1
2 El empleo cada vez mas importante de las tecnologías de la información y mas concretamente la informática de los procesos realizados en las organizaciones, así como el volumen cada vez mayor que adquiere la inversión en aquellas, ha implicado la definición de normas, procedimientos y controles para incrementar la eficacia y la eficiencia Pero ¿y si una vez definido todo esto, no se implanta de forma correcta? La Dirección de la empresa debe disponer de los mecanismos que posibiliten obtener una visión de la situación en cada momento. Así nace la Auditoría de Sistemas de Información (ASI), con el fin de verificar y controlar que las normas y controles se cumplen. Simplificando mucho podríamos decir que la ASI compara lo que se hace con lo que se debería de hacer y lo que existe con lo que debería de existir.
3 La definición oficial de ASI no existe. Como se mencionó anteriormente, es la auditoría aplicada al campo informático y auditoría es «el examen metódico de una situación relativa a un producto, proceso u organización, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado»
4 La ASI no suele realizarse de forma periódica en las organizaciones, sino que surge como consecuencia de problemas reales o potenciales, excepto cuando alguna normativa legal obliga, periódicamente o no, a su realización. En la siguiente tabla se relacionan por áreas las causas que pueden originar la realización de una ASI
5 ÁreaCausa Desorganización/ descoordinación No coincidencia de objetivos del Sistema de Información (SI) con los objetivos de la Organización Los circuitos de información no son los adecuados Duplicidad de informaciones No disponibilidad de la información o del resto de recursos del SI Insatisfacción de usuarios No resolución de incidencias y averías No atención de peticiones de cambios Inadecuado soporte informático No cumplimiento de plazos de entrega en resultados periódicos Debilidades económico-financieras Incremento inadecuado de las inversiones Incremento constante de los costes Desviaciones presupuestarias significativas Incremento de recursos en el desarrollo de proyectos Inseguridad de los SI Escasa confidencialidad de la información Falta de protección física y lógica Inexistencia de planteamientos en cuanto a la continuidad del servicio Cumplimiento de la legalidad Protección de datos de carácter personal Esquema Nacional de Seguridad Cumplimiento de ISO 27001 Ley Sarbanes-Oxley
6 En las organizaciones modernas, tanto públicas como privadas, la misión de las tecnologías de la información es facilitar la consecución de sus objetivos estratégicos. Para ello, se invierte una considerable cantidad de recursos en personal, equipos y tecnología, además de los recursos derivados de la posible organización estructural que muchas veces conlleva la introducción de estas tecnologías. Esta importante inversión debe ser constantemente justificada en términos de eficacia y eficiencia. Por tanto, el propósito a alcanzar por una organización al realizar una ASI de cualquier parte de sus SI es asegurar que sus objetivos estratégicos son los mismos que los de la propia organización y que los sistemas prestan el apoyo adecuado a la consecución de estos objetivos, tanto en el presente como en su evolución futura.
7 El mantenimiento de la operatividad La mejora de la eficacia, la seguridad y la rentabilidad del SI sobre el que actúa - La operatividad reside en el funcionamiento, aunque sea bajo mínimos, del SI (su organización y sus recursos). - La eficacia se basará en la aportación por parte del SI de una información válida, exacta, completa, actualizada y oportuna que ayude a la toma de decisiones. - La seguridad está constituida por la confidencialidad, integridad y disponibilidad del SI. - La rentabilidad implicará la utilización óptima de los recursos del SI, con el control de la calidad, los plazos y los costes.
