auditoríasistemasejemplos prácticos.2012v0
TRANSCRIPT
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos
MODELO ORGANIZACIONAL Y OPERATIVO
DE LA PRÁCTICA DE LA AUDITORÍA INFORMÁTICA
Damián Ruiz Soriano (CISA, CISSP. Lead Auditor)
Departamento de Auditoría de Sistemas de Producción de Bankia
23 de octubre de 2012
1
Ejemplos prácticos Auditoría de procesos
Auditorías de Arquitecturas Tecnológicas
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 2
Evaluar la estructura de control interno
Fortalezas y debilidades materiales en el diseño e implementación de controles internos y su eficacia para alcanzar los objetivos de control
Auditoría Informática: Misión
Controles
Objetivo de Control
Conceptos básicos.
Objetivos de control. Controles
Evaluación
Evaluar
Práctica de control=Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 3
•Políticas, procedimientos, prácticas y estructuras organizacionales implementadas para proveer una certeza razonable de que se alcanzarán los objetivos de negocio de una organización y que los eventos de riesgo no deseados serán previstos o detectados.
•El control es el medio por el cual se alcanza los objetivos de control.
•Un objetivo de control en TI es una definición del resultado o propósito que se desea alcanzar implementando prácticas de control (técnicos, humanos, procedimentales) en un proceso específico de TI (o directamente con las actividades específicas dentro del proceso)
• Los objetivos de control son requisitos de alto nivel que deben ser considerados para el control eficaz del proceso.
Controles
Objetivo de Control
Conceptos básicos.
Objetivos de control. Controles
Evaluación
Evaluar •Políticas, procedimientos, prácticas y estructuras organizacionales implementadas.
Práctica de control=Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 4
…
Sistema de Administración de Problemas
Escalamiento de Problemas
Seguimiento de Problemas
…
Objetivo
de Control
La Gerencia deberá definir e implementar procedimientos de escalamiento de problemas para
asegurar que los problemas sean resueltos oportunamente de la manera más eficiente.
Estos procedimientos deberán asegurar que las prioridades sean establecidas apropiadamente.
Controles •Los escalamientos de problemas se notifican al nivel apropiado.
•Se evalúa periódicamente el proceso de manejo de problemas (efectividad y eficiencia).
•Se realizan reportes de incidentes para los eventos críticos
Proceso
Actividad
…
Asegurar el servicio continuo
Garantizar la seguridad del sistema
…
Administración de Instalaciones
Administración de problemas e incidentes
Administración de Operaciones
Conceptos básicos.
Objetivos de control. Controles
Evaluación
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 5
Identificación Objetivos de Control
Identificar objetivos de control de
alto nivel del propietario del proceso
Mapear con objetivos de control de
alto nivel con marcos de referencia.
(identificar ausencias)
Objetivos de Control. Controles. Pueden estar identificados (o no) e implementados (o no) por parte
del propietario del proceso.
En cualquier caso el Auditor debe estar capacitado para definir/exigir objetivos de control y
controles a partir de modelos de buenas prácticas de gestión y control (ej. CoBIT, ITIL)
Analizar documentación existente asociada
al proceso a auditar, para identificar
controles definidos formalmente o tareas
de las cuales se puedan inferir controles.
Mapear con controles de marcos de
referencia. (identificar ausencias)
Identificación de Controles
Desarrollar un cuestionario de puntos de control
Definir objetivos de control de alto
nivel según marcos de referencia.
Definir prácticas de control que den
cobertura a los objetivos de control. Analizar
los marcos de referencia.
Existen
definiciones
formales
NO existen
definiciones
formales
Conceptos básicos.
Objetivos de control. Controles
Evaluación
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 6
Evolución de la práctica auditora de
Sistemas de Información
Mejores prácticas: "una manera de hacer las cosas o un trabajo, aceptado ampliamente por la
industria y que funciona correctamente..." Aidan Lawes, CEO itSMF
"Las mejores prácticas" son la mejor identificación de acercamiento a una situación basada
en observaciones sobre organizaciones efectivas en similares circunstancias de negocio.
Un acercamiento a "las mejores prácticas"
significa la búsqueda de ideas y experiencias
que han funcionado con aquellos que emprendieron
actividades similares en el pasado y
se decide cuál de esas prácticas son relevantes
con la situación actual que se tiene.
Una vez identificadas, se prueban con intención de
ver si las mismas funcionan, antes de incorporarlas
cómo prácticas aprobadas
en su propio proceso documentado.
"Las mejores prácticas" evitan "re-inventar la rueda",
sino que es el aprendizaje a través de otros,
con implementaciones que han sido
desarrolladas para que funcionen correctamente.
Metodología
Objetivos de Control. Controles. [Mejores prácticas]
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 7
• Objetivos de Control para Tecnología de Información
• ¿Qué es?: Un estándar de Controles y Auditoría de Tecnología Informática
• Un conjunto internacional y actualizado de objetivos de control para tecnología de
información que sea de uso cotidiano para gerentes, auditores.
Cobit
• Gerencia (apoyo a decisiones de inversión en TI y control sobre el rendimiento de
las mismas, analizar el costo beneficio del control)
• Auditores : soportar opiniones sobre los controles de los proyectos de TI , su
impacto en la organización y determinar el control mínimo requerido.
• Responsables de TI: para identificar los controles que requieren en sus áreas
• Define las actividades de TI de una organización, en un modelo genérico de procesos.
• El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común
para todos los implicados en los trabajos de la organización, con el fin de que visualicen y administren
las actividades de TI. La incorporación de un modelo y un lenguaje común para todas las partes de un
negocio involucradas en TI es uno de los pasos iniciales más importantes hacia un buen gobierno.
• Brinda un marco de trabajo para la medición y monitorización del desempeño de las Tecnologías de
Información, e integra las mejores prácticas administrativas.
• Fomenta la propiedad de los procesos, permitiendo que se definan las responsabilidades. Determina las
actividades y los riesgos que requieren ser administrados.
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 8
• Requerimientos de la información del negocio.
• Recursos de Tecnología Informática
• Procesos de Tecnología Informática
Pilares del Modelo CobiT
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
RECURSOS
DE TI
PROCESOS
DE TI
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 9
• Confidencialidad: Protección de la información sensible contra divulgación no autorizada o desde el punto de vista del uso no autorizado.
– Grado de protección que tiene la información y los sistemas de información para evitar el acceso no autorizado
• Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.
– Que la información sea coherente, competa, fiable y veraz
• Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos.
– Que la información y los sistemas de información estén disponibles siempre que se necesiten
• Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.
• Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en su debido momento oportuna, correcta, consistente y de manera utilizable .
– Que los sistemas informáticos sea suficientes para dar soporte a los procesos
• Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica).
– Que los costes en los que se incurre sean razonables y proporcionados a sus necesidades y que estén correctamente gestionados
• Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.
Requerimientos de la Información del Negocio
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 10
• Datos: Los objetos de información. Información interna y externa, estructurada o no, gráficas, sonidos, etc. Información
• Aplicaciones: Entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Aplicaciones propias, desarrolladas por terceras casa o compradas a terceros.
• Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.
• Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Infraestructura: Hardware, sistemas operativos, gestores de bases de datos, redes e instalaciones.
• Recurso Humanos: Todo lo relacionado con la gestión de personal propio o subcontratado para planificar, adquirir, prestar servicios, dar soporte y monitorizar los sistemas de Información.
Recursos de Tecnología Informática
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 11
Procesos de TI :Los Tres Niveles
Dominios
Agrupación Natural de procesos, normalmente corresponden a un dominio
o una responsabilidad organizacional
Procesos
Conjuntos o series de actividades unidas con
delimitación o cortes de control.
Actividades o tareas
Acciones requeridas para lograr un resultado medible. Las
Actividades tienen un ciclo de vida mientras que las tareas
son discretas.
• Planificación y Organización (Planning and Organization)
• Adquisición e implementación (Acquisition and Implementation)
• Prestación de Servicios y Soporte (Delivery and Support)
• Seguimiento (monitoring)
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 12
OBJETIVOS DEL NEGOCIO
OBJETIVOS DE GOBIERNO
Eficiencia
Aplicaciones
Información
Infraestructura
Personas
ENTREGA
Y
SOPORTE
MONITORIZAR
Y
EVALUAR
ADQUISICIÓN
E
IMPLEMENTACIÓN
INFORMACION
RECURSOS
DE
TI
MARCO DE REFERENCIA
C O B I T
Efectividad Confidencialidad
Integridad
Disponibilidad
Cumplimiento
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Asegurar continuidad de servicio.
DS5 Garantizar la seguridad de sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y capacitar usuarios.
DS8 Administrar servicios de apoyo e incidentes.
DS9 Administrar la configuración.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente físico.
DS13 Administrar operaciones.
ME1 Monitorear y Evaluar el desempeño de TI.
ME2 Monitorear y Evaluar el control interno.
ME3 Garantizar el cumplimiento regulatorio.
ME4 Proveer Gobierno de TI.
PO1 Definir un plan estratégico de TI.
PO2 Definir la arquitectura de información.
PO3 Determinar la dirección tecnológica.
PO4 Definir los procesos de TI, la
organización y sus relaciones.
PO5 Administrar las inversiones en TI.
PO6 Comunicar la dirección y objetivos de la
gerencia.
PO7 Administrar los recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI.
PO10 Administrar proyectos.
AI1 Identificar soluciones de automatización.
AI2 Adquirir y mantener software de aplicación.
AI3 Adquirir y mantener la infraestructura tecnológica.
AI4 Permitir la operación y uso.
AI5 Obtener recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios.
