AUDITORIA DE SISTEMAS

AUDITORA Y SEGURIDAD DE
TECNOLOGAS DE INFORMACIN
 AUDITORIA DE SISTEMAS

MOTIVACIN
Qu riegos importantes existen en una
organizacin?
Cmo influye una mala informacin en las
organizaciones?
Cul es el activo mas importante de una
empresa?
Cul es el rol actual de las TI en una
empresa?
 AUDITORIA DE SISTEMAS

TECNOLOGAS de la
INFORMACIN

RIESGOS
 AUDITORIA DE SISTEMAS

ITGI
Presin para incroporar tecnologa en estrategias empresariales
Aumento de la complejidad de los entornos de TI
Infraestructuras TI fragmentadas
Brecha de comunicacin entre directivos y gerentes TI
Niveles de servicio de TI decepcionantes tanto por parte de las
funciones internas de TI como los proveedores externos
Costes de TI fuera de control
Productividad y ROI marginales sobre inversiones en TI
Inflexibilidad organizacional
Frustracin por parte de los usuarios, dando lugar a soluciones ad-hoc
 AUDITORIA DE SISTEMAS

ITGI
Dependencia creciente de la informacin y los sistemas que la
gestionan
Vulnerabilidades crecientes y amplio espectro de amenazas
Escalado y coste de las inversiones actuales y futuras de la
informacin y los sistemas de informacin
Necesidad de cumplir con leyes y regulaciones
Potencial de las TI para cambiar espectacularmente las
organizaciones y las prcticas empresariales, crear nuevas
oportunidades y reducir costes
Reconocimiento por parte de muchas organizaciones de los
beneficios potenciales que las TI pueden aportar
 AUDITORIA DE SISTEMAS

Gestin de los SI

Control y evaluacin
de esta gestin
 AUDITORIA DE SISTEMAS

Para asegurar que las

TI proporcionan valor
Coste, tiempo, funcionalidad esperados

TI no proporcionan sorpresas
Riesgos mitigados

TI contribuyen al negocio
Nuevas oportunidades e innovaciones en
productos, procesos y servicios

la direccin necesita tener las TI bajo control

 AUDITORIA DE SISTEMAS

La Auditora de Sistemas de Informacin

nace como un

mecanismo
para valorar y evaluar
LA CONFIANZA

que se puede depositar en los

sistemas de informacin
 AUDITORIA DE SISTEMAS

AUDITORA
Proceso sistemtico de obtencin y evaluacin
objetiva acerca de aseveraciones efectuadas por
terceros referentes a hechos y eventos de naturaleza
econmica, para testimoniar el grado de
correspondencia entre tales afirmaciones y un
conjunto de criterios convencionales, comunicando
los resultados obtenidos a los destinatarios y
usuarios interesados
American Accounting Association
 AUDITORIA DE SISTEMAS

AUDITORA DE SISTEMAS
La auditora de los sistemas se define como un tipo de
auditora que abarca la revisin y evaluacin de los
sistemas automticos de procesamiento de la
informacin, incluidos los procedimientos no
automticos relacionados con ellos, para determinar si
se salvaguardan adecuadamente los activos, se
mantienen la integridad de los datos, se provee
informacin confiable, se consumen los recursos de
manera eficiente y se alcanza las metas de la
organizacin.

Fuente: ISACA
 AUDITORIA DE SISTEMAS

la AUDITORIA de SI es el
PROCESO
de RECOGER, AGRUPAR y EVALUAR
EVIDENCIAS
para
DETERMINAR
si un SISTEMA INFORMATIZADO
SALVAGUARDA los ACTIVOS,
mantiene la INTEGRIDAD de los DATOS,
lleva a cabo
los FINES de la ORGANIZACIN
y UTILIZA EFICIENTEMENTE los RECURSOS
 AUDITORIA DE SISTEMAS

La responsabilidad en ltimo extremo, en una

empresa sobre la optimizacin de la calidad de
los SI, y la rentabilidad de los recursos
informticos la tiene:

1. La Direccin de la empresa
2. El auditor de SI interno
3. El responsable de las Tecnologas de la
Informacin
4. El vendedor del software y el hardware
 AUDITORIA DE SISTEMAS

Un Auditor de Sistemas de Informacin debe,

entre sus responsabilidades, realizar:

