ISO

NORMA ISA 401, SOBRE SISTEMAS DE INFORMACIÓN POR COMPUTADORA. SAS NO. 94 (THE EFFECT OF INFORMATION TECHNOLOGY ON THE AUDITOR'S CONSIDERATION OF INTERNAL CONTROL IN A FINANCIAL STATEMENT AUDIT)

Dice que en una organización que usa Tecnologías de Información, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluación de riesgos, actividades de control, información, comunicación y monitoreo además de la forma en que se inicializan, registran, procesan y reporta las transacciones.

ISO 27001 (INFORMATION TECHNOLOGY – SECURITY TECHNIQUES – INFORMATION SECURITY MANAGEMENT SYSTEMS – REQUIREMENTS)

ISO / IEC 27001: 2005 cubre todos los tipos de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro).

Especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la información documentada en el contexto de los riesgos de negocio globales de la organización. Especifica los requisitos para la aplicación de controles de seguridad adaptados a las necesidades de las organizaciones individuales o partes de los mismos.

Está diseñado para garantizar la selección de controles de seguridad adecuadas y proporcionadas para proteger los activos de información y dar confianza a las partes interesadas.

ISO 27002 (INFORMATION TECHNOLOGY – SECURITY TECHNIQUES – CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT)

Hemos resumido en el siguiente diagrama la relación de requisitos específicos localizados en cláusulas del estándar ISO/IEC 27001:2005 con aquellos estándares que pueden servir de ayuda y/o desarrollo de posibles soluciones de implantación:

Estas relaciones han cambiado con la publicación de la nueva versión ISO/IEC 27001:2013 según la reorganización de las publicaciones ISO en la nueva estructura de Anexo SL que, junto a los cambios en los contenidos, ha desencadenado la actualización de las normas de la serie 27000. A continuación se muestra un diagrama de relación de la reorganización de las cláusulas principales de la versión 2005 a la publicada en 2013.

ISO/IEC 12207 (SOFTWARE LIFE CYCLE PROCESS)

ISO / IEC 12207: 2008 establece un marco común para los procesos del ciclo de vida del software, con la terminología bien definida, que puede ser referenciado por la industria del software.

Contiene los procesos, actividades y tareas que se van a aplicar durante la adquisición de un producto de software o servicio y durante el suministro, desarrollo, operación, mantenimiento y eliminación de productos de software.

El software incluye la parte de software de firmware. ISO / IEC 12207: 2008 se aplica a la adquisición de sistemas y productos de software y servicios, con el suministro, desarrollo, operación, mantenimiento y eliminación de productos de software y la parte de software de un sistema, bien sea interna o externamente a una organización.

Se incluyen aquellos aspectos de la definición del sistema necesario para proporcionar el contexto para los productos y servicios de software. ISO / IEC 12207: 2008 también proporciona un procedimiento que puede ser empleado para definir, controlar y mejorar los procesos del ciclo de vida del software. Los procesos, actividades y tareas de la norma ISO / IEC 12207: 2008 - ya sea solos o en combinación con la norma ISO / IEC 15288 - También se puede aplicar durante la adquisición de un sistema que contiene el software.

COBIT

COBIT

COBIT (OBJETIVOS DE CONTROL PARA TECNOLOGÍA DE INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS)

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control; COBIT, basado en la filosofía de que los recursos de TI, consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

Se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos.

• Misión

• Usuarios

• La gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.

• Los usuarios finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.

• Los auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.

• Los responsables de TI: para identificar los controles que requieren en sus áreas.

• Orientado al negocio.

• Alineado con estándares y regulaciones "de facto".

• Basado en una revisión critíca y analítica de las tareas y actividades en TI.

• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

• Principios de COBIT

• Procesos de TI

• Requerimientos de información del negocio

• Recursos de TI

COBIT investiga, desarrolla, publica y promueve un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.

Los usuarios de COBIT son aquellos quienes desean mejorar y garantizar la seguridad de sus sistemas bajo un estricto método control de tecnología de información como lo es COBIT:

Características de COBIT

El enfoque del control en TI (Tecnología de información) se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con la tecnología de información que deben ser administrados por procesos de TI.

Principios:

• Procesos de TI
• Requerimientos de información del negocio
• Recursos de TI

ESTÁNDARES DE AUDITORÍA DE SISTEMAS

ESTÁNDARES DE AUDITORIA DE SISTEMAS

Utilización de metodologías, instrumentos y procedimientos operativos propios. 

En la planificación de las auditorías informáticas.Empleo de marcos referenciales para la declaración de los objetivos del control. En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas.

Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares:

ISACA - Asociación de Auditoría y Control de Sistemas de Información 

ISO – Organización Internacional para la estandarización. 

NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.

En la actualidad existen tres tipos de metodologías de auditoría informática: 

R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen. 