PLANIFICACIÓN
Y
ORGANIZACIÓN
Confiabilidad
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 13
Pro
ceso
s T
I Dominios
Procesos
Actividades
Criterios de la Información Relación entre componentes
• Requerimientos de la información del negocio.
• Recursos de Tecnología Informática
• Procesos de Tecnología Informática
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 14
DOMINIO PROCESOSEfe
ctiv
idad
Eficie
ncia
Confid
enci
alid
ad
Inte
gridad
Dis
ponibili
dad
Cum
plimie
nto
Confia
bilidad
Perso
nas
Aplic
acio
nes
Tecnolo
gía
inst
alac
iones
Dat
os
PLAN Y
ORGANIZACIÓN
PO1 Definir el plan estratégico de TI P S √ √ √ √ √
PO2 Definir la Arquitectura de la información P S S S √ √
PO3 Determinar la dirección tecnológica P S √ √
PO4 Definir procesos, organización y relaciones de TI P S √
PO5 Administra la inversión en TI P P S √ √ √ √
PO6 Comuinicar las aspiraciones y la dirección de Gerencia P S √
PO7 Administrar Recursos Humanos de TI P P √
PO8 Administrar calidad P P S √ √ √
PO9 Evaluar y Administrar riesgos de TI P S P P P S S √ √ √ √ √
PO10 Administrar proyectos P P √ √ √ √
PO11 Administrar calidad P P P S √ √ √ √
AI1 Identificar soluciones automatizadas P S √ √ √
AI2 Adquiriri y mantener el Software aplicativo P P S S S √
AI3 Adquiriri y mantener el la Infraestructura ttecnológica P P S √
AI4 Facilitar la operación y el uso P P S S S √ √ √ √
AI5 Adquirir recursos de TI P S S √ √ √ √ √
AI6 Administrar Cambios P P P P S √ √ √ √ √
DS1 Definir y administrar niveles de Servicio P P S S S S S √ √ √ √ √
DS2 Administrar servicios de terceros P P S S S S S √ √ √ √ √
DS3 Administrar desempeño y capacidad P P S √ √ √
DS4 Garantizar la continuidad del Servicio P S P √ √ √ √ √
DS5 Garantizar la seguridad de los sistemas P P S S S √ √ √ √ √
DS6 Identificar y asignar costos P P √ √ √ √ √
DS7 Educar y entrenar a los usuarios P S √
DS8 Administrar la mesa de servicio y los incidentes P P √ √
DS9 Administrar la configuración P S S √ √ √
DS10 Administrar lños problemas P P S √ √ √ √ √
DS11 Administrar los datos P P √
DS12 Administrar el ambiente físico P P √
DS13 Administrar las operaciones P P S S √ √ √ √
M1 Monitorear y evaluar el desempeño de TI P P S S S S S √ √ √ √ √
M2 Monitorear y evaluaar el control interno P P S S S P S √ √ √ √ √
M3 Garantizar cumplimiento interno P P S S S P S √ √ √ √ √
M4 Proporcionar Gobierno de TI P P S S S P S √ √ √ √ √
ENTREGA Y SOPORTE
MONITORIZACIÓN Y
EVALUACIÓN
PLAN Y
ORGANIZACIÓN
ADQUISICIÓN E
IMPLEMENTACIÓN
Relación entre componentes
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 15
DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Asegurar continuidad de servicio. DS5 Garantizar la seguridad de sistemas. DS6 Identificar y asignar costos. DS7 Educar y capacitar usuarios. DS8 Administrar servicios de apoyo e incidentes. DS9 Administrar la configuración. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente físico. DS13 Administrar operaciones.
Dominio: DS Entrega y Soporte
DS8.1 Mesa de Servicio (Service Desk)
DS8.2 Registros de consultas de clientes
DS8.3 Escalamiento de incidentes
DS8.4 Cierre de incidentes
DS8.5 Análisis de tendencias
Pro
ceso
s del D
om
inio
Actividades del proceso «Administrar servicios
de apoyo e incidentes»
Proceso
Actividad
Responder de manera oportuna y efectiva a las consultas y problemas
de los usuarios de TI, requiere de una mesa de servicio bien diseñada
y bien ejecutada, y de un proceso de administración de incidentes.
Este proceso incluye la creación de una función de mesa de servicio
con registro, escalamiento de incidentes, análisis de tendencia,
análisis causa-raiz y resolución.
Los beneficios del negocio incluyen el incremento en la productividad
gracias a la resolución rápida de consultas. Además, el negocio puede
identificar la causa raíz (tales como un pobre entrenamiento a los
usuarios) a través de un proceso de reporte efectivo.
Establecer procedimientos de mesa de servicios de manera que los
incidentes que no puedan resolverse de forma inmediata sean
escalados apropiadamente de acuerdo con los límites acordados en
el SLA y, si es adecuado, brindar soluciones alternas.
Garantizar que la asignación de incidentes y el monitoreo del ciclo de
vida permanecen en la mesa de servicios, independientemente de
qué grupo de TI esté trabajando en las actividades de resolución
Objetivo de control de alto nivel para el PROCESO
Objetivo de control detallado para la ACTIVIDAD
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Emitir reportes de la actividad de la mesa de servicios para permitir
a la gerencia medir el desempeño del servicio y los tiempos
derespuesta, así como para identificar tendencias de problemas
recurrentes de forma que el servicio pueda mejorarse de forma
continua.
Actividad Objetivo de control detallado para la ACTIVIDAD
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 16
COBIT 4.1
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 17
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 18
CoBIT Control Practices. Proporciona directivas para alcanzar los objetivos de control.
Documento detallado de ayuda para la justificación y diseño de controles.
Asociado a cada OBJETIVO DE CONTROL
(1) Riesgos que se evitan
(2) Valor que se obtiene.
(3) PRACTICAS DE CONTROL. Instrucción para la consecución del objetivo.
Control Objective
Actividad n (del proceso p)
Texto del Objetivo de Control
detallado para la actividad n
Value Drivers
Valores que se obtienen
cuando se cubre el
objetivo de control
Ejemplos de riesgos
que se evitan cunado
se cubre elobjetivo de
control
Risk Drivers
Control Practices
1.
2. Instrucciones para la consecución del objetivo
3.
Proceso p
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 19
CoBIT Control Practices.
DS8 Administrar servicios de apoyo e incidentes
DS8.3 Escalado de Incidentes
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 20
CoBIT Control Practices.
DS8 Administrar servicios de apoyo e incidentes
DS8.5 Reporte y análisis de tendencias
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 21
IT Assurance Guide (Using COBIT). Guía de Aseguramiento de TI.
Reemplaza a un documento anterior de directrices de auditoría.
Se trata de una guía sobre la forma en que COBIT puede servir de apoyo
para diversas actividades de aseguramiento y cómo se puede realizar una
revisión (auditoría) del aseguramiento en cada uno de los procesos de TI.
Control Objective
Actividad n (del proceso p)
Texto del Objetivo de Control detallado
para la actividad n
Value Drivers
Valores que se obtienen
cuando se cubre el
objetivo de control
Ejemplos de riesgos
que se evitan cunado
se cubre elobjetivo de
control
Risk Drivers
Test de Control Design
1.
2. Instrucciones para la revisión del diseño del control
3.
Proceso p
Texto del Objetivo de Control de alto nivel para el proceso p
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 22
IT Assurance Guide
DS8 Administrar servicios de apoyo e incidentes
DS8.3 Escalado de Incidentes
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 23
IT Assurance Guide
DS8 Administrar servicios de apoyo e incidentes
DS8.5 Reporte y análisis de tendencias
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 24
Objetivos de control. Controles. Cobit
Mejores prácticas. Fuente 1/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 25
¿Qué es ITIL?
Una biblioteca que documenta las Buenas Prácticas de la Gestión de Servicios de TI.
ITIL es un estándar enfocado a la planificación, provisión y soporte de servicios de TI.
Describe la arquitectura para establecer y operar la gestión de servicios de TI.
¿Por qué es útil ITIL a la práctica de la Auditoría Informática?
Framework para identificar un mapa de procesos de TI (tareas, actividades, y roles)
Herramienta para identificar objetivos de control y controles dentro de los procesos a auditar.
Objetivos de control. Controles. ITIL
Mejores prácticas. Fuente 2/3
•Provisión de Servicios TI
•Soporte de Servicios TI
•Perspectiva de Negocios
•Gestión de Infraestructura
•Perspectiva de Negocio
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 26 26
Soporte de Servicios Provisión de Servicios
Gestión de Incidencias
Gestión de Problemas
Gestión de Cambios
Gestión de la Configuración
Gestión de la Capacidad
Gestión de la Disponibilidad
Gestión de la Continuidad
Gestión Financiera
Gestión de Niveles de Servicio
Objetivos de control. Controles. ITIL
Mejores prácticas. Fuente 2/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 27
Cobit e ITIL son frameworks complementarios que nos permiten identificar procesos, actividades y tareas y dentro de ellos, objetivos de control, en la Auditoría de Procesos.
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 28
Objetivos de control. Controles. ITIL
Mejores prácticas. Fuente 3/3
FFIEC IS Requeriments
(Federal Financial Institutions Examination Council‟s)
El estándar utilizado por la Reserva Federal de EEUU como guía de trabajo para evaluar la
idoneidad y adecuación de los controles implantados sobre los sistemas de información de las
Entidades Financieras que presentan oficinas en Estados Unidos.
Dispone de cuadernos de revisión (IT Examination Handbook):
IS- Information Security
AUD – Audit
OT – Outsourcing Technology Services
TSP – Technology Services Provider
BCP – Business Continuity Plan
Herramienta para identificar objetivos de control y controles dentro de los procesos a auditar.
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 29
Procesos
Procedimientos Guías Técnicas
Configuraciones técnicas
IT Governance
Conceptos básicos.
