AUDITORIA DE SISTEMAS E INFORMATICA: 2017

martes, 6 de junio de 2017

ISO 27001

Resultado de imagen para iso 27002 español

Elementos Vitales:

Recurso Humano Es el elemento mas importante dentro de una organización.

Información Es el segundo elemento mas importante, se considera el principal activo de la organización.

En sentido general, la información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje.

La Informática es la ciencia aplicada que abarca el estudio y aplicación del tratamiento automático de la información, utilizando sistemas computacionales, generalmente implementados como dispositivos electrónicos.

 Procesamiento automático de la información.

SGSI

Sistema de Gestión de la Seguridad de la Información. Esta gestión debe realizarse mediante un procesos sistemático, documentado y conocido por la organización.

ISO 27000

Conjunto de estándares desarrollados, o en fase de desarrollo.  Proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, publica o privada, grande o pequeña.

ISO 27001

Estructura de reconocimiento internacional para la seguridad de la información  Proceso de Gestión para evaluar, implementar y mantener un SGSI  Comprensivo conjunto de controles de las mejores practicas de seguridad  Énfasis en la prevención  La seguridad de la información es un proceso de Gestión NO UN PROCESO TECNICO

COSO

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.

En la actualidad existen una gran cantidad de modelos de control interno. Los modelos de control interno “informe COSO” y COBIT son los dos modelos más difundidos en la actualidad, aun que podemos encontrar otros como el COCO, AEC y SAC.

COSO está enfocado a toda la organización, contempla políticas, procedimientos y estructuras organizativas además de procesos para definir el modelo de control interno.

Mientras que COBIT (Control Objectives for Information and Related Technology, Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) se centra en el entorno IT, contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa que COSO no hace. Además el modelo de control interno que presenta COBIT es más completo, dentro de su ámbito.

El informe es un manual de control interno que publica el Instituto de Auditores Internos de España en colaboración con la empresa de auditoría Coopers & Lybrand. En control interno lo último que ha habido es el informe COSO (Sponsoring Organizations of the Treadway Commission), que es denominado así, porque se trata de un trabajo que encomendó el Instituto Americano de Contadores Públicos, la Asociación Americana de Contabilidad, el Instituto de Auditores Internos que agrupa a alrededor de cincuenta mil miembros y opera en aproximadamente cincuenta países, el Instituto de Administración y Contabilidad, y el Instituto de Ejecutivos Financieros. Ha sido hecho para uso de los consejos de administración de las empresas privadas en España y en los países de habla hispana. Ahí se resume muy bien lo que es control interno, los alcances, etc.

El Presidente Ejecutivo Doctor Salas Chaves manifiesta que el tema es muy importante y debe ser incorporado dentro del programa de capacitación para los gerentes.

El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia.

Existen en la actualidad 2 versiones del Informe COSO. La versión del 1992 y la versión del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo.

Es un medio para un fin, no un fin en sí mismo. Efectuado por la junta directiva, gerencia u otro personal. No es sólo normas, procedimientos y formas involucra gente. Aplicado en la definición de la estrategia y aplicado a través de la organización en cada nivel y unidad. Diseñado para identificar los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administración y para la junta directiva de la organización orientada al logro de los objetivos del negocio.

Coso II Version 2004

A final de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés.

Nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publico el Enterprise Risk Management – Integrated Framework y sus aplicaciones técnicas asociadas. Amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.

En septiembre de 2004 se publica el estudio ERM (Enterprise Risk Management) como una ampliación de Coso 1, de acuerdo a las conclusiones de los servicios de Pricewaterhouse a la comisión.

¿QUÉ SE PUEDE OBTENER A TRAVÉS DE COSO?

Proporciona un marco de referencia aplicable a cualquier organización.

Para COSO, este proceso debe estar integrado con el negocio, de tal manera que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento. Trasmitir el concepto de que el esfuerzo involucra a toda la organización: Desde la Alta Dirección hasta el último empleado.

Ventajas de Coso

1. Permite a la dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión.

2. Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. toma de decisiones más segura, facilitando la asignación del capital.

3. Alinea los objetivos del grupo, con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción.

4. Permite dar soporte a las actividades de planificación estratégica y control interno.

5. Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas de gobierno corporativo.

6. Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo.

Objetivos del Control Interno COSO.

