AUDITORIA INFORMATICA

Contenido

• Conceptos Básicos de Auditoría

Informática

• Justificación

• Objetivos

• Ejemplos

Primero: ¿Que es la auditoría?

Es la revisión independiente que

realiza un auditor profesional,

aplicando técnicas, métodos y

procedimientos especializados, a fin

de evaluar el cumplimiento de

funciones, actividades, tareas y

procedimientos de una organización,

así como dictaminar sobre el

resultado de dicha evaluación.

Muñoz (2002,34)

Administración de la

Configuración de

Bases de Datos

Justificación

Aumento de la vulnerabilidad

Beneficios para alcanzar los objetivos

Información como recurso

estratégico

Magnitud de los costos e inversiones

TIC

Aumento de la productividad

Automatización de los procesos y

prestación de servicios

Recursos

TIC´s

Fuente: Rodríguez (2006)

“La productividad de cualquier organización depende del funcionamiento

ininterrumpido de los sistemas TIC, transformando a todo el entorno en

un proceso crítico adicional” (Rodríguez, 2006:3).

Evidencias

1 El crecimiento del acceso a Internet y de usuarios conectados

incrementa la posibilidad de concreción de amenazas informáticas.

2 Crecimiento de la información disponible de empresas y sus

empleados en redes sociales Ingeniería Social.

3 Mensajes de e-mail que contienen attachments que explotan

vulnerabilidades en las aplicaciones instaladas por los usuarios.

4 Robo de credenciales o captura ilegal de datos.

5 Acceso a redes empresariales a través de códigos maliciosos

diseñados para obtener información sensitiva.

6 En el 2009 los sectores financiero, proveedores de servicios TIC,

comercios, seguros, comunidad de Internet, empresas de

telecomunicaciones y el gobierno han sido los más vulnerables ante

las amenazas informáticas.

7 En el 2017 Symantec identificó 240 millones de programas maliciosos,

un aumento del 100% con respecto al 2016.

Fuente: Symantec (2018).

Evidencias

8 En el 2010 hubo 286 millones de nuevas ciberamenazas.

9 Junto con las redes sociales otra área de peligro en el espacio móvil

(Smartphones).

10 ¿Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el

mundo, como Estados Unidos, UK o España, han mostrado la

preocupación que tienen ante ataques que puedan afectar a la

economía del país o incluso a otras áreas, tales como las

denominadas infraestructuras críticas. También este año 2009 vimos

un ataque lanzado a diferentes páginas web de Estados Unidos y

Corea del Sur.

Previsión de tendencias de amenazas informáticas para 2010 Fuente: www.cxo-

community.com

11 Cuidar a las empresas en esos momentos no es labor fácil. Los

ataques son incesantes (al menos 10,000 amenazas circulan en la red

cada minuto), y cada año causan pérdidas por más de 650,000

millones de dólares, dice el grupo Crime-Research.org.

El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com

Fuente: Symantec (2017) e ITESPRESSO.ES (2017)..

Supervisión de los CONTROLES IMPLEMENTADOS y determinación de su eficiencia

Rol Básico de la Función de Auditoría Informática

Se requiere contar con una efectiva administración de los RIESGOS asociados con las TIC

Fuente: Rodríguez (2006)

Factores que propician la Auditoría

Informática

Leyes gubernamentales.

Políticas internas de la empresa.

Necesidad de controlar el uso de equiposcomputacionales.

Altos costos debido a errores.

Pérdida de información y de capacidadesde procesamiento de datos, aumentando así laposibilidad de toma de decisionesincorrectas.

Valor del hardware, software y personal.

Necesidad de mantener la privacidad yconfidencialidad de las transacciones de laorganización.

Objetivos generales de la Auditoría en

Informática

• Asegurar la integridad, confidencialidad

y confiabilidad de la información.

• Minimizar existencias de riesgos en el

uso de Tecnología de información

• Conocer la situación actual del área

informática para lograr los objetivos.

• Seguridad, utilidad, confianza,

privacidad y disponibilidad en el

ambiente informático, así como también

seguridad del personal, los datos, el

hardware, el software y las instalaciones.

Auditoria de Sistemas de Barcelona (2004)

• Incrementar la satisfacción de los

usuarios de los sistemas informáticos.

• Capacitación y educación sobre

controles en los Sistemas de

Información.

• Buscar una mejor relación costo-

beneficio de los sistemas automáticos y

tomar decisiones en cuanto a

inversiones para la tecnología de

información.

