Clase 1 control interno y auditoría de sistemas de información

1

Control Interno y Auditoría de Sistemas de Información

2

Introducción

Información: Es un recurso crítico Debe ser protegida Es la base de la toma de decisiones

Para tener una seguridad razonable sobre su: Exactitud Completitud Disponibilidad Confidencial

Controles internos

3

Introducción

Los controles informáticos ayudan a asegurar que los sistemas automáticos de procesamiento de información funcionan de acuerdo a lo que se espera de ellos

La eficiencia y el control de las actividades de las organizaciones son necesidades básicas

4

Razones para el control interno

1. Creciente dependencia de las organizaciones y sus procesos (internos y externos) respecto a los SI

2. Aumento de la complejidad de los SI con entornos heterogéneos, abiertos y a la vez integrados

3. Éxito de las estrategias de externalización de la gestión de los SI, con los que la dependencia de ellos se refuerza con la dependencia de uno o varios proveedores de servicio

4. Globalización5. La gestión de calidad total

TQM – Total Quality Management

5

Razones para la Auditoría Informática

Inicialmente era el apoyo de la auditoría financiera y posteriormente surgen nuevas funciones cuyos principales impulsores son: Los reguladores empezaron a generar normativa

específica aplicable sobre los SI de las organizaciones y sus procesos de gestión

Los sistemas de comercio electrónico (B2B, B2C) han abierto la puerta a nuevos riesgos derivados de la necesidad de abrir los SI de la organización a terceros

Aumento de la complejidad de los SI y la dependencia de las organizaciones respecto a los mismos

6

Control Interno Informático: De que se encarga?

Controla diariamente que todas las actividades de los SI sean realizadas cumpliendo: Procedimientos Estándares Normas fijadas por la dirección de informática o la

organización Requerimientos legales

Misión asegurarse de que las medidas que se obtienen de los mecanismos implantados por c/responsable sean correctas y válidas

Suele ser un órganos staff de la Dirección de Informática

7

Control Interno Informático : Objetivos

Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su benignidad y asegurarse del cumplimiento de las normas legales

Asesorar sobre el conocimiento de las normasColaborar y apoyar el trabajo de Auditoría

Informática, así como las auditorías externasDefinir, implantar y ejecutar mecanismos y

controles para comprobar el logro de los grados adecuados del servicio informático en cuanto a controles se refiere

8


Realizar en los diferentes sistemas (centrales, departamentales, redes locales, etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas sobre: Cumplimiento de procedimientos, normas y

controles dictados. Especialmente el control de cambios y versiones de software

Controles sobre la producción diaria Controles sobre la calidad y eficiencia del

desarrollo y mantenimiento del software y del servicio informático

9


Controles en las redes de comunicaciones Controles sobre el software de base Controles sobre la seguridad informática:

Usuarios, responsables y perfiles de uso de archivos y bases de datos

Normas de seguridad Control de acceso a información clasificada Licencias y relaciones contractuales con

terceros Asesorar y transmitir cultura sobre el riesgo

informático

10

Auditoría Informática

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado: Salvaguarda los activos Mantiene la integridad de los datos Lleva a cabo eficazmente los fines de la organización Utiliza eficientemente los recursos

Sustenta y confirma los objetivos tradicionales de la auditoría: Objetivos de protección de activos e integridad de datos Objetivos de gestión que abarcan, no solamente los de

protección de activos, sino también los de eficiencia y eficacia

11

Qué hace el auditor?

Evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software

Es responsable de revisar e informar a la Dirección de la organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada

12

Funciones del auditor

Participar en revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas

Revisar y juzgar los controles implantados en los sistemas para verificar su adecuación a : Las órdenes e instrucciones de la Dirección Requisitos legales Protección de confidencialidad Cobertura ante errores y fraudes

Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e información

13

Analogías Control y Auditoría Informátic@

Control Interno Auditoría Informática

Similitudes • Personal Interno• Conocimiento especializado en TI• Verificación de cumplimiento de:

• Controles internos • Normativas• Procedimientos de la Dir. De Informática• Procedimientos de la Dir. General para

los SI

Diferencias • Análisis de los controles en el día a día

• Informa a la Dir. De Informática

• Solo personal interno

• El alcance de sus funciones es únicamente sobre el Dpto. de Informática

• Análisis de un momento informático determinado

• Informa a la Dir. Gral. Organización

• Personal interno y/o externo

• Tiene cobertura sobre todos los componentes de los SI de la organiz.

