REVISTA DE AUDITORIA 1
Facultad de ciencias económicas JUNIO DE 2017
AUTORIDADES UNIVERSITARIAS
Dra. MAE. Judith Virginia Mendoza de Díaz
Rectora de la Universidad Modular Abierta
Licda. MAE. Anabella Martínez Flamenco
Decana de la Facultad de Ciencias Económicas
REDACCIÓN Y EDICIÓN
Aurora de la Paz Andrade
Ana Jeannette Pimentel
Mayra Elizabeth Pocasangre Miranda
Mirna del Rosario Martínez de Parada
Manuel Antonio Ortiz Cruz
Universidad Modular Abierta, Facultad de Ciencias Económicas
1° Calle Poniente No. 2817, San Salvador, El Salvador. Teléfono PBX (503) 2260-5320
•
i
CONTENIDO PAGINA
I. Presentación e Historia de las TIC 1
II. Conceptos de Auditoría a las TIC
III. Beneficios de la Auditoría a las TIC
2
4
IV. La Auditoría en el Sector Gubernamental 5
V. La Auditoría de Sistemas en la Educación
de la UMA
VI. La auditoría a las TIC efectuada por
firmas privadas de Auditoría
8
9
VII. Antecedentes de la Auditoría a las TIC en
El Salvador 10
VIII. Regulaciones para las auditoria a las TIC
en el sector privado y gubernamental 11
IX. Auditoría TIC 12
X. Metodología para la auditoría a las TIC
XI. Conocimiento preliminar
13
14
XII. Análisis de los recursos TIC y plataforma
tecnológica 16
XIII. Análisis de los indicadores de TIC
XIV. Riesgo de Auditoría de TIC
17
18
XV. Técnicas y estándares de auditorías a las
tecnologías de información y
comunicación
19
XVI. Tipos de auditoria a las tic
XVII. Auditoría a los sistemas de Información
XVIII. Auditoría a las aplicaciones en
producción y Desarrollo
XIX. Auditoría al Control de Cambios
XX. Auditoría a la gestión de Incidentes
XXI. Auditoría a la Administración de la base
de datos
XXII. Auditoría a las inversiones en proyectos
de sistemas
XXIII. Auditoría a la Infraestructura
Tecnológica
XXIV. Auditoría a la Seguridad de la
Información
XXV. Auditoría a la administración de los
servicios WEB
23
24
25
29
29
30
32
33
38
42
ii
XXVI. Auditoría a la Informática Forense 43
XXVII. Perfil del Auditor de TIC 45
XXVIII. Certificaciones para auditores de TIC
en el salvador e internacionales
48
XXIX. Contenido del informe de auditoría A
LAS TIC
51
1
I. PRESENTACION
La Universidad Modular Abierta,
UMA, presenta esta revista digital en
la página web a la cual podrá acceder
toda la población que labora en el
campo de la auditoría que necesite
conocer e implementar
procedimientos de auditoría a las
tecnologías de información y
comunicación. (TIC)
El contenido de esta revista sirve de
herramientas para las demás clases
de auditoria, como financieras,
operativas, ambientales, integrales,
de gestión entre otras, que evalúan
procesos en las entidades que se
encuentran soportados con TIC.
En el Salvador los avances
tecnológicos han ocurridos
lentamente, ya que fue hasta 1996 en
que la PTT empresa de
Telecomunicaciones Pública fue
privatizada, creando más
competencia con la introducción de
nuevas tecnologías en la Telefonía
fija, móvil, larga distancia, datos,
Internet, Redes Virtuales Privadas
(VPN), conexiones WiFi en áreas
públicas, Tecnologías para celulares
(PCS, GSM), Telefonía fija
inalámbrica, Internet en casa, ISDN,
entre otros.
HISTORIA DE LAS TIC
El Internet surgió en 1969 en Estados Unidos. En El Salvador se logró conectividad de forma dedicada en diciembre de 1995. Las investigaciones desarrolladas a principios de los años 80, permitieron la convergencia de la electrónica, informática y telecomunicaciones posibilitando, la interconexión entre redes. En esos años aparecieron en el País las primeras computadoras de cuarta generación, caracterizadas por el uso de circuitos integrados de alta escala de integración. en 1994 surgió el grupo administrador de nombres de dominio conocido como SVNET constituido por Universidad Centroamericana José Simeón Cañas (UCA), Consejo Nacional de Ciencia y Tecnología (CONACYT), Universidad de El Salvador (UES), Universidad Don Bosco, Asociación Nacional de Telecomunicaciones (ANTEL), Fundación Salvadoreña para el Desarrollo Económico y social (FUSADES), con la misión de administrar localmente un conjunto de direcciones “Internet Protocol” (IP) Assigned Numbers Authority (CANN) y el dominio de Nivel Superior para El Salvador, SV.
2
II. CONCEPTOS DE AUDITORIA A LAS TECNOLOGÍAS DE
INFORMACIÓN Y COMUNICACIÓN
La Auditoría de Tecnología de
Información es el proceso de
recolectar y evaluar la evidencia para
determinar si los Sistemas de
Información y los recursos
relacionados (base de datos, redes,
aplicaciones, personal,
infraestructura, presupuesto, etc.)
protegen adecuadamente los activos,
mantienen los datos y la integridad
del Sistema de Información, proveen
información relevante y confiable.1
Partimos de la definición de auditoría
que proporciona una organización
como ISACA, según la cual la
auditoría es un proceso sistemático
por el cual un equipo o una persona
calificada, competente e
independiente, obtiene y evalúa
objetivamente la evidencia respecto
a las afirmaciones acerca de un
proceso con el fin de formarse una
1 https://delgadocaramutti.wordpress.com/ Auditoría de tecnología de la Información. Universidad señor de Sipán, PERU.
opinión sobre el particular e
informar sobre el grado de
cumplimiento en que se implementa
dicha afirmación.
3
Datos: Son objetos de información, los cuales pueden ser externos o internos, estructurados y no estructurados del tipo gráfico, sonido, imágenes, números, palabras y de otra índole, entre otros. Información: Datos que han sido organizados, sistematizados y presentados de manera que los patrones subyacentes resulten claros. Tecnología: Conjunto ordenado de instrumentos, conocimientos, procedimientos y métodos aplicados a las áreas.
Tecnologías de la Información y la Comunicación (TIC): Se refiere al conjunto de tecnologías que permiten la adquisición, producción, almacenamiento, tratamiento, comunicación, registro y presentación de la información.
Sistema de Información (SI): Conjunto de procesos y recursos de información organizados con el objetivo de proveer la información necesaria (pasada, presente, futura) en forma precisa y oportuna para apoyar la toma de decisiones en una entidad.
Software de Aplicación: Es un elemento de los Sistemas de Información, es un conjunto de programas de computador diseñados y escritos para realizar tareas específicas del negocio y que
permiten la interacción entre el usuario y el computador.
Sistemas de comunicación: Se refiere a la tecnología que se emplea para el intercambio de información.
Confidencialidad de la información: Se refiere a la protección de la información crítica contra su divulgación no autorizada.
Integridad de la información: Se vincula con la exactitud y la totalidad de la información así como también con su validez de acuerdo con los valores y las expectativas de la entidad.
Confiabilidad de la información: Se vincula con la provisión de la información adecuada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de presentación de reportes financieros y de cumplimiento.
Disponibilidad de la información: Se vincula con el hecho de que la información se encuentre disponible cuando el proceso la requiera.
Técnicas de Auditoría Asistidas por Computador (TAAC): Se refiere a las técnicas de auditoria que contemplan herramientas informáticas con el objetivo de realizar más eficazmente, eficientemente y en menor tiempo pruebas de auditoria.
4
III. BENEFICIOS DE LA
AUDITORÍA A LAS TIC
En la actualidad, las empresas
administran cada gasto el cual es
mirado con lupa antes realizar una
inversión en el negocio. De este
modo, es vital saber los beneficios
que aporta realizar una auditoría a las
TIC.
Podemos destacar brevemente los 3
beneficios principales:
Aseguramiento del
cumplimiento legal.
Aseguramiento de la seguridad
a niveles de autenticidad,
integridad, confidencialidad,
disponibilidad, teniendo en
cuenta que una pérdida de datos
puede
suponer un cierre de negocio
tanto por su repercusión social y
la confianza de los clientes. Aseguramiento de la eficacia; el éxito
de un sistema TI está en su utilidad.
