1 Seminario “Control, Seguridad y Auditabilidad de los Sistemas de Información” Ing. Horacio Antonelli Matterson [email protected]
2 2 © Ing. Horacio Antonelli Matterson Objetivos del Seminario Presentar las nuevas orientaciones y tendencias de la Función de Auditoría de Sistemas de Información (ASI) así como el nuevo perfil y el rol actual del Auditor de Sistemas de Información Contribuir a la actualización, al perfeccionamiento y a la especialización de los participantes en materia de Control, Seguridad y Auditabilidad de los SI en la Administración Pública y Privada.
3 3 © Ing. Horacio Antonelli Matterson Objetivos del Seminario Lograr que los asistentes, al finalizar el Curso, hayan conseguido: Ampliar sus conocimientos sobre Tecnologías y Sistemas de Información Incrementar sus habilidades para planificar y realizar trabajos de ASI Actualizar sus conocimientos acerca de los riesgos inherentes a los SI
4 4 © Ing. Horacio Antonelli Matterson Objetivos del Seminario Lograr que los asistentes, al finalizar el Curso, hayan conseguido (Cont.): Comprender qué datos deben relevar en los SI y cómo deben hacerlo Perfeccionar sus métodos de verificación de los SI a auditar Acrecentar su nivel de competencia profesional para contribuir a la calidad, seguridad y competitividad de los servicios que prestan.
5 5 © Ing. Horacio Antonelli Matterson 01. Revisión de Conceptos fundamentales 02. El impacto de las Tecnologías de Información (TI) 03. Estudio del Control Interno y Evaluación del Riesgo del Control 04. Objetivos de Control Interno para las TI Temario del Seminario
6 6 Ing. Horacio Antonelli Matterson 05. Seguridad: Delitos Informáticos 06. Aspectos prácticos de Control, Seguridad y ASI 07. Aspectos prácticos de la Auditoría de Sistemas de PED Complejos Temario del Seminario
7 Seminario “Control, Seguridad y Auditabilidad de los Sistemas de Información” Ing. Horacio Antonelli Matterson [email protected] 01. Revisión de Conceptos Fundamentales
8 8 © Ing. Horacio Antonelli Matterson 01. Revisión de Conceptos fundamentales F CONTROL En el marco de COBIT (ISACA) se define al Control como el conjunto de: – políticas – procedimientos – prácticas – estructuras organizacionales diseñados para proveer una seguridad razonable de que se alcanzarán los objetivos de negocio y de que los eventos indeseados serán prevenidos o bien detectados y corregidos
9 9 © Ing. Horacio Antonelli Matterson 01. Revisión de Conceptos fundamentales F OBJETIVO DE CONTROL DE TI Consecuentemente, en el marco de COBIT (Common Objectives for Information Technology) de ISACA (Information Systems Audit and Control Association) se define al “Objetivo de Control de TI” como: “Una declaración del resultado a obtener o del propósito a lograr mediante la implementación de procedimientos de control en una actividad particular de TI”
10 10 © Ing. Horacio Antonelli Matterson 01. Revisión de Conceptos fundamentales F SEGURIDAD Según el documento de la Comunidad Europea “Information Technology Security Evaluation Criteria”, de Junio de 1991, la Seguridad de la información es un aspecto esencial de la Tecnología de la Información (TI), en cuyo contexto significa: disponibilidad (“availability”) – evitar la retención no autorizada de información integridad (“integrity”) – evitar la modificación no autorizada de información confidencialidad (“confidenciality”) – evitar la difusión no autorizada de información
11 11 © Ing. Horacio Antonelli Matterson 01. Revisión de Conceptos fundamentales F SEGURIDAD disponibilidad integridad confidencialidad utilidad (“usefulness”) autenticidad (“authenticity”) posesión (“possession”) Donn B. Parker, líder mundial en seguridad y autoridad destacada del SRI reformuló el concepto de Seguridad de la información en la “17th National Computer Security Conference” (Baltimore, octubre de 1994) La reformulación consistió en asociar un nuevo elemento a cada uno de tres elementos de la definición de la Comunidad Europea:
12 12 © Ing. Horacio Antonelli Matterson F AUDITORIA Es el relevamiento y la evaluación (revisión, verificación) de evidencias acerca de la información para determinar e informar sobre el grado de correspondencia entre la información y los criterios establecidos Es un proceso metodológico y formal que se realiza a requerimiento del gobierno o de las empresas con el objeto de verificar el oportuno cumplimiento de las políticas, procedimientos y controles relacionados con cada una de las actividades de la organización 01. Revisión de Conceptos fundamentales
13 13 © Ing. Horacio Antonelli Matterson F AUDITORIA Es el relevamiento y la evaluación (revisión, verificación) de la existencia y el correcto funcionamiento del sistema de controles preventivos, detectivos y correctivos de la organización 01. Revisión de Conceptos fundamentales
14 14 © Ing. Horacio Antonelli Matterson F AUDITORIA Comprende el conjunto de tareas realizadas por especialistas en las distintas áreas involucradas: administrativas financieras operativas fiscales informáticas (SIC, SC&C, SPED, SGBD) que conforman equipos de trabajo multidisciplinarios 01. Revisión de Conceptos fundamentales
15 15 © Ing. Horacio Antonelli Matterson F AUDITORIA La auditoría se desarrolla en base a normas, procedimientos y técnicas formalmente definidos por institutos y asociaciones nacionales e internacionales (institutos y asociaciones de Contadores, de Auditores Internos, etc.) La auditoría debe ser efectuada por profesionales competentes e independientes 01. Revisión de Conceptos fundamentales
16 16 © Ing. Horacio Antonelli Matterson F AUDITORIA DE SISTEMAS DE INFORMACION (ASI) Es un proceso formal resultante de la integración de las funciones de Auditoría y de Sistemas de Información Consecuentemente, es ejecutada por especialistas del área de ASI (o, en su defecto, de las áreas de Auditoría y de Sistemas de Información) Su objetivo principal consiste en verificar y asegurar que las políticas y procedimientos establecidos para el manejo y utilización adecuados de las TI en la organización se lleven a cabo de una manera económica, eficaz, eficiente y oportuna 01. Revisión de Conceptos fundamentales
17 17 © Ing. Horacio Antonelli Matterson F ASI Al igual que la Auditoría tradicional, la ASI se desarrolla en función de normas, procedimientos y técnicas establecidos por institutos y sociedades nacionales e internacionales La ASI puede estar especialmente orientada a los procesos y actividades o bien a los objetivos y resultados de la organización 01. Revisión de Conceptos fundamentales
18 18 © Ing. Horacio Antonelli Matterson F ASI Es el conjunto de actividades ejecutadas por profesionales especializados en ASI encaminadas a evaluar el grado de cumplimiento de políticas, procedimientos y controles correspondientes al uso de de los recursos de información por el personal de la organización Esta evaluación es el fundamento del informe de ASI, el cual ha de contener las observaciones, recomendaciones y áreas de oportunidad para la optimización permenente de la aplicación de las TI en la organización 01. Revisión de Conceptos fundamentales
19 19 © Ing. Horacio Antonelli Matterson F ASI Es el conjunto de acciones que realiza el personal especializado en ASI para el aseguramiento contínuo de que todos los SI operan en un ambiente de seguridad y control efectivos Su finalidad es la de proporcionar a la alta dirección o gerencia la certeza de que la información que estos SI procesan cumple con los requisitos exigidos en la actualidad (representatividad, confiabilidad, integridad, accesibilidad, totalidad, utilidad, privacidad, etc.) 01. Revisión de Conceptos fundamentales
