miércoles, 1 de junio de 2011

PROCESO DE AUDITORIA

PROCESO DE AUDITORIA

Las mejores prácticas de Auditoría en Informática como administrar los riesgos en tecnología Informática, la auditoría en base a los organismos nacionales e internacionales.

Institute of System Audit and Association, ISACA


La Information Systems Audit and Control Association –Asociación de Auditoría y Control de Sistemas de Información– ISACA, comenzó en 1967. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association –Asociación de Auditores www.isaca.org/
 de Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI.
En las tres décadas transcurridas desde su creación, ISACA se ha convertido en una organización global que establece las pautas para los profesionales de gobernación, control, seguridad y auditoría de información. Las empresas públicas y privadas están valorando cada día más la creciente importancia que representa mantener sistemas informáticos seguros, confiables y confidenciales, que eviten o prevengan la ocurrencia de errores u operaciones ilegales a partir de debilidades en los sistemas de control.

Certified Information Security Auditor, CISA


La Asociación de Auditoría y Control de Sistemas de Información (ISACA) provee una Certificación en Auditor en Sistemas de Información (CISA), por medio de un examen anual que realiza el Instituto a los candidatos, el cual cubre el conocimiento de actividades requeridas para la función de Auditoría en TI, para lo cual presenta un Manual de Información Técnica para la preparación de los candidatos.

Certified Information Security Manager, CISM


También ISACA provee la Certificación para la Administración de la Seguridad de la Información del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organización.
La certificación CISM está diseñada para dar la certeza de que los individuos certificados tengan los conocimientos para ofrecer una eficaz administración y consultoría de seguridad.
Según la ISACA, menciona los principales objetivos de esta certificación como a continuación se mencionan:
·                     Desarrollar modelos de riesgos que midan mejor los riesgos de seguridad y los potenciales impactos sobre el negocio.
·                     Aumentar la calidad de la gestión ejecutiva de las nuevas amenazas y las ya existentes, a través de la convergencia entre la organización y las medidas de seguridad
·                     Impulsar la unificación del enlace entre la seguridad de las organizaciones y los organismos gubernamentales y legislativos, informándoles de las mejores prácticas en seguridad.
·                     Continuar definiendo la cualificación, certificación y formación de los Directores de Seguridad -Chief Security Officer (CSO)/Chief Information Security Officer (CISO)- y otros puestos.

Instituto Mexicano de Auditores Internos, IMAI

El Instituto Mexicano de Auditores Internos, A.C. (IMAI) fue constituido en 1984, está dedicado a la capacitación e investigación en de Auditoría Interna y Control.
A través del IMAI los profesionales de la auditoría interna permanecen actualizados para cumplir con las responsabilidades que tienen a su cargo en diferentes sectores de la industria, el comercio y los servicios, tanto en el sector público como privado y social.

Institute of Internal Auditors, IIA

El Institute of Internal Auditors (IIA) –organización profesional con sede en Estados Unidos, con más de 70.000 miembros en todo el mundo y 60 años de existencia– anualmente organiza su Conferencia Internacional, la que habitualmente congrega a más de un millar de auditores de todos los continentes.
EI IIA es reconocido mundialmente como una autoridad, pues es el principal educador y el líder en la certificación, la investigación y la guía tecnológica en la profesión de la audítoría interna.
Establecen el IIA como el recurso de conocimiento primario sobre las mejores prácticas y publicaciones (cuestiones) que afectan la profesión interna de auditoría. Encuentran las necesidades de desarrollo de profesional que se desarrollan de médicos internos de auditoría.

Certified Internal Auditor, CIA

El IIA cuenta con su propia Certificación de Auditores Internos CIA, la cual se da tanto a proveedores de estos servicios.
Contar con profesionales certificados en auditoría interna, para la organización significa contar con un valioso recurso para la dirección y el consejo de administración, que ayuda a garantizar el avance en la dirección correcta para el logro de sus metas y objetivos. 
Analisis de Riesgos
El análisis de riesgos es parte de la planeación de auditoría y ayuda a identificar los riesgos y las vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigarlos.
Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas distintas para diferentes personas. En general, un riesgo es cualquier evento que puede afectar de manera negativa el logro de los objetivos de un negocio.
Tal vez una de las definiciones de riesgo más comunes en el negocio de seguridad de información es la provista por las Directrices para la Administración de Seguridad de TI publicada por la ISO:

“El potencial de que una amenaza potencial explote las vulnerabilidades de un activo o grupo de activos ocasionando perdida o daño de los activos. El impacto o relativa severidad del riesgo es proporcional al valor para el negocio de la pérdida o daño y a la frecuencia estimada de la amenaza”

En este contexto entonces, el riesgo tiene los elementos siguientes:

