Está en la página 1de 37

1

Auditora de Sistemas Informticos

AUDITORA

AUDITORA

AUDITORA DE
SISTEMAS
INFORMTICOS

Auditora de Sistemas Informticos

AUDITORA

Marco normativo

Estndares

Proyectos de Auditora

Desafos de la Auditora de TI

Casos prcticos

Auditora de Sistemas Informticos

Marco Normativo

AUDITORA

SDG AUI
SDG SIT (TI)

SIGEN
DI AUOC

SDG SIT- cuenta con sus


propias regulaciones

DE AUSI

Referencias:

- SDG AUI: Sub. Gral. de Auditora Interna.


- DI AUOC: Dir. Auditora de Operaciones Centrales.
- DE AUSI: Dep. Auditora de Sistemas Informticos.
- SDG SIT: Sub. Gral. de Sistemas y Telecomunicaciones.

Auditora de Sistemas Informticos

Marco Normativo

Resolucin 152/02 (SIGEN)

Resolucin 48/05 (SIGEN)

AUDITORA

Auditora de Sistemas Informticos

Marco Normativo RG 152/02 (SIGEN)

AUDITORA

Resolucin 152/02 (SIGEN):


Instaura un cuerpo de Normas de
Auditora Interna Gubernamental.

Adopta los conceptos de la Normas


Internacionales para el Ejercicio
Profesional de la Auditora Interna.
Incluye tareas especificas para las
Auditoras de Sistemas Informticos.

Auditora de Sistemas Informticos

Marco Normativo RG 152/02 (SIGEN)

AUDITORA

Objetivos de Control Interno para TI


Ciclo de vida para el desarrollo y
mantenimiento de software.
Calidad y atributos de la informacin
electrnica.
Documentacin de Sistemas.
Controles incorporados a las
aplicaciones desarrolladas.
Planes de continuidad y contingencia de
negocios.
Plan de capacitacin continua de
usuarios.
Nivel de satisfaccin.

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Resolucin 48/05 (SIGEN):

NORMAS DE CONTROL INTERNO


PARA TECNOLOGA DE LA
INFORMACIN DEL SECTOR
PBLICO NACIONAL.
Vigente desde el ao 2005.

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Destinatarios:

Responsables de los organismos.


Responsables informticos.
Auditores.

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Objetivos de Control Interno: Se incluyen


pautas sobre aspectos especificos de TI
Organizacin Informtica.
Plan Estratgico de TI.

Arquitectura de la Informacin.
Polticas y Procedimientos.
Cumplimiento de Regulaciones Externas.
Administracin de Proyectos.
Desarrollo, Mantenimiento o Adquisicin
de Software de Aplicacin.
Adquisicin y Mantenimiento de la
Infraestructura Tecnolgica.
Seguridad Informtica.

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Ventajas:

Establece un marco de control


homogeneo.
Resumen de Buenas Prcticas

Auditora de Sistemas Informticos

Estndares

AUDITORA

COBIT

ISO 17799

COBIT (Control
Objectives for
Information and
Related
Technology).
Se compone de 34
procesos de alto
nivel y 210
objetivos de
control.

Cdigo de Prctica
para la
Administracin de
la Seguridad de la
Informacin.

Auditora de Sistemas Informticos

Estndares - COBIT

AUDITORA

OBJETIVOS DE NEGOCIO

en Tecnologa de
Informacin

GOBIERNO DE TI

Dominios de
Control

efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad

MONITOREO

RECURSOS DE TI

PLANEACIN Y
ORGANIZACIN

datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ENTREGA Y
SOPORTE

ADQUISICION E
IMPLANTACION

Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders//COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

Auditora de Sistemas Informticos

Estndares - COBIT

AUDITORA

Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders
/COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

Auditora de Sistemas Informticos

Estndares - Mapping

Res. 48/05 SGN

1 - Organizacin Informtica
2 - Plan Estratgico de TI
3 - Arquitectura de la Informacin
4 - Polticas y Procedimientos
5 - Cumplimiento de Regulaciones Externas
6 - Administracin de Proyectos
7 - Desarrollo, Mantenimiento o Adquisicin de
Software de Aplicacin
8 - Adquisicin y Mantenimiento de la
Infraestructura Tecnolgica
9 - Seguridad
10 - Servicios de Procesamiento y/o soporte
Prestado por Terceros
11 - Servicios de Internet / Extranet / Intranet
12 Monitoreo de los Procesos
13 Auditora Interna de Sistemas

