1 FORO SEGURIDAD CIUDADANA Y CORPORATIVA SEGURIDAD Y SOCIEDAD. SEGURIDAD PRIVADA MENDOZA.
Seguridad
-
Upload
gianfranco-palma-caffo-vega -
Category
Documents
-
view
9 -
download
0
description
Transcript of Seguridad
-
1UPC 2010 02 1
SI-38 Seguridad y Auditora de SistemasCap. 1: El Proceso de Auditora de Sistemas de Informacin
UPC 2010 02 2
El contexto internacional: Riesgos y amenazas
En las ltimas dcadas, una serie de grandes escndalos financieros en grandesempresas globales, han evidenciado la fragilidad de los controles operativos yfinancieros en las empresas.
Grandes empresas de auditora internacionales se han visto envueltas por accinu omisin en estos escndalos.
Como consecuencia, se ha reforzado a nivel internacional la exigencia de que lasempresas cumplan una serie de procedimientos y prcticas de control, a fin degarantizar la transparencia y veracidad de sus operaciones y manejo financiero.Ej: Sarbanes-Oxley Act (USA, 2002).
El soporte de tecnologa es clave para las operaciones y manejo financiero de lasempresas, la exigencia regulatoria sobre los controles de TI se ha incrementadograndemente: COSO, COBIT, etc.
En Per la SBS ha establecido normativa para el control del riesgo operativo y deTI en las empresas financieras
UPC 2010 02 3
Atentado contra el World Trade Center, Washington (11/09/01): 8,000servidores Intel, 5,000 servidores UNIX, 34,000 PCs, US$ 32 billonespara recuperar equipos y sistemas, 3500 vctimas y destruccin desedes corporativas de diversas empresas globales.
En 1998 se produjo una interrupcin de servicios de comunicaciones deAT&T por fallas en un switch (software y procedimientos). Por 18 horas,a nivel mundial, usuarios de tarjetas de crdito no pudieron usarlas.
Terremoto de Kobe, Japn (17/01/95): dur 20 seg., intensidad de 6.8Richter. 40,000 victimas, 148 incendios y 6.513 edificios destruidos.
Empresa de Telecomunicaciones: Incendio daa instalaciones delcentro de cmputo, el cual es inundado por la accin de los bomberos.Varios sistemas crticos quedan fuera de servicio por tres das.
Empresa de Cosmticos: Por cercana de su local a la Embajada deJapn, el centro de cmputo queda inutilizable por 23 das. (11/12/96)
El contexto internacional: Riesgos y amenazas
UPC 2010 02 4
El Capital de Informacin
El capital de informacin junto con los dems activos intangibles influyen en el desempeo de la empresa al mejorar los procesos internos ms importantes en la
creacin de valor para clientes y accionistas Kaplan y Norton, Strategic Maps - 2004
Bases de datosBases de datos
Sistemas de InformacinSistemas de Informacin
Infraestructura Tecnolgica
Infraestructura Tecnolgica
-
2UPC 2010 02 5
Amenazas de origen tecnolgico
Inoperatividad de tecnologa Virus, worms, spyware Ataques de hackers. Saturacin de servicios Spam
Amenzas de origen social
Divulgacin no autorizada de informacin confidencial Alteracin no autorizada de informacin. Accesos por proveedores Fraudes por empleados Espionaje por competidores Violacin de derechos de propiedad Gestin deficiente de la tecnologa
Principales Amenazas al Capital de Informacin
Bases de datosBases de datos
Sistemas de InformacinSistemas de Informacin
Infraestructura Tecnolgica
Infraestructura Tecnolgica
Amenazas de origen natural
Terremotos Inundaciones Incendios UPC 2010 02 6
Cmo debe enfrentar una empresa estos riesgos?
La necesidad de la Auditora y el control interno en las empresas
Con un proceso slido de Gestin de Riesgos Con un sistema de Control Interno eficiente Con la ejecucin de auditoras eficaces
UPC 2010 02 7
Modelo de Mejoramiento Continuo de la Calidad de Deming (PDCA)
A PA P
C DC D
Alineacindel Negocio TI
Escala de Tiempo
Niv
el d
e M
adur
ez
Mejoras continuaspaso a paso
Mejoras de calidad efectivas
Consolidacin del nivel conseguido
Plan: Plan de ProyectoDo: Proyecto (Hacer)Check: AuditoriaAct: Nuevas Acciones
Calidad:Continuo control de la calidad y consolidacin
Estrategia de mejora continua de la calidad en cuatro pasos
Auditoria de Sistemas / Control Interno
UPC 2010 02 8
Definicin de Auditora
Auditora es la actividad consistente en la emisin de una opininprofesional sobre si el objeto sometido a anlisis presenta adecuadamentela realidad que pretende reflejar y/o cumple las condiciones que le han sidoprescritas.
Contenido Una opinin
Condicin Profesional
Justificacin Sustentada en determinados procedimientos
Objeto Determinada informacin obtenida de ciertas fuentes
Finalidad Determinar si representa adecuadamente la realidad o responde a las expectativas que le son atribudas, es decir, su fiabilidad
-
3UPC 2010 02 9
Clases de Auditora
El objeto y la finalidad de una auditora definen su tipo, los principales son:
Clase Contenido Objeto Finalidad
Financiera Opinin Cuentas anuales Presentan realidad
Informtica o de Sistemas
Opinin Sistemas de informacin, recursos informticos, planes de contingencia, etc.
Operatividad eficiente y segn normas establecidas
Gestin Opinin Direccin Eficacia, eficiencia.
Cumplimiento Opinin Normas establecidas Las operaciones se adecan a estas normas
El sector Financiero ha sido el principal usuario de los procedimientos deauditora
UPC 2010 02 10
Clases de Auditora
Algunos ejemplos:
Clase Ejemplo
Financiera Auditora de Estados Financieros de las empresas. Exigencia de entidades reguladoras y financieras. Debe verificar que los EE.FF. muestren la realidad de la empresa
Informtica o de Sistemas
Auditora de controles de sistemas, requerida por las Auditoras Financieras y entidades reguladoras
Gestin Auditora de las gestin de una entidad pblica o privada, luego de un cambio de los Directivos.
Cumplimiento Cumplimiento de estndares de gestin de la calidad (ISO 9000), estndares de gestin ambiental (ISO 14000), estndares de gestin de la seguridad de informacin (ISO 27000)
UPC 2010 02 11
Procedimientos de Auditora
La opinin expresada en una auditora se fundamenta en elcumplimiento de procedimientos especficos que deben proporcionaruna seguridad razonable de lo que se afirma
Existen auditoras altamente reglamentadas (las financieras) donde esobligatorio aplicar Normas Tcnicas y procedimientos detallados.
En general, una auditora debe cumplir: El trabajo debe ser planificado y supervisado adecuadamente Se estudiar y evaluar el sistema de control interno Se obtendr evidencia suficiente y adecuada La evidencia debe colectarse en los documentos de trabajo del
auditor. Como justificacin y soporte del trabajo y de la opininemitida.
UPC 2010 02 12
Definicin de Consultora
Consultora es dar asesoramiento o consejo sobre lo que se ha de hacer ocmo llevar adecuadamente una determinada actividad para obtener losfines deseados.
Contenido Dar asesoramiento o consejo
Condicin De carcter especializado
Justificacin En base a un exmen o anlisis
Objeto La actividad o cuestin sometida a consideracin
Finalidad Establecer la manera de llevarla a cabo adecuadamente
-
4UPC 2010 02 13
Y la auditora de Sistemas?.
La Auditora de Sistemas
UPC 2010 02 14
Necesidad de la Auditora de Sistemas
Hoy da, el procesamiento automatizado de la informacin a travs delas computadoras, es indispensable en las empresas.
