Download - 01 Auditoria Sistemas Informacion-España
Servicio de Auditoría Interna
Auditoría deSistemas de Información
Servicio de Auditoría Interna
Servicio de Auditoría Interna
ÍndiceÍndice
Estrategia para la Auditoría de Sistemas de la Información
Esquema Organizativo Auditor Informático Estándares y Normas Técnicas Planificación de Actuaciones Proceso de Auditorías de Sistemas de Información Guión para Auditorías de Sistemas de Información Informes de Auditorías de Sistemas de Información
Servicio de Auditoría Interna
Estrategia para la Auditoría de Sistemas de InformaciónEstrategia para la Auditoría de Sistemas de Información
Necesidad de definir una estrategiaNecesidad de definir una estrategiaLas TIC han acompañado la automatización y el crecimientoLa información y los recursos TIC como activos de las
organizacionesDependencia de las TIC
Implicación de la DirecciónImplicación de la DirecciónIncremento vulnerabilidad de los sistemasDar respuesta a la dependencia de la informaciónImportancia costes e inversiones TICPotencial de las TIC para introducir cambiosDesconfianza en los procedimientos automatizados
Servicio de Auditoría Interna
Objetivos de las Administraciones Públicas: Cumplimiento de la legalidad vigente Eficacia Eficiencia
Auditoría Sistemas de Información > Supervisión de los riesgos de los sistemas de información que pudieran afectar al cumplimiento de la legalidad vigente, la eficiencia y la eficacia de los procesos soportados por los sistemas de información, en especial los de la administración electrónica.
Estrategia para la Auditoría de Sistemas de InformaciónEstrategia para la Auditoría de Sistemas de Información
Servicio de Auditoría Interna
Estrategia para la Auditoría de Sistemas de InformaciónEstrategia para la Auditoría de Sistemas de Información
Servicio de Auditoría Interna
Esquema OrganizativoEsquema Organizativo
IndependenciaAutoridad
Servicio de Auditoría Interna
Esquema OrganizativoEsquema Organizativo
Mandato para una Auditoría Interna
Servicio de Auditoría Interna
Esquema OrganizativoEsquema Organizativo
Mandato para una Auditoría Externa
Servicio de Auditoría Interna
Esquema OrganizativoEsquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de Naturaleza del trabajo de auditoría de sistemas de información (I)información (I)
Actuaciones de apreciación independiente para supervisar el control establecido
A- Actividades básicasA- Actividades básicasDirección o Gobierno de las TIC (Gobernanza TIC)Supervisar el control interno TICSupervisar la gestión de riesgos TIC
Servicio de Auditoría Interna
Esquema OrganizativoEsquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de Naturaleza del trabajo de auditoría de sistemas de información (II)información (II)
Protección de datos de carácter personalControl de accesosAdministración ElectrónicaEquipamiento informáticoSeguridad sistemasDesarrollo y mantenimiento de aplicacionesExplotación de sistemas de informaciónContratación bienes y servicios TICTécnica de sistemasContinuidad del servicio TICAcreditación de confianza
Servicio de Auditoría Interna
Esquema OrganizativoEsquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de Naturaleza del trabajo de auditoría de sistemas de información (III)información (III)
B- Acciones proactivasB- Acciones proactivasParticipación en el ciclo de controlParticipación en el ciclo de controlAsegurar existencia de controles internos razonables y adecuadosDivulgar y fomentar las buenas prácticasFomentar la documentación de los sistemas y procedimientosAsesorar en la implementación de pistas de auditoríaAsesorar en las salvaguardas de activosAsegurar eficiencia gestión recursos
Servicio de Auditoría Interna
Esquema OrganizativoEsquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de Naturaleza del trabajo de auditoría de sistemas de información (IV)información (IV)
C- Auditoría forenseC- Auditoría forenseDesafío ante delitos informáticos, garantizando la evidencia Desafío ante delitos informáticos, garantizando la evidencia digital que se presentase en un proceso judicial.digital que se presentase en un proceso judicial.Recuperar informaciónDeterminar cusa y origen de una situaciónIdentificar autor(es) acciones ilícitasIdentificar uso inapropiado de los medios de la Organización
Servicio de Auditoría Interna
Esquema OrganizativoEsquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de Naturaleza del trabajo de auditoría de sistemas de información (V)información (V)
D- Apoyo en auditorías externasD- Apoyo en auditorías externasSupervisión de auditores externos.Supervisión de auditores externos.