CHECKLIST o cuestionarios.

AUDITORIA DE PRODUCTOS (por ejemplo, Red Loca  Windows NT; sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.). Metodología.

En sí las tres metodologías están basadas en la minimización de los riesgos, que se conseguirá en función de que existan los controles y de que éstos funcionen. En consecuencia el auditor deberá revisar estos controles y su funcionamiento.

Las metodologías de auditoría de SI son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua.

Esta metodología tiene tres etapas fundamentales:

      ETAPA: Planeación de Auditoria de Sistemas Computacionales

      ETAPA: Ejecución de la Auditoria de Sistemas Computacionales

.     ETAPA: Dictamen de la Auditoria de Sistemas Computacionales 

VIRUS

VIRUS

Es un programa que se replica, añadiendo una copia de sí mismo a otro programa, son particularmente dañinos que pasan desapercibidos hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios hasta la pérdida total del sistema.

Características de los VIRUS

·         Auto-reproducción    Capacidad de replicarse

·         Infección                   Es la capacidad que tiene el código de alojarse      en otros programas

Propósitos de los VIRUS

·         Infectar el software

Sus instrucciones agregan nuevos archivos al sistema o manipulan el contenido de los archivos.

·         Afectar el hardware

Sus instrucciones manipulan los componentes físicos, su objetivo principal son los dispositivos de almacenamiento secundario.

FACTORES DE RIESGOS HUMANOS

HACKER´S

Personas con avanzados conocimientos técnicos en el área de informática.

2 objetivos

·         Probar que tienen las competencias para invadir un sistema protegido.

·         Probar que la seguridad de un sistema tiene fallas.

                          CRACKER´S

Personas con habilidad hacia invasión de sistemas a lo que no tienen acceso autorizado.

2 objetivos

·         Destruir parcial o totalmente los sistemas.

·         Obtener un beneficio personal.

SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA

Referente a la seguridad informática, se puede decir que con ello hace posible captar y utilizar la información almacenada, hacer una gestión pertinente y apropiada, se tiene además acceso a procesos en línea.

Cuando se habla de seguridad informática se refiere al conjunto de software, hardware y procedimientos para asegurar la información de las bases de datos.

También es una disciplina que se ocupa prácticamente de diseñar las normas, procedimientos, métodos y técnicas orientadas a proveer condiciones seguras y confiables, para el procesamiento de datos en el sistema informático.

En la seguridad informática se tienen 3 principios básicos que son:

1.    Confidencialidad

2.    Integridad

3.    Disponibilidad

Confidencialidad: Las herramientas de seguridad informática deben de proteger al sistema de invasiones y accesos de personal no autorizado.

Integridad: Validez y consistencia de los elementos de la información almacenador y procesadores de un sistema informático. Las herramientas de seguridad informática deben asegurar que los procesos de actualización estén sincronizados y no sean duplicados.

Continuidad: Las herramientas deben de reforzar la permanencia, en condiciones de actividad adecuada.

Factores de riesgo

·         Ambientales

Lluvias, inundaciones, terremotos, etc.

·         Tecnológicos

Fallas de hardware, ataque por virus.

·         Humanos

Alteración, pérdida, robo de contraseñas, fraude, modificaciones.

SOFTWARE DE AUDITORIA

SOFTWARE DE AUDITORÍA

Conjunto de programas que sirven para interactuar con el sistema, confiriendo control sobre el hardware, además de dar soporte a otros programas.

Denominado también software de base, consiste en un software que sirve para controlar e interactuar con el sistema operativo, proporcionando control sobre el hardware y dando soporte a otros programas; en contraposición del llamado software de información.

El Software de Sistema se divide en:

Sistemas operativos, Controladores de Dispositivos y programas utilitarios

Sistema operativo

El Sistema Operativo es un conjunto de programas que administran los recursos de la computadora y controlan su funcionamiento.

Un Sistema Operativo realiza cinco funciones básicas: Suministro de Interfaz al Usuario, Administración de Recursos, Administración de Archivos, Administración de Tareas y Servicio de Soporte.

1.   Suministro de interfaz al usuario: Permite al usuario comunicarse con la computadora por medio de interfaces que se basan en comandos, interfaces que utilizan menús, e interfaces gráficas de usuario.

2.   Administración de recursos: Administran los recursos del hardware como la CPU, memoria, dispositivos de almacenamiento secundario y periféricos de entrada y de salida.

3.   Administración de archivos: Controla la creación, borrado, copiado y acceso de archivos de datos y de programas.

4.   Administración de tareas: Administra la información sobre los programas y procesos que se están ejecutando en la computadora. Puede cambiar la prioridad entre procesos, concluirlos y comprobar el uso de estos en la CPU, así como terminar programas.

