Auditora de Sistemas

auditoria de sistemas

Ing. Yolanda Lizana Puelles

Auditora de Sistemas AUDITORIA INTRODUCCION A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa. La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica. El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas. De todo esto sacamos como deduccin que la auditora es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo. Los principales objetivos que constituyen a la auditora Informtica son el control de la funcin informtica, el anlisis de la eficiencia de los Sistemas Informticos que comporta, la verificacin del cumplimiento de la Normativa general de la empresa en este mbito y la revisin de la eficaz gestin de los recursos materiales y humanos informticos. El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un

Ing. Yolanda Lizana Puelles

Auditora de Sistemas eficiente y eficaz Sistema de Informacin. Claro est, que para la realizacin de una auditora informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Annima o empresa Pblica. Todos utilizan la informtica para gestionar sus "negocios" de forma rpida y eficiente con el fin de obtener beneficios econmicos y de costes.

CONCEPTOS BASICOS El concepto de auditora es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc. La auditora no es una actividad meramente mecnica que implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carcter indudable. La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. La auditora nace como un rgano de control de algunas instituciones estatales y privadas. Su funcin inicial es estrictamente econmicofinanciero, y los casos inmediatos se encuentran en las peritaciones judiciales y las contrataciones de contables expertos por parte de Bancos Oficiales. La funcin auditora debe ser absolutamente independiente; no tiene carcter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditora

Ing. Yolanda Lizana Puelles

Auditora de Sistemas contiene elementos de anlisis, de verificacin y de exposicin de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de accin para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el nombre de Recomendaciones. Las funciones de anlisis y revisin que el auditor informtico realiza, puede chocar con la psicologa del auditado, ya que es un informtico y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel tcnico del auditor es a veces

insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea. El auditor slo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situacin analizada por l mismo. Adems del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente por las empresas auditoras, ya que son activos importantes de su actividad. Las Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check List puede llegar a explicar cmo ocurren los hechos pero no por qu ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al mtodo. Slo una metodologa precisa puede desentraar las causas por las cuales se realizan actividades tericamente inadecuadas o se omiten otras correctas. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer nfasis en la revisin, evaluacin y elaboracin de un informe para el ejecutivo encaminado a un objetivo especfico en el ambiente computacional y los sistemas.

Ing. Yolanda Lizana Puelles

Auditora de Sistemas A continuacin se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditora de Sistemas es: La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del Area de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones

encaminadas

corregir

las

deficiencias

existentes y mejorarlas. El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado: Daos Salvaguarda activos Robo Mantiene Integridad deInformacin Precisa, los datos Completa Oportuna Confiable Alcanza metas organizacionales Consume recursos eficientemente Contribucin de la funcin informtica Utiliza los recursos adecuadamente en el procesamiento de la informacin Destruccin Uso no autorizado

Ing. Yolanda Lizana Puelles

Auditora de Sistemas Es el examen o revisin de carcter objetivo (independiente), crtico(evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a: Eficiencia en el uso de los recursos informticos Validez de la informacin Efectividad de los controles establecidos Tipos de Auditora Existen algunos tipos de auditora entre las que la Auditora de Sistemas integra un mundo paralelo pero diferente y resaltando su enfoque a la funcin informtica. Es necesario recalcar como anlisis de este cuadro que Auditora de Sistemas no es lo mismo que Auditora Financiera. Entre los principales enfoques de Auditora tenemos los siguientes: Financiera Veracidad de estados financieros Preparacin contables Evala la eficiencia, Operacional Eficacia Economa de los mtodos y procedimientos que rigen un proceso de una empresa Sistemas Fiscal Se preocupa de la funcin informtica Se dedica a observar el cumplimiento de las leyes fiscales de informes de acuerdo a principios peculiar

Ing. Yolanda Lizana Puelles

Auditora de Sistemas

Administrativa

Analiza: Logros de los objetivos de la Administracin Desempeo de funciones administrativas

Evala: Calidad Mtodos Mediciones Controles de los bienes y servicios

Revisa la contribucin a la sociedad Social as como la participacin en actividades socialmente orientadas

Auditora interna y externa La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento. Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados. La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos Procedimientos y

Ing. Yolanda Lizana Puelles

Auditora de Sistemas estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico. En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora propia y permanente, mientras que el resto acuden a las auditoras externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de Control Interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas. Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones contratar servicios de auditora externa. Las razones para hacerlo suelen ser: Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados. Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa. Servir como mecanismo protector de posibles auditoras informticas externas decretadas por la misma empresa. Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras externas como para tener una visin desde afuera de la empresa. La auditora informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente. Objetivos Generales de una Auditora de Sistemas Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD Incrementar la satisfaccin de los usuarios de los sistemas computarizados

Ing. Yolanda Lizana Puelles

Auditora de Sistemas Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de funcin informtica a las metas y objetivos de la organizacin Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico Minimizar existencias de riesgos en el uso de Tecnologa de informacin Decisiones de inversin y gastos innecesarios Capacitacin y educacin sobre controles en los Sistemas de Informacin Justificativos para efectuar una Auditora de Sistemas En aos recientes, ha sido cada vez ms evidente para los legisladores, usuarios y proveedores de servicios la necesidad de un Marco Referencial para la seguridad y el control de tecnologa de informacin (TI). Un elemento crtico para el xito y la supervivencia de las organizaciones es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. En esta sociedad global (donde la informacin viaja a travs del "ciberespacio' sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de: La creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de informacin.

