Seguridad

1UPC 2010 02 1

SI-38 Seguridad y Auditora de SistemasCap. 1: El Proceso de Auditora de Sistemas de Informacin

UPC 2010 02 2

El contexto internacional: Riesgos y amenazas

En las ltimas dcadas, una serie de grandes escndalos financieros en grandesempresas globales, han evidenciado la fragilidad de los controles operativos yfinancieros en las empresas.

Grandes empresas de auditora internacionales se han visto envueltas por accinu omisin en estos escndalos.

Como consecuencia, se ha reforzado a nivel internacional la exigencia de que lasempresas cumplan una serie de procedimientos y prcticas de control, a fin degarantizar la transparencia y veracidad de sus operaciones y manejo financiero.Ej: Sarbanes-Oxley Act (USA, 2002).

El soporte de tecnologa es clave para las operaciones y manejo financiero de lasempresas, la exigencia regulatoria sobre los controles de TI se ha incrementadograndemente: COSO, COBIT, etc.

En Per la SBS ha establecido normativa para el control del riesgo operativo y deTI en las empresas financieras

UPC 2010 02 3

Atentado contra el World Trade Center, Washington (11/09/01): 8,000servidores Intel, 5,000 servidores UNIX, 34,000 PCs, US$ 32 billonespara recuperar equipos y sistemas, 3500 vctimas y destruccin desedes corporativas de diversas empresas globales.

En 1998 se produjo una interrupcin de servicios de comunicaciones deAT&T por fallas en un switch (software y procedimientos). Por 18 horas,a nivel mundial, usuarios de tarjetas de crdito no pudieron usarlas.

Terremoto de Kobe, Japn (17/01/95): dur 20 seg., intensidad de 6.8Richter. 40,000 victimas, 148 incendios y 6.513 edificios destruidos.

Empresa de Telecomunicaciones: Incendio daa instalaciones delcentro de cmputo, el cual es inundado por la accin de los bomberos.Varios sistemas crticos quedan fuera de servicio por tres das.

Empresa de Cosmticos: Por cercana de su local a la Embajada deJapn, el centro de cmputo queda inutilizable por 23 das. (11/12/96)

El contexto internacional: Riesgos y amenazas

UPC 2010 02 4

El Capital de Informacin

El capital de informacin junto con los dems activos intangibles influyen en el desempeo de la empresa al mejorar los procesos internos ms importantes en la

creacin de valor para clientes y accionistas Kaplan y Norton, Strategic Maps - 2004

Bases de datosBases de datos

Sistemas de InformacinSistemas de Informacin

Infraestructura Tecnolgica


2UPC 2010 02 5

Amenazas de origen tecnolgico

Inoperatividad de tecnologa Virus, worms, spyware Ataques de hackers. Saturacin de servicios Spam

Amenzas de origen social

Divulgacin no autorizada de informacin confidencial Alteracin no autorizada de informacin. Accesos por proveedores Fraudes por empleados Espionaje por competidores Violacin de derechos de propiedad Gestin deficiente de la tecnologa

Principales Amenazas al Capital de Informacin





Amenazas de origen natural

Terremotos Inundaciones Incendios UPC 2010 02 6

Cmo debe enfrentar una empresa estos riesgos?

La necesidad de la Auditora y el control interno en las empresas

Con un proceso slido de Gestin de Riesgos Con un sistema de Control Interno eficiente Con la ejecucin de auditoras eficaces

UPC 2010 02 7

Modelo de Mejoramiento Continuo de la Calidad de Deming (PDCA)

A PA P

C DC D

Alineacindel Negocio TI

Escala de Tiempo

Niv

el d

e M

adur

ez

Mejoras continuaspaso a paso

Mejoras de calidad efectivas

Consolidacin del nivel conseguido

Plan: Plan de ProyectoDo: Proyecto (Hacer)Check: AuditoriaAct: Nuevas Acciones

Calidad:Continuo control de la calidad y consolidacin

Estrategia de mejora continua de la calidad en cuatro pasos

Auditoria de Sistemas / Control Interno

UPC 2010 02 8

Definicin de Auditora

Auditora es la actividad consistente en la emisin de una opininprofesional sobre si el objeto sometido a anlisis presenta adecuadamentela realidad que pretende reflejar y/o cumple las condiciones que le han sidoprescritas.

Contenido Una opinin

Condicin Profesional

Justificacin Sustentada en determinados procedimientos

Objeto Determinada informacin obtenida de ciertas fuentes

Finalidad Determinar si representa adecuadamente la realidad o responde a las expectativas que le son atribudas, es decir, su fiabilidad

3UPC 2010 02 9

Clases de Auditora

El objeto y la finalidad de una auditora definen su tipo, los principales son:

Clase Contenido Objeto Finalidad

Financiera Opinin Cuentas anuales Presentan realidad

Informtica o de Sistemas

Opinin Sistemas de informacin, recursos informticos, planes de contingencia, etc.

Operatividad eficiente y segn normas establecidas

Gestin Opinin Direccin Eficacia, eficiencia.

Cumplimiento Opinin Normas establecidas Las operaciones se adecan a estas normas

El sector Financiero ha sido el principal usuario de los procedimientos deauditora

UPC 2010 02 10

Clases de Auditora

Algunos ejemplos:

Clase Ejemplo

Financiera Auditora de Estados Financieros de las empresas. Exigencia de entidades reguladoras y financieras. Debe verificar que los EE.FF. muestren la realidad de la empresa

Informtica o de Sistemas

Auditora de controles de sistemas, requerida por las Auditoras Financieras y entidades reguladoras

Gestin Auditora de las gestin de una entidad pblica o privada, luego de un cambio de los Directivos.

Cumplimiento Cumplimiento de estndares de gestin de la calidad (ISO 9000), estndares de gestin ambiental (ISO 14000), estndares de gestin de la seguridad de informacin (ISO 27000)

UPC 2010 02 11

Procedimientos de Auditora

La opinin expresada en una auditora se fundamenta en elcumplimiento de procedimientos especficos que deben proporcionaruna seguridad razonable de lo que se afirma

Existen auditoras altamente reglamentadas (las financieras) donde esobligatorio aplicar Normas Tcnicas y procedimientos detallados.

En general, una auditora debe cumplir: El trabajo debe ser planificado y supervisado adecuadamente Se estudiar y evaluar el sistema de control interno Se obtendr evidencia suficiente y adecuada La evidencia debe colectarse en los documentos de trabajo del

auditor. Como justificacin y soporte del trabajo y de la opininemitida.

UPC 2010 02 12

Definicin de Consultora

Consultora es dar asesoramiento o consejo sobre lo que se ha de hacer ocmo llevar adecuadamente una determinada actividad para obtener losfines deseados.

Contenido Dar asesoramiento o consejo

Condicin De carcter especializado

Justificacin En base a un exmen o anlisis

Objeto La actividad o cuestin sometida a consideracin

Finalidad Establecer la manera de llevarla a cabo adecuadamente

4UPC 2010 02 13

Y la auditora de Sistemas?.

La Auditora de Sistemas

UPC 2010 02 14

Necesidad de la Auditora de Sistemas

Hoy da, el procesamiento automatizado de la informacin a travs delas computadoras, es indispensable en las empresas.

El alto desarrollo tecnolgico y la intensa competencia entre lasempresas las hace cada vez ms dependientes de los sistemas.

La informacin y, en general, todos los activos tecnolgicos son losrecursos o activos ms importantes de una empresa.

La informacin procesada es utilizada para tomar decisiones operativas,tcticas y estratgicas.