El alto desarrollo tecnolgico y la intensa competencia entre lasempresas las hace cada vez ms dependientes de los sistemas.
La informacin y, en general, todos los activos tecnolgicos son losrecursos o activos ms importantes de una empresa.
La informacin procesada es utilizada para tomar decisiones operativas,tcticas y estratgicas.
La informacin debe ser preservada de cualquier mal uso que afecte suintegridad, privacidad o disponibilidad.
Las fallas o el mal uso de los sistemas puede afectar grandemente a lasociedad (empresas y personas): mala asignacin de recursos, fraudes,prdida de privacidad, etc.
UPC 2010 02 15
ORGANIZACIONES
Auditora y control de sistemas de Informacin
Costos por prdida de
datos
Costos por mala toma de
decisiones
Costos por mal uso de tecnologa
Valor de hardware, software y personal
Costos por mal procesamiento de informacin
Privacidad de la
informacin
Necesidad de la Auditora de Sistemas
Factores que influencian hacia el control y auditora del uso de las computadoras
UPC 2010 02 16
Prdida de datos Dao o prdida de informacin: archivos de cuentas por cobrar, cuentas por pagar, etc.
Mala toma de decisiones
La informacin se utiliza para la toma de decisiones. Dependiendo de si las decisiones son estratgicas, tctica u operativas, el impacto de la calidad de los datos y la informacin provista por los sistemas puede ser de mayor o menor impacto.
Uso indebido de la tecnologa
Virus, hacking, acceso fsico ilegal, abuso de privilegios de acceso a sistemas, etc. pueden originar prdidas importantes a las organizaciones: destruccin o robo de activos o informacin, alteracin indebida de datos, prdida de confidencialidad o privacidad, interrupcin de operaciones, uso indebido de activos, dao fsico del personal, etc.
Proteccin de la inversin en tecnologa y personal
Los montos invertidos en hardware y software son importantes. Su dao o robo puede originar una prdida econmica importante, interrupcin de operaciones, prdida de confidencialidad, prdida de ingresos, etc.
Errores en procesamiento de la informacin
El mal funcionamiento de los sistemas puede originar fallas en los procesos productivos, merma de la calidad, accidentes, incremento de costos o prdida de ingresos, etc.
Confidencialidad y privacidad
La liberacin de informacin confidencial puede originar importantes prdidas econmicas y ventaja frente a la competencia, tambin puede originar prdidas por denuncias de clientes afectados.
Necesidad de la Auditora de Sistemas
-
5UPC 2010 02 17
Definicin de Auditora de Sistemas o Auditora Informtica
Es el proceso de recolectar, agrupar y evaluar evidencias para determinarsi un sistema informtico salvaguarda los activos de cmputo, mantienela integridad de los datos, utiliza eficientemente los recursos de laorganizacin y contribuye eficazmente a los objetivos de la organizacin.
La auditora de sistemas cumple dos clases de objetivos principales: Objetivos de proteccin de activos e integridad de datos Objetivos de gestin: eficacia y eficiencia en el cumplimiento de
metas empresariales
ORGANIZACIONES
Auditora de sistemas de Informacin
Proteccin de activos
Asegurar integridad de datos
Mejorar efectividad de sistemas
Mejorar eficiencia de sistemas
UPC 2010 02 18
Proteccin de activos
Hardware, software, instalaciones, personas (conocimiento), archivos de datos, documentacin de sistemas, formularios oficiales, suministros,Riesgos: daos fsico, robo, uso indebido, etc.
Integridad de datos
Mantener atributos de los datos: deben ser completos, veraces, confiables. Riesgos: incertidumbre sobre las operaciones de la empresa, prdida de competitividad
Efectividad de sistemas
Los sistemas deben cumplir/atender los objetivos/necesidades para los que fueron implementados.Riesgos: sistemas incompletos, no funcionales, complicados, costosos.
Eficiencia de Sistemas
Un sistema eficiente utiliza la menor cantidad posible de recursos para alcanzar sus objetivos: capacidad de procesamiento, software de base, dispositivos de entrada/salida, operacin del sistema, etc.
Objetivos de la Auditora de Sistemas
UPC 2010 02 19
Definicin de Auditora de Sistemas o Auditora Informtica
El auditor informtico evala y comprueba en determinados momentosdel tiempo los controles y procedimientos informticos existentes,desarrollando y aplicando tcnicas de auditora, incluyendo de sernecesario el uso de software especializado.
El auditor informtico es responsable de revisar e informar a la Direccinde la organizacin sobre el diseo y funcionamiento de los controlesimplantados y sobre la fiabilidad de la informacin suministrada.
El Informe de Auditora es el documento formal donde se comunican losresultados de una auditora informtica.
UPC 2010 02 20
ISACA
Information System Audit and Control Asociation (ISACA) es unaasociacin internacional de profesionales relacionados a las tareas deauditora de TI.
Se fund en 1967, cuando un conjunto de profesionales reconoci quedebido a la criticidad de la funcin de auditora de sistemas en lasorganizaciones requera una fuente centralizada de informacin, guas detrabajo y estndares. Tiene ms de 50,000 miembros en 140 pases.
ISACA provee una serie de estndares, guas y procedimientos quedeben seguirse para realizar auditoras de sistemas.
ISACA provee dos certificaciones internacionales a los profesionales quecumplen los requisitos que establece:
CISA: Certified Information Systems Auditor CISM: Certified Information Security Manager
-
6UPC 2010 02 21
SI-38 Seguridad y Auditora de SistemasCap. 1: El Proceso de Auditora de Sistemas de Informacin
UPC 2010 02 22
Amenazas de origen tecnolgico
Inoperatividad de tecnologa Virus, worms, spyware Ataques de hackers. Saturacin de servicios Spam
Amenazas de origen natural
Terremotos Inundaciones Incendios
Amenzas de origen social
Divulgacin no autorizada de informacin confidencial Alteracin no autorizada de informacin. Accesos por proveedores Fraudes por empleados Espionaje por competidores Violacin de derechos de propiedad Sabotaje / Terrorismo
Riesgos de Tecnologa
Bases de datosBases de datos
Sistemas de InformacinSistemas de Informacin
Infraestructura Tecnolgica
Infraestructura Tecnolgica
Vulnerabilidad: exposicin a una situacin adversa que podra ser explotada intencional o accidentalmente y afectar negativamente el cumplimiento de los objetivos de la organizacin.
Riesgo es el impacto neto proveniente de una vulnerabilidad, considerando tanto su probabilidad de ocurrencia como el impacto que ocasionara en caso de materializarse.
Riesgo = Probabilidad x Impacto
UPC 2010 02 23
ORGANIZACIONES
Auditora y control de sistemas de Informacin
Costos por prdida de
datos
Costos por mala toma de
decisiones
Costos por mal uso de tecnologa
Valor de hardware, software y personal
Costos por mal procesamiento de informacin
Privacidad de la
informacin
Riesgos y Controles de Tecnologa
Los Riesgos se manejan estableciendo Controles.
Control es un sistema (polticas, procedimientos, prcticas y estructuras organizacionales) diseados para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos.
UPC 2010 02 24
Tipos de Controles
Preventivos, diseados para prevenir que ocurra un error, omisin oprctica maliciosa. Ej: el uso de contraseas para acceder a un sistema.
Detectivos, en caso que los controles preventivos fallen, debenidentificar lo antes posible la ocurrencia de un hecho indebido. Ej:registro de intentos de acceso fallidos para un sistema.
Correctivos, ocurrida una incidencia deben reducir el impacto de lamisma y facilitar la vuelta a la normalidad. Ej: recuperar datos desde unacopia de seguridad (backup), un plan de contingencia, etc.