· La eficiencia y eficacia de las operaciones

· Fiabilidad de la información financiera

· Cumplimientos de leyes y normas aplicables.

Marco Integrado de Control.

El control consta de cinco componentes interrelacionados que se derivan de la forma cómo la administración maneja el negocio, y están integrados a los procesos administrativos. Los componentes son:

1. Ambiente entorno de control

2. Evaluación de riesgos

3. Actividades de control

4. Información y comunicación

5. Supervisión y seguimiento del sistema de control.

El control interno, no consiste en un proceso secuencial, en donde algunos de los componentes afectan sólo al siguiente, sino en un proceso multidireccional repetitivo y permanente, en el cual mas de un componente influye en los otros.

Los cinco componentes forman un sistema integrado que reacciona dinámicamente a las condiciones cambiantes.

Ambiente o Entorno de Control

El entorno de control contribuye al ambiente en el que las personas desarrollan sus actividades y cumplen con sus responsabilidades de control, marca la pauta del funcionamiento de una organización e influye en la percepción de sus empleados respecto al control.

Es la base de todos los demás componentes del Control Interno, aportando disciplina y estructura. Los factores del ambiente de control incluyen la integridad, los valores éticos y la capacidad de los empleados de la entidad, la filosofía y el estilo de la Dirección, la manera en que la Dirección asigna la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados así como la atención y orientación que proporciona el Consejo de Administración.

El estudio del COSO establece a este componente como el primero de los cinco y se refiere al establecimiento de un entorno que estimule e influencie las actividades del personal con respecto al control de sus actividades.

Es en esencia el principal elemento sobre el que se sustentan o actúan los otros cuatro componentes e indispensables, a su vez, para la realización de los propios.

Integridad y Valores Éticos

Tiene como propósito establecer pronunciamientos relativos a los valores éticos y de conducta que se espera de todos los miembros de la Organización durante el desempeño de sus actividades, la efectividad del control interno depende de la integridad y valores de la gente que lo diseña y lo establece.

Es importante tener en cuenta la forma en que son comunicados y fortalecidos estos valores éticos y de conducta. La participación de la alta administración es clave, debido a que la presencia dominante fija el tono necesario a través de su empleo. La gente imita a sus líderes.

Debe tenerse cuidado con aquellos factores que pueden inducir a conductas adversas a los valores éticos como pueden ser: controles débiles o requeridos; debilidad de la función de auditoría; inexistencia o inadecuadas sanciones para quienes actúan inapropiadamente.

Competencia del Personal:

Se refiere a los conocimientos y habilidades que debe poseer el personal para cumplir adecuadamente con sus tareas.

Consejo de Administración y/o comité de Auditoría.

Debido a que estos órganos fijan los criterios que perfilan el ambiente de control, es determinante que sus miembros cuenten con la experiencia, dedicación e involucramiento necesario para tomar las acciones adecuadas e interactúen con los Auditores Internos y Externos.

Filosofía Administrativa y Estilo de Operación.

Los actores más relevantes son las actitudes mostradas hacia la información financiera, el procesamiento de la información y principios y criterios contables, entre otros.

Evaluacion de Riesgos

El segundo componente del control, involucra la identificación y análisis de riesgos relevantes para el logro de los objetivos y la base para determinar la forma en que tales riesgos deben ser manejados. Asimismo se refiere al mecanismo necesario para identificar y manejar riesgos específicos asociados con los cambios, tanto los que influyen en el entorno de la organización como en el interior de la misma.

Es indispensable primeramente el establecimiento de objetivos tanto a nivel global de la organización como al de las actividades relevantes, obteniendo con ello una base sobre la cual sean identificados y analizados los factores de riesgos que amenazan su oportuno cumplimento.
La evaluación, o mejor dicho la autoevaluación de riesgo debe ser una responsabilidad ineludible para todos los niveles que están involucrados en el logro de objetivos.

Objetivos

Para todos es clara la importancia que tiene este aspecto en cualquier organización, ya que representa la orientación básica de todos los recursos y esfuerzos y proporciona una base sólida para un control interno efectivo.

La fijación de objetivos es el camino adecuado para identificar factores críticos de éxito, particularmente a nivel de actividad relevante. Una vez que tales factores han sido identificados, la Gerencia tiene la responsabilidad de establecer criterios para medirlos y prevenir su posible ocurrencia a través de mecanismos de control e información, a fin de estar enfocando permanentemente tales factores críticos de éxito.