La informacin debe ser preservada de cualquier mal uso que afecte suintegridad, privacidad o disponibilidad.

Las fallas o el mal uso de los sistemas puede afectar grandemente a lasociedad (empresas y personas): mala asignacin de recursos, fraudes,prdida de privacidad, etc.

UPC 2010 02 15

ORGANIZACIONES

Auditora y control de sistemas de Informacin

Costos por prdida de

datos

Costos por mala toma de

decisiones

Costos por mal uso de tecnologa

Valor de hardware, software y personal

Costos por mal procesamiento de informacin

Privacidad de la

informacin


Factores que influencian hacia el control y auditora del uso de las computadoras

UPC 2010 02 16

Prdida de datos Dao o prdida de informacin: archivos de cuentas por cobrar, cuentas por pagar, etc.

Mala toma de decisiones

La informacin se utiliza para la toma de decisiones. Dependiendo de si las decisiones son estratgicas, tctica u operativas, el impacto de la calidad de los datos y la informacin provista por los sistemas puede ser de mayor o menor impacto.

Uso indebido de la tecnologa

Virus, hacking, acceso fsico ilegal, abuso de privilegios de acceso a sistemas, etc. pueden originar prdidas importantes a las organizaciones: destruccin o robo de activos o informacin, alteracin indebida de datos, prdida de confidencialidad o privacidad, interrupcin de operaciones, uso indebido de activos, dao fsico del personal, etc.

Proteccin de la inversin en tecnologa y personal

Los montos invertidos en hardware y software son importantes. Su dao o robo puede originar una prdida econmica importante, interrupcin de operaciones, prdida de confidencialidad, prdida de ingresos, etc.

Errores en procesamiento de la informacin

El mal funcionamiento de los sistemas puede originar fallas en los procesos productivos, merma de la calidad, accidentes, incremento de costos o prdida de ingresos, etc.

Confidencialidad y privacidad

La liberacin de informacin confidencial puede originar importantes prdidas econmicas y ventaja frente a la competencia, tambin puede originar prdidas por denuncias de clientes afectados.


5UPC 2010 02 17

Definicin de Auditora de Sistemas o Auditora Informtica

Es el proceso de recolectar, agrupar y evaluar evidencias para determinarsi un sistema informtico salvaguarda los activos de cmputo, mantienela integridad de los datos, utiliza eficientemente los recursos de laorganizacin y contribuye eficazmente a los objetivos de la organizacin.

La auditora de sistemas cumple dos clases de objetivos principales: Objetivos de proteccin de activos e integridad de datos Objetivos de gestin: eficacia y eficiencia en el cumplimiento de

metas empresariales

ORGANIZACIONES

Auditora de sistemas de Informacin

Proteccin de activos

Asegurar integridad de datos

Mejorar efectividad de sistemas

Mejorar eficiencia de sistemas

UPC 2010 02 18

Proteccin de activos

Hardware, software, instalaciones, personas (conocimiento), archivos de datos, documentacin de sistemas, formularios oficiales, suministros,Riesgos: daos fsico, robo, uso indebido, etc.

Integridad de datos

Mantener atributos de los datos: deben ser completos, veraces, confiables. Riesgos: incertidumbre sobre las operaciones de la empresa, prdida de competitividad

Efectividad de sistemas

Los sistemas deben cumplir/atender los objetivos/necesidades para los que fueron implementados.Riesgos: sistemas incompletos, no funcionales, complicados, costosos.

Eficiencia de Sistemas

Un sistema eficiente utiliza la menor cantidad posible de recursos para alcanzar sus objetivos: capacidad de procesamiento, software de base, dispositivos de entrada/salida, operacin del sistema, etc.

Objetivos de la Auditora de Sistemas

UPC 2010 02 19

Definicin de Auditora de Sistemas o Auditora Informtica

El auditor informtico evala y comprueba en determinados momentosdel tiempo los controles y procedimientos informticos existentes,desarrollando y aplicando tcnicas de auditora, incluyendo de sernecesario el uso de software especializado.

El auditor informtico es responsable de revisar e informar a la Direccinde la organizacin sobre el diseo y funcionamiento de los controlesimplantados y sobre la fiabilidad de la informacin suministrada.

El Informe de Auditora es el documento formal donde se comunican losresultados de una auditora informtica.

UPC 2010 02 20

ISACA

Information System Audit and Control Asociation (ISACA) es unaasociacin internacional de profesionales relacionados a las tareas deauditora de TI.

Se fund en 1967, cuando un conjunto de profesionales reconoci quedebido a la criticidad de la funcin de auditora de sistemas en lasorganizaciones requera una fuente centralizada de informacin, guas detrabajo y estndares. Tiene ms de 50,000 miembros en 140 pases.

ISACA provee una serie de estndares, guas y procedimientos quedeben seguirse para realizar auditoras de sistemas.

ISACA provee dos certificaciones internacionales a los profesionales quecumplen los requisitos que establece:

CISA: Certified Information Systems Auditor CISM: Certified Information Security Manager

6UPC 2010 02 21

SI-38 Seguridad y Auditora de SistemasCap. 1: El Proceso de Auditora de Sistemas de Informacin

UPC 2010 02 22

Amenazas de origen tecnolgico

Inoperatividad de tecnologa Virus, worms, spyware Ataques de hackers. Saturacin de servicios Spam

Amenazas de origen natural

Terremotos Inundaciones Incendios

Amenzas de origen social

Divulgacin no autorizada de informacin confidencial Alteracin no autorizada de informacin. Accesos por proveedores Fraudes por empleados Espionaje por competidores Violacin de derechos de propiedad Sabotaje / Terrorismo

Riesgos de Tecnologa





Vulnerabilidad: exposicin a una situacin adversa que podra ser explotada intencional o accidentalmente y afectar negativamente el cumplimiento de los objetivos de la organizacin.

Riesgo es el impacto neto proveniente de una vulnerabilidad, considerando tanto su probabilidad de ocurrencia como el impacto que ocasionara en caso de materializarse.

Riesgo = Probabilidad x Impacto

UPC 2010 02 23

ORGANIZACIONES

Auditora y control de sistemas de Informacin

Costos por prdida de

datos

Costos por mala toma de

decisiones

Costos por mal uso de tecnologa

Valor de hardware, software y personal

Costos por mal procesamiento de informacin

Privacidad de la

informacin

Riesgos y Controles de Tecnologa

Los Riesgos se manejan estableciendo Controles.

Control es un sistema (polticas, procedimientos, prcticas y estructuras organizacionales) diseados para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos.

UPC 2010 02 24

Tipos de Controles

Preventivos, diseados para prevenir que ocurra un error, omisin oprctica maliciosa. Ej: el uso de contraseas para acceder a un sistema.

Detectivos, en caso que los controles preventivos fallen, debenidentificar lo antes posible la ocurrencia de un hecho indebido. Ej:registro de intentos de acceso fallidos para un sistema.

Correctivos, ocurrida una incidencia deben reducir el impacto de lamisma y facilitar la vuelta a la normalidad. Ej: recuperar datos desde unacopia de seguridad (backup), un plan de contingencia, etc.

7UPC 2010 02 25

El Sistema de Control Interno

Las organizaciones deben tener un Sistema de Control Interno queasegure que sus controles sean los adecuados y funcionencorrectamente. Los componentes son:

Control environment

Risk assessment

Information & communication

Control activities

Monitoring

Fijan parmetros generales para los controles: polticas empresariales de alto nivel, valores ticos, cultura y estructura de Recursos Humanos.

