GONZALEZ TRILLO; OrTIZ BEHETY - Cultura Ciudadana. El Justicialismo Social
Sistemas de Información 12/13 Introducción a la Auditoría...
Transcript of Sistemas de Información 12/13 Introducción a la Auditoría...
"
Sistemas de Información 12/13 Introducción a la Auditoría y
Calidad de Sistemas de Información
Departamento Informática e Ingeniería de Sistemas Universidad de Zaragoza
Raquel Trillo Lado ([email protected])
Sistemas de Información Raquel Trillo Lado
Introducción:
Auditoría en informática
Tipos de auditoría informática
Fases de la auditoría informática:
Normas y estándares para la auditoría seguridad y
calidad de sistemas de información
Referencias y bibliografía
Guión
Introducción: Auditoría informática
Auditoría informatica: Proceso de analizar y evaluar evidencias de forma sistemática para determinar si un Sistema de Información:
realiza eficazmente las funciones para las que ha sido diseñado,
utiliza eficientemente los recursos, mantiene la integridad de datos, cumple las normativas, y persigue el alcanzar los objetivos definidos por la
organización que hace uso de él Además también incluye la elaboración de
recomendaciones para mejorar la planificación, control, calidad, rentabilidad, eficacia, y seguridad del Sistema de Información
Sistemas de Información Raquel Trillo Lado
Sistemas de Información Raquel Trillo Lado
Auditoría interna: Función de evaluación y recomendación independiente en el
seno de la entidad bajo la autorización de la dirección Ayuda a la dirección de la entidad:
Determinar la utilidad y nivel de cumplimiento de los protocolos de actuación y políticas establecidas
Divulgar los planes, protocolos y políticas en el entorno y recolectar información exacta y precisa
Auditoría externa:
Función de evaluación y recomendación independiente y externa bien voluntaria o por obligación legal
Expresar una opinión fundamentada respecto del área evaluada para controlar actividades y medir la magnitud de un error conocido, detectar errores o confirmar su ausencia
Introducción: Auditoría informática
Sistemas de Información Raquel Trillo Lado
Auditoría de la gestión de los Sistemas de Información: Verificar la existencia de planes a corto, medio y largo
plazo sobre las tecnologías de la información en relación con los objetivos de negocio de la propia organización.
Controlar si se alcanzan los objetivos incorporados en los planes de los sistemas de información
Auditoría de la seguridad
Auditoría de las comunicaciones coorporativas
Auditoría de la producción del software
Otras: Auditoría adquisición del hardware, auditoría venta y seguimiento del productos software
Introducción: Tipos
Sistemas de Información Raquel Trillo Lado
Auditoría de la seguridad: Asegurar el mantenimiento de la función informática en la
entidad, y la integridad y confidencialidad de datos Seguridad física de las instalaciones y materiales (medidas
en caso de incendio, climatización, acceso, etc.) Planes de contingencia y seguros ante posibles
accidentes Seguridad lógica de los datos y aplicaciones (copias de
seguridad, control de acceso, seguimiento accesos y actividades)
Planes de protección de datos confidenciales: verificar la existencia de técnicas para garantizar la integridad, consistencia y exactitud de los datos en función de las necesidades establecidas tanto en el almacenamiento como en la comunicación
Introducción: Tipos
Sistemas de Información Raquel Trillo Lado
Auditoría de las comunicaciones coorporativas:
Verificar los protocolos de comunicación y de gestión de las comuniaciones tanto internas (redes de área local, Intranet, etc.) como externas (Internet, teléfono, correo, etc.)