20 20 © Ing. Horacio Antonelli Matterson F ASI Es un proceso metodológico que tiene el propósito principal de evaluar el conjunto de recursos (humanos, materiales, financieros, normativos, metodológicos y tecnológicos) relacionados con los SI Su finalidad es la de garantizar a la alta dirección o gerencia que dicho conjunto opera con criterios de integración y desempeño altamente satisfactorios, contribuyendo a la calidad de sus productos y/o servicios que ofrece a sus clientes o usuarios, como así también a la productividad y la rentabilidad de la organización 01. Revisión de Conceptos fundamentales
21 Seminario “Control, Seguridad y Auditabilidad de los Sistemas de Información” Ing. Horacio Antonelli Matterson [email protected] 02. El Impacto de las TI y la nueva función del Auditor de SI
22 El cliclo de vida de las TI EntusiastasTécnicos Abismo Visionarios Pragmaticos Conservadores Escépticos Tecnologías Emergentes Masa Crítica Cabeza de Playa ? 02. El Impacto de las TI y la nueva función del Auditor de SI © Ing. Horacio Antonelli Matterson 22
23 23 © Ing. Horacio Antonelli Matterson Lo que importa es la velocidad de crecimiento 02. El Impacto de las TI y la nueva función del Auditor de SI
24 24 F Década del ´70: Auditor orientado a la verificación de registros contables F Década del ´80: Auditor >>> Consultor especializado en el control interno de la empresa. Nacimiento de la Auditoría Operativa y de la Auditoría de Sistemas de Información F Década del ´90: Auditor de Sistemas de Información >>> Consultor de la Dirección de la Empresa El Impacto de las TI y la nueva función del Auditor de SI
25 25 F Auditor de Sistemas de Información >>> Consultor de la Dirección de la Empresa Este nuevo rol debe ser desarrollado en el entorno de las nuevas Tecnologías de la Información (TI), caracterizado por el constante desarrollo de poderosas PCs y de Redes de Computación & Comunicaciones (C&C: Internet, Intranets y Extranets) que implementan novedosas Arquitecturas Cliente/Servidor y sofisticados Sistemas de Gestión de Bases de Datos y de DataWarehousing El Impacto de las TI y la nueva función del Auditor de SI
26 26 F Auditor de Sistemas de Información >>> Consultor de la Dirección de la Empresa Los Auditores, en particular los Auditores de Sistemas de Información, deben “navegar” en un ámbito de sistemas distribuidos interconectados, que operan en línea y en tiempo real, sin papeles (o cada vez con menos papeles), con elevada tasa de transacciones y que manejan enormes volúmenes de datos El Impacto de las TI y la nueva función del Auditor de SI
27 27 F Auditor de Sistemas de Información >>> Consultor de la Dirección de la Empresa Además de la complejidad informática descrita, este nuevo rol de Consultor abarca la totalidad de la Empresa, lo que implica que la Auditoría de Sistemas de Información incursiona en nuevos campos, en donde las recomendaciones de este Auditor/Consultor deben guiar a la Dirección de la Empresa en la toma de decisiones Ello le confiere a la Auditoría de Sistemas de Información una nueva misión y dimensión estratégica El Impacto de las TI y la nueva función del Auditor de SI
28 28 F Auditor de Sistemas de Información>>> Consultor de la Dirección de la Empresa El Auditor/Consultor debe demostrar permanentemente que mantiene su actividad vinculada a las estrategias de la organización y que forma parte de la “cadena de valor” de la misma Para ello debe efectuar, desde su función profesional, los aportes requeridos para alcanzar los objetivos de calidad, productividad, rentabilidad y satisfacción de clientes internos y externos El Impacto de las TI y la nueva función del Auditor de SI
29 29 F Las tendencias imperantes en el campo de las TI han modificado profundamente los métodos, técnicas y procedimientos que la empresa utiliza para adquirir, administrar y explotar sus Recursos de Información, cada vez más numerosos y costosos F Estos cambios operados en la empresa debido al impacto de las TI convierten a la Seguridad en un aspecto importante, complejo y sofisticado, que amerita un tratamiento adecuado El Impacto de las TI y la nueva función del Auditor de SI
30 30 F En virtud de las TI: se amplía el número de usuarios internos se incrementa el acceso por parte de usuarios ajenos a la organización, tanto clientes como proveedores consecuentemente, los Sistemas de Información (SI) se convierten en uno de los recursos más importantes para la eficacia y eficiencia de las operaciones y decisiones de la organización. El Impacto de las TI y la nueva función del Auditor de SI
31 31 F Las TI también han modificado: la naturaleza de los SI los métodos y técnicas de análisis, desarrollo, implementación, explotación y mantenimiento de los mismos los métodos y técnicas de control, seguridad y auditoría de dichos SI El Impacto de las TI y la nueva función del Auditor de SI
32 32 F La generalización de los conocimientos sobre Computación y los prolongados tiempos de desarrollo de SI mediante métodos tradicionales está llevando a muchos usuarios a resolver personalmente gran parte de sus necesidades de información F Para este fin utilizan cada día más herramientas RAD y 4GL, como así también de paquetes integrados estándar de productividad personal y grupal (Microsoft Office, Lotus SmartSuite, Corel Office y otros ) El Impacto de las TI y la nueva función del Auditor de SI
33 33 F Ciertos usuarios avezados (por lo general jóvenes que desarrollan tareas operativas de bajo nivel) desarrollan “microaplicaciones artesanales” en PC tratando de suplir las carencias o deficiencias detectadas en las aplicaciones “oficiales” (departamentales, sectoriales o ministeriales) de la organización F Estas “microaplicaciones artesanales” suelen situarse por lo general a la entrada (“preproceso” o “preparación” de los datos de entrada) o a la salida (“postproceso” o “edición” de los datos de salida) de las citadas aplicaciones “oficiales” El Impacto de las TI y la nueva función del Auditor de SI
34 34 F Para este fin utilizan generalmente versiones obsoletas (y casi siempre “truchas”) de los lenguajes de programación tradicionales del MS-DOS (FoxPro, Clipper, DBase, etc.) y/o editores y programas utilitarios diversos (EDIT, DBU, Norton Utilities, PC Tools, etc.) F Estas aplicaciones carecen en la gran mayoría de los casos de documentación y rara vez cumplen con los requisitos mínimos exigibles en materia de control, seguridad y auditabilidad El Impacto de las TI y la nueva función del Auditor de SI
35 35 F Las tendencias imperantes en el campo de las Bases de Datos y en el de las Redes de Computación & Comunicaciones (C&C) han ampliado enormemente las posibilidades de acceso local y también remoto a grandes volúmenes de datos almacenados en todo tipo de plataformas: PCs (aisladas o conectadas a redes de C&C) Minicomputadoras y Workstations Mainframes Data Warehouses conectados a redes LAN, MAN y WAN (públicas y/o privadas) Servidores de sitios Web conectados a la Internet El Impacto de las TI y la nueva función del Auditor de SI
36 36 F Todo ello ha posibilitado una verdadera orientación al dato por parte de usuarios - tanto principiantes como avanzados - gracias a la disponibilidad de poderosas herramientas de administración, consulta y actualización de datos (en particular de Bases de Datos relacionales) F Estas herramientas también están hoy al alcance de los Auditores de Sistemas de Información, quienes pueden y deben hacer uso inteligente y efectivo de ellas El Impacto de las TI y la nueva función del Auditor de SI
37 37 F Las tendencias imperantes en el campo de la Computación de Usuario Final (“EUC: End User Computing”), en particular los nuevos protocolos y estándares (SQL, ODBC, OLE, DDE y TCP/IP) hacen que hoy en día el usuario final - incluyendo al Auditor de Sistemas de Información - esté en condiciones de: desarrollar implementar operar y explotar sus propias aplicaciones utilizando nuevas y poderosas herramientas estándar de productividad personal y grupal, así como herramientas específicas (“CAAT”) para tareas de ASI El Impacto de las TI y la nueva función del Auditor de SI