-
7UPC 2010 02 25
El Sistema de Control Interno
Las organizaciones deben tener un Sistema de Control Interno queasegure que sus controles sean los adecuados y funcionencorrectamente. Los componentes son:
Control environment
Risk assessment
Information & communication
Control activities
Monitoring
Fijan parmetros generales para los controles: polticas empresariales de alto nivel, valores ticos, cultura y estructura de Recursos Humanos.
Cubre la evaluacin de amenazas, vulnerabilidades e impacto de las mismas, para fijar eficientemente dnde deberan establecerse los controles
Incluye los controles que permitirn al staff de TI recibir y controlar el flujo de informacin de negocio.
Son los controles que permitirn asegurar que las operaciones del negocio estn funcionando de acuerdo a los objetivos de la organizacin.
Seguimiento contnuo para asegurar que las polticas y procedimientos funcionan apropiadamente
UPC 2010 02 26
El Sistema de Control Interno
Un sistema de control interno debe considerar las siguientes categoras:
Segregacin de actividades: una transaccin debe pasar por variasetapas a cargo de personas distintas.
Responsabilidad y delegacin de autoridad Personal: competente y confiable. Procedimientos de Autorizacin: que aseguren los debidos niveles de
aprobacin y su registro adecuado. Registro de actividades: proteccin y almacenamiento de documentos,
pistas de auditora, etc. Control fsico sobre activos y registros: mecanismos apropiados para
evitar accesos no autorizados. Adecuada supervisin: seguimiento cercano del supervisor para disuadir
o detectar actos indebidos. Revisiones independientes de resultados.
UPC 2010 02 27
Controles de IT: Generales y de Aplicacin
Un sistema de control interno debe considerar las siguientes categoras:
Controles Generales de IT:Se ejecutan para asegurar que el desarrollo, implementacin, operacin ymantenimiento de los sistemas de informacin se hace de una maneraplaneada y controlada. En otras palabras, los controles generales de ITpermiten que se provea una infraestructura estable en la cual los sistemasde informacin puedan construirse, operarse y modificarse de acuerdo a lasnecesidades diarias y de acuerdo a los procedimientos establecidos.
Controles de aplicacin:Se requieren para asegurar un procesamiento confiable de la informacin yse aplican sobre transacciones individuales. Estos controles aseguran quelas transacciones sean vlidas, autorizadas y se registren apropiadamente.
UPC 2010 02 28
Controles Generales de IT
Incluyen los siguientes:
Organizacin y administracin, incluyendo plticas y estndares. Segregacin de actividades. Controles fsicos: accesos y ambientales. Control de accesos lgicos: cuentas de usuario y contraseas Desarrollo de sistemas y cambios a programas. Controles sobre personal de sistemas, incluyendo programadores,
analistas y Operaciones y Soporte de TI. (tambin proveedoresexternos).
Controles sobre disponibilidad y continuidad de sistemas. Por ejemploel plan de continuidad de negocios.
Controles sobre uso de computadoras por usuarios finales.
-
8UPC 2010 02 29
Controles de Aplicacin
Dado que se aplican sobre transacciones individuales, incluyen:
Controles sobre las entradas de transacciones Controles sobre el procesamiento de transacciones. Controles sobre la salida de transacciones Controles sobre datos y archivos maestros.
UPC 2010 02 30
Controles de IT: Onion Model
The IT controls framework
APPLICATION CONTROLS
Audit Trails
Operating system controls
Network Access ControlsStaff selection, vetting and training
System Security and Internal Audit
Physical and environmental controls
Standing Data
INPUT PROCESS OUTPUT
UPC 2010 02 31
La Auditora y los Controles de IT
La funcin de la auditora es determinar si existen los controles paraevitar eventos no deseados en los sistemas de TI y si estos controlestrabajan adecuadamente.
Eventualmente pueden existir eventos no deseados que no tengan uncontrol establecido. Esto slo debe ocurrir cuando no sea posibleimplementar un control efectivo en trminos de costo-beneficio.
UPC 2010 02 32
El Proceso de Auditora
-
9UPC 2010 02 33
Planeamiento de la Auditora
El objetivo de esta etapa es tomar conocimiento del cliente y de sussistemas de control interno. Temas a considerar son:
Necesidades del cliente para la auditora: soporte a una auditora financiera evaluacin de controles TI necesidades regulatorias, etc.
Realidad del cliente: organizacin y operaciones del negocio hardware utilizado (servidores, PCs, redes, etc.) software de sistemas (sistemas operativos, BDs, seguridad, redes,
etc.) principales sistemas de informacin personal de contacto en TI y en reas usuarias problemas del cliente con sus aplicativos cambios planeados en aplicativos o tecnologa, etc.
UPC 2010 02 34
Planeamiento de la Auditora
Fuentes de informacin: informe y papeles de trabajo de auditoras anteriores observacin de las instalaciones entrevistas con personal de TI documentos del cliente (plan estratgico de TI, plan del negocio,
documentacin de sistemas, etc.)
Necesidad de otros especialistas como ayuda a la auditora: en caso de riesgos significativos detectados (sistemas, equipamiento,
procedimientos, seguridad de informacin, etc.), por solicitud expresa del cliente cuando existe considerable desarrollo interno de sistemas en caso de existir planes de cambios importantes en infraestructura o
aplicativos.
UPC 2010 02 35
Planeamiento de la Auditora
Determinar alcance y tiempo de los procedimientos de auditora: qu aplicativos se revisarn y qu tiempo ser necesario, en funcin
a su contribucin al negocio, tamao y complejidad de la plataformatecnolgica,
los objetivos de la auditora reas crticas del negocio identificadas con el cliente debilidades conocidas en los controles internos
Determinacin de recursos necesarios: cantidad de personal requerido, nivel de experiencia y disponibilidad
del mismo, disponibilidad del personal del cliente otros recursos: equipamiento, software especializado, manuales,
dinero para traslados/alojamiento.
UPC 2010 02 36
Planeamiento de la Auditora
Elaboracin de un Plan de Auditora, que contiene: referencias del cliente y sus necesidades, alcance y objetivos de la auditora a realizar reas crticas a examinar recursos necesarios Cronograma
-
10
UPC 2010 02 37
Evaluar Controles Internos
Una vez que el auditor ha logrado un adecuado entendimiento de loscontroles internos del cliente, debe decidir la manera como debe realizarlos siguientes pasos de la auditora:
Si considera que el riesgo de los controles vigente es inferior al mximoaceptable, debe identificar los controles que justifican esto y evaluar siestos funcionan adecuadamente. Se asume que si los controles operanefectivamente, ser menor el esfuerzo posterior en hacer pruebassustantivas para alcanzar un juicio de auditora.
Si considera que el riesgo de los controles supera el mximo aceptable, elauditor no verifica los controles pues supone que es probable que estosno sean efectivos y por lo tanto su prueba no sera confiable para realizaruna auditora eficiente. En estos casos se decide por realizar pruebassustantivas.
UPC 2010 02 38
El Proceso de Auditora
THE AUDIT PROCESS
PLANNING
EVALUATION OFINTERNAL CONTROLS
Yes : Perform compliancetests of controls
No: No reliance oncontrols
Substantive testing
Review and evalaute
Report
UPC 2010 02 39
Tipos de Pruebas de Auditora
Para obtener las evidencias de la auditora se pueden ejecutar:
Pruebas de cumplimiento. Buscan determinar si el control existe en laprctica y opera efectivamente durante el periodo objeto de la auditora.Se requiere realizar un muestreo para determinar el alcance de laprueba. Por ejemplo, para verificar los controles de tiempos de respuestapara un sistema crtico, el auditor puede entrevistar al Jefe de Produccinde Sistemas para determinar si se revisan los tiempos de respuesta conregularidad y qu acciones se toman cuando estos no son aceptables.
