01 auditoria sistemas informacion-españa

Servicio de Auditoría Interna

Auditoría deSistemas de Información



ÍndiceÍndice

Estrategia para la Auditoría de Sistemas de la Información

Esquema Organizativo Auditor Informático Estándares y Normas Técnicas Planificación de Actuaciones Proceso de Auditorías de Sistemas de Información Guión para Auditorías de Sistemas de Información Informes de Auditorías de Sistemas de Información


Estrategia para la Auditoría de Sistemas de InformaciónEstrategia para la Auditoría de Sistemas de Información

Necesidad de definir una estrategiaNecesidad de definir una estrategiaLas TIC han acompañado la automatización y el crecimientoLa información y los recursos TIC como activos de las

organizacionesDependencia de las TIC

Implicación de la DirecciónImplicación de la DirecciónIncremento vulnerabilidad de los sistemasDar respuesta a la dependencia de la informaciónImportancia costes e inversiones TICPotencial de las TIC para introducir cambiosDesconfianza en los procedimientos automatizados


Objetivos de las Administraciones Públicas: Cumplimiento de la legalidad vigente Eficacia Eficiencia

Auditoría Sistemas de Información > Supervisión de los riesgos de los sistemas de información que pudieran afectar al cumplimiento de la legalidad vigente, la eficiencia y la eficacia de los procesos soportados por los sistemas de información, en especial los de la administración electrónica.



Esquema OrganizativoEsquema Organizativo

IndependenciaAutoridad



Mandato para una Auditoría Interna



Mandato para una Auditoría Externa



Naturaleza del trabajo de auditoría de sistemas de Naturaleza del trabajo de auditoría de sistemas de información (I)información (I)

Actuaciones de apreciación independiente para supervisar el control establecido

A- Actividades básicasA- Actividades básicasDirección o Gobierno de las TIC (Gobernanza TIC)Supervisar el control interno TICSupervisar la gestión de riesgos TIC



Naturaleza del trabajo de auditoría de sistemas de Naturaleza del trabajo de auditoría de sistemas de información (II)información (II)

Protección de datos de carácter personalControl de accesosAdministración ElectrónicaEquipamiento informáticoSeguridad sistemasDesarrollo y mantenimiento de aplicacionesExplotación de sistemas de informaciónContratación bienes y servicios TICTécnica de sistemasContinuidad del servicio TICAcreditación de confianza



Naturaleza del trabajo de auditoría de sistemas de Naturaleza del trabajo de auditoría de sistemas de información (III)información (III)

B- Acciones proactivasB- Acciones proactivasParticipación en el ciclo de controlParticipación en el ciclo de controlAsegurar existencia de controles internos razonables y adecuadosDivulgar y fomentar las buenas prácticasFomentar la documentación de los sistemas y procedimientosAsesorar en la implementación de pistas de auditoríaAsesorar en las salvaguardas de activosAsegurar eficiencia gestión recursos



Naturaleza del trabajo de auditoría de sistemas de Naturaleza del trabajo de auditoría de sistemas de información (IV)información (IV)

C- Auditoría forenseC- Auditoría forenseDesafío ante delitos informáticos, garantizando la evidencia Desafío ante delitos informáticos, garantizando la evidencia digital que se presentase en un proceso judicial.digital que se presentase en un proceso judicial.Recuperar informaciónDeterminar cusa y origen de una situaciónIdentificar autor(es) acciones ilícitasIdentificar uso inapropiado de los medios de la Organización



Naturaleza del trabajo de auditoría de sistemas de Naturaleza del trabajo de auditoría de sistemas de información (V)información (V)

D- Apoyo en auditorías externasD- Apoyo en auditorías externasSupervisión de auditores externos.Supervisión de auditores externos.

E- Apoyo a otras áreas de AuditoríaE- Apoyo a otras áreas de AuditoríaAsistencia para la obtención, estructuración y análisis de la Asistencia para la obtención, estructuración y análisis de la información.información.


Auditor InformáticoAuditor Informático

Áreas de Conocimiento (certificables)Áreas de Conocimiento (certificables)

Técnica o metodología de auditoría informáticaGestión, planificación y organización de las TICInfraestructura técnica, prácticas operativas y protección de

activosRecuperación de desastres y continuidad de la actividadDesarrollo, adquisición, implementación y mantenimiento de

sistemasEvaluación de procesos y gestión de riesgos


Auditor InformáticoAuditor Informático

Otras características (no certificables)Otras características (no certificables)

Comprender procesos de gestión y normativa legalIdentificar problemas y plantear solucionesLlenar vacío de comunicación entre dirección, usuarios y

técnicosSaber comunicarNegociar situaciones de conflictoSaber cuando solicitar asistencia


