Sistemas de Información 12/13 Introducción a la Auditoría...

"

Sistemas de Información 12/13 Introducción a la Auditoría y

Calidad de Sistemas de Información

Departamento Informática e Ingeniería de Sistemas Universidad de Zaragoza

Raquel Trillo Lado ([email protected])

Sistemas de Información Raquel Trillo Lado

Introducción:

Auditoría en informática

Tipos de auditoría informática

Fases de la auditoría informática:

Normas y estándares para la auditoría seguridad y

calidad de sistemas de información

Referencias y bibliografía

Guión

Introducción: Auditoría informática

Auditoría informatica: Proceso de analizar y evaluar evidencias de forma sistemática para determinar si un Sistema de Información:

realiza eficazmente las funciones para las que ha sido diseñado,

utiliza eficientemente los recursos, mantiene la integridad de datos, cumple las normativas, y persigue el alcanzar los objetivos definidos por la

organización que hace uso de él Además también incluye la elaboración de

recomendaciones para mejorar la planificación, control, calidad, rentabilidad, eficacia, y seguridad del Sistema de Información



Auditoría interna: Función de evaluación y recomendación independiente en el

seno de la entidad bajo la autorización de la dirección Ayuda a la dirección de la entidad:

Determinar la utilidad y nivel de cumplimiento de los protocolos de actuación y políticas establecidas

Divulgar los planes, protocolos y políticas en el entorno y recolectar información exacta y precisa

Auditoría externa:

Función de evaluación y recomendación independiente y externa bien voluntaria o por obligación legal

Expresar una opinión fundamentada respecto del área evaluada para controlar actividades y medir la magnitud de un error conocido, detectar errores o confirmar su ausencia

Introducción: Auditoría informática


Auditoría de la gestión de los Sistemas de Información: Verificar la existencia de planes a corto, medio y largo

plazo sobre las tecnologías de la información en relación con los objetivos de negocio de la propia organización.

Controlar si se alcanzan los objetivos incorporados en los planes de los sistemas de información

Auditoría de la seguridad

Auditoría de las comunicaciones coorporativas

Auditoría de la producción del software

Otras: Auditoría adquisición del hardware, auditoría venta y seguimiento del productos software

Introducción: Tipos


Auditoría de la seguridad: Asegurar el mantenimiento de la función informática en la

entidad, y la integridad y confidencialidad de datos Seguridad física de las instalaciones y materiales (medidas

en caso de incendio, climatización, acceso, etc.) Planes de contingencia y seguros ante posibles

accidentes Seguridad lógica de los datos y aplicaciones (copias de

seguridad, control de acceso, seguimiento accesos y actividades)

Planes de protección de datos confidenciales: verificar la existencia de técnicas para garantizar la integridad, consistencia y exactitud de los datos en función de las necesidades establecidas tanto en el almacenamiento como en la comunicación



Auditoría de las comunicaciones coorporativas:

Verificar los protocolos de comunicación y de gestión de las comuniaciones tanto internas (redes de área local, Intranet, etc.) como externas (Internet, teléfono, correo, etc.)



Auditoría de la producción de software: Verificar los criterios de adquisición, desarrollo, mantenimiento y

explotación de aplicaciones software: Seguimiento contratos de compra realizados, garantía y

período de pruebas Control de funcionamiento hw y sw Existencia metodología para el ciclo de vida del desarrollo y

mantenimiento de sistemas software Si el software está en funcionamiento se controlarán y

evaluarán las modificaciones. Además estas deben ser autrizadas y no afectarán al resto de la aplicación

Existencia de un departamento de calidad que vele por el servicio que ofrece el departamento de informática al resto del personal. Normas internacionales para la calidad del software: IEEE 1028 e ISO 9126.



Auditor en informática: Personal con conocimientos técnicos generales y específicos

(dependiendo del tipo de auditoría) Personal con conocimientos específicos de las múltiples ramas

de la auditoría (apoyo a auditores no informáticos: financieros) Transparente y cumplir con el código deontológico de la

auditoría (ética profesional): Independencia, Integridad, Objetividad, cumplimiento

de las normas generales y técnicas de la profesión y responsabilidad ante clientes y colegas

No cometer acciones que lo desacrediten a él o a su profesión

Introducción


¿Quién audita a los auditores en informática?

Organización de Auditoría en Informática OAI. Es el órgano de coordinación en España de la organización internacional Information System Audit and Control Association (ISACA)

Certified Information System Auditor - CISA

Introducción


Identificar el alcance y el objetivo

Estudio inicial del entorno

Determinar los recursos necesarios para llevar a cabo la auditoría

Elaborar el plan y los programas de trabajo

Realizar las actividades establecidas en el programa

Elaborar y documentar el informe final

Redactar la carta de presentación del informe final y la carta de manifestaciones

Fases de la auditoría


Identificar el alcance y el objetivo

Limitado y preciso

Existencia de acuerdo entre el cliente y el

equipo de auditores (por escrito mejor)

Tener en cuenta:

Operatividad de los sistemas de

Información

Controles generales de la gestión



Estudio inicial del entorno: Examinar la organización, el entorno operativo y las aplicaciones informáticas:

Organización: Organigrama: Estructura oficial de la organización Departamentos: Órganos que dependen de la dirección

directamente Tipo de relaciones: jerárquicas/horizontales y funcionales Flujos de información: No distorsionen el organigrama Número de puestos de trabajo y función: personas por puesto

de trabajo Entorno operativo:

Situación geográfica e inventariado de SW y HW Arquitectura y configuración software y hardware (incluida la

red de comunicaciones) Aplicaciones informáticas:

Volumen de las aplicaciones en desarrollo, producción y explotación (documentación, antigüedad, nº bd, ficheros, etc.)



