“buenas prácticas: auditoría en sistemas...
TRANSCRIPT
21/11/2014
1
“Buenas prácticas:
Auditoría en Sistemas
Informáticos”
Lic. Guillermo de León SosaAuditor en Sistemas Informáticos
Programa de Certificación para
Auditores Internos
Gubernamentales y Municipales
Guatemala, 21 de noviembre 2014
AGENDA PROPUESTA
Conceptos
Metodología en UAGSI
Auditoría de Sistemas Informáticos
Modelos de buenas prácticas
Certificación
21/11/2014
2
Conceptos
Es “el uso de las TIC en los órganos de la Administración para
mejorar la información y los servicios ofrecidos a los
ciudadanos,
orientar la eficacia y eficiencia de la gestión pública e
incrementar sustantivamente la transparencia del sector público y
la participación de los ciudadanos” (“sector público, civil y
empresa”)(Punto 3 – Concepto de Gobierno Electrónico).
La Carta Iberoamericana de Gobierno Electrónico,
establece:
Santiago de Chile, 10 de noviembre de 2007
21/11/2014
3
Gobierno Sociedad Empresas Academia
Servicios Transaccionales
en líneaConectividad
Accesibilidad
Contenidos
Educación Redes
Legislación
Mercado
Observatorio
C
u
lt
u
r
a
Comunicación
Auditoría es el examen crítico y metodológico que realiza una persona o
grupo de personas independientes del sistema auditado, que puede ser una persona,
organización, sistema, proceso, proyecto o producto.
FUENTE: http://es.wikipedia.org/wiki/Auditor%C3%ADa
21/11/2014
4
Procesamiento automático de información mediante dispositivos electrónicos
y sistemas computacionales. Los sistemas informáticos deben contar con la
capacidad de cumplir tres tareas básicas: entrada (captación de la información),
procesamiento y salida (transmisión de los resultados).
Informática
Pensamiento Memoria Comunicación
Auditoría Informática, Evalúa los sistemas de
información, para medir la conveniencia y capacidad de los
recursos tecnológicos asignados, para la optimización de los
procesos de información y toma de decisiones de los entes
públicos y la sostenibilidad de los mismos.
FUENTE: www.contraloría.gob.gt/i_docs/i_mcag.pdfMarco Conceptual, Sistema de Auditoría Gubernamental
21/11/2014
5
Es el alineamiento de las Tecnologías de la información y la Comunicación (TI) con
la estrategia del negocio para obtener gobernabilidad (autosostenibilidad, utilidades)Gobierno de TI
Automatización de oficinas,
conjunto de técnicas, aplicaciones y herramientas
informáticas que se utilizan en funciones de oficina
Permite idear, crear, manipular, transmitir, o
almacenar, la información necesaria en una oficina.
Actualmente es fundamental que las oficinas estén
conectadas a una red local o a Internet.
Ofimática,
21/11/2014
6
Gobierno electrónico
Gobierno TI (Tecnologías de
Información)
INTER DEPENDIENTES
INTER RELACIONADOS
INTER ACTUANTES
SISTEMA
OBJETIVO
Sistema
21/11/2014
7
Entrada Proceso Salida
Elementos básicos
Sabiduría
Conocimientos
Información
Dato
Jerarquía cognitiva
21/11/2014
8
Imágenes
Fotos
Textos
Sonidos
Videos
Completa
Exacta
Veraz
Oportuna
Reutilizable
Accesible
Características de la información
21/11/2014
9
Metodología
Acuerdo A-26-2005
Con fundamento en el artículo 232 de la Constitución Política
de la República de Guatemala; los artículos 4, literal a) y 13
literal g) del Decreto número 31-2002 del Congreso de la
República, Ley Orgánica de la Contraloría General de Cuenta
Se aprueba el:
Manual de Auditoría Gubernamental
Manual de Auditoría Interna Gubernamental
21/11/2014
10
Módulos
Realización de la visita Preliminar
Evaluación Preliminar del Control Interno
Redacción de Objetivos
Selección de la Muestra
Elaboración de Programa de Auditoría
Módulo de planificación
21/11/2014
11
Evaluación del Control Interno
Evaluación del Cumplimiento de Disposiciones Legales y Reglamentarias
Preparación de Papeles de Trabajo
Obtención de la Carta de Representación
