Beruflich Dokumente
Kultur Dokumente
AUDITORA DE SISTEMAS:
GOBIERNO DE TI
23 y 24 de Febrero de 2015
Jos Andrs Hernndez,
CISA
Leonardo Castillo,
CISA
INDICE
1. GOBIERNO CORPORATIVO
2. PRACTICAS DE MONITOREO Y ASEGURAMIENTO PARA LA JUNTA Y
LA GERENCIA EJECUTIVA
1.
2.
3.
4.
5.
Planeacin Estratgica
Comit de Direccin
4. POLTICAS Y PROCEDIMIENTOS
1.
2.
Polticas
Procedimientos
INDICE
INDICE
Roles y responsabilidades de SI
Segregacin de Funciones dentro de SI
Controles de Segregacin de Funciones
Revisin de Documentacin
Revisin de los compromisos contractuales
9. CASO DE ESTUDIO
Introduccin
Cada vez ms, la alta direccin de las organizaciones se est dando cuenta de las
importantes repercusiones que puede tener TI en el xito de la empresa. La
direccin necesita tener una mayor comprensin de la forma en que se opera TI y
que aumente la probabilidad de xito cuando decide impulsarla para la obtencin
de ventajas competitivas.
Tanto las mesas directivas como la direccin ejecutiva, necesitan ampliar el gobierno
corporativo a TI y proporcionar el liderazgo, las estructuras organizativas y los
procesos que garanticen que la TI de la empresa sostiene y propaga las estrategias y
objetivos de la empresa. El gobierno de TI no es una disciplina aislada, sino que es
parte integrante del gobierno corporativo global de la empresa. Los accionistas y las
principales partes ms interesadas en la gestin de las empresas (denominados
stakeholders), conforman un grupo cada vez ms capacitado y asertivo preocupado
por la buena gestin de sus intereses. Esto ha dado lugar a la aparicin de los
principios y las normas para el gobierno corporativo de la empresa.
El conocimiento del Gobierno de TI es fundamental para el trabajo del auditor de IS.
El mismo constituye la base para el desarrollo de prcticas saludables de control y
mecanismos para la supervisin y revisin de la administracin.
5
Introduccin
9 TAREAS FUNDAMENTALES
Evaluar la efectividad de
la estructura de
gobierno de TI para
determinar si las
decisiones, las
direcciones y el
desempeo de TI
respaldan las
estrategias y los
objetivos de la
organizacin.
Introduccin
Evaluar la estructura
organizativa de TI y la
gestin de Recursos
Humanos (personal),
para determinar si
respaldan las
estrategias y los
objetivos de la
organizacin.
Introduccin
Evaluar la estrategia de
TI, incluyendo la
direccin de TI y los
procesos para el
desarrollo, la
aprobacin, la
implementacin y el
mantenimiento de la
estrategia para que est
alineada con las
estrategias y los
objetivos de la
organizacin
8
Introduccin
Introduccin
Evaluar la adecuacin
del sistema de gestin
de calidad para
determinar si respalda
las estrategias y los
objetivos de la
organizacin de forma
rentable.
10
Introduccin
Evaluar la gestin de TI
y el monitoreo de
controles (por ejemplo,
monitoreo continuo,
aseguramiento de
calidad [QA]) para
determinar si cumplen
con las polticas, los
estndares y los
procedimientos de la
organizacin.
11
Introduccin
12
Introduccin
Evaluar las
estrategias y
polticas de
contratacin de TI y
las prcticas de
gestin de contratos
para determinar si
respaldan las
estrategias y los
objetivos de la
organizacin
13
Introduccin
Evaluar las
prcticas de
gestin de
riesgos, para
determinar si los
riesgos de la
organizacin
relacionados con
TI, se gestionan
adecuadamente.
14
Introduccin
10
15
GOBIERNO
CORPORATIVO
16
1. Gobierno Corporativo
Es el conjunto de principios y tcnicas destinadas a mejorar la
administracin de las sociedades mercantiles que apelan al ahorro del
pblico. Surge de la necesidad de superar los problemas que plantea la
separacin entre la propiedad y la gestin en las grandes sociedades que
cotizan en Bolsa.
