Clase 1 control interno y auditoría de sistemas de información
Transcript of Clase 1 control interno y auditoría de sistemas de información
1
Control Interno y Auditoría de Sistemas de Información
2
Introducción
Información: Es un recurso crítico Debe ser protegida Es la base de la toma de decisiones
Para tener una seguridad razonable sobre su: Exactitud Completitud Disponibilidad Confidencial
Controles internos
3
Introducción
Los controles informáticos ayudan a asegurar que los sistemas automáticos de procesamiento de información funcionan de acuerdo a lo que se espera de ellos
La eficiencia y el control de las actividades de las organizaciones son necesidades básicas
4
Razones para el control interno
1. Creciente dependencia de las organizaciones y sus procesos (internos y externos) respecto a los SI
2. Aumento de la complejidad de los SI con entornos heterogéneos, abiertos y a la vez integrados
3. Éxito de las estrategias de externalización de la gestión de los SI, con los que la dependencia de ellos se refuerza con la dependencia de uno o varios proveedores de servicio
4. Globalización5. La gestión de calidad total
TQM – Total Quality Management
5
Razones para la Auditoría Informática
Inicialmente era el apoyo de la auditoría financiera y posteriormente surgen nuevas funciones cuyos principales impulsores son: Los reguladores empezaron a generar normativa
específica aplicable sobre los SI de las organizaciones y sus procesos de gestión
Los sistemas de comercio electrónico (B2B, B2C) han abierto la puerta a nuevos riesgos derivados de la necesidad de abrir los SI de la organización a terceros
Aumento de la complejidad de los SI y la dependencia de las organizaciones respecto a los mismos
6
Control Interno Informático: De que se encarga?
Controla diariamente que todas las actividades de los SI sean realizadas cumpliendo: Procedimientos Estándares Normas fijadas por la dirección de informática o la
organización Requerimientos legales
Misión asegurarse de que las medidas que se obtienen de los mecanismos implantados por c/responsable sean correctas y válidas
Suele ser un órganos staff de la Dirección de Informática
7
Control Interno Informático : Objetivos
Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su benignidad y asegurarse del cumplimiento de las normas legales
Asesorar sobre el conocimiento de las normasColaborar y apoyar el trabajo de Auditoría
Informática, así como las auditorías externasDefinir, implantar y ejecutar mecanismos y
controles para comprobar el logro de los grados adecuados del servicio informático en cuanto a controles se refiere
8
Control Interno Informático : Objetivos
Realizar en los diferentes sistemas (centrales, departamentales, redes locales, etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas sobre: Cumplimiento de procedimientos, normas y
controles dictados. Especialmente el control de cambios y versiones de software
Controles sobre la producción diaria Controles sobre la calidad y eficiencia del
desarrollo y mantenimiento del software y del servicio informático
9
Control Interno Informático : Objetivos
Controles en las redes de comunicaciones Controles sobre el software de base Controles sobre la seguridad informática:
Usuarios, responsables y perfiles de uso de archivos y bases de datos
Normas de seguridad Control de acceso a información clasificada Licencias y relaciones contractuales con
terceros Asesorar y transmitir cultura sobre el riesgo
informático
10
Auditoría Informática
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado: Salvaguarda los activos Mantiene la integridad de los datos Lleva a cabo eficazmente los fines de la organización Utiliza eficientemente los recursos
Sustenta y confirma los objetivos tradicionales de la auditoría: Objetivos de protección de activos e integridad de datos Objetivos de gestión que abarcan, no solamente los de
protección de activos, sino también los de eficiencia y eficacia
11
Qué hace el auditor?
Evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software
Es responsable de revisar e informar a la Dirección de la organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada
12
Funciones del auditor
Participar en revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas
Revisar y juzgar los controles implantados en los sistemas para verificar su adecuación a : Las órdenes e instrucciones de la Dirección Requisitos legales Protección de confidencialidad Cobertura ante errores y fraudes
Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e información
13
Analogías Control y Auditoría Informátic@
Control Interno Auditoría Informática
Similitudes • Personal Interno• Conocimiento especializado en TI• Verificación de cumplimiento de:
• Controles internos • Normativas• Procedimientos de la Dir. De Informática• Procedimientos de la Dir. General para
los SI
Diferencias • Análisis de los controles en el día a día
• Informa a la Dir. De Informática
• Solo personal interno
• El alcance de sus funciones es únicamente sobre el Dpto. de Informática
• Análisis de un momento informático determinado
• Informa a la Dir. Gral. Organización
• Personal interno y/o externo
• Tiene cobertura sobre todos los componentes de los SI de la organiz.