Creación y Actualización del Archivo Permanente
Organización del Archivo Corriente
Seguimiento de Recomendaciones
Supervisión
Módulo de Ejecución
Módulo de comunicación de resultados
Guía General para la Comunicación de Resultados
Guía para la redacción de hallazgos
21/11/2014
12
Acuerdo A-28-2012Artículo 7. Contenido de los Informes de Auditoría. El contenido de los informes de auditoría, será…
Pre-carátula
Carta de Oficialización del Informe
Carátula
Índice
Resumen Gerencial
Contenido Información General (Base Legal, Función)
Fundamento Legal de la Auditoría
Objetivos de la Auditoría (General y Específico)
Alcance de la Auditoría (Área Financiera, técnica, limitaciones al alcance)
Comentarios y Conclusiones
Resultados de la Auditoría (hallazgos con el control interno, hallazgos relacionados con el
cumplimiento a leyes y regulaciones)
Autoridades de la Entidad, durante el período auditado
Comisión de Auditoría
Anexos (Nombramiento, Forma Única de Estadística, Formulario SR1)
Auditoría de Sistemas Informáticos
Gobierno TI
21/11/2014
13
Controles de TI, más comunes
a. Procesos de planificación estratégico institucional y de TI;
b. Organización y administración de TI;
c. Políticas y estándares organizacionales, especialmente los
relacionados con TI, tales como política de seguridad,
política de control de acceso etc.;
d. Definición de los roles y responsabilidades de cargos,funciones y ambientes de TI y de negocio, con respecto alprincipio de la segregación de funciones;
e.Procesos de capacitación, elaboración de presupuesto ygestión de proyectos de TI; . . . / .
f. Del ciclo de vida del desarrollo de un Sistema;
g. De gestión de cambios;
h. De acceso lógico;
i. De seguridad física sobre los centros de procesamiento de
datos (data centers);
j. De copias de seguridad y de recuperación de sistemas y
datos;
k. De operaciones de TI;
l. Del plan de continuidad de negocios.
Controles de TI, más comunes
21/11/2014
14
Requerimie
ntos del
Sistema
Diseño
de la
base de
datos
Términos
de
referencia
del
desarrollo
del sistema
Supervisión
del
desarrollo
Prue
bas
del
Siste
ma
Manual
de
Operac
ión del
Sistem
a
Instalación
del
software
(Guía de
instalación
)
Capacitac
ión de
usuarios
Carga
inicial de
datos
Definición
de niveles
de
seguridad
de acceso
al sistema
¿Existe Acta
de
Aceptación
del
Subsistema
(fecha)
Monitoreo y
evaluación
del
funcionamien
to del
sistema
1 Componente 1
2 Componente 2
3 Componente 3
4 Componente 4
5 Componente 5
6 Componente 6
7 Componente 7
8 Componente 8
No. SUBSISTEMAS ETAPAS
Análisis y Diseño del Sistema Desarrollo del Software Implementación del Sistema Administración y Control
Ciclo de vida del Desarrollo de un Sistema
EJEMPLO No. 1
EJEMPLO No. 2 Diagrama de Flujo del caso de Auditoría
Muestra
Análisis
Diseño de registro
BackupA “fecha”
Restauración
Restore
Captura Muestra
Archivomuestra Vista BD
Compara Resultados
Obtener Vista BD
Criterios Despliegues
Informe de
AuditoríaFinal
Inicio
21/11/2014
15
21/11/2014
16
Modelos de buenas prácticas
Buenas prácticas basadas en COSOComité de Organizaciones Patrocinadas por la Comisión Treadway
5 Componentes de Control Interno
FUENTE:
https://www.google.com.gt/search?q=iso+38500&source=lnms&tbm=isch&sa=X&ei=UbrzU6eBMpPlsATOioHABw&ved=0CAgQ_AUoAQ&biw=1366&bih=650#q=COSO&tbm=isch&facrc=_&imgdii=_&imgrc=gESXZ0ApIo50hM%253A%3BYr7
p7tcK6Z60xM%3Bhttp%253A%252F%252Fphotos1.blogger.com%252Fblogger%252F1720%252F3562%252F1600%252Fimage002.1.gif%3Bhttp%253A%252F%252Fauditoria-interna.blogspot.com%252F%3B711%3B534
1 1
2 2
3 3
44
5
5
Supervisión o monitoreo
Información y
Comunicación
Actividades de
Control
Evaluación de
los riesgos
Ambiente de Control
21/11/2014
17
Generar back up cada día
Generar back up cada 3 días
Generar back up a los 15 días
Evaluación de los riesgos
1.Cinco principios.