E- Apoyo a otras áreas de AuditoríaE- Apoyo a otras áreas de AuditoríaAsistencia para la obtención, estructuración y análisis de la Asistencia para la obtención, estructuración y análisis de la información.información.
Servicio de Auditoría Interna
Auditor InformáticoAuditor Informático
Áreas de Conocimiento (certificables)Áreas de Conocimiento (certificables)
Técnica o metodología de auditoría informáticaGestión, planificación y organización de las TICInfraestructura técnica, prácticas operativas y protección de
activosRecuperación de desastres y continuidad de la actividadDesarrollo, adquisición, implementación y mantenimiento de
sistemasEvaluación de procesos y gestión de riesgos
Servicio de Auditoría Interna
Auditor InformáticoAuditor Informático
Otras características (no certificables)Otras características (no certificables)
Comprender procesos de gestión y normativa legalIdentificar problemas y plantear solucionesLlenar vacío de comunicación entre dirección, usuarios y
técnicosSaber comunicarNegociar situaciones de conflictoSaber cuando solicitar asistencia
Servicio de Auditoría Interna
Estándares y Normas TécnicasEstándares y Normas TécnicasPrincipiosPrincipiosSalvar brechas entre riesgos del proceso de gestión,
necesidades de control y aspectos técnicosDeterminar el alcance de las actuaciones e identificar los
controles mínimosObservar e incorporar estándares y regulaciones nacionales
o internacionales
HechosHechosAdecuar técnicas auditoría tradicionales a los controles de las TICGenerar resultados homogéneosOrganizar los trabajos (tipificar tareas)Emplear distintos referentes según tipo de auditoríaEstándares basados en buenas prácticas
Servicio de Auditoría Interna
Estándares y Normas TécnicasEstándares y Normas Técnicas
1)1) Instrumentos de normalización de las Instrumentos de normalización de las Administraciones Públicas en EspañaAdministraciones Públicas en España
Normas de Auditoría del Sector Público de la IGAE: No son específicas a la auditoría de sistemas de información
MAGERIT Versión 2: Es la metodología de análisis y gestión de riesgos de los sistemas de información.
Modelo EFQM de Excelencia: Es una orientación de la Fundación Europea para la Gestión de la Calidad que contempla algunos criterios que hacen referencia a las TIC
Serie Seguridad de las Tecnologías de la Información del Centro Criptográfico Nacional (CCN-STIC)
Servicio de Auditoría Interna
Estándares y Normas TécnicasEstándares y Normas Técnicas
2)2) Instrumentos de normalización de las Instrumentos de normalización de las Administraciones Públicas en EE.UU.Administraciones Públicas en EE.UU.
Government Auditing Standars (GAGAS): Son las normas de aplicación para el General Accountability Office (GAO) de EE.UU.
Federal Information System Controls Audit Manual (FISCAM): Una guía metodológica que aplica las normas del GAO y del NIST.