Cubre la evaluacin de amenazas, vulnerabilidades e impacto de las mismas, para fijar eficientemente dnde deberan establecerse los controles

Incluye los controles que permitirn al staff de TI recibir y controlar el flujo de informacin de negocio.

Son los controles que permitirn asegurar que las operaciones del negocio estn funcionando de acuerdo a los objetivos de la organizacin.

Seguimiento contnuo para asegurar que las polticas y procedimientos funcionan apropiadamente

UPC 2010 02 26

El Sistema de Control Interno

Un sistema de control interno debe considerar las siguientes categoras:

Segregacin de actividades: una transaccin debe pasar por variasetapas a cargo de personas distintas.

Responsabilidad y delegacin de autoridad Personal: competente y confiable. Procedimientos de Autorizacin: que aseguren los debidos niveles de

aprobacin y su registro adecuado. Registro de actividades: proteccin y almacenamiento de documentos,

pistas de auditora, etc. Control fsico sobre activos y registros: mecanismos apropiados para

evitar accesos no autorizados. Adecuada supervisin: seguimiento cercano del supervisor para disuadir

o detectar actos indebidos. Revisiones independientes de resultados.

UPC 2010 02 27

Controles de IT: Generales y de Aplicacin

Un sistema de control interno debe considerar las siguientes categoras:

Controles Generales de IT:Se ejecutan para asegurar que el desarrollo, implementacin, operacin ymantenimiento de los sistemas de informacin se hace de una maneraplaneada y controlada. En otras palabras, los controles generales de ITpermiten que se provea una infraestructura estable en la cual los sistemasde informacin puedan construirse, operarse y modificarse de acuerdo a lasnecesidades diarias y de acuerdo a los procedimientos establecidos.

Controles de aplicacin:Se requieren para asegurar un procesamiento confiable de la informacin yse aplican sobre transacciones individuales. Estos controles aseguran quelas transacciones sean vlidas, autorizadas y se registren apropiadamente.

UPC 2010 02 28

Controles Generales de IT

Incluyen los siguientes:

Organizacin y administracin, incluyendo plticas y estndares. Segregacin de actividades. Controles fsicos: accesos y ambientales. Control de accesos lgicos: cuentas de usuario y contraseas Desarrollo de sistemas y cambios a programas. Controles sobre personal de sistemas, incluyendo programadores,

analistas y Operaciones y Soporte de TI. (tambin proveedoresexternos).

Controles sobre disponibilidad y continuidad de sistemas. Por ejemploel plan de continuidad de negocios.

Controles sobre uso de computadoras por usuarios finales.

8UPC 2010 02 29

Controles de Aplicacin

Dado que se aplican sobre transacciones individuales, incluyen:

Controles sobre las entradas de transacciones Controles sobre el procesamiento de transacciones. Controles sobre la salida de transacciones Controles sobre datos y archivos maestros.

UPC 2010 02 30

Controles de IT: Onion Model

The IT controls framework

APPLICATION CONTROLS

Audit Trails

Operating system controls

Network Access ControlsStaff selection, vetting and training

System Security and Internal Audit

Physical and environmental controls

Standing Data

INPUT PROCESS OUTPUT

UPC 2010 02 31

La Auditora y los Controles de IT

La funcin de la auditora es determinar si existen los controles paraevitar eventos no deseados en los sistemas de TI y si estos controlestrabajan adecuadamente.

Eventualmente pueden existir eventos no deseados que no tengan uncontrol establecido. Esto slo debe ocurrir cuando no sea posibleimplementar un control efectivo en trminos de costo-beneficio.

UPC 2010 02 32

El Proceso de Auditora

9UPC 2010 02 33

Planeamiento de la Auditora

El objetivo de esta etapa es tomar conocimiento del cliente y de sussistemas de control interno. Temas a considerar son:

Necesidades del cliente para la auditora: soporte a una auditora financiera evaluacin de controles TI necesidades regulatorias, etc.

Realidad del cliente: organizacin y operaciones del negocio hardware utilizado (servidores, PCs, redes, etc.) software de sistemas (sistemas operativos, BDs, seguridad, redes,

etc.) principales sistemas de informacin personal de contacto en TI y en reas usuarias problemas del cliente con sus aplicativos cambios planeados en aplicativos o tecnologa, etc.

UPC 2010 02 34


Fuentes de informacin: informe y papeles de trabajo de auditoras anteriores observacin de las instalaciones entrevistas con personal de TI documentos del cliente (plan estratgico de TI, plan del negocio,

documentacin de sistemas, etc.)

Necesidad de otros especialistas como ayuda a la auditora: en caso de riesgos significativos detectados (sistemas, equipamiento,

procedimientos, seguridad de informacin, etc.), por solicitud expresa del cliente cuando existe considerable desarrollo interno de sistemas en caso de existir planes de cambios importantes en infraestructura o

aplicativos.

UPC 2010 02 35


Determinar alcance y tiempo de los procedimientos de auditora: qu aplicativos se revisarn y qu tiempo ser necesario, en funcin

a su contribucin al negocio, tamao y complejidad de la plataformatecnolgica,

los objetivos de la auditora reas crticas del negocio identificadas con el cliente debilidades conocidas en los controles internos

Determinacin de recursos necesarios: cantidad de personal requerido, nivel de experiencia y disponibilidad

del mismo, disponibilidad del personal del cliente otros recursos: equipamiento, software especializado, manuales,

dinero para traslados/alojamiento.

UPC 2010 02 36


Elaboracin de un Plan de Auditora, que contiene: referencias del cliente y sus necesidades, alcance y objetivos de la auditora a realizar reas crticas a examinar recursos necesarios Cronograma

10

UPC 2010 02 37

Evaluar Controles Internos

Una vez que el auditor ha logrado un adecuado entendimiento de loscontroles internos del cliente, debe decidir la manera como debe realizarlos siguientes pasos de la auditora:

Si considera que el riesgo de los controles vigente es inferior al mximoaceptable, debe identificar los controles que justifican esto y evaluar siestos funcionan adecuadamente. Se asume que si los controles operanefectivamente, ser menor el esfuerzo posterior en hacer pruebassustantivas para alcanzar un juicio de auditora.

Si considera que el riesgo de los controles supera el mximo aceptable, elauditor no verifica los controles pues supone que es probable que estosno sean efectivos y por lo tanto su prueba no sera confiable para realizaruna auditora eficiente. En estos casos se decide por realizar pruebassustantivas.

UPC 2010 02 38

El Proceso de Auditora

THE AUDIT PROCESS

PLANNING

EVALUATION OFINTERNAL CONTROLS

Yes : Perform compliancetests of controls

No: No reliance oncontrols

Substantive testing

Review and evalaute

Report

UPC 2010 02 39

Tipos de Pruebas de Auditora

Para obtener las evidencias de la auditora se pueden ejecutar:

Pruebas de cumplimiento. Buscan determinar si el control existe en laprctica y opera efectivamente durante el periodo objeto de la auditora.Se requiere realizar un muestreo para determinar el alcance de laprueba. Por ejemplo, para verificar los controles de tiempos de respuestapara un sistema crtico, el auditor puede entrevistar al Jefe de Produccinde Sistemas para determinar si se revisan los tiempos de respuesta conregularidad y qu acciones se toman cuando estos no son aceptables.

Pruebas sustantivas. Buscan confirmar los resultados esperados delcontrol, utilizando tcnicas de muestreo para identificar transaccionessignificativas. En el ejemplo anterior, el auditor elegira un conjunto detransacciones crticas y verificara sus tiempos de respuesta paraasegurarse que estn en los niveles aceptables.

