Universidad de los Lagos

AUDITORÍA INFORMÁTICA

Miguel Ángel Barahona M.Ingeniero Informático, UTFSM

Magíster en Tecnología y Gestión, UCPMP Certificado

Evaluaciones

NF = (S1 + S2 + S3) / 3

S1, 25 de Septiembre S2, 30 de Octubre S3, 4 de Diciembre

Introducción

Historia Se piensa que el origen de la escritura surge como respuesta a la

necesidad de auditar En el 1800 se extiende la auditoría en Reino Unido y Norteamérica En 1950 la informática se convierte en una herramienta importante

en labores de auditoría. Primeros casos de fraude en los años 60’s. Surge la “Auditoría del Computador”.

Cambios en el tiempo. De Sociedad Industrial a Sociedad de la Información. Empresas deben adaptarse rápidamente para sobrevivir. La COMPETENCIA GLOBAL ha llegado. Las empresas deben

orientarse a operaciones cada vez más competitivas, por lo que deben aprovechar todos los avances tecnológicos.

I+T son los activos más importantes para muchas organizaciones.

Auditoría

Conceptos “La auditoría, toda y cualquier auditoría, es la

actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas”. Auditoría Informática, Piattini y Del Peso.

Clases de Auditoría

El Objeto sometido a estudio, y la finalidad con que se realiza el estudio definen el tipo de auditoría. Entre las cuales se encuetran:

Clase Objeto FinalidadFinanciera Cuentas Anuales Presentar la realidad

Informática Aplicaciones, recursos informáticos, planes de contingencia, etc.

Operatividad eficiente y consistente con las normas establecidas

Gestión Dirección Eficacia, eficiencia, economía.

Cumplimiento Normas o políticas establecidas

Las operaciones se adecuan a las normas.

PROCEDIMIENTOS

La opinión profesional, esencial en la auditoría, se fundamenta y justifica por medio de procedimientos específicos que nos permitirán entregar una seguridad razonable de lo que se afirma.

Cada una de las clases de auditoría posee sus propios procedimientos para alcanzar su fin.

La amplitud y profundidad de los procedimientos que se apliquen definirán el alcance de la auditoría.

La evidencia obtenida debe recogerse adecuadamente, ya que servirá de evidencia y soporte del trabajo efectuado.

La introducción de las TI’s en los sistemas de información, afecta a los auditores de forma dual: Cambia el soporte objeto de su actividad La utilización de tecnología para la ejecución de sus procedimientos.

Consultoría

La consultoría consiste en dar asesoramiento o consejo de carácter especializado sobre lo que se ha de hacer o como llevar adecuadamente una actividad para obtener los fines deseados. Lo anterior en base a un examen o análisis.

La auditoría verifica a posteriormente si estas condiciones se cumplen y los resultados pretendidos se obtienen realmente.

Control Interno y Auditoría Informática

En el pasado el control interno estaba limitado a los controles contables internos.

El control interno en muchas empresas no incluía actividades operativas claves para la detección de riesgos potenciales en la organización.

Hoy en día, ante la rapidez de los cambios (fusiones, alianzas estratégicas, respuestas a la competencia, etc.) las organizaciones están tomando conciencia de que para evitar fallos significativos se deben evaluar y reestructurar sus sistemas de control interno.

Se debe actuar con proactividad. El auditor ha dejado de centrarse en la evaluación y la

comprobación de resultados de procesos, desplazando su atención en la evaluación de riesgos de riesgos y en la comprobación de controles.

Las Funciones de Control Interno y Auditoría Informática

Control Interno Informático Suele ser un staff del Área de Informática. El control interno informático controla diariamente que todas las actividades

de los sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas por la organización.

La misión del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados sean correctas y válidas.

Debe asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo del equipo de auditoría. Realizar en los diferentes sistemas y entornos informáticos las siguientes

acciones: Controles sobre la producción diaria Controles sobre la calidad y eficiencia del desarrollo y mantención de software Controles en las redes de comunicaciones Controles sobre el software base La seguridad informática (usuarios, normas de seguridad, control de información

clasificada) Licencias y relaciones contractuales con terceros

Las Funciones de Control Interno y Auditoría Informática

La auditoría informática es el proceso de recoger, agrupar, y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, cumple con los fines de la organización y utiliza eficientemente los recursos.

El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos.

Se pueden establecer tres grupos de funciones a realizar por el auditor informático: Participar en el ciclo de desarrollo de software. Revisar y juzgar los controles implantados en los sistemas

informáticos para validar el cumplimientos de las normas y políticas de la organización.

Revisar y juzgar los niveles de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.

Control Interno y Auditoría: Campos Análogos.

Control Interno Informático Auditor Informático

Similitudes Conocimientos especializados en TIVerificación de cumplimientos internos

Diferencias Análisis de los controles en el día a díaInforma al Gte. de InformáticaPersonal InternoEl alcance de sus funciones esta restringido al área de informática

Análisis de un momento determinadoInforma al Gte. Gral.Personal Interno y/o ExternoCubre toda la organización

Definición y Tipos de Controles Internos

Se puede definir como control interno a cualquier actividad o acción realizada manual o automáticamente para prevenir y corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.

