UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS Carrera de Contaduría Pública GABINETE DE AUDITORIA DE SISTEMAS M. Sc. Miguel Cotaña Mier Lp, Septiembre 2018 4.6. Normas de Buenas Prácticas 1
INTRODUCCIÓN Desde un tiempo atrás, la sociedad es testigo de la existencia de publicaciones de normas y buenas prácticas sobre la gestión y la seguridad de las TIC s, algunas totalmente nuevas, otras con actualizaciones periódicas y otras simplemente remozadas. 2
En muchos de estos casos, estas normas y buenas prácticas están relacionadas con el gobierno de TI. La implantación de una norma, en un entorno de TI, no es un obstáculo para que los ASI puedan emitir un informe o dictamen independiente, basado en pruebas independientes, sobre la confianza que puede depositar en su TI, como soporte de su negocio e identificando los riesgos que TI puede implicar. 3
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la ASI ha promovido la creación y desarrollo de mejores prácticas como: 4
MEJORES PRÁCTICAS Las mejores prácticas son directrices que permiten a las empresas modelar sus procesos para que se ajusten a sus propias necesidades, proporcionan a las empresas y/o organizaciones métodos utilizados para estandarizar procesos y administrar de una mejor manera los entornos de TI. 5
Las empresas que deseen utilizar un enfoque basado en mejores prácticas para la estandarización de estas directrices, tienen como opción varias metodologías que serán descritas a lo largo de este capítulo. A continuación se presenta un marco en el que se pueden encerrar las mejores prácticas de la auditoría, dado que todas responden al siguiente esquema: 6
Identificación: Buscan definir las necesidades de la organización que deben ser identificadas respecto de la auditoría, así como las debilidades propias, a fin de determinar el objetivo a seguir; Administración de calidad total: Incorporan conceptos de calidad total aplicada a la auditoría sobre la base de la mejora continua, con el pertinente concepto de medición y evaluación de resultados; 7
Comunicación: Buscan establecer un proceso de comunicación interna que propenda a informar lo actuado, lo planeado y las mejoras obtenidas; Tecnología: Recomiendan emplear recursos de tecnología informática al proceso de auditorías privilegiando la eficacia, eficiencia y oportunidad en los resultados de las revisiones; 8
Interrelación externa: Proponen mantener estrechas relaciones profesionales con otras gerencias de auditoría a fin de intercambiar estrategias, criterios y resultados; Agente de cambio: Proporcionan las bases para posicionar a la Auditoría como un agente de cambio a fin de implementar la auto evaluación del control; Reingeniería de auditoría: Proponen el cambio funcional. 9
ASEGURAMIENTO DE LA INFORMACIÓN Es la base sobre la que se construye la toma de decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre de que la información sobre la que sustentan sus decisiones es confiable, segura y está disponible cuando se le necesita. 10
Definimos Aseguramiento de la Información como la utilización de información y de diferentes actividades operativas, con el fin de proteger la información, los sistemas de información y las redes de forma que se preserve la disponibilidad, integridad, confidencialidad, autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a través de comunicaciones e Internet. 11
Una tarea de aseguramiento puede darse a cualquier nivel, por lo que a continuación se describe brevemente las más importantes: Aseguramiento de los Datos: Referente la información histórica o prospectiva, probabilística e indicadores de desempeño; Aseguramiento de los Procesos: Basado principalmente en controles internos y procedimientos establecidos para la protección de intereses; 12
Aseguramiento del Comportamiento: Conformidad con normas, regulaciones o mejores prácticas; Aseguramiento del Sistema de Gestión: En la que los objetivos del negocio son establecidos para proteger a todos los involucrados: directivos y empleados. 13
ASEGURAMIENTO DE LA CALIDAD La administración del aseguramiento de la calidad valida que los SI producidos por la función de sistemas de información logren las metas de calidad y que el desarrollo, implementación, operación, y mantenimiento de dichos sistemas, cumplan con un conjunto de normas de calidad. 14
En la actualidad es más común ver que los usuarios se están haciendo más exigentes en términos de la calidad del software que emplean para realizar su trabajo, por ello actualmente el aseguramiento de la calidad ha tomado mayor importancia. Las entidades se están comprometiendo en proyectos de SI que tienen requerimientos de calidad más estrictos y se preocupan cada vez más sobre sus responsabilidades legales al producir y vender software defectuoso. 15
Debido a esto, mejorar la calidad del software es parte de una tendencia universal entre las organizaciones proveedoras para mejorar la calidad de los productos y los servicios que ofrecen, agregando valor a los controles de producción, implementación, operación y mantenimiento del software. 16
Normas de TIC Vigente a partir del 1ro. de noviembre de 2012 17
Es el examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con políticas, prácticas, procesos y procedimientos en materia de tecnologías de la información y la comunicación, para expresar una opinión independiente respecto: a) A la confidencialidad, integridad, disponibilidad y confiabilidad de la información. b) Al uso eficaz de los recursos tecnológicos. c) A la eficacia del control interno asociado a los procesos de las Tecnologías de la Información y la Comunicación. 18
