Proyecto Viejo

Universidad Latinoamericana de Ciencia y Tecnologa
Escuela de Ingeniera Informtica
Auditora y consultora de la Gestin Informtica Gabriel Alczar Jimnez Profesor del curso
Trabajo de investigacin Propuesta metodolgica para el desarrollo de auditoras de tecnologas de informacin al proceso de Gestin de Riesgos en el rea de Redes
Elaborado por: Manuel Araya Vega Andrey Chavarra Lobo Junior Crawford Barquero Xiomara Quirs Goi Silvia Solano Araya
IICO-09
Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez
Tabla de Contenidos
Introduccin............................................................................................................................3 Captulo I Formulacin del Problema..................................................................................4 Tema:...................................................................................................................................4 Justificacin.........................................................................................................................4 Objetivos de la Investigacin..................................................................................................6 Objetivos generales.............................................................................................................6 Objetivos especficos..........................................................................................................6 Alcance y Limitaciones.......................................................................................................7 Captulo II Marco Terico...................................................................................................8 Antecedentes de la Investigacin........................................................................................8 Bases tericas....................................................................................................................10 Captulo III Marco Metodolgico ....................................................................................13 Tipo de Investigacin........................................................................................................13 Objeto de estudio...............................................................................................................14 Evaluacin de Riesgos..................................................................................................14 Uso de la Evaluacin de Riesgos..................................................................................14 Fuentes de Informacin.....................................................................................................15 Sujetos de Informacin.....................................................................................................15 Captulo IV Propuesta........................................................................................................16 Riesgos..............................................................................................................................16 La auditora y una gua de planificacin...........................................................................23 Gua de planificacin........................................................................................................35 Diagrama de la gua......................................................................................................37 Conclusiones.........................................................................................................................38 Bibliografa...........................................................................................................................39
Proyecto final
Pgina 2 de 40
II Cuatrimestre 2009
Introduccin
Hoy en da, los sistemas de informacin funcionan por una buena administracin de la red y los sistemas telemticos, jugando un papel muy importante de proveer datos oportunos para la toma de decisiones, esto dado que cada vez los procesos de los negocios son ms dependientes de las facilidades que estos proporcionan en su efectividad. Las tecnologas de informacin, desde ya hace aos desempean funciones, procesos y tareas claves dentro de las organizaciones con el pasar del tiempo es mayor y se ha creado una co-dependencia por parte de las empresas hacia la conectividad, ya que le ofrecen un incremento significativo a su eficiencia y efectividad, con lo que se justifica las inversiones a las que recurren las entidades con el fin de superar a su competencia. Es por lo anterior que es necesario realizar auditoras peridicas y tener un control sistematizado por medio de procesos y estndares el cual logre brindarle a los dueos y/o a la gerencia general, una retroalimentacin de la evolucin y el funcionamiento de las redes tanto del software, hardware y procesos que dependen de estos. Siempre buscando el una orientacin directa a alcanzar los objetivos estratgicos de la organizacin. En este punto es cuando la auditora juega un papel primordial y una planificacin que logre estructurar un anlisis y gestin de riesgos adecuado para la gestin de los mismos que retorne resultados positivos y en base a estndares, le es de gran utilidad a los dueos, gerente o ejecutivos para tomar las medidas necesarias dentro de sus organizaciones para buscar un grado de madurez que les permita llegar a un punto de mejora continua. Proyecto final Pgina 3 de 40 II Cuatrimestre 2009
Captulo I Formulacin del Problema
Tema:
Propuesta metodolgica para el desarrollo de auditoras de tecnologas de informacin al proceso de Gestin de Riesgos en el rea de Redes.
Justificacin
El motivo de la investigacin es ampliar los conocimientos acerca de la planificacin requerida en la auditora de un anlisis y gestin de riesgos en redes, ya que toda entidad tiene que hacer frente a una variedad de riesgos, que le pueden afectar de diversas formas dentro de la actividad de su empresa. As al finalizar la planificacin de dicha auditora se podr determinar cules son los niveles de riesgo aceptables y tratar de evitar que sobrepasen esos lmites. Gestin de Riesgos, es un anlisis que contiene una complejidad de importancia ya que se deben de tomar en cuenta factores tanto a lo interno de la empresa como a lo externo para lograr un enfoque realista sobre las posibilidades de cada uno y su impacto sobre la empresa. Adems de lo anterior se debe tomar en cuenta no emprender un estudio de riesgos con la simple tarea de identificar los riesgos, sino que realizar propuestas para cada uno de ellos, en busca de evadir, disminuir o eliminar totalmente el riesgo.
Proyecto final
Pgina 4 de 40
Mediante una planificacin de una auditora, lo que se pretende es presentar una serie de conceptos y un conjunto de las mejores prcticas a realizar cuando se desee realizar una auditora en un Anlisis y gestin de Riesgos, con el fin de sentar los procedimientos para una empresa, la cual cuente con una base a seguir a travs de estudios efectuados peridicamente en busca de disminuir las prdidas ocasionadas en una planificacin o secuencia no correcta de auditora. Situaciones que podran ser previstas teniendo as una forma de contrarrestar los efectos dentro de la organizacin.
Proyecto final
Pgina 5 de 40
Objetivos de la Investigacin
Objetivos generales
1. Conocer el proceso de gestin de riesgos en redes para luego determinar los puntos de planificacin en una auditora. 2. Realizar una planificacin para la auditora en el anlisis y gestin de riesgos en redes.
Objetivos especficos
1.1 Definir los pasos claves en la planificacin de auditora para el anlisis y gestin de riesgos en redes. 1.2 Evaluar los diferentes procesos en el anlisis y gestin de riesgos en redes. 2.1 Elaborar una planificacin de auditora para el anlisis y gestin de riesgos en redes.
Proyecto final
Pgina 6 de 40
Alcance y Limitaciones
En la actualidad, las organizaciones deben considerar todas aquellas reas que afectan verdaderamente a la seguridad de la informacin e integrar una adecuada planificacin en cuanto al anlisis y gestin de riesgos de la tecnologa para alcanzar y mantener un nivel adecuado de proteccin para lograrlo de forma eficaz y apropiada. Dentro de los alcances que se han establecido para este trabajo de investigacin, es el establecer una base terica sustantiva la cual logre dar un sentido espaciotemporal a la elaboracin prctica propuesta. Lo que se desea establecer, es una planificacin de cmo se llevara a cabo una auditora en un rea en s dando un contexto y llevado a la prctica de los conceptos base de una auditora como lo son las fases, etapas y pasos a seguir. La principal limitacin que se podra presentar, es el no tener la disponibilidad para aplicar esta planeacin en una empresa como tal, dado que no se posee dicha oportunidad, lo cual ha limitado la experiencia del proyecto prctico a obtener a partir de los conocimientos recopilados tanto el rea de auditora como en redes. Una planeacin de auditora no va a poder ser aplicada de inmediato por lo que no se pretende tener una verdadera experiencia de campo.
Proyecto final
Pgina 7 de 40
Captulo II Marco Terico Marco terico referencial

