METODOLOGIAS DE AUDITORIA INFORMATICA

Transcripción

1 METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para sus dictamenes. Auditoria Financiera.- Dictamen sobre los estados de cuentas que utiliza herramientas de Sw de ayuda. Las metodologías de auditoria informatica son del tipo cualitativo/subjetivo; estan basadas en profesionales de experiencia y formación Existen dos metodologias de Auditoria Informática: -Auditorias de Controles Generales y -Metodologías de Auditores Internos

2 METODOLOGIAS DE AUDITORIA INFORMATICA Auditorias de Controles Generales Dan una opinion sobre la habilidad de los datos del computador para la Auditoria financiera cuyo resultado es un informe donde se destacan las vulnerabilidades encontradas. Tiene apartados para definir pruebas y anotar sus resultados. Auditorias Internas.- Esta formada por recomendaciones de Plan de trabajo; deberá hacer cuestionarios y definir cuantas pruebas estime oportunas; además debe crear sus metodologías necesarias para auditar áreas o aspectos que defina en el plan auditor.

3 EL PLAN AUDITOR INFORMATICO Es el esquema mas importante del auditor informatico Las partes con las que cuenta un plan auditor informatico son: - Funciones - Procedimientos para las distintas tareas de las auditorias - Tipos de auditoria - Sistema de evaluación - Nivel de exposición - Lista de distribución de informes - Seguimiento de acciones correctorias - Plan quincenal - Plan de trabajo anual

4 AUDITORIA INTERNA Y EXTERNA La auditoria interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada, ésta existe por expresa decisión de la empresa. Ventajas de la auditoria interna Puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorias, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. Por otro lado, la auditoria externa es realizada por personas afines a la empresa auditada; se presupone una mayor objetividad que en la Auditoria Interna, debido al mayor distanciamiento entre auditores y auditados.

5 AUDITORIA INTERNA Y EXTERNA Una Empresa o Institución que posee auditoria interna puede y debe en ocasiones contratar servicios de auditoria externa. Las razones para hacerlo suelen ser: - Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. - Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. - Es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa.

6 NORMAS Personales Ejecución del trabajo Información

7 TÉCNICAS Estudio General Análisis Inspección Confirmación Investigación Declaración Certificación Observación Cálculo

8 PROCEDIMIENTOS Obtener conocimientos Analizar las características del control interno Verificar resultados Dar conclusiones

9 HERRAMIENTAS Cuestionario general inicial Cuestionario Checklist Estándares Monitores Simuladores (Generadores de datos) Paquetes de auditoría (Generadores de Programas) Matrices de riesgo

10 3.5 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL L A F U N C I Ó N D E L C O N T R O L A U T O M Á T I C O I N D E P E N D I E N T E, D E B E S E R I N D E P E N D I E N T E D E L D E P A R T A M E N T O C O N T R O L A D O - E L Á R E A I N F O R M Á T I C A M O N T A L O S P R O C E S O S I N F O R M Á T I C O S S E G U R O S. - E L C O N T R O L I N T E R N O M O N T A L O S C O N T R O L E S. -L A A U D I T O R I A I N F O R M Á T I C A E V A L Ú A E L G R A D O D E C O N T R O L L A A U D I T O R I A I N F O R M Á T I C A -T I E N E L A F U N C I Ó N D E V I G I L A N C I A Y E V A L U A C I Ó N M E D I A N T E D I C T Á M E N E S Y T O D A S S U S M E T O D O L O G Í A S V A N E N C A M I N A D A S A E S T A F U N C I Ó N. -T I E N E S U S P R O P I O S O B J E T I V O S D I S T I N T O S A L O S A U D I T O R E S D E C U E N T A S A U N Q U E N E C E S A R I O S P A R A Q U E É S T A S P U E D A N U T I L I Z A R L A I N F O R M A C I Ó N D E S U S S I S T E M A S P A R A S U S E V A L U A C I O N E S F I N A N C I E R A S Y O P E R A T I V A S. E V A L Ú A N E F I C I E N C I A, C O S T O Y S E G U R I D A D E N S U M Á S A M P L I A V I S I Ó N, E S T O E S T O D O L O S R I E S G O S I N F O R M A T I V O S Y Y A S E A N L O S C L Á S I C O S ( C O N F I D E N C I A L I D A D, I N T E G R I D A D Y D I S P O N I B I L I D A D ) O L O S C O S T O S Y L O S J U R Í D I C O S, D A D O Q U E Y A N O H A Y U N A C L A R A S E P A R A C I Ó N E N L A M A Y O R Í A D E L O S C A S O S. -O P E R A N S E G Ú N E L P L A N O A U D I T O R -U T I L I Z A N M E T O D O L O G Í A S D E E V A L U A C I Ó N D E T I P O C U A L I T A T I V O. -E S T A B L E C E N P L A N E S Q U I N Q U E N A L E S C O M O C I C L O S C O M P L E T O S -S I S T E M A S D E E V A L U A C I Ó N D E R E P E T I C I Ó N D E L A A U D I T O R I A P O R N I V E L D E E X P O S I C I Ó N D E L Á R E A A U D I T A D A Y E L R E S U L T A D O D E L A Ú L T I M A A U D I T O R I A D E É S T A Á R E A. -L A F U N C I Ó N D E S O P O R T E I N F O R M Á T I C O D E T O D O S L O S A U D I T O R E S ( O P C I O N A L M E N T E ), A U N Q U E D E J A N D O C L A R O Q U E N O S E D E B E P E N S A R C O N E S T O Q U E L A A U D I T O R I A I N F O R M Á T I C A C O N S I S T E E N E S T O S O L A M E N T E.

