Auditora

de
Sistemas de Informacin
Agosto de 2011 Lic Fabiana Mara Riva 1
Sistemas de Informacin
ndice
Concepto de Auditora
Tipos de Auditora
Elementos de la Auditora
Auditora de Sistemas de Informacin
Entregables
Lic Fabiana Mara Riva 2
Agosto de 2011
Entregables
Actividades
Controles
Entornos de Aplicacin
Sistemas automatizados de apoyo
rea de Sistemas y Normas de Calidad
Habeas Data
Seguridad de la Informacin
Concepto de Auditora
Revisin sistemtica de una actividad o de
una situacin para evaluar el
cumplimiento de las reglas o criterios
Lic Fabiana Mara Riva 3
Agosto de 2011
cumplimiento de las reglas o criterios
objetivos a que aquellas deben
someterse.
Diccionario de la Real Academia Espaola
Concepto de Auditora
Es un examen metdico que se realiza para
evaluar un producto, proceso u
organizacin, a fines de verificar la
concordancia de su situacin real con
Lic Fabiana Mara Riva 4
Agosto de 2011
concordancia de su situacin real con
el objetivo definido, exponiendo sus
diferencias, disfunciones, debilidades y
errores para mejorar su eficacia y
eficiencia a travs de un plan de
adecuacin sugerido para su logro.
Tipos de Auditora
En funcin de la posicin frente a la
Empresa
Interna
Lic Fabiana Mara Riva 5
Agosto de 2011
Interna
Externa
Tipos de Auditora
En funcin de su amplitud:
Total
Parcial
Lic Fabiana Mara Riva 6
Agosto de 2011
Parcial
En funcin de su frecuencia:
Permanente
Ocasional
Tipos de Auditora
Segn las reas o Procesos a los que refiera:
De la Organizacin
De gestin
Lic Fabiana Mara Riva 7
Agosto de 2011
De gestin
Operacionales
Financiera
Contables
De tecnologas de Informacin o Informticas
Auditora Interna
Es una funcin independiente dentro de la organizacin
Consiste en apoyar a los miembros de la organizacin
en el desempeo de sus responsabilidades.
Proporciona: anlisis, evaluaciones, recomendaciones,
asesora e informacin concerniente con las actividades
Lic Fabiana Mara Riva 8
Agosto de 2011
asesora e informacin concerniente con las actividades
revisadas.
Objetivos de la Auditora Interna
Revisin y evaluacin de los controles administrativos,
contables, financieros y operativos.
Divulgacin y control de las polticas, planificacin y
procedimientos establecidos en la Organizacin.
Anlisis y determinacin de sus niveles de
Lic Fabiana Mara Riva 9
Agosto de 2011
Anlisis y determinacin de sus niveles de
cumplimientos.
Custodia y contabilizacin de los activos de toda la
organizacin
Examen de la fiabilidad de los datos e informacin
exacta para las gerencias
Factores para su eficacia
Planificacin
Supervisin
Formacin continua
Lic Fabiana Mara Riva 10
Agosto de 2011
Evidencia Documental
Auditora Externa
Realizada por profesionales o consultores
independientes, externos a la Organizacin
Consiste en emitir un dictamen con opinin tcnica.
Proporciona elementos para detectar la correcta
Lic Fabiana Mara Riva 11
Agosto de 2011
Proporciona elementos para detectar la correcta
valuacin y exposicin de la informacin y los focos de
riesgo.
Objetivos de la Auditora Externa
Identificacin de los elementos de juicio
Medicin de la magnitud de los errores.
Control de actividades de investigacin y
desarrollo de la Organizacin.
Lic Fabiana Mara Riva 12
Agosto de 2011
desarrollo de la Organizacin.