Actualmente no se tiende a auditarlo,
algo sencillo con una buena
monitorización.2
2 https://oscarvasan21.wordpress.com/2010/06/02/
concepto-de-auditoria-de-tecnología-de-Información
Enfoque de la auditoría de Tecnologías de la Información y la Comunicación según los objetivos: a) Enfoque a las Seguridades:
Evalúa las seguridades implementadas en los sistemas de información con la finalidad de
b) mantener la confidencialidad, integridad y disponibilidad de la información.
c) Enfoque a la Información: Consiste en evaluar la estructura, integridad y confiabilidad de la información gestionada por el sistema de información.
d) Enfoque a la Infraestructura tecnológica: Evalúa la correspondencia de los recursos tecnológicos en relación a los objetivos previstos.
e) Enfoque al Software de Aplicación: Verifica la eficacia de los procesos y controles inmersos en el software de aplicación, que el diseño conceptual de éste cumpla con el ordenamiento jurídico administrativo vigente.
f) Enfoque a las Comunicaciones y Redes: Examina la confiabilidad y desempeño del sistema de comunicación para mantener la disponibilidad de la información.
5
IV. LA AUDITORIA EN EL SECTOR GUBERNAMENTAL
La Ley de la Corte de Cuentas de la República y Normas de Auditoría Gubernamental Conceptos generales:
Esta normativa expresa que la auditoría es “el examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con políticas, prácticas, procesos y procedimientos en materia de Tecnologías de la Información y la Comunicación, para expresar una opinión independiente respecto: i) A la confidencialidad, integridad,
disponibilidad y confiabilidad de la información.
ii) Al uso eficaz de los recursos tecnológicos.
iii) A la efectividad del sistema de control interno asociado a las Tecnologías de la Información y la Comunicación.
Con la autorización del Señor
Presidente de la Corte de Cuentas de
la República, se entrevistó a la
Licenciada Delmy del Carmen
Romero Arévalo, Directora de
Auditoria Siete y responsable de las
Auditorias a las Tecnologías de
Información y Comunicación en el
Sector Gubernamental.
Objetivo de la entrevista:
Conocer el desarrollo de las
auditorías a las TIC´S que realiza la
Corte de Cuentas de la República.
1. ¿Desde cuándo la Corte de
Cuentas realiza auditorías a las
tecnologías de información y
comunicación?
R/ Desde el año 2005.
2. ¿Qué normativa es la que ha
emitido la Corte para realizar la
Auditoria a Instituciones del
Estado con base a las TIC´s.?
R/ En las Normas de Auditoría
Gubernamental, ha sido incluido un
Capítulo para el desarrollo de las
auditorías a las TIC´s; asimismo,
contiene los elementos que
conforman el desarrollo de las
distintas fases de la auditoría, que
también son aplicables a las
auditorías, que también son
aplicables a las auditorías a las TIC´s.
Manual de Auditoría
Guía de Auditoría a las TIC´s
6
3. ¿Cuenta la Corte de Cuentas con
Instrumentos para realizar las
Auditorias a Instituciones del
Estado con base a las TIC´s, de
ser afirmativa, cuáles son?
R/Se utiliza el programa ACL, para el
análisis de datos.
Instrumentos que cada entidad tiene
implementados, para efectos de
gestionar las TIC.
4. ¿A cuántas entidades se les
practica auditoria a las TIC´S?
R/ Se tiene la facultad para realizar
auditoría a las TIC A todas las
entidades públicas, entre las que
figuran: Gobierno central, entidades
autónomas y municipalidades; sin
embargo debido a la capacidad
instalada, únicamente se realiza un
promedio de auditorías a las TIC
anuales.
5. ¿Cuál es la periodicidad con la
que se realizan las auditorías a las
TIC´S en las entidades?
R/ Tomando en cuenta la capacidad
instalada de la Dirección de auditoría
que audita a las TIC´s, se realizan
auditorías cada 3 años a las
entidades que están más autorizadas
en sus procesos.
6. ¿Cuántas auditorías a las TIC´S
realizan por año?
R/ Un promedio de 14 auditorías.
7. ¿Cuál es la capacidad instalada
con los que cuenta la Corte de
Cuentas para realizar las
auditorías a las TIC´s?
R/ 7 Jefes de Equipos y 12 Auditores.
8. ¿Cuál es el proceso para la
realización de la Auditoría de la
TIC´S?
R/ Se sigue el mismo proceso
establecido para realizar las demás
clases de auditoría; planificación,
examen e informe. Enfatizando en las
fases de planificación y examen en el
análisis de la seguridad, bases de
datos y servicios de soporte que
brindan las unidades de TIC en apoyo
a la gestión y misión que desarrollan
las entidades públicas.
9. ¿Cuál es el objetivo que se
persigue con realizar éste tipo de
Auditorias?
R/ Coadyuvar con las entidades
públicas, para que optimicen la
inversión y capacidad instalada en
materia de TIC, para el desarrollo de
la gestión que tienen encomendada
con eficiencia, eficacia y economía.
10. ¿Cuál es el alcance y enfoque de
éste tipo de auditorías?
7
R/ Economía, eficiencia, eficacia y
seguridad y confiabilidad de la
información generada haciendo uso
de las TIC.
11. ¿A cuales áreas o procesos les
realizan la auditoria a las
entidades?
R/ Unidades responsables de la
gestión de las TIC y los usuarios o
Unidades Organizativas operativas y
administrativas, que tienen
automatizados sus procesos y
servicios a usuarios internos y
externos.
12. ¿Qué impactos han generado las
auditorías a las TIC´s que ésta
Corte ha practicado a las
Instituciones del Estado?
R/ - Se ha fortalecido el uso de TIC
en los procesos operativos y
administrativos de las entidades
auditadas.
- Se ha optimizado y documentado
la inversión en TIC.
- Ha sido emitida normativa para
regular el uso de las TIC, lo que ha
permitido establecer e implementar
aspectos básicos para la gestión
de TIC.
13. ¿Son coordinada y apoyadas las
auditorías a las TIC´S por otras
entidades, para la aplicación de
técnicas actualizadas, si su
respuesta es positiva cuáles son?
R/ No.
14. ¿Cuenta la Corte de Cuentas a los
algunos proyectos que
contribuyan a mejorar el desarrollo
de las Auditorias a la TIC´S?
R/ Se están gestionando
capacitaciones para los auditores
TIC, a fin de actualizar sus
conocimientos.
Se están utilizando programas para
análisis de bases de datos que
permitirán evaluar con mayor énfasis
las mismas.
Actualización de Normas de Auditoría
con base a las ISSAI, fortaleciendo la
capacidad de los auditores con las
mejores prácticas internacionales.3
3 Licda. Delmy del Carmen Romero Arévalo Directora Auditoría 7, Corte de Cuentas de la Rep.
8
V. LA AUDITORIA DE
SISTEMAS EN LA
EDUCACIÓN DE LA UMA
4El día lunes 21 de febrero de 2017,
se entrevistó a la Licenciada Vilma
Anabella Martínez Flamenco, Decana
de la Facultad de Ciencias
Económicas de la Universidad
Modular Abierta, manifestando que la
en el plan de estudios la materia de
Auditoría de sistemas está
incorporada en las carreras de
Contaduría Pública y Licenciatura en
Informática, desde el año 1997,
aproximadamente.
El objetivo que se persigue con
brindar ésta materia es por la
importancia en la Carrera de
Contaduría en la práctica de la
Auditoría de Sistemas, y en el
aprendizaje de los alumnos en el
conocimiento de herramientas
tecnológicas que aplicarán a los
procesos de las organizaciones que
están soportados con sistemas de
información, dado que la tecnología
4 Licda. Vilma Anabella Martínez Flamenco Decana de la Facultad de Ciencias Económicas Universidad Modular Abierta - UMA
es clave para evaluar los sistemas de
información y la tecnología que los
soporta.
Entre los temas más importantes que
se ofrecen en la materia para el
desarrollo del proceso de la auditoría
se mencionan los siguientes:
Generalidades de la auditoría de
sistemas, organización de la
auditoría, áreas de aplicación de la
auditoría, como la seguridad física,
lógica, confidencialidad de la
información, características de la
información, seguridad en la
utilización de equipos, procesamiento
de respaldo, ciclo de -vida de un
sistema de información,
procesamiento de la información,
evaluación de los controles
generales, de acceso, controles de
entrada, proceso y salida, control de
aplicaciones, bases de datos y de
comunicaciones, riesgos, evidencia,
puntos clave del control, ejecución e
informe de la auditoría.
Entre los estándares internacionales
que se imparten para la enseñanza
de la Auditoria de sistemas se basan
en normas internacionales como ISO,
COBIT, ITIL y aplicaciones de
Microsoft.
La materia de auditoría de sistemas
es apoyadas por docentes
profesionales en sistemas que
conocen de tecnología y son
auditores, con el fin de que no hayan
limitantes en la enseñanza de
auditoría y en la aplicación de
técnicas actualizadas y prácticas en
9
los temas de seguridad de los
sistemas.
La periodicidad en la actualización de
los temas que se imparte en la
materia de Auditoría a las TIC´s ha
sido en el último plan de estudios es
de 2014 – 2018, se busca que los
docentes estén actualizados en las
herramientas y experiencia en el
campo.
En relación con algunos proyectos
que contribuyan a mejorar la
enseñanza práctica de las Auditorias
a la TIC´, se han realizado en la
preespecialidad de la Carrera de
Contaduría Pública.