38 38 F Entre las nuevas y poderosas herramientas estándar de productividad personal y grupal se destacan: paquetes integrados estándar de productividad personal y grupal (Microsoft Office, Lotus SmartSuite, Corel Office y otros) herramientas RAD lenguajes (4GL) para la explotación de BD (SQL / ODBC) sistemas “llave en mano” estándar para distintos mercados y/o aplicaciones verticales equipos y programas de computación personal para una gran diversidad de aplicaciones con acceso local y/o remoto El Impacto de las TI y la nueva función del Auditor de SI
39 39 © Ing. Horacio Antonelli Matterson F Todo lo que antecede plantea un gran dilema relacionado con los aspectos de control, seguridad y auditabilidad (como así también con los de integridad, privacidad, confidencialidad, accesibilidad y responsabilidad) de los datos, en términos de: Centralización versus Distribución Autonomía versus Coordinación Uniformidad versus Diversidad 02. El Impacto de las TI y la nueva función del Auditor de SI
40 40 F En este contexto, la Función de Control tiene por finalidad: la maximización de los beneficios la minimización de los riesgos la maximización de la confiabilidad e integridad de la información el estricto cumplimiento de normas y disposiciones vigentes (administrativas, técnicas, legales, etc.) El Impacto de las TI y la nueva función del Auditor de SI
41 41 F Esta Función de Control adquiere día a día mayor complejidad por las siguientes razones: esquemas organizativos crecientemente descentralizados importantes reorganizaciones, generalmente acompañadas de RPN y reducciones de personal impacto de las TI sobre la organización, sus políticas, estrategias y operaciones (especialmente las de Computación & Comunicaciones y las de SIC) El Impacto de las TI y la nueva función del Auditor de SI
42 42 F Los tres pilares fundamentales del Control en Auditoría de Sistemas de Información son en la actualidad: el ambiente organizacional los procedimientos administrativos los Sistemas de Información todos los cuales ameritan ser auditados a los efectos de verificar la existencia y la correcta operación de los controles preventivos, detectivos y correctivos El Impacto de las TI y la nueva función del Auditor de SI
43 Seminario “Control, Seguridad y Auditabilidad de los Sistemas de Información” Ing. Horacio Antonelli Matterson [email protected] 03. Estudio del Control Interno y Evaluación del Riesgo del Control
44 44 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F En el Estudio del Control Interno y Evaluación del Riesgo del Control, el Auditor de SI se ocupará prioritariamente de los 6 objetivos de auditoría relacionados con las transacciones, a saber: existencia > existen transacciones registradas “completitud” > las transacciones existentes están registradas precisión > los importes de estas transacciones son correctos clasificación > todas las transacciones están bien clasificadas oportunidad > las fechas de las transacciones son correctas registración y sumarización > las transacciones están debidamente registradas en los archivos maestros y son sumarizadas correctamente
45 45 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Se requiere una comprensión suficiente del Control Interno (CI) para la planificación de la ASI y para determinar la naturaleza, oportunidad y extensión de las pruebas a realizar F Existen tres conceptos clave que subyacen en el estudio del CI y en la evaluación del Riesgo del Control (RC), a saber: Responsabilidad de la Dirección Seguridad razonable Limitaciones inherentes
46 46 Estudio del Control Interno y Evaluación del Riesgo del Control F Responsabilidad de la Dirección Le corresponde a la Dirección y no al Auditor de Sistemas de Información el establecimiento y el mantenimiento de los controles de los SI de la organización F Seguridad razonable Toda organización deberá desarrollar controles internos en sus SI que provean una seguridad razonable, aunque no absoluta (“la seguridad absoluta es inalcanzable”), tomando en consideración los costos y los beneficios de los mismos
47 47 Estudio del Control Interno y Evaluación del Riesgo del Control F Limitaciones inherentes Los controles internos jamás pueden ser considerados como completamente efectivos, independientemente del cuidado que se haya tomado en su diseño e implementación Aún si los especialistas en SI pudieran diseñar un sistema ideal de control interno, su efectividad dependería de la competencia y confiabilidad del personal que lo utiliza
48 48 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Complejidad del sistema de PED Los conceptos que tratamos a continuación se aplican a todos los SI, independientemente de la complejidad del sistema de PED que los soportan Si bien existen marcadas diferencias, por ejemplo, entre el sistema de información comercial de una PyME y el de una corporación transnacional, los objetivos de auditoría relacionado con las transacciones son los mismos (Más adelante analizaremos el caso particular de sistemas de PED de elevada complejidad y sofisticación)
49 49 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F El CI comprende 5 categorías de controles que la Dirección diseña e implementa para proveer una seguridad razonable de que se alcanzarán sus objetivos de control F Estos 5 componentes del Control Interno son: Ambito de CI Proceso de Análisis y Evaluación de Riesgos Actividades de Control de Operaciones Sistema de Información y Comunicación Prácticas de Monitoreo
50 50 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Ambito de CI El Ambito de CI es el “paraguas” bajo el cual se cobijan los otros 4 componentes del CI Sin un efectivo Ambito de CI, los otros 4 componentes dificilmente resultarán en controles internos efectivos, independientemente de su calidad intrínseca El Auditor de SI se ocupa principal y prioritariamente de aquellos CIs diseñados para prevenir o detectar riesgos en los SI de la organización
51 51 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Ambito de CI (Cont.) La esencia de una organización efectivamente controlada yace en la actitud de su Dirección: si la Dirección considera que el CI es importante, los demás miembros de la organización lo percibirán y responderán cumpliendo a conciencia los CIs establecidos El Ambito de CI consiste, en síntesis, en las acciones, políticas y procedimientos que reflejan la actitud general de la Dirección, los directivos y/o propietarios de una entidad acerca del CI y de la importancia de éste para la organización
52 52 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Ambito de CI (Cont.) A los efectos de realizar una evaluación completa del Ambito de CI, el ASI deberá tomar en consideración los siguientes aspectos de la entidad auditada: integridad y valores éticos grado de competencia existencia y activa participación de un “Comité de Auditoría” filosofía y estilo operacional de la Dirección estructura organizacional asignación de autoridad y responsabilidad políticas de desarrollo y conducción de recursos humanos
53 53 Estudio del Control Interno y Evaluación del Riesgo del Control F Proceso de Análisis y Evaluación de Riesgos Consiste en la identificación y el análisis de los riesgos, especialmente los asociados a los SI, que realiza la Dirección como parte de su responsabilidad de diseño, implementación y operación de CIs para minimizar los errores y el fraude Este análisis difiere del efectuado por el Auditor de SI para determinar la evidencia requerida en la ASI Si la Dirección cumple con su cometido, el Auditor de SI acumulará menos evidencia que si ésta no logra prevenir o detectar los riesgos significativos