Auditoria de Sistemas de Barcelona (2004)

Objetivos generales de la Auditoría en

Informática

Riesgo Informático

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la

Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:

http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

La Organización Internacional de

Normalización (ISO) define riesgo

tecnológico (Guías para la

Gestión de la Seguridad) como:

La probabilidad de que una

amenaza se materialice de

acuerdo al nivel de vulnerabilidad

existente de un activo, generando

un impacto específico, el cual

puede estar representado por

pérdidas y daños.

Amenaza

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias

Económicas y Administración. Universidad de la República de Uruguay. Fuente:

http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Acciones que pueden ocasionar

consecuencias negativas en la

plataforma informática disponible: fallas,

ingresos no autorizados a las áreas de

computo, virus, uso inadecuado de

activos informáticos, desastres

ambientales (terremotos, inundaciones),

incendios, accesos ilegales a los

sistemas, fallas eléctricas.

Pueden ser de tipo lógico o físico.

Vulnerabilidad

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias

Económicas y Administración. Universidad de la República de Uruguay. Fuente:

http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Condiciones inherentes a los

activos o presentes en su entorno

que facilitan que las amenazas

se materialicen.

Se manifiestan como debilidades o

carencias: falta de conocimiento

del usuario, tecnología

inadecuada, fallas en la

transmisión, inexistencia de

antivirus, entre otros.

Impacto

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo

Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias

Económicas y Administración. Universidad de la República de Uruguay. Fuente:

http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Consecuencias de la

ocurrencia de las distintas

amenazas: financieras o no

financieras.

Perdida de dinero, deterioro

de la imagen de la empresa,

reducción de eficiencia, fallas

operativas a corto o largo

plazo, pérdida de vidas

humanas, etc.

Administración de Riesgos

SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación.

Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:

http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Luego de efectuar el análisis de riesgo-impacto, el

ciclo de administración de riesgo finaliza con la

determinación de las acciones a seguir respecto:

•Controlar el riesgo fortaleciendo los controles

existentes o agregar nuevos controles.

•Eliminar el riesgo.

•Compartir el riesgo mediante acuerdos

contractuales traspasando el riesgo a un tercero

(Ejemplo: seguro, outsourcing de informática).

•Aceptar el riesgo, determinando el nivel de

exposición.

Y...¿Qué es el control interno?Es un proceso, mediante el cual la

administración, los directivos y/o la alta

gerencia le proporcionan a sus

actividades, un grado razonable de

confianza, que le garantice la consecución

de sus objetivos, tomando en cuenta: la

eficacia y eficiencia de las operaciones,

fiabilidad de la información financiera y

cumplimiento de las leyes y normas

aplicables, con la finalidad de dotar a la

organización medidas preventivas,

detección y corrección de errores, fallos y

fraudes o sabotajes

CONTROL INTERNO. DEFINICIÓN Y TIPOS

Cualquier actividad o acción realizada

manual y/o automáticamente para

prevenir, corregir errores o irregularidades

que puedan afectar el funcionamiento de

un sistema para conseguir sus objetivos.

La tipología tradicional de los controles informáticos es:

Agente Amenazante

Hacker

Cracker

Espionaje Industrial

Criminales Profesionales

Usuarios

(Daños intencionales o no)

Objetivos: Desafío,

ganancia financiera/política,

daño

Causa Física (Natural o no)

Concreción

de la

Amenaza

¿Bajo Nivel de

Vulnerabilidad?

Daño a los

equipos, datos

o información

Confidencialidad

Integridad

Disponibilidad

Pérdida de

•Dinero

•Clientes

•Imagen de la Empresa

Correctivo

Disuasivos Preventivos

Detectivo

Tmin

Plataforma Informática Operatividad

Amenaza o

Riesgo

Tratar de evitar el

hechoCuando fallan los

preventivos para

tratar de conocer

cuanto antes el

evento

Vuelta a la

normalidad cuando

se han producido

incidencias

Normas de Auditoría Informática

disponibles

• COSO (Committee of Sponsoring

Organizations of the Treadway

Commission, EEUU 1992).

• ITIL (Information Technology

Infrastructure Library, Inglaterra 1990).

• ISO/IEC 17799:2000 (International

Organization for

Standardization/International

Electrotechnical Commission, Inglaterra

2000).

• COBIT (Control Objectives for

Information and Related Technology IT,

EEUU 1998).

Modelo de evaluación del

control interno en los

sistemas, funciones,

procesos o actividades en

forma íntegra.

Marco referencial que evalúa

el proceso de gestión de los

Servicios de tecnología de

información y de la

infraestructura tecnología.

Guía de auditoria del

sistema de gestión de

seguridad de la información

para su protección.