VI. LA AUDITORIA A LAS TIC
EFECTUADA POR FIRMAS
PRIVADAS DE AUDITORIA
5Entrevista con el Licenciado Luis
Alfredo Siliézar, Managing Partner
Audit, de la empresa DELOITTE El
SALVADOR, S.A. DE C.V., es una
empresa con presencia global en más
de 150 países y más de 225,000
5 Licenciado Luis Alfredo Siliézar, Managing Partner Audit, de la empresa DELOITTE El SALVADOR, S.A. DE C.V
profesionales. Deloitte brinda su
experiencia y profesionalismo al 80%
de las multinacionales más
importantes, así como a empresas
locales, instituciones públicas y
Compañías de rápido crecimiento, las
oficinas están ubicadas en Edificio
Avante Penthouse Oficinas 10-01 y
10-03, Urbanización Madre Selva,
Antiguo Cuscatlán. La Libertad, San
Salvador, El Salvador,
Entre los tipos de auditoría que
realiza la empresa son las Auditorías
Financieras y se aplican como apoyo
Auditoría Fiscal, teniendo mayor
demanda las instituciones bancarias,
por el elevado grado de
automatización y se auditorías
integradas.
En cuanto a los servicios de auditoría
a las tecnologías, se apoyan de
técnicos e Ingenieros en Sistemas,
para las evaluaciones de los sistemas
de información con seguridad del
acceso, temas de hackeo ético,
conocer las vulnerabilidades para
hacer el plan de acción y corregir.
Asimismo evalúan los planes de
continuidad de negocios, planes
contingenciales.
10
En las organizaciones que tienen los
procesos automatizados, se enfoca
las evaluaciones de la auditoría a las
tecnologías de Información hacia los
grandes aspectos:
1- Evaluación de los controles
generales de Tecnología de
Información a nivel de
Seguridad de accesos
(administración de altas y
bajas de usuarios), solicitudes
y rastreos, que no hayan
usuarios que tengan un
superusuario.
2- Evaluación de centro de datos
y operaciones de red,
seguridad física y accesos.
3- Evaluación a los cambios de
datos y programas y ejecución
de rutinas
4- Sistemas operativos,
procesamiento de datos y
controladores de dominio en
plataforma web.
5- Controles de autorización de
Información con base a
protocolos de seguridad.
El tiempo que se involucra en el
trabajo de evaluación de TI a las
empresas con procesos altamente
automatizados es entre el 20% y
25%, en las demás organizaciones un
5%, del total de las horas de trabajo.
Entre los estándares y herramientas
que aplica para las auditorías,
mencionan change manager,
cambios organizacional cambio en
proceso, active de las personas,
optimización de procesos. Para
tecnología utilizan engagement
management System, a nivel de
análisis de data ACL (lenguaje de
comando de auditoría),
También prestan servicios de
acompañamiento en proyectos de
desarrollo de sistemas, para la
adquisición de los software,
implementación, aseguramiento de la
calidad, y en temas regulatorios. Si
no funciona un sistema con servicios
de acompañamiento, no es
responsabilidad de la empresa.
VII. ANTECEDENTES DE LA
AUDITORIA A LAS TIC EN
EL SALVADOR
Los primeros ordenadores y los
sistemas computacionales se
introdujeron paulatinamente a partir
de la década de los años sesenta. En
los años 80ʹs, con la llegada de los
computadores personales, se
expandió el uso de software y nuevas
tecnologías en diversas áreas de las
empresas; así como el uso de las
11
herramientas tecnológicas para el
procesamiento de la información
contable, siendo los auditores
encargados de realizar
procedimientos especiales que
requieren conocimientos de
informática. En ese punto, en
especial, se vio la necesidad de
enseñar temas afines a los
contadores, y fue así como la
Universidad de El Salvador en 1994
incorporó al plan académico de la
carrera de Licenciatura en Contaduría
pública, la cátedra de Sistemas
Contables computarizados y Auditoría
de Sistemas con un enfoque y
contenido que ha sido adecuado e
incorporado en otras universidades a
través de los años.
En el año 2003 la Federación
Internacional de Contadores (IFAC,
International Federación of
Accountants), emitió seis Normas
Internacionales de Educación (ES,
International Education Standards),
estableciendo en la número dos
“Contenido de los programas
profesionales de formación en
contaduría los temas que deben
cubrirse para el desarrollo de
conocimientos y competencias en el
área de tecnología de la información
y en la norma 7, publicada en 2004,
Para el año 2006, se pronunció el
Código de Ética para Profesionales
de la Contabilidad, En el 2007 publica
tres declaraciones sobre las Prácticas
Internacionales de Educación (IEPS,
International Education Practice
Statement) una de ellas, la segunda
figura bajo el título “Tecnología de
Información para Contadores
Profesionales“ y hace énfasis en la
necesidad tanto de conocimiento
teórico relevante en TI como de
habilidades prácticas para aplicar el
conocimiento conceptual, analizar,
sintetizar y evaluar información.
VIII. REGULACIONES PARA
LAS AUDITORIA A LAS TIC
EN EL SECTOR PRIVADO
El ente regulador de la profesión
contable en El Salvador, Consejo de
Vigilancia de la Profesión de
Contaduría Pública y Auditoría
(CVPCPA), en el año 2013 resolvió
adoptar el Código de Ética para
Profesionales de la Contabilidad, que
ha sido emitido por IFAC al igual que
las Normas Internacionales de
Auditoría (NIAS), éstas últimas, son el
marco de referencia para las
auditorias de estados financieros,
según acuerdo de 1999; pero también
son utilizadas para las auditorías de
sistemas puesto que aún no han sido
adoptadas las NIAS emitidas por
ISACA.
En la actualidad las Tecnologías de
Información y Comunicación están
presentes en nuestras vidas y la han
12
transformado. Esta revolución ha sido
propiciada por la aparición de
tecnología digital. La cual unida a la
aparición de ordenadores cada vez
más potentes y de menor tamaño, ha
permitido que la tecnología progrese
muy rápidamente y obtener avances
en la ciencia y nuestra arma más
poderosa es la información y el
conocimiento.
Aunque nuestro país no es un
productor de innovaciones
tecnológicas, tampoco está exento de
personas, empresas e instituciones
que permanecen atentos a las
posibles aplicaciones de los avances
más importantes en la informática, el
tratamiento digital y la transmisión a
distancia de la información, datos,
imágenes y otras formas de presentar
piezas de conocimiento y
comunicarse entre los seres
humanos.
Podemos apreciar un poco de estas
aplicaciones de la tecnología cuando
realizamos alguna transacción en un
banco, un almacén, un centro
comercial, un supermercado, una
institución pública y muchas
empresas de todo tipo, tamaño y
sector que cada vez más incorporan
computadoras, redes, impresores,
proyectores, cámaras digitales,
sensores, lectores de código de
barra, y varios otros dispositivos y
accesorios basados en tecnología
digital.
IX. AUDITORÍA TIC
Por sí sola, la palabra auditoría
transmite algo de respeto y un poco
de hermetismo. Si le añadimos el
TIC, ¿a qué nos estamos refiriendo?
Muchas preguntas surgen al respecto
de este concepto; ¿es obligatoria una
auditoría TIC?, ¿para quién y cada
cuánto?, ¿quién la puede
desarrollar?, ¿auditorías internas o
externas?, ¿qué beneficios se
obtienen?, ¿riesgos que pueden
surgir?, ¿son homogéneas o
dependen de quién las realiza?….
“Las auditorías TIC que se realizan a
día de hoy están centradas
exclusivamente en un porcentaje muy
alto en el cumplimiento de la
legislación vigente, principalmente
LOPD; sin embargo la propia
definición de auditoría deja el campo
abierto a que todos los servicios
se auditen contra cualquier norma-
estándar”.6
6 http://www.e-mas.co.cl/categorias /informática/historiacomp.htm
13
Bastaría con elegir un estándar-
norma que aplique a un sector
determinado y revisar el grado
de cumplimiento del servicio.
OBLIGACIÓN DE LA AUDITORÍA
TIC
La obligación de realizar una
auditoría TIC sólo la marca la ley
vigente, y en este caso la LOPD
establece que donde se traten datos
personales etiquetados dentro del
nivel medio o alto, los sistemas de
información e instalaciones de
tratamiento y almacenamiento de
datos se someterán, al menos cada
dos años, a una auditoría interna o
externa. Ahora ya sabemos de dónde
viene la razón de que las auditorías
TIC sean en su mayor caso auditorías
específicas para la ley LOPD.
