Errol Roberto Fabregat Tinajero Esteban Lpez Yez Mario Jess Santiago Maldonado Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Definicin de cursos alternativos de accin, los mecanismos adecuados a seguir y la determinacin de la asignacin de los recursos humanos y fsicos necesarios para lograr los objetivos. Que es la Planeacin? Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Para hacer una adecuada planeacin de la auditoria en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin En el caso de la auditoria en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos:
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar.
Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Alcance y objetivo de la Auditora Informtica Estudio inicial del entorno auditable Determinacin de los recursos necesarios para realizar la auditora. Elaboracin del Plan y de los programas de trabajo Actividades de la Auditora: Informe final y carta de introduccin El Mtodo de trabajo del auditor pasa por las siguientes etapas Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Definicin de Alcance y Objetivos
El alcance de la auditora deber expresa los lmites de la misma.
Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. Alcance y objetivo de la Auditora Informtica EJEMPLO Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Estudio Inicial
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informtica.
Para su realizacin el auditor debe conocer lo siguiente: Organizacin Entorno Operacional Aplicaciones bases de datos y ficheros Recursos materiales Recursos Humanos Estudio inicial del entorno auditable EJEMPLO Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Organizacin
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:
1. Organigrama: El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal circunstancia. Estudio inicial del entorno auditable EJEMPLO Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin 2. Departamentos: Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin.
3. Relaciones Jerrquicas y funcionales entre rganos de la Organizacin: El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes. EJEMPLO Estudio inicial del entorno auditable Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin 4. Flujos de Informacin: Adems de las corrientes verticales intra departamentales, la estructura organizativa cualquiera que sea, produce corrientes de informacin horizontales y oblicuas extra departamentales.
5. Nmero de Puestos de trabajo: El equipo auditor comprobar que los nombres de los Puesto de los Puestos de Trabajo de la organizacin corresponden a las funciones reales distintas.
6. Nmero de personas por Puesto de Trabajo: Es un parmetro que los auditores informticos deben considerar. La inadecuacin del personal determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organizacin. EJEMPLO Estudio inicial del entorno auditable Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Entorno Operacional
a. Situacin geogrfica de los Sistemas: Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de Datos en la empresa. A continuacin, se verificar la existencia de responsables en cada unos de ellos, as como el uso de los mismos estndares de trabajo.
b. Arquitectura y configuracin de Hardware y Software: Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado.
c. Inventario de Hardware y Software: El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control local y remotas, perifricos de todo tipo, etc.
Estudio inicial del entorno auditable EJEMPLO Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informticos realizados en la empresa auditada. Para ello debern conocer lo siguiente:
Volumen, antigedad y complejidad de las Aplicaciones Metodologa del Diseo Se clasificar globalmente la existencia total o parcial de metodologa en el desarrollo de las aplicaciones Cantidad y complejidad de Bases de Datos y Ficheros.
El auditor recabar informacin de tamao y caractersticas de las Bases de Datos, clasificndolas en relacin y jerarquas. Estudio inicial del entorno auditable EJEMPLO Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Determinacin de recursos de la auditoria Informtica
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoria. Determinacin de los recursos necesarios para realizar la auditora. EJEMPLO Auditora a los Sistemas de Informacin EJEMPLO Elaboracin del plan y de los Programas de Trabajo.
Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un plan del trabajo. Decidido ste, se procede a la programacin del mismo. Determinacin de los recursos necesarios para realizar la auditora. Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Actividades de la Auditoria Informtica
Auditoria por temas generales o por reas especficas:
La auditoria Informtica general se realiza por reas generales o por reas especficas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y mayores recursos. Actividades de la Auditora: Informe final y carta de introduccin EJEMPLO Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Informe Final
La funcin de la auditoria se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad.
Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditoria y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente. Actividades de la Auditora: Informe final y carta de introduccin EJEMPLO Informe de Auditoria Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
a) Situacin actual. Se expondr la situacin prevista y la situacin real del lugar. b) Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras. c) Puntos dbiles y amenazas. d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditoria informtica. e) Redaccin posterior de la Carta de Introduccin o Presentacin. Actividades de la Auditora: Informe final y carta de introduccin EJEMPLO Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Carta de introduccin o presentacin del informe final:
La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora.
