Buenas prácticas: Auditoría en Sistemas Informáticos

Transcripción

1 Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt Guatemala, 21 de noviembre 2014 AGENDA PROPUESTA Conceptos Metodología en UAGSI Auditoría de Sistemas Informáticos Modelos de buenas prácticas Certificación 1

2 Conceptos La Carta Iberoamericana de Gobierno Electrónico, establece: Es el uso de las TIC en los órganos de la Administración para mejorar la información y los servicios ofrecidos a los ciudadanos, orientar la eficacia y eficiencia de la gestión pública e incrementar sustantivamente la transparencia del sector público y la participación delos ciudadanos ( sector público, civil y empresa ) (Punto 3 Concepto de Gobierno Electrónico). Santiago de Chile, 10 de noviembre de

3 Contenidos Educación Redes Legislación l t u Accesibilidad u r Mercado Conectividad C Servicios Transaccionales en línea a Observatorio Comunicación Gobierno Sociedad Empresas Academia Auditoría es el examen crítico y metodológico que realiza una persona o grupo de personas independientes del sistema auditado, que puede ser una persona, organización, sistema, proceso, proyecto o producto. FUENTE: 3

4 Informática Procesamiento automático de información mediante dispositivos electrónicos y sistemas computacionales. Los sistemas informáticos deben contar con la capacidad de cumplir tres tareas básicas: entrada (captación de la información), procesamiento y salida (transmisión de los resultados). Pensamiento Memoria Comunicación Auditoría Informática, Evalúa los sistemas de información, para medir la conveniencia y capacidad de los recursos tecnológicos asignados, para la optimización de los procesos de información y toma de decisiones de los entes públicos y la sostenibilidad de los mismos. FUENTE: Marco Conceptual, Sistema de Auditoría Gubernamental 4

5 Gobierno de TI Es el alineamiento de las Tecnologías de la información y la Comunicación (TI) con la estrategia del negocio para obtener gobernabilidad (autosostenibilidad, utilidades) Ofimática, Automatización de oficinas, conjunto de técnicas, aplicaciones y herramientas informáticas que se utilizan en funciones de oficina Permite idear, crear, manipular, transmitir, o almacenar, la información necesaria en una oficina. Actualmente es fundamental que las oficinas estén conectadas a una red local o a Internet. 5

6 Gobierno electrónico Gobierno TI (Tecnologías de Información) Sistema OBJETIVO INTER DEPENDIENTES INTER RELACIONADOS INTER ACTUANTES SISTEMA 6

7 Elementos básicos Entrada Proceso Salida Jerarquía cognitiva Sabiduría Conocimientos Información Dato 7

8 Imágenes Fotos Textos Sonidos Videos Características de la información Completa Accesible Exacta Reutilizable Veraz Oportuna 8

9 Metodología Acuerdo A Con fundamento en el artículo 232 de la Constitución Política de la República de Guatemala; los artículos 4, literal a) y 13 literal g) del Decreto número del Congreso de la República, Ley Orgánica de la Contraloría General de Cuenta Se aprueba el: Manual de Auditoría Gubernamental Manual de Auditoría Interna Gubernamental 9

10 Módulos Módulo de planificación Realización de la visita Preliminar Evaluación Preliminar del Control Interno Redacción de Objetivos Selección de la Muestra Elaboración de Programa de Auditoría 10

11 Módulo de Ejecución Evaluación del Control Interno Evaluación del Cumplimiento de Disposiciones Legales y Reglamentarias Preparación de Papeles de Trabajo Obtención de la Carta de Representación Creación y Actualización del Archivo Permanente Organización del Archivo Corriente Seguimiento de Recomendaciones Supervisión Módulo de comunicación de resultados Guía General para la Comunicación de Resultados Guía para la redacción de hallazgos 11

12 Acuerdo A Artículo 7. Contenido de los Informes de Auditoría. El contenido de los informes de auditoría, será Pre-carátula Carta de Oficialización del Informe Carátula Índice Resumen Gerencial Contenido Información General (Base Legal, Función) Fundamento Legal de la Auditoría Objetivos de la Auditoría (General y Específico) Alcance de la Auditoría (Área Financiera, técnica, limitaciones al alcance) Comentarios y Conclusiones Resultados de la Auditoría (hallazgos con el control interno, hallazgos relacionados con el cumplimiento a leyes y regulaciones) Autoridades de la Entidad, durante el período auditado Comisión de Auditoría Anexos (Nombramiento, Forma Única de Estadística, Formulario SR1) Auditoría de Sistemas Informáticos Gobierno TI 12