Pruebas sustantivas. Buscan confirmar los resultados esperados delcontrol, utilizando tcnicas de muestreo para identificar transaccionessignificativas. En el ejemplo anterior, el auditor elegira un conjunto detransacciones crticas y verificara sus tiempos de respuesta paraasegurarse que estn en los niveles aceptables.
UPC 2010 02 40
Obtener evidencia de Auditora (Pruebas de Cumplimiento)
En caso de que el auditor haya determinado realizar pruebas decumplimiento, estas se realizan con el objetivo de confirmar que loscontroles sean realmente efectivos. Este tipo de pruebas tambin buscandisminuir los costos de la auditora.
Puede ser necesario realizar muestreo de transacciones, uso deherramientas de SW especializadas, hacer seguimiento de transaccionesdurante el ciclo de negocio, reproducir resultados para verificar clculoscorrectos, etc.
-
11
UPC 2010 02 41
Obtener evidencia de Auditora (Pruebas Sustantivas)
Se ejecutan para evaluar si errores o mal procesamiento de lastransacciones ha tenido un impacto significativo (materialidad) en lasoperaciones o los estados financieros.
Una vez realizadas estas pruebas el auditor debe confirmar o revisar suevaluacin inicial del riesgo de los controles. Esto puede implicar tanto,disminuir las pruebas sustantivas a realizar posteriormente (en caso loscontroles hayan sido eficientes) o incrementarlas en caso contrario.
UPC 2010 02 42
El auditor debe evaluar los hallazgos hechos en las pruebas realizadas yemitir una opinin. Normalmente, el auditor se apoya en colegas osupervisores para completar su opinin.
Los posible juicios a emitir son:
Abstenerse de opinin: cuando las verificaciones realizadas no lepermiten emitir una opinin.
Opinin adversa: cuando el auditor considera que existen prdidaso problemas materiales detectados en la auditora.
Opinin calificada: cuando el auditor considera que se hanpresentado prdidas o problemas, pero estos no se consideranmateriales.
Opinin favorable: cuando el auditor considera que no se hanpresentado prdidas o problemas en los controles revisados.
Revisin y evaluacin de Resultados
UPC 2010 02 43
Se siguen los siguientes pasos:
Revisin de reportes preliminares Primer borrador: para discusin con el cliente. Se precisa el
contenido del informe, se corrigen posibles errores y aclaran temasnecesarios.
Segundo borrador: primer informe formal para el cliente. Comentarios del cliente: el cliente enva eventuales comentarios al
borrador formal recibido. Tercer borrador: el auditor entrega el borrador final en el cual el
cliente debe responder las observaciones presentadas.
Revisin Interna: el auditor enva el informe para su validacin porcolegas o por su Supervisor. Se valida que cumpla con los estndares dedocumentacin, posibles omisiones o errores, se discute los hallazgos concolegas, etc.
Elaborar Informe y Presentacin de Resultados
UPC 2010 02 44
El informe debe contener
La carta de presentacin. Propsito de la auditora y eventuales salvedades (disclaimers) Qu sistemas fueron revisados Contenido del informe detallado Con quin se revis el informe Opinin de la auditora realizada. Indicacin de las observaciones includas en el informe detallado. Agradecimiento a la empresa.
Emisin del Informe de Auditora
-
12
UPC 2010 02 45
El informe debe contener
El informe detallado. Buenas prcticas de control y consideraciones sobre el riesgo de
negocio asociado con las deficiencias de los controles. Detalle de los hallazgos u observaciones encontrados por el auditor,
incluyendo el riesgo asociado a los mismos. Es importante que loreportado sea la debilidad o problema raz detectado.
Recomendaciones, las que al ser implementadas reduciran losriesgos. Deben ser recomendaciones factibles y eficientes.
Comentarios de la Gerencia, si la Gerencia ha considerado necesariohacerlas a las observaciones de auditora.
Emisin del Informe de Auditora
UPC 2010 02 46
SI-38 Seguridad y Auditora de SistemasCap. 3: Infraestructura Tcnica y Prcticas Operativas
UPC 2010 02 47
Infraestructura Tcnica y Operaciones de TI
Consideremos la siguiente situacin: Ud. acaba de ingresar a laborar a una prestigiosa firma de Auditora y le han
encargado realizar la revisin de Controles de la Infraestructura Tcnica yOperaciones de TI.
La empresa a auditar es una entidad financiera local, ingresos anuales aprox.de US$ 100 millones, operaciones a nivel nacional y con una infraestructura detecnologa variada y compleja, la cual Ud. an no conoce.
Qu controles seran los ms relevantes que Ud. debera consideraren su revisin?
Qu evidencias debera solicitar para sustentar los controlesimplementados?
Qu tcnicas utilizara para recabar la informacin que requiere parasu revisin?
UPC 2010 02 48
Infraestructura Tcnica y Operaciones de TI
El trmino Operaciones de TI se refiere a los aspectos logsticos yde infraestructura del hardware y software. La ejecucin apropiada deestas funciones permite asegurar al usuario de TI que sus sistemas deinformacin estn disponibles en los horarios acordados, que operende acuerdo a lo esperado y que los resultados de su procesamientocomo reportes, transferencias de informacin, actualizacin de datos,etc. se ejecuten puntualmente.
En una organizacin de TI que funcione adecuadamente, el auditordebe encontrar que las Operaciones de TI sean transparentes a losusuarios, pues su correcto funcionamiento est debidamentesoportado en el desempeo de los roles ya establecidos.
En resumen, el usuario se libera de las preocupaciones tcnicas de lossistemas que utiliza y puede concentrarse en su debida utilizacin paralos fines del negocio.
-
13
UPC 2010 02 49
Infraestructura Tcnica de TI
Procesamiento Almacenamiento Comunicaciones
Minicomputadoras / Mainframes
Servidores Intel: de torre, de rack, blades
SANNASUnidades externas de discoAlmacenamiento interno
LAN: switches de core y de piso.
WAN: routersCentrales telefnicasServicios: carriers para
enlaces WAN e Internet, telefona fija y celular
Seguridad Computo Personal Software de BaseFirewallsIDSsVPNsTokensUnidades de respaldo de
datosAntivirusSW de backupFiltros de contenidoAntispam
PCs Notebooks PDAs Impresoras personales y
departamentales
Sistemas Operativos: Windows 2003 Server, AIX, Linux, etc.
Base de datos: Oracle, DB2, SQL Server, Sybase, etc.
Correo electrnico: Exchange, Notes.
Servidores de aplicaciones.Servidores Web
UPC 2010 02 50
Funcionamiento incorrecto de aplicaciones: operacin errada, malingreso de parmetros, versiones incorrectas, etc.
Prdida o dao de datos debido a incorrecto o no autorizado uso desoftware de sistemas.
Retraso o interrupciones en el procesamiento de informacin. Elevados tiempos de no disponibilidad de sistemas, por fallas o
retrasos en la solucin de problemas. Prdida de informacin por mala ejecucin de backups. Deficiente capacidad de procesamiento en la infraestructura, malos
tiempos de respuesta, por inadecuado planeamiento de capacidad. Problemas con usuarios finales por deficiente labor de help desk, se
afecta su productividad al no resolver oportunamente sus problemas.
Riesgos de un deficiente control de las Operaciones de TI
UPC 2010 02 51
Funciones includas en las Operaciones de TI:
Administracin de procesos y tareas Encendido, apagado y monitoreo de funcionamiento de equipos Seguridad fsica de instalaciones Help Desk y Administracin de Problemas Mantenimiento de HW y SW Administracin de medios de almacenamiento Respaldo de informacin y recuperacin de desastres. Administracin de capacidad Monitoreo del rendimiento Administracin y monitoreo de redes y comunicaciones. Control de Cambios
Infraestructura Tcnica y Operaciones de TI
UPC 2010 02 52
En una organizacin de sistemas mediana o grande, deberan existirlas siguientes funciones, realizadas por distinto personal: Desarrollo y mantenimiento de aplicaciones: anlisis, diseo y
construccin de sistemas de informacin Soporte de Sistemas: administracin y soporte tcnico del hardware
y software de base. Administracin de problemas. Operaciones rutinarias de TI: encendido y apagado de equipos,
ejecucin de tareas programadas, backups, supervisin del centrode cmputo.