54 54 Estudio del Control Interno y Evaluación del Riesgo del Control F Proceso de Análisis y Evaluación de Riesgos Tanto la Dirección cuanto el Auditor de SI deberán verificar el cumplimiento de los siguientes objetivos: existencia de objetivos que integren todos los recursos de la organización para que ésta opere en armonía existencia de conciencia sobre los riesgos y los obstáculos y habilidad para manejarlos a fin de lograr los objetivos de la organización identificación, análisis y manejo adecuado de los riesgos y los obstáculos y logro de los objetivos de la organización
55 55 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Actividades de Control de Operaciones Son las políticas y procedimientos que ayudan a la Dirección a garantizar que se realicen las acciones necesarias para enfrentar los riesgos en cumplimiento de los objetivos de la organización Existen en potencia numerosas Actividades de Control en toda entidad, pero por lo general pueden agruparse en cinco categorías
56 56 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Actividades de Control de Operaciones (Cont.) Estas cinco categorías son las respectivamente relacionadas con los aspectos siguientes: adecuada separación de funciones, en particular de SIC efectiva autorización de transacciones y actividades adecuados sistemas de documentación y registración, en particular los manuales de SIC efectivo control físico sobre activos y registros, particularmente recursos de PED y SIC verificaciones independientes de performance, preferentemente computarizadas
57 57 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Sistema de Información y Comunicación Son los métodos utilizados para identificar, almacenar, ordenar, clasificar, analizar, registrar e informar las transacciones de la organización, así como para llevar la contabilidad de los activos relacionados Un sistema de Información y Comunicación está integrado por diversos componentes que son, por lo general, las diversas clases de transacciones que el mismo maneja
58 58 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Sistema de Información y Comunicación (Cont.) Para cada clase de transacción el sistema de Información y Comunicación deberá satisfacer los 6 objetivos de auditoría relacionados con las transacciones tratados previamente, a saber: existencia “completitud” precisión clasificación oportunidad registración y sumarización
59 59 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Sistema de Información y Comunicación (Cont.) Para cada clase de transacción el sistema de Información y Comunicación deberá satisfacer los 6 objetivos de auditoría relacionados con las transacciones tratados previamente La complejidad de un sistema de Información y Comunicación está determinada por la naturaleza y envergadura de la organización; cuanto mayor sea ésta mayor será la necesidad de responsabilidades y de procedimientos escritos y cuidadosamente definidos
60 60 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Sistema de Información y Comunicación (Cont.) El Auditor de SI deberá verificar: si el SI produce los informes requeridos para conducir la organización hacia el logro de sus objetivos si dichos informes reflejan las actividades internas y externas, las condiciones y los eventos necesarios para la toma de decisiones en base a información así como para informar debidamente a organismos externos si el personal puede capturar e intercambiar la información que necesitan para conducir, administrar y controlar sus operaciones
61 61 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Sistema de Información y Comunicación (Cont.) El Auditor de SI deberá verificar, además: si la información pertinente es identificada, capturada y comunicada en un formato que posibilita al personal cumplir efectivamente con sus responsabilidades si las comunicaciones fluyen en todas las direcciones a través de la organización si la dirección ha comunicado fehacientemente a todos los empleados que deben tomar muy en serio sus responsabilidades de control
62 62 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Sistema de Información y Comunicación (Cont.) El Auditor de SI deberá verificar, finalmente: si los empleados comprenden sus respectivos roles en el sistema de CI asi como si sus actividades individuales se relacionan con el trabajo de los demás si todos los empleados tienen la posibilidad de comunicar la información significativa “hacia arriba” si existe comunicación efectiva con terceras partes (usuarios, clientes y proveedores)
63 63 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Prácticas de Monitoreo Las actividades de monitoreo consisten en la evaluación permanente de la calidad del CI que realiza la Dirección así como el Auditor de SI para verificar que los controles están funcionando como es debido y que son oportunamente modificados cuando resulta necesario
64 64 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Prácticas de Monitoreo (Cont.) La información para la evaluación y/o modificación de los controles proviene de diversas fuentes: estudios de los controles internos existentes informes de excepción sobre actividades de control informes de entes o agencias reguladores realimentación del personal de operaciones quejas o reclamos de usuarios y clientes internos y/o externos
65 65 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Prácticas de Monitoreo (Cont.) El Auditor de SI verificará: si todo el sistema de CI es monitoreado para verificar la calidad su performance a lo largo del tiempo si existe monitoreo continuado de las actividades usuales de supervisión y administración y de las acciones que los empleados realizan en cumplimiento de sus deberes habituales
66 66 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Prácticas de Monitoreo (Cont.) El Auditor de SI verificará, además: si las deficiencias internas son informadas “hacia arriba”, en particular si las que revisten mayor seriedad son informadas directamente a la Dirección si existen evaluaciones individuales e independientes del sistema de CI
67 67 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Prácticas de Monitoreo (Cont.) En la mayoría de las organizaciones, particularmente en las de mayor envergadura, resulta imprescindible contar con un departamento de auditoría interna para llevar a cabo la función de Monitoreo Para que el Monitoreo resulte efectivo, es esencial que el equipo de auditoría interna sea un departamento independiente y que reporte al más alto nivel de la organización (preferentemente a la Dirección o al Comité de Auditoría)
68 68 © Ing. Horacio Antonelli Matterson 03. Estudio del Control Interno y Evaluación del Riesgo del Control F Prácticas de Monitoreo (Cont.) Además de su función de Monitoreo de los controles internos de la entidad, un equipo efectivo de auditoría interna, en particular de ASI, puede contribuir a la reducción de los costos de auditoría externa de los SI de la organización al proveer asistencia directa al Auditor de SI externo Si el Auditor de SI externo obtiene evidencia suficiente que respalda la competencia, integridad y objetividad de los Auditores de SI internos, podrá apoyarse en las tareas e informes de auditoría de estos últimos
69 Seminario “Control, Seguridad y Auditabilidad de los Sistemas de Información” Ing. Horacio Antonelli Matterson [email protected] 04. Objetivos de Control Interno para las TI
70 70 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Las expectativas de la Dirección de las organizaciones comprenden aspectos fundamentales relacionados con: los cambios acelerados los mercados globalizados la competencia a nivel mundial F La Dirección enfrenta, en un contexto de recursos y costos cada vez más reducidos, las exigencias de: mayor calidad en productos y servicios tiempos y ciclos de producción y de administración reducidos niveles de servicio y de atención superiores