El estudio del COSO propone una categorización que pretende unificar los puntos de vista al respecto. Tales categorías son las siguientes:

1. Objetivos de operación: Son aquellos relacionados con la efectividad y eficiencia de las operaciones de la Organización.

2. Objetivos de información financiera: Se refiere a la obtención de información financiera contable.

3. Objetivos de cumplimiento: Están dirigido a la adherencia a leyes y reglamentos federales o estatales, así como también a las políticas emitidas por la Gerencia.
En ocasiones la distinción entre estos tipos de objetivos es demasiado sutil, debido a que unos se traslapan o apoyan a otros. El logro de los objetivos antes mencionados está sujeto los siguientes eventos:

a. Controles internos efectivos proporcionan una garantía razonable de que los objetivos de información financiera y de cumplimiento serán logrados, debido a que están dentro del alcance de la Gerencia.

b. En relación con los objetivos de operación, la situación difiere debido a que existen eventos fuera del control de la Empresa.

Riesgos

El proceso mediante el cual se identifica, analizan y se manejan los riegos forma parte de un sistema de control efectivo.

A ello la Organización debe establecer un proceso suficientemente amplio que tome en cuenta sus interacciones más importantes entre todas las áreas y de éstas con el exterior.

Actividades de Control

Las actividades de control son aquellas que realizá la Gerencia y demás personal de la Organización para cumplir diariamente con actividades asignadas. Estas actividades están relacionadas (contenidas) con las políticas, sistemas y procedimientos principalmente.

Ejemplo de estas actividades son aprobación, autorización, verificación, conciliación, inspección, revisión de indicadores de rendimiento.

También la salvaguarda de los recursos, la segregación de funciones, la supervisión y la capacitación adecuada.

Las actividades de control tienen distintas características. Pueden ser manuales o computarizadas, gerenciales u operacionales, general o específicas, preventivas o detectivas.

Sin embargo, lo trascendentes es que sin importar su categoría o tipo, todas ellas estén apuntando hacia los riesgos (reales o potenciales) en beneficio de la organización, su misión y objetivos, así como a la protección de los recursos.

Las actividades de control son importantes no sólo porque en sí mismas implican la forma correcta de hacer las cosas, sino debido a que son el medio idóneo de asegurar en mayor grado el logro de los objetivos y estos sí que tiene mayor relevancia que hacer las cosas de forma correcta.

Control en los Sistemas de Informacion

Los sistemas están diseñados en toda la Empresa y todos ellos atienden a uno o más objetivos de control. Por ello conviene reflexionar este punto.

De manera más amplia se considera que existen controles generales y controles de aplicación sobre los sistemas de información.

PLAN DE SEGURIDAD INFORMATICA

PLAN DE SEGURIDAD INFORMATICA:

PSI es Es la expresión gráfica del Sistema de Seguridad Informática de una entidad y la protección que va encaminada fundamentalmente a prevenir, detectar y contrarrestar aquellas acciones que pongan en riesgo la confidencialidad, disponibilidad e integridad de la información y resguardar el equipamiento contra el acceso no autorizado en las áreas donde se encuentran los activos importantes de la institución.

Se debe garantizar

• La Recuperación de los sistemas de información.

• La Trazabilidad de los sistemas de información.

• La Autenticidad de la información.

• La Integridad de la Información.

• El Acceso a la información.

• La Confidencialidad de la información.

• La Conservación de la información.

Proteger la información y los activos de la organización, tratando de conseguir confidencialidad ,integridad y disponibilidad de los datos; y las responsabilidades que debe asumir cada uno de los empleados mientras permanezcan en la organización.

Funcionalidad en la Empresa • Permite desarrollar normas y procedimientos que pautan las actividades relacionadas con la seguridad informativa y la tecnología de información. • Permite analizar la necesidad de cambios o adaptaciones para cubrir los riesgos existentes. • Hace posible la concientización de los miembros de la empresa acerca de la importancia y sensibilidad de la información y servicios críticos. • Permite conseguir el compromiso de la institución, agudeza técnica para establecer fallas y deficiencias, y constancia para renovar y actualizar las políticas en función de un ambiente dinámico.