Seguridad de Sistemas: administrar controles de seguridad,incluyendo equipamiento y software, gestin de permisos de accesoa aplicativos.
Administracin de Base de Datos: soporte y administracin de laBase de datos de la empresa
Control de Cambios: administracin y ejecucin de las polticas yprocedimientos de control de cambios, tanto de aplicaciones comode HW y SW base.
Organizacin para las Operaciones de TI
-
14
UPC 2010 02 53
Operaciones TI: Administracin de Procesos y Tareas programadas
Como parte de las Operaciones de TI se realizan una serie de actividadesrutinarias pero indispensables para su adecuado funcionamiento:
Ejecucin programada de tareas o procesos requeridos por usuarios:generacin de reportes, actualizacin de datos, envo de informacin aterceros, etc.
Encendido y apagado de equipos: segn se requiera por el personalautorizado
Ejecucin y verificacin de procesos de respaldo o recuperacin deinformacin.
Supervisin de instalaciones y seguridad del centro de cmputo
Dependiendo de la magnitud de las operaciones de TI en la empresa, estasactividades puede ser realizadas por personal a dedicacin exclusiva ocomo parte de otras actividades.
UPC 2010 02 54
Operaciones TI: Administracin de Procesos y Tareas programadas
El auditor de TI debe verificar, entre otros, lo siguiente:
Que los procedimientos de Operacin estn documentados,actualizados y debidamente probados por los ejecutantes: manuales einstrucciones.
Que exista una programacin autorizada y documentada de lostrabajos a realizar.
Que se documenten los resultados de procesos realizados, incluyendoel VoBo del Operador y Supervisor respectivo.
Que exista una bitcora de Operacin: incidencias, problemas,reportes, etc., a fin de poder reconstruir cualquier evento.
Que se realicen procedimientos de verificacin de la continuidad delprocesamiento y controles de cambo de turnos de operacin.
Que existan procedimientos documentados para el manejo de errores. Que los niveles de acceso a los sistemas sean los apropiados para las
funciones del Operador.
UPC 2010 02 55
Operaciones TI: Mantenimiento de Hardware y Software
Tanto el equipamiento de hardware como el software de base utilizadorequieren de procedimientos de mantenimiento preventivo y correctivopara asegurar su adecuado mantenimiento:
Hardware: revisin y limpieza de componentes, actualizacin defirmware, correccin de fallas de HW y reemplazo de componentesdefectuosos.
Software: aplicacin de parches, actualizacin de versiones,determinacin y correccin de fallas.
Normalmente, las empresas toman contratos con proveedores paramanejar estas necesidades:
Contrato de mantenimiento de HW: con o sin cobertura de repuestos,con tiempos de respuesta comprometidos o a solicitud, preventivosy/o correctivos.
Contratos de mantenimiento de SW: actualizacin de versiones,soporte ante problemas, etc.
UPC 2010 02 56
El auditor de TI debe verificar:
Existencia de contratos de mantenimiento para equipos y servicioscrticos.
Contratos deben especificar niveles de servicio comprometidos ypenalidades ante incumplimientos del proveedor.
Existencia de cronograma de mantenimiento preventivo de equipos ynivel de cumplimiento del mismo.
Procedimientos de correccin de versiones de SW de sistemas,aplicacin de parches, actualizacin de versiones
Operaciones TI: Mantenimiento de Hardware y Software
-
15
UPC 2010 02 57
Operaciones TI: Respaldo de Informacin y Recuperacin ante Desastres
Copias de seguridad de datos y software disponible deben ejecutarseregularmente por el personal de Operacin de Sistemas. Aspectos aconsiderar:
Clasificacin por criticidad: de datos y de software base de sistemas. Periodos de retencin (antiguedad) de copias. Frecuencia de generacin de las copias. Medios de almacenamiento a utilizar. Lugar donde se conservarn las copias generadas. Procedimientos de verificacin y recuperacin de la informacin. Procedimientos de recuperacin de desastes. (a revisar en captulo
posterior del curso)
UPC 2010 02 58
El auditor de TI debe verificar:
La existencia y nivel de actualizacin de polticas de respaldo deinformacin.
Que se ejecuten pruebas y verificaciones de procedimientos derespaldo y recuperacin de copias de seguridad.
Adecuado lugar de almacenamiento de las copias de seguridad: fueradel datacenter, en ambientes seguros y con instalaciones apropiadas.
Ejecucin de procedimientos de control y descarte de los mediosmagnticos.
Ejecucin de procedimientos de acceso y disposicin de las copias derespaldo.
Operaciones TI: Respaldo de Informacin y Recuperacin ante Desastres
UPC 2010 02 59
Operaciones TI: Help Desk y Administracin de Problemas
El servicio del Help Desk/Service Desk es el vnculo ms directo entre losusuarios con problemas de IT y el rea de Sistemas. Es la funcin msvisible del rea de TI y es estratgicamente importante como imagende servicio al cliente.
El auditor de TI debe verificar: Existencia y operacin de una mesa de servicio o unidad equivalente,
que haga las veces de punto nico de contacto con el usuario de TIpara el registro y seguimiento de incidentes o solicitudes de servicio.
Niveles de servicio acordados con el usuario para la priorizacin yatencin de eventos y mediciones de calidad del servicio.
Procedimientos de escalamiento de incidentes para aquellos que no sepuedan resolver de manera inmediata. El control siempre debemantenerlo el Service Desk.
Procedimientos de cierre de incidentes y verificacin de conformidad. Anlisis de tendencias para realizar soporte preventivo y mejorar
procesos.
UPC 2010 02 60
Operaciones TI: Help Desk y Administracin de Problemas
Un efectivo proceso de administracin de problemas mejora los niveles deservicio, reduce costos y mejora la satisfaccin del usuario
El auditor de TI debe verificar: Procedimiento de identificacin y clasificacin de problemas Procedimiento de seguimiento y solucin de problemas Procedimientos de cierre de problemas. Estadsticas de cumplimiento de niveles de servicio
-
16
UPC 2010 02 61
Operaciones TI: Control de Cambios
Los cambios se hacen con el fin de: mejorar funcionalidad desistemas, incrementar eficiencia de operaciones de TI, incremento decapacidad, solucin de problemas, mejorar seguridad, actualizacin deversiones, cambios en requerimientos del usuario.
Todos los cambios, tanto de hardware, software de sistemas oaplicativos, procesos y procedimientos, deben administrarse formal ycontroladamente.
Un adecuado proceso de control de cambios reduce el riesgo deimpactos negativos sobre la estabilidad o integridad de los ambientesde produccin.
UPC 2010 02 62
Operaciones TI: Control de Cambios
El proceso de Control de Cambios debe contemplar: Procedimientos formales para manejar todas las solicitudes de
cambios a aplicaciones, procedimientos, procesos, parmetros deservicio y plataforma de hardware y software de sistemas.
Evaluacin de impacto, priorizacin y autorizacin por el respectivoresponsable.
Procedimiento para cambios de emergencia. Seguimiento y reporte de estado del cambio. Cierre y documentacin del cambio
UPC 2010 02 63
El auditor de TI debe verificar:
Existencia y actualizacin de procedimientos de control de cambios. Cumplimiento de procedimientos de control de cambios, verificando la
documentacin existente de los cambios. (aplicativo) Evidencia de procedimientos de validacin del cambio en ambientes de
prueba, previos a la ejecucin del cambio. Evidencia de la evaluacin del impacto del cambio por los respectivos
responsables. Evidencia de las autorizaciones correspondientes de los responsables o
propietarios de los activos de TI a ser modificados. (usuarios o de TI) Conservacin adecuada de los registros de los cambios. Elaboracin de planes de reversin (para aplicar en caso de problemas
con el cambio). Procedimientos para cambios de emergencia.