UPC 2010 02 40

Obtener evidencia de Auditora (Pruebas de Cumplimiento)

En caso de que el auditor haya determinado realizar pruebas decumplimiento, estas se realizan con el objetivo de confirmar que loscontroles sean realmente efectivos. Este tipo de pruebas tambin buscandisminuir los costos de la auditora.

Puede ser necesario realizar muestreo de transacciones, uso deherramientas de SW especializadas, hacer seguimiento de transaccionesdurante el ciclo de negocio, reproducir resultados para verificar clculoscorrectos, etc.

11

UPC 2010 02 41

Obtener evidencia de Auditora (Pruebas Sustantivas)

Se ejecutan para evaluar si errores o mal procesamiento de lastransacciones ha tenido un impacto significativo (materialidad) en lasoperaciones o los estados financieros.

Una vez realizadas estas pruebas el auditor debe confirmar o revisar suevaluacin inicial del riesgo de los controles. Esto puede implicar tanto,disminuir las pruebas sustantivas a realizar posteriormente (en caso loscontroles hayan sido eficientes) o incrementarlas en caso contrario.

UPC 2010 02 42

El auditor debe evaluar los hallazgos hechos en las pruebas realizadas yemitir una opinin. Normalmente, el auditor se apoya en colegas osupervisores para completar su opinin.

Los posible juicios a emitir son:

Abstenerse de opinin: cuando las verificaciones realizadas no lepermiten emitir una opinin.

Opinin adversa: cuando el auditor considera que existen prdidaso problemas materiales detectados en la auditora.

Opinin calificada: cuando el auditor considera que se hanpresentado prdidas o problemas, pero estos no se consideranmateriales.

Opinin favorable: cuando el auditor considera que no se hanpresentado prdidas o problemas en los controles revisados.

Revisin y evaluacin de Resultados

UPC 2010 02 43

Se siguen los siguientes pasos:

Revisin de reportes preliminares Primer borrador: para discusin con el cliente. Se precisa el

contenido del informe, se corrigen posibles errores y aclaran temasnecesarios.

Segundo borrador: primer informe formal para el cliente. Comentarios del cliente: el cliente enva eventuales comentarios al

borrador formal recibido. Tercer borrador: el auditor entrega el borrador final en el cual el

cliente debe responder las observaciones presentadas.

Revisin Interna: el auditor enva el informe para su validacin porcolegas o por su Supervisor. Se valida que cumpla con los estndares dedocumentacin, posibles omisiones o errores, se discute los hallazgos concolegas, etc.

Elaborar Informe y Presentacin de Resultados

UPC 2010 02 44

El informe debe contener

La carta de presentacin. Propsito de la auditora y eventuales salvedades (disclaimers) Qu sistemas fueron revisados Contenido del informe detallado Con quin se revis el informe Opinin de la auditora realizada. Indicacin de las observaciones includas en el informe detallado. Agradecimiento a la empresa.

Emisin del Informe de Auditora

12

UPC 2010 02 45

El informe debe contener

El informe detallado. Buenas prcticas de control y consideraciones sobre el riesgo de

negocio asociado con las deficiencias de los controles. Detalle de los hallazgos u observaciones encontrados por el auditor,

incluyendo el riesgo asociado a los mismos. Es importante que loreportado sea la debilidad o problema raz detectado.

Recomendaciones, las que al ser implementadas reduciran losriesgos. Deben ser recomendaciones factibles y eficientes.

Comentarios de la Gerencia, si la Gerencia ha considerado necesariohacerlas a las observaciones de auditora.

Emisin del Informe de Auditora

UPC 2010 02 46

SI-38 Seguridad y Auditora de SistemasCap. 3: Infraestructura Tcnica y Prcticas Operativas

UPC 2010 02 47

Infraestructura Tcnica y Operaciones de TI

Consideremos la siguiente situacin: Ud. acaba de ingresar a laborar a una prestigiosa firma de Auditora y le han

encargado realizar la revisin de Controles de la Infraestructura Tcnica yOperaciones de TI.

La empresa a auditar es una entidad financiera local, ingresos anuales aprox.de US$ 100 millones, operaciones a nivel nacional y con una infraestructura detecnologa variada y compleja, la cual Ud. an no conoce.

Qu controles seran los ms relevantes que Ud. debera consideraren su revisin?

Qu evidencias debera solicitar para sustentar los controlesimplementados?

Qu tcnicas utilizara para recabar la informacin que requiere parasu revisin?

UPC 2010 02 48


El trmino Operaciones de TI se refiere a los aspectos logsticos yde infraestructura del hardware y software. La ejecucin apropiada deestas funciones permite asegurar al usuario de TI que sus sistemas deinformacin estn disponibles en los horarios acordados, que operende acuerdo a lo esperado y que los resultados de su procesamientocomo reportes, transferencias de informacin, actualizacin de datos,etc. se ejecuten puntualmente.

En una organizacin de TI que funcione adecuadamente, el auditordebe encontrar que las Operaciones de TI sean transparentes a losusuarios, pues su correcto funcionamiento est debidamentesoportado en el desempeo de los roles ya establecidos.

En resumen, el usuario se libera de las preocupaciones tcnicas de lossistemas que utiliza y puede concentrarse en su debida utilizacin paralos fines del negocio.

13

UPC 2010 02 49

Infraestructura Tcnica de TI

Procesamiento Almacenamiento Comunicaciones

Minicomputadoras / Mainframes

Servidores Intel: de torre, de rack, blades

SANNASUnidades externas de discoAlmacenamiento interno

LAN: switches de core y de piso.

WAN: routersCentrales telefnicasServicios: carriers para

enlaces WAN e Internet, telefona fija y celular

Seguridad Computo Personal Software de BaseFirewallsIDSsVPNsTokensUnidades de respaldo de

datosAntivirusSW de backupFiltros de contenidoAntispam

PCs Notebooks PDAs Impresoras personales y

departamentales

Sistemas Operativos: Windows 2003 Server, AIX, Linux, etc.

Base de datos: Oracle, DB2, SQL Server, Sybase, etc.

Correo electrnico: Exchange, Notes.

Servidores de aplicaciones.Servidores Web

UPC 2010 02 50

Funcionamiento incorrecto de aplicaciones: operacin errada, malingreso de parmetros, versiones incorrectas, etc.

Prdida o dao de datos debido a incorrecto o no autorizado uso desoftware de sistemas.

Retraso o interrupciones en el procesamiento de informacin. Elevados tiempos de no disponibilidad de sistemas, por fallas o

retrasos en la solucin de problemas. Prdida de informacin por mala ejecucin de backups. Deficiente capacidad de procesamiento en la infraestructura, malos

tiempos de respuesta, por inadecuado planeamiento de capacidad. Problemas con usuarios finales por deficiente labor de help desk, se

afecta su productividad al no resolver oportunamente sus problemas.

Riesgos de un deficiente control de las Operaciones de TI

UPC 2010 02 51

Funciones includas en las Operaciones de TI:

Administracin de procesos y tareas Encendido, apagado y monitoreo de funcionamiento de equipos Seguridad fsica de instalaciones Help Desk y Administracin de Problemas Mantenimiento de HW y SW Administracin de medios de almacenamiento Respaldo de informacin y recuperacin de desastres. Administracin de capacidad Monitoreo del rendimiento Administracin y monitoreo de redes y comunicaciones. Control de Cambios


UPC 2010 02 52

En una organizacin de sistemas mediana o grande, deberan existirlas siguientes funciones, realizadas por distinto personal: Desarrollo y mantenimiento de aplicaciones: anlisis, diseo y

construccin de sistemas de informacin Soporte de Sistemas: administracin y soporte tcnico del hardware

y software de base. Administracin de problemas. Operaciones rutinarias de TI: encendido y apagado de equipos,

ejecucin de tareas programadas, backups, supervisin del centrode cmputo.