1. Amenazas a, y vulnerabilidades de los procesos y/o activos (incluyendo físicos como de información)
2. Impacto sobre los activos en base a amenazas y vulnerabilidades
3. Probabilidad de amenazas (combinación de la probabilidad y la frecuencia de ocurrencia)

Controles Internos
Las políticas, procedimientos, prácticas y estructuras organizacionales implementadas para reducir riesgos también son conocidas como controles internos.
Los controles internos son desarrollados para proveer una certeza razonable de que se alcanzarán los objetivos de negocio de una organización y que los eventos de riesgo no deseados serán evitados o detectados y corregidos, ya sea por cumplimiento o por una iniciativa de la dirección. El control es el medio por el cual se alcanzan los objetivos de control.
Existen dos aspectos claves que el control debe atender – que debería lograrse y que debería evitarse- Los controles internos no solo encaran los objetivos de negocio/operativos sino que deberían estar preparados para los eventos no deseados a través de la prevención, detección y corrección de los mismos. Están clasificados como preventivos, detectivos o correctivos d acuerdo con su naturaleza:

1. Preventivos

2. Defectivos
3. Correctivos 
Objetivos de Control Interno
Los objetivos de control interno son declaraciones del resultado deseado o del propósito a ser alcanzado con la implementación de procedimientos de control en una actividad particular. En otras palabras, control es el medio por el cual se alcanzan los objetivos de control. Estos generalmente incluyen los siguientes:

1. Controles internos contables
2. Controles operativos
3. Controles Administrativos
Objetivos de Control de los Sisteas de Informacion

Los objetivos de control interno se aplican a todas las áreas, ya sean manuales o automatizadas. Por lo tanto, los objetivos de control interno deben ser encarados en una forma específica para los procesos con SI.
Los objetivos de control de SI incluyen:


1. Salvaguarda de Activos
2. Asegurar la integridad de los ambientes de sistemas operativos en general
3. Asegurar la integridad de los ambientes de sistemas de aplicación

Mejores Prácticas de auditoría informática
Las mejores prácticas son directrices que permiten a las empresas modelar sus procesos para que se ajusten a sus propias necesidades, proporcionan a las empresas y/o organizaciones métodos utilizados para estandarizar procesos y administrar de una mejor manera los entornos de TI.
A continuación se presenta un marco en el que se pueden encerrar las mejores prácticas de la auditoría, dado que todas responden al siguiente esquema:
Identificación
Buscan definir las necesidades de la organización que deben ser identificadas respecto de la auditoría, así como las debilidades propias, a fin de determinar el objetivo a seguir.
Administración de calidad total
Incorporan conceptos de calidad total aplicada a la auditoría sobre la base de la mejora continua, con el pertinente concepto de medición y evaluación de resultados.
Comunicación
Buscan establecer un proceso de comunicación interna que propenda a informar lo actuado, lo planeado y las mejoras obtenidas.
Tecnología
Recomiendan emplear recursos de tecnología informática al proceso de auditorías privilegiando la eficacia, eficiencia y oportunidad en los resultados de las revisiones.
Interrelación externa
Proponen mantener estrechas relaciones profesionales con otras gerencias de auditoría a fin de intercambiar estrategias, criterios y resultados.
Agente de cambio
Proporcionan las bases para posicionar a la Auditoría como un agente de cambio en la organización a fin de implementar la auto evaluación del control.
Reingeniería de auditoría
Proponen el cambio funcional proyectando a los auditores como facilitadores de la auto evaluación del control.

 Aseguramiento de la informacion

Definimos Aseguramiento de la Información como “la utilización de información y de diferentes actividades operativas, con el fin de proteger la información, los sistemas de información y las redes de forma que se preserve la disponibilidad, integridad, confidencialidad, autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a través de comunicaciones e Internet”.
Una tarea de aseguramiento puede darse a cualquier nivel, por lo que a continuación se describe brevemente las más importantes.
Aseguramiento de los Datos
Referente la información histórica o prospectiva, probabilística e indicadores de desempeño.
Aseguramiento de los Procesos: Basado principalmente en controles internos y procedimientos establecidos para la protección de intereses.
Aseguramiento del Comportamiento: Conformidad con normas, regulaciones o mejores prácticas.
Aseguramiento del Sistema de Gestión: En la que los objetivos del negocio son establecidos para proteger a todos los involucrados: directivos y empleados.

Aseguramiento de la calidad de la información

La administración del aseguramiento de la calidad valida que los sistemas de información producidos por la función de sistemas de información logren las metas de calidad y que el desarrollo, implementación, operación, y mantenimiento de los sistemas
Las organizaciones se están comprometiendo en proyectos de sistemas de información que tienen requerimientos de calidad más estrictos y se preocupan cada vez más sobre sus responsabilidades legales al producir y vender software defectuoso.