8 Refuerza la imagen pública Otorga confianza en los usuarios sobre la seguridad y control de los servicios de TI Optimiza las relaciones internas y del clima de trabajo Reduce los costos de la mala calidad (reprocesos, rechazos, reclamaciones...) Proporciona un balance de los riesgos en TI Realiza un control de la inversión en el entorno de TI, a menudo impredecible
9 El auditor informático observa, juzga y recomienda. Debe ser independiente de la función o elemento auditado, no pudiendo ser ni responsable de la función, ni realizador, ni usuario. Los auditores deben certificarse con el titulo CISA (Certified Information System Auditor) otorgado por la ISACA® (Asociación de Auditoría y Control de Sistemas de Información). Este certificado se consigue aprobando un examen y demostrando experiencia en ASI, y se renueva periódicamente. El auditor informático debe tener una buena preparación, tanto teórica como práctica, aparte de otras características como: independencia, responsabilidad, integridad, objetividad
10 La cualificación del auditor debe ser: educación y experiencia, habilidad para comunicarse, entrenamiento especifico en SI y técnicas de ASI, participación en ASI. Importante para el auditor es la necesidad constante de recualificarse, es decir, mantener su capacidad a lo largo del tiempo, a través de: participaciones regulares de manera activa en ASI, revisar y estudiar normas, códigos, instrucciones y otras documentaciones relativas a ASI.
11 Que deben hacer los auditores Que no deben hacer Recomendar Ser independientes, objetivos Ser competentes en ASI Diagnosticar en función a verificaciones Actualizarse en cuanto a avances Obligar 0 amenazar Actuar en beneficio propio Asumir trabajos sin preparación adecuada Diagnosticar en función a suposiciones Dejar obsoletos sus conocimientos
12 Fomentar la cooperación con el auditado No emitir juicios que no estén sólidamente basados Cuidar el protocolo (respetar las relaciones jerárquicas) Evitar las situaciones preventivas del auditado ante el auditor No adelantar resultados parciales sobre un área o función determinadas, una visión parcial puede resultar errónea Comentar con los interesados los resultados antes de presentarlos a niveles superiores, excepto en casos de fraude Extrapolar la idea de colaboración con Informática y la intención de descubrir las debilidades para mejorar
13 los Auditores Certificados de S.I. deberán: Apoyar el establecimiento y cumplimiento de normas, procedimientos y controles de las auditorías de S.I. Cumplir con las Normas de Auditoría de S.I., según la ISACF Actuar en interés de sus empleadores, accionistas, clientes y público en general de forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilícitas o incorrectas Mantener la confidencialidad de la información obtenida durante sus deberes. La información no deberá ser utilizada en beneficio propio o divulgada a terceros no legitimados Cumplir con sus deberes en forma independiente y objetiva, y evitar toda acti vidad que comprometa o parezca comprometer su independencia Mantener su capacidad en los campos relacionados con la auditoría y los S.I. mediante la participación en actividades de capacitación profesional
14 Cumplir con sus deberes en forma independiente y objetiva, y evitar toda actividad que comprometa o parezca comprometer su independencia Mantener su capacidad en los campos relacionados con la auditoría y los S.I. mediante la participación en actividades de capacitación profesional Ejercer sumo cuidado al obtener y documentar material suficiente sobre el cual basar sus conclusiones y recomendaciones Informar a las partes involucradas del resultado de las tareas de auditoría que se hayan realizado Apoyar la entrega de conocimientos a la dirección, clientes y al público en general para mejorar su comprensión de la auditoría y los S.I. Mantener altos estándares de conducta y carácter tanto en las actividades profesionales como en las privadas
15 En las empresas de tamaño medio-grande existe un área con la responsabilidad de realizar ASI. Deben estar perfectamente delimitadas las funciones de este área, ya que pueden solaparse con las funciones de auditores financieros o auditores organizativos, y al revés, pueden quedar zonas sin cubrir. El nivel organizativo del departamento de auditoría interna debe ser suficiente para permitir el cumplimiento de sus responsabilidades. El director del departamento debe ser responsable ante una persona de la organización, con suficiente autoridad para promover la independencia y asegurar una amplia cobertura de auditoria, adecuada consideración de sus informes y apropiada acción sobre sus recomendaciones. El área de ASI no debe depender del Responsable de SI ni de ninguna de sus áreas, y tampoco del Administrador de la seguridad. Sí podría depender de la Dirección general, del Director de Auditoría general, incluso del Jefe del Director de SI.