13 Controles de TI, más comunes a. Procesos de planificación estratégico institucional y de TI; b. Organización y administración de TI; c. Políticas y estándares organizacionales, especialmente los relacionados con TI, tales como política de seguridad, política de control de acceso etc.; d. Definición de los roles y responsabilidades de cargos, funciones y ambientes de TI y de negocio, con respecto al principio de la segregación de funciones; e.procesos de capacitación, elaboración de presupuesto y gestión de proyectos de TI;... /. Controles de TI, más comunes f. Del ciclo de vida del desarrollo de un Sistema; g. De gestión de cambios; h. De acceso lógico; i. De seguridad física sobre los centros de procesamiento de datos (data centers); j. De copias de seguridad y de recuperación de sistemas y datos; k. De operaciones de TI; l. Del plan de continuidad de negocios. 13

14 EJEMPLO No. 1 Ciclo de vida del Desarrollo de un Sistema No. SUBSISTEMAS ETAPAS 1 Componente 1 2 Componente 2 3 Componente 3 4 Componente 4 5 Componente 5 6 Componente 6 7 Componente 7 8 Componente 8 Análisis y Diseño del Sistema Desarrollo del Software Implementación del Sistema Administración y Control Requerimie ntos del Sistema Diseño de la base de datos Términos de referencia del desarrollo del sistema Supervisión del desarrollo Prue bas del Siste ma Manual de Operac ión del Sistem a Instalación del software (Guía de instalación ) Capacitac ión de usuarios Carga inicial de datos Definición de niveles de seguridad de acceso al sistema Existe Acta de Aceptación del Subsistema (fecha) Monitoreo y evaluación del funcionamien to del sistema EJEMPLO No. 2 Diagrama de Flujo del caso de Auditoría Inicio Muestra Backup A fecha Análisis Restauración Diseño de registro Restore Criterios Despliegues Captura Muestra Obtener Vista BD Informe de Auditoría Final Archivo muestra Vista BD Compara Resultados 14

15 15

16 Modelos de buenas prácticas Buenas prácticas basadas en COSO Comité de Organizaciones Patrocinadas por la Comisión Treadway 5 Componentes de Control Interno Actividades de Control 1 1 Supervisión o monitoreo Evaluación de los riesgos Información y Comunicación 4 4 Ambiente de Control FUENTE: p7tck6z60xm%3bhttp%253a%252f%252fphotos1.blogger.com%252fblogger%252f1720%252f3562%252f1600%252fimage002.1.gif%3bhttp%253a%252f%252fauditoria-interna.blogspot.com%252f%3b711%3b534 16

17 Evaluación de los riesgos Generar back up a los 15 días Generar back up cada 3 días Generar back up cada día Buenas prácticas con base a COBIT 5 Objetivos de Control para la Información y Tecnologías Relacionadas 1.Cinco principios. AREAS 2.Modelo de referencia de dominios procesos y actividades 3.Modelo de madurez de procesos. 17

18 Área 1. COBIT Principio 1 (abarcar las necesidades de los interesados): Los indicadores clave de metas y de proceso, que finalmente traducen las necesidades de los interesados, internos y externos, se transformaron en una estrategia empresarial llamada cascada de metas FUENTE: Área 1. COBIT Principio 2 (cubrir la empresa de extremo a extremo): Considera todas las funciones y procesos dentro de la organización. Cobit 5 no se centra solo en el gobierno de TI, pues ahora considera la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro. FUENTE: 18

19 Área 1. COBIT Principio 3 (aplicar un solo marco integrado): COSO 2013 marco apropiado y exhaustivo para el control interno. COBIT 5, Objetivos de Control para Información y Tecnologías Relacionadas ISO/IEC 9000, estándar para el control de calidad en procesos empresariales. ISO/IEC 31000, estándar de administración de riesgos, principios y directrices, ISO-38500, estándar para el gobierno corporativo de TI. ITIL, mejores prácticas para servicios de TI con un enfoque de procesos de TI. La familia ISO-27000, enfocada en el tema de seguridad informática. FUENTE: Área 1. COBIT Principio 4 (habilitar un enfoque holístico): En esta nueva versión se introducen los habilitadores, que son factores mínimos a cumplir para que el gobierno y la administración empresarial de TI funcionen de manera correcta al ayudar a optimizar la información, la inversión en tecnología y su uso para el beneficio de todos los interesados: 2. Procesos 5. Información 3. Estructuras Organizacionales 1. Principios, Políticas y Marcos de Trabajo 6. Servicios, Infraestructura y Aplicaciones RECURSOS 4. Cultura, Ética y Comportamiento 7. Personas, Habilidades y Competencias FUENTE: Fuente: COBIT 5, figura ISACA Todos los derechos reservados 19