Seguridad de Sistemas: administrar controles de seguridad,incluyendo equipamiento y software, gestin de permisos de accesoa aplicativos.

Administracin de Base de Datos: soporte y administracin de laBase de datos de la empresa

Control de Cambios: administracin y ejecucin de las polticas yprocedimientos de control de cambios, tanto de aplicaciones comode HW y SW base.

Organizacin para las Operaciones de TI

14

UPC 2010 02 53

Operaciones TI: Administracin de Procesos y Tareas programadas

Como parte de las Operaciones de TI se realizan una serie de actividadesrutinarias pero indispensables para su adecuado funcionamiento:

Ejecucin programada de tareas o procesos requeridos por usuarios:generacin de reportes, actualizacin de datos, envo de informacin aterceros, etc.

Encendido y apagado de equipos: segn se requiera por el personalautorizado

Ejecucin y verificacin de procesos de respaldo o recuperacin deinformacin.

Supervisin de instalaciones y seguridad del centro de cmputo

Dependiendo de la magnitud de las operaciones de TI en la empresa, estasactividades puede ser realizadas por personal a dedicacin exclusiva ocomo parte de otras actividades.

UPC 2010 02 54

Operaciones TI: Administracin de Procesos y Tareas programadas

El auditor de TI debe verificar, entre otros, lo siguiente:

Que los procedimientos de Operacin estn documentados,actualizados y debidamente probados por los ejecutantes: manuales einstrucciones.

Que exista una programacin autorizada y documentada de lostrabajos a realizar.

Que se documenten los resultados de procesos realizados, incluyendoel VoBo del Operador y Supervisor respectivo.

Que exista una bitcora de Operacin: incidencias, problemas,reportes, etc., a fin de poder reconstruir cualquier evento.

Que se realicen procedimientos de verificacin de la continuidad delprocesamiento y controles de cambo de turnos de operacin.

Que existan procedimientos documentados para el manejo de errores. Que los niveles de acceso a los sistemas sean los apropiados para las

funciones del Operador.

UPC 2010 02 55

Operaciones TI: Mantenimiento de Hardware y Software

Tanto el equipamiento de hardware como el software de base utilizadorequieren de procedimientos de mantenimiento preventivo y correctivopara asegurar su adecuado mantenimiento:

Hardware: revisin y limpieza de componentes, actualizacin defirmware, correccin de fallas de HW y reemplazo de componentesdefectuosos.

Software: aplicacin de parches, actualizacin de versiones,determinacin y correccin de fallas.

Normalmente, las empresas toman contratos con proveedores paramanejar estas necesidades:

Contrato de mantenimiento de HW: con o sin cobertura de repuestos,con tiempos de respuesta comprometidos o a solicitud, preventivosy/o correctivos.

Contratos de mantenimiento de SW: actualizacin de versiones,soporte ante problemas, etc.

UPC 2010 02 56

El auditor de TI debe verificar:

Existencia de contratos de mantenimiento para equipos y servicioscrticos.

Contratos deben especificar niveles de servicio comprometidos ypenalidades ante incumplimientos del proveedor.

Existencia de cronograma de mantenimiento preventivo de equipos ynivel de cumplimiento del mismo.

Procedimientos de correccin de versiones de SW de sistemas,aplicacin de parches, actualizacin de versiones

Operaciones TI: Mantenimiento de Hardware y Software

15

UPC 2010 02 57

Operaciones TI: Respaldo de Informacin y Recuperacin ante Desastres

Copias de seguridad de datos y software disponible deben ejecutarseregularmente por el personal de Operacin de Sistemas. Aspectos aconsiderar:

Clasificacin por criticidad: de datos y de software base de sistemas. Periodos de retencin (antiguedad) de copias. Frecuencia de generacin de las copias. Medios de almacenamiento a utilizar. Lugar donde se conservarn las copias generadas. Procedimientos de verificacin y recuperacin de la informacin. Procedimientos de recuperacin de desastes. (a revisar en captulo

posterior del curso)

UPC 2010 02 58


La existencia y nivel de actualizacin de polticas de respaldo deinformacin.

Que se ejecuten pruebas y verificaciones de procedimientos derespaldo y recuperacin de copias de seguridad.

Adecuado lugar de almacenamiento de las copias de seguridad: fueradel datacenter, en ambientes seguros y con instalaciones apropiadas.

Ejecucin de procedimientos de control y descarte de los mediosmagnticos.

Ejecucin de procedimientos de acceso y disposicin de las copias derespaldo.

Operaciones TI: Respaldo de Informacin y Recuperacin ante Desastres

UPC 2010 02 59

Operaciones TI: Help Desk y Administracin de Problemas

El servicio del Help Desk/Service Desk es el vnculo ms directo entre losusuarios con problemas de IT y el rea de Sistemas. Es la funcin msvisible del rea de TI y es estratgicamente importante como imagende servicio al cliente.

El auditor de TI debe verificar: Existencia y operacin de una mesa de servicio o unidad equivalente,

que haga las veces de punto nico de contacto con el usuario de TIpara el registro y seguimiento de incidentes o solicitudes de servicio.

Niveles de servicio acordados con el usuario para la priorizacin yatencin de eventos y mediciones de calidad del servicio.

Procedimientos de escalamiento de incidentes para aquellos que no sepuedan resolver de manera inmediata. El control siempre debemantenerlo el Service Desk.

Procedimientos de cierre de incidentes y verificacin de conformidad. Anlisis de tendencias para realizar soporte preventivo y mejorar

procesos.

UPC 2010 02 60

Operaciones TI: Help Desk y Administracin de Problemas

Un efectivo proceso de administracin de problemas mejora los niveles deservicio, reduce costos y mejora la satisfaccin del usuario

El auditor de TI debe verificar: Procedimiento de identificacin y clasificacin de problemas Procedimiento de seguimiento y solucin de problemas Procedimientos de cierre de problemas. Estadsticas de cumplimiento de niveles de servicio

16

UPC 2010 02 61

Operaciones TI: Control de Cambios

Los cambios se hacen con el fin de: mejorar funcionalidad desistemas, incrementar eficiencia de operaciones de TI, incremento decapacidad, solucin de problemas, mejorar seguridad, actualizacin deversiones, cambios en requerimientos del usuario.

Todos los cambios, tanto de hardware, software de sistemas oaplicativos, procesos y procedimientos, deben administrarse formal ycontroladamente.

Un adecuado proceso de control de cambios reduce el riesgo deimpactos negativos sobre la estabilidad o integridad de los ambientesde produccin.

UPC 2010 02 62


El proceso de Control de Cambios debe contemplar: Procedimientos formales para manejar todas las solicitudes de

cambios a aplicaciones, procedimientos, procesos, parmetros deservicio y plataforma de hardware y software de sistemas.

Evaluacin de impacto, priorizacin y autorizacin por el respectivoresponsable.

Procedimiento para cambios de emergencia. Seguimiento y reporte de estado del cambio. Cierre y documentacin del cambio

UPC 2010 02 63


Existencia y actualizacin de procedimientos de control de cambios. Cumplimiento de procedimientos de control de cambios, verificando la

documentacin existente de los cambios. (aplicativo) Evidencia de procedimientos de validacin del cambio en ambientes de

prueba, previos a la ejecucin del cambio. Evidencia de la evaluacin del impacto del cambio por los respectivos

responsables. Evidencia de las autorizaciones correspondientes de los responsables o

propietarios de los activos de TI a ser modificados. (usuarios o de TI) Conservacin adecuada de los registros de los cambios. Elaboracin de planes de reversin (para aplicar en caso de problemas

con el cambio). Procedimientos para cambios de emergencia.