As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:
1.Tendr como mximo 4 folios. 2.Incluir fecha, naturaleza, objetivos y alcance. 3.Cuantificar la importancia de las reas analizadas. 4.Proporcionar una conclusin general, concretando las reas de gran debilidad. 5.Presentar las debilidades en orden de importancia y gravedad. 6.En la carta de Introduccin no se escribirn nunca recomendaciones. Actividades de la Auditora: Informe final y carta de introduccin EJEMPLO Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Alcance y objetivo de la Auditora Informtica Estudio inicial del entorno auditable Determinacin de los recursos necesarios para realizar la auditora. Elaboracin del Plan y de los programas de trabajo Actividades de la Auditora: Informe final y carta de introduccin El Mtodo de trabajo del auditor pasa por las siguientes etapas Auditora a los Sistemas de Informacin PROGRAMA DE AUDITORA (CISA, CERTIFIED INFORMATION SYSTEM AUDITOR) Aplicable a cualquier tipo de organizacin El auditor puede variar el proceso de auditora segn los objetivos del negocio, las tareas del departamento, o un proceso particular en el flujo de trabajo. Todos los programas contienen una lista de objetivos, segn mandato, regulaciones, normas de la industria, etc. Un programa de auditoria es una serie en curso de las auditoras ms pequeas para asegurar que la organizacin est tomando las medidas necesarias para seguir cumpliendo la evolucin de las normativas o las condiciones del mercado. Auditora a los Sistemas de Informacin PUNTOS A CONSIDERAR Nmero de locaciones geogrficas Diversidad de productos Actividades terciarizadas (outsourcing) Necesidades de certificacin, acreditacin o registro. Preocupaciones planteadas por las partes interesadas. Complejidad de las regulaciones que afecten los contratos a auditar. Tipo, alcance y nmero de actividades a auditar Participacin requerida por subcontratistas externos Frecuencia para realizar auditorias Seguimiento de recomendaciones de auditoras anteriores. Requisitos de tiempo, costos y recursos. Interrupcin de actividades de baja rentabilidad, productos y despidos. Las organizaciones deben acoplarse al cambio del mercado, situaciones econmicas, regulaciones, etc., sin embargo independientemente del tamao solo existen 2 posibles soluciones; si el producto/ servicio es rentable continuar, sino deben ser eliminados, este cierre de producto/servicio se debe hacer junto con las oficinas y las personas involucradas.
Auditora a los Sistemas de Informacin Responsabilidades del programa de Auditoria El curso adecuado del programa de auditora es parte de la estrategia de MITIGACIN del RIESGO. Uno de los objetivos del plan de auditora es la combinacin de las necesidades globales en un solo plan de gestin centralizada. La gestin del programa de auditora generalmente incluir un sistema de gestin de auditora (AMS) con las siguientes funciones: -BD de elementos individuales, cumpliendo los objetivos de COBIT, NIST 800-53, ISO 27002, SOX). -Lista de tareas de auditora (apertura, terminado, cierre). -Procedimientos aprobados de auditora -Plantillas adecuadas y papeles de trabajo. -Matriz de habilidades para los miembros del equipo de auditora. -Funciones de programacin de recursos. -Estimacin de presupuesto. -Sistema de monitoreo de rendimiento. -Registros histricos de auditoras anteriores para su comparacin.
Auditora a los Sistemas de Informacin RECURSOS DEL PROGRAMA DE AUDITORIA Compromiso financiero: Se requiere contar con el $$$ suficiente para todo lo que involucre el proceso de auditoria, como capacitacin, viajes herramientas, personal, etc., en organizaciones bien administradas estos gastos se encuentran aprobados de manera previa para reducir costos generales.
Auditor Competente: Se requiere personal con al menos ms de dos semanas de entrenamiento anual (actualizado), tambin se debern apoyar en expertos tcnicos.
Experto Tcnico: Es un no auditor que provee conocimiento o experiencia especfica al equipo de auditora.
