Auditoría y Seguridad Informática: Guía Completa

AUDITORÍA Y SEGURIDAD INFORMÁTICA

CA402

Unidad I. Auditoría de Sistemas

¿Por qué Auditar?

La vulnerabilidad acarreada por los computadores.

• Impacto de los computadores sobre las tareas de auditoría.
• La adecuación de las normas de auditoría a un entorno electrónico.

Auditar

Ejercer control sobre una determinada acción.

¿Dónde auditamos a menudo?

• A nivel personal.
• A nivel laboral.
• A nivel académico.

Control

Actividad/es o acción/es realizadas por uno o varios elementos de un sistema, que tienen como finalidad la prevención, detección y corrección de errores que afecten la homeostasis del sistema.

Etimología - AUDITORIUS

• Latín: Auditor, que tiene la virtud de oír.

Diccionario - AUDITOR

• Revisor de cuentas colegiado.

Auditoría

Es el examen de la información por TERCERAS partes, distintas de quienes la generan y quienes la utilizan.

• Se produce con la intención de establecer su suficiencia y adecuación a las normas. Es necesario poder medirlas, necesitamos un patrón.
• Produce informes como resultado del examen crítico.
• Su objetivo es: evaluar la eficiencia y eficacia, determinar cursos de acción alternativos y el logro de los objetivos propuestos.

MEJORA CONTINUA!!!!

Auditoría según IMC

• Agrega a la definición anterior.
• La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos.

Pregunta

• Alberto es contador.
• Alberto es responsable.
• ¿Ambos son juicios?
• NO
• La primera es una afirmación, observación de lo que es verdadero para nosotros.

Nos permiten describir la manera en que vemos las cosas.

• La segunda es un JUICIO, un tipo especial de DECLARACIÓN.

Es una apreciación, opinión o interpretación NUESTRA de lo que observamos.

Caso de estudio …

Virginia, tiene 30 años, estudió en Córdoba y es muy agradable como ser humano.

Actualmente está casada, tiene 3 hijos y su capacidad profesional asombra a todos sus colegas.

Vive en La Rioja y su casa es muy linda.

Hoy nos acompaña en esta clase y está muy alegre de compartir con todos nosotros la clase.

¿Qué es un JUICIO?

• Una declaración.
• No son verdaderos o falsos. Dejan siempre abierta la posibilidad a discrepar.
• Son válidos o inválidos. Su validez depende de la AUTORIDAD que la comunidad confiera a otros para emitirlos.
• El grado de efectividad de los juicios está directamente relacionado con la autoridad formal o informal que hemos conferido a la persona que los hace.

Temas relacionados:

• Ontología del lenguaje
• Postulados básicos de la OL
• Fundamentación de los JUICIOS
• Cada vez que emitimos un juicio asumimos el compromiso social de fundarlo
• Mostrar las observaciones pasadas en las que se asienta nuestro juicio y la inquietud o interés por el futuro que lo motiva

Auditoría Informática

Revisión, análisis y evaluación independiente y objetiva de un entorno informático:

• Hardware.
• Software.
  • Base.
  • Aplicación.
• Comunicaciones.
• Procedimientos - Gestión de recursos informáticos.

Tener en cuenta…

• Los objetivos fijados.
• Los planes, programas y presupuestos.
• Controles, leyes aplicables, entre otros…

Tipos de Auditoría

• Evaluación del sistema de control interno.
• De cumplimiento de políticas, estándares y procedimientos.
• De seguridad: física y lógica.
• De operaciones/gestión.
• Interna/Externa.

Fuentes

Todo tipo de fuente referido a:

• Hardware.
• Software.
• Instalaciones.
• Procedimientos.

Check List

• Revisión del Hardware
• Revisión del Software
• Instalaciones
• Procedimientos

Principios fundamentales de la auditoría de sistemas

AUTOMATISMO del computador

• Programa - Algoritmo.
• No al comportamiento probabilístico.

DETERMINISMO del algoritmo

• Ante un conjunto de datos de entrada, siempre se obtenga la misma salida.

El Control

Interno

• Creación de relaciones adecuadas entre las diversas funciones del negocio y los resultados finales de operación.