71 71 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Asimismo, es responsabilidad de la Dirección la salvaguarda de todos los activos de la organización F Para la mayoría de las organizaciones, la información y las TI que la soportan constituyen uno de sus activos más importantes F Los recursos de TI, especialmente los SI, deben ser administrados por un conjunto de procesos de TI agrupados naturalmente a fin de proveer la información que la organización necesita para alcanzar sus objetivos
72 72 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Todas las organizaciones deben satisfacer, con respecto a todos sus activos - en especial los de información - ciertos requerimientos mínimos, principalmente los de calidad, publicidad (a través de informes de diversa índole) y seguridad F Para ello, la Dirección debe balancear (y de ser posible optimizar) la utilización de los recursos de TI disponibles: datos SI tecnología equipamiento (facilidades) personal
73 73 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Para cumplir con sus responsabilidades, así como para satisfacer las expectativas, exigencias y requerimientos con relación a las TI, la Dirección debe establecer un adecuado sistema de Control Interno (CI) para las TI F Este sistema de CI para las TI debe soportar los procesos de TI y debe esclarecer cómo cada actividad de CI de TI: impacta sobre los recursos de TI contribuye a la satisfacción de las expectativas, exigencias y requerimientos de información de la organización
74 74 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F El CI de las TI - que comprende las políticas, las estructuras y los procedimientos de la organización - constituye en la actualidad una de las principales responsabilidades de la Dirección F El marco de referencia para el CI de las TI se base en una premisa fundamental: “Los recursos de TI, especialmente los SI, (“pueden” y) deben ser administrados por un conjunto de procesos de TI agrupados naturalmente a fin de proveer la información que la organización necesita para alcanzar sus objetivos”
75 75 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Definición de CONTROL Adoptada (y adaptada) del “Informe COSO [ Comittee Of Sponsoring Organizations of the Treadway Commission - Internal Control - Integrated Framework. 1992] El CONTROL consiste en las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proveer seguridad razonable de que los objetivos de la organización serán alcanzados y de que los eventos indeseados serán evitados o bien detectados y corregidos
76 76 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Definición de OBJETIVO DE CONTROL PARA LAS TI Adaptada del reporte SAC [Systems Auditability and Control Report. The Institute of Internal Auditors Research Foundation. 1991 and 1994] “Un OBJETIVO DE CONTROL PARA LAS TI es una declaración o aseveración del resultado deseado o del propósito que se desea alcanzar mediante la implementación de procedimientos de control específicos dentro de una actividad de TI particular”
77 77 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F El Marco de Referencia COBIT [Control OBjectives for Information Technologies] establecido por ISACA [Information Systems Audit and Control Association] establece 32 Objetivos de Control de nivel superior para las TI, que cubren todos los aspectos de la información y de la tecnología que la soporta F Estos 32 Objetivos de Control se agrupan en 4 DOMINIOS, como veremos más adelante, a saber: Planificación & Organización Adquisición & Implementación Entrega & Soporte Monitoreo
78 78 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Mediante estos 32 Objetivos de CI para las TI, la Dirección puede asegurar la existencia de un adecuado sistema de control en el ámbito de las TI que soporte las políticas y estándares de la organización en cuanto a: economía efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
79 79 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F En síntesis, el Marco de Referencia COBIT consiste en los 32 Objetivos de Control de nivel superior y en una estructura general para su clasificación y presentación F La teoría subyacente para la clasificación escogida es de que existen, en esencia, 3 niveles de esfuerzos de TI al considerar la administración de recursos de TI: ACTIVIDADES/TAREAS PROCESOS DOMINIOS
80 80 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Definición de ACTIVIDADES/TAREAS Ambas son necesarias para alcanzar un resultado medible Las ACTIVIDADES están asociadas a un concepto de ciclo de vida, como ser: desarrollo de sistemas, administración de configuración o gestión de cambios Las TAREAS son conceptualmente consideradas como discretas; ejemplos: planificación estratégica de TI, análisis y evaluación de riesgos, gestión de capacidad y performance de equipos de TI Las ACTIVIDADES poseen requerimientos de control típicos diferentes de las TAREAS
81 81 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Definición de PROCESOS Consisten en una serie de ACTIVIDADES o TAREAS relacionadas o vinculadas, con hitos o puntos de control naturales F Definición de DOMINIOS Resultan de la agrupación de los procesos Son por lo general considerados dominios o ámbitos de responsabilidad en una estructura organizacional y están alineados o en concordancia con el ciclo de gestión o el ciclo de vida aplicable a los procesos de TI
82 82 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Definición del Dominio: Planificación & Organización Este dominio comprende tanto estrategias como tácticas de TI Se ocupa de la identificación de la mejor manera en que la TI puede contribuir a los objetivos de la organización La realización de la visión estratégica debe ser planificada, comunicada y administrada desde diferentes perspectivas Para ello resulta imprescindible contar con una adecuada organización así como con una infraestructura de TI que la soporte
83 83 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Definición del Dominio: Adquisición & Implementación Para llevar a cabo la estrategia de TI resulta necesario identificar, desarrollar o bien adquirir soluciones, implementarlas e integrarlas en los procesos de TI de la organización También incluye este dominio las modificaciones y el mantenimiento de los SI existentes en la organización
84 84 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Definición del Dominio: Entrega& Soporte Este dominio comprende la entrega efectiva de los servicios requeridos, que abarcan entre otros: – las operaciones tradicionales – los aspectos de seguridad y continuidad – la capacitación y el entrenamiento Para poder entregar los servicios arriba mencionados resulta necesario establecer los procesos de soporte correspondientes Este dominio alcanza al procesamiento de datos mediante los SI, a menudo clasificados como controles de aplicación
85 85 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Definición del Dominio: Monitoreo Todos los procesos de TI deben ser periódicamente evaluados a lo largo del tiempo para verificar su calidad y el cumplimiento de los requerimientos de control
86 86 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Procesos de Planificación & Organización PO01: definición de un plan estratégico PO02: definición de la arquitectura de información PO03: determinación de la dirección tecnológica PO04: definición de la organización y sus relaciones PO05: gestión de las inversiones PO06: comunicación de los objetivos de la organización PO07: administración de los recursos humanos PO08: verificación del cumplimiento de los requisitos externos PO09: análisis y evaluación de riesgos PO10: administración de los proyectos PO11: gestión de la calidad
