• Author / Uploaded
• Fernando Aguirre

Citation preview

Unidad 3 Metodologías Herramientas e Informe de Auditoría

Instituto Superior Privado Robustiano Macedo Martínez

Lic. Andrea M. Peláez 1º 7º

Método: Es el modo de decir o hacer con orden una cosa.

Metodología: Es el conjunto de métodos que se siguen en un trabajo científico, que permiten abordar éste de forma organizada y consecuente.

Metodologías en la Auditoría de los SI:

Son el reflejo del trabajo del profesional y están directamente relacionadas con su experiencia. Son necesarias para que un equipo de profesionales alcance un resultado homogéneo en equipos de trabajo heterogéneos. La informática ha sido tradicionalmente una materia compleja en todos sus aspectos. Y ha sido necesario por ello la utilización de metodologías desde su diseño de ingeniería hasta el desarrollo del software, y como no, la auditoría de los sistemas de información. Dentro del mundo de la informática existen muchas disciplinas en las que el uso de metodologías es una práctica habitual. Una es la seguridad de sistemas de información.

Seguridad y Auditoría de los SI

Entonces la auditoría está involucrada en este proceso de protección y preservación de la información y de sus medios de proceso.

El nivel de seguridad informática es un objetivo a evaluar y está directamente relacionado con la calidad y eficacia de un conjunto de acciones y

medidas destinadas a proteger y preservar la información de la entidad y sus medios de proceso (Contramedidas).

La informática en una entidad, crea unos riesgos informáticos, de los que hay que proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y eficacia de las mismas es el objetivo a evaluar para así poder identificar sus puntos débiles y poder mejorarlos,

ésta es una de las funciones de los auditores informáticos.

Contramedida: Factores que intervienen en su composición

Contramedida: Factores que intervienen en su composición LA NORMATIVA: Debe definirse de forma clara y precisa todo lo que debe existir y cumplir (conceptual y práctico, general y particular), basado en estándares y políticas.

LA ORGANIZACIÓN: Son personas con funciones específicas, y con procedimientos definidos metodológicamente y aprobados por la dirección de la empresa.

LAS METODOLOGÍAS: Son necesarias para realizar cualquier proyecto que nos propongamos de manera ordenada y eficaz.

LOS OBJETIVOS DE CONTROL: Son los objetivos a cumplir en el control de los procesos.

LOS PROCEDIMIENTOS DE CONTROL: Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada para la consecución de uno o varios objetivos de control y por lo tanto deben estar documentados y aprobados por la Dirección.

TECNOLOGÍAS DE SEGURIDAD: Son todos los elementos de hardware y software que ayudan a controlar un riesgo informático.

LAS HERRAMIENTAS DE CONTROL: Son todos los elementos de software que permiten definir uno o varios procedimientos de control, para cumplir una normativa y un objetivo de control.

Contramedida: Factores que intervienen en su composición

NO SE PUEDEN ESTABLECER CONTROLES SIN PERSONAS.

DE UN CORRECTO PLANTEAMIENTO SURGIRÁN PROCEDIMIENTOS EFICACES

SIN LA EXISTENCIA DE LOS PROCEDIMIENTOS DE CONTROL LAS HERRAMIENTAS SON SOLAMENTE UNA ANÉCDOTA.

Plan de Seguridad

Todos los factores que componen la contramedida están relacionados entre sí y la calidad de cada uno está relacionada con la de los demás. Cuando se evalúa el nivel de Seguridad de Sistemas en una Institución, se están evaluando todos estos factores (pirámide) y se plantea un Plan de Seguridad nuevo, que mejore todos los factores, aunque conforme vayamos realizando los distintos proyectos del plan, no irán mejorando todos por igual. Al finalizar el plan se habrá conseguido una situación nueva en la que el nivel de control sea superior al anterior.

PLAN DE SEGURIDAD: Estrategia planificada de acciones y proyectos que llevan a un sistema de información y a sus centros de proceso de una situación inicial determinada (y a mejorar) a una situación mejorada.

