i.

Tema

Auditoria de TI

ii.

Introduccin

La Informtica hoy, se est integrando en la gestin de la empresa, y por eso las normas y estndares informticos deben estar sometidos a los generales de la misma. Debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica. La Auditora Informtica es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa al nivel de tecnologas de la informacin. El aumento en la dependencia del negocio sobre las nuevas tecnologas que soportan sus procesos ha reforzado la necesidad de realizar de manera oportuna revisiones sobre los controles y niveles de seguridad existentes en el entorno de tecnologa, lo cual es necesario para mejorar eficiencia, prevenir riesgos y aumentar la productividad en un mercado internacional que cada da es ms competitivo. Los servicios de Auditora de Tecnologa de Informacin se encuentran orientados al mercado pro-activo y preventivo, brindndole a nuestros clientes evaluaciones de sus controles, que sirvan para el fortalecimiento de su seguridad e infraestructura tecnolgica. El manejo de la tecnologa de informacin (TI) es el trmino empleado para describir cmo las personas encargadas de dirigir una entidad tomarn en cuenta este concepto en la supervisin, inspeccin, control y direccin de la misma. La manera como se aplique la TI dentro de la entidad tendr un impacto enorme en la probabilidad de que sta alcance su visin, su misin o sus metas estratgicas. La Auditora de Tecnologa de la Informacin involucra Auditora de Sistemas Outsourcing o Co-Sourcing de Auditorias de Sistemas Revisiones de estndar de seguridad del PCI - VISA Auditora de Sistemas especializadas (ACH, Cajeros automticos (ATM), etc.) Certificacin-Declaracin de Sistemas Contables Certificacin-Declaracin de Sistemas de Almacenamiento Tecnolgico Sistema de Gestin de Seguridad de la Informacin (Norma ISO) Evaluacin y Alineamiento de Tecnologa con mejores prcticas Gobierno de TI

iii.

Conceptos bsicos

Para qu se realizan las Auditorias de TI? Una auditoria se realiza para dar soporte al control y seguridad de la tecnologa de informacin utilizada en la empresa, aplicando un enfoque de control orientado a los procesos de la misma. Auditora: deriva del latn audire que signigfica OIR Auditor: todo aquel que tiene la virtud de oir.

Consiste en la emisin de la opinin profesional sobre si el objeto sometido al anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas. Tipos de Auditoria de TI Soporte de la auditoria tradicional. Auditoria de la Gestin del Entorno Informtico. Auditoria como funcin independiente enfocada a la seguridad, riesgo y eficiencia del entorno. Auditoria como funcin de control dentro del departamento de gobierno de TI.

Objetivos Garantizar que se logren los objetivos de control Identificacin de las deficiencias significativas Sustanciacin del riesgo asociado a las deficiencias Asesoramiento sobre las acciones correctivas a adoptar

Un Auditor de Ti es un profesional especializado en TI y en Auditoria de TI, que tiene conocimientos generales de los mbitos en que se mueve; y est obligado a lograr que sus destrezas evolucionen con la TI. Los auditores deben suministrar: Garantas y asesoramiento respecto de los controles de la organizacin. Garantas razonables que estn cumpliendo los objetivos de control pertinentes. Identificar donde se encuentran las deficiencias significativas en dichos controles. Definir el riesgo que puede estar asociado a dichas deficiencias. Asesorar a los ejecutivos sobre las medidas correctivas que se deberan tomar.

El auditor de TI puede desempearse como: Evaluador de prcticas de control. Consultor: dando ideas de cmo enfocar buenas prcticas de control. Asesor en seguridad y control de TI.

Cdigo de tica de Auditores CISA: 1. Apoyar el establecimiento y cumplimiento de normas, procedimientos y controles de las auditorias de sistemas de informacin. 2. Cumplir con las normas de auditorias de sistemas de informacin, segn adopte la ISACF 3. Actuar en inters de sus empleadores, accionistas clientes y pblico en general en forma diligente, leal y honesta, y no contribuir en actividades ilcitas o incorrectas. 4. Mantener la confidencialidad de la informacin obtenida en el curso de sus deberes. La informacin no deber ser utilizada en beneficio propio o divulgada a terceros no legitimados. Los auditores se enfrentan a dos grandes riesgos los cuales son: Errores de importancia que ocurran en el proceso de captura de datos del cual se obtienen los informes Errores de importancia que pueda existir

Se pueden reducir riesgos de tal manera que el auditor: Confe en el control interno para reducir el primer riesgo. Confe en sus pruebas y en sus procedimientos para reducir el segundo riesgo.