87 87 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Procesos de Adquisición & Implementación AI01: identificación de soluciones automatizadas AI02: adquisición y mantenimiento de software de aplicación AI03: adquisición y mantenimiento de infraestructura tecnológica AI04: desarrollo y mantenimiento de procedimientos AI05: instalación y acreditación de sistemas AI06: gestión de cambios
88 88 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Procesos de Entrega y Soporte ES01: definición de los niveles de servicio ES02: administración de servicios de terceros ES03: gestión de performance y de calidad ES04: gestión de la continuidad del servicio ES05: gestión de la seguirdad de sistemas ES06: identificación y asignación de costos ES07: capacitación y entrenamiento de usuarios
89 89 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Procesos de Entrega y Soporte ES08: asistencia y asesoramiento a usuarios ES09: administración de la configuración ES10: gestión de problemas e incidentes ES11: administración de los datos ES12: administración de los equipos e instalaciones ES13: administración de operaciones
90 90 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F Proceso de Monitoreo M01: monitoreo de procesos M02: obtención de informes independientes
91 91 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI F En síntesis, los recursos de TI deben ser administrados mediante la ejecución de: tareas/actividades agrupadas en procesos agrupados en dominios a fin de proveer la información que la Dirección necesita para alcanzar los objetivos de la organización
92 92 © Ing. Horacio Antonelli Matterson 04. Objetivos de Control Interno para las TI Procesos de Negocios Recursos de TI Planificación & Organización Adquisición & Implementación Entrega & Soporte Monitoreo Cobit Información
93 Seminario “Control, Seguridad y Auditabilidad de los Sistemas de Información” Ing. Horacio Antonelli Matterson [email protected] 05. Delitos Informáticos: tipología y prevención
94 94 05. Delitos Informáticos: tipología y prevención F Tipología: fraude y abusos en contextos informáticos F ¿Cómo ocurren los delitos por computadora? F Perfil del delincuente informático F Metodología del delito informático F Posibilidades de delinquir en función del cargo ocupado F Prevención y detección del delito informático
95 95 05. Delitos Informáticos: tipología y prevención Tipología: fraude y otros abusos en contextos informáticos
96 96 Delitos Informáticos: tipología y prevención F Tipos de Delitos Informáticos Sustracción hurto robo fraude sustitución, reemplazo sabotaje adulteración uso no autorizado
97 97 Delitos Informáticos: tipología y prevención F Omisiones y Acciones Informáticas Voluntarias errores de ingreso y/o de consistencia y validación de datos errores de almacenamiento y/o de recuperación de datos errores de consulta y/o de actualización de datos errores de edición y/o de impresión de datos errores de control de datos impresos errores de comunicación de datos errores de administración de datos (SGBD) errores de hardware errores de software (análisis, diseño, implantación, operación, explotación y/o mantenimiento de aplicaciones) virus informáticos
98 98 Delitos Informáticos: tipología y prevención F Omisiones y Acciones No Informáticas Voluntarias decisiones directivas y/o gerenciales, tareas administrativas y operaciones intencionales equivocadas registraciones contables erróneas o fraudulentas (contabilidad inaceptable) demora, desfasaje o interrupción de las actividades (comerciales, industriales o de servicios) costos y/o gastos y/o plazos excesivos como así también ingresos deficientes o tardíos pérdidas de imagen, de prestigio y/o de oportunidades de negocios y/o de ventajas competitivas pérdidas de calidad, productividad y/o rentabilidad
99 99 05. Delitos Informáticos: tipología y prevención ¿Cómo ocurren los delitos por computadora?
100 100 05. Delitos Informáticos: tipología y prevención En primer término están los delitos cometidos a través de la computadora, ya sea por adición, alteración, sustitución, ocultamiento o duplicación de informes Estos delitos, si es que se los llega a detectar, son por lo general considerados un “error” (por lo general “de máquina” o “computacional”)
101 101 05. Delitos Informáticos: tipología y prevención F El input se puede alterar ingresando información falsa como ser: facturas, demandas de seguros, aumentos de salarios, etc. F Una transacción veraz puede ser alterada marcando un precio mayor (compra) o menor (venta), de manera de transferir mas tarde la diferencia de precio resultante a una cuenta ficticia
102 102 Delitos Informáticos: tipología y prevención F El tipo de transacción puede alterarse cambiando un depósito bancario de cheque a efectivo para producir engaño o duda F El input se puede borrar lisa y llanamente, como es el caso de un operador de computadora que borra todos los débitos de su propia cuenta corriente F Se pueden obtener cheques duplicados gestionando dos veces las facturas, interceptando el segundo set de cheques y depositando algunos de ellos en cuentas ficticias
103 103 Delitos Informáticos: tipología y prevención También se puede robar por computadora “manipulando” (modificando indebidamente) programas de computación ….. Veamos cómo ello es factible:
104 104 Delitos Informáticos: tipología y prevención F Los procesos computarizados, tales como detalles de cuentas, listados de inventarios, reordenamiento de existencias, otorgamiento de créditos y pagos de facturas, se pueden modificar F También se puede ampliar el margen de diferencia (tolerancia autorizada) entre la cuenta del libro de inventario y la cuenta real, sustrayendo luego un importe igual a la diferencia resultante entre ambas cuentas
105 105 Delitos Informáticos: tipología y prevención F Se puede cambiar un programa instruyendo pasar por alto algunas cuentas especificas, haciendo al mismo tiempo que las cuentas sobregiradas por el programador no sean registradas F Se puede modificar un programa de manera que las sumas de incrementos se puedan transferir a una cuenta ficticia, como en el caso de deducciones efectuadas en planillas de pago de sueldos, intereses o dividendos
106 106 Delitos Informáticos: tipología y prevención Asimismo, se pueden alterar los archivos de datos para ocultar el robo u otras maniobras dolosas ….. Esto puede llevarse a cabo de muy diversas maneras:
107 107 Delitos Informáticos: tipología y prevención F Se pueden generar datos ficticios para empleados, asociados, afiliados, accionistas, etc., a quienes se les envía luego los cheques correspondientes a direcciones o a oficinas de correo simuladas F Se pueden mantener indebidamente “activos” los registros de personas que ya han sido “dadas de baja” de la empresa, como ser: ex-empleados, jubilados y pensionados
108 108 Delitos Informáticos: tipología y prevención F Las cuentas inactivas que tienen saldos considerables pueden ser robadas, transfiriendo dichos saldos a cuentas ficticias y retirando luego el dinero. Esta maniobra requiere la intercepción de los informes periódicos de saldos y su oportuna sustitución por informes elaborados “ad hoc”
109 109 Delitos Informáticos: tipología y prevención Existen asimismo otros métodos usuales de delinquir utilizando la computadora... son los siguientes:
110 110 05. Delitos Informáticos: tipología y prevención F Los saldos de las cuentas no satisfactorias (cuentas sobregiradas, impagas, etc.) pueden ser indebidamente apropiados, transfiriéndolos a una cuenta que lo capta todo (cuenta “catch all”) - como ser una cuenta ficticia (“de espera”) - suprimiendo al mismo tiempo la impresión detallada de dicha cuenta para evitar que se descubra la maniobra