Interno Electrónico

• Comportamiento de los circuitos electrónicos. Ej. Transmisión de datos

Interno Informático

• Verifica el cumplimiento de los procedimientos, estándares y normas fijadas por la dirección de informática, como así también los requerimientos legales.

Necesidad de Auditar

Es necesario supervisar constantemente el buen funcionamiento de un sistema de información informático dada su complejidad, concentración y veracidad de datos pues de estos depende en gran parte el buen funcionamiento y evolución de una empresa.

Asociaciones de Auditoría

Legislación informática

En este punto se describen la regulación de las mejores prácticas de Auditoría en Informática como administrar los riesgos en tecnología Informática.

La auditoría en el sector público en base a los organismos nacionales e internacionales.

Asociaciones de Auditoría

Institute of System Audit and Association, ISACA

La Information Systems Audit and Control Association – Asociación de Auditoría y Control de Sistemas de Información– ISACA, comenzó en 1967.

En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association – Asociación de Auditores de Procesamiento Electrónico de Datos.

Asociaciones de Auditoría

Institute of System Audit and Association, ISACA

En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del

Asociaciones de Auditoría

Actualmente, los miembros de ISACA – más de 28.000 en todo el mundo

• Se caracterizan por su diversidad ya que están presentes en más de 100 países y cubren una variedad de puestos profesionales relacionados con TI, como son los:
• Auditores de SI.
• Consultores.
• Educadores.
• Profesionales de Seguridad de SI, Reguladores.
• Directores Ejecutivos de Información.
• Auditores Internos.

Asociaciones de Auditoría

• En las tres décadas transcurridas desde su creación, ISACA se ha convertido en una organización global que establece las pautas para los profesionales de gobernación, control, seguridad y auditoría de información.

Asociaciones de Auditoría

• Su certificación Certified Information Systems Auditor –Auditor Certificado de Sistemas de Información– CISA, es reconocida en forma global y ha sido obtenida por más de 30.000 profesionales.
• Su nueva certificación Certified Information Security Manager –Gerente Certificado de Seguridad de Información– CISM, se concentra exclusivamente en el sector de gerencia de seguridad de la información.

Asociaciones de Auditoría

Publica un periódico técnico líder en el campo de control de la información, el Information Systems Control Journal - Periódico de Control de Sistemas de Información.

Asociaciones de Auditoría

• Organiza una serie de conferencias internacionales que se concentran en tópicos técnicos y administrativos pertinentes a las profesiones de gobernación de TI y aseguración, control, seguridad de SI.
• Juntos, ISACA y su IT Governance Institute –Instituto de Gobernación de TI– asociado lideran la comunidad de control de tecnología de la información y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en cambio permanente.

Asociaciones de Auditoría

• Las empresas públicas y privadas están valorando cada día más la creciente importancia que representa mantener sistemas informáticos seguros, confiables y confidenciales, que eviten o prevengan la ocurrencia de errores u operaciones ilegales a partir de debilidades en los sistemas de control.

Asociaciones de Auditoría

• Certified Information Security Auditor, CISA
• Certified Information Security Manager, CISM
• Instituto Mexicano de Auditores Internos, IMAI
• Certified Internal Auditor, CIA

Mejores Prácticas de la Auditoría Informática

• Las mejores prácticas son directrices que permiten a las empresas modelar sus procesos para que se ajusten a sus propias necesidades, proporcionan a las empresas y/o organizaciones métodos utilizados para estandarizar procesos y administrar de una mejor manera los entornos de TI.

Mejores Prácticas de la Auditoría Informática

• Las empresas que deseen utilizar un enfoque basado en mejores prácticas para la estandarización de estas directrices, tienen como opción varias metodologías que serán descritas a lo largo de este capítulo.

Mejores Prácticas de la Auditoría Informática

• A continuación se presenta un marco en el que se pueden encerrar las mejores prácticas de la auditoría, dado que todas responden al siguiente esquema:
• Identificación: Buscan definir las necesidades de la organización que deben ser identificadas respecto de la auditoría, así como las debilidades propias, a fin de determinar el objetivo a seguir.

