Está en la página 1de 37

Directrices de Auditora de

Sistemas de Informacin

ndice

Estrategia para la Auditora de Sistemas de la


Informacin
Esquema Organizativo
Auditor Informtico
Estndares y Normas Tcnicas
Planificacin de Actuaciones
Proceso de Auditoras de Sistemas de Informacin
Guin para Auditoras de Sistemas de Informacin
Informes de Auditoras de Sistemas de Informacin

Estrategia para la Auditora de Sistemas de Informacin


Necesidad de definir una estrategia

Las TIC han acompaado la automatizacin y el crecimiento


La informacin y los recursos TIC como activos de las
organizaciones
Dependencia de las TIC
Implicacin de la Direccin

Incremento vulnerabilidad de los sistemas


Dar respuesta a la dependencia de la informacin
Importancia costes e inversiones TIC
Potencial de las TIC para introducir cambios
Desconfianza en los procedimientos automatizados

Estrategia para la Auditora de Sistemas de Informacin

Objetivos de las Administraciones Pblicas:

Cumplimiento de la legalidad vigente

Eficacia

Eficiencia

Auditora Sistemas de Informacin >


Supervisin de los riesgos de los sistemas de informacin
que pudieran afectar al cumplimiento de la legalidad
vigente, la eficiencia y la eficacia de los procesos
soportados por los sistemas de informacin, en especial
los de la administracin electrnica.

Estrategia para la Auditora de Sistemas de Informacin

Esquema Organizativo

Independencia
Autoridad

Esquema Organizativo
Mandato para una Auditora Interna

Esquema Organizativo
Mandato para una Auditora Externa

Esquema Organizativo
Naturaleza del trabajo de auditora de sistemas de informacin (I)

Actuaciones de apreciacin independiente para


supervisar el control establecido
A- Actividades bsicas
Direccin o Gobierno de las TIC (Gobernanza TIC)
Supervisar el control interno TIC
Supervisar la gestin de riesgos TIC

Esquema Organizativo
Naturaleza del trabajo de auditora de sistemas de informacin (II)

Proteccin de datos de carcter personal


Control de accesos
Administracin Electrnica
Equipamiento informtico
Seguridad sistemas
Desarrollo y mantenimiento de aplicaciones
Explotacin de sistemas de informacin
Contratacin bienes y servicios TIC
Tcnica de sistemas
Continuidad del servicio TIC
Acreditacin de confianza

Esquema Organizativo
Naturaleza del trabajo de auditora de sistemas de informacin (III)

B- Acciones proactivas
Participacin en el ciclo de control

Asegurar existencia de controles internos razonables y adecuados


Divulgar y fomentar las buenas prcticas
Fomentar la documentacin de los sistemas y procedimientos
Asesorar en la implementacin de pistas de auditora
Asesorar en las salvaguardas de activos
Asegurar eficiencia gestin recursos

Esquema Organizativo
Naturaleza del trabajo de auditora de sistemas de informacin (IV)

C- Auditora forense
Desafo ante delitos informticos, garantizando la evidencia digital que se
presentase en un proceso judicial.

Recuperar informacin
Determinar cusa y origen de una situacin
Identificar autor(es) acciones ilcitas
Identificar uso inapropiado de los medios de la Organizacin

Esquema Organizativo
Naturaleza del trabajo de auditora de sistemas de informacin (V)

D- Apoyo en auditoras externas


Supervisin de auditores externos.

E- Apoyo a otras reas de Auditora


Asistencia para la obtencin, estructuracin y anlisis de la informacin.

Auditor Informtico
reas de Conocimiento (certificables)

Tcnica o metodologa de auditora informtica


Gestin, planificacin y organizacin de las TIC
Infraestructura tcnica, prcticas operativas y proteccin de
activos
Recuperacin de desastres y continuidad de la actividad
Desarrollo, adquisicin, implementacin y mantenimiento de
sistemas
Evaluacin de procesos y gestin de riesgos

Auditor Informtico
Otras caractersticas (no certificables)

Comprender procesos de gestin y normativa legal


Identificar problemas y plantear soluciones
Llenar vaco de comunicacin entre direccin, usuarios y
tcnicos
Saber comunicar
Negociar situaciones de conflicto
Saber cuando solicitar asistencia

Estndares y Normas Tcnicas


Principios

Salvar brechas entre riesgos del proceso de gestin,


necesidades de control y aspectos tcnicos
Determinar el alcance de las actuaciones e identificar los
controles mnimos
Observar e incorporar estndares y regulaciones nacionales
o internacionales
Hechos

