Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 1/25 CAPÍTULO 3 AUDITORÍA El Objetivo de este capítulo es introducir al alumno en los conocimientos sobre auditoría en general y auditoría informática en particular que definen sus entornos de aplicación y los tipos de controles, herramientas y metodologías de trabajo para su planificación, desarrollo y emisión de resultados sobre los aspectos auditados. Bibliografía utilizada: Además de la bibliografía mencionada en esta unidad se han tenido en cuenta para la confección de este apunte: � Piattini Velthius, Mario. “Auditoría Informática. Un Enfoque Práctico. 2da. Edición” Ed. Alfaomega – 2001 � Arens Alvin , Elder Randal , Beasley Mark. “Auditoría: Un Enfoque Integral” Ed. Pearson Educación – 2007 � Echenique Garcia, Jose. “Auditoría en Informática” Ed. MCGraw-Hill – 1995 � Federación de Consejos de Profesionales de C.Económicas. “Manual de Auditoría – Informes 5 y 6” UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 2/25 ÍNDICE INTRODUCCIÓN ..........................................................................................................3 CONCEPTO DE AUDITORÍA .............................................................................................4 TIPOS DE AUDITORÍAS .................................................................................................5 AUDITORÍA INTERNA ............................................................................................................. 5 AUDITORÍA EXTERNA ............................................................................................................. 6 AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN ...................................................................7 TIPOS DE AUDITORÍAS DE TI ................................................................................................... 8 ELEMENTOS DE LA AUDITORÍA DE TI .......................................................................................... 9 METODOLOGÍA DE TRABAJO EN LA AUDITORÍA DE TI ........................................................... 10 DEFINICIÓN DE OBJETIVOS Y ALCANCE ...................................................................................... 10 EL ESTUDIO INICIAL – RELEVAMIENTO ORGANIZACIONAL ................................................................ 14 INFORME DE DIAGNÓSTICO INICIAL ......................................................................................... 15 DETERMINACIÓN DE LOS RECURSOS DE LA AUDITORÍA ................................................................... 15 ELABORACIÓN DEL PLAN DE AUDITORÍA ..................................................................................... 16 Tipos de Controles a realizar ......................................................................................... 16 Técnicas y Herramientas de trabajo .............................................................................. 18 Técnicas y Herramientas para el análisis de datos ........................................................... 20 Técnicas y Herramientas para el análisis de Logs ............................................................. 21 ENTORNO DE APLICACIÓN ..................................................................................................... 22 PRESENTACIÓN DE CONCLUSIONES - INFORME FINAL DE AUDITORÍA .................................................. 25 Presentación de Conclusiones de Auditoría...................................................................... 25 Estructura del Informe Final de Auditoría y Plan de Acción ................................................ 25 UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 3/25 INTRODUCCIÓN La Administración de los Recursos tiene en las Organizaciones un objetivo común que es el manejo adecuado de las variables que regulan el crecimiento, adaptación al cambio para mantener competitividad en la dinámica de los mercados, el control y uso eficiente de los recursos y fundamentalmente de la eficacia en el logro de las metas y objetivos establecidos en su Plan de Negocios. La administración efectiva de la información y de la tecnología de la Información (TI) asociada se ha constituido en la herramienta fundamental para la gestión integral de las Organizaciones y en el elemento crítico para el éxito y supervivencia de las organizaciones. Esta criticidad emerge de: la creciente dependencia en información y en los sistemas que proporcionan dicha información la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las “ciber amenazas” y la guerra de información la escala y el costo de las inversiones actuales y futuras en información y en tecnología de información el potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos La gestión de riesgos, seguridad y auditoría de una Organización, en general, y de las tecnologías de la información en particular, buscan establecer las pautas para lograr el ambiente requerido analizando, detectando, verificando, exponiendo y determinando alternativas de solución sobre la administración de los recursos de TI, integrados en el contexto organizacional. Las Organizaciones requieren disponer de los medios que generen un ámbito con buen nivel de seguridad interna y un marco de protección adecuado a las necesidades e influencias del entorno, a fines de lograr el desarrollo de sus estrategias de negocios. Como consecuencia de esto será muy importante la utilización de políticas claras y buenas prácticas para la seguridad y el control de las TI cuyos objetivos estén alineados con los objetivos de la organización y que los mismos se desarrollen a partir de la perspectiva de la auditoría. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 4/25 CONCEPTO DE AUDITORÍA El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, un activo, etc. La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. En una auditoría se realiza la revisión y comprobación de los procesos, exponiendo las debilidades y disfunciones observadas, estableciendo en consecuencia las recomendaciones, sugerencias y planes de acción para su eliminación. En el diccionario de la Real Academia Española, Auditoría es la “revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse” En resumen, la auditoría es un examen metódico que se realiza paraevaluar un a, proceso u organización, a fines de verificar la concordancia de su situación real con el objetivo definido, exponiendo sus diferencias, disfunciones, debilidades y errores para mejorar su eficacia y eficiencia a través de un plan de adecuación sugerido para su logro. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 5/25 TIPOS DE AUDITORÍAS En función a la posición frente a la empresa, la autoría puede ser: Interna Externa En función a las Áreas o procesos a los que se refiera, podemos definir los siguientes tipos de Auditorías: Auditorías de Gestión Auditorías Financieras Auditorías Operacionales Auditorías de Tecnologías de Información AUDITORÍA INTERNA Es una función independiente de evaluación establecida dentro de la propia Organización para examinar y evaluar sus actividades como un servicio a la misma. Su finalidad es apoyar a sus miembros en el desempeño de sus responsabilidades y tomas de decisiones. Para ello la Auditoría Interna les proporciona análisis, evaluaciones, recomendaciones, asesorías e información sobre las actividades verificadas. Objetivos de la Auditoría Interna: � Revisión y evaluación de los controles administrativos, contables, financieros y operativos. � Divulgación y control de las políticas, planificación y procedimientos establecidos en la Organización. Análisis y determinación de sus niveles de cumplimientos. � Custodia y contabilización de los activos de toda la organización � Examen de la fiabilidad de los datos e información exacta para las gerencias UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 6/25 AUDITORÍA EXTERNA Es un examen o evaluación de la situación de una empresa, sector o proceso, realizado por profesionales o consultores independientes, externos a la Organización, con el propósito de emitir un dictamen con una opinión técnica sobre la razonabilidad o viabilidad de la situación, los niveles de cumplimientos de las normas y requerimientos técnicos que involucran a la empresa, sector o proceso en cuestión. El dictamen del Auditor Externo, además, hace referencia a aspectos sobre valuación y exposición. Objetivos de la Auditoría Externa: � Identificación de los elementos de juicio fundamentados en la naturaleza de los hechos examinados � Detección de la existencia o ausencia de errores, disfunciones o anomalías en los hechos examinados. Medición de la magnitud de los mismos. � Control de actividades de investigación y desarrollo de la Organización. � Control de las Políticas externas y estrategias definidas en el Plan de Negocio. � Redacción de Informe o Dictamen con el diagnóstico de la situación actual, sugerencias y recomendaciones con alternativas de solución sobre los inconvenientes detectados. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 7/25 AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN De acuerdo a las definiciones citadas podemos decir que toda Auditoría contiene procesos de análisis, verificación y exposición de las debilidades, errores o disfunciones detectadas en la operatoria de la Organización, con las cuales se redacta el Informe sobre diagnóstico de situación y recomendaciones en base al plan de sugerencias con las alternativas de solución más adecuadas. Así como los procesos y recursos de gestión, financieros y operativos son auditados en función de las políticas, normas y criterios de la organización, también lo deben ser los procesos y recursos (activos de información, de software, físicos, servicios, recursos humanos, etc.) relacionados con las TI. Podemos definir la Auditoría de Tecnologías de Información como un examen metódico (utilizando herramientas, procedimientos y técnicas) que se realiza para evaluar o controlar, total o parcialmente, la aplicación de las Tecnologías de Información con el fin de verificar si sus actividades se desarrollan en forma eficiente y de acuerdo a la normativa o políticas generales y específicas de la Organización, para garantizar la confiabilidad, confidencialidad y seguridad de la información, la eficacia en el logro de los objetivos establecidos y la calidad del servicio brindado. Por lo expuesto, para la realización de una auditoría de TI eficaz, se debe entender a la Organización en su más amplio sentido, diferenciando sus características y los objetivos a los que apuntan, ya sean empresas privadas o públicas, ya sean instituciones como Universidades, Ministerios, Hospitales, etc. Todas utilizan las TI para gestionar sus negocios de forma rápida y eficiente con el fin de obtener beneficios económicos o lograr sus objetivos como empresa o institución. La importancia de llevar un