Organización de la seguridad de sistemas

Dirigir la estrategia y las políticas

Realizar diariamente procedimientos de control

Evaluar el control según el Plan Auditor

Metodologías de Evaluación de Sistemas: Conceptos Fundamentales Ejemplo: es frecuente evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas humanas, imagen de la empresa, honor, etc.

Ejemplo: inundación, incendio, robo de datos, sabotaje, falta de procedimientos de emergencia, divulgación de datos, gastos incontrolados, etc.

Ejemplo: falta de control de acceso lógico, falta de control de versiones, inexistencia de un control de soportes magnéticos, falta de cifrado en las telecomunicaciones, etc.

Metodologías de Evaluación de Sistemas: Tipos de Metodologías Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo.

–

Diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados valores numéricos. Éstos valores en el caso de metodologías de análisis de riesgos o de planes de contingencias son datos de probabilidad de ocurrencia (riesgo) de un evento, y que se deben extraer de un registro de incidencias donde el número de incidencias tienda a infinito o sea suficientemente grande.

–

Debilidad de los datos (de la probabilidad de ocurrencia por los pocos registros de incidentes).

–

Imposibilidad de evaluar económicamente todos los impactos que puedan ocurrir.

Cualitativa/Subjetivas:

Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo y seleccionar en base la experiencia acumulada.

–

Precisan de un profesional experimentado.

–

Requieren menos recursos humanos/tiempo que las metodologías cuantitativas.

Metodologías de Evaluación de Sistemas: Metodologías más comunes Las metodologías más comunes que podemos encontrar de evaluación de sistemas son de Aná Análisis de Riesgos, las de Plan de contingencias y las de Auditorí Auditoría Informá Informática.

Las siguientes metodologías tienen dos enfoques distintos:

•

La Auditorí Auditoría Informá Informática: tica sólo identifica el nivel de exposición por la falta de controles.

•

El Aná Análisis de Riesgos: Riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de las mismas.

Las metodologías de análisis de riesgos se utilizan desde los años 70 en la industria del seguro basándose en grandes volúmenes de datos estadísticos agrupados en tablas actuarias. Se emplearon en Informática a los 80 y adolece del problema de que los registros estadísticos de incidentes son escasos y por tanto el rigor científico de los cálculos probabilísticos es pobre. Aunque existen bases de incidentes en varios países, estos datos no son muy fiables por varios motivos: la tendencia a la ocultación de los afectados, la localización geográfica, las distintas mentalidades, la informática cambiante, que los riesgos se presentan en un período de tiempo solamente, etc.

Todas las metodologí metodologías existentes en seguridad de sistemas van encaminadas a establecer establecer y mejorar un entramado de contramedidas que garanticen que la probabilidad de que las amenazas amenazas se materialicen en hechos por la falta de control sea lo má más baja posible o al menos quede reducida de una forma razonable en costo - beneficio.

Metodología de Análisis de Riesgos Está Están desarrolladas para la identificació identificación de la falta de controles y establecimiento de un plan de contramedidas. contramedidas. Citamos algunas de ellas:

MARION – –

– –

Método documentado en dos libros (La securité des reseaux-Methodes et Techniques) Tiene dos productos: MARION AP+ para sistemas individuales MARION RSX para sistemas distribuidos y conectividad. Método cuantitativo. Basado en la encuesta anual de miembros del C.L.U.S.I.F. (base de incidentes francesa)

RISCKPAC – –

Métodologías pensadas para su aplicación en herramientas, la primera de ellas desarrollada por PROFILE ANALYSIS CORPORATION instalada en cliente en 1984. Enfoque cualitativo/subjetivo.

CRAMM – – –

Desarrollada en 1985 y 1987 por BIS y CCTA (Central Computer & Telecomunication Agency Risk Analisis & Management Method, Inglaterra). Implantado en más de 750 organizaciones en Europa sobre todo en la Administración Pública. Métodología cualitativa.

PRIMA (PREVENCIÓN DE RIESGOS INFORMÁTICOS CON METODOLOGÍA ABIERTA) – – – –

Desarrollada entre los años 1990 y la actualidad. Adaptable a cualquier tipo de herramienta. Enfoque subjetivo. Contiene listas de ayuda y cuestionarios abiertos.