16 . DIRECCION GENERAL AREA1 AREA 2 AREA 3 AUDITORIA INFORMATICA FINACIERA ORGANIZATIVA
17 En la empresa podemos distinguir varios tipos de auditorias, entre las principales están: Auditoría de gestión, que analiza las decisiones de gestión han sido tomadas de forma consistente, con la existencia de informaciones suficientes y oportunas Auditoría operacional: Para determinar hasta qué punto una organización, una unidad o función dentro de una organización, está cumpliendo los objetivos establecidos por la Dirección; así como identificar las condiciones que necesiten mejora Auditoría financiera: Examen y verificación de los estados financieros de la empresa, para emitir una opinión fundada sobre el grado de fiabilidad de dichos estados Auditoría contable: Analiza la adecuación de los criterios empleados para recoger los hechos derivados de la actividad de la empresa y su representación, mediante apuntes contables, en los estados financieros.
18 Auditoría organizativa, que analiza la adecuación de los procedimientos establecidos, de las funciones y de las responsabilidades en función a las necesidades y problemas de la empresa Auditoria de calidad, definida como el examen metódico e independiente que se realiza para determinar si las actividades y resultados relativos a la calidad satisfacen las disposiciones previamente establecidas, y para comprobar que esas disposiciones se llevan a cabo realmente y que son adecuadas para alcanzar los objetivos previstos Auditoria de SI, definida en puntos anteriores Centrados en la ASI, podemos distinguir varios tipos de auditoría en función a las áreas a considerar, al realizador, al ámbito de aplicación o a la especificidad.
19 En función a quien realice la ASI podemos distinguir entre: ASI interna, ASI externa y ASI mixta. Auditoría interna Es realizada por una entidad funcional perteneciente a la propia estructura organizativa de la empresa y como contraprestación reciben una remuneración económica. La principal ventaja de la auditoría interna es que quienes son los responsables de llevarla a cabo pertenecen a la propia empresa, y que por tanto, conocen más directamente su problemática. Por otra parte el coste será menor puesto que los recursos utilizados emanan de la propia organización. El principal inconveniente será la posible falta de objetividad de las personas que la llevan a cabo, puesto que, pueden estar directamente implicados en el propio sistema de información. Auditoría externa Se realiza por personas ajenas a la empresa. La empresa contrata un servicio para auditar su sistema de información por personas exteras a la empresa. La principal ventaja es el alto grado de objetividad que se consigue en comparación con la anterior (dado que la auditoría es realizada por personal ajeno a la empresa, no tendrá condicionantes de dependencia jerárquica o vinculaciones de otro tipo con la empresa). El principal inconveniente viene dado por el alejamiento de la problemática de la empresa de quienes asumen la responsabilidad de llevar a cabo la auditoría. No obstante, la profesionalidad y la experiencia de quienes asumen la auditoría debe superar estos inconvenientes para llevar a cabo un trabajo adecuado. La auditoría externa desde el punto de vista económico, es más costosa que la interna puesto que, esta última se realiza con recursos propios.
20 La metodología o ciencia del método, es según el diccionario el conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal. Método es el modo de hacer con orden una cosa. En una ASI deben emplearse unas técnicas y herramientas determinadas, intervienen diversos participantes, han de obtenerse unos resultados concretos y documentados, y por tanto se convierte en necesario la aplicación de una metodología.
21 I.Definición de ámbito y objetivos II.Estudio previo III.Determinación de recursos IV.Elaboración del Plan V.Realización VI. Elaboración del Informe Final La preparación y planificación de la ASI abarca las cuatro primeras fases metodológicas y tiene como objetivo disponer de todo lo necesario para el comienzo de la ASI. Detallaremos algunos aspectos a considerar en las seis fases relacionadas para la realización de la ASI.