Control de las Polticas y estrategias
Redaccin de Informe o Dictamen
Auditora Informtica
Examen metdico (utilizando herramientas,
procedimientos y tcnicas) que se realiza para
evaluar o controlar, total o parcialmente, un
sistema informtico con el fin de verificar si
sus actividades se desarrollan en forma
Lic Fabiana Mara Riva 13
Agosto de 2011
sus actividades se desarrollan en forma
eficiente y de acuerdo a la normativa o polticas
generales y especficas de la Organizacin,
para garantizar la confiabilidad,
confidencialidad y seguridad de la
informacin y la eficacia en el logro de los
objetivos establecidos.
Tipos de Auditora Informtica
Auditora de la gestin
Auditora de Datos
Auditora de Sistemas y Soporte de Aplicaciones:
Auditora de las aplicaciones o activos de software
Auditora de los procesos de desarrollo
Auditora de Seguridad de la Informacin e Informtica:
Lic Fabiana Mara Riva 14
Agosto de 2011
Auditora de Seguridad de la Informacin e Informtica:
Auditora legal de Proteccin de Datos
Auditora de la seguridad de la Informacin
Auditora de la seguridad fisica
Auditora de la seguridad lgica.
Auditora de las comunicaciones
Auditora de la seguridad en produccin
Auditora de las bases de datos
Estndares de la Auditora de TI
ISACA (Information Systems Audit and
Control Association)
emite estndares de auditora y control de SI
Lic Fabiana Mara Riva 15
Agosto de 2011
Expide el certificado CISA (Certified
Information Systems Auditor)
Normas Generales de ISACA
1. Estatuto: compromiso responsabilidad - limitaciones - aceptacin
2. Independencia: en actitud y apariencia - permitir una conclusin
objetiva
3. tica y Normas profesionales
4. Competencia profesional: educacin - desarrollo profesional
Lic Fabiana Mara Riva 16
Agosto de 2011
4. Competencia profesional: educacin - desarrollo profesional
continuos
5. Planeacin: objetivos, plazos, alcance y recursos requeridos
(enfoque basado en riesgos).
6. Realizacin de Labores de Auditora: supervisin, obtencin de
evidencia y documentacin.
7. Reporte: caractersticas del informe de auditora en cuanto a formato
y contenido
Normas Generales de ISACA
8. Actividades de seguimiento
9. Irregularidades y acciones ilegales: evaluacin de riesgos de
irregularidades y acciones ilegales.
10. Gobernabilidad de TI: alineacin de los SI con la misin, visin,
valores, objetivos y estrategias de la organizacin
11. Uso de la evaluacin de riesgos en la planeacin de la auditora:
Lic Fabiana Mara Riva 17
Agosto de 2011
11. Uso de la evaluacin de riesgos en la planeacin de la auditora:
12. Materialidad de auditora: considerar la existencia de debilidades
materiales o ausencias de controles
13. Uso del trabajo de otros expertos
14. Evidencia de auditora: evidencia apropiada, fiable, suficiente y
cmo debe ser protegida y retenida la misma.
15. Controles de TI: evaluar supervisar y asistir a la gerencia
Elementos de la Auditora
Artefactos de Entrada
Artefactos de Desarrollo
Alcances de la Auditora (objetivos y reas o procesos a auditar)
Relevamiento Inicial
Informe de Diagnstico Inicial
Definicin de Tipos de Controles (metodologa)
Lic Fabiana Mara Riva 18
Agosto de 2011
Definicin de Tipos de Controles (metodologa)
Baselines de Tiempo y Costos
Conformacin del Equipo y asignacin de responsabilidades
Borrador de Recomendaciones
Artefactos de Salida
Presentacin de Conclusiones
Informe Final y Planes de Accin
Alcances de la Auditora - COBIT
Objetivos de control de alto nivel
requerimientos de calidad
requerimientos de seguridad
requerimientos fiduciarios
Requerimientos de COSO:
Lic Fabiana Mara Riva 19
Agosto de 2011
Requerimientos de COSO:
Efectividad
Eficiencia
Confidencialidad
Integridad.
Disponibilidad.