AUDITORA

CobiT

PO Planificacion y Organizacin
PO Planificacion y Organizacin
PO2 Definicin de la estructura de la Informacin
P06 Comunicacin de los objetivos y directivas de la
gerencia
PO7 Garantia del cumplimiento de los requisitos
internos
PO10 Administracin de proyectos.
AI2 Adquirir y mantener el software aplicativo
AI3 - Adquisicin y Mantenimiento de la
Infraestructura Tecnolgica
PO6.8 Poltica marco de seguridad y Ctrol Interno
AI.5 Adquirir recursos de TI
AI3 - Adquirir y mantener infraestructura tecnolgica
M1 Monitoreo de los Procesos
M4 Provisin de auditora independiente

Auditora de Sistemas Informticos

Estndares

AUDITORA

Proceso de adopcin de COBIT:


2005 Creacin de grupo mixto Auditora
+ TI.
2006 Talleres conjuntos en ISACA
(Arg).
2007 Inclusin de Objetivos COBIT en
la programacin de auditoras.
2008 Adquisicin de producto GRC para
administracin de riesgos.
2009 Primeras auditoras evaluando
procesos y riesgos con perspectiva GRC.

Auditora de Sistemas Informticos

Proyectos de Auditoras

AUDITORA

En la actualidad en el Departamento DE
AUSI se practican:
Auditorias de gestin de TI (basadas en CobiT).
Auditorias de sistemas aplicativos y bases de
datos.
Auditorias de revisin limitada (objetivo puntual y
acotado en alcance).
Auditorias forenses
denunciados).

(verificaciones

de

hechos

Auditorias de seguridad
Test de penetracin y anlisis de vulnerabilidades
Seguridad en accesos
Seguridad fsica

Cumplimiento de las Polticas de Seguridad de la Informacin de


AFIP

Auditora de Sistemas Informticos

Desafios de la Auditora de TI

AUDITORA

Desafios de la Auditora de TI:


Ambiente auditado altamente dinmico
provocado por cambios tecnolgicos
continuos.
Necesidad de capacitacin en ltimas
tendencias tecnolgicas.
Alta interrelacin entre aplicaciones.
Compleja trazabilidad motivada por la
diversidad de plataformas.
Necesidad de contar con personal con
distintos perfiles y visiones profesionales.
Programas diferentes para igual objetivo de
control.

Auditora de Sistemas Informticos

Casos Prcticos

AUDITORA

Marco normativo rea de TI

CASO 1. Auditora de desarrollo y


mantenimiento de sistemas.

CASO 2. Auditoria de compras y


contrataciones.

Auditora de Sistemas Informticos

Marco Normativo rea de TI

AUDITORA

Disposicin N76/05 AFIP Manual de Polticas de Seguridad de la


Informacin (Parte pertinente con el objeto auditado).

Establece

mbito de aplicacin

Destinatarios

Definir una apropiada segregacin de


funciones y separacin de ambientes, a fin
de no comprometer a la seguridad de la
informacin.
Introduce los conceptos de ambientes de
desarrollo, prueba y homologacin.
Regula las responsabilidades de las reas
definidoras, homologacin, control de
calidad y Seguridad.
Todos los recursos informticos de la AFIP.
Las reas responsables del desarrollo,
control de calidad, homologacin y puesta
en produccin de sistemas informticos
(SLDC).
El oficial de seguridad informtica
participa en la definicin de las pautas de
seguridad que debe cumplir los sistemas
desarrollados segn el entorno de
operativo.
Las reas responsables de la contratacin
de sistemas programas a medida.

Auditora de Sistemas Informticos

Marco Normativo rea de TI

AUDITORA

Instruccin General N 2/05 (SDG SIT) y Anexos Pautas para el desarrollo y


mantenimiento de sistemas informticos en la AFIP.
Objetivo

Establece

Definir pautas y documentacin


entregable para el proceso de
desarrollo y mantenimiento de
sistemas que se realice dentro del
mbito de la SDG SIT.