Revista de Derecho del Mercado Financiero
Qu es el Gobierno Corporativo?
2006
1. Gobierno Corporativo
Sistema por el cual las sociedades son administradas y controladas, con
atribuciones y obligaciones para accionistas Junta Directiva, Alta Gerencia,
Comits y Unidades de Control; proporcionando un marco de transparencia
y proteccin de los intereses de los depositantes, asegurados y dems
usuarios de las entidades.
Superintendencia del Sistema Financiero
Normas Prudenciales de Bancos NPB 4-48,
2013
1. Gobierno Corporativo
Un comportamiento corporativo tico por parte de los directores u otros
encargados del gobierno, para la creacin y entrega de los beneficios para
todas las partes interesadas.
ISACA
Manual de Preparacin al Examen CISA,
2008
1. Gobierno Corporativo
20
1. Gobierno Corporativo
21
1. Gobierno Corporativo
22
1. Gobierno Corporativo
23
1. Gobierno Corporativo
La Organizacin para la Cooperacin y el Desarrollo Econmicos (OCDE), emiti en mayo
de 1999 y revis en 2004 sus Principios de Gobierno Corporativo.
Todos los accionistas deben tener la oportunidad de obtener una efectiva reparacin
de los daos por la violacin de sus derechos.
Asegurar que haya una revelacin adecuada y a tiempo de todos los asuntos
relevantes de la empresa, incluyendo la situacin financiera, su desempeo, la
tenencia accionaria y su administracin.
1. Gobierno Corporativo
25
PRACTICAS DE MONITOREO Y
ASEGURAMIENTO PARA LA JUNTA
Y LA GERENCIA EJECUTIVA
26
Directores
Sistemas de
Informacin
Aspectos
Legales
GOBIERNO
DE
Usuarios
Negocios
Proveedores
Tecnologa
TI
Alta
Gerencia
Comunicacin
Lderes de
Procesos
28
GOBIERNO DE TI
Le incumben 2 aspectos:
Administracin de
Riesgos
Integracin de la responsabilidad
29
30
CFOs
CEOs
Concordancia
Objetivos de TI
y de la Empresa
CIOs
31
32
Pregunta
33
El Gobierno de TI integra e
institucionaliza las buenas
prcticas para asegurar que la
TI de la empresa respalde los
objetivos del negocio.
GOBIERNO
DE TI
El Gobierno de TI permite que la
empresa saque provecho total de su
informacin, maximizando de esta
manera los beneficios, capitalizando las
oportunidades, y obteniendo una
ventaja competitiva.
34
35
Exigencia sobre un mejor retorno sobre las inversiones de TI.
Preocupacin por el creciente nivel de gasto en TI
Necesidad de cumplir con requerimientos regulatorios
Gestin de contratacin de servicios tercerizados
Riesgos cada vez mas complejos en TI
Necesidad de optimizar los costos
Creciente madurez y aceptacin de marcos populares
Necesidad de evaluar nuestro desempeo frente a estndares
generalmente aceptados.
Marcos de Gobierno de TI
Estructura de Gobierno de TI
36
Las Mejores
Prcticas de TI
Aseguran:
Recursos
Utilizados
Responsablemente
Riesgos
Administrados
Apropiadamente
Informacin y
Tecnologa
Soportan
Objetivos del
Negocio
37
38
Alcance
del
Trabajo
Reportar el Gobierno de
TI implica auditar al mas
alto nivel de la
organizacin, cruzando
lmites de divisin,
funciones o
departamentos.