X. METODOLOGÍA PARA LA AUDITORIA A LAS TIC
La metodología requiere de una adecuada planeación de la auditoría, para obtener
un conocimiento general razonable que permita conocer las características de
cada área de Tecnología de la Información y Comunicación dentro de la
organización que será auditada, como: Sistemas, procesos sistematizados,
normativa técnica utilizada por la entidad, adopción e implementación de
estándares internacionales relacionados con seguridad de la información, control
interno y servicios tecnológicos, organización y equipo físico y lógico. Ver
diagrama siguiente:7
7 Auditoría a las TIC, concurso OLACEFS, año 2009
14
XI. Conocimiento preliminar de las TIC de la Organización
Auditada
Figura: Visión sistemática de la auditoria informática
La Informática no gestiona propiamente a la organización, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de la misma, existe la Auditoría Informática o de tecnologías de información. Las organizaciones acuden a las auditorías externas e internas cuando existen síntomas perceptibles de debilidad. Estos pueden agruparse en clases: 8 a. Síntomas de descoordinación y
desorganización:
8 http://www.librosyeditores.com/tiendalemoine/ingenieria-sistemas-informatica/2823-una-vision-sistemica-de-la-auditoria-informatica-9588303281.html
No coinciden los objetivos de la gerencia de TI con los de la propia organización.
Los estándares de productividad se desvían de los promedios conseguidos habitualmente.
b. Síntomas de mala imagen e insatisfacción de los usuarios:
No se atienden las peticiones de cambios de los usuarios. cambios de software en los terminales de usuario, variación de los archivos.
No se reparan las averías de hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de
15
resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de aplicaciones críticas y sensibles.
c. Síntomas de debilidades
económico-financieras:
Incremento desmesurado de costos.
Necesidad de justificación de inversiones informáticas.
Desviaciones presupuestarias significativas.
Costos y plazos de nuevos proyectos.
d. Síntomas de Inseguridad:
Evaluación de nivel de riesgos
Seguridad lógica.
Seguridad física.
Confidencialidad. Para definir el tipo de auditoría a realizar, se debe conocer y analizar los recursos de TIC de la organización, para determinar el enfoque de la auditoría.
Asimismo, deberá analizar y evaluar los riesgos y controles internos implementados en la organización, definidos en el diagrama siguiente
9
9 XIX Congreso y feria Interamericana y Seguridad de la Información, Buenos Aire, marzo 2012 COBIT 5.
16
El auditor debe evaluar la gestión de la tecnología de la información, a través de la cultura organizacional, la infraestructura tecnológica, las mejores prácticas adoptadas por la Empresa, la evaluación de los riesgos de TIC y los procedimientos de controles internos aplicables a cada riesgo de Sistemas de Información, sean estos preventivos, detectivos o correctivos, como son para las áreas de: Desarrollo de Sistemas de
Información, Administración de los recursos de TI, la seguridad física, la continuidad de los sistemas, y el examen a la información, sobre: Seguridad, Fiabilidad, Conformidad, disponibilidad, oportunidad, exactitud, integridad y pertenencia entre otras características que debe de cumplir la información procesada en los sistemas, tal como se muestra en el siguiente diagrama.
XI. ANALISIS DE LOS RECUSOS TIC Y PLATAFORMA
TECNOLÓGICA10
10 Guía de Auditoría de gestión a las TIC, año 2016 Corte de Cuentas de la República,
17
XIII. Análisis de los indicadores de TIC11
Los indicadores pueden clasificarse con base a los que desee medirse de las TIC,
siendo los más importantes:
11 Guía de Auditoría de gestión a las TIC, año 2016 Corte de Cuentas de la República.
INDICADORES
Economía
• Análisis de recursos financieros (presupuestos ejecutado y programado • Planes de compra programados y ejecutados. • Precio y calidad en las adquisiciones de bienes y servicios de sistemas de
información
Eficiencia
• Funciones de la Unidad de TIC • Procesos automatizados
• Personal técnico capacitado
• Uso de los sistemas de información • Oportunidad en el monitoreo
• Estándares adoptados en la gestión de TIC • (recursos) • Soporte y control de cambios
• Seguridad lógica Perfiles usuarios
Eficacia
• Objetivos de los Planes de trabajo y su seguimiento
• Entrega de los servicios de sistemas a usuarios • Programas y proyectos de Sistemas de
información • Cumplimiento de actividades
• Confiabilidad de la información
Características de la información, por ejemplo: (oportunidad, exactitud, disponibilidad, confidencialidad, veracidad)
18
Para la evaluación de los controles internos y los riesgos el auditor deberá de planificar técnicas de auditoría, para la Recolección de Información y para la obtención de la
evidencia, a continuación se detallan algunas técnicas a aplicar:
XIV. RIESGO DE AUDITORÍA DE TIC 12
RIESGOS EN LA AUDITORÍA TIC
El riesgo en la auditoría es el riesgo existente a que los sistemas a detectar
puedan contener errores importantes que pueden no ser detectados durante el
curso de la auditoría. Hay diferentes tipos de riesgos de auditoría que conviene
matizar:
Riesgo inherente: existe un error que puede ser significativo cuando se
combina con otros errores.
Riesgo de control: los controles internos no detectan un error importante.
Riesgo de detección: el auditor utiliza métodos de prueba inadecuados y la
conclusión es que no hay errores significativos, cuando sí los hay. Guía de Auditoría de gestión a las TIC, año 2016 Corte de Cuentas de la
República,
específico.
12 Guía de Auditoría de gestión a las TIC, año 2016 Corte de Cuentas de la República
19
XV. TECNICAS Y ESTANDARES PARA EVALUACION DE LOS
CONTROLES INTERNOS EN LAS AUDITORIAS A LAS
TECNOLOGIAS DE INFORMACION Y COMUNICACIÓN13
Por qué combinar los Estándares: COBIT, ITIL, ISO 27000, 27001 en el gobierno
TIC 14
13 XIX Congreso y feria Interamericana y Seguridad de la Información, Buenos Aire, marzo 2012 COBIT 5. 14 XIX Congreso y feria Interamericana y Seguridad de la Información, Buenos Aire, marzo 2012 COBIT 5.
20
ISO/IEC 27001 es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la
seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution(BSI). La versión actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra
21
normalizada por el Instituto Colombiano de Normas y Técnicas y Certificación ICONTEC. Dicha norma es una adopción idéntica (IDT) por traducción de la norma ISO/IEC 27001:2013.15 Esta norma se encuentra dividida en dos partes; la primera se compone de 10 puntos entre los cuales se encuentran: 1. Objeto y campo de aplicación:
Especifica la finalidad de la norma y su uso dentro de una organización.
2. Referencias normativas 3. Término y definiciones: Los
términos y definiciones usados se basan en la norma ISO/IEC 27000.
4. Contexto de la organización: Se busca determinar las necesidades y expectativas dentro y fuera de la organización que afecten directa o indirectamente al sistema de gestión de la seguridad de la información. Adicional a esto, se debe determinar el alcance.
5. Liderazgo: Habla sobre la importancia de la alta dirección y su compromiso con el sistema de gestión, estableciendo políticas, asegurando la integración de los requisitos del sistema de seguridad en los procesos de la organización.
6. Planificación: Se deben valorar, analizar y evaluar los riesgos de seguridad de acuerdo a los criterios de aceptación de riesgos, adicional mente se debe dar un tratamiento a los riesgos de la seguridad de la información.
15 https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001
Los objetivos y los planes para logar dichos objetivos también se deben definir en este punto.
7. Soporte: Se trata sobre los recursos destinados por la organización, la competencia de personal, la toma de conciencia por parte de las partes interesadas, la importancia sobre la comunicación en la organización. La importancia de la información documentada, también se trata en este punto.
8. Operación: El cómo se debe planificar y controlar la operación, así como la valoración de los riesgos y su tratamiento.
9. Evaluación de desempeño: Debido a la importancia del ciclo PHVA (Planificar, Hacer, Verificar, Actuar), se debe realizar un seguimiento, medición, análisis y evaluación del sistema de gestión de la información.
10. Mejora: Habla sobre el tratamiento de las no conformidades, las acciones correctivas y a mejora continua.
Existen varios cambios con respecto a la versión 2005 en esta versión 2013. Entre ellos destacan: Desaparece la sección "enfoque a
procesos" dando mayor flexibilidad para la elección de metodologías de trabajo para el análisis de riesgos y mejoras.
Cambia su estructura conforme al anexo SL común al resto de estándares de la ISO.
Pasa de 102 requisitos a 130. Considerables cambios en los
controles, incrementando el número de dominios a 14 y disminuyendo el número de controles a 114.
22
Inclusión de un nuevo dominio sobre "Relaciones con el Proveedor" por las crecientes relaciones entre empresa y proveedor en la nube.
• Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
• El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. Certificación La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2. Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.