control efectivo se puede deducir de varios aspectos como los citados en la introducción. He aquí algunos: Los sistemas de procesamiento de datos se convirtieron en los blancos más apreciados no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso se deberá garantizar la seguridad de los sistemas denominada generalmente como Auditoría de Seguridad de la Información. Las computadoras creadas para procesar datos pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto es a veces olvidado o descuidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos, con la posibilidad de que se provoque un efecto cascada y afecte a las restantes aplicaciones y los UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 8/25 resultados generales del negocio por tomas de decisiones inadecuadas. En este caso se deberá administrar eficientemente los datos e interviene la denominada Auditoría de Datos. Un Sistema Informático mal diseñado puede convertirse en una herramienta peligrosa para la empresa: modelizaciones, simulaciones o sistemas de gestión gerencial utilizados para la toma de decisiones no puede depender de un Software y Hardware mal diseñados por cuanto afecta en forma directa al desarrollo y sustentabilidad de la organización. Esto refiere a los procesos de entrega y soporte y por tanto interviene la Auditoría de Sistemas y Soportes de Aplicaciones. TIPOS DE AUDITORÍAS DE TI Dentro de la auditoría de TI se mencionan los siguientes tipos (entre otros), sin llegar a ser independientes unos de otros: � Auditoría de la gestión: Referido a la contratación de bienes y servicios, procesos y procedimientos para la liberación de software, etc. � Auditoría de Datos: referido a la auditoría de los activos de información: Clasificación de los datos, trazabilidad del flujo de información, auditoría de integridad de la información almacenada en bases de datos, archivos, etc., conformidad con los requisitos de información de la organización. � Auditoría de Sistemas y Soporte de Aplicaciones: • Auditoría de las aplicaciones o activos de software: del software desarrollado porla organización o tercerizado • Auditoría de los procesos de desarrollo: documentación de: planes de trabajo, requisitos, diseño, pruebas, gestión de cambios, etc. � Auditoría de Seguridad de la Información • Auditoría legal de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por la legislación vigente correspondiente a la protección de datos. • Auditoría de la seguridad de la Información: Referidos a datos e información verificando disponibilidad, integridad y confidencialidad de la información. • Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de ésta. También UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 9/25 está referida a las protecciones externas (arcos de seguridad, campos magnéticos, CCTV, vigilantes, etc.) y protecciones del entorno. • Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información, transmisión y almacenamiento seguro de la información, seguridad perimetral, configuraciones de la tecnología de base. • Auditoría de las comunicaciones: Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. • Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes. • Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. ELEMENTOS DE LA AUDITORÍA DE TI � Artefactos de Entrada: • Marco de Referencia • Análisis • Verificación • Exposición de las debilidades, errores y disfunciones � Artefactos de Desarrollo (Entregables intermedios): • Relevamiento Inicial • Informe de Diagnóstico Inicial de Situación • Definición de objetivos y alcances de la Auditoría • Definición del tipo controles (metodología) • Baseline de Tiempos y Costos (Elaboración del Plan de trabajo) • Conformación de recursos ( equipo RR.HH, Oficinas y tecnologías) • Desarrollo de las actividades (Análisis, entrevistas, verificaciones, etc.) • Borrador de Recomendaciones � Artefactos de Salida: (Entregables finales) • Presentación de Conclusiones y redacción de Informe o Dictamen Final • Plan de acción (alternativas de solución) UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 10/25 METODOLOGÍA DE TRABAJO EN LA AUDITORÍA DE TI Una vez definido el concepto de Auditoría de TI e identificados los tipos, fines y utilidades de cada uno, se procede a describir la metodología de trabajo que el equipo auditor desarrollará en base a la contratación con el cliente (auditoría externa) o al requerimiento planificado por la Dirección (auditoría interna), cumpliendo con las actividades que componen el proceso de Auditoría hasta su conclusión con la entrega del Informe o Dictamen Final y Plan de acciones sugeridas. DEFINICIÓN DE OBJETIVOS Y ALCANCE Para la definición de los objetivos y alcance debe haber un acuerdo muy preciso entre el equipo auditor y cliente (interno o externo) sobre los activos (funciones, procesos, estructuras, recursos, etc.) que se auditarán en la Organización. Para ello se realiza el Estudio Inicial y Relevamiento Organizacional que permitirá tener un conocimiento global de estructura y complejidad de los procesos y redactar el Diagnostico Inicial sobre la situación relevada. Por ejemplo en la auditoría de un sistema en producción deberá acordarse previamente si se incluye o no la función de soporte técnico. Igualmente se debería acordar de antemano si se audita la percepción de los usuarios o solo la eficiencia interna del sistema, etc. Al margen de los objetivos generales y comunes de toda Auditoría de TI, se agregan entonces los objetivos específicos que se definan con el cliente o Dirección de la Organización. Para definir dichos objetivos específicos se debe tener una clara interpretación de las necesidades o pretensiones del cliente o la Dirección a fines de dar respuestas concretas sobre las mismas. Para tener una adecuada definición del alcance, se deberán expresar las excepciones o límites para especificar, documentando en este punto, cuáles son los activos que no entrarán en el proceso de auditoría. Se deben fijar los interlocutores, es decir las personas designadas por el cliente o Dirección responsables con poder de decisión y de validación dentro de la empresa para que interactúe con el equipo auditor. Asimismo se debe fijar el/los destinatario/s de los Informes. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 11/25 Para la definición de Objetivos y Alcance se podrá utilizar un marco de trabajo para las Auditorías de TI como lo es el de las normas COBIT (Objetivos de Control para la Información y Tecnologías afines) que además considera el informe de COSO (). En este marco se tienen en cuenta las siguientes pautas: � Para satisfacer los objetivos del negocio, la información necesita concordar con ciertos objetivos de control de alto nivel o requerimientos de negocio para la información. Estos son: • requerimientos de calidad: calidad, costo y entrega del servicio • requerimientos de seguridad: integridad, disponibilidad, confidencialidad • requerimientos fiduciarios: eficiencia y eficacia de operaciones, confiabilidad de la información (reportes financieros), cumplimiento de leyes, normas y acuerdos contractuales. � Considera los requerimientos de COSO, necesidades de calidad y seguridad de la empresas, a través de la definición de los siguientes criterios: • Efectividad: Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable • Eficiencia: Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos. • Confidencialidad: Se refiere a la protección de información sensible contra divulgación no autorizada. • Integridad: Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio. • Disponibilidad: Se refiere a que la información esté accesible cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. • Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente. • Confiabilidad: Se refiere a la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. � Se promueve el foco en procesos o actividades de tecnologías de la información que deben existir en la organización para cumplir con los objetivos de control de alto nivel y criterios, divididos en los siguientes dominios: UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridady Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 12/25 • Planeamiento y organización: Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiadas. • Adquisición e Implementación: Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. • Entrega de Servicios y Soporte: Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales. • Monitoreo y Evaluación: Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación de las políticas y normas. � Se apoya el control de las actividades de TI incluidas en estos dominios con objetivos de control detallados que se seleccionarán en función de las metas de TI que la organización haya definido. � Cada objetivo de control detallado implica prácticas de control que aplicarán sobre alguno de los siguientes recursos de TI: • Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. • Información: son los datos en todas sus formas de entrada, procesados y generados por los sistemas de información, en cualquier forma en que son utilizados por el negocio. • Infraestructura: es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. • Personas: personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 13/25 El resumen de COBIT puede verse en el siguiente cuadro: UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 14/25 EL ESTUDIO INICIAL – RELEVAMIENTO ORGANIZACIONAL � Organigrama: para tener un conocimiento integral de la estructura jerárquica de la Organización e identificar entre otras las funciones de mando, diseño y ejecución, se analiza su Organigrama oficial (específico del área de Sistemas y en relación al resto de la Organización), dejando observada la existencia o no de un organigrama fáctico diferente que se haya detectado a través de los flujos de información y relaciones funcionales o jerárquicas relevadas. � Estructura del Área de Sistemas y funciones: el equipo auditor hará una breve descripción la estructura del Área identificando las funciones más relevantes de cada dependencia (desarrollo, comunicaciones, soporte técnico, etc.) � Relaciones funcionales y Jerárquicas: se identifican si existen canales de información paralelos o alternativos (extraoficiales), necesarios para ejercer las funciones con eficacia y que aparecieron por ciertas fallas en la estructura oficial o bien solo por afinidades personales o simples comodidades. � Recursos: se controlarán los puestos de trabajos, cantidad de personas y funciones asignadas para detectar si existen duplicaciones de puestos, o distribución ineficiente (deficiencias o sobredimensionamientos de funciones/personal) � Entorno Operacional: en los casos que la Organización dispone de varios departamentos de sistemas, se relevará su distribución geográfica, estructuras adecuadas y uso de los mismos estándares de trabajo. � Arquitectura y configuraciones de HW y SW: se verificará además de la flexibilidad de las configuraciones y compatibilidades de los sistemas, el cumplimiento de las políticas de Seguridad Lógica de la compañía, la existencia de Planes de Contingencia, etc. � Inventario de HW y SW: se comprobará la existencia del equipamiento inventariado por la Organización (PCs, instalaciones, redes, etc.) y software disponible (adquiridos o desarrollados internamente). � Aplicaciones: se relevará antigüedad y complejidad de las aplicaciones y bases de datos, metodología de diseño y desarrollos complementarios de las mismas, manuales y documentación para mantenimiento/actualizaciones. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 15/25 INFORME DE DIAGNÓSTICO INICIAL En base al Estudio Inicial realizado y experiencia del equipo auditor, se confecciona el Informe de Diagnóstico Inicial cuyos resultados permitirán identificar los puntos débiles y fuertes, los riesgos eventuales y posibles alternativas de solución. Asimismo permitirá determinar los recursos necesarios (humanos y tecnológicos) para realizar la Auditoría. DETERMINACIÓN DE LOS RECURSOS DE LA AUDITORÍA � Equipamiento y tecnología (HW y SW): los recursos de HW necesarios para el equipo de auditoría son proporcionados por el cliente ya que los controles deberían ser realizados sobre el equipamiento auditado. Las herramientas de SW son propias del equipo auditor y se añaden a las ejecuciones de los sistemas auditados. Esto demanda un preciso detalle en las pautas de contratación sobre fechas, horas y duración de los procesos de control, equipamiento y soporte necesario compartidos o con dedicación exclusiva. � Conformación del equipo de Auditoría: los perfiles y cantidad de personal necesarios para realizar la auditoría dependerán de la complejidad y volumen del área o proceso auditable. El auditor líder o responsable del equipo, diseñará una combinación adecuada de los perfiles necesarios ya sean expertos informáticos o en organización y contables, generalmente de formación universitaria y probada experiencia multidisciplinaria. PERFILES PROFESIONALES DE LOS AUDITORES INFORMATICOS Especialidad Experiencia y Conocimientos deseables Líder o Responsable Informático Amplia experiencia en desarrollo de Proyectos IT, normas de diseño y operación de sistemas, manejo y organización de equipos multidisciplinarios Experto en Desarrollo de Proyectos Amplia experiencia como Líder de Proyectos, experto analista y experiencia en metodologías de desarrollo Experto en Administración de Bases de DatosAmplia experiencia en diseño y mantenimiento de BD. Conocimientos de productos compatibles. Técnico de Sistemas Experto en Sistemas Operativos y SW de base. Conocimiento de productos en el mercado. Experiencia en explotación Experto en Software de Especialista en tecnología de sistemas, redes y amplia UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 16/25 Comunicaciones experiencia en subsistemas de teleprocesos. Experto en Explotación y Gestión de Centros de Procesamiento de Datos Responsable de Centro de procesamiento de datos, amplia experiencia en automatización de procesos y conocimientos de sistemas Analista en Organización Experto en organización, análisis de procedimientos y flujos de información Analista de Costos Experiencia en Gestión de Costos y conocimientos en informática. ELABORACIÓN DEL PLAN DE AUDITORÍA De acuerdo al Informe de Diagnóstico Inicial y a la definición de los objetivos y alcance de la Auditoría, luego de la asignación de los recursos se define el Plan de Auditoría que, como todo Proyecto, se elabora teniendo en cuenta los siguientes criterios: � Se establecen la prioridades de activos auditables de acuerdo a los que defina el Cliente, asesorado con los conocimientos y experiencia aportadas por el equipo auditor. � Se definen los Dominios, Objetivos del Control y prácticas de control a realizar en función a las necesidades evaluadas � Se establecen las técnicas de trabajos a utilizar (Análisis de información, monitoreos, simulaciones, muestreos, etc.) � Se establecen las herramientas (entrevistas, cuestionarios, checklists, matrices de riesgos, etc.) � Se establece el Programa de Trabajo: Baseline de Tiempos con el calendario de las actividades y definición de los hitos para control de los resultados. � Se define el Presupuesto de Auditoría (Baseline de Costos) en base al Programa de Trabajo establecido y al costo de los recursos asignados al proyecto. TIPOS DE CONTROLES A REALIZAR � Controles Preventivos: reducen o eliminan las causas de los riesgos � Controles Detectivos: detectan el riesgo una vez ocurrido � Controles Correctivos: identifican y corrigen las causas del riesgo ocurrido UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 17/25 A partir de estos tipos de controles genéricos, se podrán definir prácticas de control específicas, tanto lógicas como físicas, como por ejemplo: � Controles automáticos de periodicidad de cambios de clave de acceso: (control correctivo). Este control apunta al Objetivo de Control de Alto Nivel: Requerimientos de Seguridad, Criterios: Confidencialidad - Dominio: Monitoreo y Evaluación, Actividad de TI: Monitorizar los procesos, Recursos: Infraestructura – Aplicaciones - Personas � Controles de copias de respaldo: existencia de copias de seguridad y recuperación (control preventivo). Este control apunta a los Objetivos de Control de Alto Nivel: Requerimientos de Seguridad – Requerimientos