Operaciones TI: Control de Cambios
UPC 2010 02 64
Operaciones TI: Administracin del Rendimiento y Capacidad
Debe revisarse regularmente el desempeo actual y la capacidad de losrecursos de TI. Esto incluye el pronstico de las necesidades futuras,basadas en los requerimientos de carga de trabajo, almacenamiento ycontingencias.
Asegura que los recursos de TI que soportan los requerimientos delnegocio estn disponibles de manera oportuna y continua.
Debe contemplarse: Planeacin del desempeo y capacidad: actividades de revisin a fin
de asegurar la disponibilidad, con costos justificables, a fin de cumplirlos niveles de servicio acordados. Uso de tcnicas de modelado.
Medicin regular de capacidad y desempeo actual. Pronostico de capacidad y desempeo futuros: a intervalos regulares,
a fin de minimizar interrupciones del servicio por falta de capacidad odegradacin del desempeo.
-
17
UPC 2010 02 65
Operaciones TI: Administracin del Rendimiento y Capacidad
Gestin de la disponibilidad de recursos de TI: brindar capacidad ydesempeo requeridos tomando en cuenta cargas de trabajo normalesy picos. Asignacin de recursos, priorizacin de tareas, etc.
Monitoreo y Reporte regular a fin de recolectar datos que permitan:mantener y poner a punto el desempeo de los recursos de TI yreportar a la organizacin el cumplimiento de los SLAs acordados,incluyendo recomendaciones para las corregir las excepcionesdetectadas.
UPC 2010 02 66
El auditor de TI debe verificar: Existencia y cumplimiento de procedimientos de medicin de la
capacidad y rendimiento: Reportes de medicin de utilizacin de CPU en servidores crticos Mediciones de tiempos de respuesta en sistemas crticos Estadsticas de consumo de espacio en disco Reportes de cantidad de transacciones ejecutadas Reportes de cantidad de conexiones activas a los servidores crticos.
Existencia y cumplimiento de procedimientos de pronstico,planeamiento y aprovisionamiento de capacidad de recursos de TI: Modelos de estimacin de cargas de trabajo Plan de repotenciacin de equipos Presupuesto de inversiones
Encuestas de satisfaccin de usuarios Informes peridicos de cumplimiento de niveles de servicio:
disponibilidad, tiempos de respuesta, etc.
Operaciones TI: Administracin del Rendimiento y Capacidad
UPC 2010 02 67
Operaciones TI: Acuerdos de Niveles de Servicio
Los acuerdos de niveles de servicio (SLAs por sus siglas en ingls)permiten a la organizacin de TI formalizar con sus usuarios lostrminos de calidad y cantidad de los servicios que se prestarn.
Un SLA tpico debe contener: Descripcin de los servicios a brindar. Horario de servicio, incluyendo fechas especiales o feriados. Disponibilidad de servicios (porcentaje mximo de no disponibilidad,
mximo de interrupciones y mximo de duracin de los eventos) Tiempos de respuesta. Niveles de servicio de Help Desk Procedimientos de contingencia. Consideraciones de seguridad.
UPC 2010 02 68
El auditor de TI debe verificar
Existencia y actualizacin de los SLAs. Reportes de cumplimiento de los mismos. Que los SLAs establecidos soporten adecuadamente los
requerimientos del negocio.
Operaciones TI: Acuerdos de Niveles de Servicio
-
18
UPC 2010 02 69
Operaciones TI: Administracin y monitoreo de redes y comunicaciones
Prcticamente la totalidad de las organizaciones dependen para laoperacin de sus servicios de TI de las redes de comunicaciones.Tanto las redes LAN, WAN y el acceso a Internet se han convertido enel sistema nervioso de la plataforma de TI de una empresa.
El acceso a las redes de comunicaciones implica una serie de riesgosque las organizaciones deben manejar con los controles adecuados: Prdida de privacidad de informacin y/o uso no autorizado de
sistemas. Sistemas e informacin confidencial son accesibles atravs de las redes.
Dao o prdida de datos, por accesos no autorizados a travs de lared. Con los accesos a Internet, el acceso podra ser prcticamentedesde cualquier parte del mundo.
Prdida de continuidad de los servicios de TI, pues los enlaces delas redes son susceptibles de interrupciones no programadas, seapor fallas involuntarios o por accin deliberada de un saboteador.
Infecciones de virus, ataques de hackers, bloqueo de servicios, etc.UPC 2010 02 70
Operaciones TI: Administracin y monitoreo de redes y comunicaciones
Controles que deben establecerse: Toda informacin sensitiva en la red debe protegerse a travs del uso
de tcnicas apropiadas. Dispositivos crticos de red como routers, switches, etc. deben
protegerse adecuadamente contra daos fsicos. El acceso fsico aestos dispositivos debe estar restringido.
La configuracin fsica y lgica de la red debe documentarse ymantenerse actualizada.
Debe evaluarse el impacto y riesgos de los cambios en la red antes derealizarse.
Debe monitorearse la operacin de las redes para detectar eventualesincidentes de seguridad. Debe existir procedimientos de respuestaantes estos.
Herramientas de diagnstico de redes como analizadores de protocolodeben utilizarse segn se requiera.
Debe utilizarse un firewall para aislar la red de cualquier otra redexterna y para limitar una conexin a los fines autorizados.
UPC 2010 02 71
Operaciones TI: Administracin y monitoreo de redes y comunicaciones
Controles que deben establecerse: La red interna de una organizacin debe estar fsica y lgicamente
aisladas de internet y de otras conexiones por un firewall. Los firewalls deben ser peridicamente probados para detectar y
corregir vulnerabilidades. Los servidores accesibles desde Internet deben ser aislados de los
servidores de datos. (DMZ) Deben existir polticas y procedimientos para establecer conectividad
con redes externas a la empresa. Deben establecerse adecuados controles lgicos: cuentas de usuario,
niveles de acceso en los sistemas operativos de la red. Deben establecerse el registro automtico de eventos de seguridad en
los sistemas operativos de la red y su revisin regular a fin de tomaraccin correctiva.
Debe monitorearse de manera especfica el trabajo de consultores yproveedores externos. El uso que hagan estos de herramientasespeciales debe ser autorizado especficamente.
UPC 2010 02 72
El auditor debe verificar: Existencia y cumplimiento de los procedimientos de control
mencionados anteriormente. Debe obtener evidencia de dichocumplimiento.
El auditor ejecuta una serie de herramienta de evaluacin y prueba delos controles enunciados: configuracin de los sistemas operativos,controles de acceso configurados, vulnerabilidades de seguridad en laconfiguracin de los equipos, etc.
Operaciones TI: Administracin y monitoreo de redes y comunicaciones
-
19
UPC 2010 02 73
Ejemplos de Evidencias para auditora
Perfomance y rendimiento: cuadros de control. Planeamiento de capacidad: estadsticas de transacciones,
presupuesto y plan de compras Niveles de Servicio: definicin y reportes de cumplimiento Disponibilidad: cuadros de control Mantenimiento de HW y SW: contratos con proveedores, cronograma
de mantenimiento. Servidores y LAN: diagramas de diseo de la red, configuracin de
servidores principales, configuracin de equipos de comunicaciones,log de eventos, etc.
Respaldo de informacin: polticas documentadas de backups yreporte de control de ejecucin.
Control de cambios: registros del sistema de control de cambios,aprobaciones, etc.