Nivel de
Entrega
Temas
cubiertos
Gob TI
Derecho
de
acceso
39
Asesoramiento
Estratgico
Riesgos
Comit de
Estrategia
de TI
Valor de TI
Desempeo
41
Nivel de Junta
Provee opinin y asesoramiento a la Junta sobre
tpicos tales como:
Nivel Ejecutivo
43
Nivel
Autoridad
Integrantes
Nivel de Junta
Nivel Ejecutivo
44
45
Satisfaccin
del Cliente
Usuarios
Evaluacin
Financiera
BSC
TI
Mejora
Innovacin
Operativos
Procesos
Internos
46
Estrategias
Convertirse en el proveedor
preferido de SI
Desarrollar aplicaciones y
operaciones superiores
Entregar aplicaciones y
servicios eficientes y efectivos
Medidas
Proveer un conjunto
balanceado de medidas (KPIs)
para guiar las decisiones de TI
orientadas a negocios.
48
49
Pregunta
51
Integridad de la
Informacin
Proteccin de activos
de Informacin
Continuidad de
Servicios
52
Informacin:
Datos que tienen significado y propsito
Competitividad
Seguridad
53
Seguridad de TI
Se ocupa de la
seguridad de la
Tecnologa y es
tpicamente
impulsada desde
el nivel del CIO
Seguridad de Informacin
54
Estructuras
Organizacionales
Procesos de
salvaguarda de la
Informacin
Dirigencia
Gobierno de
Seguridad
de la
Informacin
55
57
6
RESULTADOS
BASICOS
DE UN
GOBIERNO
EFECTIVO DE
SEGURIDAD
Integracin de
Procesos
Gestin de
Recursos
Medicin del
Desempeo
Entrega de
valor
Gestin de
Riesgos
Alineacin
estratgica
58
60
61
Pregunta
Arquitectura de la Empresa es
el conjunto de elementos
organizacionales
(objetivos
estratgicos, departamentos,
procesos,
tecnologa,
personal, etc.) que describen a
la empresa y se relacionan
entre s garantizando la
alineacin desde los niveles
ms altos (estratgicos) hasta
los ms bajos (operativos), con
el fin de optimizar la
generacin de productos y
servicios que conforman la
propuesta de valor entregada
a los clientes.
63
64
65
ESTRATEGIA DE SISTEMAS DE
INFORMACIN
66
Alta
Gerencia
Desarrollar
planes de
accin
Demanda de TI
Involucra
las
intenciones
estratgicas de la organizacin y
como stas se traducen en
objetivos especficos e iniciativas
de negocio y que capacidades
de TI se necesitarn para
soportar estos objetivos e
iniciativas.
Planeacin
Estratgica Efectiva
de TI
Capacidad de
proveer TI
69
Pregunta
70
Pregunta
Cul de los enunciados siguientes describe MEJOR un
proceso de planeacin estratgica del departamento de TI?
A. El departamento de TI tendr planes de corto alcance o de largo alcance
dependiendo de los planes y objetivos ms amplios de la organizacin
73
POLTICAS Y
PROCEDIMIENTOS
74
4.1 Polticas
Son documentos de alto nivel que representan la filosofa corporativa de una
organizacin y el pensamiento estratgico de la alta gerencia y de los dueos de los
procesos del negocio. Estas deben ser claras y concisas para que sean efectivas.
ADMNISTRACIN
Formular
Controlar
Polticas que
abarcan metas y
directrices
generales
Promulgar
Desarrollar
Documentar
Ambiente
de
Control
Positivo
75
CORPORATIVAS
CORPORATIVAS
Polticas de
Alto Nivel
Polticas de
Alto Nivel
TOP-DOWN
COSTOS / BASADAS EN
ESTIMACIONES DE RIESGO
CONSISTENTES
4.1 Polticas
DOWN-TOP
Polticas de
Menor Nivel
Polticas de
Menor Nivel
DIVISIONES / DEPARTAMENTOS
DIVISIONES / DEPARTAMENTOS
76
4.1 Polticas
El Auditor de Sistemas debe:
Alcanzar el entendimiento de las polticas como parte del proceso de auditora y
comprobar si estas se cumplen.
Comprobar que la Administracin revise y actualice las polticas peridicamente.