Cumplimiento
Confiabilidad
Alcances de la Auditora - COBIT
Dominios para focalizar en procesos o
actividades de tecnologas de la informacin:
Planeamiento y organizacin
Lic Fabiana Mara Riva 20
Agosto de 2011
Adquisicin e Implementacin
Entrega de Servicios y Soporte
Monitoreo y Evaluacin
Objetivos de Control detallados
Implica prcticas de control que aplicarn sobre
alguno de los siguientes recursos de TI:
Aplicaciones
Informacin
Lic Fabiana Mara Riva 21
Agosto de 2011
Infraestructura
Personas
Controles
Lic Fabiana Mara Riva 22
Agosto de 2011
Desarrollo de la Auditora
Relevamiento Inicial
Organigrama
Estructura del rea / proceso
Lic Fabiana Mara Riva 23
Agosto de 2011
Relaciones funcionales y jerrquicas
Recursos
Aplicaciones en desarrollo
Aplicaciones en produccin
Sistemas de explotacin
Desarrollo de la Auditora
Informe de Diagnstico inicial
Redaccin del informe en funcin del relevamiento
inicial y la experiencia del equipo auditor
Identificacin de los puntos dbiles y fuertes, los
Lic Fabiana Mara Riva 24
Agosto de 2011
Identificacin de los puntos dbiles y fuertes, los
riesgos eventuales y posibles tipos de solucin y
mejora
Alcances de la Auditora
Identificacin de Objetivos
Identificacin de las Areas/Procesos a Auditar
Desarrollo de la Auditora
Determinacin de Recursos
Equipamiento y Tecnologa
Conformacin del Equipo de Trabajo
Equipo auditor necesario
Lic Fabiana Mara Riva 25
Agosto de 2011
reas que cubrir
Personas de la organizacin que se involucrarn
en el proceso de auditora
Definicin de Responsabilidades
PERFILES PROFESIONALES DE LOS AUDITORES INFORMATICOS
Especialidad Experiencia y Conocimientos deseables
Lder o Responsable Informtico Amplia experiencia en desarrollo de Proyectos IT, normas de
diseo y operacin de sistemas, manejo y organizacin de equipos
multidisciplinarios
Experto en Desarrollo de Proyectos Amplia experiencia como Lder de Proyectos, experto analista y
experiencia en metodologas de desarrollo
Experto en Administracin de
Bases de Datos
Amplia experiencia en diseo y mantenimiento de BD.
Conocimientos de productos compatibles.
Lic Fabiana Mara Riva 26
Agosto de 2011
Tcnico de Sistemas
Experto en Sistemas Operativos y SW de base. Conocimiento de
productos en el mercado. Experiencia en explotacin
Experto en Software de
Comunicaciones
Especialista en tecnologa de sistemas, redes y amplia experiencia
en subsistemas de teleprocesos.
Experto en Explotacin y Gestin
de Centros de Procesamiento de
Datos
Responsable de Centro de procesamiento de datos, amplia
experiencia en automatizacin de procesos y conocimientos de
sistemas
Analista en Organizacin Experto en organizacin, anlisis de procedimientos y flujos de
informacin
Analista de Costos Experiencia en Gestin de Costos y conocimientos en informtica.