Operaciones rutinarias: reportes de ejecucin de tareas. Ejemplos de evidencias:
C:\Documents and Settings\Ronald\Mis doc
UPC 2010 02 74
Recoleccin de evidencias
Entrevistas Se utilizan para adquirir conocimiento de la organizacin, sus
aplicaciones, estructura organizativa, niveles de riesgo de sus sistemasy nivel de confiabilidad de los controles existentes.
Su puede recopilar informacin cualitativa y cuantitativa La calidad de las respuestas depende de la seleccin adecuada del
entrevistado y de la percepcin que el entrevistado tenga sobre losobjetivos de la misma. En la medida que estos coincidan con los suyospropios, el resultado ser mejor.
Debe manejarse el nivel de stress y duracin de las entrevistas. La entrevista requiere ser preparada con anterioridad, conducida y
registrada adecuadamente y luego procesada la informacin a labrevedad posible.
Hoja de clculo de Microsoft Excel
UPC 2010 02 75
Recoleccin de evidencias
Cuestionarios Se utilizan para recabar informacin de hechos concretos. Por ejemplo,
si un control existe en determinado sistema. Deben disearse cuidadosamente: preguntas, escala de respuestas,
estructura y verificar su validez y confiabilidad. Las preguntas deben ser concretas y motivar respuestas objetivas. Los resultados deben interpretarse cuidadosamente para llegar a
conclusiones objetivas. Pueden utilizarse como apoyo para una entrevista. Tambin para
recolectar informacin de ubicaciones fsicamente dispersas.
Hoja de clculo de Microsoft Excel
UPC 2010 02 76
SI-38 Seguridad y Auditora de SistemasCap. 2: Controles de Administracin, planeamiento y organizacin de Sistemas
-
20
UPC 2010 02 77
Consideremos la siguiente situacin: Ud. acaba de ingresar a laborar a una prestigiosa firma de Auditora y le han
encargado realizar la revisin de Controles de la Gerencia de TI
La empresa a auditar es una entidad financiera local, ingresos anuales aprox.de US$ 100 millones, operaciones a nivel nacional y con una infraestructura detecnologa variada y compleja, la cual Ud. an no conoce.
Qu controles seran los ms relevantes que Ud. debera consideraren su revisin?
Qu evidencias debera solicitar para sustentar los controlesimplementados?
Qu tcnicas utilizara para recabar la informacin que requiere parasu revisin?
La Auditora de Sistemas de Informacin
UPC 2010 02 78
Controles del Planeamiento, Organizacin y Administracin de TI
Controles a aplicar sobre la funcin de la Gerencia de TI
La complejidad de la funcin de la Gerencia de TI es alta y laorganizacin requiere asegurarse que est siendo ejecutada de unamanera correcta: Evolucin acelerada de la tecnologa que soporta los sistemas de
informacin (HW y SW),y se requiere determinar las implicancias deestos cambios en los sistemas de la empresa
Las relaciones de Sistemas con las reas de negocio pueden serdifciles de gestionar y dada la criticidad de los sistemas para elnegocio, este soporte puede deteriorarse si las reas de negocioconsideran que Sistemas no les presta el apoyo adecuado.
El negocio requiere innovacin y sistemas es siempre visto comouna fuente de esta, a fin de proporcionar una ventaja competitiva.
El auditor debe estar en condiciones de evaluar cuan bien la Gerenciade sistemas est ejecutando su rol en la empresa.
UPC 2010 02 79
Una manera de que el auditor pueda evaluar el desempeo de laGerencia de TI es considerando las funciones principales que dichagerencia debe realizar: Planear: determinar los objetivos de la funcin de TI y los medios
para alcanzar dichos objetivos. Organizar: obtener, asignar y coordinar los recursos necesarios para
lograr los objetivos. Liderar: motivar, dirigir y comunicarse con el personal. Controlar: comparar el desempeo actual con el planeado, a fin de
determinar acciones correctiva a tomar.
Controles del Planeamiento, Organizacin y Administracin de TI
UPC 2010 02 80
El auditor debe evaluar si la Gerencia de TI ha elaborado un planadecuado para las necesidades de la empresa. Si esto no ocurre, segeneran riesgos de diverso tipo:
Inadecuada funcin de la gerencia puede ocasionar un alejamiento delos servicios de TI de los objetivos del negocio.
La gerencia es responsable de la proteccin de los activos de TI, de noestablecer adecuados controles, dichos activos pueden ponerse enriesgo.
Estructuras organizativas deficientes pueden provocar una malaprovisin de los servicios de TI.
Ausencia de planeamiento puede exponer a la organizacin alimitaciones producto de esta deficiencia. Por ejemplo: lentitud en lossistemas por falta de capacidad en el la plataforma de hardware.
Personal de staff deficiente, sea por mal reclutamiento o supervisinpuede originar mayor riesgo de errores en el manejo de los sistemas.
Incremento de costos.
Riesgos de un deficiente control
-
21
UPC 2010 02 81
Evaluar la funcin de Planeamiento
La Gerencia de sistemas es responsable de elaborar un plan generalpara la funcin de sistemas. Este plan debe cubrir tanto el largo comoel corto plazo para la direccin de los sistemas de informacin de laempresa. Su elaboracin debe contemplar: Reconocer oportunidades y problemas que confronta la
organizacin, para los cuales las tecnologas y los sistemas deinformacin pueden aplicarse de manera eficiente.
Identificar los recursos necesarios para proveer los requerimientosde tecnologa y los sistemas de informacin.
Formular estrategias y tcticas para adquirir los recursos necesarios
UPC 2010 02 82
Evaluar la funcin de Planeamiento
Deben de prepararse dos tipos de planes para la funcin de Sistemas:
El plan estratgico, cubre el largo plazo (entre 3 y 5 aos) y contiene: Evaluacin de la situacin actual de TI: sistemas y servicios
existentes, tecnologa de HW y SW disponibles, personal,problemtica existente con la tecnologa, FODA.
Direccin estratgica: futuros sistemas a proveer, estrategiasgenerales internas y externas (con otras reas).
Desarrollo de la estrategia: definicin de la visin de TI en laempresa, futuros sistemas, bases de datos, plataforma de HW/SW,recursos de personal a requerirse, recursos financieros necesarios,aproximacin al control de la implementacin de la estrategia.
Evidencia a validar: Plan Estratgico/largo plazo de Sistemas
UPC 2010 02 83
Evaluar la funcin de Planeamiento
El plan operacional o tctico, cubre el corto plazo (entre 1 y 3 aos) ycontiene: Reporte de avance: planes actuales en ejecucin o retrasados,
cambios mayores de HW/SW, otras iniciativas de importancia. Iniciativas a desarrollar: sistemas a construir, HW/SW a
implementar, recursos de personal que sern necesarios, recursosfinancieros, etc.
Plan de implementacin: fechas propuestas para los principalesproyectos, hitos de control, procedimientos de control a aplicar.
Tanto el plan estratgico como el operacional deben de ser revisados yactualizados con regularidad. Su alineamiento con el plan general dela organizacin debe tambin verificarse.
Evidencia a validar: planes de mediano plazo de sistemas
UPC 2010 02 84
Consideraciones para el Planeamiento de TI
El Plan de TI debe estar alineado con las estrategias del negocio. (nocon los deseos del staff tcnico)
TI es visto como un generador importante de gastos. Mayoresinversiones/gastos en TI deben hacerse slo cuando puedademostrarse un slido caso de negocios.
El plan de TI debe difundirse al personal de Sistemas. El Plan de TI debe ser aprobado por la Gerencia General El esfuerzo desplegado en la funcin del planeamiento de TI,
depender del tipo de organizacin, el tamao y de la situacin de lamisma: empresas en un ambiente voltil y operaciones altamentedependientes de TI requerirn alta concentracin en el planeamientopara mantener su posicin competitiva en el mercado.