Mejores Prácticas de la Auditoría Informática

• Interrelación externa: Proponen mantener estrechas relaciones profesionales con otras gerencias de auditoría a fin de intercambiar estrategias, criterios y resultados.
• Agente de cambio: Proporcionan las bases para posicionar a la Auditoría como un agente de cambio en la organización a fin de implementar la autoevaluación del control.

Mejores Prácticas de la Auditoría Informática

• Reingeniería de auditoría: Proponen el cambio funcional proyectando a los auditores como facilitadores de la autoevaluación del control.
• Administración de calidad total: Incorporan conceptos de calidad total aplicada a la auditoría sobre la base de la mejora continua, con el pertinente concepto de medición y evaluación de resultados.

Mejores Prácticas de la Auditoría Informática

• Comunicación: Buscan establecer un proceso de comunicación interna que propenda a informar lo actuado, lo planeado y las mejoras obtenidas.
• Tecnología: Recomiendan emplear recursos de tecnología informática al proceso de auditorías privilegiando la eficacia, eficiencia y oportunidad en los resultados de las revisiones.

Control Objetives for Information and related Technology, COBIT

• COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI.
• De acuerdo a ISACA, COBIT es:

Una herramienta que permite evaluar la calidad del soporte de TI actual de la organización, vinculando los distintos procesos del negocio con los recursos informáticos que los sustentan.

Control Objetives for Information and related Technology, COBIT

• COBIT establece un diagnóstico que permite definir las metas desde el punto de vista de seguridad y control que le serán de utilidad para la organización para cada uno de sus procesos, pudiendo entonces establecer un plan de acción para lograr estas mejoras, y posteriormente identificar los lineamientos para sustentar un proceso de monitoreo y mejora continua sobre las soluciones implementadas.

Control Objetives for Information and related Technology, COBIT

• La manera en que COBIT provee este marco para el control y la gobernabilidad de TI se puede presentar en forma sintética a partir de sus principales características, que a continuación serán descritas.

Estructura Cubo

• La estructura de cubo es la capacidad que brinda COBIT de poder trabajar (con sus objetivos de control) desde tres puntos de vista diferentes;
• Los procesos
• Los recursos de TI
• Las características que debe reunir la información para ser considerada adecuada a las necesidades de la organización.

Estructura Cubo

• Esta estructura, al vincular estos tres puntos de vista brinda un enfoque global que apoya a la planificación estratégica, fundamentalmente a través de promover las funciones ligadas a la gobernabilidad de TI, la cual es básica para asegurar el logro de las metas de la organización.

Estructura Cubo

• Esta estructura permite vincular las expectativas de la Dirección con las de la Gerencia de TI, manejando lineamientos entendibles por las Gerencias de negocio y los dueños de los procesos.

Dominio

• Permite agrupar los objetivos de control de COBIT en distintas áreas de actividad de la organización.
• Los cuatro dominios principales son:
• Planificación y organización,
• Adquisición e implantación,
• Soporte y servicios, y
• Monitoreo.

Dominio

• Como su nombre indica, cada uno de estos dominios están enfocados a los diferentes niveles y departamentos que pueden existir en una organización.

Proceso de Auditoría de Sistemas

• Llevar a cabo una auditoría de sistemas requiere una serie ordenada de acciones y procedimientos específicos, los cuales deberán ser diseñados previamente de manera secuencial, cronológica y ordenada, de acuerdo a las etapas, eventos y actividades que se requieran para su ejecución.

Herramientas y técnicas para la Auditoría Informática

Cuestionarios

• Las auditorías informáticas se materializan recabando información y documentación de todo tipo.
• Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos

Cuestionarios

• Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma

CHECKLISTS

• El auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklist
• El conjunto de estas preguntas recibe el nombre de Checklist.
• Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma

Entrevistas

• La entrevista es una de las actividades personales más importantes del auditor
• Recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios

Entrevistas

• El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible,
• El auditado contesta sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas

TRAZAS Y/O HUELLAS

• Estas Trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas.
• Las mencionadas trazas no deben modificar en absoluto el Sistema.
• Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo

TRAZAS Y/O HUELLAS

• El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido
• Consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas

CLASIFICACIÓN POR ÁREAS DE APLICACIÓN DE LA AUDITORIA INFORMÁTICA

• Planificación
• Organización y Administración
• Desarrollo de Sistemas
• Explotación
• Entorno de hardware
• Entorno de software

PLANIFICACIÓN

Donde se pasa revista a las distintas fases de la planificación

Objetivos

• Determinar que planes del proceso de datos están coordinados con los planes generales de la organización.
• Revisar planes de informática y determinar su idoneidad.
• Contrastar el plan con su realización
• Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación.