Desarrollo de la Auditora
PLAN DE AUDITORA
Prioridades
Dominios y Controles
Tcnicas y Herramientas
Lic Fabiana Mara Riva 27
Agosto de 2011
Tcnicas y Herramientas
Baseline de Tiempos
Identificacin de Tareas
Armado del Calendario
Definicin de Hitos para control de resultados
Baseline de Costos
Armado del Presupuesto del proyecto de auditora
Controles
Controles Preventivos (reduccin de la frecuencia de las causas del
riesgo)
Controles Detectivos (deteccin del riesgo una vez ocurrido)
Lic Fabiana Mara Riva 28
Agosto de 2009
Controles Correctivos (investigacin y correccin de las causas del
riesgo)
Controles
Principales Controles fsicos y lgicos
Controles automticos (Ej. Periodicidad de cambio de
claves de acceso )
Controles administrativos
Controles de Preinstalacin
Lic Fabiana Mara Riva 29
Agosto de 2009
Controles de Preinstalacin
Controles de organizacin y Planificacin
Controles de Sistema en Desarrollo y Produccin
Controles de Procesamiento
Controles de Operacin
Controles en el uso (para garantizar la integridad y
confidencialidad de la informacin)
Tcnicas y Herramientas
Para el trabajo de la Auditora
Cuestionarios
Entrevistas
CheckLists
Trazas y/o Huellas
Software de Interrogacin
Tcnicas de Muestreo
Para la auditora de datos
Lic Fabiana Mara Riva 30
Agosto de 2009
Para la auditora de datos
Comparacin de programas
Mapeo y rastreo de programas
Anlisis de cdigo de programas
Datos de prueba
Datos de prueba integrados
Simulacin paralela}
Para el anlisis de Logs
Desarrollo de la Auditora
Borrador de recomendaciones
Priorizacin de las reas
Preparacin y confirmacin de entrevistas
Realizacin de anlisis y evaluaciones
Preparacin de recomendaciones
Lic Fabiana Mara Riva 31
Agosto de 2011
Evaluacin del borrador con el cliente
Presentacin de conclusiones
Argumentacin y documentacin de lo expuesto para evitar
que las conclusiones sean refutadas durante la discusin
Esmerarse para evitar el rechazo que puede causar la
auditora a la Empresa auditada
Es misin del auditor informar a la direccin de la forma ms
objetiva posible.
Desarrollo de la Auditora
Informe final y Plan de accin
Entrega del Informe Final
Plan de accin propuesto para la mejora
Cierre del Proyecto de Auditora (benchmarking para el grupo de
auditores)
Plan de Mejora (puede o no participar el grupo de auditora)
Lic Fabiana Mara Riva 32
Agosto de 2011
Plan de Mejora (puede o no participar el grupo de auditora)
Verificar la priorizacin realizada por la auditora para comenzar
el armado del plan de mejora
Evaluar:
Medidas a corto plazo: orientar a mejoras en tiempos, calidad,
planificacin o formacin del personal
Medidas a mediano plazo: mayor necesidad de recursos,
optimizacin de programas o documentacin y aspectos de diseo
Medidas a largo plazo: cambios en polticas, medios y estructuras
del servicio
Entornos de aplicacin
Sistemas de apoyo (en produccin) a la
gestin y la funcin operativa de la
Empresa
Lic Fabiana Mara Riva 33
Agosto de 2011
Procesos del rea de Sistemas
Habeas Data
Seguridad de la Informacin
Sistemas de apoyo (automatizados)
Verificacin en torno a la auditora de procesos de la
Empresa (contable). Documentacin de Procesos vs.
Documentacin de Sistemas.
Validacin en cuanto a la concordancia con los
Lic Fabiana Mara Riva 34
Agosto de 2011
requisitos documentados (Pruebas de verificacin)
Verificacin en cuanto a las pruebas efectuadas
(pruebas de validacin y de regresin) sobre todo en
aquellos sistemas que hayan atravesado por Gestin de
Cambios.