Ing. Yolanda Lizana Puelles

Auditora de Sistemas La escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano. Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados. Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin; y El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos. Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos ms valiosos de la empresa. Verdaderamente, la informacin y los sistemas de informacin son "penetrantes" en las organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente servidor y equipos Mainframe. potenciales Muchas que la organizaciones tecnologa reconocen puede los beneficios Las proporcionar.

organizaciones exitosas. sin embargo, tambin comprenden y adminstran los riesgos asociados con la Implementacln do nueva tecnologa. limitantes Por lo tanto, de la la administracin tecnologa de debe tener una para apreciacin por. y un entendimiento bsico de los riesgos y del empleo informacin proporcionar una direccin efectiva y controles adecuados. La administracin debe decidir la inversin razonable en seguridad y control en TI y como lograr un balance entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible. La administracin necesita un Marco Referencial de prcticas de seguridad y control de TI generalmente aceptadas para medir

Ing. Yolanda Lizana Puelles

10

Auditora de Sistemas comparativamente su ambiente de TI, tanto el eXistente como el planeado. Existe una creciente necesidad entre los USUARIOS en cuanto a la seguridad en los servicios TI. a travs de la acreditacin y la auditoria de servicios de TI proporcionados internamente o por terceras partes, que aseguren la existencia de controles adecuados. Actualmente, sin p.mbargo. es confusa la implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin, tales como ITSEC, TCSEC, evaluaciones IS09000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan una base general a ser establecida como primer paso. Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar frente a la Gerencia su opinin acerca de los controles internos. Sin contar contar con un marco referencial, sta se convierte en una tarea demasiado complicada. Esto ha sido mostrado en varios estudios recientes acerca de la manera en la que los auditores evalan situaciones complejas de seguridad y control en TI, estudios que fueron dados a conocer casi simultneamente en diferentes partes del mundo. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI.

Control Control se define como las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y

Ing. Yolanda Lizana Puelles

11

Auditora de Sistemas que eventos no deseables sern prevenidos o detectados y

corregidos. Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos. Control Interno Informtico El control interno informtico controla diariamente que todas las actividaddes de sistemas de informacin seran realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o la Direccin de Informtica, as como los requerimientos legales. La misin del control interno informatico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y validas. El control interno informtico suele ser un rgano staf de la Direccin del Departamento de Informtica y esta dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. Como principales objetivos del Control Interno Informtico, podemos indicar los siguientes: Xontrolar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas Colaborar y apoyar el trabajo de Auditora Informtica, as como de las auditoras externas al grupo Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informtico, lo cual no debe considerarse como que la implantacin responsabilidad de del los mecanismos de esos de medida se y la logro niveles ubique

Ing. Yolanda Lizana Puelles

12

Auditora de Sistemas exclusivamente en la funcin de control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, as como de la implantacin de los emdios de medida adecuados.

Clasificacin general de los controles Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones . Ejemplos: Letrero Controles detectivos Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. 1. Ejemplo: Archivos y procesos que sirvan como pistas de No fumar para salvaguardar las instalaciones Sistemas de claves de acceso

auditora Procedimientos de validacin Controles Correctivos Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar dificil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores. Principales Controles fsicos y lgicos Controles particulares tanto en la parte fisica como en la lgica se detallan a continuacin Autenticidad Permiten verificar la identidad 1. Passwords 2. Firmas digitales

Ing. Yolanda Lizana Puelles

13

Auditora de Sistemas Exactitud Aseguran la coherencia de los datos 1. Validacin de campos 2. Validacin de excesos Totalidad Evitan la omisin de registros as como garantizan la conclusin de un proceso de envio 1. Conteo de regitros 2. Cifras de control Redundancia Evitan la duplicidad de datos 1. Cancelacin de lotes 2. Verificacin de secuencias Privacidad Aseguran la proteccin de los datos 1. Compactacin 2. Encriptacin Existencia Aseguran la disponibilidad de los datos 1. Bitcora de estados 2. Mantenimiento de activos Proteccin de Activos Destruccin o corrupcin de informacin o del hardware 1. Extintores 2. Passwords Efectividad Aseguran el logro de los objetivos 1. Encuestas de satisfaccin 2. Medicin de niveles de servicio Eficiencia Aseguran el uso ptimo de los recursos 1. Programas monitores 2. Anlisis costo-beneficio

Ing. Yolanda Lizana Puelles

14

Auditora de Sistemas

Controles automticos o lgicos Periodicidad de cambio de claves de acceso Los cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computacin. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Combinacin de alfanumricos en claves de acceso No es conveniente que la clave este compuesta por cdigos de empleados, ya que una persona no autorizada a travs de pruebas simples o de deducciones puede dar con dicha clave. Para redefinir claves es necesario considerar los tipos de claves que existen: Individuales Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio. Confidenciales De forma confidencial los usuarios debern ser instruidos formalmente respecto al uso de las claves. No significativas Las claves no deben corresponder a nmeros secuenciales ni a nombres o fechas. Verificacin de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisin; tal es el caso de la validacin del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango. Conteo de registros

Ing. Yolanda Lizana Puelles

15

Auditora de Sistemas Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados. Totales de Control Se realiza mediante la creacin de totales de linea, columnas, cantidad de formularios, cifras de control, etc. , y automticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias. Verficacin de limites Consiste en la verificacin automtica de tablas, cdigos, limites mnimos y mximos o bajo determinadas condiciones dadas previamente. Verificacin de secuencias En ciertos procesos los registros deben observar cierta secuencia numerica o alfabetica, ascendente o descendente, esta verificacion debe hacerse mediante rutinas independientes del programa en si. Dgito autoerificador Consiste en incluir un dgito adicional a una codificacin, el mismo que es resultado de la aplicacin de un algoritmo o formula, conocido como MODULOS, que detecta la correccin o no del cdigo. Tal es el caso por ejemplo del decimo dgito de la cdula de identidad, calculado con el modulo 10 o el ultimo dgito del RUC calculado con el mdulo 11. Utilizar software de seguridad en los microcomputadores El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo. Adicionalmente, este software permite reforzar la segregacin de funciones y la confidencialidad de la informacin mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que estn autorizados. Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.