Antecedentes de la Investigacin
Para el xito de una auditora es la planificacin de la misma, esta es parte importante en una de las etapas de la auditora. Esta se debe realizar de forma adecuada y permite al auditor concebir el cumplimiento de los compromisos adquiridos en la carta de presentacin. A travs de esa planificacin el auditor adems busca mantener los costos regulados y evitar malos entendidos con el cliente. Es claro que todo negocio en el rea informtica cuenta con diferentes recursos como lo son: humanos, tcnicos y de infraestructura, estos estn comprometidos a todo tipo de riesgos. Es por ello, que para minimizar el impacto o posibles efectos de un problema de seguridad se realiza un anlisis de riesgos para proteger los recursos que se disponen. Uno de los puntos importantes en redes es la seguridad, y que en toda organizacin debe proporcionar un 100% de disponibilidad. Dado que la gestin de riesgos en una red es indispensable para garantizar de forma responsable su buen funcionamiento y disponibilidad, el corroborar los procedimientos de gestin de dichos riesgos permite seguridad en el sentido de que no estamos dejando de lado ningn aspecto que a futuro pueda afectar a la red y por tanto a la organizacin. Proyecto final Pgina 8 de 40 II Cuatrimestre 2009
Los resultados del proceso de gestin de riesgos permiten a las organizaciones una identificacin y tratamiento contino en aras de tomar decisiones estratgicas para el negocio en la implementacin de controles oportunos que coadyuven al cumplimiento de los objetivos considerando la gestin de la seguridad y sus prioridades. Cada riesgo debe contar con un umbral determinado de acuerdo a las polticas definidas en cada organizacin, este umbral permite definir un lmite que en el caso que lo sobrepase significa una serie de acciones para su mitigacin.
En el caso del anlisis y gestin de riesgos en redes, se debe identificar los recursos en forma especfica para as conocer su alcance. Esto tanto en software y hardware; los cuales son recursos tangibles, y tambin los recursos intangibles como lo es por ejemplo la capacidad de continuidad del hardware. Esto se podra hacer de forma generalizado ya que esto depende de cada organizacin, su funcionalidad, sus seguros, sus normas, su manipulacin y el control que existen de los anteriores puntos. Es aqu donde la planificacin de una auditora, la cual busca verificar que efectivamente la informacin que arroga el anlisis y gestin de riesgos en redes se acerca a la realidad de la organizacin.
Para alcanzar una planificacin de auditora es necesario conocer los elementos que se buscan evaluar en el anlisis y gestin de riesgos en redes.
Proyecto final
Pgina 9 de 40
Bases tericas
La auditora en sistemas de informacin se puede definir como una verificacin de los controles en el procesamiento de los datos con el fin de evaluar su eficiencia y efectividadi, lo cual genera a su postre una serie de recomendaciones para las juntas directivas o entes superiores para que as puedan ser tomadas en cuenta para mejorar los aspectos referentes a las rea de tecnologa de informacin. Una correcta investigacin y recopilacin de pruebas en una auditora debe de analizar por lo menos los siguientes aspectos como mnimo: Salvaguarda de activos: daos, destruccin, uso no autorizado, robo, etc. Integridad de datos: informacin precisa, completa, oportuna y confiable. Metas organizacionales: contribucin de la informtica para las mismas. Consumo de recursos: se da un uso adecuado de los recursos en el procesamiento de la informacin.
Cuando se hace referencia de la auditora, se llama tambin de una revisin independiente, basada en evidencia, por medio de normas y obtenido de muestras de las polticas, prcticas, normas, funciones, procesos, procedimientos e informes relacionados con los sistemas que integran el rea de las tecnologas de informacin de una organizacin en busca de la continua mejor en cuanto a el uso de los recursos informticos, la validez de la informacin que es obtenida de los datos almacenados y la eficiencia y efectividad de los controles con los cuales trabaja la empresa.
Proyecto final
Pgina 10 de 40
Dentro de los principales objetivos de una Auditora de Sistemas de informacin podemos mencionar:
Formar un criterio de la situacin en la que se encuentra el rea de tecnologas de informacin, las actividades y esfuerzos que son necesarios para lograr los objetivos propuestos tanto para el departamento como los dichos para la empresa como tal. Velar por la seguridad del recurso humano, los datos almacenados, el hardware y el software utilizados. Identificar y validar el apoyo que est brindado el rea informtica para la obtencin de las metas y objetivos institucionales. Mitigar los riesgos detectados dentro del rea de TI Ofrecer un anlisis de la seguridad, utilidad, confiabilidad, privacidad y disponibilidad de los distintos elementos que conforman un rea de TI. Realizar una serie de conclusiones y recomendaciones para mejorar los controles en los Sistemas Informativos.
Pese a la importancia de las Auditoras en Sistemas de informacin, muchas empresas, no las realizan de manera estructurada dentro de sus actividades por lo que surgen una diversidad de inconvenientes que pueden ser mitigados gracias a este tipo de estudios.
Proyecto final
Pgina 11 de 40
Algunas de las razones ms destacadas para la elaboracin de una Auditora se detallan a continuacin:
Un aumento en el presupuesto del rea de TI. Un desconocimiento por parte de las Juntas Directivas del rumbo de los departamentos de informtica. Una falta de seguridad a nivel lgico y fsico. Falta de documentacin de sus procesos lo cual reduce la eficiencia de los mismas ya que no se encuentran estructurados por medio de normativas ya sea institucionales, nacionales o internacionales. Una baja en el rendimiento de la institucin como tal debido al uso indebido de los recursos informticos disponibles.
Es importante destacar que el tener los recursos informticos, actualmente, ya no es un elemento de distincin dentro de un ambiente competitivo, lo que en realidad crea una diferenciacin es la forma en que estos recursos son administrados y utilizados para sacar el mayor provecho de los mismos y es ah donde la Auditora de Sistemas de informacin tiene suma importancia.
Proyecto final
Pgina 12 de 40
Captulo III Marco Metodolgico