22 El ámbito de la auditoría marcará los límites de la misma, siendo necesario un pleno acuerdo entre auditores y «clientes» sobre las funciones, las materias y las organizaciones a auditar. Por ejemplo, se deberá decidir si en una auditoria de satisfacción de usuarios, se considera solo la informática corporativa o también la departamental.
23 Una vez delimitado el ámbito y establecidos los objetivos, se realizará un estudio previo que permita obtener la información y visión global suficientes para estimar los recursos necesarios en la elaboración de la ASI. En este estudio previo se examinarán las funciones y actividades generales de la informática como son: el entorno organizativo, el entorno operativo y el entorno técnico, con la siguiente profundidad. a) El entorno organizativo El auditor analizará el organigrama del Departamento de Sistemas de Información o de Informática que recoge la estructura de la Organización a auditar, en sus distintos niveles y con sus diversas áreas. Se considerarán para cada área las funciones principales y el número de personas que las componen, comprobando si las relaciones jerárquicas reflejadas en el organigrama se corresponden con las relaciones funcionales existentes. También se detallarán las relaciones con el resto de la Organización.
24 b) Entorno operativo Se revisarán los principales procesos informáticos realizados, considerando: Las aplicaciones en explotación, con sus entradas, principales procesos y salidas, su volumen, antigüedad y complejidad, y las periodicidades de ejecución La metodologías, técnicas y herramientas de diseño utilizadas La documentación de las aplicaciones Las características de los ficheros y bases de datos utilizados c) Entorno técnico Se revisará todo lo relacionado con el soporte de los Sistemas de Información, considerando: La situación geográfica de los distintos Centros de Proceso de Datos La arquitectura y configuración del soporte físico y lógico El inventario de hardware y software Las comunicaciones entre los anteriores elementos
25 Una vez conocidos los objetivos, el ámbito de trabajo y la visión global de la organización se podrán estimar los recursos necesarios para la realización de la ASI. Los recursos serán: Humanos, estableciendo los perfiles y los efectivos necesarios, tanto de participación continuada como puntual (habitualmente expertos) 8 Materiales, distinguiendo entre equipo software (monitores, programas de auditoría...) como hardware (ordenadores, impresoras...) Una vez conocida la situación global de la Organización a través del estudio previo, se puede estimar el volumen y características de los recursos humanos y materiales necesarios para la realización de la ASI.
26 El responsable de la ASI establece el plan de trabajo a seguir, con las tareas a realizar, su interdependencia y su estimación en plazo, carga de trabajo y perfiles de participantes necesarios. Una vez decidido lo anterior se lleva al calendario y se construyen los programas de trabajo.
27 En esta fase se llevan a la práctica los planes y programas realizados, utilizando las técnicas y herramientas previstas. Las técnicas a utilizar pueden ser: entrevistas, revisiones, pruebas, simulaciones, muéstreos... Las herramientas serán cuestionarios, estándares, monitores, simuladores (generadores de datos), software de auditoría... Una vez establecidas la estrategia y las necesidades, se puede comenzar con el trabajo de campo, es decir, con la realización de la ASI. Las actividades comunes reflejadas en todo plan de auditoría suelen ser: Constitución del equipo de trabajo: Presentación del proyecto de auditoria a los implicados. Preparación de la documentación de trabajo. Captura de información. Evaluación y diagnóstico. Informe final.
28 Una vez ejecutada la ASI se procederá a la materialización de ésta por escrito, de forma documental en un informe final, que será el exponente principal de la calidad del trabajo realizado. El informe final debe estructurarse claramente en tres partes: preparación/planificación, situación actual y diagnóstico, y por último las recomendaciones. Estas seis fases metodológicas pueden agruparse en dos grandes etapas, la primera, de preparación y planificación de la ASI, y la segunda, la propia realización de la ASI. El auditor debe avalar su juicio siempre por escrito, en el principal documento de la ASI, que es el informe final. Como producto de la ASI existirán otros documentos como informes parciales, borradores y papeles de trabajo, necesarios para conjugar la visión analítica utilizada en la Realización de la ASI con la visión sintética a expresar en el informe final. Como regla general el informe sólo debe incluir hechos importantes y consolidados, es decir, verificados objetivamente y documentalmente probados y soportados.