Evaluar el grado de conocimiento de los usuarios
implicados sobre los sistemas de apoyo
Area de Sistemas
Verificar la conformacin del rea de sistemas
Verificar la organizacin general y documentacin
Verificar los procesos del rea de sistemas en cuanto a:
Gestin de Proyectos
Ingeniera de Requerimientos
Puesta en Produccin de Soluciones
Gestin de Cambios
Lic Fabiana Mara Riva 35
Agosto de 2011
Gestin de Cambios
Gestin de Configuraciones
Mediciones y Anlisis
Administracin de Compras de Hardware y Software
Procesos de Soporte/Mantenimiento (condiciones mnimas)
Seguridad Fsica
Seguridad Lgica
Mantenimiento y Actualizacin
rea de Sistemas: Conformacin y
poltica del personal
Revisin del organigrama del rea y su relacin con el de la empresa
Comparar la estructura actual con la definida formalmente
Revisar la poltica personal: grado de cumplimiento de los
procedimientos generales y nivel de sometimiento a la poltica del
personal en general
Evaluar la distribucin de funciones
Lic Fabiana Mara Riva 36
Agosto de 2011
Evaluar la distribucin de funciones
Examinar las polticas retributivas y los planes de formacin
Comprobar la existencia de normas generales escritas para el
personal del rea en lo que se refiere a sus funciones
Comprobar que en ningn caso los usuarios acceden a
documentacin de programas (solo a la de uso)
Verificar que los programadores no tienen acceso a la operacin de
los sistemas en produccin cuando desarrollan
rea de Sistemas: Organizacin General
Verificar los mtodos de anlisis e imputacin de costos
Revisar todo tipo de contratos que afecten al rea
Evaluar el rendimiento de consultores externos
Determinar el impacto de servicio de proceso de datos
recibido desde fuentes externas (cuando existan)
Lic Fabiana Mara Riva 37
Agosto de 2011
recibido desde fuentes externas (cuando existan)
Conocer el grado de aceptacin o satisfaccin general
con respecto al servicio del rea de sistemas
Verificar los medios que la organizacin ha dispuesto para
la organizacin del rea
Examinar los mtodos de trabajo especfico: anlisis,
programacin, pruebas,
Evaluar el grado de participacin de los usuarios
rea de Sistemas: Documentacin
Verificar los estndares de documentacin
Determinar los procedimientos de direccin para hacer
cumplir los criterios de documentacin
Confrontar las directrices sobre documentos con la
Lic Fabiana Mara Riva 38
Agosto de 2011
Confrontar las directrices sobre documentos con la
realidad
Revisar la documentacin de usuario
Examinar los procedimientos usados para actualizar la
documentacin
Area de Sistemas: Gestin de Proyectos
Relacin entre los Planes de Sistemas y los de la
Organizacin
Participar en el proceso de estimacin para verificar su
validez
Garantizar la fiabilidad y precisin del estudio de
viabilidad aplicado a los proyectos
Lic Fabiana Mara Riva 39
Agosto de 2011
viabilidad aplicado a los proyectos
Controlar el nivel de avance de los planes de sistemas y
la metodologa para la medicin del avance
Verificar si se tienen en cuenta los niveles de
responsabilidades dentro del proyecto y la participacin
del usuario
Evaluar si se realiza gestin de riesgos (de proyectos)
Evaluar estndares de calidad
Area de Sistemas: Ingeniera de Requerimientos
Evaluar la metodologa utilizada para la gestin de
requerimientos
Examinar la metodologa de diseo y construccin
que se est utilizando
Lic Fabiana Mara Riva 40
Agosto de 2011
que se est utilizando
Revisar la definicin de las grandes opciones que
caracterizan al sistema
Evaluar qu tipos de prueba se aplican al
desarrollo de software y a la implementacin de
soluciones
Area de Sistemas:
Puesta en Produccin de Soluciones
Verificar la puesta en Produccin de Soluciones en cuanto
a la completitud y aprobacin de las mismas
Comprobar los medios de seguridad con que se va a dotar
al sistema en cuestin
Lic Fabiana Mara Riva 41
Agosto de 2011
al sistema en cuestin
Area de Sistemas: Gestin de Cambios
Examinar el inventario de cambios relacionados con los
sistemas, dictaminando sobre la prioridad y razonabilidad
de stos
Examinar el proceso de Gestin de Cambios y verificar su
Lic Fabiana Mara Riva 42
Agosto de 2011
Examinar el proceso de Gestin de Cambios y verificar su
adecuacin a estndares
Area de Sistemas: Gestin de Configuraciones
Examinar que las versiones de programas y configuracin
de tablas de las bases en produccin son efectivamente
las versiones que deben estar vigentes
Como consecuencia de lo anterior, revisar que existen
procedimientos que impidan que puedan correrse
versiones de programas no activos
Lic Fabiana Mara Riva 43
Agosto de 2011
versiones de programas no activos
Investigar el diario de produccin y los archivos de logs
Verificar los procedimientos segn los cuales se
incorporan nuevos programas a las libreras productivas
Examinar la adecuacin de los lugares donde se
almacenan cintas y discos, as como la perfecta y visible
identificacin de estos medios por si se requiriera volver a
una versin anterior
Area de Sistemas: Mediciones y Anlisis
Evaluar el rendimiento de un sistema ya en
marcha
Evaluar las mediciones realizadas por el rea de
sistemas
Lic Fabiana Mara Riva 44
Agosto de 2011
sistemas
Investigar los estndares en tiempo de ejecucin
de la instalacin y compararlos con las
observaciones reales efectuadas.