UPC 2010 02 64

Operaciones TI: Administracin del Rendimiento y Capacidad

Debe revisarse regularmente el desempeo actual y la capacidad de losrecursos de TI. Esto incluye el pronstico de las necesidades futuras,basadas en los requerimientos de carga de trabajo, almacenamiento ycontingencias.

Asegura que los recursos de TI que soportan los requerimientos delnegocio estn disponibles de manera oportuna y continua.

Debe contemplarse: Planeacin del desempeo y capacidad: actividades de revisin a fin

de asegurar la disponibilidad, con costos justificables, a fin de cumplirlos niveles de servicio acordados. Uso de tcnicas de modelado.

Medicin regular de capacidad y desempeo actual. Pronostico de capacidad y desempeo futuros: a intervalos regulares,

a fin de minimizar interrupciones del servicio por falta de capacidad odegradacin del desempeo.

17

UPC 2010 02 65


Gestin de la disponibilidad de recursos de TI: brindar capacidad ydesempeo requeridos tomando en cuenta cargas de trabajo normalesy picos. Asignacin de recursos, priorizacin de tareas, etc.

Monitoreo y Reporte regular a fin de recolectar datos que permitan:mantener y poner a punto el desempeo de los recursos de TI yreportar a la organizacin el cumplimiento de los SLAs acordados,incluyendo recomendaciones para las corregir las excepcionesdetectadas.

UPC 2010 02 66

El auditor de TI debe verificar: Existencia y cumplimiento de procedimientos de medicin de la

capacidad y rendimiento: Reportes de medicin de utilizacin de CPU en servidores crticos Mediciones de tiempos de respuesta en sistemas crticos Estadsticas de consumo de espacio en disco Reportes de cantidad de transacciones ejecutadas Reportes de cantidad de conexiones activas a los servidores crticos.

Existencia y cumplimiento de procedimientos de pronstico,planeamiento y aprovisionamiento de capacidad de recursos de TI: Modelos de estimacin de cargas de trabajo Plan de repotenciacin de equipos Presupuesto de inversiones

Encuestas de satisfaccin de usuarios Informes peridicos de cumplimiento de niveles de servicio:

disponibilidad, tiempos de respuesta, etc.


UPC 2010 02 67

Operaciones TI: Acuerdos de Niveles de Servicio

Los acuerdos de niveles de servicio (SLAs por sus siglas en ingls)permiten a la organizacin de TI formalizar con sus usuarios lostrminos de calidad y cantidad de los servicios que se prestarn.

Un SLA tpico debe contener: Descripcin de los servicios a brindar. Horario de servicio, incluyendo fechas especiales o feriados. Disponibilidad de servicios (porcentaje mximo de no disponibilidad,

mximo de interrupciones y mximo de duracin de los eventos) Tiempos de respuesta. Niveles de servicio de Help Desk Procedimientos de contingencia. Consideraciones de seguridad.

UPC 2010 02 68

El auditor de TI debe verificar

Existencia y actualizacin de los SLAs. Reportes de cumplimiento de los mismos. Que los SLAs establecidos soporten adecuadamente los

requerimientos del negocio.

Operaciones TI: Acuerdos de Niveles de Servicio

18

UPC 2010 02 69

Operaciones TI: Administracin y monitoreo de redes y comunicaciones

Prcticamente la totalidad de las organizaciones dependen para laoperacin de sus servicios de TI de las redes de comunicaciones.Tanto las redes LAN, WAN y el acceso a Internet se han convertido enel sistema nervioso de la plataforma de TI de una empresa.

El acceso a las redes de comunicaciones implica una serie de riesgosque las organizaciones deben manejar con los controles adecuados: Prdida de privacidad de informacin y/o uso no autorizado de

sistemas. Sistemas e informacin confidencial son accesibles atravs de las redes.

Dao o prdida de datos, por accesos no autorizados a travs de lared. Con los accesos a Internet, el acceso podra ser prcticamentedesde cualquier parte del mundo.

Prdida de continuidad de los servicios de TI, pues los enlaces delas redes son susceptibles de interrupciones no programadas, seapor fallas involuntarios o por accin deliberada de un saboteador.

Infecciones de virus, ataques de hackers, bloqueo de servicios, etc.UPC 2010 02 70


Controles que deben establecerse: Toda informacin sensitiva en la red debe protegerse a travs del uso

de tcnicas apropiadas. Dispositivos crticos de red como routers, switches, etc. deben

protegerse adecuadamente contra daos fsicos. El acceso fsico aestos dispositivos debe estar restringido.

La configuracin fsica y lgica de la red debe documentarse ymantenerse actualizada.

Debe evaluarse el impacto y riesgos de los cambios en la red antes derealizarse.

Debe monitorearse la operacin de las redes para detectar eventualesincidentes de seguridad. Debe existir procedimientos de respuestaantes estos.

Herramientas de diagnstico de redes como analizadores de protocolodeben utilizarse segn se requiera.

Debe utilizarse un firewall para aislar la red de cualquier otra redexterna y para limitar una conexin a los fines autorizados.

UPC 2010 02 71


Controles que deben establecerse: La red interna de una organizacin debe estar fsica y lgicamente

aisladas de internet y de otras conexiones por un firewall. Los firewalls deben ser peridicamente probados para detectar y

corregir vulnerabilidades. Los servidores accesibles desde Internet deben ser aislados de los

servidores de datos. (DMZ) Deben existir polticas y procedimientos para establecer conectividad

con redes externas a la empresa. Deben establecerse adecuados controles lgicos: cuentas de usuario,

niveles de acceso en los sistemas operativos de la red. Deben establecerse el registro automtico de eventos de seguridad en

los sistemas operativos de la red y su revisin regular a fin de tomaraccin correctiva.

Debe monitorearse de manera especfica el trabajo de consultores yproveedores externos. El uso que hagan estos de herramientasespeciales debe ser autorizado especficamente.

UPC 2010 02 72

El auditor debe verificar: Existencia y cumplimiento de los procedimientos de control

mencionados anteriormente. Debe obtener evidencia de dichocumplimiento.

El auditor ejecuta una serie de herramienta de evaluacin y prueba delos controles enunciados: configuracin de los sistemas operativos,controles de acceso configurados, vulnerabilidades de seguridad en laconfiguracin de los equipos, etc.


19

UPC 2010 02 73

Ejemplos de Evidencias para auditora

Perfomance y rendimiento: cuadros de control. Planeamiento de capacidad: estadsticas de transacciones,

presupuesto y plan de compras Niveles de Servicio: definicin y reportes de cumplimiento Disponibilidad: cuadros de control Mantenimiento de HW y SW: contratos con proveedores, cronograma

de mantenimiento. Servidores y LAN: diagramas de diseo de la red, configuracin de

servidores principales, configuracin de equipos de comunicaciones,log de eventos, etc.

Respaldo de informacin: polticas documentadas de backups yreporte de control de ejecucin.

Control de cambios: registros del sistema de control de cambios,aprobaciones, etc.

Operaciones rutinarias: reportes de ejecucin de tareas. Ejemplos de evidencias:

C:\Documents and Settings\Ronald\Mis doc

UPC 2010 02 74

Recoleccin de evidencias

Entrevistas Se utilizan para adquirir conocimiento de la organizacin, sus

aplicaciones, estructura organizativa, niveles de riesgo de sus sistemasy nivel de confiabilidad de los controles existentes.