Estándares y Metodologías Internacionales de Auditoria en Sistemas

Estándares y Metodologías Internacionales de Auditoria en Sistemas

Un camino estructurado de forma lógica para asegurar el éxito de proyectos de auditoría de informática. Cuenta con un grupo de etapas que pueden adaptarse a empresas pequeñas, medianas y grandes de cualquier giro para planear y desarrollar proyectos de auditoría en informática. Utilización de metodologías, instrumentos y procedimientos operativos propios.

En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control, en el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas.

Se definen los requerimientos obligatorios para la auditoría de sistemas y la generación de informes.

Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas.

Existen estándares orientados a servir como base para auditorías de informática, dentro de ellos contamos con:

COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos contamos con los parámetros, entro de ellos se encuentra el garantizar la seguridad de los Sistemas.

Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001

Objetivo:

Informar a los auditores de sistemas el mínimo nivel aceptado para resolver las responsabilidades profesionales precisadas en el código de ética profesional de ISACA para auditores de sistemas de información.

A las gerencias y otras partes interesadas sobre las expectativas de la profesión concernientes a quienes la practican. Proveer información sobre el cómo cumplir con los estándares de la Auditoría de Sistemas.

Normas Generales de Auditoria en Sistemas

La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Objetivos

Los objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el Código de Ética y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesión con respecto al trabajo de aquellos que la ejercen.

Título de auditoría: Responsabilidad, autoridad y rendimiento de cuentas La responsabilidad, la autoridad y el rendimiento de cuentas abarcados por la función de auditoría de los sistemas de información se documentarán de la manera apropiada en un título de auditoría o carta de contratación.

Independencia: Independencia profesional En todas las cuestiones relacionadas con la auditoría, el auditor de sistemas de información deberá ser independiente de la organización auditada tanto en actitud como en apariencia.

La función de auditoría de los sistemas de información deberá ser lo suficientemente independiente del área que se está auditando para permitir completar de manera objetiva la auditoría.

Ética y normas profesionales: Código de Ética Profesional El auditor de sistemas de información deberá acatar el Código de Ética Profesional de la Asociación de Auditoría y Control de Sistemas de Información.

Idoneidad: Habilidades y conocimientos El auditor de sistemas de información debe ser técnicamente idóneo, y tener las habilidades y los conocimientos necesarios para realizar el trabajo como auditor.

Planificación: El auditor de sistemas de información deberá planificar el trabajo de auditoría de los sistemas de información para satisfacer los objetivos de la auditoría y para cumplir con las normas aplicables de auditoría profesional.

Ejecución del trabajo de auditoría: Supervisión del personal de auditoría de los sistemas de información debe recibir la supervisión apropiada para proporcionar la garantía de que se cumpla con los objetivos de la auditoría y que se satisfagan las normas aplicables de auditoría profesional.

Informes: Contenido y formato de los informes en el momento de completar el trabajo de auditoría, el auditor de sistemas de información deberá proporcionar un informe, de formato apropiado, a los destinatarios en cuestión. El informe de auditoría deberá enunciar el alcance, los objetivos, el período de cobertura, la naturaleza y amplitud del trabajo de auditoría realizado.

Actividades de seguimiento: Seguimiento El auditor de sistemas de información deberá solicitar y evaluar la información apropiada con respecto a hallazgos, conclusiones y recomendaciones es relevantes anteriores para determinar si se han implementado las acciones apropiadas de manera oportuna.

Organismos y Estándares Internacionales de la Auditoria en Sistemas.

Los organismos internacionales que se ocupan del control y de la auditoria de Sistemas son

Fuente Estándares: La regulación de las mejores prácticas de Auditoria en informática como administrar los riesgos en tecnología Informática, la auditoria en base a los organismos nacionales e internacionales.

Institute of System and Association, ISACA.

La InformationSystemAudit and Control Association -Asociación de Auditoria y Control de Sistemas de Información- ISACA, comenzó en 1967. En 1969, el grupo se formalizo, incorporándose bajo el nombre de EDP AuditorsAssociation

Asociación de Auditores de Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI.

Certified Information Security Auditor, CISA.

La Asociación de Auditores y Control de Sistemas de Información (ISACA), provee una Certificación de Auditores en Sistemas de Información (CISA); por medio de un examen anual que realiza el Instituto a los candidatos, el Cual cubre el conocimiento de actividades requeridas para la función de Auditoria en TI, para lo cual presenta un Manual de Información Técnica para la preparación de los Candidatos.

Certified Information Security Manager, CISM

También ISACA provee la Certificación para la Administración de la Seguridad de la Información del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organización.