Referencia Bibliográfica

IT GOVERNANCE

INSTITUTE. 2006. COBIT

4.0. Fuente: www.isaca.org

Information Systems Audit and Control Association

Fundada en 1969, ISACA patrocina conferencias

internacionales, publica la revista “ISACA Journal” y

desarrolla estándares internacionales en control y auditoria

de sistemas de información. También administra la respetada

certificación a nivel mundial como Auditor de Sistemas de

Información.

Para que la TI tenga éxito en satisfacer los requerimientos

del negocio, la dirección debe implantar un sistema de

control interno o un marco de trabajo.

El marco de trabajo de control COBIT contribuye a estas

necesidades de la siguiente manera:

•Estableciendo un vínculo con los requerimientos del

negocio.

•Organizando las actividades de TI en un modelo de

procesos generalmente aceptado.

•Identificando los principales recursos de TI utilizados.

•Definiendo los objetivos de control gerencial a ser

considerados.

Marco de Trabajo de Control COBIT

NEGOCIO

TIC´S Vs. PROCESOS

Requerimientos Información

Indicadores

de

DesempeñoIndicadores

Meta

Modelo de Madurez

Medidos

por

Metas de

Actividades

Prácticas de

ControlDirectrices

de

Auditoría

Ejecutados a

través de

Auditados

a través

de

Objetivos de

Control

Controlados

por

Traducción Implementación

Los Objetivos de Control COBIT® brindan

buenas prácticas a través de un marco de

trabajo de dominios y procesos, y presenta las

actividades en una estructura manejable y

lógica. Representan el consenso de expertos.

Enfocadas fuertemente en el control y menos

en la ejecución. Ayudan a optimizar las

inversiones facilitadas por la TI, asegurarán la

entrega del servicio y brindarán una medida

contra la cual juzgar cuando las cosas no

vayan bien (IT Governance Instituye, 2006).

Herramientas para ayudar a asignar

responsabilidades, medir el desempeño, llevar

a cabo benchmarks (…) Las directrices

ayudan a brindar respuestas a preguntas de la

administración: ¿Qué tan lejos podemos llegar

para controlar la TI?, y ¿el costo justifica el

beneficio? ¿Cuáles son los indicadores de un

buen desempeño? ¿Cuáles son las prácticas

administrativas clave a aplicar? ¿Qué hacen

otros? ¿Cómo medimos y comparamos? (IT

Governance Institute, 2006).

Las mejores prácticas de TI se han vuelto

significativas debido a un número de factores:

•Directores de negocio y consejos directivos que demandan un

mayor retorno de la inversión en TI.

•Preocupación por el creciente nivel de gasto en TI.

•La necesidad de satisfacer requerimientos regulatorios

para controles de TI en áreas como privacidad y reportes

financieros y en sectores específicos como el financiero,

farmacéutico y de atención a la salud.

Las mejores prácticas de TI se han vuelto

significativas debido a un número de factores:

•La selección de proveedores de servicio y el manejo de

Outsourcing y de Adquisición de servicios

•Riesgos crecientemente complejos de la TI como la

seguridad de redes

•Iniciativas de gobierno de TI que incluyen la adopción de

marcos de referencia de control y de mejores prácticas

para ayudar a monitorear y mejorar las actividades críticas

de TI, aumentar el valor del negocio y reducir los riesgos de

éste.

Las mejores prácticas de TI se han

vuelto significativas debido a un

número de factores:

•La necesidad de optimizar costos siguiendo,

siempre que sea posible, un enfoque

estandarizado en lugar de enfoques

desarrollados especialmente.

•La madurez creciente y la consecuente

aceptación de marcos de trabajo respetados

tales como COBIT, ITIL, ISO 17799, ISO 9001,

entre otros.

•La necesidad de las empresas de valorar su

desempeño en comparación con estándares

generalmente aceptados y con respecto a su

competencia (Benchmarking)

Para gobernar efectivamente TI, es importante

determinar las actividades y los riesgos que

requieren ser administrados. DOMINIO 1

PLANEAR Y ORGANIZAR

Estrategias y tácticas.

Identificar la manera en que TI

pueda contribuir de la mejor

manera al logro de los objetivos

del negocio.

La visión estratégica requiere ser

planeada, comunicada y

administrada.

Implementar una estructura

organizacional y una estructura

tecnológica apropiada.

Para gobernar efectivamente TI, es

importante determinar las actividades

y los riesgos que requieren ser

administrados.

PLANEAR Y ORGANIZAR

Cubre los siguientes cuestionamientos típicos de

la gerencia: ¿Están alineadas las estrategias

de TI y del negocio?