ORGANIZACIÓN Y ADMINISTRACIÓN

En este punto se examinarán aspectos como las relaciones con los usuarios, con los proveedores, asignación de recursos, procedimientos, etc.

Objetivos

• Revisión del organigrama y dependencias funcionales
• Verificar estándares de documentación
• Revisar la política de personal
• Evaluar distribución de funciones

DESARROLLO DE SISTEMAS

Área importante donde la auditoría deberá velar por la adecuación de la informática a las necesidades reales de la Empresa.

Objetivos y puntos a verificar

• Examinar metodología de construcción en uso.
• Revisar la definición de los objetivos del sistema, analizar si cumple con las necesidades de los usuarios.
• Revisar el control y planificación del proyecto

EXPLOTACIÓN

Aquí se analizarán los procedimientos de operación y explotación en el centro de proceso de datos.

Objetivos

• Evaluar la eficiencia y eficacia de operación del área de producción.
• Comprende la evaluación de los equipos de computación, procedimientos de entradas de datos, controles, archivos, seguridad y obtención de la información.

ENTORNO DE HARDWARE

Donde se vigilará entre otras cosas los locales, el software de acceso, alarmas, sistemas anti-incendios, protección de los sistemas, fiabilidad del Hardware, etc.

Objetivos

• Determinación de la performance del hardware
• Revisar la utilización del hardware
• Examinar los estudios de adquisición del hardware
• Comprobar condiciones ambientales y de seguridad del hardware
• Verificar los controles de acceso y seguridad física

ENTORNO DEL SOFTWARE

En esta área la Auditoria Informática analizará los sistemas de prevención y detección de fraudes, los exámenes a aplicaciones concretas, los controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software.

Objetivos

• Revisar la seguridad lógica de los datos y programas
• Revisar la seguridad lógica de las librerías de los programadores
• Examinar los controles sobre los datos

Metodología para realizar Auditorias de Sistemas

Metodología de una Auditoria de Sistemas

• Existe cuatro fases básicas para realizar una auditoria
• Estudio preliminar
• Revisión y evaluación de controles y la seguridad
• Examen detallado de áreas críticas
• Comunicación de los resultados

Metodología de una Auditoria de Sistemas

Estudio preliminar

• Define equipo de trabajo y el programa de auditoria.
• Realizar visitas a la unidad de informática para conocer la gestión
• Se evalúa el control interno a través de entrevistas y cuestionarios al personal para obtener información.
• Se evalúan plan de actividades, manuales, políticas y reglamentos.

Revisión y evaluación de controles y la seguridad

• Revisión de diagramas de flujos de procesos
• Realización de pruebas de cumplimiento de las seguridades
• Revisión de aplicaciones de áreas críticas
• Revisión de procesos históricos (backups y logs)
• Revisión de documentación y archivos

Metodología de una Auditoria de Sistemas

Examen detallado de áreas críticas

• En base a las fases anteriores y los puntos de control básicos se definen los puntos vulnerables a los que hay que hacer un análisis profundo
• Establece definitivamente el grupo de trabajo y la distribución del mismo
• Establece objetivos y recursos que usará así como metodología y duración
• En base a lo anterior se elabora el plan de trabajo.

Metodología de una Auditoria de Sistemas

Comunicar los resultados

• Se elabora un borrador del informe, el cual antes debe ser discutido y analizado con los ejecutivos de la empresa
• Después del análisis se llega a un informe definitivo, el cual se puede presentar en forma de matriz, cuadros o redacción lineal (viñetas)
• Se destacan los problemas encontrados, los efectos y las recomendaciones.