14

Control Interno Informático (CII)

Es cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores, irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos

Los controles deben ser: Completos Simples Fiables Revisables Adecuados Rentables (implica analizar coste-riesgo de su implantación)

15

Control Interno Informático (CII)

Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren complejos mecanismos de control, la mayoría de los cuales son automáticos

Los objetivos de los controles informáticos se han clasificado en las siguientes categorías: Controles preventivos Controles detectivos Controles correctivos

16

CII: Controles

Preventivos > se implementan para tratar de evitar el hecho. Por ej.: Software de seguridad que impida los accesos no autorizados al sistema

Detectivos > cuando fallan los preventivos, estos permiten conocer cuanto antes del evento. Ej.: el registro de intentos no autorizados

Correctivos > facilitan la vuelta a la normalidad cuando se han producido incidencias. Ej.: la recuperación de un archivo dañado a partir de copias de seguridad

17

Implantación de un sistema de CII

Los controles pueden implementarse a varios niveles, por ello es importante llegar a conocer bien la configuración del sistema para identificar los elementos, productos y herramientas que existen para saber donde pueden implantarse los controles, así como para identificar posibles riesgos

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:

18


Entorno de red: esquema de red, HW/SW de comunicaciones, control de red, ordenadores que soportan aplicaciones críticas, seguridad de red

Configuración del ordenador: soporte físico, entorno del SO, entornos (prueba y real), bibliotecas de programas y conjuntos de datos

Entorno de aplicaciones: procesos de transacciones, SGBD, entornos de procesos distribuidos

Productos y herramientas: SW para el desarrollo de programas y gestión de bibliotecas y operaciones automáticas

Seguridad de ordenador: identificar y verificar usuarios, control de acceso, registro, integridad del sistema, controles de supervisión

19


Para implementar un sistema de CII hay que definir: Gestión de los SI > políticas pautas y normas técnicas que

sirvan de base para el diseño y la implantación de los SI y de los controles correspondientes

Administración de sistemas > controles de actividades sobre los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de redes

Seguridad > incluye 3 clases de controles implantados en el SW del sistema: integridad, confidencialidad (control de acceso) y disponibilidad

Gestión de cambio > separación de los ambientes de prueba y producción a nivel de SW y controles de procedimientos para la migración de SW probado y aprobado

20

Implementación de política y cultura sobre seguridad

La implementación de una política sobre la seguridad debe ser realizada por fases:

21

Dirección del negocio o Dirección de SI > Debe definir la política y/o directrices para

los SI en base a las exigencias del negocio, que podrán ser internas o externas

Dirección de informática > Debe definir las normas de funcionamiento

del entorno informático y de c/u de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas aplicables

Implementación de política y cultura sobre seguridad: Agentes implicados

22

Control Interno Informático > Definir los diferentes controles periódicos a

realizar en c/u de las funciones informáticas, de acuerdo al nivel de riesgo de c/u de ellas y diseñarlos conforme a los objetivos del negocio dentro del marco legal aplicable => procedimientos de control interno.

Realizará la revisión de los controles informando las desviaciones a la Dir. De Informática, sugiriendo cambios

Transmitirá la cultura y políticas del riesgo informático


23

Funcionamiento de CII

DIRECCIONExigencias internas y externas

Políticas y directrices

Estándares, Procedimiento

s, Normas y Metodologías

Implantar procedimiento

s de control

Comprobación y seguimiento de controles

Política

Cultura

24

Auditor informático interno/externo > Revisará los controles internos definidos en

c/u de las funciones informáticas y el cumplimiento de la normativa interna y externa, de acuerdo a nivel de riesgo, definido conforme a la Dir. Del Negocio y la Dir. De Informática.

Informará a la alta dirección los hechos observados y al detectarse deficiencias o ausencias de controles recomendará acciones que minimicen los riesgos que puedan originarse.


25

Algunos controles internos: Controles generales organizativos

Políticas : base para la planificación, control y evaluación (Dir. De Informática)

Planificación: Plan Estratégico de Información: definición de procesos

corporativos y se considera el uso de TI, así como las amenazas y oportunidades de su uso o de su ausencia (Alta dirección)

Plan Informático, determina los caminos precisos plasmados en proyectos informáticos (Dir. De Informática)

Plan General de Seguridad (física y lógica), que garantice la confidencialidad, integridad y disponibilidad de la información

Plan de emergencia ante desastres, que garantice la disponibilidad de los sistemas ante eventos fortuitos

26

Estándares, que regulen la adquisición de recursos, diseño, desarrollo, modificación y explotación de los sistemas

Procedimientos, que describan la forma y las responsabilidades de ejecutoria para regular las relaciones DI <=>Deptos. Usuarios

Organizar el DI para asegurar su independencia de los Dptos. Usuarios

Descripción de las funciones y responsabilidades dentro del DI con una clara separación de las mismas


27

Políticas de personal: selección, plan de formación, vacaciones y evaluación/promoción.