En bases a unos cuestionarios se identifican vulnerabilidades y riesgos, se evalúa el impacto, para más tarde identificar las contramedidas y el coste. La siguiente etapa es la más importante que mediante un juego de simulación (¿Qué pasa si..?) Analizamos el efecto de las distintas contramedidas en la disminución de los riesgos analizados, eligiendo el plan de contramedidas (plan de seguridad) que compondrá el informe final de la evaluación.

Funcionamiento del software de análisis de riesgo

Plan de Contingencias Es una estrategia planificada constituida por un conjunto de recursos recursos de respaldo, una organizació organización de emergencia y unos procedimientos de actuació actuación, encaminada a conseguir una restauració restauración progresiva y ágil de los servicios de negocio afectados por una paralizació paralización total o parcial de la capacidad operativa de la empresa.

Esta estrategia materializada en un manual es el resultado de todo un proceso de análisis y definiciones que es lo que da lugar a las Metodologías.

El concepto a considerar es la continuidad del negocio, negocio es decir todo lo que puede paralizar la actividad y producir pérdidas. Todo lo que no considere este criterio no será nunca un plan de contingencias.

Plan de Contingencia FASES DE UN PLAN: I ) Aná Análisis y diseñ diseño: Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo y se analiza el costo-beneficio de las mismas. Esta es la fase más importante pudiendo llegarse al final de la misma incluso a la conclusión de que no es viable o es muy costoso su seguimiento. En la forma de desarrollar esta fase se distinguen dos familias metodológicas: Risck Analisis: se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan (registros de incidentes escasos y poco fiables). Bussines Impact: se basan en el estudio del impacto (pérdida económica o de imagen) que ocasiona la falta de algún recurso de los que soporta la actividad del negocio.

II ) Desarrollo del plan: Se desarrolla la estrategia seleccionada, implantándose hasta el final todas las acciones previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los procedimientos de actuación generando así la documentación del plan. III ) Pruebas y mantenimiento: Se definen las pruebas (sus características y ciclos) Comprobación del trabajo realizado: primera prueba Concienciación al personal implicado (mentalización) Además se define: la estrategia de mantenimiento, la organización destinada a ello y la normativa y procedimientos necesarios para llevarlo a cabo.

Metodologías de Auditoría Informática:

Auditorí Auditoría de controles generales: como producto estándar de las compañías auditoras profesionales, que son una homologación de las mismas a nivel internacional. •

Su objetivo es dar una opinión sobre la fiabilidad de los datos del ordenador para la auditoría financiera.

•

El resultado externo es un escueto informe como parte del informe de auditoría donde se destacan las vulnerabilidades encontradas.

•

Basadas en pequeños cuestionarios estándares, que dan como resultado informes muy generalistas. Tienen apartados para definir “pruebas” y anotar sus resultados que las diferencia de las metodologías de análisis de riesgos.

Metodologí Metodologías de los auditores internos: Debe ser diseñada y desarrollada por el propio auditor y ésta será la significación de su grado de experiencia y habilidad. •

El auditor informático necesita de una larga experiencia tutelada y una gran formación tanto auditora como informática.

•

El esquema metodológico del auditor está definido por el Plan auditor.

Plan auditor informático Es el esquema metodoló metodológico má más importante del auditor informá informático. En este documento se debe escribir todo sobre esta funció función y el trabajo que realiza en la entidad. Debe estar en sintoní sintonía con el plan auditor del resto de los auditores de la entidad. Las partes de un plan auditor informático deber ser al menos las siguientes: •

Funciones: ubicación de la figura en el organigrama de la empresa. Debe existir una clara segregación de funciones con la Informática y de control interno informático. Deben describirse las funciones de forma precisa y la organización interna del departamento con todos sus recursos.

•

Procedimientos para las distintas tareas de las auditorí auditorías: as: procedimientos de apertura, entrega y discusión de debilidades, entrega de informe preliminar, cierre de auditoría, redacción de informe final, etc.