Verificar que las polticas formuladas permitan el logro de los objetivos del
negocio y la implementacin de controles en los sistemas de informacin.
Verificar que las polticas generales a nivel superior y las polticas detalladas a un
nivel inferior estn a tono.
Utilizar las polticas como punto de referencia para evaluar el cumplimiento de
los controles de SI.
Identificar y reportar polticas que obstaculizan el logro de los objetivos del
negocio, para que sean mejoradas.
Considerar el grado al que las polticas se aplican a terceros o a outsourcers, el
grado al que estos cumplen con las polticas o si las polticas de los terceros o de
los outsourcers etn en conflicto con las polticas de la organizacin.
77
4.1 Polticas
Poltica de Seguridad de Informacin
La poltica de seguridad es un documento de alto nivel que denota el compromiso
de la gerencia con la seguridad de la informacin. Contiene la definicin de la
seguridad de la informacin bajo el punto de vista de cierta entidad.
Debe ser enriquecida y compatibilizada con otras polticas dependientes de sta,
objetivos de seguridad, procedimientos. Debe estar fcilmente accesible de forma
que los empleados estn al tanto de su existencia y entiendan su contenido. Puede
ser tambin un documento nico o inserto en un manual de seguridad. Se debe
designar un propietario que ser el responsable de su mantenimiento y su
actualizacin a cualquier cambio que se requiera.
4.1 Polticas
El Documento de Poltica de Seguridad de Informacin debe tener:
Una definicin de seguridad de informacin, sus objetivos generales y su alcance,
y la importancia de la seguridad como un mecanismo que permite que se
comparta la informacin.
Una declaracin de la intencin de la gerencia, soportando las metas y los
principios de la seguridad de informacin en lnea con la estrategia y los objetivos
del negocio.
Un marco para fijar los objetivos de control y los controles, incluyendo la
estructura de la evaluacin del riesgo y la administracin del riesgo.
Una breve explicacin de las polticas de seguridad, los principios, los estndares
y los requisitos de cumplimiento de particular importancia para la organizacin,
incluyendo:
79
4.1 Polticas
Para revisar la poltica de seguridad de Informacin debe considerar lo siguiente:
Retroalimentacin de las partes interesadas.
Resultados de revisiones independientes.
Estatus de las acciones preventivas y correctivas.
4.1 Polticas
El resultado o producto de la revisin de gerencia debe incluir
cualesquiera decisiones y acciones relacionadas con:
Mejoramiento
del
enfoque
de
la
organizacin para administrar la seguridad
de informacin y sus procesos.
Mejoramiento de los objetivos de control y
los controles
Mejoramiento en la asignacin de recursos
y/o responsabilidades
81
4.2 Procedimientos
Los auditores deben revisar los procedimientos para identificar, evaluar y probar
los controles sobre los procesos del negocio. Los controles integrados son
evaluados para asegurar que cumplan los objetivos de control necesarios,
mientras hacen el proceso tan eficiente y prctico como sea posible. Al no existir
procedimientos documentados, es difcil identificar los controles y asegurar que
estn en operacin continua.
82
ADMINISTRACIN
DEL RIESGO
83
RIESGO:
El potencial de que una amenaza
determinada
explote
las
vulnerabilidades de un activo o grupo
de activos y que ocasione prdida de los
activos o daos a los mismos.
Usualmente se mide mediante la
combinacin del impacto y de la
probabilidad de que ocurra. El riesgo
comprende los siguientes elementos:
VULNERABILIDADES: Intrnsecas en el
activo
PROBABILIDAD: Porcentaje de
ocurrencia, depende del entorno
IMPACTO: Porcentaje que represente
ese activo en los bienes
84
ADMINISTRACIN
RIESGO:
DEL
85
APETITO DE
RIESGO
INVERSIONES
FUTURAS EN
TECNOLOGIA
Identificar
Analizar
GRADO DE
PROTECCIN DE
LOS ACTIVOS
Evaluar
Tratar
NIVEL DE
GARANTIA
REQUERIDO
Monitorear
Comunicar
Administracin
Superior
EVITAR
MITIGAR
TRANS
FERIR
ACEPTAR
ELIMINAR
86
Establecer el propsito
del programa de
Administracin del
Riesgo
Asignar responsabilidad
para el plan de
administracin del
riesgo
87
Riesgo
residual
Evaluar
Controles o
Disear nuevos
Combinar para formar una visin
general del riesgo:
Calcular vulnerabilidad de impacto
por cadaAmenaza.