Institute of InternalAuditors, IIA

El Intitute of Internal Auditors (IIA), organización Profesional con sede en los Estados Unidos, con más de 70.000 miembros en todo el mundo y años de existencia- anualmente organiza su Conferencia Internacional, la que habitualmente congrega a más de un millar de auditores de todos los continentes. El IIA es reconocido mundialmente como una autoridad, pues es el principal educador y líder en la certificación, la investigación y la guía tecnológica en la profesión de la auditoria interna.

CertifiedInternal Auditor, CIA

El IIA cuenta con su propia Certificación de Auditores Internos CIA, la cual se da tanto a proveedores de estos servicios. Contar con profesionales certificados en auditoria interna, para la organización significa contar con un valioso recurso para la dirección y el consejo de administración, que ayuda a garantizar el avance en la dirección correcta para el logro de sus metas y objetivos.

Estandares o Normas Internacionales

Se enuncian algunas de las Normas que el Auditor de Sistemas de información debe conocer. El ajustarse a estas normas no es obligatorio, pero el auditor de sistemas de información debe estar preparado para justificar cualquier incumplimiento a estas.

SEGURIDAD INFORMATICA

SEGURIDAD INFORMÁTICA

La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.

Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de software) o físico (vinculado al mantenimiento eléctrico). Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a distintos sistemas).

En el caso de los virus hay que subrayar que en la actualidad hay una gran lista de ellos que existen y que pueden vulnerar de manera palpable cualquier equipo o sistema informático.

Nos encontramos con los llamados virus residentes que son aquellos que se caracterizan por el hecho de que se hallan ocultos en lo que es la memoria RAM y eso les da la oportunidad de interceptar y de controlar las distintas operaciones que se realizan en el ordenador en cuestión llevando a cabo la infección de programas o carpetas que formen parte fundamental de aquellas.

De la misma forma también están los conocidos virus de acción directa que son aquellos que lo que hacen es ejecutarse rápidamente y extenderse por todo el equipo trayendo consigo el contagio de todo lo que encuentren a su paso.

Los virus cifrados, los de arranque, los del fichero o los sobre escritura son igualmente otros de los peligros contagiosos más importantes que pueden afectar a nuestro ordenador.

Entre las herramientas más usuales de la seguridad informática, se encuentran los programas antivirus, los cortafuegos o firewalls, la encriptación de la información y el uso de contraseñas (passwords).

Objetivos

La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:

La infraestructura computacional: es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La

función de la seguridad informática en este área es velar por que los equipos funcionen adecuadamente y anticiparse en caso de fallos, robos, incendios, sabotajes, desastres naturales, fallos en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información.

Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.

La información: esta es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios. Amenazas

No sólo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias no informáticas que deben ser tomadas en cuenta.

Muchas son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son las redundancias y la descentralización,

Mediante determinadas estructuras de redes en el caso de las comunicaciones o servidores en clúster1 para la disponibilidad

Software de Auditoria

Software de Auditoria.

Son programas utilizados para procesar grandes cantidades de datos generados por la contabilidad de una organización, puede ser: programas en paquete, programas escritos para un propósito específico y programas de utilería.

El Software de Auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención localiza errores y posibles irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios.

Permiten extraer información para su revisión, comparación y así obtener resultados previos al análisis realizado; estos productos utilizados habitualmente por los auditores operativos o financieros, permiten extraer datos concretos o en base a muestras estadísticas.

Permiten al auditor obtener información de los sistemas automatizados como evidencias de las pruebas que se diseñen y planeen antes de ejecutar el software de auditoria.

Tipos de Software de Auditoria

1- Planificación de la auditoria

2- Ejecución- Supervisión

3- Análisis de Riesgo

4- Análisis y evaluación de base de datos

5- Herramientas Integradas

6- Programas para Propósitos Específicos.

Planificación de la Auditoria. Algunas características específicas de este tipo de software podrían ser las siguientes: Capacidad para ingresar, modificar, eliminar criterios de evaluación de las diferentes modalidades de auditoria existentes (Financiera, operacional, especiales, integrales y de sistemas), y así poderlos utilizar en otras auditorias.

Base de datos de mejores practicas de programas de auditoria, estándares de control y otras normas o estándares internacionales con posibilidad de poder agregar mediante librerías o base de datos otros estándares.