Objetivos de control. Controles
Evaluación (Niveles)
Determinar si practicas establecidas (Procedimientos,
Instrucciones de trabajo) se están instrumentando y
ejecutando.
Verificar si los controles son adecuados e identificar los
riesgos (debilidades) para la organización.
Verificación de cumplimiento de objetivos. Eficacia
Evaluar la eficiencia. Identificar oportunidades de mejora.
Identificar las causas origen de un problema establecido.
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 30
PolíticaProcesosPolíticaProcesos
ProcedimientosGuías TécnicasProcedimientosGuías Técnicas
Configuraciones técnicasControles
Configuraciones técnicasControles
Gestión
Control
IT Governance
Objetivos de control. Controles.
Metodologías (Tipologías)
Identificación
Proceso
Identificación
Objetivos
Control
Análisis y
verificación
de controles
Valoración
Controles
Definición de
controles
(comprobaciones)
Desarrollo
herramienta
de soporte
Revisión y
análisis
Resultados
[Adecuación]
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 31
[ Introducción ]
Objetivos
Alcance y limitaciones
Hechos observados
Conclusiones
Recomendaciones
[ Manifestaciones ]
Aspectos Organizativos
Descripción de Arquitectura/Proceso
Objetivos de Control
Valoración de controles
Objetivos de control. Controles
Informe Auditor
Puntos de Control
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 32
Ejemplos prácticos
Auditorías orientadas a procesos.
Auditorías de SLA‟s
Modelo Organizacional y Operativo
de la práctica de la auditoría
informática
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 33
Objetivo
Alcance considerado
Área de Producción. La Gestión de Niveles de Servicio comprende los procesos de
planificación, coordinación, diseño, acuerdo, monitorización e informe de los ANS y la revisión
continua de los logros del servicio para asegurarse un mantenimiento y mejora de la calidad
del servicio necesaria, justificable en términos de su coste.
Al tratarse de un proceso en curso (ANS‟s en vigor) ha quedado fuera del alcance todas las
actividades previas al establecimiento de los ANS* estableciéndose como alcance del análisis
de la gestión del proceso::
Monitorización y reporte. Actividad que permite evaluar y gestionar el rendimiento de los
proveedores e identificar potenciales deficiencias.
Revisión del servicio. Debe estar establecido un procedimiento de revisión de los
acuerdos orientado al cumplimiento de objetivos y detección de deficiencias.
Programa de mejora del servicio. Actividades proactivas de detección y toma de acciones
no asociadas a deficiencias y/o incumplimientos.
Mantenimiento de los contratos ANS.
* Actividades de planificación, catalogo de servicios, diseño de ANS, negociado y acuerdos
Revisión y evaluación del nivel de cumplimiento de todos los Acuerdos de Nivel de
Servicio (en adelante ANS) involucrados en la operativa del Área de Producción.
Análisis del Proceso de Gestión de Nivel de Servicio (proceso responsable de garantizar
que se satisfagan los ANS‟s y que cualquier influencia adversa sobre la calidad del
servicio sea normalizada)
Objetivo. Alcance
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 34
Área de Producción. Esta Área, tiene, entre otras, como misión "definir, desarrollar y gestionar
el soporte técnico y funcionamiento de los sistemas del Grupo" . Y dentro de sus funciones, en
relación con la gestión de equipos e infraestructura tecnológica y el aseguramiento de la
disponibilidad de las plataformas, presta soporte técnico para el desarrollo y mantenimiento de
los sistemas.
…
Proveedor n. [De los ANS‟s y/o del análisis de las operativas se obtiene]. (1) Ámbito del acuerdo:
lo que cubre y lo que se excluye -y por tanto no es responsabilidad del prestador del servicio-,
(2) Responsabilidades y obligaciones del Cliente y del Proveedor del servicio - acciones que uno
y otro deben llevar a cabo para el cumplimiento normal de acuerdo-..
Aspectos Organizativos
Aspectos Organizativos
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 35
Criterio
auditor ITIL
ISO 27001
COBIT
Controles
conceptos Buenas prácticas
CISA
Identificación
Proceso
Identificación
Objetivos
Control.
Controles
Análisis y
verificación
de controles
Valoración
Controles
Diagrama
procesos
Roles
Actividades
Identificación
controles
Modelo
de Madurez
Modelo
Teórico
Metodología
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 36
Modelo teórico
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 37
Criterio
auditor ITIL
ISO 27001
COBIT
Controles
conceptos Buenas prácticas
CISA
Identificación
Proceso
Identificación
Objetivos
Control.
Controles
Análisis y
verificación
de controles
Valoración
Controles
Diagrama
procesos
Roles
Actividades
Identificación
controles
Modelo
de Madurez
COBIT. Se han utilizado controles del capítulo “Entrega y Servicio”, apartados DS1
“Definición y Gestión de niveles de servicio” y DS2 “Gestión de Servicios con terceros”.
Las mejores prácticas indicadas para la “Gestión de Niveles de Servicio” del “Libro
de Provisión de Servicio” de la librería ITIL.
Outsourcing Technology Services, IT Examination Handbook, de la FFIEC (Federal
Financial Institutions Examination Council).
Tres fuentes de metodologías de control, buenas prácticas y cumplimientos normativos:
Metodología
Objetivos de Control. Controles
Modelo
Teórico
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 38
Provisión de
Servicio
Objetivos de control. Controles. ITIL
Mejores prácticas. Fuente 2/3
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 39
1.- Aspectos generales
2.- Horario de servicio
3.- Disponibilidad
4.- Fiabilidad
5.- Soporte y atención al cliente
6.- Tráfico y consumo
7.- Tiempo de respuesta de las transacciones
8.- Tiempo de ejecución de procesos en diferido
9.- Procedimientos de Gestión del cambio
10.- Continuidad de los servicios TI
11.- Seguridad Física y Lógica
12.- Impresión
13.- Facturación
14.- Revisión e informes de los servicios
15.- Incentivos/Penalizaciones del rendimiento
COMPROBACIÓN DE
RAZONABILIDAD.COMPLETITUD
Se valida el contenido frente a las tres
fuentes de metodologías de control,
buenas prácticas y cumplimientos
normativos elegidos
ANÁLISIS DE
PROCESO/TAREAS. ENTREGABLES
Todos aquellos objetivos de control
que lleven asociados procedimientos,
adicionalmente a la verificación de su
razonabilidad/completitud, serán
revisadas sus tareas y entregables.
Incluye procesos,
tareas, entregables,…
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Es
qu
em
a m
od
elo
de
Ac
ue
rdo
de
Niv
el
de
Se
rvic
io
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 40
Aspectos generales: Se analizan las partes implicadas en el acuerdo, firmantes, fechas, ámbitos del acuerdo, responsabilidades clientes-proveedor y descripción de los servicios cubiertos.
Horario de servicio: Además del horario que se proporcionará, se deberá considerar diferencias horarias, posibles acuerdos de ampliación, horarios especiales y calendario del servicio.
Disponibilidad: Establecimiento de alcances y objetivos medibles. Deben quedar estipulados periodos y métodos de medida.
Fiabilidad: Existencia de términos de fiabilidad , indicadores (ej. número máximo de interrupciones, tiempo medio entre incidentes…), su monitorización y registro.
Soporte y atención al cliente: Deben quedar estipuladas las condiciones de asistencia al cliente, procedimientos, categorización/priorización de incidencias y registro/documentación de las mismas.
Tráfico y consumos: Estipular volúmenes de tráfico/consumo potenciales para poder identificar las dificultades en el rendimiento originadas por un tráfico/consumo excesivo, superior al acordado.
Tiempo de respuesta de las transacciones: Objetivos para los tiempos de respuesta media o máxima de las estaciones de trabajo. Lo más común es que se expresen en porcentaje. Se podrán establecer rangos que identifiquen tiempos de respuesta y porcentaje de ocurrencia.
Tiempo de ejecución de procesos en diferido: Para procesos en diferido (ej. cierres,…), que conllevan consumo de recursos y ejecuciones lentas y costosas, deberán establecerse tiempos para la provisión de entradas, y el tiempo y el lugar para la entrega de los resultados.
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 41
Gestión de Cambios: Procedimiento para la aprobación, gestión e implementación de las peticiones y órdenes de cambio, que normalmente estará basado en la categoría y urgencia o prioridad del cambio.
Continuidad de los servicios TI: Deben contemplarse los planes de continuidad de los servicios ofrecidos por el proveedor, y cómo ponerlos en marcha. Igualmente, debe existir información acerca del objetivo de cualquier servicio reducido o modificado en caso de desastre.
Seguridad Física y Lógica: Referencias a la política de seguridad de la organización (control de contraseñas, violaciones de seguridad, software no autorizado, virus, etc) y detalles de responsabilidades para cualquiera de las partes (i.e., protección antivirus, firewalls, etc.).
Impresión: En caso necesario, se incluirá información sobre cualquier condición especial relativa a la impresión o a las impresoras (i.e., detalles sobre la distribución de las mismas, notificación previa de grandes volúmenes, manejo de documentos con especial valor…).
Facturación: Se establecerán periodos y fórmulas de facturación, y bonificaciones o penalizaciones que haya que pagar si los objetivos del servicio no cumplen con lo esperado.
Revisiones e informes: Se deberá especificar cuándo y cómo se revisarán los objetivos del servicio, qué informes se realizarán, distribución de los informes, reuniones de seguimiento y su frecuencia, etc.
Incentivos/Penalizaciones del rendimiento: Se incluirán detalles sobre cualquier acuerdo relacionado con los incentivos y/o penalizaciones económicas basadas en el rendimiento real contrastado con los niveles de servicio previamente acordados.