1. La redaccin de los procedimientos de

control en el rea de seguridad lgica
2. La aprobacin de nuevos sistemas de
gestin
3. Evaluar los riesgos de los sistemas de
informacin
4. Las pruebas del plan de continuidad
del negocio
 AUDITORIA DE SISTEMAS

OBJETIVOS
 AUDITORIA DE SISTEMAS

AUDITORA de
SI/TIC OPININ
INDEPENDIENTE

APOYO a la DIRECCIN

CONTROL INTERNO
 AUDITORIA DE SISTEMAS

La Auditora de Sistemas de Informacin

se define como cualquier auditora que
abarca la
REVISIN y EVALUACIN de
todos los aspectos
(o alguna seccin/rea) de los sistemas
automatizados de procesamiento de
informacin, incluyendo procedimientos
relacionados no automticos, y las
interrelaciones entre ellos

Information Systems Audit & Control Association

 AUDITORIA DE SISTEMAS

Se debe DISTINGUIR claramente entre:

Utilizacin de medios informticos en la

realizacin de una Auditora

Realizacin de supervisin o control

rutinario informtico dentro del entorno
de sistemas de informacin
Consultora en reas de sistemas de
informacin, seguridad, calidad, etc.

Diagnsticos de la fortaleza o seguridad

de ciertos mecanismos de seguridad
como pruebas de intrusismo, etc.
 AUDITORIA DE SISTEMAS

De

una Auditora de Sistemas de

Informacin
que implica
la EVALUACIN y EMISIN de una
OPININ OBJETIVA e INDEPENDIENTE
sobre la
FIABILIDAD de un sistema de informacin
 AUDITORIA DE SISTEMAS

Entre otros alcances, la evaluacin de:

Procedimientos organizativos y
operativos
Sistemas en produccin y participacin
en nuevos desarrollos
La confidencialidad
La integridad de la Informacin
Eficiencia o de eficacia de los SI
Cumplimiento Legal y Normativo
etc.
 AUDITORIA DE SISTEMAS

OB
ASPECTOS A CONTROLAR
J El Proyecto de Desarrollo de Sistemas est enmarcado dentro del
E Plan General de Sistemas
T Eloperativo
Cronograma del Proyecto sea realista y el Sistema est
en forma oportuna, de acuerdo a las necesidades de la
Institucin.
I
Se aplique la Metodologa de Desarrollo de Sistemas
V
Exista un control permanente de la consistencia y confiabilidad de
O los Sistemas Informticos.
S La Calidad del Sistema producido, permita una ptima
operatividad del mismo
 AUDITORIA DE SISTEMAS

ASPECTOS A CONTROLAR
La tecnologa utilizada sea la ms adecuada a los fines del
sistema y permita una vida til satisfactoria para la inversin
realizada.

Los Costos, tanto del desarrollo como de su operacin y

mantenimiento, sean los planificados y exista un retorno de la
inversin

Se hayan logrado los beneficios esperados

 AUDITORIA DE SISTEMAS

INSTRUMENTOS DE CONTROL
Documentacin de las Sub-etapas del Desarrollo e
Implantacin de Sistemas.
Reuniones de Revisin Tcnica.
Benchmark o pruebas del sistema.
Formularios de Control.
 AUDITORIA DE SISTEMAS

TIPOS DE AUDITORIA
 AUDITORIA DE SISTEMAS

AUDITORA EXTERNA

AUDITORA INTERNA

CONTROL
INTERNO

SOFTWARE

DATOS
 AUDITORIA DE SISTEMAS

AUDITORIA de SI INTERNA
Acta de forma continua y peridica,
dentro de una planificacin a corto y largo
plazo, que permite incluir todas y cada una
de las reas relacionadas con TI
VENTAJA: formacin en el concepto de
control de los auditados, y el seguimiento de
la implantacin de las recomendaciones

VALOR AADIDO: acta como control

preventivo, contribuyendo a evitar que la
empresa incurra en prdidas o costes elevados
 AUDITORIA DE SISTEMAS

AUDITORA de SI EXTERNA

Su primera ventaja es la independencia

de opinin del auditor, y que adems
puede aportar conocimientos tcnicos que
aun no se han desarrollado en la empresa,
o que la empresa no tiene posibilidad de
sustentar
Suele solicitarse cuando la empresa
detecta sntomas de riesgos de
seguridad, en temas de eficiencia/ eficacia
de los sistemas de informacin, o por
requerimientos legales
 AUDITORIA DE SISTEMAS

Un Auditor de SI depende jerrquicamente del Director de

Tecnologas de la Informacin. Cul de las siguientes
es cierta con relacin a esta situacin?