11 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL CONTROL INFORMÁTICO - Tiene funciones propias (administración de la seguridad lógica, etc) - Funciones de control dual con otros departamentos - Funciones normativas y del cumplimiento del marco jurídico. - Operan según procedimientos de control en los que se ven involucrados y que luego desarrollarán. - Al igual que en la auditoria y de forma opcional puede ser el soporte informático de control interno no informático FUNCIONES DE CONTROL INTERNO - Más comunes - Definición de propietarios y perfiles según clasificación de la información (utilizando metodología) - Administración delegada en control dual (dos personas intervienen en una acción) como medida de control de la seguridad lógica. - Responsable del desarrollo y actualización del plan de contingencias, manuales, procedimientos y plan de seguridad. - Promueve el plan de seguridad informático al comité de seguridad. - Dictar normas de seguridad informática. - Definir los procedimientos de control. - Control del entorno. - Control de soporte magnético según clasificación de la información. - Control de soporte físico (listado, etc)

12 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL FUNCIONES DE CONTROL INTERNO - Control de información comprometida o sensible. - Control de micro informática y usuarios - Control de calidad de software - Control de calidad del servicio informático - Control de costes - Responsable del departamento (gestión de recursos humanos y técnicos) - Control de licencias y relaciones contractuales con terceros. - Control y manejo de claves de cifrado - Relaciones externas con entidades relacionadas con la seguridad de la información. - Definición de requerimientos de seguridad de proyectos nuevos. - Vigilancia del cumplimiento de las normas y controles. - Control de cambios y versiones - Control de paso de aplicaciones a explotaciones - Control de medidas de seguridad física o corporativa en la informática - Responsable de datos personales (LOPD y código penal) - Otros controles que se designen - Otras funciones que se designen.

13 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL - El objetivo es de que exista una actuación segura entre los usuarios, la informática y control interno. Todos ellos auditados por auditoria informática - El plan de Seguridad Informatica tiene 2 proyectos de vital importancia clasificación de la información (B) y procedimientos de control (C) A Análisis de riesgo Contramedida 1 B C Clasificación de la información Objetivo de Control 1 Objetivo de Control 2 tecnología Objetivo de control Contramedida 2 Contramedida 3 Plan de acciones

14 3.5.2 METODOLOGÍAS DE CLASIFICACION DE LA INFORMACION Y DE OBTENCION DE LOS PROCEDIMIENTOS DE CONTROL CLASIFICACION DE LA INFORMACION.- Metodología PRIMA SI IDENTIFICAMOS DISTINTOS NIVELES DE CONTRAMEDIDIAS PARA DISTINTSAS ENTIDADES DE INFORMACIÓN CON DISTINTOS NIVELES DE CRITICIDAD, ESTAREMOS OPTIMIZAMOS LA EFICIENCIA DE LAS CONTRAMEDIDAS Y REDUCIENDO LOS COSTOS DE LAS MISMAS. ENTIDAD DE INFORMACIÓN.- ES EL OBJETIVO A PROTEGER EN EL ENTORNO INFORMÁTICO Y QUE LA CLASIFICACIÓN DE LA INFORMACIÓN AYUDA A PROTEGER, ESPECIALIZANDO LAS CONTRAMEDIDAS SEGÚN EL NIVEL DE CONFIDENCIALIDAD O IMPORTANCIA QUE TENGAN. METODOLOGÍA DEL TIPO CUALITATIVO/SUBJETIVO CON JERARQUÍAS QUE SEGÚN SEAN PRESERVACIÓN: VITAL-CRITICA VALUADA -NO SENSIBLE. O PROTECCIÓN: ALTAMENTE CONFIDENCIAL-CONFIDENCIAL-RESTRINGIDA - NO SENSIBLE. PRIMA DEFINE BASICAMENTE: - ESTRATEGICA (MUY CONFIDENCIAL, MUY RESTRINGIDA) - RESTRINGIDA (A LOS PROPIETARIOS DE LA INFORMACIÓN) - DE USO INTERNO (A TODOS LOS EMPLEADOS) - DE USO GENERAL (SIN RESTRICCIÓN)