•

Tipos de auditorí auditorías que realiza: metodologías y cuestionarios de las mismas. Existen tres tipos de auditorías según su alcance: Full o completa de un área (Ejemplo: control interno, informática) Limitada a un aspecto (Ejemplo: una aplicación, la seguridad lógica, el software de base, etc) Corrective Action Review (CAR) que es la comprobación de acciones correctivas de auditorías anteriores.

Plan auditor informático •

Sistemas de evaluació evaluación y los distintos aspectos que evalú evalúa (como nivel de gestión económica, gestión de recursos humanos, cumplimiento de normas, etc y realizar una evaluación global de resumen para toda la auditoría. Esta evaluación suele hacerse en tres niveles: bien, regular o mal, significando la visión de grado de gravedad. Esta evaluación final nos servirá para definir la fecha de repetición de la misma auditoría en el futuro según el nivel de exposición que se le haya dado a este tipo de auditoría en cuestión.

•

Nivel de exposició exposición (un número del 1 al 10 definido subjetivamente y que me permite en base a la evaluación final de la última auditoría realizada sobre ese tema definir la fecha de la repetición de la misma auditoría.

•

Seguimiento de las acciones correctoras.

•

Plan de trabajo anual deben estimarse tiempos de manera racional y componer un calendario que una vez terminado me dará un resultado de horas de trabajo previstas y por tanto los recursos que se necesitarán.

Herramientas para la auditoría de los SI Algunos ejemplos de CAAT CAAT (Computer Assisted Audit Tools) algunos ejemplos de productos y empresas:

ACL, IDEA, Symantec y Computer Associates ACL e IDEA herramientas canadienses más conocidas en el mercado profesional: ACL es una herramienta basada en comandos orientado a usuarios con mayor nivel de conocimientos técnicos. http://www.acl.com/Default.aspx (Grupo BIMBO – Material de consulta: www.acl.com/customers/success_stories.aspx

IDEA es una herramienta intuitiva orientado a usuarios finales no técnicos. http://www.caseware.com/products/idea

Herramientas gratuitas: http://www.bsa.org/country/Tools%20and%20Resources/Free%20Software%20Audit%20Tools.aspx Herramientas de auditoría gratuitas diseñadas para ayudarle a auditar, identificar y rastrear software licenciado y no-licenciado instalado en sus computadoras y servidores. Las auditorías son un componente clave de cualquier programa de software asset management (gestión del software).

La Evidencia La evidencia en la Auditorí Auditoría Informá Informática es la base razonable de la opinió opinión del Auditor, esto es el Informe de Auditorí Auditoría Informá Informática. La evidencia que debe obtener el auditor consiste en una amplia gama de informació información y datos que lo puedan ayudar a elaborar su informe final.

La evidencia tiene una serie de calificativos: La evidencia relevante, relevante que tiene una relación lógica con los objetivos de la auditoría. La evidencia fiable, fiable que es válida y objetiva. La evidencia suficiente, suficiente que es de tipo cuantitativo para soportar la opinión profesional del auditor. La evidencia adecuada, adecuada que es de tipo cualitativo para afectar a las conclusiones del auditor.

Los Papeles de Trabajo Se conoce como papeles de trabajo “la totalidad de los documentos preparados o recibidos por el auditor, auditor, de manera que, en conjunto, constituyen un compendio de la informació información utilizada y de las pruebas efectuadas en la ejecució ejecución del trabajo con las decisiones que ha debido tomar para llegar a formarse su opinió opinión.” n.”

La documentación además de fuente know how del Auditor Informá Informático para trabajos posteriores así como para poder realizar su gestión interna de calidad, es fuente en algunos de casos en los que la corporació corporación profesional puede realizar un control de calidad o hacerlo algú algún organismo oficial. Los papeles de trabajo pueden llegar a tener valor en los Tribunales de Justicia.

Objetivos de los Papeles de Trabajo:

•

Proporcionar la información básica y fundamental necesaria para realizar la planeación, organización y desarrollo de todas las etapas del proceso de auditoría.

•

Respaldar la opinión del auditor permitiendo realizar un examen de supervisión y proporcionando los informes suficientes y necesarios que serán incluidos en el informe de auditoría, además sirve como evidencia en caso de presentarse alguna demanda.