Estándares y Normas TécnicasEstándares y Normas TécnicasPrincipiosPrincipiosSalvar brechas entre riesgos del proceso de gestión,

necesidades de control y aspectos técnicosDeterminar el alcance de las actuaciones e identificar los

controles mínimosObservar e incorporar estándares y regulaciones nacionales

o internacionales

HechosHechosAdecuar técnicas auditoría tradicionales a los controles de las TICGenerar resultados homogéneosOrganizar los trabajos (tipificar tareas)Emplear distintos referentes según tipo de auditoríaEstándares basados en buenas prácticas


Estándares y Normas TécnicasEstándares y Normas Técnicas

1)1) Instrumentos de normalización de las Instrumentos de normalización de las Administraciones Públicas en EspañaAdministraciones Públicas en España

Normas de Auditoría del Sector Público de la IGAE: No son específicas a la auditoría de sistemas de información

MAGERIT Versión 2: Es la metodología de análisis y gestión de riesgos de los sistemas de información.

Modelo EFQM de Excelencia: Es una orientación de la Fundación Europea para la Gestión de la Calidad que contempla algunos criterios que hacen referencia a las TIC

Serie Seguridad de las Tecnologías de la Información del Centro Criptográfico Nacional (CCN-STIC)



2)2) Instrumentos de normalización de las Instrumentos de normalización de las Administraciones Públicas en EE.UU.Administraciones Públicas en EE.UU.

Government Auditing Standars (GAGAS): Son las normas de aplicación para el General Accountability Office (GAO) de EE.UU.

Federal Information System Controls Audit Manual (FISCAM): Una guía metodológica que aplica las normas del GAO y del NIST.

Serie de Publicaciones Especiales SP-800 del Instituto Nacional de Estándares y Tecnología (NIST)



3)3) Prácticas y recomendaciones de asociaciones Prácticas y recomendaciones de asociaciones internacionales (I)internacionales (I)

Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (The Institute of Internal Auditors)

Asociación de Auditoría y Control de Sistemas de Información (ISACA)

Control Objetives for Information and Related Technologies (COBIT)

IS Standars, Guidelines and Procedures for Auditing and Control Professionals

Information Technology Infraestructure Library (ITIL)



3)3) Prácticas y recomendaciones de asociaciones Prácticas y recomendaciones de asociaciones internacionales (II)internacionales (II)

Modelo de Madurez de las Capacidades Integrado para el Desarrollo (CMMI) del Instituto de Ingeniería del Software (SEI)

Instituto SANS (SysAdmin, Audit, Network, Security) Normalización internacional ISO:Normalización internacional ISO:

Gestión de Servicios de las Tecnologías de la Información (IT Service Management): ISO/IEC 20000:2005

Seguridad de la Información: Familia ISO/IEC 27000 Criterios comunes de evaluación de la seguridad de las

tecnologías de la información ISO/IEC 15408:2005 (Common Criteria for Information Technology Security Evaluation)


Planificación de ActuacionesPlanificación de Actuaciones

Qué auditarQué auditar Cumplimiento de requerimientos legales Sensibilidad de la organización a riesgos / resultado de análisis Resultado de auditorías anteriores Condicionantes de la OrganizaciónCuándo auditarCuándo auditar Priorizar las actuaciones detectadas y ajustando el alcance a

los recursos disponibles y las demandas de la dirección Elaborar el documento de planificación periódica de la unidad

de auditoría Revisión periódica del plan inicial para incorporar actuaciones

no previstasCómo auditarCómo auditar Proceso para planificar las actuaciones individuales


Planificación de ActuacionesPlanificación de Actuaciones

Análisis de riesgos

Sensibilidad de la Dirección

Requerimientos legales

Prioridades de la Organización

Situaciones de riesgo inicialmente no previstas

Plan de Actuaciones de Auditoría

Actuación 1 Actuación 2 Actuación n....

Tarea 2Tarea 1

Tarea n


Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información



PLANIFICACIÓN DE ACTIVIDADESPLANIFICACIÓN DE ACTIVIDADES

Identificar la información a recopilarIdentificar las tareas de campoIdentificar interlocutoresRecursos necesarios/disponiblesResponsabilidades de los miembros del equipo auditoríaCalendario tentativo



Identificar el Alcance de la ActuaciónIdentificar el Alcance de la Actuación Que se quiere comprobar Que se pretende demostrar Que se va a informar

Obtención de Información PreliminarObtención de Información Preliminar Actividad llevada a cabo por el área a auditar Esquema de control interno (políticas, normas, etc.) Estándares de referencia Informes anteriores Familiarizarse con el entorno tecnológico a auditar