Metodología de una Auditoria de Sistemas

• La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad.
• De la organización que participa en el procesamiento de la información, a fin de que por medio del señalamiento de medios alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

Metodología de una Auditoria de Sistemas

Investigación Preliminar

• Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

Metodología de una Auditoria de Sistemas

Investigación Preliminar

• Se recopila la información para tener una visión general por medio de observaciones, entrevistas preliminares y solicitud de documentos para definir el objetivo y alcances del departamento

Para analizar y dimensionar la estructura por auditar se debe solicitar A NIVEL DEL ÁREA DE INFORMÁTICA

Metodología de una Auditoria de Sistemas

Investigación Preliminar

• Objetivos a corto y largo plazo

RECURSOS MATERIALES Y TECNICOS:

Solicitar documentos sobre los equipos, número de ellos, localización y características.

Metodología de una Auditoria de Sistemas

Investigación Preliminar

• Documentos técnicos y registros
• Estudios de viabilidad
• Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)
• Fechas de instalación de los equipos y planes de instalación
• Contratos vigentes de compra, renta y servicio de mantenimiento

Metodología de una Auditoria de Sistemas

Investigación Preliminar

• Contratos de seguros
• Convenios que se tienen con otras instalaciones
• Configuración de los equipos y capacidades actuales y máximas
• Planes de expansión
• Ubicación general de los equipos
• Políticas de operación
• Políticas de uso de los equipos.

Metodología de una Auditoria de Sistemas

Investigación Preliminar

• Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información

Manual de formas

Manual de procedimientos de los sistemas

Descripción genérica

Metodología de una Auditoria de Sistemas

Investigación Preliminar

Diagramas de entrada, archivos, salida

Salidas

Fecha de instalación de los sistemas

Proyecto de instalación de nuevos sistemas.

Metodología de una Auditoria de Sistemas

Investigación Preliminar

Se solicita información

No se tiene y se necesita

No se tiene y no se necesita

Se tiene la información

Se usa

Es incompleta

No está actualizada

No es adecuada

Se usa, está actualizada, está completa y es la adecuada

Metodología de una Auditoria de Sistemas

Investigación Preliminar

Casos de análisis

Caso #1: No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria

Caso #2: No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar

Metodología de una Auditoria de Sistemas

Investigación Preliminar

Casos de análisis

Caso #3: De que se tenga la información pero no se utilice, se debe analizar por qué no se usa

Caso #4: De que se tenga la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa.

Metodología de una Auditoria de Sistemas

Investigación Preliminar

Pensamiento Crítico

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)

Investigar las causas, no los efectos

Metodología de una Auditoria de Sistemas

Investigación Preliminar

Pensamiento Crítico

Atender razones, no excusas

No confiar en la memoria, preguntar constantemente

Criticar objetivamente y a fondo todos los informes y los datos recabados.

Controles Internos

• Son los mecanismos que aseguran un funcionamiento apropiado de los procesos de la compañía
• Cada sistema y proceso de la compañía existe por alguna razón específica de negocio
• El Auditor debe ver la existencia de riesgos a estos propósitos y entonces asegurar que los controles internos están colocados convenientemente para mitigar estos riesgos

Controles Internos

• Los Controles pueden ser:
• PREVENTIVOS,
• DETECTIVOS
• CORRECTIVOS

Tienen implementaciones Administrativas, Técnicas y Físicas.

Controles Internos

• Los Controles Preventivos detienen que un evento suceda.
• Desde el punto de vista teórico, los controles preventivos son siempre preferidos por razones obvias.
• Sin embargo, cuando se lleva a cabo la auditoría, es importante entender que los controles preventivos no siempre son una solución efectiva en cuanto al costo.

Controles Internos

• Existen otros tipos de control que son más sensibles desde el punto de vista costo-beneficio.
• Los controles Detectivos registran un evento después de que este ha sucedido.
• Por ejemplo, registran las entradas de todas las actividades llevadas a cabo en el sistema.

Controles Internos

• Los controles Reactivos están entre los preventivos y detectivos.

Estos no preveen que un evento suceda, pero poseen una manera sistemática de detectar cuando suceden y corrigen la situación.

Por tal razón a veces se les llama controles correctivos