5.   Servicio de soporte: Los Servicios de Soporte de cada sistema operativo dependen de las implementaciones añadidas a este, y pueden consistir en inclusión de utilidades nuevas, actualización de versiones, mejoras de seguridad, controladores de nuevos periféricos, o corrección de errores de software.

Controladores de Dispositivos

Los Controladores de Dispositivos son programas que permiten a otros programa de mayor nivel como un sistema operativo interactuar con un dispositivo de hardware.

Programas Utilitarios

Los Programas Utilitarios realizan diversas funciones para resolver problemas específicos, además de realizar tareas en general y de mantenimiento. Algunos se incluyen en el sistema operativo.

HERRAMIENTAS DE AUDITARÍAS DE SISTEMAS

HERRAMIENTAS DE AUDITORÍA DE SISTEMAS

Las Herramientas de auditoria, son procesos de recolección, agrupación y evaluación que lleva un experto verificando que el sistema efectivamente cumpla con:

Salvaguardar el activo más grande de una empresa que es la información o registros.

Si los datos son íntegros o verídicos, de la misma manera la utilización eficiente de todos los recursos de información y claro la seguridad informática.

Se menciona que el objetivo del auditor en dichas herramientas será evaluar el control y funcionamiento informático.

Al hacer cuestionarios estos deben ser específicos para cada situación, y muy cuidados en su fondo y su forma. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos pre impresos hubieran proporcionado.

Las entrevistas es una de las actividades personales más importante del auditor; recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.  Interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo.

En las trazas y huellas con frecuencia, el auditor debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.

Se conoce como peritaje informático a los estudios e investigaciones orientados a la obtención de una prueba informática de aplicación en un asunto judicial para que sirva a un juez para decidir sobre la culpabilidad o inocencia de una de las partes. La pericia, por ser un medio probatorio, tiene sus normas, previstas en los códigos procesales, respecto a la designación, tiempos y forma de presentación.

Matriz DOFA es un método de análisis y diagnóstico usado para la evaluación de un centro de cómputo, que permite la evaluación del desempeño de los sistemas software, aquí se evalúan los factores internos y externos, para que el auditor puede evaluar  el cumplimiento de la misión y objetivo general del área de informática de la organización.

Herramientas informáticas más comunes

• Backup y copias de discos duros y medios removibles.
• Software de búsqueda de archivos.
• Google Desktop.
• Software de Recuperación de archivos borrados (recuba).
• Análisis de la memoria Ram.
• Análisis de la red.
• Actividad del equipo.
• Borrado definitivo
• Búsqueda de mails, historial de internet, chats.
• Otros: Encase Forensic, CondorLinux, impresiones.

Entre las Características de las Herramientas que le son útiles al auditor Podemos Mencionar las siguientes:

• Incrementar la productividad y efectividad del auditor.
• Estandarizar el proceso de los papeles de trabajo
• Estandarizar el conocimiento de los auditores
• Elevar el perfil del departamento de auditoria
• Optimizar la emisión del informe de auditoría

Las técnicas que  ayudan al auditor en el trabajo de campo

Traceo

Esta técnica indica por donde trascurrió el programa cada vez que se ejecuta una instrucción, asimismo, imprime o muestra en la pantalla el valor de las variables, en una porción o en todo el programa.

Mapeo

Muestra las características de los programas siendo estas como el tamaño en bytes, localización en memoria, fecha de última modificación, entre otras.

Comparación de código   

Involucra los códigos fuentes (Es un conjunto de líneas de texto que son las instrucciones que debe seguir la computadora para ejecutar dicho programa.) y códigos objetos.

Entre sus funcionalidades destacan:

• Capacidad de muestreo
• Filtros de información
• Recurrencia de pruebas
• Beneficios
• Eficiencia en el trabajo
• Aumenta la eficiencia en la conducción de la evaluación de riesgos y planificación anual. El incremento está entre 20% y 45%.
• Base de conocimiento
• Acceso inmediato a toda la documentación de auditorías pasadas, en ejecución o planeadas.
• Flexibilidad.

METODOLOGÍA DE AUDITORIA

METODOLOGÍA DE AUDITORIA

Existen algunas metodologías de Auditoría de Sistemas de Información y todas dependen de lo que se pretenda revisar o analizar:
Estudio preliminar
Revisión y evaluación de controles y seguridades
Examen detallado de áreas critícas
Comunicación de resultados
Estudio preliminar
Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, manuales de políticas, reglamentos, entrevistas con los principales funcionarios.

Revisión y evaluación de controles y seguridades

Consiste de la revisión de los diagramas de flujos de proceso, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, revisión de procesos históricos, revisión de documentación y archivos, entre otras actividades.

Examen detallado de áreas críticas

Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance recursos que usará, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.