Nota: el riesgo es
proporcional al
valor de la prdida
o dao y la
frecuencia
estimada de la
amenaza
88
Nivel Operativo
Riesgos que
comprometen la
efectividad de
sistemas
Capacidad de evadir
controles en sistemas
Prdida o no
disponibilidad de
recursos
Falta de cumplimiento
de leyes
Nivel de Proyecto
Capacidad de
entender la
complejidad del
proyecto
Que los objetivos del
proyecto no sean
cumplidos
Nivel Estratgico
Capacidades de TI no
estn alineadas con el
negocio.
Capacidades de TI
comparadas con la de
los competidores
Amenazas planteadas
por el cambio
tecnolgico
89
90
Cualitativo
Cuantitativo
ALE
(Expectativa de
prdida anual)
91
Ejemplo:
Tomemos la siguiente informacin para realizar un anlisis cuantitativo y definir si
es conveniente o no adquirir un software de antivirus con un valor de $2,000
dlares para un nuevo servidor de correo electrnico, el cual incluye medidas
antispam y filtrado de contenidos.
92
93
PRCTICAS DE GERENCIA
DE SISTEMAS DE INFORMACIN
94
95
Cronogramas y Reportes de Tiempo (til para asignacin de costos, medicin de KGI y KPI y
anlisis de actividades)
Insourced
Entrega de
Funciones
Outsourced
Hbrido
Sourcing
En el sitio
Lugar de
Trabajo
Fuera del
Sitio
Offshore
Por qu Tercerizar?
Qu puedo / no puedo
Tercerizar?
98
Ventajas de la Tercerizacin:
Economas de escala
99
100
COMO PUEDO
REDUCIR EL RIESGO
EN LA
TERCERIZACIN?
SLA
101
Verificar que el SLA sea adecuado y contenga las clusulas mnimas de exigencia.
102
103
104
107
108
109
Pregunta
110
Pregunta
111
113
Pregunta
114
ESTRUCTURA ORGANIZACIONAL Y
RESPONSABILIDADES DE SI
115
CIO
Gestin de
Riesgos
Admin Seguridad
Coordinador
Recuperacin de
Desastres
Aplicaciones
Desarrollo /
Admin de
Soporte
Programadores
Datos
Admin Datos
Admin BD
Soporte Tcnico
Admin Soporte
Tcnico
Admin de Redes
Analistas de
Sistemas
Admin de SO
Aseguramiento
de calidad
Programadores
de Sistemas
Soporte al
Usuario
Mesa de Servicio
Operaciones
Admin de
Operaciones
Operador de
Computadora
Analistas de
sistemas
116
Gestin
Desarrollo
Sistemas
Gestin de
Proyectos
Help Desk
Usuario Final
Gestin Soporte
Usuario Final
Gestin de Datos
Gestin
Aseguramiento
de la calidad
Gestin de
Seguridad de la
Informacin
Gestin de
proveedores
Operaciones de
Mtto. e
Infraestructura
Gestin de
Medios
Ingreso de Datos
Administracin
de Sistemas
Administracin
de Seguridad
Aseguramiento
Calidad
Administracin
BD
Anlisis de
Sistemas
Desarrollo y
Mntto.
Aplicaciones
Desarrollo y
Mntto.