16
16 https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001
23
XVI. TIPOS DE AUDITORIA A LAS TECNOLOGÍAS DE
INFORMACIÓN Y COMUNICACIÓN 17
Del resultado de la evaluación de los recursos TIC a los controles internos, riesgos y estándares adoptados por la Institución, se definirán las áreas de examen descritas por tipo de auditoría, mencionando entre otras las siguientes:
TIPOS DE AUDITORÍA A LAS TIC:
Asimismo, podrá el auditor dar el enfoque del examen por el impacto que cada Área represente a la Institución, desglosándola en el orden de impacto y frecuencia:
1. Sistemas de Información 2. Aplicaciones en producción y desarrollo Y Metodología para desarrollo de
los sistemas 3. Control de cambios en los sistemas 4. Gestión de Incidentes 5. Administración de bases de datos 6. Inversiones en proyectos de sistemas 7. Infraestructura tecnológica (redes, servidores, sistemas operativos y
almacenamiento) 8. Administración de servicios web 9. Seguridad de la Información
17 Fuente: Guía de Auditoría a las Tecnologías de Información y Comunicación. Corte de Cuentas, Junio 2014
AUDITORIA AL DESARROLLO DE SISTEMAS
DE INFORMACION
AUDITORIA FORENSEA LAS
TIC
AUDITORIA A LA SEGURIDAD
DE LA INFORMACIÓN,
FISICA Y LOGICA
AUDITORIA AL CONTROL DE
CAMBIOS
AUDITORIA A LA INFRAESTRUCTURA
TECNOLÓGICA
PAGINA WEB
REDES ,
SERVIDORES , S.O. ALMACENAM.
AUDITORIA A LAS APLICACIO
NES Y PROCESAMIENTO DE DATOS
24
TAREAS DEL AUDITOR DE APLICATIVOS EN FUNCIONAMIENTO Las tareas principales del auditor de sistemas de aplicación en funcionamiento son: 1. Obtener una comprensión
profunda de cada aplicación a través del examen de la documentación y de la investigación.
2. Evaluar los controles incorporados a las aplicaciones para identificar sus fortalezas y en el caso, sus debilidades, y definir, en consecuencia los objetivos de control.
3. Probar los controles existentes para evaluar su funcionalidad, utilizando adecuados procedimientos de auditoria.
4. Evaluar el ambiente de control para determinar si se han alcanzado los objetivos del mismo al analizar los resultados de las pruebas.
5. Analizar la eficiencia y eficacia de las operaciones que componen la aplicación.
6. Verificar el grado de cumplimiento, a través de la aplicación, de los objetivos de la gerencia.
ENTRADA, PROCESO Y SALIDA Estos controles son: En un sistema computarizado
solamente se ingresen datos completos, exactos, válidos y autorizados por única vez.
La actualización de esos datos se efectúa en los momentos en que realmente corresponda y bajo las mismas condiciones de seguridad arriba señalados.
El procesamiento se realiza a tiempo y cumpliendo con el diseño aprobado del sistema.
Los datos se mantendrán protegidos y actualizados.
Las salidas, resultados de procesamiento, cumplen con las espectativas formuladas o esperadas.18
18 “LA AUDITORÍA A LOS SISTEMAS INFORMÁTICOS COMO
HERRAMIENTA DEL CONTROL FISCALIZADOR-OCEFSS 2009”
XVII. AUDITORIA A LOS SISTEMAS DE INFORMACIÓN
25
Concepto La Auditoría de aplicaciones es la revisión que se dirige a evaluar los métodos y procedimientos de uso de aplicaciones o sistemas de información en una entidad, con el propósito de determinar si su diseño y aplicación son correctos y comprobar el sistema de procesamiento de información como parte de la evaluación de control interno; con el fin de identificar aspectos susceptibles para mejorar o eliminarse. Las aplicaciones o sistemas de información son uno de los productos finales que genera la infraestructura de la Tecnología Informática en las organizaciones y por ende son el aspecto de mayor visibilidad desde la perspectiva de negocio. La importancia de una auditoria de aplicaciones radica en el control, eficiencia y eficacia de los sistemas informáticos. En el terreno de una aplicación informática, el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales: a realizar
normalmente por parte de personal del área usuaria.
Controles automáticos: Incorporados a los programas de la aplicación.
Controles que, según su finalidad, se suelen clasificar en:
Controles preventivos: Tratan de
ayudar a evitar la producción de
errores a base de exigir el ajuste de
los datos.
Controles detectivos: Tratan de descubrir a posteriores errores que no haya sido posible evitar.
Controles correctivos: Tratan de asegurar que se subsanen todos los errores identificados mediantes controles detectivos.
Objetivos de auditoría de aplicaciones.
Emitir opinión sobre el cumplimiento de los objetivos, planes y presupuestos
Evaluar el nivel de satisfacción de los usuarios del sistema
Emitir opinión sobre la idoneidad del sistema de la aplicación.
Verificar el grado de fiabilidad de la información.
Etapas de la auditoría de una aplicación informática: - Planificación de auditoría
- Recogida de información y documentación sobre la aplicación: Determinación de los objetivos y alcance de la auditoría
- Trabajo de campo, informe e implantación de mejoras
XVIII. AUDITORIA A LAS APLICACIONES EN PRODUCCIÓN
Y DESARROLLO
26
Procedimientos para evaluar la aplicación en producción y desarrollo: • Evaluar los proceso y/o funciones
de los sistemas (sustantivos, apoyo y administrativos), objetivo, área que lo utiliza, usuario responsable, base de datos, lenguaje de desarrollo, usuarios que lo operan, fecha de inicio e implementación, costo, tipo desarrollo, metodología, analista responsable del diseño y mantenimiento y el funcionamiento de los sistemas, así como su relación con otros sistemas de información.
• Normativa legal y técnica de los sistemas (manuales de usuario y técnico, diccionario de datos, diagrama entidad–relación, entre otros)
• Procedimientos de seguridad implementados en los sistemas como privilegios y roles de los usuarios, administración de contraseñas y respaldos de información del sistema y data
• Controles relacionados con la entrada de datos que desde su origen sean adecuadamente autorizados, clasificados, recolectados, preparados, transmitidos y tomados en cuenta por completo
• Evaluar que los datos sean validados y editados tan cerca cómo se pueda del punto de origen
• Proceso de control de calidad, de datos de entrada y de los resultados del procesamiento;
• Controles para el manejo de errores que facilite el exacto y oportuno proceso de los datos corregidos
• Controles del procesamiento de datos a través de los programas de aplicación, evaluando las adiciones, eliminaciones o alteraciones de datos no autorizadas durante el procesamiento;
• Revisión de reportes y/o consultas de salida de información, protegidos del acceso no autorizado, verificando su razonabilidad, distribución y accesos disponibles por los usuarios autorizados.
• Toda aplicación informática desarrollada internamente o adquirida de terceros, que incluya huellas de auditoría, haciendo pruebas de reversión de operaciones en los casos justificables;
• La información generada por los sistemas y contenida en las bases de datos debe de satisfacer tres criterios: confidencialidad, disponibilidad e integridad.19
19 LA AUDITORÍA A LOS SISTEMAS INFORMÁTICOS COMO
HERRAMIENTA DEL CONTROL FISCALIZADOR-OCEFSS 2009”
27
El ciclo de vida de los servicios de Tecnologías de Información con base a ITIL20
20 https://es.slideshare.net/jr_palaciosg/ciclo-de-vida-del-servicio-itil-operacin-del-servicio
28
La Auditoria informática de Aplicaciones pasa indefectiblemente por la observación y el análisis de estas consideraciones: a) Revisión de las metodologías
utilizadas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.
b) Control Interno de las
Aplicaciones, revisando las mismas fases que ha debido seguir el área de Desarrollo. 21
b.1) Estudio de Viabilidad de la
Aplicación b.2) Definición Lógica de la Aplicación b.3) Desarrollo Técnico de la
Aplicación b.4) Diseño de Programas b.5) Métodos de Pruebas b.6) Documentación b.7) Equipo de Programación c) Satisfacción de Usuarios. Una
Aplicación eficiente y bien desarrollada teóricamente, deberá servir a los intereses del usuario que la solicitó. Surgen nuevamente las premisas fundamentales de la informática eficaz: fines y utilidad. No puede desarrollarse de espaldas al usuario, sino contando con sus puntos de vista durante todas las etapas del Proyecto, para evitar reprogramaciones y disminuir el mantenimiento de la Aplicación.
21 Responsabilidad de la auditoría interna ante servicios tercerizados, Federación Latinoamericana de Bancos. Oct. 2011
d) Control de Procesos y Ejecuciones de Programas Críticos. La auditoría no debe descartar la posibilidad de que se esté ejecutando un módulo que no corresponda con el programa fuente que lo desarrolló, codificó y probó el área de Desarrollo de Aplicaciones.
La auditoría tendrá que comprobar fehaciente y personalmente la correspondencia biunívoca y exclusiva entre el programa codificado y el producto obtenido como resultado de su compilación y su conversión en ejecutables mediante la linkeditación (Linkage Editor).
Si los programas fuente y los programas módulos no coincidieran provocan graves retrasos y altos costos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial-informático. Esta problemática ha llevado a establecer una normativa muy rígida en todo lo referente al acceso a las Librerías de programas.
La auditoría de Explotación debe recepcionar programas fuente, asumirá la responsabilidad sin que nadie más tenga acceso de: 1. Copiar el programa fuente en la
Librería de Fuentes de Explotación.