Segn sea el caso, el Auditor debe prestar el debido nivel deimportancia a la revisin de la funcin de planeamiento.
-
22
UPC 2010 02 85
La funcin de Organizacin se encarga de conseguir, asignar yestructurar los recursos para alcanzar los objetivos de la organizacin.Si esto no se hace adecuadamente, la organizacin de TI no serefectiva ni eficiente. Los activos de TI tambin podran verse expuestos.
Obtencin de recursos Hardware, software, personal, dinero, instalaciones. Los recursos
para compra e implementacin deben ser obtenidos oportunamente. Los recursos deben aplicarse de acuerdo a un plan que asegure su
disponibilidad oportuna. Definicin de necesidades, justificacin de las inversiones/gastos,
aprovisionamientos, establecer contratos, instalaciones, etc. Debenhacerse de manera oportuna.
Si lo anterior no se hace correctamente, el auditor lo percibir devarias formas: proyectos atrasados o cancelados por falta derecursos humanos o de instalaciones, baja moral del personal,problemas operativos en el da a da.
Evidencia a evaluar: presupuestos, control de gastos, evaluacinde compras, etc.
Evaluar la funcin de Organizacin
UPC 2010 02 86
Gestin del personal de TI
Importante por: a) efectividad de las funciones de TI dependenprincipalmente de la calidad del personal, b) es complicado obtenerbuen personal de TI y su rotacin es alta, c) uno de los mayoresriesgos de seguridad de TI es el personal interno.
Reclutamiento: debe evaluarse cuidadosamente la capacidad,potencial e integridad de los postulantes, utilizando diversasherramientas: entrevistas, pruebas tcnicas, de salud y psicolgicas,revisin de antecedentes, etc. Los requerimientos a cumplir debenestar formalizados en las descripciones de puestos.
Evidencia a evaluar: procedimiento de reclutamiento de personal
Evaluar la funcin de Organizacin
UPC 2010 02 87
Gestin del personal de TI
Desarrollo del personal: establecimiento de la lnea de carrera yentrenamiento. Debe evaluarse peridicamente al personal paradeterminar la idoneidad del mismo para ser promocionado, darleoportunidades de desarrollo personal e identificardebilidades/fortalezas. El entrenamiento es crtico para la efectividadde las operaciones de TI, debe existir un plan de capacitacin. Laausencia de estas actividades desmotiva y origina rotacin delpersonal.
Evidencia: plan de carrera de personal de Sistemas, plan decapacitacin, etc.
Trmino de funciones: tanto si es voluntario como no, debenrealizarse ciertas acciones de control: desactivacin de accesos,devolucin de identificaciones o equipos, documentacin, etc.
Evidencia: procedimientos de baja y desactivacin de accesos.
Evaluar la funcin de Organizacin
UPC 2010 02 88
Estructura Organizativa Comprende la definicin de las unidades de servicio en las cuales se
organiza la funcin de TI para cumplir sus objetivos y la descripcinformal de roles y responsabilidades de los puestos de trabajo.
La organizacin de TI normalmente se presenta en funcin de lasactividades desarrolladas: desarrollo de sistemas, produccin desistemas, comunicaciones, base de datos, etc.
Sin embargo, esta organizacin puede variar grandementedependiendo de las particularidades de la empresa: tamao,descentralizacin de la funcin de sistemas, etc.
El auditor debe evaluar dos aspectos principales: primero, debenexistir definiciones formales y claras de las responsabilidades de cadapuesto; adicionalmente, el personal debe conocerlas y comprenderlascabalmente. Segundo, la definicin de puestos de trabajo debepreservar en lo posible la separacin de funciones. Ej: unprogramador no puede administrar la base de datos, esto originarainevitablemente modificaciones no autorizadas de programas.
Evidencia: Organigrama, Manual de organizacin y funciones, etc.
Evaluar la funcin de Organizacin
-
23
UPC 2010 02 89
Ubicacin de la funcin de Sistemas La ubicacin de Sistemas dentro de la jerarqua organizacional influye
grandemente en la efectividad de sus funciones. El auditor debe determinar la importancia de la funcin de sistemas
dentro de la organizacin y luego evaluar si su ubicacin en laestructura organizacional asegura suficiente independencia yautoridad.
En una organizacin en la cual TI es parte importante de sus todassus operaciones, Sistemas se independiza de las reas usuarias yreporta directamente a la Gerencia General. Ejemplo: bancos,seguros, retail, etc.
En una organizacin donde TI es nicamente una funcin de soporteoperativo, sistemas reporta a un rea usuaria, normalmente a laGerencia Financiera. Ej: empresas de manufactura, construccin, etc.
Evaluar la funcin de Organizacin
UPC 2010 02 90
Evaluar la funcin de Liderazgo
El propsito del liderazgo es alcanzar la armona entre los objetivos dela organizacin y los de las personas. Esto requiere: Motivar al personal: aplicar el argumento correcto para incentivar a
cada persona. Hacer coincidir estilo de liderazgo con las personas y sus funciones:
dependiendo de la situacin y el tipo de trabajo el tipo de liderazgodebe ser distinto. Tambin influye el estilo de las personas.
Comunicarse efectivamente con las personas: esencial paraentender los objetivos de la organizacin y para crear confianzaentre las personas. El auditor puede verificar si los elementosformales como documentacin, comunicados, polticas, reuniones,etc., se hacen efectivamente. Adicionalmente, temas informalescomo el nivel de satisfaccin del personal, claridad y compromiso delos objetivos deben de ser evaluados en entrevistas personales.
El auditor puede percibir problemas cuando se presenta; alta rotacinde personal, ausentismo, fallas constantes en proyectos, prdida deautoridad del supervisor, etc.
UPC 2010 02 91
Evaluar la funcin de Control
La Gerencia de Sistemas debe cumplir labores de control a un nivel globalde la funcin de sistemas, a fin de asegurar que esta cumpla losobjetivos de la organizacin.
Control general de la funcin de sistemas: es adecuado el nivel degastos en Sistemas? los beneficios que obtiene la organizacin deSistemas corresponden a los niveles de gasto que se tienen?Para la primera pregunta se utilizan las tcnicas del benchmarking conotras organizaciones de la industria.En el segundo caso, pueden realizarse evaluaciones post-implementacin de proyectos importantes. Tambin, se evalan losobjetivos alcanzados en base al plan estratgico y tctico.
Evidencia: control de gastos, informes de evaluacin de resultados,etc.
UPC 2010 02 92
Evaluar la funcin de Control
Control de las actividades de Sistemas: La Gerencia de TI toma controlde las actividades de su personal estableciendo polticas y estndares.Estos deben ser debidamente comunicados, revisados y recordadosregularmente y evaluado su cumplimiento. Las principales polticas oestndares son: Estndares de mtodos: programacin, diseo, documentacin, etc. Estndares de perfomance: tiempos de respuesta, horas de prueba,
etc. Estndares de control de proyectos: mtodo para gestionar los
proyectos. Estndares de cumplimiento de auditoras: actividades para revisin
de cumplimiento. Polticas de seguridad Polticas para contratacin de proveedores. Evidencia: documentacin de los controles indicados.
-
24
UPC 2010 02 93
Evaluar la funcin de Control
Control de la utilizacin de los servicios de TI: La Gerencia de TI debedesarrollar polticas y procedimientos para incentivar el uso eficiente yefectivo de los servicios de TI por las reas usuarias. Se utilizan dostcnicas principales: Revisin de requerimientos por un comit de usuarios y TI: se
revisa conveniencia y prioridad del requerimiento. Costos de transferencia por los servicios prestados: se determinan
costos en funcin al consumo de recursos de las reas usuarias yestos se cargan a ellas como parte de sus gastos operativos.
Evidencia: procedimientos documentados.