111 111 Delitos Informáticos: tipología y prevención F Se puede robar tiempo (“tiempo de máquina”) a la computadora de la compañía para fines propios, de hecho ha habido casos en que se ha ofrecido servicio a terceros, robando así hasta un tercio del tiempo disponible de la computadora F Asimismo, ciertos empleados pueden robar los programas propios de la organización para vendérselos a terceros
112 112 Delitos Informáticos: tipología y prevención F También pueden usar el tiempo y las instalaciones de la compañía para desarrollar programas para vendérselos a terceros F También pueden robar suministros como cintas magnéticas, formularios y papel para impresión F Es más, pueden hacer copias de la información de la firma propietaria: datos sobre el personal, clientes, proveedores, datos de ingeniería, de producción, marketing y muchos otras informaciones vitales o estratégicas para la organización
113 113 Delitos Informáticos: tipología y prevención Finalmente existen una serie de “errores” considerados (“no tan”) humanos..... Entre estos “errores” cabe destacar los siguientes:
114 114 Delitos Informáticos: tipología y prevención F Hay gente que sencillamente se deshace de datos importantes porque se siente incapaz de soportar la sobrecarga de trabajo que su procesamiento implica, a menos que la Dirección autorice el pago de horas extra o la contratación de más empleados
115 115 Delitos Informáticos: tipología y prevención F Por otra parte se conocen casos singulares, como el de un operador que “se salteó“ gran parte de la actualización del enorme archivo de finanzas de su organización, sencillamente porque no podía dar cumplimiento “en tiempo y forma” a la totalidad de la tarea que le había asignado la superioridad
116 116 Delitos Informáticos: tipología y prevención F Algunos sistemas en línea ofrecen un modo muy sencillo para que cualquier extraño ingrese a los mismos, al carecer de las medidas de control de acceso efectivas F Por último, ciertos expertos en sistemas (en particular los denominados “hackers”) se divierten buscando forma de irrumpir y captar el control de la rutina del monitor (núcleo o supervisor) del sistema operativo de la computadora o red de computadoras para, de este modo, acceder a los recursos que éstos administran
117 117 Delitos Informáticos: tipología y prevención Perfil del delincuente informático
118 118 Delitos Informáticos: tipología y prevención F Perfil del Delincuente Informático: ¿Quién es el enemigo? F Son empleados ideales (“estafadores aficionados de oficina”) están convencidos de que no son estafadores ocupan puestos de confianza y poseen excesiva capacidad están motivados por el desafío y el “juego” y son por lo general jóvenes no perjudicarían a nadie y “sólo hacen lo que todo el mundo hace” necesitan ayuda de terceros y temen exponerse inesperadamente se anticipan a los auditores y supervisores y los derrotan [Adaptado del perfil elaborado por Donn Parker, SRI International]
119 119 Delitos Informáticos: tipología y prevención Metodología del delito informático
120 120 Delitos Informáticos: tipología y prevención F Metodología del Delito Informático manejo de datos falsos caballo de troya técnicas de manipulación dolosa (“salami”) superzapping puertas trampa bombas lógicas virus informáticos “basureo” (obtención de datos de los tachos de basura) alimentación simultánea/imitación interferencia de comunicaciones construcción de modelos y simulación
121 121 Delitos Informáticos: tipología y prevención Posibilidades de delinquir en función del cargo ocupado
122 122 Delitos Informáticos: tipología y prevención F Posibilidades de delinquir en función del cargo ocupado encargado de ingreso de datos supervisor gerente programador de aplicaciones programador de sistemas operador de computadora bibliotecario de datos administrador de Base de Datos administrador de seguridad auditor
123 123 © Ing. Horacio Antonelli Matterson 05. Delitos Informáticos: tipología y prevención Prevención y detección del delito informático
124 124 © Ing. Horacio Antonelli Matterson 05. Delitos Informáticos: tipología y prevención F Prevención/Detección del Delito Informático (1/3) gerencia senior / gerencia de PED selección de personal de PED: verificación de antecedentes separación de tareas revisión de cuentas de empleados despido oportuno de personal (delincuentes) políticas, normas y procedimiento de PED función de seguridad de datos y programas sistema de clasificación de datos (confidenciales, reservados, públicos, etc.) capacitación adecuada en materia de control y seguridad
125 125 © Ing. Horacio Antonelli Matterson 05. Delitos Informáticos: tipología y prevención F Prevención/Detección del Delito Informático (2/3) software de control de acceso (lectura, grabación, ejecución) control de cambios en los programas diarios de sistemas (“logging”) contabilización de tareas (“job accounting”) pistas de auditoría controles incorporados a los sistemas (embedded code) testeo minucioso del sistema (prueba, paralelo, monitoreo) controles a cargo del usuario final encriptado de datos control de formularios e informes controles dobles (cruzados) y custodia conjunta
126 126 © Ing. Horacio Antonelli Matterson 05. Delitos Informáticos: tipología y prevención F Prevención/Detección del Delito Informático (3/3) informantes / líneas telefónicas directas afectadas a casos (denuncia) de delitos publicidad de las acciones penales inspecciones reglamentarias / ASI técnicas automáticas de detección verificaciones puntuales de seguridad procedimientos de seguridad flexibles y variables rol de los proveedores de hardware y de software legislación más estricta / educación de los usuarios y del público en general
127 Seminario “Control, Seguridad y Auditabilidad de los Sistemas de Información” Ing. Horacio Antonelli Matterson [email protected] 06. Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos
128 128 Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos F Concepto de Riesgo El riesgo es la probabilidad o posibilidad de que un acontecimiento indeseado ocurra o una acción no deseada se realice de modo que afecte negativamente a la organización, a sus activos y/o la consecución de sus fines, objetivos y resultados F Concepto de Area Crítica de Riesgo El Area Crítica de Riesgo es aquélla en (o para) la cual no existen los controles clave imprescindibles para que el sistema de Control Interno resulte efectivo (eficaz y eficiente)
129 129 Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos (A&ER) F Concepto de Análisis & Evaluación de Riesgos El Análisis & Evaluación de Riesgos es un proceso sistemático que recurre al criterio profesional que se emplea para identificar, analizar y evaluar en una organización los riesgos, su magnitud, su frecuencia, su impacto y su costo
130 130 Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos (A&ER) F Aspectos fundamentales a tener en cuenta: Asignación de los recursos deASI, particularmente para las tareas de A&ER Frecuencia de las ASI y de las tareas de A&ER Análisis y Planificación de la Función de ASI, incluyendo el A&ER A&ER de ASI individuales, parciales o aisladas Productos (SW) basados en PC´s para ASI y A&ER: – Audit Control Language (ACL) – Audit Universe Manager (Coopers & Lybrand) – Rank-it (Jerry Fitzgerald) – ADM/Plus (Pleier & Associates) – otros
131 131 Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos (A&ER) Ejemplo de Aplicación de Técnicas de A&ER en la Gestión de Abastecimiento
