AUDITORIA INFORMATICA Informática II Semana No. 18 Período 2010-II Dra. Aymara Hernández Arias.

AUDITORIA INFORMATICA

Informática II

Semana No. 18

Período 2010-II

Dra. Aymara Hernández Arias

Contenido

• Conceptos Básicos de Auditoría Informática

• Justificación

• Objetivos

• Ejemplos

Primero: ¿Que es la auditoría?

Es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de funciones, actividades, tareas y procedimientos de una organización, así como dictaminar sobre el resultado de dicha evaluación.

Muñoz (2002,34)

Administración de la Configuración de Bases de Datos

Justificación

RecursosTIC´s

Fuente: Rodríguez (2006)

“La productividad de cualquier organización depende del funcionamiento ininterrumpido de los sistemas TIC, transformando a todo el entorno en un proceso crítico adicional” (Rodríguez, 2006:3).

Evidencias

1 El crecimiento del acceso a Internet y de usuarios conectados incrementa la posibilidad de concreción de amenazas informáticas.

2 Crecimiento de la información disponible de empresas y sus empleados en redes sociales Ingeniería Social.

3 Mensajes de e-mail que contienen attachments que explotan vulnerabilidades en las aplicaciones instaladas por los usuarios.

4 Robo de credenciales o captura ilegal de datos.

5 Acceso a redes empresariales a través de códigos maliciosos diseñados para obtener información sensitiva.

6 En el 2009 los sectores financiero, proveedores de servicios TIC, comercios, seguros, comunidad de Internet, empresas de telecomunicaciones y el gobierno han sido los más vulnerables ante las amenazas informáticas.

7 En el 2009 Symantec identificó 240 millones de programas maliciosos, un aumento del 100% con respecto al 2008.

Fuente: Symantec (2010).

Evidencias

8 En el 2010 hubo 286 millones de nuevas ciberamenazas.

9 Junto con las redes sociales otra área de peligro en el espacio móvil (Smartphones).

10 ¿Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el mundo, como Estados Unidos, UK o España, han mostrado la preocupación que tienen ante ataques que puedan afectar a la economía del país o incluso a otras áreas, tales como las denominadas infraestructuras críticas. También este año 2009 vimos un ataque lanzado a diferentes páginas web de Estados Unidos y Corea del Sur.

Previsión de tendencias de amenazas informáticas para 2010 Fuente: www.cxo-community.com

11 Cuidar a las empresas en esos momentos no es labor fácil. Los ataques son incesantes (al menos 10,000 amenazas circulan en la red cada minuto), y cada año causan pérdidas por más de 650,000 millones de dólares, dice el grupo Crime-Research.org.

El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com

Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..

http://www.cxo-community.com/

Fuente: Rodríguez (2006)

Factores que propician la Auditoría Informática

Leyes gubernamentales.Políticas internas de la empresa.Necesidad de controlar el uso de equipos computacionales.Altos costos debido a errores.Pérdida de información y de capacidades de procesamiento de datos, aumentando así la posibilidad de toma de decisiones incorrectas.Valor del hardware, software y personal.Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organización.

Objetivos generales de la Auditoría en Informática• Asegurar la integridad, confidencialidad

y confiabilidad de la información. • Minimizar existencias de riesgos en el

uso de Tecnología de información • Conocer la situación actual del área

informática para lograr los objetivos. • Seguridad, utilidad, confianza,

privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones.

Auditoria de Sistemas de Barcelona (2004)

• Incrementar la satisfacción de los usuarios de los sistemas informáticos.

• Capacitación y educación sobre controles en los Sistemas de Información.

• Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información.

Auditoria de Sistemas de Barcelona (2004)

Objetivos generales de la Auditoría en Informática

Riesgo Informático

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

La Organización Internacional de Normalización (ISO) define riesgo tecnológico (Guías para la Gestión de la Seguridad) como:

La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto específico, el cual puede estar representado por pérdidas y daños.

Amenaza


Acciones que pueden ocasionar consecuencias negativas en la plataforma informática disponible: fallas, ingresos no autorizados a las áreas de computo, virus, uso inadecuado de activos informáticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas eléctricas.

Pueden ser de tipo lógico o físico.

Vulnerabilidad


Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen.

Se manifiestan como debilidades o carencias: falta de conocimiento del usuario, tecnología inadecuada, fallas en la transmisión, inexistencia de antivirus, entre otros.

Impacto


Consecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras.

Perdida de dinero, deterioro de la imagen de la empresa, reducción de eficiencia, fallas operativas a corto o largo plazo, pérdida de vidas humanas, etc.

Administración de Riesgos


Luego de efectuar el análisis de riesgo-impacto, el ciclo de administración de riesgo finaliza con la determinación de las acciones a seguir respecto:

•Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos controles.