Importancia de su aplicación en algunas empresas y/o firmas de auditoria. Planning Advisor está diseñado para los departamentos de auditoría o unidades del negocio que aplican un enfoque de riesgo a sus procesos. No está limitada su utilización a auditoría interna, sino que también puede ser usado para facilitar cualquier proceso de ranking de riesgo de acuerdo con las necesidades del negocio.Por tal razón esta aplicación representa un gran valor en las empresas que requieran llevar un buen control de su información.

Software para la operación. Para el funcionamiento del modulo de auditoria se requiere el siguiente software

Ejecución – Supervisión. Algunas características específicas de este tipo de software podrían ser las siguientes: Sistemas de referencia que incluya: Referencias automáticas de hallazgos, papeles de trabajo y otra documentación de Word o Excel que sea parte del programa de trabajo,

Ingreso de notas de revisión, en los papeles de trabajo.

Repositorio de información histórica de las auditorias realizadas en años anteriores, a su vez de poder consultar los papeles de trabajo e informes emitidos..

Cobit Advisor. Información del producto del Software. Es un programa que automatiza el marco de referencia Cobit. Permite la definición del personal de trabajo en una auditoria, así como elegir el dominio en el cual se trabajara es decir planificación y organización, adquisición y mantenimiento, desarrollo y soporte y monitoreo, así como los subdominios o procesos por cada dominio.

Características del Software

Determinar el nivel apropiados de seguridad de información y control para las necesidades particulares de su organización. basadas sobre programas desarrollados específicamente para el modelo de evaluación de COBIT.

El Monitor de rendimiento clave son indicadores para dar seguimiento a los valores históricos y tendencias sobre la base de sus criterios valores se pueden cargar manualmente o automáticamente directamente de sus sistemas.

Identificar los procesos y aplicaciones específicos que requieren una focalización adicional de controles.

Se Coordinan la planificación y ejecución - junto con Pro Auditoria, Asesor de Planificación le permite proporcionar información continua de su progreso y los resultados de auditoria en su plan, y hacer los ajustes necesarios, por tales acciones, este software es de suma importancia a la hora de implementar una auditoria dentro de una organización.

Análisis de riesgos. Automatizar todos los aspectos de riesgos dentro de una herramienta dinámica.

Base de datos de metodologías/técnicas de análisis de riesgos.

Opciones de realizar análisis de riesgo cualitativo, cuantitativo y mixto.

Definición de parámetros para el análisis cuantitativo del riesgo.

Monitorear y dar seguimiento a la información de las auditorias y al cumplimiento de las recomendaciones.

Rastrear el rendimiento de los indicadores claves de riesgo.

HERRAMIENTAS DEL AUDITOR DE SISTEMAS

HERRAMIENTAS DEL AUDITOR DE SISTEMAS

Se define a las Herramientas como un conjunto de programas y ayudas que dan asistencia a los auditores de sistemas, analistas, ingenieros de software y desarrolladores, por otra parte, podemos decir que son elementos físicos utilizados para llevar a cabo las acciones y pasos definidos en la técnica.

Las herramientas se utilizan para valorar registros, planes, presupuestos, programas, controles y otros aspectos que afectan la administración y control de una organización o las áreas que la integran.

Las herramientas se aplican para investigar algún hecho, comprobar alguna cosa, verificar la forma de realizar un proceso, evaluar la aplicación de técnicas, métodos o procedimientos de trabajo, verificar el resultado de una transacción, comprobar la operación correcta de un sistema software entre otros muchos aspectos.

Resultado de imagen para HERRAMIENTAS EN SISTEMAS

Uso De Herramientas De Auditoria Para Llevar a Cabo El Trabajo Del Auditor

Al utilizar las herramientas en la auditoría de sistemas, lo que se hace es aprovechar lo mejor de ellas para adecuarlas a las necesidades específicas de evaluación requeridas en el ambiente de sistemas; ya sea para evaluar la operación de los sistemas, en cuanto al hardware, software, instalaciones, comunicaciones, etcétera, o la gestión administrativa del área de sistemas, las metodologías de desarrollo de proyectos, entre otros muchos aspectos relacionados con los sistemas. El auditor debe aprovechas las técnicas, procedimientos y herramientas tradicionales de auditoría aplicables en el área de sistemas computacionales; el propósito es que las diseñe y utilice para hacer una evaluación correcta del funcionamiento de dicha área.