Introducción: Tipos
Sistemas de Información Raquel Trillo Lado
Auditoría de la producción de software: Verificar los criterios de adquisición, desarrollo, mantenimiento y
explotación de aplicaciones software: Seguimiento contratos de compra realizados, garantía y
período de pruebas Control de funcionamiento hw y sw Existencia metodología para el ciclo de vida del desarrollo y
mantenimiento de sistemas software Si el software está en funcionamiento se controlarán y
evaluarán las modificaciones. Además estas deben ser autrizadas y no afectarán al resto de la aplicación
Existencia de un departamento de calidad que vele por el servicio que ofrece el departamento de informática al resto del personal. Normas internacionales para la calidad del software: IEEE 1028 e ISO 9126.
Introducción: Tipos
Sistemas de Información Raquel Trillo Lado
Auditor en informática: Personal con conocimientos técnicos generales y específicos
(dependiendo del tipo de auditoría) Personal con conocimientos específicos de las múltiples ramas
de la auditoría (apoyo a auditores no informáticos: financieros) Transparente y cumplir con el código deontológico de la
auditoría (ética profesional): Independencia, Integridad, Objetividad, cumplimiento
de las normas generales y técnicas de la profesión y responsabilidad ante clientes y colegas
No cometer acciones que lo desacrediten a él o a su profesión
Introducción
Sistemas de Información Raquel Trillo Lado
¿Quién audita a los auditores en informática?
Organización de Auditoría en Informática OAI. Es el órgano de coordinación en España de la organización internacional Information System Audit and Control Association (ISACA)
Certified Information System Auditor - CISA
Introducción
Sistemas de Información Raquel Trillo Lado
Identificar el alcance y el objetivo
Estudio inicial del entorno
Determinar los recursos necesarios para llevar a cabo la auditoría
Elaborar el plan y los programas de trabajo
Realizar las actividades establecidas en el programa
Elaborar y documentar el informe final
Redactar la carta de presentación del informe final y la carta de manifestaciones
Fases de la auditoría
Sistemas de Información Raquel Trillo Lado
Identificar el alcance y el objetivo
Limitado y preciso
Existencia de acuerdo entre el cliente y el
equipo de auditores (por escrito mejor)
Tener en cuenta:
Operatividad de los sistemas de
Información
Controles generales de la gestión
Fases de la auditoría
Sistemas de Información Raquel Trillo Lado
Estudio inicial del entorno: Examinar la organización, el entorno operativo y las aplicaciones informáticas:
Organización: Organigrama: Estructura oficial de la organización Departamentos: Órganos que dependen de la dirección
directamente Tipo de relaciones: jerárquicas/horizontales y funcionales Flujos de información: No distorsionen el organigrama Número de puestos de trabajo y función: personas por puesto
de trabajo Entorno operativo:
Situación geográfica e inventariado de SW y HW Arquitectura y configuración software y hardware (incluida la
red de comunicaciones) Aplicaciones informáticas:
Volumen de las aplicaciones en desarrollo, producción y explotación (documentación, antigüedad, nº bd, ficheros, etc.)
Fases de la auditoría
Sistemas de Información Raquel Trillo Lado
Determinar los recursos necesarios para llevar a
cabo la auditoría
Recursos humanos
Recursos materiales:
Software : programas propios de
auditoría y programas de monitorización
Hardware: proporcionado por el cliente
Fases de la auditoría
Sistemas de Información Raquel Trillo Lado
Elaborar e l p lan general de t rabajo y la programación para llevarlo a cabo:
Se determinan en detalle los recursos y esfuerzo global que se requiere, las prioridades, la disponibilidad de los recursos durante la revisión, las tareas a realizar por cada miembro del equipo y se expresan todas las ayudas que el auditor tiene que recibir por parte del equipo auditado
Los responsables de las áreas a auditar y los auditores aprueban el calendario de actividades
Fases de la auditoría
Sistemas de Información Raquel Trillo Lado
Realizar las actividades establecidas Existen un conjunto de técnicas que se suelen
emplear para la obtención de evidencias que avalen el informe que se ha de elaborar
Técnicas visuales: observación (cerciorarse de hechos o circunstancias y apreciar como se lleva a cabo el trabajo), comparación (descubrir diferencias y semajanzas entre pares o con un caso de referencia), revisión y rastreo (seguimiento de una transacción de un punto a otro)
Técnicas verbales: entrevistas (mecanismo de indagación pero requiere mucho ‘tacto’)
Técnicas escritas: cuestionarios, checklist, trazas y huellas (logs), declaraciones, etc.