Ing. Yolanda Lizana Puelles

16

Auditora de Sistemas

Controles administrativos en un ambiente de Procesamiento de Datos La mxima autoridad del Area de Informtica de una empresa o institucin debe implantar los siguientes controles que se agruparan de la siguiente forma: 1.- Controles de Preinstalacin 2.- Controles de Organizacin y Planificacin 3.- Controles de Sistemas en Desarrollo y Produccin 4.- Controles de Procesamiento 5.- Controles de Operacin 6.- Controles de uso de Microcomputadores Controles de Preinstalacin Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de un equipo de computacin y obviamente a la automatizacin de los sistemas existentes. Objetivos:

Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas que computarizados proporcionaran mayores beneficios

cualquier otra alternativa.

Garantizar la seleccin adecuada de equipos y sistemas de computacin Asegurar la elaboracin de un plan de actividades previo a la instalacin

Acciones a seguir: Elaboracin de un informe tcnico en el que se justifique la adquisicin del equipo, software y servicios de computacin, incluyendo un estudio costo-beneficio. Formacin de un comit que coordine y se responsabilice de todo el proceso de adquisicin e instalacin

Ing. Yolanda Lizana Puelles

17

Auditora de Sistemas Elaborar un plan de instalacin de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobacin de los proveedores del equipo. Elaborar un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales. Efectuar las acciones necesarias para una mayor participacin de proveedores. Asegurar respaldo de mantenimiento y asistencia tcnica. Controles de organizacin y Planificacin Se refiere a la definicin clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del rea PAD, en labores tales como: Disear un sistema Elaborar los programas Operar el sistema Control de calidad Se debe evitar que una misma persona tenga el control de toda una operacin. Es importante la utilizacin ptima de recursos en el PAD mediante la preparacin de planes a ser evaluados continuamente Acciones a seguir La unidad informtica debe estar al mas alto nivel de la pirmide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la direccin efectiva. Las funciones de operacin, programacin y diseo de sistemas deben estar claramente delimitadas. Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operacin del computador y los operadores a su vez no conozcan la documentacin de programas y sistemas.

Ing. Yolanda Lizana Puelles

18

Auditora de Sistemas Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultado del procesamiento. El manejo y custodia de dispositivos y archivos magnticos deben estar expresamente definidos por escrito. Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluacin y ajustes peridicos Plan Maestro de Informtica Debe existir una participacin efectiva de directivos, usuarios y personal del PAD en la planificacin y evaluacin del cumplimiento del plan. Las instrucciones deben impartirse por escrito.

2. Controles de Sistema en Desarrollo y Produccin Se debe justificar que los sistemas han sido la mejor opcin para la empresa, oportuna bajo y una relacin un costo-beneficio que los planificado que y se proporcionen se han encuentren efectiva bajo informacin, proceso sistemas

desarrollado

debidamente documentados. Acciones a seguir: Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio El personal de auditora interna/control debe formar parte del grupo de diseo para sugerir y solicitar la implantacin de rutinas de control El desarrollo, diseo y mantenimiento de sistemas obedece a planes especficos, metodologas estndares, procedimientos y en general a normatividad escrita y aprobada. Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.

Ing. Yolanda Lizana Puelles

19

Auditora de Sistemas Los programas antes de pasar a Produccin deben ser probados posibles. Todos los sistemas deben estar debidamente documentados y actualizados. La documentacin deber contener: Informe de factibilidad Diagrama de bloque Diagrama de lgica del programa Objetivos del programa Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobacin de modificaciones Formatos de salida Resultados de pruebas realizadas Implantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas, formatos de los sistemas en desarrollo. El sistema concluido sera entregado al usuario previo entrenamiento y elaboracin de los manuales de operacin respectivos con datos que agoten todas las excepciones

Controles de Procesamiento Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de seguridades para: Asegurar que todos los datos sean procesados Garantizar la exactitud de los datos procesados Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Ing. Yolanda Lizana Puelles

20

Auditora de Sistemas Acciones a seguir: Validacin de datos de entrada previo procesamiento debe ser realizada en forma automtica: clave, dgito autoverificador, totales de lotes, etc. Preparacin de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su correccin. Recepcin de datos de entrada y distribucin de informacin de salida debe obedecer a un horario elaborado en coordinacin con el usuario, realizando un debido control de calidad. Adoptar acciones necesaria para correcciones de errores. Analizar conveniencia costo-beneficio de estandarizacin de formularios, fuente para agilitar la captura de datos y minimizar errores. Los procesos interactivos deben garantizar una adecuada interrelacin entre usuario y sistema. Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la informacin y el buen servicio a usuarios. 3. Controles de Operacin Abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de almacenamiento, la administracin de la cintoteca y la operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas on line. Los controles tienen como fin: Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cmputo durante un proceso Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD Garantizar la integridad de los recursos informticos.

Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos.

Personal

Recursos Informticos
Ing. Yolanda Lizana Puelles

Software Hardware Datos

21

Auditora de Sistemas

Instalaciones

Acciones a seguir: El acceso al centro de computo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado Implantar claves o password para garantizar operacin de consola y equipo central (mainframe), a personal autorizado. Formular polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violacin y como responder ante esos eventos. Mantener un registro permanente (bitcora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos. Los operadores del equipo central deben estar entrenados para recuperar o restaurar informacin en caso de destruccin de archivos. Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros de y adecuados, a fin de preferentemente en bvedas de bancos. Se deben implantar calendarios operacin establecer prioridades de proceso. Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc. El proveedor de hardware y software deber proporcionar lo siguiente: Manual de operacin de equipos Manual de lenguaje de programacin Manual de utilitarios disponibles Manual de Sistemas operativos

Ing. Yolanda Lizana Puelles

22

Auditora de Sistemas Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, asi como extintores de incendio, conexiones elctricas seguras, entre otras. Instalar equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa. Contratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacin. Controles en el uso del Microcomputador Es la tarea mas difcil pues son equipos mas vulnerables, de fcil acceso, de fcil explotacin pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la informacin. Acciones a seguir: Adquisicion de equipos de proteccin como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisicin del equipo Vencida la garanta de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. Establecer procedimientos para obtencin de backups de paquetes y de archivos de datos. Revisin peridica y sorpresiva del contenido del disco para verificar la instalacin de aplicaciones no relacionadas a la gestin de la empresa. Mantener programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos. Propender a la estandarizacin del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrnicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitacin sobre modificaciones incluidas.