Instrumentos de recopilación de datos aplicables en la auditoría de sistemas.

Entrevistas: La principal actividad de un auditor, sin importar el tipo de auditoría que realice, es la recopilación de información sobre el aspecto que va a auditar.

Ciclo de la entrevista de auditoría

Es conveniente señalar que para realizar una entrevista adecuada es indispensable entender y seguir un procedimiento bien estructurado, cuya eficacia en las auditorías tradicionales es muy utilizada.

Existen dos tipos de entrevistas:

Entrevistas libres: Son las entrevistas en las que se sigue un guion básico para obtener la información requerida, pero la participación del entrevistado es libre y sin ninguna atadura. Entrevistas dirigidas: Este tipo de entrevistas es recomendable para rectificar o ratificar datos con el entrevistado, siempre que se establezca perfectamente el guion a seguir durante la entrevista.

Cuestionario Es la recopilación de datos mediante preguntas impresas o cédulas o fichas, en las que el encuestado responde de acuerdo con su criterio, de esta manera, el auditor obtiene información útil que puede concentrar, clasificar e interpretar por medio de su tabulación y análisis para evaluar lo que está auditando y emitir una opinión sobre el aspecto investigado.

Ventajas

Facilitan la recopilación de información y no se necesitan muchas explicaciones ni una gran preparación para aplicarlos.

Permiten la rápida tabulación e interpretación de los datos, proporcionándoles la confiabilidad requerida.

Herramientas De Apoyo a la Auditoria

COBIT: Ayuda a las organizaciones a incrementar el valor de TI., apoya el alineamiento con el negocio y simplifica la implantación del COBIT. Se Audit: Ayuda a las organizaciones a administrar la amplia gama de actividades, datos y procesos relacionados con las auditorías en un ambiente único y amplio. Proporciona la flexibilidad de soportar todos los tipos de auditoría, incluyendo auditorías internas, operacionales, de TI, de proveedores, de riesgos, controles y auditorias de calidad. Gesia: Es una herramienta integral para la Realización, Organización, Gestión y Control de los trabajos de Auditoría, permitiendo al auditor un control permanente y global sobre los papeles de trabajo. Idea: es una herramienta de análisis completa, potente y fácil de usar que analiza rápidamente el 100% de sus datos, garantizando su integridad, acelera su trabajo y prepara el terreno para auditorías más rápidas y efectivas.

Herramientas de Evaluación de la Seguridad

Las Herramienta de auditorías de seguridad informática permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

NMAP: Ha llegado a ser una de las herramientas imprescindibles para todo administrador de sistema, y es usado para pruebas de penetración y tareas de seguridad informática en general.

Como muchas herramientas usadas en el campo de la seguridad informática, es también una herramienta muy utilizada para hacking. NESSUS: Es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Realiza el escaneo en el sistema objetivo, y el cliente (basado en consola o gráfico) que muestra el avance e informa sobre el estado de los escaneos. BAckTrack: Es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. ACL: Es la herramienta de software preferida por los profesionales de las finanzas y auditoría para extraer y analizar datos, detectar fraudes y lograr un monitoreo continuo. Meycor CobiT Suite: Es una completa herramienta integral e intuitiva para la implementación del marco Cobit, para la Gobernanza, la Gestión de riesgos tecnológicos, la Seguridad, el Control Interno, y el Aseguramiento de la TI Apex SQL Audit: Provee una herramienta de auditoría activa para empresas que necesitan auditar bases de datos Microsoft SQL Server. Apex SQL Audit: es la solución perfecta de auditoría activa para SQL Server. Trillium Software: Combina el poder de tecnología de vanguardia con un proceso probado de descubrimiento, reingeniería, identificación, estandarización y mejora de los datos, así como la obtención y detección de relaciones entre los registros de la

Metodología de una Auditoría de Sistemas

Metodología de una Auditoría de Sistemas

Existen algunas metodologías de Auditorías de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

	· Estudio preliminar.
	· Revisión y evaluación de controles y seguridades.
	· Examen detallado de áreas criticas.
	· Comunicación de resultados.

Estudio Preliminar.- Incluye definir el grupo de trabajo, el Programa de Auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD.

Revisión y Evaluación de Controles y Seguridades.- Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.

Examen Detallado de Areas Criticas.- El auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la Auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.