132 132 Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos (A&ER) F Areas Críticas de Riesgo en la Gestión de Stocks (GS): aspectos fundamentales a considerar estrategias de la empresa con relación a la GS pérdidas potenciales no intencionales en la GS pérdidas potenciales intencionales en la GS responsabilidades legales en la GS valor del negocio de GS conflictos potenciales en la GS costos de creación y de reposición de stocks impacto de la disponibilidad/indisponibilidad de stocks
133 133 Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos (A&ER) F Areas Críticas de Riesgo en la GS (Subgestión de Abastecimiento): tareas fundamentales a llevar a cabo (1/2) detección de necesidad de compra (adquisición/reposición) pedido de cotización y plazo de entrega a los proveedores rececpción de ofertas de los proveedores negociación con proveedores envío de la Orden de Compra (OC) seguimiento de la OC (“follow-up de anticipación) despacho de la mercadería por el proveedor
134 134 Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos (A&ER) F Areas Críticas de Riesgo en la GS (Subgestión de Abastecimiento): tareas fundamentales a llevar a cabo (2/2) recepción de la mercadería ingreso de documentación y recepción contabilización del crédito preventivo al proveedor contra Remito contabilización del crédito definitivo contra Factura emisión de la Orden de Pago (OP) aviso de pago al banco aviso de pago al proveedor
135 135 Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos (A&ER) F Indicadores clave en la GS: Auditoría “de anticipación” ratio clientes nuevos / clientes perdidos ratio proveedores nuevos / proveedores perdidos consultas a clientes y proveedores investigaciones sobre clientes y proveedores tiempos y costos de adquisición / reposición tiempos y costos financieros de inmovilización gastos de recepción, descarga, control (pesos, medidas, calidad), almacenamiento (conservación, etc.) gastos en concepto de seguros, impuestos y otros gravámenes sobre los stocks
136 136 Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos (A&ER) F Aportes de las TI a la Gestión de Stocks El estado del arte en materia de TI permite en la actualidad la automatización (casi) total de la GS, tanto desde el punto de vista físico como del administrativo / contable, económico y financiero Hace ya décadas que operan almacenes automatizados en los cuales toda la manipulación física de los items del almacén es realizada automáticamente por robots y la gestión administrativa del almacén es efectuada por Sistemas de Información Computadorizados soportados por equipos de Computación y Redes de Comunicaciones
137 137 Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos (A&ER) F Conclusiones y Recomendaciones (Síntesis de Ejemplo) Automatizar en la medida de lo posible la GS, pero siempre en base a los resultados los estudios de factibilidad técnica, operativa y económico / financiera correspondientes Elaborar y aplicar estrategias de control, seguridad, protección y auditoría de la GS basadas en un sistema de controles integrados, especificados en la etapa de diseño conceptual de los procedimientos administrativos y de los SI que los soportan
138 138 Aspectos prácticos de Control, Seguridad y ASI: Análisis y Evaluación de Riesgos (A&ER) F Conclusiones y Recomendaciones (Síntesis de Ejemplo) Reconocer la naturaleza cambiante de los procedimientos y sistemas mencionados en el punto precedente Tomar en consideración la creciente disponibilidad de equipos, sistemas y procesos que facilitan la GS automatizada como así también el control y la auditoría de ésta por medios automáticos
139 Seminario “Control, Seguridad y Auditabilidad de los Sistemas de Información” Ing. Horacio Antonelli Matterson [email protected] 07. Aspectos prácticos de la Auditoría de sistemas de PED Complejos
140 140 © Ing. Horacio Antonelli Matterson 07. Aspectos prácticos de la Auditoría de sistemas de PED Complejos F Introducción Si bien no existe distinción entre los conceptos de auditoría aplicables a sistemas de PED no complejos y los aplicables a sistemas de PED complejos, algunos de los métodos específicos requeridos para aplicar dichos conceptos de auditoría cambian a medida que los sistemas de PED se tornan más complejos
141 141 © Ing. Horacio Antonelli Matterson 07. Aspectos prácticos de la Auditoría de Sistemas de PED Complejos F Complejidad de los sistemas de PED Los sistemas de PED pueden definirse por su complejidad técnica y por la medida en que son utilizados en una organización En el pasado la complejidad técnica era sinónimo de tamaño o envergadura En la actualidad se utiliza un mejor medida de dicha complejidad técnica de un sistema de PED, consistente en una comparación de ésta con la de un sistema “patrón”, definido como “no complejo”
142 142 © Ing. Horacio Antonelli Matterson 07. Aspectos prácticos de la Auditoría de Sistemas de PED Complejos F Esquema de un sistema de PED “no complejo” Entrada batch UCP (SO ) Salida batch Archivos Maestros en Disco o Cinta
143 143 © Ing. Horacio Antonelli Matterson 07. Aspectos prácticos de la Auditoría de Sistemas de PED Complejos F Sistema de PED “no complejo” En el sistema mostrado en la figura precedente resulta relativamente efectuar el seguimiento de los datos detallados de una transacción desde la entrada hasta la salida y viceversa, siguiendo las pistas de auditoría Este seguimiento requiere que los datos sean impresos, pero los listados resultantes por lo general contienen un detalle considerable, tales como el de las transacciones individuales en los listados diarios y un detalle completo en los listados de los archivos maestros
144 144 © Ing. Horacio Antonelli Matterson 07. Aspectos prácticos de la Auditoría de Sistemas de PED Complejos F Sistema de PED “complejo” Un sistema de PED “no complejo” pueden tornarse “complejo” mediante el agregado de uno o más de los componentes o funciones siguientes: procesamiento en línea sistemas de comunicación procesamiento distribuído sistemas de gestión de bases de datos sistemas operativos complejos
145 145 © Ing. Horacio Antonelli Matterson 07. Aspectos prácticos de la Auditoría de Sistemas de PED Complejos F Efecto del PED sobre la organización (1/5) El PED produce diversos efectos significativos sobre la organización, siendo los más importantes desde la perspectiva del Auditor de SI los siguientes: cambios organizacionales visibilidad de la información (datos) posibilidad de relaciones equivocadas o falsas (aseveraciones erróneas) posibilidad de mejoras en el Control
146 146 © Ing. Horacio Antonelli Matterson 07. Aspectos prácticos de la Auditoría de Sistemas de PED Complejos F Efecto del PED sobre la organización (2/5) Cambio organizacional facilidades personal centralización de datos y segregación de funciones métodos de autorización automatizada (programada)
147 147 © Ing. Horacio Antonelli Matterson 07. Aspectos prácticos de la Auditoría de Sistemas de PED Complejos F Efecto del PED sobre la organización (3/5) Visibilidad de la información visibilidad de los datos de entrada visibilidad del procesamiento visibilidad de la pista de transación (o pista de auditoría)
148 148 © Ing. Horacio Antonelli Matterson 07. Aspectos prácticos de la Auditoría de Sistemas de PED Complejos F Efecto del PED sobre la organización (4/5) Posibilidad de relaciones equivocadas o falsas participación reducida del personal uniformidad de procesamiento acceso no autorizado pérdida de datos
149 149 © Ing. Horacio Antonelli Matterson 07. Aspectos prácticos de la Auditoría de Sistemas de PED Complejos F Efecto del PED sobre la organización (5/5) Posibilidad de mejoras en el control uniformidad de procesamiento mayor control y supervisión de la Dirección debido a: – mejor organización – mejores procedimientos y documentación – administración más efectiva mayor calidad de la información y disponibilidad de diversas herramientas analíticas para la Dirección