Ing. Yolanda Lizana Puelles

23

Auditora de Sistemas Analizados los distintos tipos de controles que se aplican en la Auditora de Sistemas efectuaremos a continuacin el anlisis de casos de situaciones hipotticas planteadas como problemticas en distintas empresas , con la finalidad de efectuar el anlisis del caso e identificar las acciones que se deberan implementar . Anlisis de Casos de Controles Administrativos

Competencia, Cambio y Costos La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en tecnologa de sistemas de informacin para mejorar su posicin competitiva. La reingeniera en los negocios, las reestructuraciones, el outsourcing, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo. La especial atencin prestada a la obtencin de ventajas competitivas y a la economa implica una dependencia creciente en la computacin como el componente ms importante en estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de cottrol mes poderosos en las computadoras y en las redes, tanto los basados en hardware como los basados en software. Adems, las caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las redes.

Ing. Yolanda Lizana Puelles

24

Auditora de Sistemas Si los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva dentro de un marco contextual de cambios acelerados, debern aumentar y mejorar sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de cor,troles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en las organizaciones gubernamentales. Un enfoque hacia los requerimientos de negocio en cuanto a controles para tecnologa de informacin y la aplicacin de nuevos modelos de control y estndares internacionales relacionados, hicieron evolucionar los Objetivos de Control y pasar de una herramienta de auditoria, a COBIT, que es una herramienta para la administracin. COBIT es, por lo tanto, la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI. Por lo tanto, el objetivo principal del proyecto COBIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es el desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la administracin en cuanto a controles internos. Posteriormente, los objetivos de control fueron desarrollados a partir de la perspectiva de los objetivos de auditoria (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.) COBIT est diseado para ser utilizado por tres audiencias distintas: ADMINISTRACION:

Ing. Yolanda Lizana Puelles

25

Auditora de Sistemas Para ayudarlas a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible. USUARIOS: Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. AUDITORES DE SISTEMAS DE INFORMACION: Para dar soporte a las opiniones mostradas a la administracin sobre los controles internos. Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser utilizado dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de control sobre los aspectos de informacin del proceso, y por todos aquellos responsables de TI en la empresa. ORIENTACiN A OBJETIVOS DE NEGOCIO Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos de negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditoria. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Se proporcionan consideraciones y guias para definir e implementar el Objetivo de Control de TI. La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin en ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el marco Referencial COBIT. El marco referencial toma como base las actividades de investigacin que han identificado 34 procesos de alto nivel y 302

Ing. Yolanda Lizana Puelles

26

Auditora de Sistemas objetivos detallados de control. El Marco Referencial fue mostrado a la industria de TI y a los profesionales dedicados a la auditoria para abrir la posibilidad a revisiones, dudas y comentarios. Las ideas obtenidas fueron incorporadas en forma apropiada.

Ing. Yolanda Lizana Puelles

27

Auditora de Sistemas Metodologa de una Auditora de Sistemas Existen algunas metodologas de Auditoras de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estndar analizaremos las cuatro fases bsicas de un proceso de revisin: Estudio preliminar Revisin y evaluacin de controles y seguridades Examen detallado de reas criticas Comunicacin de resultados

Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios del PAD. Revisin y evaluacin de controles y seguridades.- Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas criticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades. Examen detallado de reas criticas.-Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usara, definir la metodologa de trabajo, la duracin de la auditora, Presentar el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.

Ing. Yolanda Lizana Puelles

28

Auditora de Sistemas

Comunicacin de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditora. El informe debe contener lo siguiente: Motivos de la Auditora Objetivos Alcance Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditora DE CONTROL INTERNO, SEGURIDAD Y

METODOLOGAS

AUDITORIA INFORMTICA Conceptos fundamentales En general, una metodologa es un conjunto de mtodos que se siguen en una investigacin cientfica o en una exposicin doctrinal, es decir, que cualquier proceso cientfico debe estar sujeto a una disciplina definida con anterioridad. En el campo de la informtica, el cual ha sido siempre una materia compleja en todos sus aspectos, se hace necesaria la utilizacin de metodologas debido, precisamente, a esa dificultad. Estas metodologas, se aplican en la totalidad de mbitos de esta materia, desde su diseo de ingeniera hasta el desarrollo del software, y como no, la auditoria de los sistemas de informacin.

Ing. Yolanda Lizana Puelles

29

Auditora de Sistemas La metodologa es necesaria para que un equipo de profesionales alcance un resultado homogneo tal como si lo hiciera uno slo. Por ello, resulta habitual el uso de metodologas en las empresas auditoras/consultoras profesionales (desarrolladas por los ms expertos) para conseguir resultados similares (homogneos) en equipos de trabajo diferentes (heterogneos). El uso de mtodos de auditoria es casi paralelo al nacimiento de la informtica, en la que existen muchas disciplinas cuyo uso de las metodologas constituye una prctica habitual. Una de ellas es la seguridad de los sistemas de informacin, que si la definimos como la doctrina que trata de los riesgos informticos o creados por la informtica, entonces la auditoria es una de las figuras involucradas en este proceso de proteccin y preservacin de la informacin y de sus medios de proceso. Por lo tanto, el nivel de seL uridad informtica en una entidad es un objetivo a evaluar y est directamente relacionado con la calidad y eficacia de un conjunto de acciones y medidas, destinadas a proteger y preservar la informacin de dicha entidad y sus medios de proceso. Resumiendo, la informtica crea unos riesgos informticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y la eficacia de las mismas es el objetivo a evaluar para poder identificar as sus puntos dbiles y mejorarlos. sta, es una de las funciones de los auditores informticos, por lo que debemos profundizar ms en este entramado de contramedidas para ver qu papel tienen las metodologas y los auditores en el mismo. La Normativa: debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el punto de vista conceptual, como prctico, desde lo general a lo particular. Debe inspirarse en estndares, polticas, marco jurdico, polticas y normas de empresa, experiencia y prctica profesional.