Control Objectives for Information and related Technology, COBIT (objetivos de Control para la Información y Tecnologías relacionadas)

COBIT, lanzado en 1996, es una herramienta de gobiernode TI que ha cambiado la forma en que trabajan los profesionales de TI.
De acuerdo a ISACA, COBIT es:
Una herramienta que permite evaluar la calidad del soporte de TI actual de la organización, vinculando los distintos procesos del negocio con los recursos informáticos que los sustentan.
Leer más…
 http://www.slideshare.net/janaranjo/control-objectives-for-information-and-related-technology-cobit

Estructura de CUBO

La estructura de cubo es la capacidad que brinda COBIT de poder trabajar (con sus objetivos de control) desde tres puntos de vista diferentes; los procesos, los recursos de TI, y las características que debe reunir la información para ser considerada adecuada a las necesidades de la organización.
Esta estructura, al vincular estos tres puntos de vista brinda un enfoque global que apoya a la planificación estratégica, fundamentalmente a través de promover las funciones ligadas a la gobernabilidad de TI, la cual es básica para asegurar el logro de las metas de la organización.

Dominios:

Permite agrupar los objetivos de control de COBIT en distintas áreas de actividad de la organización. Los cuatro dominios principales son:
·  Planificación y organización,
·  Adquisición e implantación,
·  Soporte y servicios, y
·  Monitoreo.
Como su nombre indica, cada uno de estos dominios están enfocados a los diferentes niveles y departamento que pueden existir en una organización.

Information Technology Infraestructure Library, ITIL



ITIL es un conjunto de las mejores prácticas para la gestión de servicios de TI que ha evolucionado desde 1989, comenzó como un conjunto de procesos que utilizaba el gobierno del Reino Unido para mejorar la gestión de los servicios de TI y ha sido adoptado por la industria, como base de una gestión satisfactoria de los servicios de TI.

 

Committee of Sponsoring Organizations, COSO

El informe es un manual de control interno que publica el Instituto de Auditores Internos de España en colaboración con la empresa de auditoría Coopers & Lybrand. En control interno lo último que ha habido es el informe COSO (Sponsoring Organizations of the Treadway Commission), es denominado así, porque se trata de un trabajo que encomendó el Instituto Americano de Contadores Públicos, la Asociación Americana de Contabilidad, el Instituto de Auditores Internos que agrupa a alrededor de cincuenta mil miembros y opera en aproximadamente cincuenta países, el Instituto de Administración y Contabilidad, y el Instituto de Ejecutivos Financieros. Ha sido hecho para uso de los consejos de administración de las empresas privadas en España y en los países de habla hispana.

Ambiente de control

Elemento que proporciona disciplina y estructura, el ambiente de control se denomina en función de la integridad y competencia del personal de una organización; los valores éticos son un elemento esencial que afectan otros elementos del control

Evaluación de riesgos

Es la identificación y análisis de os riesgos que se relacionan con el logro de los objetivos; la administración debe cuantificar la magnitud, proyectar su probabilidad y sus posibles consecuencias:
En la dinámica actual de los negocios se debe prestar atención a diversos factores, entre ellos los avances tecnológicos.

Actividades de control

Ocurren a lo largo de la Organización en todos los niveles y en todas las funciones, incluyendo los procesos de aprobación, autorización, conciliaciones, etc. Las actividades de control se clasifican en:
·                     Controles preventivos,
·                     Controles detectivos,
·                     Controles correctivos,
·                     Controles manuales y de usuarios,
·                     Controles de cómputo o de tecnología de información, y
·                     Controles administrativos.

Monitoreo y aprendizaje

Los controles internos deben ser “monitoreados” constantemente para asegurar que el proceso se encuentra operando como se planeó y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen.
Las actividades de monitoreo constante pueden ser implantadas en los propios procesos del negocio a través de evaluaciones separadas de la operación, es decir, mediante la auditoría interna o externa.

Información y comunicación

Se debe generar información relevante y comunicarla oportunamente de tal manera que permita a las personas entenderla y cumplir con sus responsabilidades.