Auditora a los Sistemas de Informacin HERRAMIENTAS DE AUDITORA Auditora a los Sistemas de Informacin PROCEDIMIENTOS DEL PROGRAMA DE AUDITORA Plan de auditora Programacin de auditoras Asegurar la competencia de los auditores y el lder del equipo. Seleccionar adecuadamente a los equipos de auditora Asignacin de roles y responsabilidades. Realizacin de auditoras Mantenimiento de los registros del programa de auditora. Monitoreo del rendimiento y eficacia Seguimiento de quejas Informar a la alta direccin sobre los logros generales.
Auditora a los Sistemas de Informacin MATRIZ DE HABILIDADES DEL EQUIPO DE AUDITORA Auditora a los Sistemas de Informacin DIAGRAMA DE FLUJO DEL PLAN DE AUDITORA Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Estndares y normas relacionadas con la gestin y seguridad de sistemas de informacin (ISO 27001, ISO 20000-1). Auditora a los Sistemas de Informacin Que es un estndar? Estndares y normas relacionadas con la gestin y seguridad de sistemas de informacin (ISO 27001, ISO 20000-1). Es el documento establecido por consenso, aprobado por un cuerpo reconocido, y que ofrece reglas, guas o caractersticas para que se use repetidamente. Que es un norma? Son disposiciones o criterios que establece una autoridad, con el fin de regular acciones en distintos procedimientos que se deben seguir para la realizacin de las tareas asignadas. Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin ISO (la Organizacin Internacional de Normalizacin) e IEC (Comisin Electrotcnica Internacional) forman el sistema especializado para la normalizacin en todo el mundo.
Auditora a los Sistemas de Informacin Marcos para el gobierno y la gestin de las TI Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin ISO- IEC 20000 Diciembre de 2005 , proviene del estndar BS 15000
Sistema de Gestin de Servicios (SMS)
establece los requisitos que necesitan las empresas para disear, implementar y mantener la gestin de servicios TI.
establecer procesos y procedimientos para minimizar los riesgos en los negocios.
Se publico en 2 partes Se especifica la gestin de servicios de TI. Es auditable ya que establece los requisitos mnimos. Es el cdigo profesional, que describe las mejores prcticas para los procesos de gestin de servicios en el mbito de la especificacin.
Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin ISO- IEC 20000 Diseo, transicin, la entrega y la mejora de los servicios. Proporcionan valor para el cliente y el proveedor de servicios.
Establecer implementar, operar, monitorear, mantener y mejorar. Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin ISO- IEC 20000 Medicin y Revisin Polticas Objetivos Planes Requisitos de servicio. establecer, documentar y acordar. polticas, objetivos, planes y procesos para cumplir los requisitos de servicio. implementar y operar el SMS para el diseo, transicin, la entrega y la mejora de los servicios. Tomar de decisiones . Desempeo Servicios Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin ISO 270001 Se publico en 2005, desarrollada en base a BS 7799-2. Se puede implementar en cualquier tipo de organizacin Se basa en la gestin de riesgos: investigar dnde estn y como tratarlos sistemticamente.
Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin ISO 270001 En la familia del ISO 2700 existe unos que se encuentran en desarrollo, otros que son guas y el que es el principal que es el Sistema de Gestin de la Seguridad de la Informacin (SGSI). Se divide en 11 secciones: Secciones : 0 Introduccin, 1 Alcance, 2 Referencias normatividad y 3 Trminos y obligaciones : no son OBLIGATORIAS 4 a 10 son obligatorias . Contexto de la organizacin y Planificacin Liderazgo
Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin ISO 270001 Apoyo
Funcionamiento
Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin ISO 270001 Evaluacin de desempeo Mejora
Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Proporciona un modelo para establecer, implementar, utilizar, monitorear, revisar, mantener y mejorar.
sistema de gestin de la seguridad de la informacin.
ISO 270001 La Seguridad de la Informacin se define como la preservacin de la confidencialidad, integridad, disponibilidad de la informacin, a esas caractersticas se puede aadir la autenticidad, responsabilidad, no repudio y fiabilidad. Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin Maestra en Informtica Administrativa Auditora a los Sistemas de Informacin