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 42
Condiciones de asistencia de soporte al cliente: Deberán estar reflejadas las responsabilidades/eximentes del proveedor del servicio y del cliente.
n.a
Procedimiento para la resolución de problemas e incidencias: El ANS debe incluir un adecuado procedimiento para la resolución y reporte de incidencias registradas como consecuencia de la operativa de servicio.
Horario de soporte al cliente: Debe estar reflejado sea diferente o no del horario de servicio.
n.a
Provisiones para posibles ampliaciones de soporte al cliente: Se comprueba la existencia de cláusulas, procedimientos para solicitud de ampliaciones, condiciones de la solicitud de ampliación (quién, cómo,…), tiempo de preaviso necesario y tipos de ampliaciones contenidas en el acuerdo.
Horarios especiales: Si procede, se fijarán condiciones para horarios vacacionales, festivos o no laborables (tanto para el cliente como para el proveedor). Se establecerán todas las condiciones especiales para dichas excepciones y el medio de recibir asistencia (ej.vía telefónica).
n.a
Soporte y atención al cliente (1/2) Razonabilidad Completitud
Auditoría Proceso/Tareas
Entregables
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 43
Tiempo objetivo de respuesta a los incidentes. Deben fijarse objetivos relacionados con el tiempo que transcurre desde la comunicación de la incidencia hasta que el equipo de mantenimiento se pone en disposición de resolverla.
Prioridad en la resolución de incidentes: Debe establecerse una categorización de incidentes y un orden de resolución en función de prioridades previamente catalogadas.
Tiempo objetivo de resolución de incidentes: Deben fijarse objetivos relacionados con el tiempo de resolución (tiempo desde que hay constancia que se ha recibido la incidencia hasta que realmente se resuelve y se cierra).
Procedimientos operacionales. Los operadores deben disponer de operativas de actuación ante problemas reiterados.
Documentación de los problemas comunicados y registrados: Fecha de ocurrencia, descripción incidencia, intervinientes (escalado y a qué nivel, si es necesario), solución y resolución adoptada.
Soporte y atención al cliente (2/2) Razonabilidad Completitud
Auditoría Proceso/Tareas
Entregables
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 44
1.- Aspectos generales n.a
2.- Horario de servicio
3.- Disponibilidad
4.- Fiabilidad
5.- Soporte y atención al cliente Revisar Revisar
6.- Tráfico y consumo
7.- Tiempo de respuesta de las transacciones
8.- Tiempo de ejecución de procesos en diferido
9.- Procedimientos de Gestión del cambio Revisar Revisar
10.- Continuidad de los servicios TI
11.- Seguridad Física y Lógica Revisar Revisar
12.- Impresión n.a
13.- Facturación
14.- Revisión e informes de los servicios Revisar Revisar
15.- Incentivos/Penalizaciones del rendimiento
Razonabilidad Completitud
Proceso/Tareas Entregables
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 45
Criterio
auditor ITIL
ISO 27001
COBIT
Controles
conceptos Buenas prácticas
CISA
Identificación
Proceso
Identificación
Objetivos
Control.
Controles
Análisis y
verificación
de controles
Valoración
Controles
Diagrama
procesos
Roles
Actividades
Identificación
controles
Modelo
de Madurez
Modelo
Teórico
Metodología
Valoración. Modelo de Madurez. [Mejores prácticas]
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 46
Objetivo: Elaboración de criterios que nos permitan evaluar el proceso desde el punto de vista de la
administración y control de proceso.
Desarrollar un contenido del modelo de valoración basado en Modelos de Madurez, a partir del cual
se podrá identificar el nivel de control interno del proceso auditado.
El enfoque de los Modelos de Madurez para el control sobre procesos de las TI consiste en el
desarrollo de un método de asignación de puntuación para que una organización, proceso o actividad
pueda ser calificado.
Optimizado
Definido
Repetible
Inicial
Proceso autogestionado y basado
en mejores prácticas
Proceso monitorizado y medible
Proceso formalizado y
documentado
Proceso intuitivo y repetible
Proceso AdHoc y desorganizado
Características del proceso
Gestionado
Nivel de Madurez
Inexistente Proceso Inexistente
Utilizar modelos de
madurez genéricos
(ej Cobit)
Utilzar modelos de
madurez específicos
del proceso auditado
(fuente: Cobit)
Metodología
Valoración. Modelo de Madurez. [Mejores prácticas]
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 47
Inexistente Total falta de un proceso reconocible. No existe reconocimiento de problemas que resolver.
Inicial Evidencias del reconocimiento de problemas y necesidad de resolución. Sin embargo, no hay procesos estandarizados aunque hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado.
Repetible Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores.
Definido Procedimientos estandarizados y documentados. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes.
Administrado Es posible monitorizar y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y presentan buenas prácticas. Se usan automatismos y herramientas en una forma limitada o fragmentada.
Optimizado Procesos refinados a nivel de mejor práctica, basados en los resultados de mejora continua y madurez de otras organizaciones. Se usan herramientas en una forma integrada para automatizar el flujo de trabajo para mejorar la calidad y la efectividad.
Metodología
Valoración. Modelo de Madurez Genérico
Cobit. Modelo de madurez genérico
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 48
Inexistente Las responsabilidades y la rendición de cuentas no están definidas.
No hay políticas y procedimientos formales respecto a la contratación con terceros.
Los servicios de terceros no son ni aprobados ni revisados por la gerencia.
No hay actividades de medición y los terceros no reportan.
A falta de una obligación contractual de reportar, la alta gerencia no está al tanto de la calidad del servicio prestado.
Inicial La gerencia está conciente de la importancia de la necesidad de tener políticas y procedimientos documentados para la administración de los servicios de terceros, incluyendo la firma de contratos.
No hay condiciones estandarizadas para los convenios con los prestadores de servicios.
La medición de los servicios prestados es informal y reactiva.
Las prácticas dependen de la experiencia de los individuos y del proveedor (por ejemplo, por demanda).
Repetible El proceso de supervisión de los proveedores de servicios de terceros, de los riesgos asociados y de la prestación de servicios es informal.
Se utiliza un contrato pro-forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán).
Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio.
Metodología
Valoración. Modelo de Madurez Específico
Cobit. Modelo de madurez específico
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 49
Definido Hay procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar y negociar con los proveedores.
La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control.
Se asigna la responsabilidad de supervisar los servicios de terceros.
Los términos contractuales se basan en formatos estandarizados.
El riesgo del negocio asociado con los servicios del tercero esta valorado y reportado.
Administrado Se establecen criterios formales y estandarizados para definir los términos de un acuerdo, incluyendo alcance del trabajo, servicios/entregables a suministrar, suposiciones, calendario, costos, acuerdos de facturación y responsabilidades.
Se asignan las responsabilidades para la administración del contrato y del proveedor.
Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma continua.
Los requerimientos del servicio están definidos y alineados con los objetivos del negocio.
Existe un proceso para comparar el desempeño contra los términos contractuales para evaluar los servicios actuales y futuros del tercero.
Todas las partes involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas.
Se acordaron los KPIs y KGIs para la supervisión del servicio
Cobit. Modelo de madurez específico
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Metodología
Valoración. Modelo de Madurez Específico
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 50
Optimizado Los contratos firmados con los terceros son revisados de forma periódica en intervalos predefinidos.
La responsabilidad de administrar a los proveedores y la calidad de los servicios prestados está asignada.
Se monitorea el cumplimiento de las condiciones operacionales, legales y de control y se implantan acciones correctivas.
El tercero está sujeto a revisiones periódicas independientes y se le retroalimenta sobre su desempeño para mejorar la prestación del servicio.
Las mediciones varían como respuesta a los cambios en las condiciones del negocio.
Las mediciones ayudan a la detección temprana de problemas potenciales con los servicios de terceros.
La notificación completa y bien definida del cumplimiento de los niveles de servicio, está asociada con la compensación del tercero.
La gerencia ajusta el proceso de adquisición y monitoreo de servicios de terceros con base en los resultados de los KPIs y KGIs.
Cobit. Modelo de madurez específico
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Metodología
Valoración. Modelo de Madurez Específico
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 51
Adecuación Descripción y acciones necesarias
Óptimo Además de cumplir las características del nivel elevado, existe una estrategia continua de mejoramiento de controles.
Están gestionada su eficacia y eficiencia mediante métricas, cuadros de mando, etc…
Elevado
Los controles que alcanzan el objetivo de control:
Están perfectamente definidos.
Están implementados y operativos prevaleciendo controles automáticos
Son medibles.
Adecuado
Existe un control o conjunto de controles definidos, establecidos y operativos que dan cobertura al objetivo de control.
Los controles pueden ser manuales y automáticos y los procedimientos y operaciones son correctos
Razonable
Existen controles que alcanzan el objetivo de control.
Pero los procedimientos y operaciones asociados a los controles presentan deficiencias.
Si la evaluación de un control es evaluada como “razonable”, son necesarias acciones correctivas y debe desarrollarse un plan de
mejora que analice y subsane las deficiencias en procedimientos y operaciones.
Mejorable
El objetivo de control no es alcanzado debido a:
la ausencia de algún control
la presencia de controles inefectivos.
Debilidades materiales en el diseño e implementación
Si la evaluación de un control es evaluada como “mejorable”, son necesarias acciones correctivas y debe desarrollarse un plan que
incorpore estas acciones dentro de un período de tiempo prudente.
Deficiente
(o nulo)
El objetivo de control no es alcanzado debido a que
No existen control(es)
Si la evaluación de un control es evaluada como de “deficiente o nulo”, existe una necesidad inmediata de acciones correctivas.
El sistema puede continuar operando pero debe ponerse en marcha un plan de acción correctivo tan pronto como sea posible.