Serie de Publicaciones Especiales SP-800 del Instituto Nacional de Estándares y Tecnología (NIST)
Servicio de Auditoría Interna
Estándares y Normas TécnicasEstándares y Normas Técnicas
3)3) Prácticas y recomendaciones de asociaciones Prácticas y recomendaciones de asociaciones internacionales (I)internacionales (I)
Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (The Institute of Internal Auditors)
Asociación de Auditoría y Control de Sistemas de Información (ISACA)
Control Objetives for Information and Related Technologies (COBIT)
IS Standars, Guidelines and Procedures for Auditing and Control Professionals
Information Technology Infraestructure Library (ITIL)
Servicio de Auditoría Interna
Estándares y Normas TécnicasEstándares y Normas Técnicas
3)3) Prácticas y recomendaciones de asociaciones Prácticas y recomendaciones de asociaciones internacionales (II)internacionales (II)
Modelo de Madurez de las Capacidades Integrado para el Desarrollo (CMMI) del Instituto de Ingeniería del Software (SEI)
Instituto SANS (SysAdmin, Audit, Network, Security) Normalización internacional ISO:Normalización internacional ISO:
Gestión de Servicios de las Tecnologías de la Información (IT Service Management): ISO/IEC 20000:2005
Seguridad de la Información: Familia ISO/IEC 27000 Criterios comunes de evaluación de la seguridad de las
tecnologías de la información ISO/IEC 15408:2005 (Common Criteria for Information Technology Security Evaluation)
Servicio de Auditoría Interna
Planificación de ActuacionesPlanificación de Actuaciones
Qué auditarQué auditar Cumplimiento de requerimientos legales Sensibilidad de la organización a riesgos / resultado de análisis Resultado de auditorías anteriores Condicionantes de la OrganizaciónCuándo auditarCuándo auditar Priorizar las actuaciones detectadas y ajustando el alcance a
los recursos disponibles y las demandas de la dirección Elaborar el documento de planificación periódica de la unidad
de auditoría Revisión periódica del plan inicial para incorporar actuaciones
no previstasCómo auditarCómo auditar Proceso para planificar las actuaciones individuales
Servicio de Auditoría Interna
Planificación de ActuacionesPlanificación de Actuaciones
Análisis de riesgos
Sensibilidad de la Dirección
Requerimientos legales
Prioridades de la Organización
Situaciones de riesgo inicialmente no previstas
Plan de Actuaciones de Auditoría
Actuación 1 Actuación 2 Actuación n....
Tarea 2Tarea 1
Tarea n
Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
PLANIFICACIÓN DE ACTIVIDADESPLANIFICACIÓN DE ACTIVIDADES
Identificar la información a recopilarIdentificar las tareas de campoIdentificar interlocutoresRecursos necesarios/disponiblesResponsabilidades de los miembros del equipo auditoríaCalendario tentativo
Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Identificar el Alcance de la ActuaciónIdentificar el Alcance de la Actuación Que se quiere comprobar Que se pretende demostrar Que se va a informar
Obtención de Información PreliminarObtención de Información Preliminar Actividad llevada a cabo por el área a auditar Esquema de control interno (políticas, normas, etc.) Estándares de referencia Informes anteriores Familiarizarse con el entorno tecnológico a auditar
Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Identificar Objetivos DetalladosIdentificar Objetivos Detallados Evaluación preliminar para identificar objetivos de control Identificar posibles condicionantes Grado de extensión acorde al alcance
Auditorías de cumplimiento:Modelo de control de referencia
Existencia de controles
Adecuación y eficacia de los controles
Proporcionalidad
Auditorías operativas:Modelo de control de referencia
Planificación y gestión de controles
Aseguramiento de los controles
Oportunidad de introducir cambios
Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
FORMALIZACIÓN DEL INICIO DE LA ACTUACIÓNFORMALIZACIÓN DEL INICIO DE LA ACTUACIÓN
Notificación del responsable de la unidad de auditoría al responsable del área a auditar
Reunión del equipo auditor con el responsable de la unidad a auditar para comunicar:
Alcance de los trabajosNecesidad/obligación de colaboraciónInterlocutor del equipo auditor
Se debe tener presente no interferir con el trabajo realizado por el área auditada
Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
