universidad tecnolÓgica ecotec. iso 9001:2008 1 lcda. laura alexandra ureta arreaga, msig. docente...
TRANSCRIPT
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Septiembre del 2012
Normas de Auditoria
AUDITORIA DE SISTEMAS
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
22Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Riesgos-Definición
• Es el potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasione pérdida o daño a los activos
• Es la posibilidad que un evento, o su ausencia, afecte negativamente la habilidad de la organización para lograr sus objetivos
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
3
AMENAZAS:
Password cracking
ExploitsEscalamiento de privilegios
Keylogging
Puertos vulnerables abiertos
Violación de la privacidad de los empleadosFraudes informáticos
Destrucción de equipamiento
Spamming
Robo o extravío de notebooks, palms
Robo de informaciónMails anónimos con agresionesMails anónimos con agresiones
Ingeniería social
Acceso indebido a documentos
Destrucción de soportes documentalesVirusAcceso clandestino a redes
Falsificación de información para terceros
VULNERABILIDADES:Inadecuado compromiso por la dirección Personal no capacitado y concientizado
Inadecuada asignación de responsabilidades
Ausencia de controlesAusencia de reportes de incidentes y vulnerabilidades
Servicios de log inexistentes o que no son chequeadosLcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
44Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Eval. del proceso de adm. de riesgo
• El Proceso• Identificar a los activos de
información• Analizar las vulnerabilidades de los
activos• Identificar y evaluar los controles
propuestos.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
55Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Identificar y evaluar controles
• Identificando controles• Identificar los controles existente.• Evaluar controles adicionales o compensatorios• Categorizar los controles: efectividad eficiencia.
• Selección de medidas preventivas• El costo del control en comparación con el
beneficio de reducir el riesgo• Predisposición de aceptar riesgos de la Gerencia• Métodos de reducción de riesgos (aceptar,
reducir, transferir, eliminar)
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
66Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Identificando elementos de riesgo
• Activos• Amenazas• Vulnerabilidades• Impactos• Riesgo global• Riesgo inherente• Riesgo residual
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
77Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
CONTROLES
• “Las políticas, prácticas y las estructuras organizativas diseñadas para brindar garantía adicional de que se lograrán los objetivos del negocio y se impedirán o detectarán o corregirán los acontecimientos no deseados”.
• Un objetivo de control es una declaración del resultado o del propósito que se desea alcanzar mediante la implementación de controles en una actividad partícular.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
8Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
CONTROLES
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
99Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
CONTROLES
• Objetivos de control interno (COSO)• Objetivos de control de los sistemas de información
(COBIT)• Procedimientos de control de los sistemas de
información• Son controles que aplican a todas las funciones
dentro de una organización (controles generales)• Clasificación del control
• Preventivos• Detectivos• Correctivos
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1010Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
CONTROLES - PREVENTIVOS
• FUNCION• Descartar problemas antes de que surjan• Monitorear tanto las operaciones como el ingreso de datos• Tratar de predecir los problemas antes de que estos ocurran y
hacer ajustes• Impedir que ocurra un error, una omisión o un acto malicioso
• EJEMPLOS• Emplear solo personal calificado• Segregar las tareas (factor disuasivo)• Controlar el acceso a las instalaciones físicas• Uso de documentos bien diseñados (evitar errores)• Establecer procedimientos adecuados para autorizar
transacciones• Uso de software de control de accesos
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1111Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
CONTROLES - DETECTIVOS
• FUNCION• Controles que detectan que ha ocurrido un error, una omisión o
un acto malicioso y lo reportan
• EJEMPLOS• Totales o subtotales de control • Puntos de verificación en las tareas de producción• Controles de interrupción en las telecomunicaciones• Mensajes de error • Doble verificación en los cálculos• Revisión periódica de reportes con variación• Reporte de cuentas vencida• Función de auditoria interna de TI
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1212Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
CONTROLES - CORRECTIVOS
• FUNCION• Minimizar el impacto de una amenaza• Remediar problemas descubiertos por los controles de
detección• Identificar la causa de un problema• Modificar el o los sistemas de procesamiento para minimizar
que el problema ocurra en el futuro
• EJEMPLOS• Planificación de contingencias• Procedimientos de copias de seguridad• Procedimientos de nueva ejecución de programas
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1313Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
CONTROLES – OTROS TIPOS
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1414Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
EJEMPLOS DE CONTROLES
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1515Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
EJEMPLOS DE CONTROLES
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1616Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
EJEMPLOS DE CONTROLES
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1717Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
MATRIZ DE CONTROLES
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1818Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Elementos de evaluación de controles
• El control debe ser evaluado en:
• DISEÑO:- Análisis conceptual de oportunidad y orientación a minimizar un riesgo relevante.