Metodología
Valoración. Otro
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 52
Ejemplos prácticos
Auditoría de procesos.
Auditoría de Gestión de Proyectos de Producción
Modelo Organizacional y Operativo
de la práctica de la auditoría
informática
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 53
Objetivo
Alcance considerado
Objetivo. Alcance
Revisión de las actividades relacionadas con la Gestión de Proyectos sin desarrollo de software
(ej. implantación de arquitecturas hardware, infraestructuras de comunicaciones, etc.)
Gestión de Proyectos sin desarrollo de software. En Bankia las actividades desarrollo de software
siguen una metodología acreditada con el nivel de madurez 3 del modelo CMMI-DEV que indica que
se posee y aplica un modelo de trabajo definido, maduro y eficaz.
Las premisas del modelo de evaluación utilizado y el diseño de sus controles han sido que bajo una
política de mínimos, si el proyecto evaluado contempla los controles analizados, se pueda tener
garantías razonables de la existencia de un marco de control de desviaciones (tolerancias ) y
riesgos.
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 54
Criterio
auditor ITIL
ISO 27001
COBIT
Controles
conceptos Buenas prácticas
CISA
Identificación
Proceso
Identificación
Objetivos
Control.
Controles
Análisis y
verificación
de controles
Valoración
Controles
Diagrama
procesos
Roles
Actividades
Identificación
controles
Modelo
de Madurez
Modelo
Teórico
Metodología
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 55
Criterio
auditor ITIL
ISO 27001
COBIT
Controles
conceptos Buenas prácticas
CISA
Identificación
Proceso
Identificación
Objetivos
Control.
Controles
Análisis y
verificación
de controles
Valoración
Controles
Diagrama
procesos
Roles
Actividades
Identificación
controles
Modelo
de Madurez
Modelo
Teórico
Metodología
Objetivos de Control. Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 56
Metodología
Objetivos de Control. Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 57
Inicio deProyecto
Cierre delProyecto
Ejecucióndel Proyecto
Equipo Gestión
GestiónEventos
BusinessCase Plan de
ProyectoDescripciónde ProductoProductos de Gestión
GobiernoSeguimiento
y control
Informes EstadoProductos
Ciclo de Vida
En opinión de Auditoría Informática, una gestión básica de proyectos debe contemplar al menos una adecuada estructura de
gobierno, un ciclo de vida básico y un mínimo de soporte documental como base de definiciones, compromisos y trazabilidad de
actividades críticas. Por ello la actual revisión está centrada en tres áreas: Gobierno, Productos de Gestión y Ciclo de Vida, sobre
las cuales se comprueba la presencia y cumplimiento de actividades garantes de un buen gobierno y control del proyecto.
•Gobierno. Se revisa la presencia de una estructura de gestión que contemple los interesados (stakeholders), actividades de
reporte y seguimiento; y gestión de eventos no planificados o inciertos (cuestiones y riesgos).
•Productos de Gestión. Se establecen unos mínimos productos documentales donde se soporten requisitos, aspectos
organizacionales o de planificación. Como su nombre y contenido puede variar en cada proyecto, la revisión se realiza
garantizando que si un punto de control no está contemplado en el Producto evaluado, tampoco está en otro elemento del
proyecto o bajo otra denominación.
•Ciclo de vida. Se han establecido como actividades básicas sobre las cuales se analizarán la presencia de controles: (1)
actividades de Inicio y Puesta en Marcha del Proyecto, (2) la Ejecución del Proyecto y (3) el Cierre del Proyecto. Los controles no
están orientados a la presencia de fases o actividades sino a la presencia de controles sobre la planificación, la entrega de
productos en tiempo y forma y la gestión de desviaciones.
Metodología
Objetivos de Control. Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 58
I N D I C E
1 INTRODUCCIÓN __________________________________________________________ 2
1.1 Antecedentes __________________________________________________________ 2
1.2 Áreas de revisión _______________________________________________________ 2
2 ÁREAS DE REVISIÓN _____________________________________________________ 3
2.1 Gobierno ______________________________________________________________ 3
2.1.1 Equipo de Gestión del proyecto _______________________________________ 3
2.1.2 Seguimiento y reporte _______________________________________________ 5
2.1.3 Gestión de cuestiones y riesgos. ______________________________________ 5
2.2 Controles sobre Productos de gestión _____________________________________ 6
2.2.1 Business Case _____________________________________________________ 6
2.2.2 Descripción del Producto ____________________________________________ 7
2.2.3 Plan de Proyecto ___________________________________________________ 8
2.2.4 Informes de Seguimiento ____________________________________________ 9
2.3 Ciclo de vida __________________________________________________________ 10
2.3.1 Inicio y puesta en marcha del Proyecto _______________________________ 10
2.3.2 Ejecución del Proyecto _____________________________________________ 11
2.3.3 Cierre del proyecto _________________________________________________ 12
3 CONCLUSIONES_________________________________________________________ 14
4 OPINIONES Y RECOMENDACIONES ______________________________________ 15
5 MANIFESTACIONES _____________________________________________________ 16
6 Anexo. Dinámica de evaluación ____________________________________________ 17
Metodología
Objetivos de Control. Controles
Cuadro 3 Controles sobre seguimiento y reporte
Punto de control Resultado
Gestor. El rol de gestor de las actividades de Seguimiento y Control del Proyecto está
definido y asignado (ej. Project Manager)
Alcance. Entre los aspectos a controlar figuran al menos: (1) los desvíos en las fechas de
obtención de productos, compromisos e hitos que requieran modificar la planificación vigente, (2) y la gestión de eventos (cuestiones, incidentes y riesgos) y (3) los recursos humanos (equipo) y económicos (presupuesto).
(1)
Estrategia de reporte (informes). Está definido y acordado un reporte con: (1) los canales
de comunicación y destinatarios, (2) el contenido de los reportes y (3) la frecuencia.
Estrategia de seguimiento. Están definidos y acordados: (1) los responsables, (2) el
mecanismo de seguimiento –Comité, reunión, …- , (3) su periodicidad y (4) los registros de su actividad y sus decisiones (ej. actas de reunión)
(2)
Cobertura. Las actividades de seguimiento y control del proyecto se realizan sobre los
todos elementos de gestión del proyecto.
Acciones correctivas/preventivas. En caso de identificarse desvíos, problemas con
productividades, incidencias o incumplimientos de objetivos existen acciones correctoras (o preventivas) con su correspondiente plan de acción. Todas las acciones están registradas y sometidas a revisión de su progreso en las reuniones de seguimiento
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 59
Criterio
auditor ITIL
ISO 27001
COBIT
Controles
conceptos Buenas prácticas
CISA
Identificación
Proceso
Identificación
Objetivos
Control.
Controles
Análisis y
verificación
de controles
Valoración
Controles
Diagrama
procesos
Roles
Actividades
Identificación
controles
[Modelo
de Madurez]
Modelo
Teórico
Metodología
Valoración. Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 60
Leyenda Elevado Mejorable Deficiente Adecuado Razonable
Equipo de gestión del proyecto
Seguimiento y reporte
Gestión de cuestiones y riesgos.
Business Case
Descripción del Producto
Plan de Proyecto
Inicio y puesta en
marcha del Proyecto
Ejecución del
Proyecto
Cierre del proyecto
Proyecto1
Proyecto2
Proyecto3
…
Proyecton
Evaluación final
Metodología
Valoración.
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 61
Metodología
Valoración.
Adecuación Descripción y acciones necesarias
Elevado
Los controles que alcanzan el objetivo de control:
Están perfectamente definidos.
Están implementados y operativos prevaleciendo controles automáticos
Son medibles.
Adecuado
Existe un control o conjunto de controles definidos, establecidos y operativos que dan cobertura al objetivo de control.
Los controles pueden ser manuales y automáticos y los procedimientos y operaciones son correctos
Razonable
Existen controles que alcanzan el objetivo de control.
Pero los procedimientos y operaciones asociados a los controles presentan deficiencias.
Mejorable
El objetivo de control no es alcanzado debido a:
la ausencia de algún control
la presencia de controles inefectivos.
Debilidades materiales en el diseño e implementación
Deficiente
(o nulo)
El objetivo de control no es alcanzado debido a que
No existen control(es)
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 62
Ejemplos prácticos
Auditoría de procesos.
Auditoría de Gestión de Usuarios
Modelo Organizacional y Operativo
de la práctica de la auditoría
informática
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 63
Objetivo
Alcance considerado
Objetivo. Alcance
Auditoría de la estructura general de control interno de las actividades relacionadas con la gestión
de usuarios de los principales sistemas. El objetivo básico ha sido el siguiente:
Revisión de los principales elementos en la gestión de usuarios: circuitos de altas y bajas de
identificadores de usuario, asignación de permisos, procesos de revisión y resolución de
incidencias.
… las diferentes categorías de usuarios identificados en el capítulo B) Catalogación/Tipología de
usuarios del presente informe, quedando fuera del alcance de la auditoría (1) el análisis de
usuarios residuales no contemplados en esta catalogación, (2) los aspectos técnicos de
autenticación en los diferentes sistemas corporativos.
De esta forma las principales áreas de trabajo de la auditoría han sido:
Identificación y análisis de los principales circuitos involucrados en la gestión de usuarios.
Análisis de la gestión de perfiles de acceso a información y sistemas.
Estudio de procedimientos de revisión de usuarios y permisos de accesos.
Análisis de las actividades relacionadas con la gestión de usuarios realizada por otros grupos
de trabajo distintos al Departamento de Seguridad Informática.
Gestión de incidencias relacionadas con la gestión de usuarios.