•

Permiten establecer un registro histórico disponible permanentemente en caso que se presente algún requerimiento.

•

Servir como referencia para posteriores auditorías.

•

Servir de puente entre el informe de auditoría y las áreas auditadas.

Informe de Auditoría Informática – Esquema y Contenido El Informe de Auditorí Auditoría Informá Informática es la comunicació comunicación formal del Auditor al cliente, tanto del alcance de la auditorí auditoría (objetivos, perí período de cobertura, naturaleza y extensió extensión del trabajo realizado) como de los resultados y conclusiones.

En lo referente a su redacció redacción el informe debe ser claro, adecuado, suficiente y comprensible. comprensible.

Aunque no existe un formato vinculante, existen esquemas recomendados con los requisitos mí mínimos aconsejables respecto a estructura y contenido:

1. Identificació Identificación del informe: el título del informe deberá identificarse con objeto de distinguirlo de otros informes. 2. Identificació Identificación del cliente: deberán identificarse a los destinatarios y a las personas que efectúen el encargo. 3. Identificació Identificación de la entidad auditada: es decir de la entidad objeto de la auditoría informática. 4. Objetivos de la Auditorí Auditoría Informá Informática: para identificar su propósito, señalando los objetivos incumplidos. 5. Normativa aplicada y excepciones: excepciones normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el posible impacto en los resultados de la auditoría. 6. Alcance de la Auditorí Auditoría: naturaleza y extensión del trabajo realizado: área organizativa, período de auditoría, sistemas de información, señalando limitaciones al alcance y restricciones del auditado. 7. Conclusiones: Informe corto de opinión; debe contener uno de los siguientes tipos de opinión: favorable o sin salvedades, con salvedades, desfavorable o adversa y denegada.

Informe de Auditoría Informática – Esquema y Contenido

8. Resultados: Informe largo y otros informes; los usuarios desean saber más y desean transparencia como valor añadido. El límite lo marcan los papeles de trabajo o documentación de la Auditoría Informática, pero existen aspectos a tener en cuenta: el secreto de la empresa, el secreto profesional, etc. 9. Fecha del Informe: Informe es importante no sólo por la cuantificación de honorarios y el cumplimiento con el cliente, sino para conocer la magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y conclusión del trabajo de campo, incluso la del cierre del ejercicio, si es que se está realizando un Informe de Auditoría Informática como herramienta de apoyo a la Auditoría de Cuentas. 10. Identificació Identificación y firma del Auditor: Auditor Este aspecto es formal del informe, es esencial tanto si es individual como si forma parte de una sociedad de auditoría, que deberá corresponder a un socio o socios legalmente así considerados. 11. Distribució Distribución del Informe: Informe En el contrato o en la carta propuesta del Auditor Informático, deberá definirse quién o quienes podrán hacer uso del informe así como los usos concretos que tendrá, pues los honorarios deberán guardar relación directa con la responsabilidad civil.

Informe de Auditoría Informática

•

Las recomendaciones deben ser razonables, verificables, interesantes económicamente y adecuadas al tamaño de la organización.

•

Debe tener un tono constructivo. Si es apropiado se anotan los puntos fuertes.

•

El lenguaje utilizado debe contener un mínimo de términos técnicos.

•

Para su distribución se debe preparar un resumen del informe.

•

Después de la revisión del informe final con los responsables del área revisada se debe distribuir a las otras personas autorizadas.

•

El área tiene la posibilidad de aceptar o rechazar cada punto de control. Todos los puntos rechazados se explicarán por escrito. El área acepta los riesgos implícitos de la debilidad encontrada por el auditor.

•

Se debe hacer un seguimiento de la implantación de las recomendaciones, para asegurarse que el trabajo de revisión produce resultados concretos. (Auditoría Interna)

Fuente: Auditoría de Tecnologías y Sistemas de Información, Mario Piattini Velthuis, Emilio del Peso Navarro, Mar del Peso Ruiz. Auditoría Informática – Un enfoque práctico, Mario Piattini Velthuis, Emilio del Peso Navarro.