2. Compilar y linkeditar ese programa, depositándolo en la Librería de Módulos de Explotación.
29
3. Copiar los programas fuente que les sean solicitados para modificarlos o arreglarlos, en el lugar que se le indique.
No obstante, además, la auditoria intervendrá los programas críticos, compilando y linkeditando nuevamente los mismos para verificar su legitimidad.
Principales controles:
• Política y procedimientos de
gestión de cambios y
versiones
• Control de accesos
• El proceso de gestión de
cambio en la Entidad, y;
• Monitorización y dirección de
todo el proceso de cambio.
Aspectos de análisis:
• Requerimientos solicitados.
• Porcentaje de requerimientos
aceptados y aprobados.
• Número de cambios realizados
clasificados por impacto y
prioridad y filtrados
temporalmente.
• Tiempo medio del cambio
dependiendo del impacto y la
prioridad
• Número de cambios de
emergencia realizados.
• Porcentaje de cambios
exitosos en primera instancia,
segunda instancia, etc.
• Número de back-outs (retiro)
con una detallada explicación
de los mismos.
• Evaluaciones post-
implementación.
• Porcentajes de cambios
cerrados sin incidencias
ulteriores. (cuando se
encuentra ubicado más allá
con respecto a otro).
• Incidencias asociadas a
cambios realizados.
Número de reuniones del CAB
(Comité de emergencia) con
información estadística, número de
asistentes, duración, números de
Cambios aprobados por reunión entre
otros.22
22 LA AUDITORÍA A LOS SISTEMAS INFORMÁTICOS COMO
HERRAMIENTA DEL CONTROL FISCALIZADOR-OCEFSS 2009”
XIX. AUDITORIA AL CONTROL DE CAMBIOS
XX. AUDITORIA A LA GESTIÓN DE INCIDENTES
30
CATEGORIAS DE LA CLAUSULA
GESTION DE INCIDENTES EN LA
SEGURIDAD DE LA INFORMACION
Reporte de eventos y debilidades.
Objetivo: Asegurar que los
eventos y debilidades sean
comunicados para su acción
correctiva.
Control: Procedimientos de
comunicación y reportes de
incidentes.
Lineamientos de reporte de
debilidades de los usuarios.
Gestión de incidentes y mejoras
en la seguridad de la información.
Objetivo: Asegurar que se aplique
la gestión de los incidentes en la
seguridad de la información.
Control: Documentación de
responsabilidades y
procedimientos de respuesta
rápida y efectiva a los incidentes.
Planes de contingencia y
recuperación.
Capacitación del personal técnico
informático
Proceso de gestión de incidentes
Entre los aspectos a evaluar dentro
del proceso de gestión de incidentes
tenemos:
Normativa que regule el proceso
de gestión de incidentes
Identificar y analizar la gestión de
incidentes de los usuarios de la
Entidad brindado por el área de
soporte a usuario.
Existencia de un sistema o
procesos para la administración o
manejo de los incidentes (Help
desk).
Evaluación del proceso de gestión
de incidentes con los usuarios para
medir la satisfacción del servicio.
Recursos tecnológicos de las
áreas de soporte de TIC, para
comprobar si estos cuentan con
herramientas y condiciones
necesarias para realizar su trabajo
técnico y la optimización de los
recursos tecnológicos.
Servicios outsourcing de
mantenimiento preventivo y
correctivo.
.
Administración de bases de datos
Entre los aspectos a evaluar en la administración de base de datos tenemos:
Internamente (tipo de lenguaje utilizado, archivos fuentes y ejecutables, fecha de ingreso a.
Plataforma, lenguajes de programación, archivos fuentes y ejecutables, fecha de ingreso a producción, versión actual.
Verificar la delimitación de funciones entre el DBA y analista programador, y encargado de realizar los respaldos;
Mantenimiento, administración y seguridad de la base de datos a
XXI. AUDITORIA A LA ADMINISTRACIÓN DE LA BASE DE DATOS
31
través del Cumplimiento de políticas aplicadas a la base de datos, la definición de privilegios y perfiles de usuarios que accedan y la utilización de software gestor de base de datos como (Toad, Structured Query Language (SQL), base de datos Artizan, mySQL, Firebird, Oracle, entre otros); y
Verificación de la implementación de huellas de auditorías a través de la administración de la actividad de datos (ingreso, modificación, eliminación, consulta) y gestión de incidentes.
Si las pruebas se realizan directamente con el funcionario responsable de la base de datos se deberá planificar previamente las técnicas de auditoría Asistidas con herramientas tecnológicas, dejando en los papeles de trabajo, constancia de la evidencia obtenida y levantar acta de los componentes evaluados. Una acta debe contener al menos los datos de fecha, lugar, Entidad, personas con las que se realizó la técnica de auditoría con herramientas de TIC, cargo, nombre del auditor o del equipo de auditores, objetivo de la prueba, nombre del aplicativo o módulos examinados, campos, tablas, detalle de instrucciones para obtener registros específicos (querys), hora de finalización, firma.23 Funciones y operaciones del negocio que ejecutan los sistemas:
23 LA AUDITORÍA A LOS SISTEMAS INFORMÁTICOS COMO
HERRAMIENTA DEL CONTROL FISCALIZADOR-OCEFSS 2009”
Modelo entidad/relación de las bases de datos de los sistemas.
Diccionario de datos de los modelos entidad/relación.
Inventario de documentos fuentes y otros medios de entrada de datos.
Personas claves que dan soporte técnico a la operación y mantenimiento de los sistemas.
Conocimientos de proveedores que prestan servicios de tecnologías de información. (datos del proveedor, año de adquisición, versión en producción, cantidad de usuarios con licencia, poseen programas fuentes y contrato de mantención).
Inventario de informes que producen los sistemas y destinatarios de los mismos.
Interfaces entre sistemas (información que reciben o proporcionan a otros sistemas).
Manuales existentes con la documentación técnica y del usuario.
Plataforma en la que funcionan los sistemas de información (sistema operativo, software de desarrollo y motor de base de datos utilizados).
32
Entre los aspectos a evaluar dentro de las inversiones en proyectos d sistemas tenemos: Detalle de los proyectos
relacionados con las TIC; Políticas y procedimientos
respecto a los proyectos; Identificar la existencia de
acuerdos de niveles de servicios
TIC, con un análisis de los
beneficios para los procesos
institucionales,
Análisis de mitigación de los
riesgos relacionados con la
capacidad de los proveedores
para mantener un efectivo
servicio de entrega de forma
segura y eficiente sobre una base
de continuidad;
Roles, responsabilidades y expectativas en los acuerdos con los terceros, y;
Revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos.24
La Infraestructura tecnológica
requiere de un amplio conocimiento y
análisis, conocer los avances
existentes en el mercado, los riesgos
de seguridad que afronta el uso de
24 LA AUDITORÍA A LOS SISTEMAS INFORMÁTICOS COMO
HERRAMIENTA DEL CONTROL FISCALIZADOR-OCEFSS 2009”
cada software y hardware para la
Institución.25
25 Fuente: Auditoría y Control en entornos bajo
Oracle David García Bastanchuri. Leganés, Junio
de 2013
XXII. AUDITORIA A LAS INVERSIONES EN PROYECTOS DE
SISTEMAS
33
INFRAESTRUCTURA TECNOLÓGICA DE LA ENTIDAD
Entre los aspectos a evaluar en la infraestructura tecnológica de la Entidad, tenemos: Centro de Datos Evaluar y verificar, si el ambiente físico en el sitio (data center) está bien protegido, dentro de las instalaciones necesarias y apropiadas con motivo de proteger los equipos de cómputo tenemos:
Políticas y procedimientos de administración de seguridad del centro de datos (data center que incluya procedimientos detallados de las acciones que se ejecutan a partir del monitoreo y utilización de los dispositivos instalados, así como el personal responsable);
Características de diseño y construcción, teniendo muy en cuenta la ubicación de la instalación, así como el alojamiento del equipamiento TIC,
Estándares como el emitido por la Telecomunication Industry Association, que publica su estándar TIA-942 con la intención
de unificar criterios en el diseño de áreas de tecnología y comunicaciones. con el fin de que se minimicen los riesgos de daños en seguridad físicas a los equipos y la intrusión de personal no autorizado;
Sistema de seguridad para prevenir y detectar incendios, inundaciones, sistema de control de acceso, bitácora de ingresos, sistemas de seguridad CCTV, sensores de movimiento, entre otros;
Sistema de cableado estructurado, que el cableado se encuentre ordenado, identificado y que ofrezca flexibilidad de instalación e independencia de proveedores (servicios de telecomunicaciones o mantenimientos outsourcing a servidores y equipos de TIC varios), además, brindar capacidad de crecimiento y fáciles de administrar;
Suministro de energía, seguridad e identificación de la red eléctrica y sistemas de UPS que garantice un servicio constante (redundancia, equipos alternos), y plantas eléctricas que brinden la energía ininterrumpida en caso de un corte prolongado el servicio del primario.