Determinar los recursos necesarios para llevar a

cabo la auditoría

Recursos humanos

Recursos materiales:

Software : programas propios de

auditoría y programas de monitorización

Hardware: proporcionado por el cliente



Elaborar e l p lan general de t rabajo y la programación para llevarlo a cabo:

Se determinan en detalle los recursos y esfuerzo global que se requiere, las prioridades, la disponibilidad de los recursos durante la revisión, las tareas a realizar por cada miembro del equipo y se expresan todas las ayudas que el auditor tiene que recibir por parte del equipo auditado

Los responsables de las áreas a auditar y los auditores aprueban el calendario de actividades



Realizar las actividades establecidas Existen un conjunto de técnicas que se suelen

emplear para la obtención de evidencias que avalen el informe que se ha de elaborar

Técnicas visuales: observación (cerciorarse de hechos o circunstancias y apreciar como se lleva a cabo el trabajo), comparación (descubrir diferencias y semajanzas entre pares o con un caso de referencia), revisión y rastreo (seguimiento de una transacción de un punto a otro)

Técnicas verbales: entrevistas (mecanismo de indagación pero requiere mucho ‘tacto’)

Técnicas escritas: cuestionarios, checklist, trazas y huellas (logs), declaraciones, etc.



Elaborar y documentar el informe final

Reflejar el trabajo realizado

Elaborar un juicio global objetivo siempre amparado en hechos demostrables (evidencias)

Desarrol lar plan de mejoras que recoja recomendaciones encaminadas a paliar las deficiencias encontradas (a corto, medio y largo plazo)

Debe ser claro, conciso, constructivo y oportuno



Elaborar y documentar el informe final Indicar la fecha de inicio de la auditoría y la fecha de

redacción, personal del equipo de audición y auditado Indicar los objetivos de la auditoría y el alcance Indicar las restricciones sobre la distribución del informe Para cada tema debe contener:

Descripción de la situación actual (prevista y real) Tendencias (en función de parámetros) Puntos débiles y amenazas Recomendaciones y planes de acción

Contener un apartado de conclusiones globales Finalizarlo a tiempo para poder tomar las acciones

correctivas necesarias



Redactar la carta de presentación del informe final y la carta de manifestaciones

Máximo 3 o 4 folios Incluir fecha, naturaleza, objetivos y alcance de la

auditoría Proporcionar una conclusión general incidiendo en

las áreas de mayor debilidad Carta de manifestaciones: documento aportado

por la dirección donde confirma que se han mostrado transparentes y nos han proporcionado toda la información necesaria para realizar la auditoría.



Agencia Española de Protección de Datos (AEPD): Ente público independiente cuya finalidad es

velar por le cumplimiento de la legislación vigente sobre protección de datos personales e informar y formar a los ciudadanos sobre sus derechos y deberes

Ley Orgánica de Protección de Datos (LOPD): Regula el proceso de recogida de datos y su

difusión de datos Establece las infracciones por incumplimiento de

la ley (leves, graves y muy graves)

Normas y estándares


Control Objetives for Information and related Tecnologies (COBIT): Es marco de trabajo metodología para el control de

las tecnologías de información que están relacionadas con la gestión

Recomendado por ISACA Pensado para:

Directivos para asesorarles en la toma de decisiones y del riesgo e inversión en TIC

Usuarios para ofrecerles que cumplen las garantías de seguridad y controles de las TIC

Auditores de Sistemas de Información para sustentar sus valoraciones y opiniones



Metodología de Análisis y Gestión de Riesgos de los Tecnologías de la Información (MAGERIT): Diseñada por el Consejo Superior de la Administración

Electrónica Española para ser usada en la administración pública

Normas International Standarization Organization ISO: ISO 9001: modelo standard para implementar,

usar, monitorizar, revisar y mantener un sistema de para garantizar la calidad del producto (9001-3)

ISO 27001: modelo standard para implementar, usar, monitorizar, revisar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI)



J.C. Ciria, Eladio Domínguez, Inés Escario, Ángel Francés, María Jesús Lapeña y María Antonia Zapata, Auditoría, Seguridad y Calidad del Sistema Informático de la Empresa, Máster de Bases de Datos e Internet, curso 2010-2011 Universidad de Zaragoza

Portal de la AEPD: ht tp : / /www.agpd.es/portalwebAGPD/

Referencias y Bibliografía

Sistemas de Información 12/13 Introducción a la Auditoría...

Documents

Transcript of Sistemas de Información 12/13 Introducción a la Auditoría...