Su puede recopilar informacin cualitativa y cuantitativa La calidad de las respuestas depende de la seleccin adecuada del

entrevistado y de la percepcin que el entrevistado tenga sobre losobjetivos de la misma. En la medida que estos coincidan con los suyospropios, el resultado ser mejor.

Debe manejarse el nivel de stress y duracin de las entrevistas. La entrevista requiere ser preparada con anterioridad, conducida y

registrada adecuadamente y luego procesada la informacin a labrevedad posible.

Hoja de clculo de Microsoft Excel

UPC 2010 02 75

Recoleccin de evidencias

Cuestionarios Se utilizan para recabar informacin de hechos concretos. Por ejemplo,

si un control existe en determinado sistema. Deben disearse cuidadosamente: preguntas, escala de respuestas,

estructura y verificar su validez y confiabilidad. Las preguntas deben ser concretas y motivar respuestas objetivas. Los resultados deben interpretarse cuidadosamente para llegar a

conclusiones objetivas. Pueden utilizarse como apoyo para una entrevista. Tambin para

recolectar informacin de ubicaciones fsicamente dispersas.

Hoja de clculo de Microsoft Excel

UPC 2010 02 76

SI-38 Seguridad y Auditora de SistemasCap. 2: Controles de Administracin, planeamiento y organizacin de Sistemas

20

UPC 2010 02 77

Consideremos la siguiente situacin: Ud. acaba de ingresar a laborar a una prestigiosa firma de Auditora y le han

encargado realizar la revisin de Controles de la Gerencia de TI

La empresa a auditar es una entidad financiera local, ingresos anuales aprox.de US$ 100 millones, operaciones a nivel nacional y con una infraestructura detecnologa variada y compleja, la cual Ud. an no conoce.

Qu controles seran los ms relevantes que Ud. debera consideraren su revisin?

Qu evidencias debera solicitar para sustentar los controlesimplementados?

Qu tcnicas utilizara para recabar la informacin que requiere parasu revisin?

La Auditora de Sistemas de Informacin

UPC 2010 02 78

Controles del Planeamiento, Organizacin y Administracin de TI

Controles a aplicar sobre la funcin de la Gerencia de TI

La complejidad de la funcin de la Gerencia de TI es alta y laorganizacin requiere asegurarse que est siendo ejecutada de unamanera correcta: Evolucin acelerada de la tecnologa que soporta los sistemas de

informacin (HW y SW),y se requiere determinar las implicancias deestos cambios en los sistemas de la empresa

Las relaciones de Sistemas con las reas de negocio pueden serdifciles de gestionar y dada la criticidad de los sistemas para elnegocio, este soporte puede deteriorarse si las reas de negocioconsideran que Sistemas no les presta el apoyo adecuado.

El negocio requiere innovacin y sistemas es siempre visto comouna fuente de esta, a fin de proporcionar una ventaja competitiva.

El auditor debe estar en condiciones de evaluar cuan bien la Gerenciade sistemas est ejecutando su rol en la empresa.

UPC 2010 02 79

Una manera de que el auditor pueda evaluar el desempeo de laGerencia de TI es considerando las funciones principales que dichagerencia debe realizar: Planear: determinar los objetivos de la funcin de TI y los medios

para alcanzar dichos objetivos. Organizar: obtener, asignar y coordinar los recursos necesarios para

lograr los objetivos. Liderar: motivar, dirigir y comunicarse con el personal. Controlar: comparar el desempeo actual con el planeado, a fin de

determinar acciones correctiva a tomar.

Controles del Planeamiento, Organizacin y Administracin de TI

UPC 2010 02 80

El auditor debe evaluar si la Gerencia de TI ha elaborado un planadecuado para las necesidades de la empresa. Si esto no ocurre, segeneran riesgos de diverso tipo:

Inadecuada funcin de la gerencia puede ocasionar un alejamiento delos servicios de TI de los objetivos del negocio.

La gerencia es responsable de la proteccin de los activos de TI, de noestablecer adecuados controles, dichos activos pueden ponerse enriesgo.

Estructuras organizativas deficientes pueden provocar una malaprovisin de los servicios de TI.

Ausencia de planeamiento puede exponer a la organizacin alimitaciones producto de esta deficiencia. Por ejemplo: lentitud en lossistemas por falta de capacidad en el la plataforma de hardware.

Personal de staff deficiente, sea por mal reclutamiento o supervisinpuede originar mayor riesgo de errores en el manejo de los sistemas.

Incremento de costos.

Riesgos de un deficiente control

21

UPC 2010 02 81

Evaluar la funcin de Planeamiento

La Gerencia de sistemas es responsable de elaborar un plan generalpara la funcin de sistemas. Este plan debe cubrir tanto el largo comoel corto plazo para la direccin de los sistemas de informacin de laempresa. Su elaboracin debe contemplar: Reconocer oportunidades y problemas que confronta la

organizacin, para los cuales las tecnologas y los sistemas deinformacin pueden aplicarse de manera eficiente.

Identificar los recursos necesarios para proveer los requerimientosde tecnologa y los sistemas de informacin.

Formular estrategias y tcticas para adquirir los recursos necesarios

UPC 2010 02 82


Deben de prepararse dos tipos de planes para la funcin de Sistemas:

El plan estratgico, cubre el largo plazo (entre 3 y 5 aos) y contiene: Evaluacin de la situacin actual de TI: sistemas y servicios

existentes, tecnologa de HW y SW disponibles, personal,problemtica existente con la tecnologa, FODA.

Direccin estratgica: futuros sistemas a proveer, estrategiasgenerales internas y externas (con otras reas).

Desarrollo de la estrategia: definicin de la visin de TI en laempresa, futuros sistemas, bases de datos, plataforma de HW/SW,recursos de personal a requerirse, recursos financieros necesarios,aproximacin al control de la implementacin de la estrategia.

Evidencia a validar: Plan Estratgico/largo plazo de Sistemas

UPC 2010 02 83


El plan operacional o tctico, cubre el corto plazo (entre 1 y 3 aos) ycontiene: Reporte de avance: planes actuales en ejecucin o retrasados,

cambios mayores de HW/SW, otras iniciativas de importancia. Iniciativas a desarrollar: sistemas a construir, HW/SW a

implementar, recursos de personal que sern necesarios, recursosfinancieros, etc.

Plan de implementacin: fechas propuestas para los principalesproyectos, hitos de control, procedimientos de control a aplicar.

Tanto el plan estratgico como el operacional deben de ser revisados yactualizados con regularidad. Su alineamiento con el plan general dela organizacin debe tambin verificarse.

Evidencia a validar: planes de mediano plazo de sistemas

UPC 2010 02 84

Consideraciones para el Planeamiento de TI

El Plan de TI debe estar alineado con las estrategias del negocio. (nocon los deseos del staff tcnico)

TI es visto como un generador importante de gastos. Mayoresinversiones/gastos en TI deben hacerse slo cuando puedademostrarse un slido caso de negocios.

El plan de TI debe difundirse al personal de Sistemas. El Plan de TI debe ser aprobado por la Gerencia General El esfuerzo desplegado en la funcin del planeamiento de TI,

depender del tipo de organizacin, el tamao y de la situacin de lamisma: empresas en un ambiente voltil y operaciones altamentedependientes de TI requerirn alta concentracin en el planeamientopara mantener su posicin competitiva en el mercado.