20 Área 1. COBIT Principio 5 (separar gobierno de administración): Cobit 5 reconoce que estas dos disciplinas incluyen tipos de actividades y estructuras organizacionales diferentes, que sirven para diferentes propósitos. El gobierno es responsabilidad de la junta directiva, mientras que la administración (gestión), es responsabilidad de la alta administración, bajo el liderazgo del CEO (Director Ejecutivo) FUENTE: RESUMEN 20

21 Área 2. COBIT Modelo de referencia de Dominios, Procesos y Actividades EVALUAR, DIRIGIR Y MONITOREAR (Dominio de gobierno de TI) Definir y mantener el marco de gobierno Garantizar entrega de beneficios Garantizar Optimización de los Riesgos Garantizar Optimización de los Recursos Garantizar Transparencia con los interesados ALINEAR, PLANEAR Y ORGANIZAR Definir el Marco de Gestión TI Administrar la Estrategia Gestionar Arquitectura de la Empresa Gestionar Innovación Gestionar Portafolio Gestionar presupuesto y costos Gestionar Recursos Humanos MONITOREAR, EVALUAR Y VALORAR Gestionar Relaciones Gestionar Acuerdos de Servicio Gestionar Proveedores Gestionar Calidad Gestionar Riesgos Gestionar Seguridad Monitorear y Evaluar, Desempeño y Conformidad CONSTRUIR, ADQUIRIR E IMPLEMENTAR Gestionar Programas y Proyectos Gestionar el Conocimiento Definir Requerimientos Gestionar Activos Identificar y Construir Soluciones Configuración Gestionar Disponibilidad y Capacidad Facilitar el Cambio Organizacional Gestionar Cambios Gestionar la Aceptación y Transición del Cambio Monitorear, Evaluar y Valorar el Sistema de Control Interno ENTREGA, SERVICIO Y SOPORTE Gestionar Operaciones Gestionar Solicitudes Servicio e Incidentes Gestionar Problemas Gestionar Continuidad Gestionar Seguridad de los Servicios Gestionar Controles de Procesos de Negocio Monitorear y Evaluar Cumplimiento con Requerimientos Externos Procesos para la Gestión de la Tecnología de Información Empresarial FUENTE: UAGSI-CGC Área 3. COBIT Modelo de madurez de los procesos Optimizado 5 Administrado y Medible 4 Proceso Definido 3 Repetible pero Intuitivo 2 Inicial. Ad hoc 1 No existe 0 Leyenda para la calificación usada 0. No se aplican procesos administrativos en lo absoluto 1. Los procesos son ad-hoc y desorganizados 2. Los procesos siguen un patrón regular 3. Los procesos se documentan y se comunican 4. Los procesos se monitorean y se miden 5. Las buenas prácticas se siguen y se automatizan Leyenda para símbolos usados Estado actual de la Institución Promedio de los Estados Objetivo de la Institución FUENTE: 21

22 Buenas prácticas sobre seguridad de la Información Basadas en ISO 27002:2005 FUENTE: Buenas prácticas basadas en ISO 38500:2008 Evaluar Dirigir Controlar Planes Políticas Usos de TI Actuales y Futuros Desempeño Conformidad Proyectos (Cambios por TI) Operaciones TI (Del negocio por TI) FUENTE: 3A%3BqV8EI7XF_h3npM%3Bhttp%253A%252F%252Fwww.ittrendsinstitute.org%252Fimages%252F38500.jpg%3Bhttp%253A%252F%252Fwww.ittrendsinstitute.org%252Fperspectives%252Fitem%252Fla -zona-gris%3b859%3b611 Informe Cadbury y en Principios de Gobierno Corporativo de la OCDE y Norma AS8015:

23 Buenas prácticas basadas en ITIL Biblioteca de Infraestructura de Tecnologías de Información Servicio de Diseño Estrategia de Servicio Servicio de Operación Servicio de Transición Mejora continua del servicio FUENTE: &bih=650#q=modelo+itil&tbm=isch&imgdii=_ El World Wide Web Consortium (W3C) es una comunidad internacional que desarrolla estándares que aseguran el crecimiento de la Web a largo plazo. Diseño y aplicaciones WEB Arquitectura WEB WEB Semántica WEB Servicios WEB Dispositivos http, html, browser 23

24 Certificaciones Asociación de Auditoría y Control de Sistemas de Información -ISACA - (Information Systems Audit and Control Association) Asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de Información. 24

25 Custodios del framework COBIT Desarrollaron cuatro CERTIFICACIONES: CISA - Certified Information Systems Auditor (Certificación de auditores de sistemas de información). CISM - Certified Information Security Manager, (Certificación de gestores de seguridad). CGEIT - Certified in the Governance of Enterprise IT, (Certificación de gestores de la gobernanza empresarial TI). CRISC - Certified in Risk and Information Systems Control (Certificación de gestores de control de riesgos en sistemas de información). Muchas gracias? gdeleons@contraloria.gob.gt 25