Fases de la auditoría
Sistemas de Información Raquel Trillo Lado
Elaborar y documentar el informe final
Reflejar el trabajo realizado
Elaborar un juicio global objetivo siempre amparado en hechos demostrables (evidencias)
Desarrol lar plan de mejoras que recoja recomendaciones encaminadas a paliar las deficiencias encontradas (a corto, medio y largo plazo)
Debe ser claro, conciso, constructivo y oportuno
Fases de la auditoría
Sistemas de Información Raquel Trillo Lado
Elaborar y documentar el informe final Indicar la fecha de inicio de la auditoría y la fecha de
redacción, personal del equipo de audición y auditado Indicar los objetivos de la auditoría y el alcance Indicar las restricciones sobre la distribución del informe Para cada tema debe contener:
Descripción de la situación actual (prevista y real) Tendencias (en función de parámetros) Puntos débiles y amenazas Recomendaciones y planes de acción
Contener un apartado de conclusiones globales Finalizarlo a tiempo para poder tomar las acciones
correctivas necesarias
Fases de la auditoría
Sistemas de Información Raquel Trillo Lado
Redactar la carta de presentación del informe final y la carta de manifestaciones
Máximo 3 o 4 folios Incluir fecha, naturaleza, objetivos y alcance de la
auditoría Proporcionar una conclusión general incidiendo en
las áreas de mayor debilidad Carta de manifestaciones: documento aportado
por la dirección donde confirma que se han mostrado transparentes y nos han proporcionado toda la información necesaria para realizar la auditoría.
Fases de la auditoría
Sistemas de Información Raquel Trillo Lado
Agencia Española de Protección de Datos (AEPD): Ente público independiente cuya finalidad es
velar por le cumplimiento de la legislación vigente sobre protección de datos personales e informar y formar a los ciudadanos sobre sus derechos y deberes
Ley Orgánica de Protección de Datos (LOPD): Regula el proceso de recogida de datos y su
difusión de datos Establece las infracciones por incumplimiento de
la ley (leves, graves y muy graves)
Normas y estándares
Sistemas de Información Raquel Trillo Lado
Control Objetives for Information and related Tecnologies (COBIT): Es marco de trabajo metodología para el control de
las tecnologías de información que están relacionadas con la gestión
Recomendado por ISACA Pensado para:
Directivos para asesorarles en la toma de decisiones y del riesgo e inversión en TIC
Usuarios para ofrecerles que cumplen las garantías de seguridad y controles de las TIC
Auditores de Sistemas de Información para sustentar sus valoraciones y opiniones
Normas y estándares
Sistemas de Información Raquel Trillo Lado
Metodología de Análisis y Gestión de Riesgos de los Tecnologías de la Información (MAGERIT): Diseñada por el Consejo Superior de la Administración
Electrónica Española para ser usada en la administración pública
Normas International Standarization Organization ISO: ISO 9001: modelo standard para implementar,
usar, monitorizar, revisar y mantener un sistema de para garantizar la calidad del producto (9001-3)
ISO 27001: modelo standard para implementar, usar, monitorizar, revisar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI)
Normas y estándares
Sistemas de Información Raquel Trillo Lado
J.C. Ciria, Eladio Domínguez, Inés Escario, Ángel Francés, María Jesús Lapeña y María Antonia Zapata, Auditoría, Seguridad y Calidad del Sistema Informático de la Empresa, Máster de Bases de Datos e Internet, curso 2010-2011 Universidad de Zaragoza
Portal de la AEPD: ht tp : / /www.agpd.es/portalwebAGPD/
Referencias y Bibliografía