Asegurar que la DI revisa todos los informes de control y resuelve las excepciones que ocurran

Asegurar que existe una política de clasificación de la información, para establecer los niveles de acceso

Designar oficialmente la figura de CII y de Auditoría Informática


28

Estos deben permitir alcanzar la eficiencia del sistema, economía e integridad de datos, protección de los recursos y cumplimiento con las leyes y regulaciones:Metodología del ciclo de vida del desarrollo de

sistemas > su empleo podrá garantizar a la alta dirección que se realizará los objetivos definidos para el sistema

Explotación y mantenimiento > el establecimiento de controles asegurará que los datos se tratan de forma congruente y exacta, y que el contenido de sistemas sólo será modificado mediante autorización adecuada

Algunos controles internos: Controles de desarrollo, adquisición y mantenimiento de SI

29

Planificación y gestión de recursosControles para usar de manera efectiva, los

recursos en ordenadoresProcedimientos de selección de SW de

sistema, de instalación, mantenimiento, seguridad y control de cambios

Seguridad física y lógica

Algunos controles internos: Controles de Explotación de SI

30

C/Aplicación debe llevar controles para garantizar la entrada, actualización, validez y mantenimiento completo y exacto a los datos/información:Control de entrada de datos

Procedimientos de entrada, validación y corrección de datosControles de tratamiento de los datos para

garantizar la integridad de los mismos Para asegurar que no se dan de alta, modifican o borran

datos de manera no autorizadaControles de salida

Procedimientos de distribución de salidas, de gestión de errores en las salidas

Algunos controles internos: Controles en aplicaciones

31

Controles de SGBD, ej.: controles sobre acceso a datos y concurrencia, existencia de procedimientos para la descripción y los

cambios de datos así como el mantenimiento de diccionario de datos

Controles en informática distribuida y redes, ej.: existencia de un grupo de control de red, existencia de inventario de todos los activos de la red

Controles sobre ordenadores personales y redes de área local, ej.: políticas de adquisición y utilización, revisiones periódicas del uso de ordenadores

Algunos controles internos: Controles específicos de ciertas tecnologías

32

Plan general de calidad basado en el plan de la Entidad a largo plazo y el plan a largo plazo de tecnología > debe promover la filosofía de mejora continua y debe responder: “qué”, “quién” y “cómo”

Esquema de garantía de calidadCompatibilidad de la revisión de garantía de

calidad con las normas y procedimientos habituales en las distintas funciones de informática

Metodología de desarrollo de sistemas y su actualización

Coordinación y Comunicación

Algunos controles internos: Controles de calidad

33

Relaciones con proveedores que desarrollan sistemas

Normas de documentación de programasNormas de pruebas de programasNormas respecto a las pruebas de sistemasPruebas en piloto o en paraleloDocumentación de las pruebas de sistemasEvaluación del cumplimiento de Garantía de

Calidad de las normas de desarrollo

Algunos controles internos: Controles de calidad

34

Algunos controles informáticos

35

Conclusiones

Actualmente toda organización moderna es informático-dependiente es por ello que debemos estar conscientes de los riesgos implícitos en el uso de la tecnología para poder neutralizarlos, minimizando su impacto en la organización

El sistema de políticas y procedimientos organizacionales para custodia y salvaguarda de sus activos se ve influido y modificado por el proceso informático

La existencia del CII es una herramienta para la adecuada gestión del entorno de tecnología

36

Conclusiones

Las potencialidades del proceso informático: Todos los procesos del negocio se encuentran

automatizados La tecnología C-S, el uso de BD, el uso de Internet e

Intranets llevan a que la información corporativa esté distribuida geográficamente (descentralizada)

Posibilidades para modificar información mediante accesos no controlados en los sistemas

Implican la necesidad de implementar controles informáticos

37

Conclusiones

El papel del auditor puede resumirse en 2 tareas principales: Apoyo a la auditoría interna en la definición y

aplicación de controles internos sobre los procesos de negocio, estratégicos y de soporte de la organización

Auditoría de las gestión de los SI que se plantea básicamente en 2 objetivos: Que los sistemas de información soportan adecuada

y eficientemente los procesos de negocio de las organizaciones

Que la información tratada por los SI dispone de un nivel de seguridad adecuado a su valor y a los riesgos asociados a su uso

Clase 1 control interno y auditoría de sistemas de información

Education

Transcript of Clase 1 control interno y auditoría de sistemas de información