La auditoría de TIC está definida principalmente por sus objetivos y puede ser orientada hacia uno o varios de los siguientes enfoques: a) Enfoque a las seguridades; b) Enfoque a la información; c) Enfoque a la infraestructura tecnológica; d) Enfoque al software de aplicación; e) Enfoque a las comunicaciones y redes. 19
1ra. Norma: PLANIFICACIÓN La auditoría de tecnologías de la información y la comunicación se debe planificar en forma metodológica, para alcanzar eficientemente los objetivos de la misma. 20
2da. Norma: SUPERVISIÓN Personal competente debe supervisar sistemática y oportunamente el trabajo realizado por los profesionales que conformen el equipo de auditoría. 21
3ra. Norma: CONTROL INTERNO Debe obtenerse una comprensión del control interno relacionado con el objeto del examen. 22
4ta. Norma: EVIDENCIA Debe obtenerse evidencia competente y suficiente como base razonable para sustentar los hallazgos y conclusiones del auditor gubernamental. 23
La acumulación de evidencia es un proceso integrado a toda la ejecución de la auditoría y debe sustentar todos los atributos de los hallazgos de auditoría: Condición: Situación deficiente encontrada. Lo que es ; Criterio: Es la norma contra la cual el auditor mide la condición. Lo que debe o debió ser ; 24
Causa: Párrafo donde el auditor detalla las razones por las cuales a su juicio, ocurrió la condición observada. Por qué ocurrió la condición ; Efecto: Es la consecuencia real o potencial, cuantitativa o cualitativa de la condición descrita. La diferencia entre lo que es y debió ser Recomendación Comentario de la entidad Conclusión. 25
Recomendaciones generales con el propósito de minimizar los riesgos y eliminar las causas detectadas que afectan a: la integridad y confiabilidad de la información gestionada en XX. COMENTARIOS Y SUGERENCIAS RESULTANTES DE LA EVALUACIÓN DE LOS SISTEMAS DE INFORMACIÓN 1 Necesidad de una Auditorías de Sistemas 2 Necesidad de actualizar e implementar normas políticas y procedimientos para la administración de las tareas relacionadas con tecnología de la información 3 Recomendaciones para la seguridad física del centro de cómputo 4 Debilidades en el proceso de desarrollo y mantenimiento de componentes y/o sistemas de información. 5 Debilidades en las copias de respaldo 6 Necesidad de implementar modificaciones y bajas automáticas en la gestión de claves. 26
3 RECOMENDACIONES PARA LA SEGURIDAD FÍSICA DEL CENTRO DE CÓMPUTO Condición Como resultado de la evaluación de seguridad física realizada al Centro de Cómputo de la Entidad, se observó que el Data Center al ser un activo informático, no se ubica en un lugar adecuado para garantizar la seguridad de los equipos donde residen los sistemas del Programa. Por otro lado, el acceso al área de sistemas ni al Centro de Cómputo es controlado, como especifica el Manual de Seguridad y Contingencias. No se aplica correctamente el Cableado Estructurado. 27
Criterio De acuerdo con la ISO 27002, en su apartado 9.2.1 "Ubicación y protección del equipamiento", los equipos deben ser ubicados y protegidos para reducir los riegos ocasionados por amenazas y peligros ambientales y oportunidades de accesos no autorizados. Asimismo, el Estándar TIA-942 se encarga de brindar los requerimientos y lineamientos necesarios para el diseño e instalación del Data Center. La aplicación de infraestructura con componentes redundantes (TIER II), infraestructura con mantenimiento simultaneo (TIER III) e infraestructura tolerante a fallos (TIER IV), control de ingreso y salida, tanto de personal autorizado y no autorizado y Cableado Estructurado, deben ser considerados a la hora de implementar un Data Center. 28
Causa Este aspecto no fue considerado con anterioridad. Efecto El no contar con infraestructura adecuada reduce las medidas de seguridad básicas de protección del equipamiento, incrementa el riesgo de que se generen accesos no autorizados a la información y que los equipos puedan sufrir amenazas físicas y ambientales las cuales deriven en la interrupción de las operaciones del programa por falta de los sistemas de información. 29
Recomendación Debería considerarse que el ambiente de procesamiento de datos cuente con las siguientes medidas como ser: Empresas que dan soporte 24/7; Servicios 24x365; Manejo térmico; Software de administración de infraestructura física diseñada como solución integral; Detección y supresión de incendios; Generadores de energía Cajas ignifugas, para el resguardo de los medios de almacenamiento removibles (tales como cintas, discos ópticos, etc.) Armarios especiales con algún tipo de dispositivo de cierre; Monitoreo y personal de seguridad 7x24; Acceso restringido a través de tarjetas de proximidad y sensores biométricos de huella, temperatura corporal y de iris; Resguardo físico por vidrios anti-balas nivel 7 y puertas de acero; Sistemas de detección de intrusos; Sistemas de análisis de seguridad de activos. 30
Comentario de la entidad: Se tomará en cuenta la presente recomendación, acorde con la propuesta de modernización de las Tecnologías de la Información presentada por la Unidad de Sistemas, evaluando la posibilidad institucional de realizar mejoras en el ambiente y otros requerimientos relacionados, si el caso amerita. 31