TRABAJOS DE CAMPOTRABAJOS DE CAMPO
Técnicas Recolección de EvidenciasTécnicas Recolección de Evidencias
Revisión de documentosEntrevistasObservación del trabajo realizadoPruebas y verificacionesUso de herramientas
Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Uso de Herramientas Informáticas o Técnicas de Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - Auditoría Asistidas por Ordenador - CAATCAAT (I) (I)
Obtención de información de los SI Recolección de evidencias de los SI Creación de muestras para realizar pruebas
Ventajas Aseguran independencia en la recolección de datos Disminuyen el riesgo propio del proceso de auditoría Mayor cobertura y consistencia de la pruebas
Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Características Productos informáticos ad-hoc o herramientas de los sistemas Acceso a distintas estructuras o formatos de datos Aplicación de criterios de selección Reorganización de la información obtenida Funciones estadísticas y aritméticas
Precauciones El acceso a los datos reales por los auditores debe ser siempre sólo
en modo lectura Los datos extraídos deben aislarse del entorno de producción para
evitar que las manipulaciones alteren los originales El empleo de herramientas que puedan causar perturbaciones debe
ser limitado
Uso de Herramientas Informáticas o Técnicas de Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - Auditoría Asistidas por Ordenador - CAATCAAT (II) (II)
Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de InformaciónProceso de Auditorías de Sistemas de Información
Uso de Herramientas Informáticas o Técnicas de Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - Auditoría Asistidas por Ordenador - CAATCAAT (III) (III)
Ejemplos Logs: contienen el registro de actividad Utilidades de sistema: contienen los parámetros que
implementan las políticas de control Software generalizado de auditoría: acceso a archivos,
selección de datos, reorganización, etc. Software específico: herramientas empleadas con un
propósito concreto
Servicio de Auditoría Interna
Guión para Auditorías de Sistemas de InformaciónGuión para Auditorías de Sistemas de Información
El GUIÓNGUIÓN es la herramienta fundamental de apoyo para el auditor que documenta el proyecto de la auditoría
Identifica que tareas se deben efectuar durante la actuación
Cuantifica los medios necesarios Define la secuencia de los trabajos Para que el equipo comprenda lo que debe
realizar y obtenga una visión del conjunto
Servicio de Auditoría Interna
Guión para Auditorías de Sistemas de InformaciónGuión para Auditorías de Sistemas de Información
ESTRUCTURA DEL GUIÓNESTRUCTURA DEL GUIÓN
1. Punto(s) de control
En función del objetivo y alcance de la actuación se habrán establecido objetivos de control detalladosobjetivos de control detallados => apartados del guión. Identifica lo que se va a supervisar del sistema de control.
2. Directriz de auditoría Desarrollan los Puntos de control señalando las tareas a tareas a
efectuarefectuar, antes o durante la actuación. Determinan los medios y técnicas necesarios para cada punto
de control Limitadas por el desarrollo de la función de auditoría en la
Organización
Servicio de Auditoría Interna
Guión para Auditorías de Sistemas de InformaciónGuión para Auditorías de Sistemas de Información
Esquema COBIT para el guiónEsquema COBIT para el guiónSe
cuen
cia
de la
s ac
tivid
ades
Servicio de Auditoría Interna
Informes de Auditorías de Sistemas de InformaciónInformes de Auditorías de Sistemas de Información
Contenidos del Informe de Auditoría
Servicio de Auditoría Interna
Informes de Auditorías de Sistemas de InformaciónInformes de Auditorías de Sistemas de Información
Ejemplos de Informes de Auditorías Sistemas de Ejemplos de Informes de Auditorías Sistemas de InformaciónInformación
Elaboración propia Basado en actuaciones reales Cumplimiento de políticas e instrucciones
Georgia Department of Audits and Accounts Informe sistema información para la gestión del IVA Informe de seguimiento
National Audit Office Informe de calidad de la información Impuesto Renta Progreso en información y servicios on-line
Goverment Accountabillity Office Uso de datos adquiridos Desafío en el uso del correo electrónico
Servicio de Auditoría Internawww.agenciatributaria.es
Fernando Rodríguez Rivadulla