Para este trabajo se utilizar el mtodo investigativo el cual permite realizar diversas recopilaciones con el fin de buscar la informacin requerida y necesaria, logrando as contestar en tiempo y forma el trabajo de investigacin. Adems de la exgesis de de la informacin a la luz de la teora se utiliz el mtodo analtico para poder interpretar los datos.
Tipo de Investigacin
Tomando como base los objetivos planteados anteriormente para este estudio resulta de importancia sealar que para efectos propios de la investigacin, los mtodos seleccionados sern de forma analticos y descriptivos. Analtico, porque adems de analizar los distintos factores que se ven envueltos en una auditora, se va a realizar una propuesta de planificacin de la misma como lo es en el rea de redes de una empresa. Tambin se le agrega el calificativo de descriptivo, por cuanto se har referencia a las distintas fases, etapas y pasos de una auditora.
Proyecto final
Pgina 13 de 40
Objeto de estudio Evaluacin de Riesgos

Al realizar una bsqueda de las diferentes metodologas existentes para la evaluacin de riesgos se encontraron disponibles gran variedad de ellas. stas varan de acuerdo al nivel del riesgo y basados de acuerdo al juicio experto, hasta tambin clasificador de acuerdo a clculos complejos y que proveen una clasificacin numrica del mismo. En todas las metodologas existentes de evaluacin de riesgos va a depender de decisiones y juicios subjetivos de acuerdo al proceso presente en la compaa.
Uso de la Evaluacin de Riesgos