Fiduciarios, Criterios: Disponibilidad - Efectividad - Dominio: Entrega y Soporte, Actividad de TI: Asegurar el Servicio Continuo, Recursos: Infraestructura – Aplicaciones - Información � Testeo funcional de aplicaciones: se realizan previamente a la puesta en producción de software, ya sea desarrollado internamente como tercerizado (control preventivo). Este control apunta a los Objetivos de Control de Alto Nivel: Requerimientos de Calidad – Requerimientos Fiduciarios, Criterios: Eficiencia - Efectividad - Dominio: Adquisición e Implementación, Actividad de TI: Adquisición y mantenimiento de aplicaciones, Recursos: Infraestructura – Aplicaciones – Información - Personas � Controles de segregación de funciones, roles y responsabilidades: verificación de que las estructuras y asignación de funciones correspondan al nivel de entrega de servicio requerido (controles correctivos). Este control apunta a los Objetivos de Control de Alto Nivel: Requerimientos de Calidad (entrega del servicio), Criterios: Efectividad - Eficiencia Dominio: Planificación y Organización, Actividad de TI: Definir la organización y relaciones de las TI, Recursos: Personas � Controles de adecuación y evolución de la capacidad de la infraestructura actual: para la justificación que la solución de TI actual es la opción más adecuada para la empresa (control correctivo - preventivo), debe existir un plan de infraestructura tecnológica. Este control apunta a los Objetivos de Control de Alto Nivel: Requerimientos Fiduciarios, Criterios: Efectividad - Eficiencia, Dominio: Planificación y Organización, Actividad de TI: Determinar la dirección tecnológica, Recursos: Infraestructura UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 18/25 TÉCNICAS Y HERRAMIENTAS DE TRABAJO Se define a las técnicas de auditoría como “los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias”. Las técnicas y los procedimientos están estrechamente relacionados, si las técnicas no son elegidas adecuadamente, la auditoría no alcanzará las normas aceptadas de ejecución, por lo cual las técnicas así como los procedimientos de auditoría tienen una gran importancia para el auditor. Según el IMCP en su libro Normas y procedimientos de auditoría las técnicas se clasifican generalmente con base en la acción que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisión del contenido de documentos y por examen físico. Siguiendo esta clasificación las técnicas de auditoría se agrupan específicamente de la siguiente manera: � Cuestionarios: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables (evidencias). Para esto, suele ser lo habitual comenzar solicitando el cumplimiento de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado. � Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: • Mediantela petición de documentación concreta sobre alguna materia de su responsabilidad. • Mediante entrevistas en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 19/25 • Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales más importante del auditor. En ella recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. El auditor de TI entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste a una serie de preguntas variadas y con una preparación muy elaborada para que resulte sencilla y entendible para cada caso particular. � Checklist: El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior. Algunas de las preguntas de las listas de chequeo utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a distintas personas en las mismas fechas, o a las mismas en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios, reelaborando en este caso preguntas complementarias hasta lograr la homogeneidad de las respuestas. � Trazas y/o Huellas: Con frecuencia, el auditor de TI debe verificar que los programas, tanto de los Sistemas como de usuario, realizan las funciones previstas con los niveles de confiabilidad y calidad requeridos de acuerdo a las normas de la empresa. Para ello se apoya en productos de Software que, entre otras funciones, rastrean los caminos que siguen los datos a través del software. Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo. � Software de Interrogación: Hasta hace ya algunos años se han utilizado productos software llamados genéricamente “paquetes de auditoría”, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de una hipótesis de la situación real de una instalación. En la actualidad, estos productos se orientan principalmente hacia lenguajes que permiten la interrogación de archivos y bases de datos de la empresa auditada. Son utilizados solamente UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 20/25 por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación. TÉCNICAS Y HERRAMIENTAS PARA EL ANÁLISIS DE DATOS{ XE "ANALISIS DE DATOS" } � Comparación de programas: Esta técnica se emplea para efectuar una comparación de código (fuente, objeto o comandos de proceso) entre la versión de un programa en ejecución y la versión de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias. � Mapeo y rastreo de programas: Esta técnica emplea un software especializado que permite analizar los programas en ejecución, indicando el número de veces que cada línea de código es procesada y las de las variables de memoria que estuvieron presentes. � Análisis de código de programas: Se emplea para analizar los programas de una aplicación. El análisis puede efectuarse en forma manual (en cuyo caso sólo se podría analizar el código ejecutable). � Datos de prueba: Se emplea para verificar que los procedimientos de control incluidos los programas de una aplicación funcionen correctamente. Los datos de prueba consisten en la preparación de una serie de transacciones que contienen tanto datos correctos como datos erróneos predeterminados. � Datos de prueba integrados: Técnica muy similar a la anterior, con la diferencia de que en ésta se debe crear una entidad, falsa dentro de los sistemas de información. � Simulación paralela: Técnica muy utilizada que consiste en desarrollar programas o módulos que simulen a los programas del sistema auditado. El objetivo es procesar los dos programas o módulos de forma paralela e identificar diferencias entre los resultados de ambos. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 21/25 TÉCNICAS Y HERRAMIENTAS PARA EL ANÁLISIS DE LOGS Hoy en día los sistemas se encuentran expuestos a distintas amenazas que aumentan sus vulnerabilidades y al mismo tiempo que se hacen más complejos, el número de ataques también aumenta. Por este motivo las organizaciones deben reconocer la importancia y utilidad de la información contenida en los logs de los sistemas así como mostrar algunas herramientas que ayuden a automatizar el proceso de análisis de las mismas. El crecimiento de Internet y redes sociales enfatizan esta problemática, los sistemas generan una gran cantidad de información, conocidas como bitácoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, así como para los controles del auditor. Un archivo de log puede registrar mucha información acerca de eventos relacionados con el sistema que la genera los cuales pueden ser: � Fecha y hora. � Direcciones IP origen y destino. � Dirección IP que genera la bitácora. � Usuarios. � Errores. La importancia de los logs es la de Las Herramientas de análisis de bitácoras mas conocidas son las siguientes: � Para UNIX, Logcheck, SWATCH. � Para Windows, LogAgent Los logs contienen información crítica, es por ello la importancia de ser analizada, ya que posibilita la detección de comportamientos inusuales, la recuperación de información ante incidentes de seguridad, las secuencias para resolver problemas, las evidencias en aspectos legales y fundamental ayuda en las tareas de cómputo forense. El uso de herramientas automatizadas es de mucha utilidad para el análisis de logs, es importante registrar todos los logs necesarios de la totalidad de los sistemas disponibles para mantener un control integral de la información. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 22/25 ENTORNO DE APLICACIÓN La aplicación de prácticas de control de auditoría, en función de los dominios, objetivos y controles definidos puede centrarse en las siguientes áreas de aplicación: � Planeamiento y Organización: • Organización general del área de Sistemas y áreas asociadas:� Verificación de la estructura de Sistemas, dependencias y su integración con el resto de la Organización � Verificación de relaciones informales y evaluación de impactos � Revisión de las políticas del personal, niveles de cumplimientos, incorporaciones, perfiles, planes de desarrollo, estructura de compensaciones, etc. � Comprobación de la existencia de Normas y procedimientos de trabajos específicos del área. Verificación de los niveles de cumplimiento � Revisión de todo tipo de contratación relacionada con el área � Evaluación del rendimiento e incidencia de los consultores externos � Determinación del impacto de los servicios de procesamientos externos de datos (si existen) • Gestión de Proyectos: � Revisión del grado de alineamiento o relación entre los Planes de Sistemas y los Planes Estratégicos de la Organización. Control de las mediciones de avances. � Verificación de la validez de los procesos de Estimación de Proyectos � Verificación de la fiabilidad y precisión aplicados en el Estudio de Viabilidad de Proyectos � Verificación de los niveles de responsabilidad de un Proyecto y grado de participación de los usuarios � Evaluación de la Gestión de riesgos y niveles de cumplimiento � Evaluación de los estándares de calidad • Administración de la Documentación: � Verificación de los estándares de documentación y niveles de cumplimiento � Verificación del acceso denegado en Usuarios a la documentación de programación � Revisión de la documentación de Usuarios � Revisión de los procedimientos utilizados para la actualización de la documentación � Adquisición e Implementación: • Ingeniería de Requerimientos: � Evaluación de la metodología utilizada para la Gestión de Requerimientos � Evaluación de la metodología utilizada en los procesos de diseño y construcción UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 23/25 � Evaluación de los tipos de pruebas que se aplican al desarrollo e implementación de soluciones informáticas • Gestión de Adquisiciones de Hw y SW: � Verificación de los estudios de necesidades de HW y SW asociados con los proyectos definidos para el Plan de Sistemas � Revisión de la metodología utilizada en las compras y contrataciones de diferentes montos si se alinean con las normas establecidas para toda la organización • Puesta en Producción de las Soluciones Informáticas: � Verificar la integridad de los procesos de puesta en Producción y aprobación de las soluciones de SW � Comprobación de los medios de seguridad con los que contará la solución de SW implementada • Gestión de Mantenimientos y Cambios: � Verificación de los procesos de la Gestión de Mantenimiento y Cambios � Revisión de inventario o registros de mantenimientos realizados en los sistemas, analizando la prioridad y razonabilidad de los cambios aplicados � Entrega de Servicios y Soporte: • Gestión de Configuraciones: � Verificación de las versiones de programas y configuraciones de tablas de las bases en producción si son las vigentes � Revisión de la existencia de procedimientos que impidan correr versiones de programas no activos � Verificación de los procesos de incorporación de nuevos programas a las librerías productivas � Verificación de los espacios o depósitos si son adecuados para el almacenamiento de cintas y discos. Comprobación de la perfecta y visible identificación de estos medios para los casos que se requieran volver a versiones anteriores � Investigación del diario de producción y archivos de logs • Procesos de Soporte - Seguridad General: � Verificación de los planes de mantenimiento preventivo de las instalaciones � Verificación del cumplimiento y control de seguimiento de las funciones de soporte. Control de idoneidad de las personas asignadas � Comprobación de los procedimientos de prevención, detección y corrección o recuperación frente a ocurrencias de desastre � Verificación de los Planes de Contingencias y comprobación de simulacros UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 24/25 • Procesos de Soporte - Seguridad Física: � Comprobación de las condiciones ambientales si son adecuadas para el equipamiento e instalaciones � Verificación del HW inventariado � Revisión de los controles de accesos físicos � Evaluación de la eficiencia de uso del HW (revisión de la documentación y personal autorizado para su utilización) • Procesos de Soporte - Seguridad Lógica: � Verificación del SW (licencias) inventariado � Revisión de los procedimientos de planificación y mantenimiento de las aplicaciones � Comprobación de la existencia de normas documentadas sobre la administración de copias de seguridad (acceso, disposición y manejo, destrucción, etc) � Revisión del presupuesto específico dentro del área de sistema � Revisión de contrataciones de servicios externos (comunicaciones, mantenimientos de redes y versiones de SW), análisis de documentación y justificación de los contratos � Verificación de la confidencialidad e integridad de las bases de datos � Monitoreo y evaluación: • Monitorear y evaluar el desempeño de TI � Evaluación del rendimiento de un sistema en funcionamiento � Evaluación de las mediciones realizadas por el área de Sistemas � Comparación de los estándares en tiempo de ejecución de la instalación con las observaciones realizadas � Recomendación de las modificaciones necesarias para la optimización del sistema en funcionamiento • Monitorear y evaluar el control interno • Garantizar el cumplimiento regulatorio • Proporcionar gobierno de TI UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO – SISTEMAS DE INFORMACION Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Riesgos – Seguridad y Auditoría - Capítulo 3: Auditoría Autor: Lic. Sergio Gasparroni Setiembre de 2010 Revisora: Lic. Fabiana María Riva. Página 25/25 PRESENTACIÓN DE CONCLUSIONES - INFORME FINAL DE AUDITORÍA Previo a la Redacción del Informe Final de Auditoría, se confeccionan los borradores de las conclusiones sobre los controles, análisis y evaluaciones realizadas por el equipo auditor. En base a dichas conclusiones, se elaboran las recomendaciones, para evaluar conjuntamente con el cliente las diferencias o errores de apreciación. Esto permitirá la corrección o confirmación de los borradores y recomendaciones mencionadas. PRESENTACIÓN DE CONCLUSIONES DE AUDITORÍA � Se argumentan y documentan en forma objetiva las conclusiones arribadas por el equipo auditor para evitar que sean refutadas o llevadas a niveles personales durante la discusión de lo expuesto � A través de la evaluación conjunta previa con el cliente de los borradores de las conclusiones, se busca el mayor acercamiento y minimización de diferencias de apreciación a fines de lograr un adecuado consenso y evitar en lo posible el rechazo que puede causar la Auditoría al cliente o personal auditado ESTRUCTURA DEL INFORME FINAL DE AUDITORÍA Y PLAN DE ACCIÓN � Se confecciona la Carta de Introducción o Presentación del Informe Final: Consta no más de 3 o 4 folios y solo es dirigida al responsable de la empresa a cargo de la contratación de la Auditoría y acompañando al Informe dirigido al mismo. Los restantes destinos del cliente solo contarán con la copia del Informe. Incluye los objetivos, naturaleza y alcance del Proyecto, cuantificación de la importanciade las áreas analizadas, priorización y cuantificación de las debilidades mas significativas � Cuerpo del Informe Final: • Definición de los objetivos, naturaleza y alcance del Proyecto • Identificación de los entornos de aplicación de la Auditoría, detallando por cada uno de ellos: � Descripción de la situación actual (identificación concreta de los hechos con necesidades de cambios o mejoras) � Conclusiones y Tendencias (estimación en base a los parámetros relacionados) � Puntos débiles y amenazas (detalle de consecuencias deducibles de los hechos, repercusiones o influencias sobre otros aspectos de la Organización) � Recomendaciones y Plan de de Acción (específicas a cada hecho y cuantificable en el tiempo para su seguimiento y control de implementación)
Compartir