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 64
Aspectos Organizativos
Aspectos Organizativos
Dpto. de Seguridad de la Información: La gestión de seguridad en sus aspectos de planificación,
definición y control de acceso lógico a la información, programas, sistemas y recursos, residentes en los
SSII del Grupo Altea, se realizará de forma centralizada, siendo esta responsabilidad del Dpto. de
Seguridad de la Información. Sin embargo, existen operativas de seguridad, tales como administración de
usuarios y control de acceso que pueden ser realizadas por otros Departamentos; al respecto indicar que
la definición y el control de dichas operativas continuarán residiendo en el Dpto. de Seguridad de la
Información.
Dirección de RRHH. Los procedimientos corporativos de contratación de personal de RRHH incluyen,
expresamente, dotar a las nuevas incorporaciones de los identificadores de usuario necesarios y de los
accesos a servicios y aplicaciones, que pudieran requerir en el desempeño de sus funciones.
Centro de Atención a Usuarios. Ofrece un primer nivel de atención que integra consultas y resolución de
incidencias de aspectos relacionados con la gestión de usuarios.
Administradores de Sistemas (administración delegada de usuarios y el control de acceso): Tal y como se
ha descrito anteriormente existen actividades relacionadas con la gestión de usuarios realizadas por
otros Departamentos (ej. administración operativa de identificadores de usuarios y control de acceso).
Aunque la ejecución de dichas actividades es realizada por el grupo funcional designado, el Seguridad
Informática mantiene la definición y el control de estas operativas.
Personas autorizadas. Para la realización de las solicitudes relacionadas con la aprobación de los
accesos a la información y otras posibles solicitudes, se considera persona autorizada a los Directores
de … o aquel responsable en quien ellos deleguen expresamente, y por escrito, esa función (Directores
de Departamento, Coordinador Grupo…). Esta delegación deberá ser comunicada al Departamento de
Seguridad de la Información.
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 65
Circuitos de gestión de usuarios
Gestión de perfiles
Procesos de depuración
Administración de usuarios delegada
Gestión de incidencias
[ Introducción ]
Objetivos
Alcance y limitaciones
Hechos observados
Conclusiones
Recomendaciones
[ Manifestaciones ]
Aspectos Organizativos
Descripción de Arquitectura/Proceso
Valoración de controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 66
Criterio
auditor ITIL
ISO 27001
COBIT
Controles
conceptos Buenas prácticas
CISA
Identificación
Proceso
Identificación
Objetivos
Control.
Controles
Análisis y
verificación
de controles
Valoración
Controles
Diagrama
procesos
Roles
Actividades
Identificación
controles
Modelo
de Madurez
Modelo
Teórico
Metodología
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 67
Ciclo de vida de la Identidad
Se inicia la relación
Promoción
Cambio de destino
Contraseña bloqueada
La relación finaliza
Contraseña caduca
Modificación de accesos
lógicos
Gestión de contraseñas
Sustitución
Autorización
temporal
Gestión de Tarjetas
De-provisioning
Gestión de acceso
Provisioning
Administración rutinaria de usuarios
Modelo
Teórico
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 68
[1] Usuario interno: Empleado de Caja Madrid o una empresa del Grupo Caja Madrid cuyos datos y sistemas productivos son gestionados por la Unidad de Sistemas y Operaciones. Apartado 2.6 (Convenciones del documento), Capítulo 2 (Políticas y Directrices de Seguridad de la Información), Documento de Políticas y Directrices de Seguridad de la Información, CNSI. [2] “Usuario externo: (1) Tercero subcontratado prestando servicios en instalaciones del Grupo Caja Madrid y cuyo acceso sea directo a los sistemas centrales de Caja Madrid, (2) Empresas del Grupo que, teniendo en custodia previa sus sistemas, se conectan a sistemas de Caja Madrid, (3) Proveedores que se conectan en modo remoto en su acceso a los Sistemas Centrales del Grupo, (4) Empresas Colaboradoras, (5) Ceca, Visa, Banco de España y otras entidades colaboradoras, (6) Asesores, Abogados y otros colaboradores habituales; y (7) Personas que cursan estudios en centros educativos con los que Caja Madrid tiene suscritos programas de cooperación educativa.” Apartado 2.6 (Convenciones del documento), Capítulo 2 (Políticas y Directrices de Seguridad de la Información), Documento de Políticas y Directrices de Seguridad de la Información, CNSI.
Roles
Actividades
Us
ua
rio
s F
ina
les
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 69
[1] Usuario interno: Empleado de Caja Madrid o una empresa del Grupo Caja Madrid cuyos datos y sistemas productivos son gestionados por la Unidad de Sistemas y Operaciones. Apartado 2.6 (Convenciones del documento), Capítulo 2 (Políticas y Directrices de Seguridad de la Información), Documento de Políticas y Directrices de Seguridad de la Información, CNSI. [2] “Usuario externo: (1) Tercero subcontratado prestando servicios en instalaciones del Grupo Caja Madrid y cuyo acceso sea directo a los sistemas centrales de Caja Madrid, (2) Empresas del Grupo que, teniendo en custodia previa sus sistemas, se conectan a sistemas de Caja Madrid, (3) Proveedores que se conectan en modo remoto en su acceso a los Sistemas Centrales del Grupo, (4) Empresas Colaboradoras, (5) Ceca, Visa, Banco de España y otras entidades colaboradoras, (6) Asesores, Abogados y otros colaboradores habituales; y (7) Personas que cursan estudios en centros educativos con los que Caja Madrid tiene suscritos programas de cooperación educativa.” Apartado 2.6 (Convenciones del documento), Capítulo 2 (Políticas y Directrices de Seguridad de la Información), Documento de Políticas y Directrices de Seguridad de la Información, CNSI.
Roles
Actividades
Ge
sto
res
: s
oli
cit
an
tes
, a
uto
riza
do
res
…
Solicitantes de accesos. Para la realización de las solicitudes de aprobación de los
accesos a la información, se considera persona autorizada a los Directores de XXX o
aquel responsable en quien ellos deleguen expresamente.
Recursos Humanos. Los procedimientos corporativos de contratación de personal
del Recursos Humanos incluyen, expresamente, dotar a las nuevas incorporaciones
de los identificadores de usuario necesarios y de los accesos a servicios y
aplicaciones, que pudieran requerir en el desempeño de sus funciones.
Seguridad Informática. Responsabilidad operativa de la seguridad y gestión de
seguridad en sus aspectos de planificación, definición y control de acceso lógico a
la información, programas, sistemas y recursos. Adicionalmente existen operativas
de seguridad, tales como administración de usuarios y control de acceso que
pueden ser realizadas por otros Departamentos. La definición y el control de dichas
operativas continuarán residiendo en Seguridad Informática.
Centro de Atención a Usuarios. Primer nivel de atención que integra consultas y
resolución de incidencias de aspectos relacionados con la gestión de usuarios.
Administradores de Sistemas. Ejecutan actividades relacionadas con la gestión de
usuarios (ej. administración operativa de identificadores de usuarios y control de
acceso).
…
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 70
Diagrama
procesos
Buzón
Seguridad
InformáticaBuzón
Técnico
Seguridad
Correo
Electrónico
NO ok
Correo / Formulario
Alta/Baja/Modificación
Usuario
Necesidad
Info adicional
Análisis (1)
Petición
Técnico Seguridad
No OKValoración
Necesidad
No
Solicitud
Solicitud
Respuesta
Denegación
Si
Recepción
Técnicos
Sistemas
Solicitud de
Implementación
Implementación
en
Sistemas
Comunicación
Aprobación
Implementación
Implementación
Efectuada
Implementación
efectuada +
lista de usuarios
autorizados
Combrobación
Automática
Credenciales
NO ok
Combrobación
Manual
Credenciales
OK
OKAsignación
1. Ticket
2. Técnico Seguridad
Comunicación
(1) Usuario
(2) Técnico Seguridad
OK
Verificación
accesos
Verificación
Información
recibida
(1)
(2)
Us
ua
rio
Au
tori
za
do
Se
gu
rid
ad
Info
rmá
tic
a
Té
cn
ico
s
Sis
tem
as
Cir
cu
ito
#n
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 71
Diagrama
procesos
Cir
cu
ito
#n
Impreso firmado
de solicitud de
alta
Alta de solicitud
en aplicación X
Envío automático
de solicitud a
Seguridad
Alta de usuario
(2)
Generación de
sobre ciego
Verificación de
información recibida
Asignación e
inactivación de Token
Recepción
- Token
- Clave
- Impreso de
reconocimiento y
aceptación de
cláusulas de seguridad
Desvío de llamada a
CAU (1)
Verificación de
identidadActivación de Token
Entrega personal a usuario:
- Token
- Sobre ciego con Clave
- Impreso de reconocimiento y
aceptación de cláusulas de
seguridad
Firma del
impreso de
reconocimiento
y aceptación
de cláusulas
de seguridad
Archivado de impresos
firmados
Primera
conexión al
Sistema
Formalización de Operación
Valija y Correo
Electrónico
Correo
Electrónico
Valija y Correo
Electrónico
Valija
Valija
CA
U (
1)
CA
U (
2)
Se
gu
rid
ad
Info
rmá
tic
aD
ire
cc
ión
(1
)D
ire
cc
ión
(2
)
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 72
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 73
C.1. Formalización: Debe existir un procedimiento formal y operativo de registro de altas y bajas
que proporcione garantías de acceso y revocado de identificadores de usuario sobre todos los
sistemas de información y servicios.
C.2 Verificación de credenciales: Debe existir un sistema de comprobación de credenciales del
solicitante de forma que únicamente personas autorizadas puedan efectuar solicitudes
relacionadas con accesos. Los procedimientos deben asegurar que los procesos de
autorización han sido completados y disponen de los permisos oportunos previamente a la
concesión del acceso.