Al desarrollar el plan global de la auditora y realizar la planificacin de cada una de las auditoras especficas se debe utilizar tcnicas de evaluacin de riesgos, que en combinacin con otras tcnicas de auditora debe tenerse en cuenta en las decisiones de planificacin relacionadas con1:
1
La naturaleza, el alcance y la oportunidad de los procedimientos de auditora. Las reas o funciones de negocio a auditar. El tiempo y los recursos a asignar a cada una de las auditoras.
La Evaluacin de Riesgos en la Planificacin de Auditoras de TI. Recuperado el 14 de julio de 2009, de http://www.iaia.org.ar/elauditorinterno/02/articulo3.html
Proyecto final
Pgina 14 de 40
Fuentes de Informacin
Dentro de las fuentes a las que se acudirn y de donde se buscar obtener informacin para la confeccin del proyecto, prevalecen la informacin y material de tipo primario (textos didcticos de auditora) y secundarios (manuales, materiales de auditoras realizadas en el pasado por parte de diversas entidades a las cuales se pueda tener un acceso libre), sobre los sujetos de informacin debido a que su calidad y cantidad satisfacen por el grado de complejidad que ofrecen, en detrimento de los sujetos de informacin.
Sujetos de Informacin
Los sujetos de informacin constituyen una forma rpida, personal y efectiva para obtener la informacin necesitada, debido a la facilidad existente en aspectos tales como la comunicacin y la posibilidad de evacuar dudas referentes a algn tema en particular, logra reducir el tiempo perdido en detalles no aplicables al proyecto. De tal modo se recurrir a entrevistar funcionarios involucrados en el rea de Redes en diversas empresas adems de encontrar dentro del equipo de trabajo con un experto en la materia y para el rea especfica de la auditora se tendr al profesor y personal obtenido mediante redes de contactos los cuales realizan o han estado expuestos a auditoras en diversas reas.
Proyecto final
Pgina 15 de 40
Captulo IV Propuesta
Riesgos
La Gestin de riesgos La gestin de riesgos tiene por funcin identificar, estudiar y si es posible eliminar las fuentes de riesgo antes de que empiecen a amenazar a la organizacin. En el ltimo ao la gestin de riesgos se ha ubicado en el puesto nmero cuatro en la lista de prioridades de las empresas segn se menciona en la pgina de Microsoft y por un estudio de la consultora Gartner. Tambin se hace mencin, que el rea de redes, y por el acceso de informacin a travs de Internet han abierto agujeros en la seguridad que podran llegar a convertirse en un problema serio si no se hace un anlisis de riesgos adecuados. En la gestin de riesgos intervienen varios elementos, los cuales se estudiarn a fondo a continuacin, esto para tener una visin clara de cmo trabaja la gestin de riesgos.
Amenazas Segn la ISO27000 las amenazas son causa potencial de un incidente no deseado, el cual puede causar el dao a un sistema o la organizacin, es decir, son factores que pueden ser perjudiciales para la organizacin. Una amenaza es disparada por una vulnerabilidad, conocida o no, de algn sistema o la misma
Proyecto final
Pgina 16 de 40
infraestructura. Es este elemento el que comienza el ciclo en el tratamiento de los riesgos. Vulnerabilidades Se entiende como debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo. Una vulnerabilidad puede ser desde un cable suelto, una puerta sin seguridad, hasta puertos abiertos en un firewall que permitan la entrada de intrusos. Activos Los activos son bsicamente cualquier cosa que tenga valor para la institucin. Por ejemplo, una computadora, un telfono e incluso piezas de software y licencias. Valor de los activos Se trata del valor que tenga el activo en la compaa no slo monetario, sino tambin estratgico en el negocio. Requerimientos de seguridad Los requerimientos de seguridad implican un estudio minucioso para poder ser abstrados, de forma que den una visin de lo necesario para mitigar riesgos potenciales en la organizacin.
Proyecto final
Pgina 17 de 40
Qu es un riego? "El potencial de que una amenaza determinada se proveche de las
vulnerabilidades de un activo o grupo de activos y ocasione prdida o dao a los activos. El impacto o severidad relativos del riesgo es proporcional al valor de la perdida/dao y a la frecuencia estimada de la amenaza para el negocio."ii Controles Tambin conocido como salvaguarda o contramedida, son las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumidoiii. Todos los elementos anteriores son parte de un ciclo en donde el riesgo es el centro del mismo. La forma en que se relacionan es la siguiente: Las amenazas aprovechan las vulnerabilidades conocidas o no de la organizacin aumentando los riesgos. stas a su vez, exponen los activos de la empresa a un posible dao o la prdida del mismo. Los activos tienen un valor que no slo es monetario, sino tambin estratgico para la empresa, de modo que si sufre algn percance se pueden dar prdidas en cuanto a negocios, dinero, costos de operacin, etc. Cuanto ms valor posea, ms aumenta el riesgo, y se da un impacto si se materializa. Los riesgos marcan requerimientos de seguridad por cuanto stos ayudan a mitigarlos. Los requerimientos de seguridad establecidos imponen controles que ayudan a disminuir los riesgos amenazas. Proyecto final Pgina 18 de 40 II Cuatrimestre 2009 y protegen de las