Las etapas del ciclo de vida de las


aplicaciones.
Roles y responsabilidades.
Contenidos minimos de la
documentacin y/o entregables de
cada etapa.
Vigente desde el 2005

Auditora de Sistemas Informticos

Marco Normativo rea de TI

AUDITORA

Ejemplos de contenidos mnimos


En la Fase de Definicin se utiliza el documento REQ Requerimiento de Sistemas
Objetivo: Formalizar la necesidad de desarrollo o mantenimiento de sistema que realiza un rea,
indicando prioridades y la justificacin del pedido.
Responsables: Este documento debe ser aprobado por el Responsable del rea Definidora.
Contenido mnimo requerido:
Solicitud del requerimiento: Datos del rea Definidora, Descripcin, Alcance, Beneficios y
Restricciones, Impacto, Asignacin de prioridad, Fecha requerida de puesta en produccin.
Recepcin del requerimiento: Datos del rea Informtica, Objetivo (nuevo desarrollo de
sistemas y/o mantenimiento).
En la Fase de Implementacin se utiliza el DAP - Documento de Pase a Produccin
Objetivo: Especificar la puesta efectiva en produccin del sistema
Responsables: Este documento debe ser aprobado por el Responsable del rea de Control de
Calidad.
Contenido mnimo requerido:
Fecha de Puesta en Produccin.
Procedimientos para verificar el buen funcionamiento del software en los aspectos operativos
y de negocio (criterios de xito).
Mecanismos de recuperacin ante cadas en operacin.
Procedimientos de restauracin de versiones anteriores.

Auditora de Sistemas Informticos

CASO 1

AUDITORA

Caso 1 - Auditora de Desarrollo y Mantenimiento de


Sistemas.

Objeto de la auditora

Alcance

Evaluar los procedimientos o metodologas utilizadas en las actividades de


desarrollo y mantenimiento de
sistemas.

Relevar y analizar el cumplimiento de


la normativa aplicable y las actividades
de control relativos al proceso de
desarrollo y mantenimiento de
sistemas, con cada una de las reas
intervinientes en el proceso.

Disposicin N76/05 AFIP Manual de


Polticas de Seguridad de la Informacin
(Parte pertinente con el objeto auditado).

Marco Normativo

IG. N 2/05 (SDG SIT) y Anexos Pautas


para el desarrollo y mantenimiento de
sistemas informticos en la AFIP.

Auditora de Sistemas Informticos

CASO 1

AUDITORA

CARACTERISTICAS DEL ENTORNO A AUDITAR:


No existen en la AFIP una unica rea de desarrollo, sino
seis (6). Una por cada unidad de negocio y todas
dependen de la SDG SIT.

Diversas reas definidoras y/o solicitantes de


requerimientos.
Diversidad de lenguajes y entornos de produccin.
La dotacin es de ms 600 personas
Aplicativos cedidos a otros Organismos.

SDG SIT

Direccin de Informtica Tributara


Direccin de Informtica de Fiscalizacin
Dep. Informtica de Administracin
Direccin de Informtica Aduanera
Dir. De Inf. Rec. de la Seguridad Social

Dep. Informtica Jurdica y Colaborativa

Auditora de Sistemas Informticos

CASO 1

AUDITORA

PLANIFICACIN DE LA AUDITORA:
El programa de auditora se bas en el estndar COBIT y
se adapt a las particularidades de la AFIP.
Constitucin de varios equipos de trabajo.
Se ejecutaron en dos (2) auditoras
La primer auditora abarco 3 reas de desarrollo y la
segunda incluyo a las reas de desarrollo restantes, ms
las reas de soporte y definidoras.

Auditora de Sistemas Informticos

CASO 1

AUDITORA

EJECUCIN DEL CASO 1:


Elaboracin de cuestionarios.
Entrevistas.
Visualizacin.
Seleccin de muestra de los sistemas crticos.
Anlisis de log / Revisin de accesos, permiso y
usuarios.