1. Esta situacin no permitir alcanzar los objetivos de

auditora de SI, ya que no existe la independencia
necesaria
2. El auditor de SI debe depender jerrquicamente de la
Direccin Financiera
3. Para asegurar la independencia, la auditora de SI debe
ser externa
4. Esta situacin es la adecuada para asegurar los
conocimientos tcnicos del auditor
 AUDITORIA DE SISTEMAS

CONTROL INTERNO
 AUDITORIA DE SISTEMAS

Control Objectives for related

Information Technology - COBIT

INFORME COSO

GMITS (ISO/IEC 13335-x),

ISO 17799
Common Criteria (ISO 15408)

ASOCIACIONES PROFESIONALES,
USUARIOS, FABRICANTES
 AUDITORIA DE SISTEMAS

MODELO DE RIESGO (*)

RIESGOS

VULNERABILIDAD IMPACTO

PROTECCION (**)

(*) Basado en el modelo "Infosec"(ref. 92/242/ECC)

(**) Incluye los conceptos de control y auditora de sistemas de informacin
 AUDITORIA DE SISTEMAS

RIESGO
La probabilidad de que
se d un error,
falle un proceso,
o tenga lugar un hecho negativo

para la empresa u organizacin,

incluyendo la posibilidad de fraudes
 AUDITORIA DE SISTEMAS

C
O el MECANISMO o
N PROCEDIMIENTO
T que EVITA o
R
O PREVIENE un RIESGO

L
 AUDITORIA DE SISTEMAS

el sistema de control interno en TI est

constituido por
las polticas,
procedimientos,
prcticas y estructuras organizativas
diseadas para proveer
una seguridad razonable
que los objetivos empresariales o de
negocio sern alcanzados o logrados y que
los sucesos indeseados sern detectados,
prevenidos y corregidos

COBIT (Governance, control and Audit for Information and Related Technology)
 AUDITORIA DE SISTEMAS

Riesgos y controles
en procesos operativos
MANUALES

Riesgos y controles
en procesos operativos
AUTOMATIZADOS
 AUDITORIA DE SISTEMAS

CONTROLES
 AUDITORIA DE SISTEMAS

CONTROL INTERNO

Revisin peridica de
procedimientos de controles
establecidos

Deteccin de riesgos

Seguimiento de errores o irregularidades

 AUDITORIA DE SISTEMAS

dificultad para implantar una

adecuada segregacin de
funciones
obtencin de evidencias o pistas
de auditora relevantes, fiables
y eficientes
complejidad tecnolgica
 AUDITORIA DE SISTEMAS

SEGREGACIN de FUNCIONES

Establecer una divisin de

roles y responsabilidades
que excluyan la posibilidad

que una SOLA PERSONA

PUEDA DOMINAR un
PROCESO CRTICO
 AUDITORIA DE SISTEMAS

Cul de las siguientes tareas pueden ser

realizadas por la misma persona en un centro
de cmputo de procesamiento de informacin
bien controlado?

1. Administracin de seguridad y admin. de cambios

2. Operaciones de cmputo y desarrollo de sistemas
3. Desarrollo de sistemas y admin. de cambios
4. Desarrollo de sistemas y mantenimiento de
sistemas
 AUDITORIA DE SISTEMAS

Cul de las siguientes controles es el ms

crtico sobre la administracin de bases
de datos?

1. Aprobacin de las actividades del DBA

2. Segregacin de funciones
3. Revisin de los registros de acceso y actividades
4. Revisin del uso de las herramientas de bases de
datos
 AUDITORIA DE SISTEMAS

Cul de las siguientes funciones es ms

probable que sea realizada por el
administrador de seguridad?