Dominios de alto nivel para el auditor de TI: Planificacin y Organizacin: abarca la estrategia de TI. Se identifica la forma en que la TI puede contribuir ms adecuadamente con el logro de los objetivos de negocio. Adquisicin e Implementacin: deben identificarse, desarrollarse o adquirirse soluciones de TI y luego implementarse e integrarse en el proceso de negocio. Entrega y Soporte: abarca la entrega de los servicios y el soporte de los mismos. Monitoreo: abarca la evaluacin de todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control.

La misin y objetivo principal de COBIT es investigar, desarrollar, publicar y promocionar objetivos de control de TI internacionales, actualizados a la realidad actual para ser usados por los gerentes de negocios y auditores. Los objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos.

Provee buenas prcticas a travs de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lgica. Las Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por el camino equivocado.

COBIT ha sido desarrollado como estndares generalmente aplicables y aceptados para mejorar las prcticas de control y seguridad de las TI, que provean un marco de referencia para la administracin, los usuarios y los auditores de cualquier tipo. Bsicamente consta de 4 pasos, los cuales conforman el planeamiento y realizacin de una auditoria, ellos son: Resumen Ejecutivo

El Resumen Ejecutivo se basa en una visin ejecutiva, la cual provee a la administracin un entendimiento de los principios y conceptos claves de COBIT, as como el marco que provee a la administracin con ms detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total. Antecedentes y Marco de Referencia

El Marco describe en detalle los 34 Objetivos de Control de TI a un nivel macro, e identifica los requerimientos del negocio para la informacin e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contienen declaraciones de los resultados deseados o propsitos a ser alcanzados para la implementacin de 302 objetivos de control especficos, a travs de los 34 Procesos de TI. Guas de Auditora

Las Guas de Auditora, las cuales contienen pasos de auditora sugeridos, correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de

informacin en revisar los procesos de TI, junto a los 302 detalles de objetivos de control para proveer seguridad a la administracin y recomendar sus mejoras. Herramientas de Implementacin

Las Herramientas de implementacin, las cuales contienen el conocimiento de la administracin y diagnstico de control de TI, una gua de implementacin. Esta nueva herramienta es diseada para facilitar la implementacin de COBIT y relacionar sesiones aprendidas desde organizaciones que rpidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo.

iv.

Etapas

1 - Definicin del Requerimiento del Proceso de Auditoria de TI Definir el alcance de la auditoria Identificar los requerimientos de informacin relacionados con el proceso de negocio Identificar los riesgos inherentes y el nivel de control general Seleccionar los procesos y plataformas para auditar Establecer la estrategia de la auditoria 2 - Pauta de Auditoria Genrica Obtencin del entendimiento: Lo que existe Evaluacin de los controles: Se decide que evaluar, como y si son suficientes los controles. Evaluacin del cumplimiento: Obtener evidencia para garantizar que el control funciona Definicin del riesgo: Opinin confidencial de puntos dbiles y del impacto real y potencial 3 - Informe de Auditoria Descripcin del Problema El impacto que produce (segn los riesgos) Sugerencia u Opinin: Criterios Modelo Cobit Normas de la Empresa Reglas del Sector Estndares

La metodologa para el Anlisis del Riesgo es la siguiente: Valuacin de los Bienes Anlisis de Vulnerabilidad Observacin de Amenazas Evaluacin del Riesgo = (Prob. de la Amenaza + Grado de Vulnerabilidad + Severidad del impacto) Seleccin de Contramedidas (Controles) Identificacin de Riesgo Residual Plan de accin

Tipos de Anlisis del Riesgo: Riesgo: es la probabilidad que un acto o evento ocurra produciendo un efecto adverso en la organizacin y en la informacin. Potencial: la capacidad que una amenaza explote alguna vulnerabilidad de los recursos provocando prdida o dao. Inherente: riesgo asociado a un evento en la ausencia de controles especficos. Residual: riesgo asociado a un evento cuando los controles reducen el efecto o la probabilidad de dicho evento.

v. Normas
El elemento esencial de la Auditora es la opinin profesional que se fundamenta y justifica por medio de procedimientos especficos tendentes a proporcionar una seguridad razonable de lo que se afirma. Normas Generales para la Auditora de TI: 010 Ttulo de la Auditora 020 Independencia 030 tica y Normas profesionales 040 Idoneidad 050 Planificacin 060 Ejecucin del Trabajo de Auditora 070 Informes 080 Actividades de Seguimiento