14
Control Interno Informático (CII)
Es cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores, irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos
Los controles deben ser: Completos Simples Fiables Revisables Adecuados Rentables (implica analizar coste-riesgo de su implantación)
15
Control Interno Informático (CII)
Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren complejos mecanismos de control, la mayoría de los cuales son automáticos
Los objetivos de los controles informáticos se han clasificado en las siguientes categorías: Controles preventivos Controles detectivos Controles correctivos
16
CII: Controles
Preventivos > se implementan para tratar de evitar el hecho. Por ej.: Software de seguridad que impida los accesos no autorizados al sistema
Detectivos > cuando fallan los preventivos, estos permiten conocer cuanto antes del evento. Ej.: el registro de intentos no autorizados
Correctivos > facilitan la vuelta a la normalidad cuando se han producido incidencias. Ej.: la recuperación de un archivo dañado a partir de copias de seguridad
17
Implantación de un sistema de CII
Los controles pueden implementarse a varios niveles, por ello es importante llegar a conocer bien la configuración del sistema para identificar los elementos, productos y herramientas que existen para saber donde pueden implantarse los controles, así como para identificar posibles riesgos
Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:
18
Implantación de un sistema de CII
Entorno de red: esquema de red, HW/SW de comunicaciones, control de red, ordenadores que soportan aplicaciones críticas, seguridad de red
Configuración del ordenador: soporte físico, entorno del SO, entornos (prueba y real), bibliotecas de programas y conjuntos de datos
Entorno de aplicaciones: procesos de transacciones, SGBD, entornos de procesos distribuidos
Productos y herramientas: SW para el desarrollo de programas y gestión de bibliotecas y operaciones automáticas
Seguridad de ordenador: identificar y verificar usuarios, control de acceso, registro, integridad del sistema, controles de supervisión
19
Implantación de un sistema de CII
Para implementar un sistema de CII hay que definir: Gestión de los SI > políticas pautas y normas técnicas que
sirvan de base para el diseño y la implantación de los SI y de los controles correspondientes
Administración de sistemas > controles de actividades sobre los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de redes
Seguridad > incluye 3 clases de controles implantados en el SW del sistema: integridad, confidencialidad (control de acceso) y disponibilidad
Gestión de cambio > separación de los ambientes de prueba y producción a nivel de SW y controles de procedimientos para la migración de SW probado y aprobado
20
Implementación de política y cultura sobre seguridad
La implementación de una política sobre la seguridad debe ser realizada por fases:
21
Dirección del negocio o Dirección de SI > Debe definir la política y/o directrices para
los SI en base a las exigencias del negocio, que podrán ser internas o externas
Dirección de informática > Debe definir las normas de funcionamiento
del entorno informático y de c/u de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas aplicables
Implementación de política y cultura sobre seguridad: Agentes implicados
22
Control Interno Informático > Definir los diferentes controles periódicos a
realizar en c/u de las funciones informáticas, de acuerdo al nivel de riesgo de c/u de ellas y diseñarlos conforme a los objetivos del negocio dentro del marco legal aplicable => procedimientos de control interno.
Realizará la revisión de los controles informando las desviaciones a la Dir. De Informática, sugiriendo cambios
Transmitirá la cultura y políticas del riesgo informático
Implementación de política y cultura sobre seguridad: Agentes implicados
23
Funcionamiento de CII
DIRECCIONExigencias internas y externas
Políticas y directrices
Estándares, Procedimiento
s, Normas y Metodologías
Implantar procedimiento
s de control
Comprobación y seguimiento de controles
Política
Cultura
24
Auditor informático interno/externo > Revisará los controles internos definidos en
c/u de las funciones informáticas y el cumplimiento de la normativa interna y externa, de acuerdo a nivel de riesgo, definido conforme a la Dir. Del Negocio y la Dir. De Informática.
Informará a la alta dirección los hechos observados y al detectarse deficiencias o ausencias de controles recomendará acciones que minimicen los riesgos que puedan originarse.
Implementación de política y cultura sobre seguridad: Agentes implicados
25
Algunos controles internos: Controles generales organizativos
Políticas : base para la planificación, control y evaluación (Dir. De Informática)
Planificación: Plan Estratégico de Información: definición de procesos
corporativos y se considera el uso de TI, así como las amenazas y oportunidades de su uso o de su ausencia (Alta dirección)
Plan Informático, determina los caminos precisos plasmados en proyectos informáticos (Dir. De Informática)
Plan General de Seguridad (física y lógica), que garantice la confidencialidad, integridad y disponibilidad de la información
Plan de emergencia ante desastres, que garantice la disponibilidad de los sistemas ante eventos fortuitos
26
Estándares, que regulen la adquisición de recursos, diseño, desarrollo, modificación y explotación de los sistemas
Procedimientos, que describan la forma y las responsabilidades de ejecutoria para regular las relaciones DI <=>Deptos. Usuarios
Organizar el DI para asegurar su independencia de los Dptos. Usuarios
Descripción de las funciones y responsabilidades dentro del DI con una clara separación de las mismas
Algunos controles internos: Controles generales organizativos
27
Políticas de personal: selección, plan de formación, vacaciones y evaluación/promoción.