Adecuar tcnicas auditora tradicionales a los controles de las TIC


Generar resultados homogneos
Organizar los trabajos (tipificar tareas)
Emplear distintos referentes segn tipo de auditora
Estndares basados en buenas prcticas

Estndares y Normas Tcnicas


1)

Instrumentos de normalizacin de las


Pblicas en Espaa

Normas de Auditora del Sector Pblico de la IGAE: No son


especficas a la auditora de sistemas de informacin
MAGERIT Versin 2: Es la metodologa de anlisis y gestin
de riesgos de los sistemas de informacin.
Modelo EFQM de Excelencia: Es una orientacin de la
Fundacin Europea para la Gestin de la Calidad que
contempla algunos criterios que hacen referencia a las TIC
Serie Seguridad de las Tecnologas de la Informacin del
Centro Criptogrfico Nacional (CCN-STIC)

Administraciones

Estndares y Normas Tcnicas


2)

Instrumentos de normalizacin de las Administraciones Pblicas


en EE.UU.

Government Auditing Standars (GAGAS): Son las normas


de aplicacin para el General Accountability Office (GAO) de
EE.UU.
Federal Information System Controls Audit Manual
(FISCAM): Una gua metodolgica que aplica las normas del
GAO y del NIST.
Serie de Publicaciones Especiales SP-800 del Instituto
Nacional de Estndares y Tecnologa (NIST)

Estndares y Normas Tcnicas


3)

Prcticas y recomendaciones de asociaciones internacionales (I)

Normas Internacionales para el Ejercicio Profesional de la


Auditora Interna (The Institute of Internal Auditors)
Asociacin de Auditora y Control de Sistemas de
Informacin (ISACA)
Control Objetives for Information and Related
Technologies (COBIT)
IS Standars, Guidelines and Procedures for Auditing
and Control Professionals
Information Technology Infraestructure Library (ITIL)

Estndares y Normas Tcnicas


3)

Prcticas y recomendaciones de asociaciones internacionales (II)

Modelo de Madurez de las Capacidades Integrado para el


Desarrollo (CMMI) del Instituto de Ingeniera del Software (SEI)
Instituto SANS (SysAdmin, Audit, Network, Security)
Normalizacin internacional ISO:
Gestin de Servicios de las Tecnologas de la
Informacin (IT Service Management): ISO/IEC
20000:2005
Seguridad de la Informacin: Familia ISO/IEC 27000
Criterios comunes de evaluacin de la seguridad de las
tecnologas de la informacin ISO/IEC 15408:2005 (Common
Criteria for Information Technology Security Evaluation)

Planificacin de Actuaciones
Qu auditar

Cumplimiento de requerimientos legales


Sensibilidad de la organizacin a riesgos / resultado de anlisis
Resultado de auditoras anteriores
Condicionantes de la Organizacin

Cundo auditar

Priorizar las actuaciones detectadas y ajustando el alcance a


los recursos disponibles y las demandas de la direccin
Elaborar el documento de planificacin peridica de la unidad
de auditora
Revisin peridica del plan inicial para incorporar actuaciones
no previstas
Cmo auditar

Proceso para planificar las actuaciones individuales

Planificacin de Actuaciones
Anlisis de
riesgos

Prioridades de la
Organizacin

Actuacin 1

Sensibilidad de
la Direccin

Requerimientos
legales

Plan de Actuaciones de
Auditora

Actuacin 2

Tarea 1
Tarea 2
Tarea n

Situaciones de riesgo
inicialmente no previstas

....

Actuacin n

Proceso de Auditoras de Sistemas de Informacin

Proceso de Auditoras de Sistemas de Informacin

Proceso de Auditoras de Sistemas de Informacin

PLANIFICACIN DE ACTIVIDADES

Identificar la informacin a recopilar


Identificar las tareas de campo
Identificar interlocutores
Recursos necesarios/disponibles
Responsabilidades de los miembros del equipo auditora
Calendario tentativo

Proceso de Auditoras de Sistemas de Informacin

Identificar el Alcance de la Actuacin


Que se quiere comprobar
Que se pretende demostrar
Que se va a informar
Obtencin de Informacin Preliminar
Actividad llevada a cabo por el rea a auditar
Esquema de control interno (polticas, normas, etc.)
Estndares de referencia
Informes anteriores
Familiarizarse con el entorno tecnolgico a auditar