15 LOS PASOS DE LA METODOLOGÍA SON LOS SIGUIENTES: 1. Identificación de la información 2. Inventario de entidades de información residentes y operativas 3. Identificación de propietarios 4. Definición de jerarquías de información 5. Definición de la matriz de clasificación 6. Confección de la matriz de clasificación 7. Realización del plan de acciones 8. Implantación y mantenimiento OBTENCIÓN DE LOS PROCEDIMIENTOS DE CONTROL: METODOLOGÍA: Fase 1.- Definición de objetivos de control: - Tarea 1: Análisis de la empresa - Tarea 2: Recopilación de estándares - Tarea 3: Definición de los objetivos de control Fase 2.- Definición de los controles: - Tarea 1: Definición de los controles - Tarea 2: Definición de necesidades tecnológicas - Tarea 3: Definición de los procedimientos de control - Tarea 4: Definición de las necesidades de recursos humanos

16 Fase 3: Implantación de los controles: - Procedimientos propios de control de la actividad informática - Procedimiento de distintas áreas usuarias de la informática, mejorados - Procedimientos de áreas informáticas mejorados - Procedimiento de control dual entre control interno informática y el área informática, los usuarios informáticos y el área de control no informático LAS HERRAMIENTAS DE CONTROL Las herramientas de control (software) más comunes son: - Seguridad lógica del sistema - Seguridad lógica complementaria al sistema - Seguridad lógica para entornos distribuidos. Control de acceso físico - Control de copias - Gestión de soportes magnéticos - Gestión y control de impresión y envíos de listados por red. - Control de proyectos - Control de versiones - Control y gestión de incidencias - Control de cambios - Etc.

17 OBJETIVOS DE CONTROL DE ACCESO LOGICO Segregación de funciones entre los usuarios del sistema s productores de software, jefes de proyecto, técnico de sistemas, operadores de explotación, operadores de telecomunicaciones, grupo de usuarios de aplicaciones, administrador de la seguridad lógica, auditoria, y tantos como se designen. Integridad de los LOG e imposibilidad de desactivarlos por ningún perfil para poder revisarlos. Gestión centralizada de la seguridad o al menos única. Contraseña única para los distintos sistemas de la red y la autentificación de entrada una sola vez. Y una vez dentro, controlar los derechos de uso. La contraseña y archivos con perfiles y derechos y la inaccesibles a todos, incluso a los administradores de seguridad. El sistema debe rechazar a los usuarios que no usan la clave del sistema correctamente, inhabilitando y avisando a control que tomará las medidas oportunas. Separación de entornos El LOG o los LOGs de actividad no podrán desactivarse a voluntad, y si se duda de su integridad o carencia, resolver con un terminal externo controlado. El sistema debe obligar al usuario a cambiar la contraseña, de forma que sólo la conozca él, que es la única garantía de autenticidad de sus datos. Es frecuente encontrar mecanismos de auto-logout, que expulsan del sistema la terminal que permanece inactiva más de un tiempo determinado.

18 ESTÁ CONTROLADA LA SEGURIDAD LÓGICA EN LA ACTUALIDAD? SE CUMPLE EL MARCO JURÍDICO SIN SEGURIDAD LÓGICA?; LA FORMA MÁS APROPIADA DE RESOLVER ESTE PROBLEMA ES UTILIZAR UN MÉTODO PRÁCTICO QUE DESARROLLAREMOS: ANÁLISIS DE PLATAFORMA CATÁLOGO DE REQUERIMIENTO PREVIOS DE IMPLANTACIÓN ANÁLISIS DE APLICACIONES INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS (en este punto trataremos todo el esquema de funcionalidades de la seguridad lógica actual; crear nuevas jerarquías de estándares a cumplir y tratar de definir los controles que se deberían tener, ya sea de usuario de las aplicaciones como de los usuarios de los sistemas y el uso de las herramientas) ADMINISTRACIÓN DE LA SEGURIDAD; nos interesa ver las siguientes funcionalidades u objetivos de control requeridos al nuevo sistema de control de acceso: - Permite el producto establecer un conjunto de reglas de control aplicables a todos los recursos del sistema? - Permite el producto al administrador de seguridad establecer un perfil de privilegios de acceso para un usuario o grupos de usuarios - Permite el producto al administrador de seguridad asignar diferentes administradores? - Permite el producto al administrador de seguridad asignar a estos administradores la responsabilidad de gestionar privilegios de acceso para grupos y recursos definidos? - Permite a un administrador pedir acceso para él mismo, tanto como para cualquier usuario de su área de responsabilidad? - impide el producto que un administrador se provea él mismo de sus propias peticiones?