C.3 Criterios de concesión de accesos. Principios de necesidad de conocer y de lo que no está
explícitamente permitido, está prohibido: “La concesión de derechos de acceso se regirá por el
criterio de „sólo si es estrictamente necesario‟ y se establecerá por defecto la denegación de
acceso a los recursos”. “La autorización de acceso estará determinada por la necesidad de
utilización para el desarrollo de las distintas actividades dentro de la organización.”
Considerando estos principios: las acciones automáticas de gestión de usuarios y permisos de
acceso deben estar respaldadas mediante un sistema de perfiles; y todo proceso manual debe
contener un análisis de la petición en relación a los criterios de concesión de accesos…
Identificación
controles
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 74
C.4 Actualización de inventarios de usuarios/accesos: Existencia de un mantenimiento formalizado
del registro de todos los usuarios autorizados para usar un servicio. El sistema que soporte dicho
registro debe ser distinto del utilizado por los propios sistemas para el control de acceso.
C.5 Comunicación de políticas de seguridad: Verificación de la entrega a los usuarios de una
comunicación que, al menos, contemple: (1) Normas relativas al uso de dispositivos de
autenticación, identificador de usuario y contraseña -carácter personal e intransferible,
recomendaciones en la composición de la contraseña y sus cambios-, (2) Normas relativas a la
monitorización de los sistemas de información -motivos y conocimiento-, (3) Normas relativas a la
propiedad de la información, (4) Normas relativas a la responsabilidad, (5) Normas relativas al uso
del sistema de información y (6) Normas relativas al cumplimiento del marco legal vigente.
Adicionalmente, se comprueba el reconocimiento firmado de la comprensión de sus condiciones
de acceso, compromisos y posibilidad de sanciones por incumplimiento de normativas.
C.6 Protección de credenciales de acceso: Verificación: (1) uso de contraseñas temporales
seguras para el primer acceso y obligatoriedad de cambio en el primer uso, (2) uso de conductos
seguros para hacer llegar las contraseñas, (3) claves temporales son únicas para un usuario y no
adivinables, (4) acuse de recibo de recepción de contraseñas por parte de los usuarios e (5)
inclusión de compromisos de protección de las identidades digitales (contraseñas, tarjetas,
tokens, etc…) en cláusulas de seguridad incluidas en contratos y/o entrega de credenciales.
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 75
C.7 Eliminación de autorizaciones: Comprobación de la existencia de eliminaciones
inmediatas de las autorizaciones de acceso a los usuarios (tanto empleados, como
proveedores, colaboradores, usuarios administradores de sistemas/aplicaciones, etc…)
que abandonan la Organización.
C.8 Cambio de autorizaciones: Debe existir un procedimiento eficiente que permita efectuar
cambios/revisiones inmediatas de las autorizaciones de acceso para los usuarios que
cambian de funcionalidad dentro de la Organización.
C.9 Segregación de actividades: Se comprueba que las distintas actividades (solicitudes,
aprobaciones, implementación en los sistemas) cumplen el principio de segregación de
funciones, esto es, que todas estas actividades evitan la concentración de funciones en
una misma persona.
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 76
() Aunque existe supervisión para la solicitudes de permisos de acceso, no se han observado evidencias formales
de análisis/comprobaciones de las mismas y registro de esta actividad efectuada sobre la solicitudes.
() Para el entorno X, existe un registro independiente de usuarios activos junto con datos detallados para llevar a
cabo su gestión, si bien, tal y como se ha podido comprobar, dicho registro no se encuentra actualizado.
() En estos circuitos, el contenido de las comunicaciones no contempla las mejores prácticas recomendadas que
hemos indicado en este control, careciendo, a su vez, de un reconocimiento firmado de la comprensión de la
política de seguridad corporativa y sus condiciones de acceso.
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 77
Criterio
auditor ITIL
ISO 27001
COBIT
Controles
conceptos Buenas prácticas
CISA
Identificación
Proceso
Identificación
Objetivos
Control.
Controles
Análisis y
verificación
de controles
Valoración
Controles
Diagrama
procesos
Roles
Actividades
Identificación
controles
Modelo
de Madurez
Modelo
Teórico
Metodología
Valoración. Modelo de Madurez. [Mejores prácticas]
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 78
Objetivo: Identificación de áreas potenciales de riesgo, recomendando, en su caso, posibles
soluciones que mitiguen los eventuales riesgos detectados:
Uso de conductos no seguros para hacer llegar las contraseñas a los usuarios…
Prácticas inadecuadas en el uso de contraseñas temporales,…
Ausencia de un proceso eficiente de eliminación de autorizaciones…
Deficiencias en los procedimientos de mantenimiento de las autorizaciones de acceso
para los usuarios que cambian de funcionalidad o de Centro dentro de la Organización…
Ausencia de un catálogo/inventariado de perfiles de acceso como base para
conocimiento, asignaciones, revisiones, depuraciones y ayuda a la toma de decisiones
de concesión de permisos,…
Ausencia de revisiones periódicas de los derechos de acceso de los usuarios (más
frecuentes de las autorizaciones de derechos de acceso con privilegios especiales)
Ausencia de revisiones de los derechos de acceso de los usuarios después de todo
cambio de actividad funcional o finalización de actividades (ej. contrato).
…
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 79
Objetivo: Elaboración de criterios que nos permitan evaluar el proceso desde el punto de vista de la
administración y control de proceso.
Desarrollar un contenido del modelo de valoración basado en Modelos de Madurez, a partir del cual
se podrá identificar el nivel de control interno del proceso auditado.
El enfoque de los Modelos de Madurez para el control sobre procesos de las TI consiste en el
desarrollo de un método de asignación de puntuación para que una organización, proceso o actividad
pueda ser calificado.
Optimizado
Definido
Repetible
Inicial
Proceso autogestionado y basado
en mejores prácticas
Proceso monitorizado y medible
Proceso formalizado y
documentado
Proceso intuitivo y repetible
Proceso AdHoc y desorganizado
Características del proceso
Gestionado
Nivel de Madurez
Inexistente Proceso Inexistente
Utilizar modelos de
madurez genéricos
(ej Cobit)
Utilzar modelos de
madurez específicos
del proceso auditado
(fuente: Cobit)
Metodología
Valoración. Modelo de Madurez. [Mejores prácticas]
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 80
Identificación
Proceso
Identificación
Objetivos
Control
Controles
Análisis y
verificación
de controles
Valoración
Controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 81
Áreas de análisis Valoración Descripción
Circuitos de gestión de
usuarios
Los circuitos analizados están estandarizados, documentados y existe
seguimiento de procesos por parte de sus ejecutores que lo aplican de
manera general.
Gestión de perfiles
Las actividades de definición, catalogación y gestión de permisos (en
peticionarios y técnicos de seguridad) a nivel corporativo se
encuentran parcialmente conseguidas pero no pueden catalogarse a
como definidas o administradas según nuestro modelo de madurez.
Procesos de depuración
de usuarios y revisión
de accesos
Aunque existen evidencias de actividades de depuración y revisión
éstas son aperiódicas y no están sujetas a un método susceptible de
seguimiento y gestión.
Administración de
usuarios delegada
De forma general, existe un seguimiento de los procedimientos por
parte de sus ejecutores, pero no hay comunicación formal de los
mismos y definición de ciertas actividades (ej. revisión de usuarios o
gestión de contraseñas). Los procedimientos no están estandarizados,
ni documentados y no hay productos identificables que testifiquen una
gestión continua de la actividad delegada.
Gestión de incidencias
La resolución de incidencias por parte del CAU está compuesta por
procedimientos estandarizados/documentados y se han detectado
planes de mejora basados en análisis de resultados. Aunque el
responsable del servicio efectúa seguimientos de incidencias éstos no
presentan acciones orientadas a medir el cumplimiento de los
procedimientos propios de un proceso administrado.
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 82
Ejemplos prácticos
Auditoría de Arquitecturas Tecnológicas
Auditoría Seguridad Lógica Plataforma Sun Solaris
Modelo Organizacional y Operativo
de la práctica de la auditoría
informática
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 83
[ Introducción ]
- Puntos de control
(comprobaciones)
Objetivos
Alcance y limitaciones
Hechos observados
Conclusiones
Recomendaciones
[ Manifestaciones ]
Aspectos Organizativos
Descripción de la Arquitectura
Objetivos de Control
Definición de
objetivos de
control
Desarrollo
herramienta
de soporte
Revisión y
análisis
Adecuación
y mejora
Valoración de controles
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 84
Objetivo
Alcance considerado
Toda la plataforma Sun Solaris corporativa.
Auditoría de la Seguridad Lógica de la infraestructura del entorno Sun Solaris
gestionada por el Departamento Técnico XYZ (Producción) y el Departamento de
Seguridad. Sus objetivos básicos han sido los siguientes:
(1) Verificar la implantación de adecuados niveles de seguridad lógica y control interno
de la plataforma Sun Solaris, con el fin de comprobar que los riesgos informáticos
se encuentran adecuadamente controlados.
(2) Efectuar la revisión de los procedimientos y controles asociados a las actividades
de implantación y administración de sistemas en sus aspectos de seguridad lógica.
(3) Proponer la implantación de recomendaciones que permitan minimizar eventuales
riesgos identificados con el fin de garantizar la integridad, confidencialidad y
disponibilidad de los servicios ofrecidos por esta infraestructura.