2.Modelo de referencia de dominios procesos y actividades
3.Modelo de madurez de procesos.
Buenas prácticas con base a COBIT 5Objetivos de Control para la Información y Tecnologías Relacionadas
AREAS
21/11/2014
18
Principio 1 (abarcar las necesidades de los interesados):
Los indicadores clave de metas y de proceso, que finalmente
traducen las necesidades de los interesados, internos y
externos, se transformaron en una estrategia empresarial
llamada “cascada de metas”
FUENTE: http://www.magazcitum.com.mx/?p=1893
Área 1. COBIT
Principio 2 (cubrir la empresa de extremo a extremo):
Considera todas las funciones y procesos dentro de la
organización. Cobit 5 no se centra solo en el gobierno de TI,
pues ahora considera la información y las tecnologías
relacionadas como activos que deben ser tratados como
cualquier otro.
FUENTE: http://www.magazcitum.com.mx/?p=1893
Área 1. COBIT
21/11/2014
19
Principio 3 (aplicar un solo marco integrado):
• COSO 2013 marco apropiado y exhaustivo para el control interno.
• COBIT 5, Objetivos de Control para Información y Tecnologías Relacionadas
• ISO/IEC 9000, estándar para el control de calidad en procesos empresariales.
• ISO/IEC 31000, estándar de administración de riesgos, principios y directrices,
• ISO-38500, estándar para el gobierno corporativo de TI.
• ITIL, mejores prácticas para servicios de TI con un enfoque de procesos de TI.
• La familia ISO-27000, enfocada en el tema de seguridad informática.
FUENTE: http://www.magazcitum.com.mx/?p=1893
Área 1. COBIT
En esta nueva versión se
introducen los habilitadores, que
son factores mínimos a cumplir
para que el gobierno y la
administración empresarial de TI
funcionen de manera correcta al
ayudar a optimizar la información,
la inversión en tecnología y su
uso para el beneficio de todos los
interesados:
Fuente: COBIT® 5, figura 12. © 2012 ISACA® Todos los derechos reservados
FUENTE: http://www.magazcitum.com.mx/?p=1893
2. Procesos3. Estructuras
Organizacionales
4. Cultura, Ética
y
Comportamiento
1. Principios, Políticas y Marcos de Trabajo
5. Información
6. Servicios,
Infraestructura y
Aplicaciones
7. Personas,
Habilidades y
Competencias
RECURSOS
Principio 4 (habilitar un enfoque holístico):
Área 1. COBIT
21/11/2014
20
Cobit 5 reconoce que estas dos disciplinas
incluyen tipos de actividades y estructuras
organizacionales diferentes, que sirven para
diferentes propósitos.
El gobierno es responsabilidad de la junta
directiva, mientras que la administración(gestión), es responsabilidad de la alta
administración, bajo el liderazgo del CEO
(Director Ejecutivo)
FUENTE: http://www.magazcitum.com.mx/?p=1893
Principio 5 (separar gobierno de administración):
Área 1. COBIT
RESUMEN
21/11/2014
21
Modelo de referencia de Dominios, Procesos y Actividades
FUENTE: http://www.magazcitum.com.mx/?p=1893 UAGSI-CGC
Definir y mantener el
marco de gobierno
Garantizar entrega
de beneficios
Garantizar
Optimización de los
Riesgos
Garantizar
Optimización de los
Recursos
Garantizar
Transparencia con
los interesados
Definir el Marco de
Gestión TI
Administrar la
Estrategia
Gestionar
Arquitectura de la
Empresa
Gestionar
InnovaciónGestionar Portafolio
Gestionar
presupuesto y
costos
Gestionar Recursos
Humanos
Gestionar
Relaciones
Gestionar Acuerdos
de Servicio
Gestionar
ProveedoresGestionar Calidad Gestionar Riesgos Gestionar Seguridad
Gestionar
Programas y
Proyectos
Definir
Requerimientos
Identificar y
Construir Soluciones
Gestionar
Disponibilidad y
Capacidad
Facilitar el Cambio
OrganizacionalGestionar Cambios
Gestionar la
Aceptación y
Transición del
Cambio
Gestionar el
ConocimientoGestionar Activos Configuración
Gestionar
Operaciones
Gestionar
Solicitudes Servicio