Ing. Yolanda Lizana Puelles

30

Auditora de Sistemas

La Organizacin: la integran personas con funciones especficas y con actuaciones concretas, procedimientos definidos metodolgicamente y aprobados por la direccin de la empresa. ste es el aspecto ms importante, dado que sin l, nada es posible. Se pueden establecer controles sin alguno de los dems aspectos, pero nunca sin personas, ya que son stas las que realizarn los procedimientos y desarrollan los diversos planes (Plan de Seguridad, Plan de Contingencias, Auditorias, etc). Las Metodologas: son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. Objetivos de Control: son los objetivos a cumplir en el control de procesos. Este concepto es el ms importante despus de 'la organizacin', y solamente de un planteamiento correcto de los mismos, saldrn unos procedimientos eficaces y realistas. Los Procedimientos de Control: son los procedimientos operativos de las distintas reas de la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios objetivos de control y, por lo tanto, deben estar documentados y aprobados por la Direccin. La tendencia habitual de los informticos es la de dar ms peso a la herramienta que al propio controlo contramedida, pero no se debe olvidar que una herramienta nunca es solucin sino una ayuda para conseguir ancdota'. La Tecnologa de Seguridad: dentro de este nivel, estn todos los elementos (hardware y software) que ayudan a controlar un riesgo informtico. En este concepto estn los cifradores, autentificadores, un control mejor. Sin la existencia de estos procedimientos, las herramientas de control son solamente una'

Ing. Yolanda Lizana Puelles

31

Auditora de Sistemas equipos denominados 'tolerantes al fallo', las herramientas de control, etc. Las Herramientas de Control: son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control. Todos estos factores estn relacionados entre s, as como la calidad de cada uno con la de los dems. Cuando se evala el nivel de Seguridad de Sistemas en una institucin, se estn evaluando todos estos factores (mencionados antes), y se plantea un Plan de Seguridad nuevo que mejore dichos factores, aunque conforme vayamos realizando los distintos proyectos del plan, no irn mejorando todos por igual. Al finalizar el plan se habr conseguido una situacin nueva en la que el nivel de control sea superior al anterior. Llamaremos Plan de Seguridad a una estrategia planificada de acciones y proyectos que lleven a un sistema de informacin y sus centros de proceso de una situacin inicial determinada (y a mejorar) a una situacin mejorada. Por una parte un comit que estara formado por el director de la estrategia y de las polticas; y por otra parte, el control interno y la auditoria informtica. La funcin del control interno se ve involucrada en la realizacin de los procedimientos de control, y es una labor del da a da. La funcin de la auditoria informtica est centrada en la evaluacin de los distintos aspectos que designe su Plan Auditor, con unas caractersticas de trabajo que son las visitas concretas al centro, con objetivos concretos y, tras terminar su trabajo, la presentacin del informe de resultados.

Ing. Yolanda Lizana Puelles

32

Auditora de Sistemas

Ing. Yolanda Lizana Puelles

33

Auditora de Sistemas Las metodologas usadas ms comnmente son las siguientes: Metodologas de Anlisis de Riesgos Estn desarrolladas para la dentificacin de la falta de controles y el establecimiento de un plan de contramedidas. En base a unos cuestionarios, se identifican \ulnerabilidades y riesgos, y se evala el impacto para ms tarde identificar las contramedidas y el coste. La siguiente etapa es la ms importante, pues mediante un juego de simulacin (que llamaremos 'Que pasa s? . .') analizamos el efecto de las distintas contramedidas en la disminucin de los riesgos analizados, eligiendo de esta manera un plan de contramedidas (plan de seguridad) que compondr el informe final de la evaluacin. Plan de Contingencias El auditor debe conocer perfectamente los conceptos de un plan de contingencias para poder auditarlo. El plan de contingencias y de recuperacin de negocio es lo mismo, pero no as el plan de restauracin interno. Tambin se manejan a veces los conceptos de plan de contingencias informtico y plan de contingencias corporativo, cuyos conceptos son slo de alcance. El corporativo cubre no slo la informtica, sino todos los departamentos de una entidad, y puede incluir tambin el informtico como un departamento ms. Frecuentemente, se realiza el informtico. El plan de contingencias es una' estrategia planificada constituida por un conjunto de recursos de respaldo, una organizacin de emergencia y unos procedimientos de actuacin, encaminada a conseguir una restauracin progresiva y gil de los servicios de negocio afectados por una paralizacin total o parcial de la capacidad operativa de la empresa. Esa estrategia, materializada en un manual, es el resultado de todo un proceso de anlisis y definiciones que es lo que da lugar a las metodologas.