Metodología de análisis y gestión de riesgos de los sistemas de información, MAGERIT

MAGERIT es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el Consejo Superior de Informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información.
MAGERIT desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.
MAGERIT persigue los siguientes objetivos:
·         Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atenderlos a tiempo,
·         Ofrecer un método sistemático para analizar tales riesgos,
·         Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
·         Apoyar la preparación a la organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

Normas, técnicas y procedimientos de auditoría en informática
El desarrollo de una auditoría se basa en la aplicación de normas, técnicas y procedimientos de auditoría. Es fundamental mencionar que para el auditor en informática conocer los productos de software que han sido creados para apoyar su función aparte de los componentes de la propia computadora resulta esencial, esto por razones económicas y para facilitar el manejo de la información.
El auditor desempeña sus labores mediante la aplicación de una serie de conocimientos especializados que vienen a formar el cuerpo técnico de su actividad. El auditor adquiere responsabilidades, no solamente con la persona que directamente contratan sus servicios, sino con un número de personas desconocidas para él que van a utilizar el resultado de su trabajo como base para tomar decisiones.

Normas.

Según se describe en, las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde como resultado de este trabajo.
Las normas de auditoría se clasifican en:
·         Normas personales
·         Normas de ejecución del trabajo
·         Normas de información

Técnicas.

Se define a las técnicas de auditoría como “los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias”.
Según el IMCP en su libro Normas y procedimientos de auditoría las técnicas se clasifican generalmente con base en la acción que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisión del contenido de documentos y por examen físico.
Siguiendo esta clasificación las técnicas de auditoría se agrupan específicamente de la siguiente manera:
·  Estudio General
·  Análisis
·  Inspección
·  Confirmación
·  Investigación
·  Declaración
·  Certificación
·  Observación
·  Cálculo

Procedimientos

Al conjunto de técnicas de investigación aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinión del auditor dentro de una auditoría, se les dan el nombre de procedimientos de auditoría en informática.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinión en una sola prueba, es necesario examinar los hechos, mediante varias técnicas de aplicación simultánea.
En General los procedimientos de auditoría permiten:
·            Obtener conocimientos del control interno.
·            Analizar las características del control interno.
·            Verificar los resultados de control interno.
·             Fundamentar conclusiones de la auditoría.
Por esta razón el auditor deberá aplicar su experiencia y decidir cuál técnica o procedimiento de auditoría serán los más indicados para obtener su opinión.

Análisis de datos.

Para las organizaciones el conjunto de datos o información son de tal importancia que es necesario verificarlos y comprobarlos, así también tiene la misma importancia para el auditor ya que debe de utilizar diversas técnicas para el análisis de datos, las cuales se describen a continuación.

Comparación de programas

Esta técnica se emplea para efectuar una comparación de código (fuente, objeto o comandos de proceso) entre la versión de un programa en ejecución y la versión de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias.

Mapeo y rastreo de programas

Esta técnica emplea un software especializado que permite analizar los programas en ejecución, indicando el número de veces que cada línea de código es procesada y las de las variables de memoria que estuvieron presentes.

Análisis de código de programas

Se emplea para analizar los programas de una aplicación. El análisis puede efectuarse en forma manual (en cuyo caso sólo se podría analizar el código ejecutable).

Datos de prueba

Se emplea para verificar que los procedimientos de control incluidos los programas de una aplicación funcionen correctamente. Los datos de prueba consisten en la preparación de una serie de transacciones que contienen tanto datos correctos como datos erróneos predeterminados.

Datos de prueba integrados

Técnica muy similar a la anterior, con la diferencia de que en ésta se debe crear una entidad, falsa dentro de los sistemas de información.

Análisis de bitácoras

Existen varios tipos de bitácoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de programas especializados, tales como bitácoras de fallas del equipo, bitácoras de accesos no autorizados, bitácoras de uso de recursos, bitácoras de procesos ejecutados.

Simulación paralela

Técnica muy utilizada que consiste en desarrollar programas o módulos que simulen a los programas de un sistema en producción. El objetivo es procesar los dos programas o módulos de forma paralela e identificar diferencias entre los resultados de ambos.

Monitoreo.

Dentro de las organizaciones todos los procesos necesitan ser evaluados a través del tiempo para verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el ámbito de esta técnica, a continuación se muestran los procesos de monitoreo:

·         M1 Monitoreo del proceso.
·         M2 Evaluar lo adecuado del control Interno.
·         M3 Obtención de aseguramiento independiente.
·         M4 Proveer auditoría independiente.
 

Análisis de bitácoras.

Hoy en día los sistemas de cómputo se encuentran expuestos a distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen más complejos, el número de ataques también aumenta, por lo anterior las organizaciones deben reconocer la importancia y utilidad de la información contenida en las bitácoras de los sistemas de computo así como mostrar algunas herramientas que ayuden a automatizar el proceso de análisis de las mismas.

Una bitácora puede registrar mucha información acerca de eventos relacionados con el sistema que la genera los cuales pueden ser:

·       1.  Fecha y hora.
·         2.Direcciones IP origen y destino.
·         3.Dirección IP que genera la bitácora.
·         4.Usuarios.
·         5.Errores.

No hay comentarios:

Publicar un comentario