e Incidentes
Gestionar
Problemas
Gestionar
Continuidad
Gestionar Seguridad
de los Servicios
Gestionar Controles
de Procesos de
Negocio
Monitorear y Evaluar,
Desempeño y
Conformidad
Monitorear, Evaluar y
Valorar el Sistema de
Control Interno
Monitorear y Evaluar
Cumplimiento con
Requerimientos Externos
ALINEAR, PLANEAR Y ORGANIZAR
CONSTRUIR, ADQUIRIR E IMPLEMENTAR
ENTREGA, SERVICIO Y SOPORTE
MONITOREAR,
EVALUAR Y
VALORAR
EVALUAR, DIRIGIR Y MONITOREAR (Dominio de gobierno de TI)
Procesos para la Gestión de la Tecnología de Información Empresarial
Área 2. COBIT
FUENTE: https://www.google.com.gt/search?q=modelo+madurez+cobit
Modelo de madurez de los procesos
Optimizado
Administrado y Medible
Proceso Definido
Repetible pero Intuitivo
Inicial. Ad hoc
No existe 0
1
2
3
4
5
Estado actual de la Institución
Promedio de los Estados
Objetivo de la Institución
0. No se aplican procesos administrativos en lo absoluto
1. Los procesos son ad-hoc y desorganizados
2. Los procesos siguen un patrón regular
3. Los procesos se documentan y se comunican
4. Los procesos se monitorean y se miden
5. Las buenas prácticas se siguen y se automatizan
Leyenda para la calificación usada Leyenda para símbolos usados
Área 3. COBIT
21/11/2014
22
FUENTE: http://oscargiudice.wordpress.com/2012/03/25/la-norma-isoiec-27002-seguridad-de-la-informacion-proteccion-de-datos-personales-y-responsabilidad-social/
Buenas prácticas sobre seguridad de la Información
Basadas en ISO 27002:2005
Buenas prácticas basadas en ISO 38500:2008
FUENTE:
https://www.google.com.gt/search?q=iso+38500&source=lnms&tbm=isch&sa=X&ei=UbrzU6eBMpPlsATOioHABw&ved=0CAgQ_AUoAQ&biw=1366&bih=650#facrc=_&imgdii=_&imgrc=dZlaI2HVbkghJM%25
3A%3BqV8EI7XF_h3npM%3Bhttp%253A%252F%252Fwww.ittrendsinstitute.org%252Fimages%252F38500.jpg%3Bhttp%253A%252F%252Fwww.ittrendsinstitute.org%252Fperspectives%252Fitem%252Fla
-zona-gris%3B859%3B611
Planes Políticas Usos de TI
Actuales yFuturos
DesempeñoConformidad
Proyectos(Cambios por TI)
Operaciones TI(Del negocio por TI)
Dirigir
Evaluar
Controlar
Informe Cadbury y en Principios de Gobierno Corporativo de la OCDE y Norma AS8015:2005
21/11/2014
23
FUENTE:
https://www.google.com.gt/search?q=iso+38500&source=lnms&tbm=isch&sa=X&ei=UbrzU6eBMpPlsATOioHABw&ved=0CAgQ_AUoAQ&biw=1366
&bih=650#q=MODELO+ITIL&tbm=isch&imgdii=_
Buenas prácticas basadas en ITILBiblioteca de Infraestructura de Tecnologías de Información
Servicio de Diseño
Servicio de Transición
Servicio de Operación
Estrategia
de Servicio
Mejora continua del servicio
El World Wide Web Consortium (W3C) es una comunidad
internacional que desarrolla estándares que aseguran el
crecimiento de la Web a largo plazo.
Diseño y aplicaciones WEB
Arquitectura WEB
WEB Semántica
WEB Servicios
WEB Dispositivos
http, html, browser
21/11/2014
24
Certificaciones
Asociación de Auditoría y Control de Sistemas de
Información -ISACA -(Information Systems Audit and Control Association)
Asociación internacional que apoya y patrocina el desarrollo
de metodologías y certificaciones para la realización de
actividades de auditoría y control en sistemas de
Información.
www.isaca-guatemala.org
21/11/2014
25
CISA - Certified Information Systems Auditor
(Certificación de auditores de sistemas de información).
CISM - Certified Information Security Manager,
(Certificación de gestores de seguridad).
CGEIT - Certified in the Governance of Enterprise IT,
(Certificación de gestores de la gobernanza empresarial TI).
CRISC - Certified in Risk and Information Systems Control
(Certificación de gestores de control de riesgos en sistemas de
información).
Custodios del framework COBIT
Desarrollaron cuatro CERTIFICACIONES:
Muchas gracias