Unidad 7: Auditoría de los Sistemas de Información Material Adicional. Información. Sistemas de Información para la Gestión

Transcripción

1 Sistemas de Información para la Gestión / Informática Sistemas de Información para la Gestión UNIDAD 7: AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN Unidad 7: Auditoría de los Sistemas de Información Material Adicional 2. Revisiones de auditoría: Entorno jurídico de la auditoría de los S. Herramientas para auditoría de SI. Principales áreas de la auditoría. Del outsourcing, de la seguridad física, de la dirección informática, de la explotación, de bases de dato, de la seguridad, de redes, de Internet, de aplicaciones, del desarrollo y mantenimiento de sistemas, del sistema de vigilancia y sobre los datos de carácter general U.N.Sa. Facultad de Cs.Económicas SIG 2014 Control Interno y Auditoría de SI Proceso Control Interno y Auditoría de SI Objetivo Datos Recoge, agrupa y evalúa evidencias para Determinar si un Sistema de Información Salvaguarda activos; Mantiene integridad datos; Cumple objetivos de la empresa; Utiliza eficientemente recursos Personas Evaluar org., seg. y uso recursos TI Aplicacio nes Infraest ructura 1

2 Metodología Auditoría de SI Entorno Jurídico de la Auditoría de SI Además de normas profesionales, legales y de regulación la labor del auditor de SI también se encuentra regulado por Derecho Informático, parte del Derecho que regula el mundo informático. Delitos Informáticos Protección de Datos Personales Propiedad Intelectual Firma Digital Ley Protección Datos Personales Sensor - Esquema Documento de Seguridad 1. Funciones y obligaciones personal 2. Descripción archivos y sistemas de información; rutinas de control 3. Registro incidentes de seguridad 4. Procedimientos back up y recupero de datos 5. Relación actual SdeI y usuarios de datos 6. Procedimientos ID 7. Control acceso lógico y físico 8. Prevenir software malicioso 9. Procedimientos Gestión y Distribución de Soportes 10. Responsable de Seguridad 11. Auditorias Entrevistas Herramientas para auditoria de SI Analizar primero si la información buscada no está disponible en otros medios. Identificar previamente a las personas a entrevistar. Preparar la entrevista. Planificar el tiempo y definir el lugar. Tomar nota. Analizar entrevista. 2

3 Cuestionarios Herramientas para auditoria de SI Definir si se quieren conocer hechos, opiniones o ambas cosas Si el auditor va a estar presente o no. Preguntas concretas. Evitar usar la jerga de la auditoría y la informática. Las preguntas no deben conducir indirectamente a las respuestas. Evitar cuestiones hipotéticas. Herramientas para auditoria de SI TÉCNICAS DE AUDITORÍA ASISTIDA POR COMPUTADORA CAAT (Computer Assisted Audit Technique) CAAT se refiere al uso de software que puede ser usado por el auditor para realizar auditorias y para archivar hallazgos. Se pueden clasificar en las siguientes categorías: SW Análisis de Datos SW y Utilidades de evaluación de Seguridad de Redes SW y Utilidades de evaluación de Sistemas Operativos y DBMS Herramientas de test de SW y Códigos Herramientas para auditoria de SI LOTES DE PRUEBA Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: Datos de Excepción Datos Ilógicos Transacciones Erróneas Principales Áreas de la Auditoría de SI Auditoría de la Dirección Informática (Plan Estratégico de Sistemas) Auditoría del Desarrollo (gestión de proyecto) Auditoría de la Adquisición y Outsourcing Auditoría Seguridad (Física, de Vigilancia, Lógica, Redes, Internet, Plan de Contingencias) Auditoría de la Explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios de programas) Auditoría de Bases de Datos y Datos de carácter general 3

4 Auditoría de la Dirección Informática (Planificación) - Conocer y evaluar los planes de TI y su nivel de integración con la empresa - Revisión de planes de sistemas y desarrollo de software - Evaluar el nivel de participación y compromiso de directivos en la elaboración de los planes Auditoría de la Dirección Informática (Planificación) - Ejemplos hallazgos de auditoría: Planes de TI no se encuentran integrados al Plan Estratégico de Negocios de la empresa. Auditoría de la Organización y Gestión Auditoría de la Organización y Gestión - Analizar que el responsable de TI organiza, dirige y controla sus recursos - Analizar estructura y segregación funcional - Ejemplos hallazgos de auditoría: No contar con manuales de políticas y procedimientos para el área de sistemas y tampoco para los usuarios finales formalmente documentados y aprobados por los niveles directivos. 4

5 Auditoría de Adquisición y Outsourcing Examinar desarrollo de SW contemple adecuadas especificaciones de control interno y seguridad Examinar planificación conjunta áreas de TI y Usuarias para cambios de programa Examinar administración de servicios de TI delegados en terceros Auditoría de Adquisición y Outsourcing - Ejemplos hallazgos de auditoría: La vinculación de personal contratista, no permite que haya continuidad en los procesos relacionados con el diseño, desarrollo y mantenimiento del Sistema de Gestión Académico. Auditoría de Seguridad Física y Lógica Seguridad Física y de Vigilancia: adecuación de instalaciones Seguridad Lógica: salvaguarda de acreditación de usuarios, secreto de archivos y transacciones Auditoría de Seguridad Física y Lógica Ejemplos hallazgos de auditoría: Administración usuarios de aplicativos la realiza el departamento de sistemas. Claves principales de servidores las conoce el jefe de sistemas y el asistente. No contar con un plan de contingencias integral, el cual incluya acciones a realizar frente a posibles siniestros que se puedan presentar. 5