Gestionando los riesgos De acuerdo a lo mencionado al ISO 27000 al identificar todos los elementos anteriormente mencionados se debe continuar con una serie de etapas que permiten realizar un anlisis de riesgos, donde hacen hincapi de donde deben estar ubicados para as lograr un anlisis efectivo. Para dar tratamiento a los riesgos es importante seguir una metodologa, un orden, el cual brinde un efectivo conocimiento de los mismos y una solucin de cmo mitigarlos. Este tratamiento trabaja como un flujo, en el cual intervienen varios pasos, los cuales se describen a continuacin:
Planificacin La etapa inicial, y muy importante para as precisar a donde y como se quiere llegar a la meta propuesta, es la etapa de la planificacin. En ella se definen el alcance, la poltica y la metodologa a seguir. Este es el primer paso para comenzar a trabajar con los riesgos, ya que nos ayuda a llevar el orden y la visin clara del rumbo que se debe tomar. En la planificacin se debe definir el alcance que tendr la actividad de riesgos por cuanto es importante marcar el terreno para trabajar sobre el mismo. Otro punto en la planificacin es establecer las polticas que se van a seguir en el proceso, permitiendo establecer planteamientos de participacin democrticos por parte de los involucrados. Adems se debe establecer una metodologa sobre la cual se
Proyecto final
Pgina 19 de 40
trabajar que asegure la obtencin precisa de los datos y el reconocimiento de riesgos de manera ms visible. Una vez que se ha definido lo requerido en la planificacin y con ello se tiene establecido lo que se desea lograr, se pasa a la etapa de identificacin y el anlisis de los riesgos. Aqu ya se tiene claro y determinado los conceptos como lo son: activos, amenazas y vulnerabilidades, y con ello la redaccin de los riesgos hallados a travs de la identificacin de los mismos.
Identificacin y anlisis Al determinar y conocer los riesgos presentes se hace un anlisis de los mismos, el costo y los beneficios. Esto permite conocer si el costo de su prevencin es mayor que el costo que si este se materializar. Se debe hacer un anlisis
cualitativo y cuantitativo de los mismos para as priorizar y evaluar las acciones a tomar por los resultados obtenidos en cuenta a la ocurrencia y el impacto. Este paso es en donde se hace la abstraccin de posibles riesgos para posteriormente ser analizados. Aqu se identifican los activos que pueden ser afectados, las amenazas que estn presentes sobre esos activos y las vulnerabilidades que aprovechan las amenazas. Esto nos muestra los riesgos presentes en el entorno, los cuales se someten a un anlisis. Este anlisis nos lleva a determinar los costos/beneficios en el caso de minimizar el riesgo, es decir, cunto puede costar el quitar el riesgo y si el beneficio de ello amerita realizar el gasto.
Proyecto final
Pgina 20 de 40
Direccin Es aqu donde se hacen las decisiones de cmo tratar el riesgo ya que puede haber varias formas de minimizarlo, por cuanto se debe buscar la ms viable en el caso de que pueda tratarse. Ahora bien, el hecho de que el riesgo sea minimizado no indica que haya desaparecido del riesgo, lo que se llama riesgo residual. Este es aceptado por la organizacin. En la etapa de la direccin se debe de identificar el agente de cada uno de los riesgos, esto se refiere a lo que va a ser afectado por el riesgo, despus el responsable (quien lo va a gestionar) de cada uno de los riesgos. As se
determina que la gestin de los riesgos tiene que ser proactiva y por lo tanto tiene un costo.
Existen varias formas de tratar el riesgo, dependiendo de las posibilidades, las direcciones a tomar seran las siguientes: Mitigar el riesgo: Mediante controles tales como la seleccin de una arquitectura como SOA para brindar soporte en la minimizacin de los riesgos e implantarla. Transferir el riesgo: Dependiendo del riesgo es posible recurrir a una aseguradora o proveedor para que, en el caso de que el riesgo se convierta en problema, stos puedan responder efectivamente, por ejemplo en el caso de un switch que se dae, el proveedor puede reemplazarlo rpidamente y, aunque el riesgo ocurri, la empresa no tuvo que correr por el equipo.
Proyecto final
Pgina 21 de 40
Aceptar el riesgo: Esta decisin se toma cuando slo el hecho de hacer algo para minimizar el riesgo es ms costoso que el no hacer nada por lo que es mejor dejar que ocurra.
Evitar el riesgo: Los riesgos los origina alguna causa, por lo tanto se puede optar por eliminar esa causa y a su vez el riesgo.
Proyecto final
Pgina 22 de 40
La auditora y una gua de planificacin