•Eliminar el riesgo.

•Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informática).

•Aceptar el riesgo, determinando el nivel de exposición.

Y...¿Qué es el control interno?Es un proceso, mediante el cual la administración, los directivos y/o la alta gerencia le proporcionan a sus actividades, un grado razonable de confianza, que le garantice la consecución de sus objetivos, tomando en cuenta: la eficacia y eficiencia de las operaciones, fiabilidad de la información financiera y cumplimiento de las leyes y normas aplicables, con la finalidad de dotar a la organización medidas preventivas, detección y corrección de errores, fallos y fraudes o sabotajes

CONTROL INTERNO. DEFINICIÓN Y TIPOS

Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos.

La tipología tradicional de los controles informáticos es:

Agente Amenazante

HackerCracker

Espionaje IndustrialCriminales Profesionales

Usuarios (Daños intencionales o no)

Objetivos: Desafío, ganancia financiera/política,

daño

Causa Física (Natural o no)

Concreción de la

Amenaza

¿Bajo Nivel de Vulnerabilidad?

Daño a los equipos, datos o información

ConfidencialidadIntegridad Disponibilidad

Pérdida de•Dinero•Clientes•Imagen de la Empresa

http://www.google.co.ve/imgres?imgurl=http://www.compuchannel.net/wp-content/archivos/2009/07/jul13-gartner-actualidad.jpg&imgrefurl=http://www.compuchannel.net/2009/07/13/disminucion-gasto-ti&usg=__OtQSCiJdAMIduduosltdUvkHnG4=&h=300&w=400&sz=40&hl=es&start=1&itbs=1&tbnid=Rca-eFkXGka57M:&tbnh=93&tbnw=124&prev=/images%3Fq%3Ddisminuci%25C3%25B3n%26hl%3Des%26gbv%3D2%26tbs%3Disch:1

Correctivo

Disuasivos Preventivos

Detectivo

Tmin

Plataforma Informática Plataforma Informática Operatividad

Amenaza o Riesgo

Tratar de evitar el hecho

Tratar de evitar el hecho

Cuando fallan los preventivos para tratar de conocer cuanto antes el

evento

Cuando fallan los preventivos para tratar de conocer cuanto antes el

evento

Vuelta a la normalidad cuando se han producido

incidencias

Vuelta a la normalidad cuando se han producido

incidencias

Normas de Auditoría Informática disponibles

• COSO (Committee of Sponsoring Organizations of the Treadway Commission, EEUU 1992).

• ITIL (Information Technology Infrastructure Library, Inglaterra 1990).

• ISO/IEC 17799:2000 (International Organization for Standardization/International Electrotechnical Commission, Inglaterra 2000).

• COBIT (Control Objectives for Information and Related Technology IT, EEUU 1998).

Modelo de evaluación del control interno en los sistemas, funciones,

procesos o actividades en forma íntegra.

Modelo de evaluación del control interno en los sistemas, funciones,

procesos o actividades en forma íntegra.

Marco referencial que evalúa el proceso de gestión de los Servicios de tecnología de

información y de la infraestructura tecnología.

Marco referencial que evalúa el proceso de gestión de los Servicios de tecnología de

información y de la infraestructura tecnología.

Guía de auditoria del sistema de gestión de

seguridad de la información para su protección.

Guía de auditoria del sistema de gestión de

seguridad de la información para su protección.

Referencia Bibliográfica

IT GOVERNANCE INSTITUTE. 2006. COBIT 4.0. Fuente: www.isaca.org

Information Systems Audit and Control Association

Fundada en 1969, ISACA patrocina conferencias internacionales, publica la revista “ISACA Journal” y desarrolla estándares internacionales en control y auditoria de sistemas de información. También administra la respetada certificación a nivel mundial como Auditor de Sistemas de Información.

Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo.

El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera:

•Estableciendo un vínculo con los requerimientos del negocio.

•Organizando las actividades de TI en un modelo de procesos generalmente aceptado.

•Identificando los principales recursos de TI utilizados.

•Definiendo los objetivos de control gerencial a ser considerados.

Marco de Trabajo de Control COBIT

NEGOCIO

TIC´S Vs. PROCESOS

Requerimientos Información

Indicadores de

DesempeñoIndicadores

Meta

Modelo de Madurez

Medidos por

Metas de Actividades

Prácticas de Control

Directrices de

Auditoría

Ejecutados a través de

Auditados a través

de

Objetivos de Control

Controlados por

Traducción Implementación

Los Objetivos de Control COBIT® brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Representan el consenso de expertos. Enfocadas fuertemente en el control y menos en la ejecución. Ayudan a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien (IT Governance Instituye, 2006).