6 Área de Explotación y Mantenimiento Área de Explotación y Mantenimiento - Examinar los procedimientos seguidos en el Centro de Procesamiento de Datos en su operatividad diaria. - Examinar que exista plan de mantenimiento preventivo y/o correctivo de hardware - Examinar que operaciones rechazadas sean informadas Ejemplos hallazgos de auditoría: Procedimiento para respaldos de información se realiza con la debida frecuencia por el Jefe de Sistemas y llevados a su domicilio; pero, no existen documentos escritos de los procedimientos a seguir tanto para la realización de los respaldos como para la restauración de los mismos. Área de Base de Datos y Datos de carácter general Área de Base de Datos y Datos de carácter general - Examinar estándares y procedimientos seguidos en la administración de base de datos conforme a criterios y normas legales. - Examinar que datos ingresados a BD son consistentes y completos. - Examinar actualización de datos tengan niveles de validación - Ejemplos hallazgos de auditoría: La asignación de horarios en el modulo carga académica debe ser alimentada una a una, cada hora con su respectivo día. Así la carga de las asignaturas es tedioso y puede llegar a ser lento. 6

7 Área del entorno Redes / Internet / Hardware/Software Área del entorno Redes / Internet / Hardware/Software - Examinar funcionamiento y utilidad de Hardware/Software. - Examinar disponibilidad servicios de comunicaciones (redes, internet) Ejemplos hallazgos de auditoría: No mantener registros de problemas que se presentan en los servidores/comunicaciones. Auditoría de Sistemas de Información CON TÉRMINOS DUDOSOS Se detectó que el Depto. De Inf. no cuenta con un S.C. efectivo en el P.E.B.D., para el uso y mantenimiento de la información relativa al archivo de adquisiciones CON TÉRMINOS CLAROS Se detectó que el Departamento de Informática no cuenta con un sistema de control efectivo en el Procesamiento Electrónico de Bases de Datos (P.E.B.D.), para el uso y mantenimiento de la información relativa al archivo de adquisiciones. 7

8 CON TECNICISMOS En la revisión del stock del almacén de productos terminados y los registros en el kardex electrónico, así como de los attachments respectivos, se observó que existen diferencias contra los registros contables en 5 tipos de materiales las cuáles ascienden a $270.9 miles. SIN TECNICISMOS Al revisar las existencias en el almacén de productos terminados y los registros correspondientes en la base de datos, con sus correspondientes anexos, se observó que existen diferencias contra los registros contables en 5 tipos de materiales, las cuáles ascienden a $270.9 miles. EXPRESIÓN LARGA Se observó que el Departamento de Cobranzas no viene desarrollando sus actividades en forma oportuna, pues hasta ahora viene iniciando las gestiones de cobro con desfasamientos que van de 27 a 30 días, respecto de las fechas en que le turna las formas F-3020 de notificación, el área de crédito. EXPRESIÓN CORTA El Departamento de Cobranzas realiza las gestiones de cobro en forma retrasada, un mes después de recibidas las notificaciones correspondientes. SIN EL NOMBRE DEL DOCUMENTO En el formato H-069, no se contempla un espacio destinado al registro de los días tomados a cuenta de vacaciones. CON EL NOMBRE DEL DOCUMENTO En el formato H-069 "Tarjeta para Control de Asistencia", no se contempla un espacio destinado al registro de los días tomados a cuenta de vacaciones. CONFUSA Y REDUNDANTE A continuación se detalla el material faltante en la bodega No. 5 al primer trimestre de 2014: Papel: Material Cantidad Importe (miles) % Bond blanco, 40 Kg Ton. $2,332 10% de las existencias de ese papel. Bond blanco, 90 Kg Ton. $4,100 15% de las existencias de ese papel. San Rafael Azul, 98 cm. 1,520 Kg. $2,332 1% de las existencias de ese papel. San Rafael Azul, 146 cm. 22,000 Kg. $4,100 3% de las existencias de ese papel. Cartulinas: Couché R-70; 60 X ,462 Kg. $6,278 7% de todas las cartulinas. Couché R-70; 53 X ,000 Kg. $2,600 3% de todas las cartulinas. CONCISA Y RELEVANTE $21,742 Faltante de material en la bodega No. 5 de Papel Bond y San Rafael y Cartulinas tipo Couché, cuyo importe asciende a $21,742 miles, al primer trimestre de

9 SIN RESPETO Debido a que Jorge Luis insiste en atender personalmente todos los trabajos, éstos se encuentran seriamente retrasados. SIN TACTO La torpeza de los empleados del almacén de materia prima ocasionó la pérdida del 80% del material. CON RESPETO La falta de una delegación de funciones en la Subgerencia de Producción ha ocasionado retrasos importantes en las entregas del producto. CON TACTO El 80% de la materia prima se perdió debido a la poca experiencia del personal que labora en el almacén. Modelo Informe Auditoría de Sistemas de Información Modelo de Informe 9

10 Modelo Informe Modelo Informe V- CONCLUSIÓN En razón de los resultados obtenidos de la auditoría de Sistemas en la presente revisión, consideramos el control interno de la Prueba del Plan de Continuidad del Negocio Satisfactorio. Conclusiones Auditoria de SI Herramienta Gerencial = toma decisiones Verificar puntos débiles y tomar medidas Empresa pública o privada SI medianamente complejo Evaluar su eficacia y eficiencia Una auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas. Preguntas? Gracias. 10