Comunicación de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

		Motivos de la Auditoría.
		Objetivos.
		Alcance.
		Estructura Orgánico-Funcional del área Informática.
		Configuración del Hardware y Software instalado. Control Interno Resultados de la Auditoria. PROCEDIMIENTOS Y TECNICAS DE AUDITORIA. Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoría además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia. Planificación de la auditoría Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado. A continuación se menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoría: Comprensión del negocio y de su ambiente. Al planificar una auditoría, el auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe Comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de información y de control que no están presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son: Recorrer las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de informes de auditorías anteriores. Riesgo y materialidad de auditoría. Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede convertiré en un error material para todo el sistema. La materialidad en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario. Técnicas de evaluación de Riesgos. Al determinar que áreas funcionales o temas de auditoría que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el auditor de sistemas debe evaluar esos riesgos y determinar cuales de esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditoría. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoría se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base para la organización de la auditoría a fin de administrar eficazmente el departamento. Proveer un resumen que describa como el tema individual de auditoría se relaciona con la organización global de la empresa así como los planes del negocio. Objetivos de controles y objetivos de auditoría. El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por ejemplo como objetivos de auditoría de sistemas los siguientes: La información de los sistemas de información deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditoría se consiguen mediante los procedimientos de auditoría. Procedimientos de auditoría. Algunos ejemplos de procedimientos de auditoría son: Revisión de la documentación de sistemas e identificación de los controles existentes. Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados. Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos. Técnicas de diagramas de flujo para documentar aplicaciones automatizadas. Desarrollo del programa de auditoría. Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados. El esquema típico de un programa de auditoría incluye lo siguiente: Tema de auditoría: Donde se identifica el área a ser auditada. Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a realizar. Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un período de tiempo determinado. Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar. Procedimientos de auditoría para: Recopilación de datos. Identificación de lista de personas a entrevistar. Identificación y selección del enfoque del trabajo Identificación y obtención de políticas, normas y directivas. Desarrollo de herramientas y metodología para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicación con la gerencia. Procedimientos de seguimiento. El programa de auditoría se convierte también en una guía para documentar los diversos pasos de auditoría y para señalar la ubicación del material de evidencia. Generalmente tiene la siguiente estructura: Asignación de Recursos de auditoría. La asignación de recursos para el trabajo de auditoría debe considerar las técnicas de administración de proyectos las cuales tienen los siguientes pasos básicos: Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible. Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algún mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las hojas de control de tiempo. Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas. Técnicas de recopilación de evidencias. La recopilación de material de evidencia es un paso clave en el proceso de la auditoría, el auditor de sistemas debe tener conocimiento de cómo puede recopilar la evidencia examinada. Algunas formas son las siguientes: Revisión de las estructuras organizacionales de sistemas de información. Revisión de documentos que inician el desarrollo del sistema, especificaciones de diseño funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarán en documentos, sino en medios magnéticos para lo cual el auditor deberá conocer las formas de recopilarlos mediante el uso del computador. Evaluación de fortalezas y debilidades de auditoría. Luego de desarrollar el programa de auditoría y recopilar evidencia de auditoría, el siguiente paso es evaluar la información recopilada con la finalidad de desarrollar una opinión. Para esto generalmente se utiliza una matriz de control con la que se evaluará el nivel de los controles identificados, esta matriz tiene sobre el eje vertical los tipos de errores que pueden presentarse en el área y un eje horizontal los controles conocidos para detectar o corregir los errores, luego se establece un puntaje (puede ser de 1 a 10 ó 0 a 20, la idea es que cuantifique calidad) para cada correspondencia, una vez completada, la matriz muestra las áreas en que los controles no existen o son débiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control Informe de auditoría. Los informes de auditoría son el producto final del trabajo del auditor de sistemas, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aquí también se expone la opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditoría, no existe un formato específico para exponer un informe de auditoría de sistemas de información, pero generalmente tiene la siguiente estructura o contenido Seguimiento de las observaciones de auditoría. El trabajo de auditoría es un proceso continuo, se debe entender que no serviría de nada el trabajo de auditoría si no se comprueba que las acciones correctivas tomadas por la gerencia, se están realizando, para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento dependerá del carácter crítico de las observaciones de auditoría. El nivel de revisión de seguimiento del auditor de sistemas dependerá de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situación actual, en otros casos tendrá que hacer una revisión más técnica del sistema.