácil de comprender. Esto puede lograrse mediante
entrevistas y al determinar si todas las partes involucradas comprenden sus atribuciones
y responsabilidades con respecto a las estrategias sobre la continuidad del negocio.