Identificar Objetivos DetalladosIdentificar Objetivos Detallados Evaluación preliminar para identificar objetivos de control Identificar posibles condicionantes Grado de extensión acorde al alcance

Auditorías de cumplimiento:Modelo de control de referencia

Existencia de controles

Adecuación y eficacia de los controles

Proporcionalidad

Auditorías operativas:Modelo de control de referencia

Planificación y gestión de controles

Aseguramiento de los controles

Oportunidad de introducir cambios



FORMALIZACIÓN DEL INICIO DE LA ACTUACIÓNFORMALIZACIÓN DEL INICIO DE LA ACTUACIÓN

Notificación del responsable de la unidad de auditoría al responsable del área a auditar

Reunión del equipo auditor con el responsable de la unidad a auditar para comunicar:

Alcance de los trabajosNecesidad/obligación de colaboraciónInterlocutor del equipo auditor

Se debe tener presente no interferir con el trabajo realizado por el área auditada



TRABAJOS DE CAMPOTRABAJOS DE CAMPO

Técnicas Recolección de EvidenciasTécnicas Recolección de Evidencias

Revisión de documentosEntrevistasObservación del trabajo realizadoPruebas y verificacionesUso de herramientas



Uso de Herramientas Informáticas o Técnicas de Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - Auditoría Asistidas por Ordenador - CAATCAAT (I) (I)

Obtención de información de los SI Recolección de evidencias de los SI Creación de muestras para realizar pruebas

Ventajas Aseguran independencia en la recolección de datos Disminuyen el riesgo propio del proceso de auditoría Mayor cobertura y consistencia de la pruebas



Características Productos informáticos ad-hoc o herramientas de los sistemas Acceso a distintas estructuras o formatos de datos Aplicación de criterios de selección Reorganización de la información obtenida Funciones estadísticas y aritméticas

Precauciones El acceso a los datos reales por los auditores debe ser siempre sólo

en modo lectura Los datos extraídos deben aislarse del entorno de producción para

evitar que las manipulaciones alteren los originales El empleo de herramientas que puedan causar perturbaciones debe

ser limitado

Uso de Herramientas Informáticas o Técnicas de Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - Auditoría Asistidas por Ordenador - CAATCAAT (II) (II)



Uso de Herramientas Informáticas o Técnicas de Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - Auditoría Asistidas por Ordenador - CAATCAAT (III) (III)

Ejemplos Logs: contienen el registro de actividad Utilidades de sistema: contienen los parámetros que

implementan las políticas de control Software generalizado de auditoría: acceso a archivos,

selección de datos, reorganización, etc. Software específico: herramientas empleadas con un

propósito concreto


Guión para Auditorías de Sistemas de InformaciónGuión para Auditorías de Sistemas de Información

El GUIÓNGUIÓN es la herramienta fundamental de apoyo para el auditor que documenta el proyecto de la auditoría

Identifica que tareas se deben efectuar durante la actuación

Cuantifica los medios necesarios Define la secuencia de los trabajos Para que el equipo comprenda lo que debe

realizar y obtenga una visión del conjunto



ESTRUCTURA DEL GUIÓNESTRUCTURA DEL GUIÓN

1. Punto(s) de control

En función del objetivo y alcance de la actuación se habrán establecido objetivos de control detalladosobjetivos de control detallados => apartados del guión. Identifica lo que se va a supervisar del sistema de control.

2. Directriz de auditoría Desarrollan los Puntos de control señalando las tareas a tareas a

efectuarefectuar, antes o durante la actuación. Determinan los medios y técnicas necesarios para cada punto

de control Limitadas por el desarrollo de la función de auditoría en la

Organización



Esquema COBIT para el guiónEsquema COBIT para el guiónSe

cuen

cia

de la

s ac

tivid

ades


Informes de Auditorías de Sistemas de InformaciónInformes de Auditorías de Sistemas de Información

Contenidos del Informe de Auditoría


Informes de Auditorías de Sistemas de InformaciónInformes de Auditorías de Sistemas de Información

Ejemplos de Informes de Auditorías Sistemas de Ejemplos de Informes de Auditorías Sistemas de InformaciónInformación

Elaboración propia Basado en actuaciones reales Cumplimiento de políticas e instrucciones

Georgia Department of Audits and Accounts Informe sistema información para la gestión del IVA Informe de seguimiento

National Audit Office Informe de calidad de la información Impuesto Renta Progreso en información y servicios on-line

Goverment Accountabillity Office Uso de datos adquiridos Desafío en el uso del correo electrónico

Servicio de Auditoría Internawww.agenciatributaria.es

Fernando Rodríguez Rivadulla

[email protected]

01 auditoria sistemas informacion-españa

Documents