Introduccin Planificacin de Auditora El desarrollo de la Informtica y la existencia de aplicaciones de procesamiento de datos orientados a la gestin, as como el constante crecimiento, junto con la necesidad de dar a las organizaciones un instrumento de control que da una buena expectativa a un costo razonable y mejorar constantemente el control, constituyen la base sobre lo que es el principio de practicar auditoras. Por otra parte la auditora no solamente es una herramienta de control y supervisin sino que contribuye a la creacin de una cultura de la disciplina de la organizacin, permitiendo descubrir vulnerabilidades existentes en la organizacin. Por esto la preparacin y planificacin de la auditora es la fase ms importante del proceso de la auditora, tomando en cuenta que en la planificacin se determinan los objetivos y el alcance de la evaluacin. Se requieren varios pasos para realizar una auditora. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditora que consta de los objetivos de control y procedimientos de auditora que deben satisfacer esos objetivos. El proceso de auditora exige que el auditor de sistemas rena evidencia, evale fortalezas y debilidades de los controles existentes
Proyecto final
Pgina 23 de 40
basado en la evidencia recopilada y que prepare un informe de auditora que presente esos temas en forma objetiva a la gerencia. Para que as la gerencia de auditora pueda garantizar una disponibilidad y una adecuada asignacin de recursos para realizar el trabajo de auditora, adems de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia. Desarrollo Planificacin de la auditora
La planificacin de auditoras es una tarea comn a todos los sistemas de gestin. En la planificacin determinamos qu se va a auditar, cundo, y quin lo va a hacer. La planificacin ha de compatibilizar las necesidades de verificar que todo funciona bien, con la disponibilidad de la organizacin.2 El primer paso para realizar auditoras de sistema eficaces es una planificacin adecuada. Por lo tanto el auditor de sistemas debe comprender el ambiente del negocio en el que se va a realizar la auditora as como los riesgos del negocio y control asociado. Algunas de las reas que deben ser cubiertas durante la planificacin de la auditora se van a detallar a continuacin.
Planificacin de Auditoras. Recuperado el 30 de julio de: http://www.portalcalidad.com/etiquetas/238-
Planificacion_de_auditorass
Proyecto final
Pgina 24 de 40
Proyecto final
Pgina 25 de 40
Comprensin de su ambiente y del negocio. El auditor de sistemas debe tener una comprensin del ambiente total que se revisa al planificar una auditora. Debe incluir una comprensin general de las diversas prcticas comerciales y funciones relacionadas con el tema de la auditora, as como los tipos de sistemas que se utilizan. El auditor de sistemas tambin debe comprender el ambiente normativo en el que opera el negocio. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensin del negocio son: Recorrer las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes. Entrevistas a gerentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisin de planes estratgicos a largo plazo. Revisin de informes de auditoras anteriores.
Riesgo y materialidad de auditora. Se puede definir los riesgos de auditora como aquellos riesgos en que la informacin pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido.
Proyecto final
Pgina 26 de 40
Los riesgos en auditora se pueden clasificar de la siguiente manera: Riesgo inherente: Cuando un error material, no se puede evitar a que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusin de que no existen errores materiales cuando en realidad los hay. En una auditora de sistemas de informacin, la definicin de riesgos materiales depende del tamao o importancia del sujeto auditado as como de otros factores. El auditor de sistemas debe tener una completa comprensin de estos riesgos de auditora al planificar. Una auditora tal vez no detecte cada uno de los potenciales errores. Pero, si el tamao de la muestra es lo suficientemente grande, o se utiliza procedimientos estadsticos adecuados que llega a minimizar la probabilidad del riesgo de deteccin. De igual manera al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mnimo, pero ese error combinado con otros, puede convertir en un error material para todo el sistema. La materialidad en la auditora de sistemas debe ser considerada en trminos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario.
Proyecto final
Pgina 27 de 40
Tcnicas de evaluacin de Riesgos. Al determinar las reas funcionales o temas de auditora que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de argumentos para la auditora, el auditor de sistemas debe evaluar esos riesgos y determinar cules de esas reas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluacin de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditora. Garantizar que se ha obtenido la informacin pertinente de todos los niveles gerenciales, y garantiza que las actividades de la funcin de auditora se dirigen correctamente a las reas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base para la organizacin de la auditora a fin de administrar eficazmente el departamento. Proveer un resumen que describa como el tema individual de auditora se relaciona con la organizacin global de la empresa as como los planes del negocio. Objetivos de controles y de auditora. El objetivo de un control es anular un riesgo siguiendo alguna metodologa, el objetivo de auditora es verificar la existencia de estos controles y que estn funcionando de manera eficaz, respetando las polticas de la empresa y los objetivos de la empresa. Como objetivos de auditora de sistemas, la informacin de los sistemas de informacin deber estar resguardada de acceso incorrecto y Proyecto final Pgina 28 de 40 II Cuatrimestre 2009
se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditora se consiguen mediante los procedimientos de auditora. Procedimientos para la auditora. Algunos ejemplos de procedimientos de auditora son: Revisin de la documentacin de sistemas e identificacin de los controles existentes. Entrevistas con los especialistas tcnicos a fin de conocer las tcnicas y controles aplicados. Utilizacin de software de manejo de base de datos para examinar el contenido de los archivos de datos. Tcnicas de diagramas de flujo para documentar aplicaciones automatizadas.
Proyecto final
Pgina 29 de 40
Programa de auditora. Un programa de auditora es un conjunto documentado de procedimientos diseados para alcanzar los objetivos de auditora planificados. El esquema tpico de un programa de auditora incluye lo siguiente:
1. Tema de auditora: Donde se identifica el rea a ser auditada.
2. Objetivos de Auditora: Donde se indica el propsito del trabajo de auditora a realizar. 3. Alcances de auditora: Aqu se identifica los sistemas especficos o unidades de organizacin que se han de incluir en la revisin en un perodo de tiempo determinado. 4. Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones donde se va auditar. 5. Procedimientos de auditora:

Recopilacin de datos. Identificacin de lista de personas a entrevistar. Identificacin y seleccin del enfoque del trabajo Identificacin y obtencin de polticas, normas y directivas. Desarrollo de herramientas y metodologa para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicacin con la gerencia. Procedimientos de seguimiento.
Proyecto final
Pgina 30 de 40
El programa de auditora se convierte tambin en una gua para documentar los diversos pasos de auditora y para sealar la ubicacin del material de evidencia Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las polticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las polticas o procedimientos son eficaces. Asignacin de Recursos de auditora. La asignacin de recursos para el trabajo de auditora debe considerar las tcnicas de administracin de proyectos las cuales tienen los siguientes pasos bsicos: Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible. Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algn mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las hojas de control de tiempo. Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas. El control se puede llevar en un diagrama de Gantt Los recursos deben comprender tambin las habilidades con las que cuenta el grupo de trabajo de auditora y el entrenamiento y experiencia que estos tengan. Tener en cuenta la disponibilidad del personal para la realizacin del trabajo de
Proyecto final
Pgina 31 de 40
auditora, como los perodos de vacaciones que estos tengan, otros trabajos que estn realizando, etc. Tcnicas de recopilacin de evidencias. La recopilacin de material de evidencia es un paso clave en el proceso de la auditora, el auditor de sistemas debe tener conocimiento de cmo puede recopilar la evidencia examinada.