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 85
En la definición y administración de la seguridad del entorno Sun Solaris intervienen:
El DEPARTAMENTO TÉCNICO DE SISTEMAS que gestiona la infraestructura Sun Solaris
realizando actividades de dimensionamiento, implantación y mantenimiento; y que tiene
delegada la administración operativa de la seguridad y entre otros aspectos debe:
-Seguir las recomendaciones de seguridad indicadas por Departamento de Seguridad,
mediante Guías Técnicas (documentos de requisitos de seguridad) específicas para
entornos o notas puntuales.
- Implantar las recomendaciones de seguridad (configuración, parches…) indicadas por los
fabricantes de las arquitecturas específicas, los fabricantes de los servicios o las
recomendaciones de la comunidad informática para el entorno que se administre.
El DEPARTAMENTO DE SEGURIDAD, es responsable de la administración operativa de la
seguridad y supervisa las actividades de las Áreas de Sistemas orientadas a definir y/o
establecer parámetros, reglas y condiciones de seguridad en los distintos sistemas.
Adicionalmente, diseña e implanta mecanismos de monitorización y diagnóstico permanente,
allí donde se estime conveniente en función del riesgo, para verificar la adecuada implantación
de los controles de seguridad en los sistemas de información.
Aspectos Organizativos
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 86
Definición de
controles
(comprobaciones)
Desarrollo
programa
soporte
Revisión
Análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
plataforma
Definición de controles
(comprobaciones)
Desarrollo
herramienta
de soporte
Revisión y
análisis
Resultados
[Adecuación]
Metodología
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 87
Matriz de
controles
Categorización
de controles por
tipo máquina
Scripts de
auditoría
Resultados
(evidencias
de auditoría) Informes detallados
Dossier técnico
individual
Grado
adecuación
global
Ejecución
de scripts
Resultados y Análisis
Objetivos de Control
Definición de
controles
(comprobaciones)
Desarrollo
programa
soporte
Revisión
Análisis
Ejecución
Programa
plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 88
Desarrollo
Programa
de
soporte
Definición de
controles Revisión y
análisis
Resultados
Adecuación
Mejora
3 Áreas de Control
320 Puntos de control
Ejecución
Programa
Plataforma
Cuerpo Normativo de Seguridad de la Información corporativo
Normativa Técnica Corporativa específica del entorno (Sun Solaris, “Unix”,…)
Informes de Seguridad del Departamento de Seguridad Informática.
Guías Técnicas de Seguridad (Fabricantes, Sun Microsystems, SANS…)
Know how técnicos auditores (experiencia
en administración de sistemas, formación a
medida específica, prácticas en laboratorio..).
Matriz de
controles
Objetivo Definir y priorizar el conjunto de controles a considerar durante la revisión y
especificar su requerimiento en función del tipo de máquinas de Tipo 1 (requisitos
máximos), Tipo 2 (requisitos estándar) o Tipo 3 (requisitos mínimos)
Tarea Resultado
Identificar, agrupar y priorizar el conjunto de
controles que se revisarán durante el trabajo
de campo.
Matriz de controles de la plataforma Sun
Solaris.
Identificar los controles, del conjunto anterior,
que se requerirán los distintos tipos de
máquina (Tipo 1, Tipo 2 y Tipo 3).
Matriz de controles por tipo de máquina.
+
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 89
•Software base instalado
•Control de acceso.
•Sistema de ficheros.
•Configuración del kernel.
•Planificación de procesos.
•Servicios de red.
•Registros de Auditoría
•Protección del equipo
En el análisis realizado de cara a exigir niveles de seguridad en las pruebas se han distinguido tres
tipos de servidores:
Tipo 1,. Requisitos mayores de seguridad. Ejemplo de dichas máquinas serían los portales de
Internet, cuyo grado de exposición frente a amenazas es elevado.
Tipo 2, Menos exposición que Tipo 1. Necesitan menos requisitos de seguridad. Ejemplo de estas
máquinas serían los servidores de la red interna que dan soporte al negocio.
Tipo 3, Requisitos de seguridad son mínimos. Ejemplo: máquinas y elementos de uso interno que
no soportan servicios críticos de forma directa (ej. servidores de consolas)
A1. Análisis de parches
A2. Parametrización
A.3 Análisis de usuarios
Áre
as d
e C
on
tro
l
Agrupaciones de Controles x Área
Cate
go
rizació
n
Desarrollo
Programa
de
soporte
Definición de
controles Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 90
•Software base instalado
•Control de acceso.
•Sistema de ficheros.
•Configuración del kernel.
•Planificación de procesos
•Servicios de red.
•Registro de Auditoría
•Protección del equipo
Parametrización
Desarrollo
Programa
de
soporte
Definición de
controles Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 91
Matriz de
controles
Scripts de
auditoría
Análisis del estado del nivel de parches.
Análisis de la configuración y parametrización de seguridad.
Análisis de usuarios. Y ficha X usuario.
“Imagen” del sistema durante la revisión y obtención de los principales
ficheros de configuración como evidencia de auditoría.
Resultados
(evidencias de
auditoría)
2000+ líneas de código
Desarrollo
Programa
de
soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 92
•Desarrollo y pruebas en laboratorio Auditoría
•Plan de ejecución con Producción
•Primeras ejecuciones en entorno de pruebas
bajo control/supervisión de Producciíón.
•Análisis y algún ajuste fino
•Ejecuciones en los servidores
-Envío de [paquete] de resultados a un
servidor/repositorio del laboratorio Auditoría.
Pruebas desatendidas
10 mínutos x Ejecución en
background
Desarrollo
Programa
de
soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 93
Scripts de
auditoría
Resultados
(evidencias de
auditoría) (3) Informes detallados
(1) Dossier técnico
individual
Adecuación
global
Ejecución
de scripts Por Servidor
Configuración y parametrización
Análisis de usuarios
Nivel de parches
Desarrollo
Programa
de soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 94
Informes detallados
Dossier técnico
individual
Grado de
adecuación
global
Análisis de
Configuración y
Parametrización (Informe 1/3)
Desarrollo
Programa
de soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 95
Informes detallados
Dossier técnico
individual
Grado de
adecuación
global
Análisis
de usuarios (Informe 2/3)
+ Ficha X Usuario
Desarrollo
Programa
de soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 96
Informes detallados
Dossier técnico
individual
Grado de
adecuación
global
Análisis
de parches (Informe 3/3)
Desarrollo
Programa
de soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 97
Informes detallados
Dossier técnico
individual
Grado de
adecuación
global
Análisis de configuración
Análisis de usuarios
Análisis de parches
Detalle puntos
de control
Desarrollo
Programa
de soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 98
ANÁLISIS DE CONFIGURACIÓN. GRADO GLOBAL DE ADECUACIÓN TIPO 1
79,83% 80,48%82,86%
73,54%
80,69%79,42%
82,65%
72,02%
83,30%
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
90,00%
100,00%
% M
EDIO
c-13
0
c-14
4
c-15
0
c-06
3
c-06
4
c-06
0
c-09
4
c-17
5
MÁQUINAS ANALIZADAS
% C
UM
PL
IMIE
NT
O
Análisis de configuración
Informes detallados
Dossier técnico
individual
Grado de
adecuación
global
TIPO 1 y TIPO 2
…
GRADO GLOBAL DE ADECUACIÓN TIPO 1
60%65% 63%
69%
59%65%64%
63,4%63%
0,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
70,0%
80,0%
90,0%
100,0%
% M
EDIO
c-13
0
c-14
4
c-15
0
c-06
3
c-06
4
c-06
0
c-09
4
c-17
5
MÁQUINAS ANALIZADAS
% C
UM
PL
IMIE
NT
O
Análisis de parches
GRADO GLOBAL DE ADECUACIÓN TIPO 1
87%83% 83% 83%83%
77%
83%86,3% 83%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
% M
EDIO
c-130
c-144
c-150
c-063
c-064
c-060
c-094
c-175
MÁQUINAS ANALIZADAS
% C
UM
PLI
MIE
NTO
Análisis de usuarios
Grado de Adecuación
Global del parque de equipos
analizados
Desarrollo
Programa
de soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 99
Informes detallados
Dossier técnico
individual
Grado de
adecuación
global
Matrices de tendencias Elaboración de CONCLUSIONES:
controles NO IMPLANTADOS
Desarrollo
Programa
de soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 100
Informes detallados
Dossier técnico
individual
Grado de
adecuación
global
Elaboración de CONCLUSIONES:
servidores NO ESTANDARIZADOS Matrices de tendencias
Desarrollo
Programa
de soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 101
Matriz de
controles por
plataforma
Matriz de
controles por
tipo de
máquina
Scripts de
auditoría
Resultados
(evidencias
de auditoría)
Fichas de
usuarios
(por máquina)
Informes detallados
Dossier técnico
individual
Grado de
adecuación
global
Resultados. Adecuación. Mejora Documentación generada
Desarrollo
Programa
de soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 102
Adecuación y mejora: Durante proceso auditoría
Una vez enviados los informes detallados y resultado de los scripts,
se llevaron a cabo más de 80 acciones correctoras “inmediatas”.
% adecuación medio ANÁLISIS DE CONFIGURACIÓN
75,86% 79,42%
+3,56%
TIPO 1
69,54% 75,06% +5,52%
TIPO 2
% adecuación medio ANÁLISIS DE USUARIOS
48,05% 63,39% +15,34% 45,04% 67,69% +22,66%
TIPO 1 TIPO 2
Desarrollo
Programa
de soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma
Modelo Organizacional y Operativo de la práctica de la auditoría informática.
Ejemplos prácticos. 103
Adecuación y mejora: Proceso de adecuación
Identificar objetivo de control a mejorar Estudiar puntos de control
Consultar informe detallado:
No conformidades y causa
Desarrollo
Programa
de soporte
Definición de
controles
Revisión y
análisis
Resultados
Adecuación
Mejora
Ejecución
Programa
Plataforma