1. Aprobar la poltica de seguridad

2. Probar el software de aplicacin
3. Asegurar la integridad de los datos
4. Mantener las reglas de acceso
 AUDITORIA DE SISTEMAS

VOLATILIDAD Y FACILIDAD de
MANIPULACIN de

las EVIDENCIAS,
los REGISTROS y
los PROCESOS
 AUDITORIA DE SISTEMAS

Las caractersticas estructurales

de los controles estn evolucionando
a la misma velocidad y en la misma forma
de cambio acelerado, que estn
experimentando las tecnologas

Ejercicio continuado de investigacin

aplicada a los controles en TI
 AUDITORIA DE SISTEMAS

POLITICAS
Provienen de la Direccin

Generalmente abarcan
objetivos, las metas, filosofas,
cdigos ticos, y los esquemas
de responsabilidades

No admiten desviaciones
 AUDITORIA DE SISTEMAS

PROCEDIMIENTOS

Brindan los pasos especficos

necesarios para lograr las metas
Son las medidas o dispositivos
necesarias para lograr las directrices
de las polticas

Evolucionan con la tecnologa, la

estructura organizativa, y se
componen de medidas organizativas y
tcnicas
 AUDITORIA DE SISTEMAS

En la definicin de los controles

OBJETIVO DEFINIDO de cada

MECANISMO DE CONTROL

Interdependencia y conexin con

otros controles

EVIDENCIAS
 AUDITORIA DE SISTEMAS

En los aspectos organizativos

SEGREGACIN de FUNCIONES

IDENTIFICACIN de
RESPONSABILIDAD

INDEPENDENCIA de la
SUPERVISIN
 AUDITORIA DE SISTEMAS

La Direccin deber decidir

sobre el nivel de riesgo que est dispuesta a
aceptar, ello implica equilibrar el riesgo y
el costo

Los usuarios de los servicios de

T.I. tienen una necesidad creciente
de disponer de una
SEGURIDAD RAZONABLE
 AUDITORIA DE SISTEMAS

CONTROLES versus COSTE/BENEFICIO

de los CONTROLES

Todo control y medida preventiva implica un coste

monetario para su
IMPLANTACIN y MANTENIMIENTO

Desembolso que puede evitar prdidas

mayores en el futuro, y por lo tanto puede dar lugar
a la
RECUPERACIN de la INVERSIN

NO siempre es fcil IDENTIFICAR y

CUANTIFICAR que riesgos pueden provocar dao
o fraude, y que prdidas concretas
 AUDITORIA DE SISTEMAS

ESQUEMA BSICO

MATERIALIDAD de los RIESGOS

CONTROLES NECESARIOS

COMPARACION de CONTROL versus COSTE

DEFINICIN de los CONTROLES

 AUDITORIA DE SISTEMAS

Un auditor de SI est auditando los controles

relativos al despido/retiro de empleados. Cul
de los siguientes aspectos es el ms importante
que debe ser revisado?

1. El personal relacionado de la compaa es notificado

sobre el despido/retiro
2. El usuario y las contraseas del empleado han sido
eliminadas
3. Los detalles del empleado han sido eliminados de los
archivos activos de la nmina
4. Los bienes de la compaa provistos al empleado han
sido devueltos
 AUDITORIA DE SISTEMAS

Cuando se revisa un acuerdo de nivel de servicio

para un centro de cmputo contratado con
terceros (outsourcing), un auditor de SI
debera PRIMERO determinar que

1. El coste propuesto para los servicios es razonable

2. Los mecanismos de seguridad est especificados en el
contrato
3. Los servicios contratados estn basados en un anlisis
de las necesidades del negocio
4. El acceso de la auditora al centro de cmputo est
permitido conforme al contrato
 AUDITORIA DE SISTEMAS

Un auditor de SI que hace una auditora de

procedimiento de monitoreo de hardware debe
revisar:

1. reportes de disponibilidad del sistema

2. reportes coste-beneficio
3. reportes de tiempo de respuesta
4. reportes de utilizacin de bases de datos
 AUDITORIA DE SISTEMAS

Un auditor de SI cuando revisa una red utilizada

para las comunicaciones de Internet,
examinar primero

1. la validez de los casos en que se hayan efectuado

cambios de contrasea
2. la arquitectura de la aplicacin cliente/servidor
3. la arquitectura y el diseo de la red
4. la proteccin de firewall y los servidores proxy