Comunicación de resultados
Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.
El informe debe contener lo siguiente:
Motivos de la Auditoría
Objetivos
Alcance
Estructura Orgánico-Funcional del área

PROCESOS DE AUDITORIA DE SISTEMAS

PROCESOS DE AUDITORIA DE SISTEMAS 

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Para hacer una adecuada planeación de la auditoría en informática, hay que continuar varios pasos antes, ya que estos pasos nos permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

Evaluación de los equipos de cómputo. 

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

• Evaluación del avance de los sistemas en desarrollo y· congruencia con el diseño general
• Evaluación de prioridades y recursos asignados (humanos y· equipos de cómputo)
• Seguridad física y lógica de los sistemas, su· confidencialidad y respaldos.

Evaluación de los equipos

Capacidades·

Utilización·

Nuevos Proyectos·

Seguridad física y lógica·

Evaluación física y lógica·

Controles administrativos en un ambiente de Procesamiento de Datos

La máxima autoridad del Àrea de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma.
De preinstalación, de organización y planificación, de Sistemas de Desarrollo y Producción, de procesamiento y de operación.

Controles de Sistema en Desarrollo y Producción 

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.

Controles de Procesamiento 

Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:

Asegurar que todos los datos sean procesados.

Garantizar la exactitud de los datos procesados.

Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría o Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

CLASES DE AUDITORIA

CLASES DE AUDITORÍA

En los últimos años, la rápida evolución de la auditoría ha generado algunos términos que son poco claros respecto de los contenidos que expresan. Además, este proceso evolutivo ha provocado, en la actividad de la revisión, la especialización de la auditoría según el objeto, destino, técnicas, métodos, entre otros., que se realicen.

Así, sin ánimo de ser exhaustivos, se habla de auditoría externa, auditoría interna, auditoría operativa, auditoría pública o gubernamental, auditoría de sistemas, entre otros.

Una breve referencia de cada una de las modalidades descritas nos aclara los diferentes enfoques.

Auditoría externa o auditoría legal 

Examen de las cuentas anuales de una empresa por un auditor externo, normalmente por exigencia legal. 

El objetivo de un examen de los estados financieros de una compañía, por parte de un auditor independiente, es la expresión de una opinión sobre si los mismos reflejan razonablemente su situación patrimonial, los resultados de sus operaciones y los cambios en la situación financiera, de acuerdo con los principios de contabilidad generalmente aceptados y con la legislación vigente.

Auditoría interna 

Control realizado por los empleados de una empresa para garantizar que las operaciones se llevan a cabo de acuerdo con la política general de la entidad, evaluando la eficacia y la eficiencia, y proponiendo soluciones a los problemas detectados. 

La auditoría interna se puede concebir como una parte del control interno. La realizan personas dependientes de la organización con un grado de independencia suficiente para poder realizar el trabajo objetivamente; una vez acabado su cometido han de informar a la Dirección de todos los resultados obtenidos. 

La característica principal de la auditoría interna es, por tanto, la dependencia de la organización y el destino de la información. 

Auditoría operativa

Revisión del sistema de control interno de una empresa por personas cualificadas, con el fin de evaluar su eficacia e incrementar su rendimiento.

La auditoría operativa consiste en el examen de los métodos, los procedimientos y los sistemas de control interno de una empresa u organismo, público o privado; en definitiva, se fundamenta en analizar la gestión.

Auditoría de sistemas 

En esta modalidad podemos incluir lo que se conoce por auditorías especiales, como la auditoría medioambiental, auditoría informática y otras formas que empiezan a tomar nombre (económico-social, ética y otras). Especial relevancia ocupa la auditoría medioambiental, debido a la creciente conciencia social sobre asuntos relativos a la conservación y preservación de la calidad medioambiental (se trata de uno de los condicionantes actuales de la actividad humana que no había en épocas pasadas).

TIPOS DE AUDITORIA

Las clases de auditorías Es importante conocer que la auditoría de sistemas tiene algunos de sus fundamentos en otras auditorías y que toma diferentes herramientas de ellas para conformarse. A continuación se presenta una clasificación de diferentes tipos de auditorías, las cuales se encuentran clasificadas por diferentes factores.Por el origen de quien hace su aplicación:

•Externa

•Interna

Por el área en donde se hacen

•Auditoría Financiera

•Auditoría Administrativa

•Auditoría Operacional

•Auditoría Gubernamental

•Auditoría Integral

•Auditoría de Sistemas

Por área de especialidad

•Auditoría Fiscal

•Auditoría Laboral

•Auditoría Ambiental

•Auditoría Médica

•Auditoría a Inventario

•Auditoría a Caja Chica

•Auditoría en Sistemas

Especializadas en Sistemas Computacionales

•Auditoría Informática

•Auditoría con la Computadora

•Auditoría sin la Computadora

•Auditoría a la Gestión Informática

•Auditoría alrededor de la computadora

•Auditoría en seguridad de sistemas

•Auditoría a sistemas de redes