Ing. Yolanda Lizana Puelles

34

Auditora de Sistemas

Es muy importante tener en cuenta que el concepto a considerar es "la continuidad en el negocio"; es decir, estudiar todo 10 que puede paralizar la actividad y producir prdidas. Todo lo que no considere este criterio no ser nunca un plan de contingencias. Veamos cuales son las fases de un plan: Anlisis y Diseo: se estudia la problemtica, las necesidades de recursos, las alternativas de respaldo, y se analiza el coste/beneficio de las mismas. sta es la fase ms importante, pudiendo llegarse al final de la misma incluso a la conclusin de que no es viable o es muy costoso su seguimiento. Desarrollo del Plan: esta fase y la siguiente son similares en todas las metodologas. En ella se desarrolla la estrategia seleccionada, implantndose hasta el final todas las acciones previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los procedimientos de actuacin generando, as, la documentacin del plan. Es en esta fase cuando se analiza la vuelta a la normalidad, dado que pasar de la situacin normal a la alternativa debe concluirse con la reconstruccin de la situacin inicial antes de la contingencia, y esto es lo que no todas las metodologas incluyen. Pruebas y Mantenimiento: en esta fase se definen las pruebas, sus caractersticas y sus ciclos, y se realiza la primera prueba como comprobacin de todo el trabajo realizado, as como mentalizar al personal implicado. Herramientas: en este caso, como en todas las metodologas, la herramienta es una ancdota, y lo importante es tener y usar la metodologa apropiada para desarrollar ms tarde la herramienta que se necesite. Toda herramienta debera tener, al menos, los siguientes componentes: base de datos relacional, mdulo de

Ing. Yolanda Lizana Puelles

35

Auditora de Sistemas entrada de datos, mdulo de consultas, procesador de textos, generador de informes, ayudas on-line, hoja de clculo, gestor de proyectos y generador de grficos. Las metodologas de auditoria informtica Las nicas metodologas que podemos encontrar en la auditoria informtica son dos familias distintas: las auditorias de Controles Generales como producto estn dar de las auditorias profesionales, que son una homologacin de las mismas a nivel internacional, y las Metodologas de los auditores internos. El objetivo de las auditorias de controles generales es 'dar una opinin sobre la fiabilidad de los datos del ordenador para la auditoria financiera'. El resultado externo es un escueto informe como parte del informe de auditoria, donde se destacan las vulnerabilidades generalistas. Partes bsicas de un plan auditor informtico: Funciones. Ubicacin de la figura en el organigrama de la empresa Procedimientos para las distintas tareas de las auditorias. Entre ellos estn el procedimiento de apertura, el de entrega y discusin de debilidades, entrega de informe preliminar, cierre de auditoria, redaccin de informe final, etc. Tipos de auditorias que realiza. Metodologas y cuestionarios de las mismas. Existen dos tipos de auditoria segn su alcance: la Completa de un rea y la Accin de Inspeccin Correctiva (Corrective Action Review o CAR) que es la comprobacin de acciones correctivas de auditorias anteriores. Sistema de evaluacin y los distintos aspectos que evala. Deben definirse varios aspectos a evaluar como el nivel de gestin econmica, gestin de recursos humanos, cumplimiento de normas, encontradas. Estn basadas en pequeos cuestionarios estndares que dan como resultado informes muy

Ing. Yolanda Lizana Puelles

36

Auditora de Sistemas etc, as como realizar una evaluacin global de resumen para toda la auditoria. Esta evaluacin final nos servir para definir la fecha de repeticin de la misma auditoria en el futuro, segn el nivel de exposicin que se le haya dado a este tipo de auditoria en cuestin. Nivel de exposicin. Es un valor definido subjetivamente que permite definir la fecha de la repeticin de la misma auditoria, en base a la evaluacin final de la ltima auditoria realizada sobre ese tema. Seguimiento de las acciones correctoras. Plan' quinquenal. Todas las reas a auditar deben corresponderse con cuestionarios metodolgicos y deben repartirse en cuatro o cinco aos de trabajo. Esta planificacin, adems de las repeticiones y aadido de las auditorias no programadas que se estimen oportunas, deber componer anualmente el plan de trabajo (anual). Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer un calendario que, una vez terminado, nos d un resultado de horas de trabajo previstas y, por tanto, de los recursos que se necesitarn. Las metodologas de auditoria informtica son del tipo

cualitativo/subjetivo (podemos decir que son las subjetivas por excelencia). Por tanto, estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen una gran profesionalidad y formacin continuada. Solo as esta funcin se consolidar en las entidades, esto es, por el "respeto profesional" a los que ejercen la funcin. Hoy en da, la tendencia generalizada es contemplar. al lado de la figura del auditor informtico, la de control interno informtico. Tal es el caso de la organizacin internacional I.S.A.C.A. (lnformation

Ing. Yolanda Lizana Puelles

37

Auditora de Sistemas Systems Audit and Control Association Asociacn para la auditoria y control de lo,s sistemas de informacin l. creadora de la norma COBIT (tema de estudio de este informe) y que, con anterioridad. se llam The EDP Auditors Association lNe., incluyendo en la actualidad las funciones de control informtico adems de las de auditoria. Pese a su similitud, podramos decir que existen claras diferencias entre las funciones del control informtico y las de la auditoria informtica: El rea informtica monta los procesos informticos seguros. El control interno monta los controles. La auditoria informtica evala el grado de control. Las funciones bsicas del control interno informtico son las siguientes: o Administracin de la seguridad lgica. o Funciones de control dual con otros departamentos. o Funcin normativa y del cumplimiento del marco jurdico. o Responsable del desarrollo y actualizacin del Plan de Contingencias, Manuales de procedimientos, etc. o Dictar normas de seguridad informtica. o Definir los procedimientos de control. o Control del Entorno de Desarrollo. o Controles de soportes magnticos segn la clasificacin de la informacin. o Controles de soportes fsicos. o Control de informacin comprometida o sensible. o Control de calidad del software. o Control de calidad del servicio informtico. o Control de costes. o Responsable de los departamentos de recursos humanos y tcnico. o Control y manejo de claves de cifrado.