XXIII. AUDITORIA A LA INFRAESTRUCTURA TECNOLÓGICA
(REDES, SERVIDORES, SISTEMAS OPERATIVOS, ALMACENAMIENTO).
34
Servidores Entre los aspectos a evaluar de los servidores de la Entidad tenemos:
Características técnicas, configuraciones, tipo de servicio que presta (servidor de base de datos, servidor de aplicaciones o servidor de sistemas de información, servidor de copias de seguridad, servidor de respaldo, servidor de actualizaciones, servidor de pruebas de los sistemas y servidor de desarrollo), almacenamiento, sistema operativo y software instalado;
Política de estandarización de equipo informático;
Políticas de administración y monitoreo de servidores;
Política de contraseñas para las personas autorizadas para acceder a los servidores;
Procedimientos de actualizaciones de software y parches de seguridad;
Plan de actualización y mejoras de la plataforma de servidores y control de la obsolescencia de dichos equipos, y;
Bitácora o historial de errores reportados en los servidores, así como las acciones de corrección ejecutadas.
Plan de Contingencia y/o continuidad de los servicios de las TIC
Entre los aspectos a evaluar de un plan de contingencia tenemos:
El plan deberá estar autorizado, divulgado y se debe mantener actualizado y que refleje de manera continua los requerimientos actuales de la Entidad;
Lineamientos de uso, roles y responsabilidades,
35
procedimientos y/o acciones de recuperación, procesos de comunicación y los recursos necesarios para poner en marcha dicho plan, y;
Existencia de pruebas del plan de contingencia y/o continuidad
de los servicios TIC, para garantizar el restablecimiento de forma efectiva de dichos servicios, que las deficiencias son atendidas y que el plan permanece aplicable.
Infraestructura y Seguridad de
Redes y Comunicaciones Entre los aspectos a evaluar dentro de la infraestructura de red tenemos:
Diagramas de la infraestructura de red institucional;
Identificar las características técnicas de la red, los tipos y topología;
Dispositivos utilizados en la seguridad perimetral de la red, entre los cuales puede contener cortafuegos o firewall, zona desmilitarizada (DMZ), redes virtuales privadas (VPN), gestión unificada de amenazas (UTM), sistemas de detección y prevención de intrusos (IDS/IDPS), antivirus y antispam, entre otros;
Monitoreo y administración de dispositivos de seguridad de redes y comunicaciones, y;
Contratos de servicios de telecomunicaciones, para internet, enlaces VPN, dispositivos de comunicaciones u otros.
Respaldos de Información
Entre los aspectos a evaluar dentro del proceso de respaldos de información tenemos:
Procedimiento de respaldo de información que incluya el tipo de respaldo, la frecuencia, medios utilizados, responsables y tratamiento de cintas, registros de respaldos de información realizados, ubicación física de los medios;
Software y hardware para la realización de los respaldos de información, y;
Comprobación de integridad de la información, con la restauración de los datos (en inglés restore).
Entre los aspectos a evaluar dentro del proceso mantenimiento a la infraestructura tenemos:
Política y procedimientos de mantenimiento de la infraestructura tecnológica
Plan de mantenimiento de equipos informáticos (servidores, impresores, equipos de comunicación, almacenamiento, UPS, entre otros), responsables, recursos y cronograma de actividades del mantenimiento de los equipos informáticos;
Evidencia del cumplimiento del mantenimiento del equipo informático; y
Administración y control de fallas, de la infraestructura hardware.
Entre los aspectos a evaluar en los controles de hardware y software tenemos:
36
Políticas y estándares de compra de equipos de cómputos;
Administración de inventarios con características técnicas de hardware y software;
Políticas para el uso y asignación de equipos informáticos, para verificar que los recursos informáticos sean correctamente utilizados y proporcionen efectividad y continuidad en el procesamiento electrónico de datos, seguridad y control de la información, documentación y restricciones en el acceso al personal no autorizado;
Gestión de activos de software (saben lo que tienen, cuanto tienen, como lo tienen, cuando es tiempo de renovar y cuáles son los costos asociados a ellos optimizando inversiones de una forma legal);
Políticas y procedimientos de uso e instalación de software, evaluando el registro y control de la instalación y desinstalación de licencias y software libre, y;
El auditor debe evaluar que la adquisición de los recursos informáticos, cumplan con parámetros relativos al indicador de economía (oportunidad, lugar apropiado, costos y calidad).26
26 Fuente: Auditoría y Control en entornos bajo
Oracle David García Bastanchuri. Leganés, Junio de 2013
37
SEGURIDAD FÍSICA
El auditor debe de evaluar los riesgos y controles internos implementados en la
organización. Para la seguridad física, considerando la seguridad del área en los
aspectos de Perímetro de seguridad física, perfiles de usuario y definir las
necesidades y acciones de respuesta en caso de ataques, según se muestra en la
siguiente imagen. :
Entre los elementos de la seguridad física se tienen implementadas barreras con
herramientas de hardware y software para la seguridad física, así como los
controles de detección y contra ataque en caso de ingreso de intrusos.27
27 Seminario de OLACEFS GIZ, sobre Auditoria a las Tecnologías de Información y Comunicación. El Salvador año 2013.El
38
El auditor debe enfocar procedimientos de auditoría hacia la seguridad de la información, mediante la aplicación de la pirámide de la Información así: 28
28 http://www.pmg-ssi.com/2015/01/iso-27001-modelo-de-piramide/ Seguridad de la Información ISO 27001
XXIV. AUDITORIA A LA SEGURIDAD DE LA INFORMACIÓN
39
PIRAMIDE DE LA SEGURIDAD DE LA INFORMACIÓN
PRUEBA ELECTRÓNICA
La prueba electrónica de be cumplir con • Legitimación. • Inoculación. • Confiabilidad. • Inalterabilidad. • Rastreabilidad.
40
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La Seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como los edificios e instalaciones que los albergan. La decisión de abordar una Auditoria Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Tal estudio comporta con frecuencia la elaboración de "Matrices de Riesgo" en donde se consideran los factores de las "Amenazas" a las que está sometida una instalación y de los "Impactos" que aquellas pueden causar cuando se presentan. Contempla las contingencias ante incendios, sabotajes, robos, catástrofes naturales, etc., a este ámbito pertenece la política de Seguros. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.
La seguridad puede ser: a) Seguridad de Explotación b) Seguridad de las Aplicaciones. Control de acceso Objetivo: Controlar el acceso a la información. Control: Políticas de control de acceso que asegure el acceso del usuario autorizado y evitar el no autorizado a los sistemas de información, gestión de privilegios, claves Políticas de escritorio y pantalla limpios. Control a puertos de diagnóstico y configuración Existe gran desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.
Control de acceso a la red
Objetivo: Controlar el acceso a la
información.
Control: Políticas de control de
acceso que asegure el acceso del
usuario autorizado y evitar el no
41
autorizado a los sistemas de
información, gestión de privilegios,
claves
Políticas de escritorio y pantalla
limpios
Control de acceso a los sistemas
operativos
Objetivo: Controlar el acceso no
autorizado a los sistemas operativos.
Control: Políticas de registro seguro,
identificación y autenticación, claves
secretas.
Como asegurar un servidor.
Tiempos de conexión. Quien acceda
a la información debe ser medido el
tiempo, con cerrador de sesión
Procesamiento de información
El auditor podrá evaluar el
procesamiento de datos desde su
origen, conocimiento del tratamiento
de la información, y podrá aplicar la
técnica de análisis de transacciones:
Técnicas para análisis de transacciones29
29 https://adrian-zimri98.wikispaces.com/Las+tres+etapas+(entrada,+proceso,+y+salida
42
Entre los aspectos a evaluar en los servicios web se mencionan:
Controles para el desarrollo de portales, páginas web, de conformidad a la normativa establecida para la Entidad;
Controles de mantenimiento de información que contiene la página web;
Seguridad y monitoreo de la página web.
Servicios tercerizados (outsourcing): web, hosting, correo electrónico institucional; y
Seguridad y monitoreo de la página web y portales.
Novedades en la Auditoría TIC
La auditoría SEO, se incluye
lo relacionado con el
SEOonpage y el SEO off page,
esto incluye básicamente:
Comprobar la indexación del
sitio
Comprobar la velocidad del
sitio
Generación de contenido
Construcción de links internos
Optimización de etiquetas
Descripción de la imágenes
Identificar los enlaces rotos
Analizar enlace externos
Como está posicionada la web
Arquitectura web.30
30 http://www.tecnicaseo.com/seo/auditoria-seo-30-minutos
XXV. AUDITORIA A LA ADMINISTRACIÓN DE LOS SERVICIOS
WEB
43
El análisis forense digital es un conjunto de técnicas destinadas a extraer
información valiosa de discos, sin alterar el estado de los mismos. Esto permite
buscar datos que son conocidos previamente, tratando de encontrar un patrón o
comportamiento determinado, o descubrir información que se encontraba
oculta.