¿La empresa está alcanzando un uso óptimo

de sus recursos?

¿Entienden todas las personas dentro de la

organización los objetivos de TI?

¿Se entienden y administran los riesgos de TI?

¿Es apropiada la calidad de los sistemas de TI

para las necesidades del negocio?

Para gobernar efectivamente TI, es

importante determinar las actividades

y los riesgos que requieren ser

administrados. DOMINIO 2

ADQUIRIR E IMPLEMENTAR

Para llevar a cabo la estrategia de TI, las soluciones de TI

necesitan la implementación e integración en los

procesos del negocio.

Para gobernar efectivamente TI, es

importante determinar las actividades

y los riesgos que requieren ser

administrados.

ADQUIRIR E IMPLEMENTAR

Además para garantizar que las soluciones

sigan cubre los siguientes cuestionamientos de

la gerencia:

¿Los nuevos proyectos generan soluciones

que satisfagan las necesidades?

¿Los nuevos proyectos son entregados a

tiempo y dentro del presupuesto?

¿Trabajarán adecuadamente los nuevos

sistemas una vez sean implementados?

¿Los cambios afectarán las operaciones

actuales del negocio?

Para gobernar efectivamente TI, es

importante determinar las actividades

y los riesgos que requieren ser

administrados. DOMINIO 3

ENTREGAR Y DAR SOPORTE

Este dominio cubre la entrega en sí de los servicios

requeridos, lo que incluye la prestación del servicio, la

administración de la seguridad y de la continuidad, el

soporte del servicio a los usuarios, la administración de los

datos y de las instalaciones operacionales.

Para gobernar efectivamente TI, es

importante determinar las actividades

y los riesgos que requieren ser

administrados. DOMINIO 3

ENTREGAR Y DAR SOPORTE

Aclara las siguientes preguntas de la

gerencia: •¿Se están entregando los

servicios de TI de acuerdo con las

prioridades del negocio? •¿Están

optimizados los costos de TI? •¿Es

capaz la fuerza de trabajo de utilizar los

sistemas de TI de manera productiva y

segura? •¿Están implantadas de forma

adecuada la confidencialidad, la

integridad y la disponibilidad?

Para gobernar efectivamente TI, es

importante determinar las actividades

y los riesgos que requieren ser

administrados. DOMINIO 4

MONITOREAR Y EVALUAR

Todos los procesos de TI deben

evaluarse de forma regular en el

tiempo en cuanto a su calidad y

cumplimiento de los requerimientos

de control.

Este dominio abarca la administración

del desempeño, el monitoreo del

control interno, el cumplimiento

regulatorio y la aplicación del gobierno.

Para gobernar efectivamente TI, es

importante determinar las actividades

y los riesgos que requieren ser

administrados.

MONITOREAR Y EVALUAR

Abarca las siguientes preguntas de la

gerencia: •¿Se mide el desempeño de TI

para detectar los problemas antes de que

sea demasiado tarde? •¿La Gerencia

garantiza que los controles internos son

efectivos y eficientes? •¿Puede vincularse

el desempeño de lo que TI ha realizado

con las metas del negocio? •¿Se miden

y reportan los riesgos, el control, el

cumplimiento y el desempeño?

Procedimientos de Selección del

Software

Evaluación del cumplimiento de los objetivos de control

basados en la Norma COBIT

¿DOMINIO?

Objetivos de Control

(PO) Planear y Organizar

(ME) Monitorear y Evaluar

(ES) Entregar y dar soporte

(AI) Adquirir e Implementar

Establecimiento inadecuado de los

requerimientos funcionales

Se detectan fallas en la puesta en

marcha del sistema automatizado

Debido a las fallas los usuarios se

resisten a utilizar el sistema

(AI1) Identificar soluciones

automatizadas

(AI2) Adquirir y mantener software

(AI3) Adquirir y mantener

infraestructura TIC

(AI4) Facilitar operación y uso

Ejemplo: Supongamos la siguiente situación…

AI1 Identificar soluciones automatizadas

AI1.1 Definición y mantenimiento de los requerimientos técnicos y

funcionales del negocio.

•Identificar, dar prioridades, especificar y acordar los requerimientos de negocio

funcionales y técnicos.

•Definir los criterios de aceptación de los requerimientos. Estas iniciativas deben

incluir todos los cambios requeridos dada la naturaleza del negocio, de los

procesos, de las aptitudes y habilidades del personal, su estructura

organizacional y la tecnología de apoyo.