Revisin de las estructuras organizacionales de sistemas de informacin. Revisin de documentos que inician el desarrollo del sistema, especificaciones de diseo funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc, estos no necesariamente se encontrarn en documentos, si no en medios magnticos para lo cual el auditor deber conocer las formas de recopilarlos mediante el uso del computador.
Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. Observacin de operaciones y actuacin de empleados, esta es una tcnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditora.
Auto documentacin, es decir el auditor puede preparar narrativas en base a su observacin, flujo gramas, cuestionarios de entrevistas realizados. Aplicacin de tcnicas de muestreo para saber cundo aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras.
Proyecto final
Pgina 32 de 40
Evaluacin de fortalezas y debilidades de auditora. Luego de desarrollar el programa de auditora y recopilar evidencia de auditora, el siguiente paso es evaluar la informacin recopilada con la finalidad de desarrollar una opinin. Para esto generalmente se utiliza una matriz de control con la que se evaluar el nivel de los controles identificados, una vez completada, la matriz muestra las reas en que los controles no existen o son dbiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control. En esta parte de evaluacin de debilidades y fortalezas tambin se debe elegir o determinar la materialidad de las observaciones o hallazgos de auditora. El auditor de sistemas debe juzgar cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de acuerdo a ello.
Proyecto final
Pgina 33 de 40
Informe de auditora. Los informes de auditora son el producto final del trabajo del auditor de sistemas, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aqu tambin se expone la opinin sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditora, generalmente tiene la siguiente estructura o contenido:
Introduccin al informe, donde se expresara los objetivos de la auditora, el perodo o alcance cubierto por la misma, y una expresin general sobre la naturaleza o extensin de los procedimientos de auditora realizados.
Observaciones detalladas y recomendaciones de auditora. Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas. Conclusin global del auditor expresando una opinin sobre los controles y procedimientos revisados.
Seguimiento de las observaciones de auditora. El trabajo de auditora es un proceso continuo, se debe entender que no servira de nada el trabajo de auditora si no se comprueba que las acciones correctivas tomadas por la gerencia, se estn realizando, para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento depender del carcter crtico de las observaciones de auditora. El nivel de revisin de seguimiento del auditor de sistemas depender de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situacin actual, en otros casos tendr que hacer una revisin ms tcnica del sistema. Proyecto final Pgina 34 de 40 II Cuatrimestre 2009
Gua de planificacin
Hoy en da los temas relacionados con la auditora en el rea de Tecnologas de informacin, y tal como se ha mencionado en diferentes ocasiones en el trabajo, tienen mayor importancia debido a que la informacin y la seguridad de la misma es uno de los activos de mayor valor. Es por lo anterior que la Asociacin para la Auditora y Control de Sistemas (ISACA, en ingls: Information Systems Audit and Control Association), a travs de las investigaciones de sus expertos, aport un modelo que permite el manejo de la informacin por medio de buenas prcticas. Este modelo tiene por nombre Objetivos de Control para la informacin y tecnologas relacionadas (COBIT, en ingls: Control Objetives for Information and related technology). La cual define estndares y conducta profesional para la gestin y el control. Anteriormente se explic en qu consiste un anlisis de riesgos y la auditora en s, adems de que ambas deben ser actividades que tienen que renovarse en forma continua. Es as como las entidades de direccin estn en permanente alerta de identificar las situaciones que cambien el entorno y por lo tanto los riesgos a enfrentar. La planificacin de la auditora es la fase ms importante del proceso de auditora, tomando en consideracin que en ella se determinan los objetivos y el alcance. Es necesario adems, que el auditor comprenda el ambiente del negocio en el que va a realizar la auditora, antecedentes del rea, lo que va a revisar y logre identificar las habilidades y recursos tcnicos que se necesitan.iv Una vez que el auditor haya cubierto los aspectos mencionados debe determinar el inicio de la auditora y el orden de la misma, se determina la gua prctica de una planificacin de auditora para un anlisis de gestin de riesgos.
Proyecto final
Pgina 35 de 40
Proyecto final
Pgina 36 de 40
Diagrama de la gua
Conocimiento del rea
Definicin del alcance y recursos necesarios
Recoleccin de datos
SIMPLIFICACIN Y SECUENCIA
Identificacin de la auditora a realizar
Muestra por revisar y procedimientos Registro de los datos
Programa de auditora
Revisin contina del alcance
Aspecto a revisar (Gestin de Riesgos)
Identificacin de responsabilidades
Revisin de objetivos de control
Anlisis de la informacin
Universo
Evaluacin de los resultados
Proyecto final
Pgina 37 de 40
Conclusiones
Proyecto final
Pgina 38 de 40
Bibliografa
Diagrama de Gantt. Recuperado el 31 http://es.wikipedia.org/wiki/Diagrama_de_Gantt de julio de 2009, de:
Normas Tcnicas y Procedimientos de auditora informtica. Recuperado el 20 de julio de 2009, de: http://olea.org/~yuri/propuesta-implantacion-auditoriainformatica-organo-legislativo/ch03s03.html Planificacin de Auditoras. Recuperado el 30 de julio http://www.portalcalidad.com/etiquetas/238-Planificacion_de_auditorass de:
Secretara de contralora y Desarrollo Administrativo. Auditora Pblica. Recuperado el 3 de agosto de 2009, de http://74.125.47.132/search? q=cache:1AXdt59m5EJ:www.funcionpublica.gob.mx/pt/obligaciones_transparencia_art_7/sfp/doctos/gui a_auditoria.pdf+gu%C3%ADa+de+auditoria&cd=1&hl=es&ct=clnk&gl=cr Introduccin a la Auditora. Recuperado el 15 de julio de 2009, de: http://www.luisbonilla.com/contabilidad/apuntescontables/introduccionauditoria.htm La Evaluacin de Riesgos en la Planificacin de Auditoras de TI. Recuperado el 14 de julio de 2009, de http://www.iaia.org.ar/elauditorinterno/02/articulo3.html Alczar, Gabriel. El proceso de auditora en Sistemas de Informacin. ULACIT. II Cuatrimestre 2009
Proyecto final
Pgina 39 de 40
Seguridad de Informacin y Auditora de Sistemas. Hacienda. Recuperado el 4 de agosto de 2009, de http://74.125.47.132/search?q=cache:y64p-SQGJJEJ:www.hacienda.go.cr/centro/datos/Articulo/Seguridad%2520de %2520la%2520informaci%25F3n%2520y%2520auditor%25EDa%2520de%2520sistemas.doc+La+auditor %C3%ADa+en+sistemas+de+informaci%C3%B3n+se+puede+definir+como+una+verificaci %C3%B3n+de+los+controles+en+el+procesamiento+de+los+datos+con+el+fin+de+evaluar+su+eficiencia+y+efectividad& cd=3&hl=es&ct=clnk&gl=cr ii Alczar, Gabriel. El proceso de Auditora en Sistemas de Informacin. ULACIT. II cuatrimestre 2009 iii Seguridad de la Informacin. Glosario de Trminos. Recuperado el 31 de julio de 2009, de http://seguridad.cai.es/paginas/paginafinal.asp?idNodo=223 iv Alczar, Gabriel. El proceso de Auditora en Sistemas de Informacin. ULACIT. II cuatrimestre 2009

Proyecto Viejo

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Proyecto Viejo

Caricato da

Copyright:

Formati disponibili

Universidad Latinoamericana de Ciencia y Tecnologa

Escuela de Ingeniera Informtica

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Captulo I Formulacin del Problema

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Captulo II Marco Terico Marco terico referencial

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Captulo III Marco Metodolgico

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Objeto de estudio Evaluacin de Riesgos

Uso de la Evaluacin de Riesgos

La Evaluacin de Riesgos en la Planificacin de Auditoras de TI. Recuperado el 14 de julio de 2009, de http://www.iaia.org.ar/elauditorinterno/02/articulo3.html

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Qu es un riego? "El potencial de que una amenaza determinada se proveche de las

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

La auditora y una gua de planificacin

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Planificacin de Auditoras. Recuperado el 30 de julio de: http://www.portalcalidad.com/etiquetas/238-

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa

Auditora y consultora de la Gestin Informtica Profesor: Gabriel Alczar Jimnez

Universidad Latinoamericana de Ciencia y Tecnologa