Asegurar que la DI revisa todos los informes de control y resuelve las excepciones que ocurran
Asegurar que existe una política de clasificación de la información, para establecer los niveles de acceso
Designar oficialmente la figura de CII y de Auditoría Informática
Algunos controles internos: Controles generales organizativos
28
Estos deben permitir alcanzar la eficiencia del sistema, economía e integridad de datos, protección de los recursos y cumplimiento con las leyes y regulaciones:Metodología del ciclo de vida del desarrollo de
sistemas > su empleo podrá garantizar a la alta dirección que se realizará los objetivos definidos para el sistema
Explotación y mantenimiento > el establecimiento de controles asegurará que los datos se tratan de forma congruente y exacta, y que el contenido de sistemas sólo será modificado mediante autorización adecuada
Algunos controles internos: Controles de desarrollo, adquisición y mantenimiento de SI
29
Planificación y gestión de recursosControles para usar de manera efectiva, los
recursos en ordenadoresProcedimientos de selección de SW de
sistema, de instalación, mantenimiento, seguridad y control de cambios
Seguridad física y lógica
Algunos controles internos: Controles de Explotación de SI
30
C/Aplicación debe llevar controles para garantizar la entrada, actualización, validez y mantenimiento completo y exacto a los datos/información:Control de entrada de datos
Procedimientos de entrada, validación y corrección de datosControles de tratamiento de los datos para
garantizar la integridad de los mismos Para asegurar que no se dan de alta, modifican o borran
datos de manera no autorizadaControles de salida
Procedimientos de distribución de salidas, de gestión de errores en las salidas
Algunos controles internos: Controles en aplicaciones
31
Controles de SGBD, ej.: controles sobre acceso a datos y concurrencia, existencia de procedimientos para la descripción y los
cambios de datos así como el mantenimiento de diccionario de datos
Controles en informática distribuida y redes, ej.: existencia de un grupo de control de red, existencia de inventario de todos los activos de la red
Controles sobre ordenadores personales y redes de área local, ej.: políticas de adquisición y utilización, revisiones periódicas del uso de ordenadores
Algunos controles internos: Controles específicos de ciertas tecnologías
32
Plan general de calidad basado en el plan de la Entidad a largo plazo y el plan a largo plazo de tecnología > debe promover la filosofía de mejora continua y debe responder: “qué”, “quién” y “cómo”
Esquema de garantía de calidadCompatibilidad de la revisión de garantía de
calidad con las normas y procedimientos habituales en las distintas funciones de informática
Metodología de desarrollo de sistemas y su actualización
Coordinación y Comunicación
Algunos controles internos: Controles de calidad
33
Relaciones con proveedores que desarrollan sistemas
Normas de documentación de programasNormas de pruebas de programasNormas respecto a las pruebas de sistemasPruebas en piloto o en paraleloDocumentación de las pruebas de sistemasEvaluación del cumplimiento de Garantía de
Calidad de las normas de desarrollo
Algunos controles internos: Controles de calidad
34
Algunos controles informáticos
35
Conclusiones
Actualmente toda organización moderna es informático-dependiente es por ello que debemos estar conscientes de los riesgos implícitos en el uso de la tecnología para poder neutralizarlos, minimizando su impacto en la organización
El sistema de políticas y procedimientos organizacionales para custodia y salvaguarda de sus activos se ve influido y modificado por el proceso informático
La existencia del CII es una herramienta para la adecuada gestión del entorno de tecnología
36
Conclusiones
Las potencialidades del proceso informático: Todos los procesos del negocio se encuentran
automatizados La tecnología C-S, el uso de BD, el uso de Internet e
Intranets llevan a que la información corporativa esté distribuida geográficamente (descentralizada)
Posibilidades para modificar información mediante accesos no controlados en los sistemas
Implican la necesidad de implementar controles informáticos
37
Conclusiones
El papel del auditor puede resumirse en 2 tareas principales: Apoyo a la auditoría interna en la definición y
aplicación de controles internos sobre los procesos de negocio, estratégicos y de soporte de la organización
Auditoría de las gestión de los SI que se plantea básicamente en 2 objetivos: Que los sistemas de información soportan adecuada
y eficientemente los procesos de negocio de las organizaciones
Que la información tratada por los SI dispone de un nivel de seguridad adecuado a su valor y a los riesgos asociados a su uso