Normas 050 (Planificacin): Requerimientos de Negocios: debe conocer los objetivos de la auditoria, el rea a auditar y la infraestructura. Conocimiento de la Organizacin: debe obtener el entendimiento de la organizacin y los procesos. Materialidad: es una expresin del grado de importancia que tiene una cosa en particular en el contexto de la organizacin. Evaluacin de Riesgo: se deben identificar aras con relativa existencia de alto riesgo de problemas. Evaluacin del Control Interno: debe considerar hasta que punto es necesaria la revisin del control interno. Documentacin Programa de Auditora: conjunto de pasos para realizar el objetivo de la auditora. Normas 060.020 (Evidencia): Se constituye por aquellos hechos susceptibles de ser probados por el auditor que estn relacionados con los objetivos de control que evala, y que se manifiesta a travs de las pruebas de cumplimiento y sustantivas de los controles, y estn de acuerdo con el juicio profesional. En el transcurso de la auditoria, el auditor de sistemas de informacin debe obtener la evidencia suficiente, confiable, pertinente y til a fin de que se alcancen los objetivos de auditoria con eficacia. Los hallazgos y las conclusiones de la auditoria deben ser sustentados mediante el anlisis y la interpretacin de dicha evidencia. Tipos de Evidencia: Evidencia Fsica: Ej. observacin de cmo se realizan las actividades, etc. Evidencia Documentada: Ej. registros de transacciones, inventarios, etc. Representaciones: Ej. diagramas, afirmaciones que realizan los usuarios, etc. Anlisis: anlisis de la informacin a travs de comparaciones, etc.

Disponibilidad de la Evidencia: El auditor debe considerar el tiempo durante el cual existe la informacin y est disponible en su naturaleza, duracin en el tiempo, para realizar pruebas sustantivas y, si es aplicable, su comprobacin. Recoleccin de la Evidencia: Entrevista

Observacin Inspeccin Confirmacin Re-Evaluacin Monitoreo

vi. Caso de estudio

La auditora de la informacin se define como cualquier auditoria que abarca la revisin y evaluacin, normas, controles, tcnicas de todos los aspectos de los procesamientos de la informacin para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de los sistemas de informacin. El objetivo que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno. Supongamos que contratamos a un nuevo personal en el departamento de recursos financieros, por qu fue el ms adecuado en el examen de admisin a la empresa, pero solo vemos sus capacidades laborales mas no las personales, no sabemos si realizara bien su trabajo contable a travs de los programas establecidos (sistemas de cmputo) por eso es la importancia de la auditoria ya que esta revisa y evala el trabajo otorgado por esta, el cual lo realiza una persona experta en el rea. Es el conjunto de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin, control, eficacia, seguridad y adecuacin del servicio informtico en la empresa, por lo que comprende un examen metdico, puntual y discontinuo del servicio informtico, con vistas a mejorar en: Rentabilidad Seguridad Eficacia.

Qu es la auditora informtica? Es un proceso evolutivo que mediante tcnicas y procedimientos aplicados en una organizacin por personal independiente a la operacin de la misma, evala la funcin de tecnologa de informacin y su aportacin al cumplimiento de los objetivos institucionales; emite una opinin al respecto y efecta recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos. Sus beneficios son: Mejora la imagen pblica. Genera confianza en los usuarios sobre la seguridad y control de los servicios de TI. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).

 Genera un balance de los riesgos en TI. Realiza un control de la inversin en un entorno de TI, a menudo impredecible.

vii. Recomendaciones
Para llevar a cabo con xito revisiones de controles de seguridad, los auditores de TI principiantes deben aprender con qu contar durante un proceso de auditora. Adicionalmente, deberan comprender los mecanismos adecuados para identificar riesgos y vulnerabilidades de seguridad, evaluar la efectividad de las medidas de seguridad perimetral y trabajar con la alta direccin de forma eficaz. Las cuestiones fundamentales que un auditor principiante debera tener en mente antes de comenzar una auditora de seguridad son la determinacin de los riesgos y vulnerabilidades existentes, as como el nivel de buen gobierno y conformidad de las TI de la organizacin.

viii. Conclusiones
La Tecnologa de la Informacin influye en la Administracin de la empresa, generando ventajas sobre su competencia. La Auditora, debe evolucionar para cumplir su objetivo, pero tambin la Auditora debe usar la TI pra lograr sus propsitos.

ix. Bibliografa
http://www.bdo.com.pa/Default.aspx?tabid=98 http://www.unap.cl/~setcheve/ati/LinkedDocuments/ASI-1.pdf http://www.isaca.org/Search/Pages/DefaultResults.aspx?k=auditoria%20ti&s=Site%20Cont ent&start1=0&ct=Site&cs=Spanish http://www.iso27000.es/download/Preparing_for_the_Security_Audit.pdf http://www.mitecnologico.com/Main/AuditoriaDeLaInformacion