•Establecer procesos para garantizar y administrar la integridad, exactitud y

la validez de los requerimientos del negocio, como base para el control de la

adquisición y el desarrollo continuo de sistemas.

AI1.2 Reporte de análisis de riesgosIdentificar, documentar y analizar los riesgos asociados con los procesos del

negocio como parte de los procesos organizacionales para el desarrollo de los

requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad,

disponibilidad y privacidad de los datos, así como el cumplimiento de las

leyes y reglamentos.

AI1.3 Estudio de factibilidad y formulación de cursos de acción

alternativosDesarrollar un estudio de factibilidad que examine la posibilidad de implantar

los requerimientos.

AI1.4 Requerimientos, decisión de factibilidad y aprobación.El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto

funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas

clave predeterminadas. Cada autorización va después de la terminación de las

revisiones de calidad.

Modelo de Madurez

Escala de medición creciente a partir de 0 (No existente) hasta 5

(Optimizado) para la evaluación de los procesos a partir de los objetivos

de control (IT Governance Institute, 2006).

No Existente

• 0

Inicial

• 1

Repetible

• 2

Definido

• 3

Administrado

• 4

Optimizado

• 5

Estado Actual de la empresa

Promedio de la Industria

Objetivo de la empresa

0 No se aplican procesos administrativos en lo absoluto

1 Los procesos son ad-hoc y desorganizados

2 Los procesos siguen un patrón regular

3 Los procesos se documentan y se comunican

4 Los procesos se monitorean y se miden

5 Las buenas prácticas se siguen y se automatizan

Norma COBIT

COBIT es la fusión entre prácticas de

informática (ITIL, ISO/IEC 17799) y prácticas

de control (COSO), las cuales plantean tres

tipos de requerimientos de negocio para la

información:

•De calidad (calidad, costo y entrega de

servicio).

•Fiduciarios (efectividad y eficiencia de

operaciones, confiabilidad de la información y

cumplimiento de las leyes y regulaciones).

•De Seguridad (confidencialidad, integridad y

disponibilidad).

Terminología COBIT

Efectividad: Se refiere a que la información

relevante sea pertinente para el proceso del

negocio, así como la entrega oportuna sea

correcta, consistente y de manera utilizable ante

terceros, para poder cumplir con parte del

requerimiento fiduciario.

Eficiencia: Siguiendo los requerimientos del

negocio de la información, en cuanto a calidad-

costo, la eficiencia viene dada a través de la

utilización óptima (más productiva y económica)

de recursos.

Terminología COBIT

Confidencialidad: Se refiere a la protección de

información sensible contra divulgación no

autorizada. Cumple con el principio de calidad.

Integridad: Para el requerimiento de seguridad,

la integridad es la precisión y suficiencia de la

información, así como a su validez de acuerdo

con los valores y expectativas del negocio.

Disponibilidad: Se trata de la oportunidad de

entrega de la información cuando ésta sea

requerida por el proceso de negocio ahora y en

el futuro. También se refiere a la salvaguarda de

los recursos necesarios y capacidades

asociadas.

Terminología COBITCumplimiento: Se refiere al cumplimiento de

aquellas leyes, regulaciones y acuerdos

contractuales a los que el proceso de negocios

está sujeto, por ejemplo, criterios de negocio

impuestos externamente.

Confiabilidad de la información: Es la

provisión de información apropiada para la

administración con el fin de operar la entidad y

para ejercer sus responsabilidades de reportes

financieros y de cumplimiento.

Bibliografía Referencial•AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004).

Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com

(Consulta: Noviembre 2006).

•ECHENIQUE GARCÍA, JOSÉ (2001). Auditoría en Informática. 2da Edición.

McGraw Hill. México.

•INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998).

COBIT, marco referencial, objetivos de control para la información y

tecnología afines. 2da Edición.

•MUÑOZ RAZO, CARLOS. 2002. Auditoría en Sistemas Computacionales.

Pearson-Prentice Hall. México.

•RODRÍGUEZ R., FERNANDO (2006). Auditoría Informática en la

Administración: un reto para los profesionales TIC. Tecnimap. Comunicación

No. 043. España.

•PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditoría en Informática. Un

enfoque práctico. Editorial RAMA. España.

•RUIZ GONZÁLEZ, FRANCISCO (1999). Planificación y Gestión de Sistemas

de Información. 2da. Edición. COBIT-Universidad de Castilla. España.

•SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security

Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com

•VEGA, JAIME (2003). Auditoría de sistemas. Sección 9. Capítulo 53.

Enciclopedia de Auditoría. Editorial Océano Centrum. España.