Infraestructura
Administracin
de Red
117
118
Grupo de Control
Analista
de
Sistemas
Programador de
Aplicaciones
Mesa de Ayuda y
Gerente
de
Soporte
Usuario Final
Analista
Sistemas
Mesa de Ayuda y
de Programador de
Gerente
de Usuario Final
Aplicaciones
Soporte
x
x
Programador de Control
Sistemas
Calidad
Operador de
Computadoras
Administrador de
Bases de Datos
x
x
x
x
x
x
de
Ingreso de Datos
Administrador de
Redes
Administrador de
Sistemas
Administrador de
Seguridad
Cintotecario
Programador de
Sistemas
Control
de
Calidad
Ingreso de Datos
x
x
x
x
x
x 119
Pregunta
120
Pregunta
121
Custodia de Activos
Formularios de Autorizacin
Los gerentes deben definir quien tendr acceso a que, a travs de formularios de
autorizacin (fsicos o electrnicos).
La solicitud debe ser formal.
Para empresas grandes, se recomienda el uso de registro de firmas.
Los privilegios de acceso deben ser revisados peridicamente.
Tablas de autorizacin de usuario
El Depto. de SI debe mantener tablas de autorizaciones de usuarios (ACL).
Las tablas deben ser protegidas contra el acceso no autorizado.
Debe llevarse una bitcora sobre la actividad de los usuarios y revisarla.
123
Controles compensatorios
Pistas de Auditora
Conciliacin
Reportes de Excepcin
Registros de transacciones
Revisiones de supervisin
Revisiones independientes
124
Pregunta
A. Originacin
B. Autorizacin
C. Registro
D. Correccin
125
Pregunta
En una organizacin pequea, donde la segregacin
de responsabilidades no es prctica, un empleado
realiza la funcin de operador de computadoras y
programador de aplicaciones. Cul de los siguientes
controles debe recomendar el auditor de SI?
A. Registro automtico de cambios a las bibliotecas de desarrollo
B. Personal adicional para proveer la segregacin de tareas
C. Procedimientos que verifiquen que slo los cambios de
programa aprobados estn implementados
AUDITORIA DE LA ESTRUCTURA E
IMPLEMENTACION DE GOBIERNO
DE TI
127
hardware / software
2.
Costos excesivos
3.
Presupuesto excesivo
4.
Proyectos demorados
5.
6.
Personal inexperto
7.
8.
9.
seguimiento
personal
18. Falta de entrenamiento adecuado.
Adems, se deben estudiar los diferentes documentos revisados para determinar si:
Fueron creados como lo autoriz la gerencia y como sta quera que fueran creados.
CASO DE ESTUDIO
131
9. Caso de Estudio
A un auditor de Si se le ha pedido que revise el borrador de un contrato de
outsourcing y SLA y que recomiende cualquier cambio o seale cualquier
preocupacin antes de que stos sean presentados a la alta gerencia para su
aprobacin final. El contrato incluye soporte de Windows y de la administracin
de servidor UNIX y la administracin de redes a un tercero. Los servidores sern
reubicados a la instalacin del outsourcer que est ubicada en otro pas, y se
establecer la conectividad usando Internet. Se aumentar la capacidad del
software del sistema operativo dos veces por ao, pero stos no sern entregado
en custodia. Todas las solicitudes de adicin o de eliminacin de cuentas de
usuario sern procesadas dentro de 3 das hbiles. El software de deteccin de
intrusos ser monitoreado continuamente por el outsourcer y el cliente notificar
por e-mail si se detectara cualquier anomala. Los nuevos empleados contratados
dentro de los ltimos tres aos estuvieron sujetos a verificaciones de
antecedentes. Antes de eso, no haba polticas establecidas. Est establecida una
clusula de derecho a auditora, pero se requiere un aviso de 24 horas antes de
una visita al establecimiento. Si se encontrara que el outsourcer est en violacin
de cualquiera de los trminos o condiciones del contrato, ste tendr 10 das
hbiles para corregir la deficiencia. El outsourcer no tiene un auditor de SI, pero
es auditado por una firma regional de contadores pblicos.
132
Pregunta
133
Pregunta