29 Las entrevistas Los cuestionarios en ASI Los estándares en ASI Trazas y huellas Software de interrogación El muestreo Técnicas de Auditoría Asistida por Ordenador (CAATs)
30 Cobit: Su misión es investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. ISO/IEC 20000: La ISO 20000 es el primer estándar internacional certificable para la gestión de servicios TI. Junto con ITIL v2 comparte origen, ya que proceden de la norma británica BS 15000, publicada en el año 2000,. Por esta razón, no es difícil encontrar similitudes entre ambas, aunque no hay que olvidar la diferencia entre norma (ISO/EEC 20000) y mejores prácticas (ITIL). En la siguiente figura se muestra la interrelación.
31 Auditoria en cloud computing: El cloud computing implica un cambio de paradigma, donde las TIC ya no se encuentran en el límite físico de las organizaciones, sino que están dispersas en muchos casos en diversos territorios, cada uno con legislaciones específicas más o menos restrictivas en términos de manejo de privacidad, políticas de gobernabilidad de información, etc. Auditoria del ENS: El objeto de la auditoria a realizar es emitir una opinión independiente y objetiva sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera, y para satisfacerse internamente, o bien frente a terceros que pudieran estar relacionados, sobre el nivel de seguridad implantado.
32 Las entrevistas Los cuestionarios en ASI Los estándares en ASI Trazas y huellas Software de interrogación El muestreo Técnicas de Auditoría Asistida por Ordenador (CAATs)
33 Cobit: Su misión es investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. ISO/IEC 20000: La ISO 20000 es el primer estándar internacional certificable para la gestión de servicios TI. Junto con ITIL v2 comparte origen, ya que proceden de la norma británica BS 15000, publicada en el año 2000,. Por esta razón, no es difícil encontrar similitudes entre ambas, aunque no hay que olvidar la diferencia entre norma (ISO/EEC 20000) y mejores prácticas (ITIL). En la siguiente figura se muestra la interrelación.
34 Auditoria en cloud computing: El cloud computing implica un cambio de paradigma, donde las TIC ya no se encuentran en el límite físico de las organizaciones, sino que están dispersas en muchos casos en diversos territorios, cada uno con legislaciones específicas más o menos restrictivas en términos de manejo de privacidad, políticas de gobernabilidad de información, etc. Auditoria del ENS: El objeto de la auditoria a realizar es emitir una opinión independiente y objetiva sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera, y para satisfacerse internamente, o bien frente a terceros que pudieran estar relacionados, sobre el nivel de seguridad implantado.
35 Las entrevistas Los cuestionarios en ASI Los estándares en ASI Trazas y huellas Software de interrogación El muestreo Técnicas de Auditoría Asistida por Ordenador (CAATs)
36 Cobit: Su misión es investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. ISO/IEC 20000: La ISO 20000 es el primer estándar internacional certificable para la gestión de servicios TI. Junto con ITIL v2 comparte origen, ya que proceden de la norma británica BS 15000, publicada en el año 2000,. Por esta razón, no es difícil encontrar similitudes entre ambas, aunque no hay que olvidar la diferencia entre norma (ISO/EEC 20000) y mejores prácticas (ITIL). En la siguiente figura se muestra la interrelación.
37 Auditoria en cloud computing: El cloud computing implica un cambio de paradigma, donde las TIC ya no se encuentran en el límite físico de las organizaciones, sino que están dispersas en muchos casos en diversos territorios, cada uno con legislaciones específicas más o menos restrictivas en términos de manejo de privacidad, políticas de gobernabilidad de información, etc. Auditoria del ENS: El objeto de la auditoria a realizar es emitir una opinión independiente y objetiva sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera, y para satisfacerse internamente, o bien frente a terceros que pudieran estar relacionados, sobre el nivel de seguridad implantado.