Entre los pasos para el proceso de la Informática Forense se mencionan:
XXVI. AUDITORIA INFORMÁTICA FORENSE
44
Las características de la información que se debe de analizar, son: INTEGRIDAD,
DISPONIBILIDAD EFICIENCIA, CONFIABLIDAD, CONFIDENCIALIDAD,
EFECTIVIDAD Y, CUMPLIMIENTO.
Los hash o funciones de resumen son algoritmos que consiguen crear a partir de
una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una
salida alfanumérica de longitud normalmente fija que representa un resumen de
toda la información que se le ha dado (es decir, a partir de los datos de la entrada
crea una cadena que solo puede volverse a crear con esos mismos datos).31
31 https://www.genbetadev.com/seguridad-informatica/que-son-y-para-que-sirven-los-hash-funciones-de-resumen-y-firmas-digitales
45
XXVII. PERFIL DEL AUDITOR DE TIC
Características de un Auditor Informático (AI) El auditor debe de obtener conocimientos tecnológicos, de forma actualizada y especializada respecto a:
Plataformas existentes en la organización, Desarrollo informático, gestión de proyectos y del ciclo de vida de un proyecto de desarrollo.
Gestión de seguridad de sistemas y Base de datos.
Análisis de riesgo en un entorno informático, Seguridad física.
Sistemas operativos, Telecomunicaciones, Redes.
Operaciones y planificación informática.
Planes de contingencia.
Gestión de problemas y cambios en entornos informáticos.
Ofimática.
Comercio electrónico.
Encriptación de datos.
Normas estándares para la auditoría interna y externa.
Políticas organizacionales sobre la información y las tecnologías de la información.
Características de la organización respecto a la ética, estructura organizacional.
Aspectos legales.
Herramientas a conocer:
Herramientas de control y verificación de la seguridad.
Herramientas de monitoreo de actividades, entre otros.
Estándares.
Simuladores (Generadores de datos).
Paquetes de auditoría (Generadores de Programas).
Matrices de riesgo.
46
Técnicas de Trabajo:
Técnicas de Evaluación de riesgos.
Muestreo.
Cálculo pos operación.
Monitoreo de actividades.
Recopilación de grandes cantidades de información.
Verificación de desviaciones en el comportamiento de la data.
Análisis e interpretación de la evidencia.
Análisis de la información recabada del auditado.
Análisis de la información propia.
Cruzamiento de informaciones.
Entrevistas.
Simulación.
Conceptos de estándares de calidad
32
32 Manual de Auditoría a las TIC, OCCEFS 2009
47
Al contar un auditor con el perfil de formación, capacitación especializada, podrá auditar las TIC, tal como se refleja en la imagen siguiente:
48
XXVIII. CERTIFICACIONES
PARA AUDITORES DE TIC EN
EL SALVADOR E
INTERNACIONALES33
Un auditor de TIC puede optar a las
certificaciones siguientes:
Certificaciones CISA, CISM, CGEIT y
CRISC
ISACA otorga cuatro certificaciones
que ofrecen certificación mundialmente
reconocida para profesionales en
materia de Auditoría, Seguridad,
Gobierno y Riesgo de TI.
1. Certified Information Systems
Auditor (CISA) La certificación CISA
es conocida mundialmente como
símbolo de excelencia para aquellos
profesionales que controlan,
monitorizan y evalúan los sistemas de
tecnología informática y de negocio de
una organización.
2. Certified Information Security
Manager (CISM) CISM es una
certificación única, enfocada a la
gestión para profesionales que
diseñan, construyen y gestionan
programas de seguridad de
información de empresas. CISM es el
principal diploma para responsables de
la seguridad de la información.
3. Certified in the Governance
ofEnterprise IT (CGEIT) CGEIT
reconoce una amplia gama de
profesionales por sus conocimientos y
aplicación de los principios y prácticas
de Gobierno de TI.
33 https://www.securityartwork.es/2008/01/31/cursos-y-certificaciones-para-profesionales-tic/
4. Certified in Risk and Information
Systems Control (CRISC) CRISC se
pronuncia “see-risk”. Ha sido diseñada
para aquellos profesionales en TI que
tienen experiencia práctica en la
identificación, comprobación y
evaluación de riesgos; respuesta a
riesgos; monitoreo de riesgos; control
de diseño e implementación de SSII. 5. Certified Information
Systems Auditor
(CISA®) es una
certificación para
auditores de sistemas
expedida por ISACA®
(Information Systems Audit and Control
Association).
6. La Certificación de Auditor de Sistemas
de Información (CISA), es la principal
Certificación de ISACA desde 1978.
CISA es actualmente una Certificación
reconocida de forma global y adoptada
a nivel mundial, como símbolo de
excelencia. La certificación CISA ha
sido obtenida por más de 50,000
profesionales en todo el mundo, y es
una de las certificaciones
imprescindibles para todas las
personas que quieran dedicarse al
mundo de la auditoria TIC.
49
Para obtener la certificación CISA®
se deben reunir una serie de
requisitos, entre los que se
encuentran la superación del examen
de certificación y reunir 5 años de
experiencia profesional en los
campos expuestos por ISACA®, Se
pueden computar años de
experiencia por requisitos de
formación, expuestos en los
documentos oficiales de CISA®.
ITIL. Marco de trabajo de las mejores
prácticas destinadas a facilitar la
entrega de servicios de tecnologías
de la información (TI) de alta calidad.
Ofrecido por la OGC británica (Office
of Government Commerce UK).
CISSP (Certified Information
Systems Security Professional) de
ISC2, certificación de seguridad
independiente. Trata de abarcar
diversos dominios de seguridad TIC,
desde controles de acceso a
criptografía o continuidad de negocio.
CISCO Certificación sobre seguridad
CCNA; Curso Técnico en redes e
internet.
CCNP; Curso de Especialista Experto
en Redes e Internet. Es una titulación
de alto nivel por combinar
conocimientos de Redes e Internet,
resolución de incidencias de red en
situaciones de urgencia.
Linux Skill Certification del LPI
(Linux Professional Institute),
constituye un programa diseñado
para certificar a los profesionales de
TI en el uso del SO Linux y sus
herramientas asociadas.
Brocade. Ofrece numerosas
certificaciones técnicas, destacando
entre otras la “Brocade Certified SAN
designer” orientada al diseño de
tecnología SAN.
CompTIA Security+. Certificación
ofrecida por la Computing Technology
Industry Association que valida el
conocimiento en seguridad TI:
infraestructura, criptografía, seguridad
operacional, etc.
Hewlett Packard. Diversas
certificaciones en el ámbito de las TIC
IBM. Diversas certificaciones en el
ámbito de las TIC
Microsoft. Diversas certificaciones
en el ámbito de las TIC
SUN. Diversas certificaciones en el
ámbito de las TIC.
Nortel. Compañía líder en
comunicaciones. Certificaciones de
red y comunicaciones.
Novell. Certificaciones en entornos
Linux y Netware.
Certificaciones ORACLE orientadas a
Bases de Datos, Linux, Midleware y
desarrollo de aplicaciones.
50
CWNP ofrece varias certificaciones
en entornos Wireless.
SAS software expertise.
Certificaciones en desarrollo
software.
SNIA ofrece la certificación SNCP
orientada al almacenamiento masivo
en red.
Symantec. Certificaciones en
protección de datos y Veritas
(variantes especialista y profesional).
AENOR. Seguridad en Tecnologías
de la Información e Ingeniería del
Software.
Certificación CISA o CISM: cursos
de preparación al examen.
Catálogo de cursos es CERT-UPC
“Seguridad en sistemas de
información”
SANS Institute, organización
dedicada a la investigación y
formación en seguridad de la
información. Dispone de multitud de
recursos sobre seguridad de la
información (noticias, guías,
certificaciones, entre otras.)34.
34 https://www.securityartwork.es/2008/01/31/cursos-y-certificaciones-para-profesionales-tic/
51
XXIX. CONTENIDO DEL INFORME DE AUDITORÍAS A LAS
TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN
Informes de Auditorías de
Tecnologías de Información y
Comunicación
La estructura y contenido del Informe
de Auditoria a las TIC puede variar,
dependiendo a que sector se dirija
pudiendo ser privado o
Gubernamental, para el caso de El
Salvador, La Corte de Cuentas de La
República, realiza auditorias de
Gestión a las Tecnologías de
Información y Comunicación de las
Entidades Gubernamentales para lo
cual el contenido del informe debe
cumplir con la normativa y requisitos
establecidos.35
35 Manual de Auditoria Gubernamental y Políticas de Auditoría aprobados por la Corte de Cuentas de la República, año 2013 y 2015
52
53
UNIVERSIDAD MODULAR ABIERTA FACULTAD DE CIENCIAS ECONÓMICAS
www.uma.edu.sv