Proceso de Auditoras de Sistemas de Informacin

Identificar Objetivos Detallados


Evaluacin preliminar para identificar objetivos de control
Identificar posibles condicionantes
Grado de extensin acorde al alcance
Auditoras de cumplimiento:

Auditoras operativas:

Modelo de control de referencia

Modelo de control de referencia

Existencia de controles

Planificacin y gestin de controles

Adecuacin y eficacia de los controles Aseguramiento de los controles


Proporcionalidad

Oportunidad de introducir cambios

Proceso de Auditoras de Sistemas de Informacin

FORMALIZACIN DEL INICIO DE LA ACTUACIN

Notificacin del responsable de la unidad de auditora al


responsable del rea a auditar
Reunin del equipo auditor con el responsable de la
unidad a auditar para comunicar:
Alcance de los trabajos
Necesidad/obligacin de colaboracin
Interlocutor del equipo auditor
Se debe tener presente no interferir con el trabajo
realizado por el rea auditada

Proceso de Auditoras de Sistemas de Informacin

TRABAJOS DE CAMPO

Tcnicas Recoleccin de Evidencias


Revisin de documentos
Entrevistas
Observacin del trabajo realizado
Pruebas y verificaciones
Uso de herramientas

Proceso de Auditoras de Sistemas de Informacin


Uso de Herramientas Informticas o Tcnicas de Auditora Asistidas
por Ordenador - CAAT (I)

Obtencin de informacin de los SI


Recoleccin de evidencias de los SI
Creacin de muestras para realizar pruebas
Ventajas
Aseguran independencia en la recoleccin de datos
Disminuyen el riesgo propio del proceso de auditora
Mayor cobertura y consistencia de la pruebas

Proceso de Auditoras de Sistemas de Informacin


Uso de Herramientas Informticas o Tcnicas de Auditora Asistidas por
Ordenador - CAAT (II)

Caractersticas

Productos informticos ad-hoc o herramientas de los sistemas


Acceso a distintas estructuras o formatos de datos
Aplicacin de criterios de seleccin
Reorganizacin de la informacin obtenida
Funciones estadsticas y aritmticas

Precauciones
El acceso a los datos reales por los auditores debe ser siempre slo
en modo lectura
Los datos extrados deben aislarse del entorno de produccin para
evitar que las manipulaciones alteren los originales
El empleo de herramientas que puedan causar perturbaciones debe
ser limitado

Proceso de Auditoras de Sistemas de Informacin


Uso de Herramientas Informticas o Tcnicas de Auditora Asistidas por
Ordenador - CAAT (III)

Ejemplos
Logs: contienen el registro de actividad
Utilidades de sistema: contienen
implementan las polticas de control

los

parmetros

que

Software generalizado de auditora: acceso a archivos,


seleccin de datos, reorganizacin, etc.
Software especfico:
propsito concreto

herramientas

empleadas

con

un

Guin para Auditoras de Sistemas de Informacin

El GUIN es la herramienta fundamental de apoyo para el


auditor que documenta el proyecto de la auditora
Identifica que tareas se deben efectuar durante la actuacin
Cuantifica los medios necesarios
Define la secuencia de los trabajos
Para que el equipo comprenda lo que debe realizar y obtenga
una visin del conjunto

Guin para Auditoras de Sistemas de Informacin

ESTRUCTURA DEL GUIN


1. Punto(s) de control
En funcin del objetivo y alcance de la actuacin se habrn
establecido objetivos de control detallados => apartados
del guin. Identifica lo que se va a supervisar del sistema de
control.
2. Directriz de auditora
Desarrollan los Puntos de control sealando las tareas a
efectuar,
efectuar antes o durante la actuacin.
Determinan los medios y tcnicas necesarios para cada punto
de control
Limitadas por el desarrollo de la funcin de auditora en la
Organizacin

Guin para Auditoras de Sistemas de Informacin

Secuencia de las actividades

Esquema COBIT para el guin

Informes de Auditoras de Sistemas de Informacin

Contenidos
del Informe
de Auditora

Informes de Auditoras de Sistemas de Informacin


Ejemplos de Informes de Auditoras Sistemas de Informacin
Elaboracin propia

Basado en actuaciones reales


Cumplimiento de polticas e instrucciones
Georgia Department of Audits and Accounts

Informe sistema informacin para la gestin del IVA


Informe de seguimiento
National Audit Office

Informe de calidad de la informacin Impuesto Renta


Progreso en informacin y servicios on-line
Goverment Accountabillity Office

Uso de datos adquiridos


Desafo en el uso del correo electrnico