Herramientas para ayudar a asignar responsabilidades, medir el desempeño, llevar a cabo benchmarks (…) Las directrices ayudan a brindar respuestas a preguntas de la administración: ¿Qué tan lejos podemos llegar para controlar la TI?, y ¿el costo justifica el beneficio? ¿Cuáles son los indicadores de un buen desempeño? ¿Cuáles son las prácticas administrativas clave a aplicar? ¿Qué hacen otros? ¿Cómo medimos y comparamos? (IT Governance Institute, 2006).

Las mejores prácticas de TI se han vuelto significativas debido a un número de factores:

•Directores de negocio y consejos directivos que demandan un mayor retorno de la inversión en TI.

•Preocupación por el creciente nivel de gasto en TI.

•La necesidad de satisfacer requerimientos regulatorios para controles de TI en áreas como privacidad y reportes financieros y en sectores específicos como el financiero, farmacéutico y de atención a la salud.

http://images.google.co.ve/imgres?imgurl=http://weblogs.clarin.com/management-y-negocios/archives/firma.jpg&imgrefurl=http://weblogs.clarin.com/management-y-negocios/archives/2007/01/cuanto_vale_su_firma_1.html&usg=__pmnvY-aPJZ_IP6OiVtSURKfCxXI=&h=630&w=945&sz=181&hl=es&start=11&tbnid=-yu9hktolHyYuM:&tbnh=99&tbnw=148&prev=/images%3Fq%3Dfirma%26gbv%3D2%26hl%3Des


•La selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de servicios

•Riesgos crecientemente complejos de la TI como la seguridad de redes

•Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de TI, aumentar el valor del negocio y reducir los riesgos de éste.


•La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques desarrollados especialmente.

•La madurez creciente y la consecuente aceptación de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, entre otros.

•La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia (Benchmarking)

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 1

PLANEAR Y ORGANIZAR

Estrategias y tácticas. Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.

La visión estratégica requiere ser planeada, comunicada y administrada.

Implementar una estructura organizacional y una estructura tecnológica apropiada.

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.

PLANEAR Y ORGANIZAR

Cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio?

¿La empresa está alcanzando un uso óptimo de sus recursos?

¿Entienden todas las personas dentro de la organización los objetivos de TI?

¿Se entienden y administran los riesgos de TI?

¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?


ADQUIRIR E IMPLEMENTAR

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la implementación e integración en los procesos del negocio.


ADQUIRIR E IMPLEMENTAR

Además para garantizar que las soluciones sigan cubre los siguientes cuestionamientos de la gerencia:

¿Los nuevos proyectos generan soluciones que satisfagan las necesidades?

¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?

¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?

¿Los cambios afectarán las operaciones actuales del negocio?


ENTREGAR Y DAR SOPORTE

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.


ENTREGAR Y DAR SOPORTE

Aclara las siguientes preguntas de la gerencia: •¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? •¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?


MONITOREAR Y EVALUAR

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control.

Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.


MONITOREAR Y EVALUAR

Abarca las siguientes preguntas de la gerencia: •¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

Ejemplo: Supongamos la siguiente situación…

http://www.google.co.ve/imgres?imgurl=http://www.alintu.com/EQUIS.JPG&imgrefurl=http://www.alintu.com/segmano.htm&usg=__FStT9BjvwfEm_yyBSJBMudlWDNk=&h=44&w=47&sz=2&hl=es&start=92&itbs=1&tbnid=8GsyOdYY__DquM:&tbnh=44&tbnw=47&prev=/images%3Fq%3Dequis%26start%3D80%26hl%3Des%26sa%3DN%26gbv%3D2%26ndsp%3D20%26tbs%3Disch:1



AI1 Identificar soluciones automatizadas

AI1.1 Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio.

•Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos.

•Definir los criterios de aceptación de los requerimientos. Estas iniciativas deben incluir todos los cambios requeridos dada la naturaleza del negocio, de los procesos, de las aptitudes y habilidades del personal, su estructura organizacional y la tecnología de apoyo.

•Establecer procesos para garantizar y administrar la integridad, exactitud y la validez de los requerimientos del negocio, como base para el control de la adquisición y el desarrollo continuo de sistemas.

AI1.2 Reporte de análisis de riesgos Identificar, documentar y analizar los riesgos asociados con los procesos del negocio como parte de los procesos organizacionales para el desarrollo de los requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad, disponibilidad y privacidad de los datos, así como el cumplimiento de las leyes y reglamentos.

AI1.3 Estudio de factibilidad y formulación de cursos de acción alternativos Desarrollar un estudio de factibilidad que examine la posibilidad de implantar los requerimientos.