• EFICACIA OPERATIVA:- Pruebas y evidencia de funcionamiento efectivo del control.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1919Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Pruebas de cumplimiento vs sustantivas
• La recolección de evidencias con el fin de comprobar el cumplimiento de una organización con procedimientos de control
• La recolección de evidencias para evaluar la integridad de las transacciones individuales, los datos u otra información
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2020Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Elementos de auditoria -Evidencias
• Cualquier información usada por el auditor de IT para determinar si la entidad o los datos que están siendo auditados cumplen con los criterios u objetivos de auditoria establecidos• Independencia del proveedor de la evidencia• Calificación de la persona que suministra la
información o evidencia• Objetividad de la evidencia
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2121Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Elementos de auditoria -Evidencias
• Independencia del proveedor de la evidencia
• La evidencia obtenida de fuentes externas es más confiable que la obtenida dentro de la organización
• Calificación de la persona que suministra la información o evidencia
• Siempre se debe considerar la calificación e idoneidad de la fuente de la información, si el auditor no tiene entendimiento del área o competencia técnica apropiada debe entender completamente la prueba
• Objetividad de la evidencia
• La evidencia objetiva es mejor que la evidencia que requiere opinión o interpretación considerable
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2222Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Elementos de auditoria -Evidencias
• Se debe estimas tanto la CALIDAD (Competente) como la CANTIDAD (Suficiente) de evidencias.
• La evidencia es competente cuando es tanto VÁLIDA como RELEVANTE
• Técnicas de recolección de evidencias• Revisar la estructura de Organización de IT• Revisar las normas de documentación de los SI• Entrevistar al personal apropiado• Observar los procesos y el desempeño de los
empleados
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2323Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Elementos de auditoria - Muestreo
• Métodos Generales:• Muestreo Estadístico: método objetivo
para determinar el tamaño de la muestra y para escoger criterios.
• Muestreo no estadístico: o a criterio, se usa el criterio del auditor y están basadas en criterios subjetivos
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2424Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Elementos de auditoria - Muestreo
• Métodos Primarios:• Muestreo de atributos: aplicado en pruebas
de cumplimiento. Es la presencia o ausencia del atributo y provee conclusiones que expresan coincidencias.
• Muestreo de variables: aplicado en situaciones de pruebas sustantivas, se ocupa de las característica de la población que varían ($) y provee conclusiones relacionadas con desviación de la norma
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2525Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
CAAT (Técnicas de auditoria asistida por computadora)
• Generadores de datos de prueba• Utilidades estándar• Paquetes de biblioteca de software• Pruebas integradas• Instantánea• Archivo de revisión del sistema de control de
auditoria• Software especializado de auditoria
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2626Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
CAAT - VENTAJAS
• Generadores de datos de prueba• Utilidades estándar• Paquetes de biblioteca de software• Pruebas integradas• Instantánea• Archivo de revisión del sistema de control de
auditoria• Software especializado de auditoria
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2727Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Informe de Auditoria
• El informe de auditoría, es el documento final del proceso auditor, que sintetiza el resultado del cumplimiento de los objetivos definidos en el memorando de asignación de auditoría, en el plan de trabajo y el resultado de las pruebas adelantadas en la ejecución
• Objetivos del informes• Registrar los resultados de la auditoría adelantada
correspondientes al periodo auditado. • Describir de manera precisa, clara y concisa los hallazgos
determinados durante el proceso auditor. • Comunicar e informar públicamente la opinión sobre la
razonabilidad de los estados financieros y/o el concepto sobre la gestión y resultados obtenidos por el auditado.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2828Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC
Atributos del Informe de Auditoria
PrecisoDiga lo que tiene que decir. Es conveniente ser exacto (puntual) en cada frase y en el informe completo. Su redacción debe ser sencilla, clara, ordenada, coherente y en orden de importancia.
Conciso
La redacción debe ser breve pero sin omitir lo relevante, la brevedad permite mayor impacto. Se debe buscar la forma de redactar los hallazgos en forma concreta, pero sin dejar de decir lo que se tiene que decir sobre la condición (situación detectada); asimismo, se debe incluir el criterio de auditoría, la causa y el efecto, aspectos que muestren claramente el impacto que tiene la situación detectada por la CGR.
ObjetivoTodos los hallazgos deben reflejar una situación real, manejada con criterios técnicos, analíticos e imparciales.
SoportadoLas afirmaciones, conceptos, opiniones y hallazgos, deben estar respaldadas con evidencia válida, suficiente, pertinente y competente.
OportunoDebe cumplir los términos de elaboración, consolidación, entrega, comunicación y publicidad.