Los objetivos de los controles informáticos se clasifican en: Controles preventivos: para tratar de evitar algún hecho no deseado.

Por ejemplo, un software de seguridad que impida los accesos no autorizados al sistema.

Controles detectivos: Cuando fallan los preventivos trata de conocer cuanto antes el evento. Por ejemplo, registro de intento de acceso no autorizado.

Controles correctivos: facilitan la vuelta atrás cuando se han producido incidentes. Por ejemplo, la recuperación de un BD a partir de copias de seguridad.

Implantación de Controles Internos Informáticos

Los controles se pueden implantar en diferentes niveles

Es necesario que conozcamos la configuración tecnológica de la empresa para saber donde implantar los controles, como también poder identificar riesgos. Entorno de red: topología, HW de comunicaciones,

etc. Configuración de Servidores y Pc’s: SO, SW, HW. Entorno de Aplicaciones Productos y herramientas Seguridad

1.Controles Generales Organizativos

Políticas: Deberán servir de base para la planificación, control y evaluación de las actividades del departamento de informática.

Planificación: Plan Estratégico: Realizado por la alta dirección, en donde se

definen los procesos corporativos y se considera el uso de diversas tecnologías de información, a si como las amenazas y oportunidades de su uso o ausencia.

Plan Informático: Realizado por el área de informática, el cual debe cubrir las necesidades estratégicas de la compañía.

Plan de Seguridad: Que garantice confidencialidad, integridad y disponibilidad de la información.

Plan de emergencia ante desastres: Que garantice la disponibilidad de los sistemas ante eventos.

Estándares: que regulen la adquisición de recursos,el diseño, desarrollo, modificación y explotación de sistemas.

1.Controles Generales Organizativos

Procedimientos: que describan la forma y las responsabilidades de ejecución.

Organizar al departamento de informática en un nivel suficientemente alto en la estructura organizativa.

Definiciones claras de las funciones y responsabilidades de cada integrante de la organización.

Políticas de personal: selección, plan de formación, plan de vacaciones, evaluación y promoción.

Asegurar que existe una política de clasificación de la información, y las restricciones a los usuarios.

2.Controles de desarrollo, adquisición y mantenimientos de sistemas de información

Metodología de Ciclo de Vida del Desarrollo de Sistemas: Su correcto empleo nos debería llevar a alcanzar los objetivos definidos para el sistema. Algunos controles que deben existir en la metodología son: La alta dirección debe publicar una normativa sobre el uso de

metodología de ciclo de vida en el desarrollo de sistemas. La metodología debe establecer los papeles y responsabilidades de

las distintas áreas del depto. de informática. Las especificaciones del nuevo sistema deben quedar definidas por

los usuarios (stackeholders), y quedar escritas y aprobadas antes que comience el proyecto.

Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos del proyecto, acompañadas de análisis coste-beneficio.

2.Controles de desarrollo, adquisición y mantenimientos de sistemas de información

Cuando se seleccione una alternativa debe realizarse un plan director del proyecto, con una metodología de control de costos.

Procedimientos para la definición y documentación de especificaciones

Plan de validación, verificación y pruebas. Estándares de prueba de programas o sistemas Prueba de aceptación funcional final Los procedimientos de adquisición de software deberán

seguir las políticas de adquicicón de la organización. La contratación de servicios externos deberá ser justificada. Deberán prepararse manuales de operación, usuario y

mantenimiento como parte de todo proyecto.

2.Controles de desarrollo, adquisición y mantenimientos de sistemas de información

Explotación y mantenimiento: El establecimiento de controles asegurará que los datos se tratan correctamente y que la mantención de los sistemas deberá efectuarse con las autorizaciones necesarias.

3. Controles de explotación de sistemas de información

Planificación y Gestión de Recursos. Presupuesto Adquisición de Equipos Gestión de la Capacidad de Equipos

Controles para usar de manera efectiva los recursos en computadores. Calendario de carga de trabajo Programación de personal Mantenimiento preventivo Gestión de problemas y cambios Procedimientos de facturación de usuarios

Procedimientos de selección del software, instalación, mantención, de seguridad y control de cambios.

Seguridad física y lógica.

4. Controles en Aplicaciones

Control de entrada de datos: Conversión, validación y corrección de datos.

Control de manipulación de datos Controles de salidas de datos

5. Controles específicos de ciertas tecnologías

Controles en Sistemas de Gestión de Base de Datos (SGBD) Controles sobre el acceso a los datos y concurrencia Recuperación de la BD en caso de fallos

Controles en computación distribuida y redes Procedimientos de cifrado de información sensible que viaja

en la red. Detectar la correcta o mala recepción de mensajes. Revisar contratos de mantención.

Controles sobre computadores personales Controles de acceso a las redes Procedimientos de control de software licenciado

Conclusión

Es necesario revisar frecuentemente los controles internos para asegurarnos que el proceso funciona según lo previsto.

Lo anterior es muy importante, ya que a medida que cambian los factores internos o externos, los controles que antes eran adecuados, ahora no lo son.