AI1.4 Requerimientos, decisión de factibilidad y aprobación. El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. Cada autorización va después de la terminación de las revisiones de calidad.

Modelo de MadurezEscala de medición creciente a partir de 0 (No existente) hasta 5 (Optimizado) para la evaluación de los procesos a partir de los objetivos de control (IT Governance Institute, 2006).

Estado Actual de la empresa

Promedio de la Industria

Objetivo de la empresa

0 No se aplican procesos administrativos en lo absoluto

1 Los procesos son ad-hoc y desorganizados

2 Los procesos siguen un patrón regular

3 Los procesos se documentan y se comunican

4 Los procesos se monitorean y se miden

5 Las buenas prácticas se siguen y se automatizan

Norma COBITCOBIT es la fusión entre prácticas de informática (ITIL, ISO/IEC 17799) y prácticas de control (COSO), las cuales plantean tres tipos de requerimientos de negocio para la información:

•De calidad (calidad, costo y entrega de servicio).

•Fiduciarios (efectividad y eficiencia de operaciones, confiabilidad de la información y cumplimiento de las leyes y regulaciones).

•De Seguridad (confidencialidad, integridad y disponibilidad).

http://images.google.co.ve/imgres?imgurl=http://wwwdi.ujaen.es/~fconde/AI/images/AI.jpg&imgrefurl=http://wwwdi.ujaen.es/~fconde/AI/AI.html&usg=__QnR_AhkIUIpOiGTbjHlM6ETuWz8=&h=280&w=200&sz=67&hl=es&start=6&tbnid=swVl3wkKsg1s3M:&tbnh=114&tbnw=81&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26gbv%3D2%26hl%3Des

http://images.google.co.ve/imgres?imgurl=http://www.panzano.es/blog/img/auditoria.jpg&imgrefurl=http://escuelasviejas.wordpress.com/tag/usal/&usg=__XgDVJXm7p7Ut1Xup07NbMnzaDc8=&h=265&w=400&sz=40&hl=es&start=191&tbnid=KUCUI3Qszg8GQM:&tbnh=82&tbnw=124&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26start%3D180%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DN

http://images.google.co.ve/imgres?imgurl=http://i21.photobucket.com/albums/b298/k_milo/EL_AVANCE_DE_LA_INFORMATICA.jpg&imgrefurl=http://andrescfonseca.blogspot.com/2007/11/programacion-en-internet-porandres_9998.html&usg=__pehnQf7_XEDLyUoczbG33GiFX9U=&h=500&w=482&sz=88&hl=es&start=206&tbnid=8pjUc9zHMQnKJM:&tbnh=130&tbnw=125&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26start%3D200%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DN

Terminología COBITEfectividad: Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como la entrega oportuna sea correcta, consistente y de manera utilizable ante terceros, para poder cumplir con parte del requerimiento fiduciario.

Eficiencia: Siguiendo los requerimientos del negocio de la información, en cuanto a calidad-costo, la eficiencia viene dada a través de la utilización óptima (más productiva y económica) de recursos.




Terminología COBITConfidencialidad: Se refiere a la protección de información sensible contra divulgación no autorizada. Cumple con el principio de calidad.

Integridad: Para el requerimiento de seguridad, la integridad es la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio.

Disponibilidad: Se trata de la oportunidad de entrega de la información cuando ésta sea requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.




Terminología COBITCumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente.

Confiabilidad de la información: Es la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.


Bibliografía Referencial•AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004). Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com (Consulta: Noviembre 2006).

•ECHENIQUE GARCÍA, JOSÉ (2001). Auditoría en Informática. 2da Edición. McGraw Hill. México.

•INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998). COBIT, marco referencial, objetivos de control para la información y tecnología afines. 2da Edición. •MUÑOZ RAZO, CARLOS. 2002. Auditoría en Sistemas Computacionales. Pearson-Prentice Hall. México.•RODRÍGUEZ R., FERNANDO (2006). Auditoría Informática en la Administración: un reto para los profesionales TIC. Tecnimap. Comunicación No. 043. España.

•PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditoría en Informática. Un enfoque práctico. Editorial RAMA. España.

•RUIZ GONZÁLEZ, FRANCISCO (1999). Planificación y Gestión de Sistemas de Información. 2da. Edición. COBIT-Universidad de Castilla. España.

•SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com

•VEGA, JAIME (2003). Auditoría de sistemas. Sección 9. Capítulo 53.

Enciclopedia de Auditoría. Editorial Océano Centrum. España.

AUDITORIA INFORMATICA Informática II Semana No. 18 Período 2010-II Dra. Aymara Hernández Arias.

Documents

Transcript of AUDITORIA INFORMATICA Informática II Semana No. 18 Período 2010-II Dra. Aymara Hernández Arias.