Aconsejar, si es necesario, las modificaciones
oportunas para la optimizacin del sistema en
funcionamiento
Area de Sistemas:
Administracin de
Compras de Hardware y Software
Verificar los estudios de necesidades de software y
hardware asociados con los proyectos
Lic Fabiana Mara Riva 45
Agosto de 2011
Revisar la metodologa utilizada en compras de distintos
montos y si las mismas siguen una documentacin escrita
y coherente con la de las compras del resto de la
organizacin
rea de Sistemas:
Procesos de Mantenimiento y Actualizacin
Supervisar el uso de las herramientas al servicio de los
usuarios
Verificar la existencia de la funcin de auditora de datos
que permita verificar la validez de los datos administrados
por los usuarios
Lic Fabiana Mara Riva 46
Agosto de 2011
por los usuarios
Examinar la necesidad de existencia de contratos en
referencia mantenimiento de versiones de software para
su actualizacin constante
Revisar la constante y correcta actualizacin de los
paquetes de software de base y su documentacin
Revisar los procedimientos de planificacin, adecuacin y
mantenimiento preventivo del software del sistema
Procesos de Soporte: Seguridad General
Verificar los planes de mantenimiento preventivo de la
instalacin
Verificar los procedimientos de seguridad: Inspeccionar el
cumplimiento de las funciones de soporte, adems de la
idoneidad de stas, de las personas encargadas
Lic Fabiana Mara Riva 47
Agosto de 2011
Comprobar que existen mtodos adecuados que permitan
verificar un seguimiento de los trabajos de soporte
Comprobar los procedimientos de
prevencin/deteccin/correccin frente a cualquier tipo de
desastre
Comprobar la elaboracin de planes de contingencia y su
prueba peridica
Procesos de Soporte: Seguridad Fsica
Determinar si el hardware se utiliza eficientemente
Revisar los informes de la direccin sobre uso
del hardware
Revisar si el equipo se utiliza por el personal
Lic Fabiana Mara Riva 48
Agosto de 2011
Revisar si el equipo se utiliza por el personal
autorizado
Comprobar las condiciones ambientales
Revisar el inventario del hardware
Examinar los controles de acceso fsico
Procesos de Soporte: Seguridad Lgica
Comprobar que existen normas escritas que regulen perfectamente todo lo
relativo a copias de seguridad: manejo, autorizacin de obtencin, destruccin,
etc.
Revisar el inventario de licencias de software
Examinar e incluso participar en la elaboracin de los presupuestos del centro
de explotacin si stos son independientes del resto del servicio informtico
Examinar la existencia de contratos en referencia a servicios de provisin de
Lic Fabiana Mara Riva 49
Agosto de 2011
Examinar la existencia de contratos en referencia a servicios de provisin de
internet u otro servicio requerido para mantener operativa la red o el sistema
de informacin (ej. Mantenimiento de versiones de software)
Comprobar la seguridad e integridad de las bases de datos
Revisar las polticas de contraseas, robustez de las mismas, tiempo de
vigencia para distintos perfiles de acceso.
Auditoria sobre el manejo de Internet y correos electrnicos: control de
accesos, resguardo de correos, antispam, firewalls, firmas digitales,
encriptacin, control de sitios prohibidos, asegurar el uso del correo
electrnico para cuestiones laborales.
Fin
Agosto de 2011 Lic Fabiana Mara Riva 50