Segn sea el caso, el Auditor debe prestar el debido nivel deimportancia a la revisin de la funcin de planeamiento.

22

UPC 2010 02 85

La funcin de Organizacin se encarga de conseguir, asignar yestructurar los recursos para alcanzar los objetivos de la organizacin.Si esto no se hace adecuadamente, la organizacin de TI no serefectiva ni eficiente. Los activos de TI tambin podran verse expuestos.

Obtencin de recursos Hardware, software, personal, dinero, instalaciones. Los recursos

para compra e implementacin deben ser obtenidos oportunamente. Los recursos deben aplicarse de acuerdo a un plan que asegure su

disponibilidad oportuna. Definicin de necesidades, justificacin de las inversiones/gastos,

aprovisionamientos, establecer contratos, instalaciones, etc. Debenhacerse de manera oportuna.

Si lo anterior no se hace correctamente, el auditor lo percibir devarias formas: proyectos atrasados o cancelados por falta derecursos humanos o de instalaciones, baja moral del personal,problemas operativos en el da a da.

Evidencia a evaluar: presupuestos, control de gastos, evaluacinde compras, etc.

Evaluar la funcin de Organizacin

UPC 2010 02 86

Gestin del personal de TI

Importante por: a) efectividad de las funciones de TI dependenprincipalmente de la calidad del personal, b) es complicado obtenerbuen personal de TI y su rotacin es alta, c) uno de los mayoresriesgos de seguridad de TI es el personal interno.

Reclutamiento: debe evaluarse cuidadosamente la capacidad,potencial e integridad de los postulantes, utilizando diversasherramientas: entrevistas, pruebas tcnicas, de salud y psicolgicas,revisin de antecedentes, etc. Los requerimientos a cumplir debenestar formalizados en las descripciones de puestos.

Evidencia a evaluar: procedimiento de reclutamiento de personal


UPC 2010 02 87

Gestin del personal de TI

Desarrollo del personal: establecimiento de la lnea de carrera yentrenamiento. Debe evaluarse peridicamente al personal paradeterminar la idoneidad del mismo para ser promocionado, darleoportunidades de desarrollo personal e identificardebilidades/fortalezas. El entrenamiento es crtico para la efectividadde las operaciones de TI, debe existir un plan de capacitacin. Laausencia de estas actividades desmotiva y origina rotacin delpersonal.

Evidencia: plan de carrera de personal de Sistemas, plan decapacitacin, etc.

Trmino de funciones: tanto si es voluntario como no, debenrealizarse ciertas acciones de control: desactivacin de accesos,devolucin de identificaciones o equipos, documentacin, etc.

Evidencia: procedimientos de baja y desactivacin de accesos.


UPC 2010 02 88

Estructura Organizativa Comprende la definicin de las unidades de servicio en las cuales se

organiza la funcin de TI para cumplir sus objetivos y la descripcinformal de roles y responsabilidades de los puestos de trabajo.

La organizacin de TI normalmente se presenta en funcin de lasactividades desarrolladas: desarrollo de sistemas, produccin desistemas, comunicaciones, base de datos, etc.

Sin embargo, esta organizacin puede variar grandementedependiendo de las particularidades de la empresa: tamao,descentralizacin de la funcin de sistemas, etc.

El auditor debe evaluar dos aspectos principales: primero, debenexistir definiciones formales y claras de las responsabilidades de cadapuesto; adicionalmente, el personal debe conocerlas y comprenderlascabalmente. Segundo, la definicin de puestos de trabajo debepreservar en lo posible la separacin de funciones. Ej: unprogramador no puede administrar la base de datos, esto originarainevitablemente modificaciones no autorizadas de programas.

Evidencia: Organigrama, Manual de organizacin y funciones, etc.


23

UPC 2010 02 89

Ubicacin de la funcin de Sistemas La ubicacin de Sistemas dentro de la jerarqua organizacional influye

grandemente en la efectividad de sus funciones. El auditor debe determinar la importancia de la funcin de sistemas

dentro de la organizacin y luego evaluar si su ubicacin en laestructura organizacional asegura suficiente independencia yautoridad.

En una organizacin en la cual TI es parte importante de sus todassus operaciones, Sistemas se independiza de las reas usuarias yreporta directamente a la Gerencia General. Ejemplo: bancos,seguros, retail, etc.

En una organizacin donde TI es nicamente una funcin de soporteoperativo, sistemas reporta a un rea usuaria, normalmente a laGerencia Financiera. Ej: empresas de manufactura, construccin, etc.


UPC 2010 02 90

Evaluar la funcin de Liderazgo

El propsito del liderazgo es alcanzar la armona entre los objetivos dela organizacin y los de las personas. Esto requiere: Motivar al personal: aplicar el argumento correcto para incentivar a

cada persona. Hacer coincidir estilo de liderazgo con las personas y sus funciones:

dependiendo de la situacin y el tipo de trabajo el tipo de liderazgodebe ser distinto. Tambin influye el estilo de las personas.

Comunicarse efectivamente con las personas: esencial paraentender los objetivos de la organizacin y para crear confianzaentre las personas. El auditor puede verificar si los elementosformales como documentacin, comunicados, polticas, reuniones,etc., se hacen efectivamente. Adicionalmente, temas informalescomo el nivel de satisfaccin del personal, claridad y compromiso delos objetivos deben de ser evaluados en entrevistas personales.

El auditor puede percibir problemas cuando se presenta; alta rotacinde personal, ausentismo, fallas constantes en proyectos, prdida deautoridad del supervisor, etc.

UPC 2010 02 91

Evaluar la funcin de Control

La Gerencia de Sistemas debe cumplir labores de control a un nivel globalde la funcin de sistemas, a fin de asegurar que esta cumpla losobjetivos de la organizacin.

Control general de la funcin de sistemas: es adecuado el nivel degastos en Sistemas? los beneficios que obtiene la organizacin deSistemas corresponden a los niveles de gasto que se tienen?Para la primera pregunta se utilizan las tcnicas del benchmarking conotras organizaciones de la industria.En el segundo caso, pueden realizarse evaluaciones post-implementacin de proyectos importantes. Tambin, se evalan losobjetivos alcanzados en base al plan estratgico y tctico.

Evidencia: control de gastos, informes de evaluacin de resultados,etc.

UPC 2010 02 92


Control de las actividades de Sistemas: La Gerencia de TI toma controlde las actividades de su personal estableciendo polticas y estndares.Estos deben ser debidamente comunicados, revisados y recordadosregularmente y evaluado su cumplimiento. Las principales polticas oestndares son: Estndares de mtodos: programacin, diseo, documentacin, etc. Estndares de perfomance: tiempos de respuesta, horas de prueba,

etc. Estndares de control de proyectos: mtodo para gestionar los

proyectos. Estndares de cumplimiento de auditoras: actividades para revisin

de cumplimiento. Polticas de seguridad Polticas para contratacin de proveedores. Evidencia: documentacin de los controles indicados.

24

UPC 2010 02 93


Control de la utilizacin de los servicios de TI: La Gerencia de TI debedesarrollar polticas y procedimientos para incentivar el uso eficiente yefectivo de los servicios de TI por las reas usuarias. Se utilizan dostcnicas principales: Revisin de requerimientos por un comit de usuarios y TI: se

revisa conveniencia y prioridad del requerimiento. Costos de transferencia por los servicios prestados: se determinan

costos en funcin al consumo de recursos de las reas usuarias yestos se cargan a ellas como parte de sus gastos operativos.

Evidencia: procedimientos documentados.

Seguridad

Documents

Transcript of Seguridad