Ing. Yolanda Lizana Puelles

38

Auditora de Sistemas o Vigilancia del cumplimiento de las normas y controles. o Control de cambios y versiones. o Control de paso de aplicaciones a explotacin. o Control de medidas de seguridad fisica o co:-porativa en la informtica. o Responsable de datos personales. Todas estas funciones son un poco ambiciosas para desarrollarlas desde el instante inicial de la implantacin de esta figura, pero no d(bemos perder el objetivo de que el control informtico es el componente informtica. Las Herramientas de Control En la tecnologa de la seguridad informtica que se ve envuelta en los controles, existe tecnologa hardware (como los cifradores) y software. Las herramientas de control son elementos software que por sus caractersticas funcionales permiten vertebrar un control de una manera ms actual y ms automatizada. Como se vio antes, el control se define en todo un proceso metodolgico, y en un punto del mismo se analiza si existe una herramienta que automatice o mejore el control para ms tarde definirlo con la herramienta incluida, y al final documentar los procedimientos de las distintas reas involucradas para que estas los cumplan y sean auditados. Es decir, comprar una herramienta sin ms y ver qu podemos hacer con ella es un error profesional grave que no conduce a nada, comparable a trabajar sin mtodo e improvisando en cualquier disciplina informtica. Las herramientas de control (software) ms comunes son: de la "actuacin segura" entre los usuarios, la informtica y el control interno, todos ellos auditados por la auditoria

Ing. Yolanda Lizana Puelles

39

Auditora de Sistemas Seguridad lgica del sistema. Seguridad lgica complementaria al sistema (desarrollado a medida). Seguridad lgica para entorno s distribuidos. Control de acceso fsico. Control de presencia. Control de copias. Gestin de copias. Gestin de soportes magnticos. Gestin y control de impresin y envo de listados por red. Control de proyectos. Control y gestin de incidencias. Control de cambios. Todas estas herramientas estn inmersas en controles nacidos de unos objetivos de control y que regularn la actuacin de las distintas reas involucradas. ASPECTOS FINALES Son muchas, pus, las metodologas que se pueden encontrar en el mundo de la auditoria informtica y control interno. Como resumen, se podra decir que la metodologa es el fruto del nivel profesional de cada uno y de su visin de cmo conseguir un mejor resultado en el nivel de control de cada entidad, aunque el nivel de control resultante debe ser similar. Pero en realidad, todas ellas son herramientas de trabajo mejores o peores que ayudan a conseguir mejores resultados, ya que las nicas herramientas verdaderas de la auditoria y el control informtico son la "actitud y aptitud", junto con una postura vigilante y una formacin continuada. FUNCIN BSICA Y ORIENTACIN DEL COBIT. El COBIT, es una herramienta de gobierno de las Tecnologas de la Informacin que ha cambiado de igual forma que 10 ha hecho el trabajo de los profesionales de TI. La ISACF, organizacin creadora de esta norma COBIT (Information Systems Audit and Control este Foundation) as como sus patrocinadores, han diseado

Ing. Yolanda Lizana Puelles

40

Auditora de Sistemas producto principalmente como una fuente de instruccin para los profesionales dedicados a las actividades de control. La definicin que nos ofrece el sumario ejecutivo del COBIT (Control OBjetives for Information and related Tecnology Gobierno, Control y Revisin de la Informacin y Tecnologas Relacionadas) es la siguiente: La misin del COBIT: buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologas de la informacin, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.

Ing. Yolanda Lizana Puelles

41

Auditora de Sistemas

Ing. Yolanda Lizana Puelles

42

Auditora de Sistemas Dicho de una forma menos formal, sealaremos que el COBIT ayuda a salvar las brechas existentes entre los riesgos de negocio, necesidades de control y aspectos tcnicos. Adems, proporciona "prcticas sanas" a travs de un Marco Referencial (Framework) de dominios y procesos, y presenta actividades en una estructura manejable y lgica. Las "prcticas sanas" del COBIT representan el consenso de los expertos (ayudarn a los profesionales a optimizar la inversin en informacin, pero an ms importante, representan aquello sobre lo que sern juzgados si las cosas salen mal). El tema principal que trata el COBIT es la orientacin a negocios. ste. est orientado no solo para ser utilizado por usuarios y auditores, sino que en forma ms importante, esta diseado para ser utilizado como una lista de verificacin detallada para _:s propietarios de los procesos de negocio. De -forma creciente, las prcticas de negocio comprenden la completa autorizacin de los procesos propios de negocio, con lo que poseen una total responsabilidad para todos los aspectos de dichos procesos. La norma COBIT, proporciona una herramienta para los procesos propios de negocio que facilitan la descarga de esta responsabilidad. La norma parte con una simple y pragmtica. En orden de proporcionar la informacin que la organizacin necesita para llevar a cabo sus objetivos, los requisitos de las tecnologas de la informacin necesitan ser gestionados por un conjunto de procesos agrupados de forma natural. La norma continua con un conjunto de 34 objetivos de control de alto nivel para cada uno de los procesos de las tecnologas de la informacin, agrupados en cuatro dominios: planificacin y organizacin, adquisicin e implementacin, soporte de entrega y monitorizacin. Esta estructura, abarca todos los aspectos de la informacin y de la tecnologa que la mantiene. Mediante la direccin de estos 34 objetivos de control de alto nivel, los procesos propios de

Ing. Yolanda Lizana Puelles

43

Auditora de Sistemas negocio pueden garantizar la existencia de un sistema de control adecuado para los entorno s de las tecnologas de la informacin. En suma, cada uno de los 34 objetivos de control de alto nivel correspondiente, es una directiva de revisin o seguridad para permitir la inspeccin de los procesos de las tecnologas de la informacin en contraste con los 302 objetivos de control detallados en el COBIT para el suministro de una gestin de seguridad, as como de un aviso para la mejora. La norma COBIT contiene un conjunto de herramientas de implementacin el cual aporta una serie de lecciones de aprendizaje, con las que las organizaciones podrn aplicar de forma rpida y satisfactoria esta norma a sus entorno s de trabajo. En definitiva, el COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI, a travs de organizaciones a nivel mundial. El objetivo del COBIT es proporcionar estos objetivos de control, dentro y del el marco apoyo referencial de las definido, entidades y obtener la aprobacin comerciales,

gubernamentales y profesionales en todo el mundo. Por 10 tanto, COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de riesgos asociados con las tecnologas de la informacin y con las tecnologas relacionadas. HISTORIA Y EVOLUCIN DEL COBIT. El proyecto COBIT se emprendi por primera vez en el ao 1995, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visin de los negocios, as como sobre los controles de los sistemas de informacin implantados. La