Auditora de Sistemas Informticos

CASO 1

AUDITORA

Cmo se evalu la Disp 76/05 AFIP?:


Se analiz la segregacin de funciones desde distintos
aspectos:
a) Estructura Orgnica.
- Se encuentran definidas las reas de desarrollo, de calidad,
y de homologacin en la estructura del Organismo?
- Funcionan independiente y responden a distintas jefaturas?

b) Ambientes.
- Los tareas desarrollo, control de calidad y homologacin se
realizan en distintos equipos y/o los ambientes son
independientes?
- Los usuarios de cada entorno responden al rol y la funcin
del agente.?

Auditora de Sistemas Informticos

CASO 1

AUDITORA

Cmo se evalu la IG. 02/05 SDG SIT?:


Se analiz el cumplimiento de la normativa mediante la
solicitud y evaluacin de la calidad de la documentacin
de los sistemas crticos seleccionados, dando especial
importancia a los siguientes aspectos:
a) Participacin del rea definidora en los proyectos de
nuevos desarrollos.
b) Los controles en las etapas del ciclo de vida.
c) La conformidad de las reas de calidad.

Auditora de Sistemas Informticos

CASO 1

AUDITORA

PRESENTACIN DE RESULTADOS:

Trabajo de Campo

PAPEL DE TRABAJO
(MT)

Observacin

Entrevista de
Cierre
- Aprobacin
del auditor -

Informe Preliminar
-IP-

Informe de Auditora
Interna
-IAI-

Auditora de Sistemas Informticos

AUDITORA CONJUNTA

Definicin

Caractersticas

AUDITORA

Las AUDITORAS CONJUNTAS son


actividades que tienen por objetivo
dar una opinin integral por parte
de la UAI.

Informe Consolidado.
Los destinarios son las reas
auditadas.
Se consolida con los informes
tcnicos o complementarias de otras
reas de la UAI.
Informe Tcnico Complementario.
Los destinatarios son las reas de la
UAI que consolidan.
Emitir una opinin especializada (Ej.
Opinin tcnica informtica o legal
sobre un proceso contable).

Auditora de Sistemas Informticos

CASO 2

AUDITORA

Caso 2 - Auditora de gestin de compras y contraciones


de tecnologa.

Objeto de la
auditora Conjunta

Objetivo General
Evaluar la gestin de la SDG SIT, con
relacin al proceso de compras y
contrataciones.

Objetivo DE AUGR
Evaluar el cumplimiento del Manual de
Contrataciones y la normativa vigente.
Objetivo DE AUSI
Evaluar la razonabilidad tcnica y
econmica de las decisiones de compras
efectuadas por el rea de TI.

Alcance

Perodo diciembre de 2007 a abril de 2008

Marco Normativo

Disposicin N65/05 (SDG ADF) - Rgimen


Genaral para Contrataciones de Bienes,
Servicios y Obras Pblicas. Manual de
Contrataciones.

Auditora de Sistemas Informticos

CASO 2

AUDITORA

Parmetros de evaluacin DE AUSI:


Anlisis del requerimiento de adquisicin (Dependencia
tecnologca, compromiso econmico, riesgos).
Evaluacin del detalle documental que avala la necesidad
de adquisicin.
La adquisicin se alinea con los objetivos estratgicos de
la AFIP.
Deteccin de situaciones fuera de trminos Incumplimiento Normativo-.
Intervencin de la ONTI -Oficina Nacional de Tecnologa
de Informacin- sobre el cumplimiento de ETAP
(Estandares Tecnologicos para la Administracin Pblica)

Auditora de Sistemas Informticos

CASO 2

AUDITORA

Tareas de Colaboracin:
Extraccin de informacin de las base de datos de los
sistemas informticos usados en la gestin de compras.
Seleccin de muestra.
Anlisis estadstico de la muestra.

Auditora de Sistemas Informticos

CASO 2

AUDITORA

Resultado:
A una auditora de cumplimiento normativo, se la
enriqueci con una perspectiva tcnica y econmica de
las decisiones de compras efectuadas por el rea de TI.
A partir de la auditora, se elev el estandard de
requerimiento documental necesario para justificar una
compra/contratacin de tecnologa.

Auditora de Sistemas Informticos

AUDITORA

Auditora de Sistemas Informticos

AUDITORA