Ing. Yolanda Lizana Puelles

44

Auditora de Sistemas primera edicin del COBIT, fue publicada en 1996 y fue vendida en 98 pases de todo el mundo. La segunda edicin (tema de estudio en este informe) publicada en Abril de 1998, desarrolla y mejora lo que posea la anterior mediante la incorporacin de un mayor nmero de documentos de referencia fundamentales, nueyos y revisados (de forma detallada) objetivos de control de alto nivel, intensificando las lneas maestras de auditoria, introduciendo un conjunto de herramientas de implementacin, as como un CD-ROM completamente organizado el cual contiene la totalidad de los contenidos de esta segunda edicin. Evolucin del producto COBIT El COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras, por lo que se generar una familia de productos COBIT. Al ocurrir esto, las tareas y actividades que sirven como la estructura para organizar los Objetivos de Control de TI, sern refinadas posteriormente, siendo tambin revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria. Una temprana adicin significativa visualizada para la familia de productos COBIT, es el desarrollo de las Guas de Gerencia que incluyen Factores Crticos de Exito, lndicadores Clave de Desempeo y Medidas Comparativas. Los Factores Crticos de xito, identificarn los aspectos o acciones ms importantes para la administracin y poder tomar, as, dichas aciones o considerar los aspectos para lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeo proporcionarn medidas de xito que permitirn a la gerencia conocer si un proceso de TI esta alcanzando los requerimientos de negocio. La Medidas Comparativas definirn niveles de madurez que pueden ser utilizadas por la gerencia para:

Ing. Yolanda Lizana Puelles

45

Auditora de Sistemas determinar el nivel actual de madurez de la empresa; determinar el nivel de madurez que se desea lograr, como una funcin de sus riesgos y objetivos; y proporcionar una base de comparacin de sus prcticas de control de TI contra empresas similares o normas de la industria. Esta adicin, proporcionar herramientas a la gerencia para evaluar el ambiente de. TI de su organizacin con respecto a los 34 Objetivos de Control de alto nivel de COBIT. En definitiva, la organizacin ISACF (creadora, como ya se ha comentado, de la norma) espera que el COBIT sea adoptado por las comunidades Informacin. DESARROLLO Y COMPONENTES DEL COBIT. COBIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para las buenas prcticas de seguridad y control en Tecnologa de Informacin. El COBIT es, pues, una herramienta innovadora para el gobierno de las Tecnologas de la InfofI11acin. El COBIT se fundamenta en los Objetivos de Control existentes de la Information mejorados 3'. a stems partir Audit de and Control Foundation (lSACF), tcnicos, estndares T.:ernacionales de auditoria y negocio como un estn dar generalmente aceptado para el control de las Tecnologas de la

profesionales, regulativos y especficos para la industria, tanto los ya existentes como los que estn surgiendo en la actualidad, Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin en toda la empresa. El trmino "generalmente aplicables y aceptados" es utilizado explcitamente en el mismo sentido que los Princpios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls). Para propsitos del proyecto, "buenas prcticas" significa consenso por parte de los expertos.

Ing. Yolanda Lizana Puelles

46

Auditora de Sistemas Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades de negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. El proporcionar indicadores de desempeo (normas, reglas, etc.), ha sido identificado como prioridad para las mejoras futuras que se realizarn al marco referencia!' El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial general y de los Objetivos de Control detallados, y le seguirn actividades educativas. Estas actividades asegurarn el uso general de los resultados del Proyecto de Investigacin COBIT. Se determin que las mejoras a los objetivos de control originales deberan consistir en: El desarrollo de un marco referencial para el control en tecnologas de la informacin como fundamento para los objetivos de control en TI, y como una gua para la investigacin consistente en auditoria y control de las tecnologas de la informacin; una alineacin del marco referencial general y de los objetivos de control individuales, con estndares y regulaciones internacionales existentes de hecho y de derecho; y una revisin crtica de las diferentes actividades y tareas que conforman los dominios de control en tecnologa de informacin y, cuando fuese posible, la especificacin de indicadores de desempeo relevantes (normas, reglas, etc.), as como una revisin crtica y una actualizacin de las guas actuales para el desarrollo de auditorias de los sistemas de informacin. BIBLIOGRAFIA
1. PIATTINI M.-DEL PESO E. (2002) AUDITORIA INFORMATICA. UN ENFOQUE PRACTICO. 2da Edicin. Editorial AlfaOmega 2. ECHENIQUE GARCIA JOSE (2001) AUDITORIA EN INFORMATICA . Edit. McGraw Hill. 2da Edicin 3. MUOZ RAZO CARLOS (2002)

Ing. Yolanda Lizana Puelles

47

Auditora de Sistemas
AUDITORIA EN SISTEMAS COMPUTACIONALES. Edit. Prentice Hall. 1Ra Edicin 2002
4.

ALVAREZ

SEGURIDAD

INFORMATICA

PARA

EMPRESAS

PARTICULARES. Edit. Mc Graw Hill. 1ra Edicin 2004 5. COBIT I Escuela Nacional de Contraloria General de la Repblica 6. PORTALES WEB http://www.isaca.org/ http://www.isaca.cl/cobit.html

Ing. Yolanda Lizana Puelles

48