Escolar Documentos
Profissional Documentos
Cultura Documentos
Manresa, 18-11-2008
www.epractice.eu/community/itgovernance
Manresa 18-11-2008 - p. 1
AUDITORIA
Proceso sistemtico por el cual una persona competente e independiente obtiene y evala objetivamente evidencias respecto a afirmaciones sobre una entidad econmica o un caso con el fin de formarse una opinin e informar sobre el grado en que dicha informacin se ajusta a un conjunto determinado de estndares
Manresa 18-11-2008 - p. 2
IMPORTANCIA DE LA AUDITORA DE SI
Dependencia creciente de la informacin y de los sistemas que proporcionan dicha informacin. La creciente vulnerabilidad y un amplio espectro de amenazas y ciber-amenazas. El coste de las actuales y futuras inversiones en informacin y en Sistemas de Informacin. El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costes.
Manresa 18-11-2008 - p. 4
BENEFICIOS Y COSTES
DEBILIDADES AMENAZAS
FORTALEZAS
OPORTUNIDADES
Manresa 18-11-2008 - p. 5
COSTES - AMENAZAS
QUE PASA SI HAY
Prdida de Confidencialidad Prdida de Integridad Prdida de Disponibilidad Incumplimiento leyes o contratos Atentado contra el honor y la intimidad Daos personales Incorrecta realizacin actividades Efectos negativos en relaciones externas Prdidas econmicas
Manresa 18-11-2008 - p. 6
BENEFICIOS OPORTUNIDADES
Reto Estratgico=Ventaja Competitiva Mejora en el Control Interno
Manresa 18-11-2008 - p. 7
Manresa 18-11-2008 - p. 8
PRDIDA DE INTEGRIDAD
Obligada por ley?
PRDIDA DE DISPONIBILIDAD
Infraccin de leyes? Obligacin por ley?
Hacienda, SS, Registro Mercantil
Manresa 18-11-2008 - p. 10
PRDIDA DE INTEGRIDAD
Qu dao si se corrompen los datos? Cundo debera ser observado?
PRDIDA DE DISPONIBILIDAD
Dao posicin social? Dao posicin econmica?
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 11
DAOS PERSONALES
UCI (Unidades Cuidados Intensivos) Sistemas diagnstico mdico Controladores de vuelo Controladores de trfico
Manresa 18-11-2008 - p. 12
DAOS PERSONALES
PRDIDA DE CONFIDENCIALIDAD
Perjuicios fsicos? Perjuicios psicolgicos?
PRDIDA DE INTEGRIDAD
Peligro para la salud?
PRDIDA DE DISPONIBILIDAD
Daos fsicos?
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 13
Manresa 18-11-2008 - p. 14
PRDIDA DE INTEGRIDAD
Restriccin en las operaciones? Daos importantes? Daos en cascada? Atribuciones a personas errneas?
PRDIDA DE DISPONIBILIDAD
Prdida de tiempo? Repercusin a otras aplicaciones?
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 15
Manresa 18-11-2008 - p. 16
PRDIDA DE INTEGRIDAD
PRDIDA DE DISPONIBILIDAD
Restriccin de servicios? Conocimiento por terceros?
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 17
PERDIDAS ECONMICAS
Difusin I+D no autorizada Manipulacin informacin econmica Prdida de ventas Destruccin sistemas de reserva Robo o destruccin Hardware
Manresa 18-11-2008 - p. 18
PERDIDAS ECONMICAS
PRDIDA DE CONFIDENCIALIDAD
Reclamaciones econmicas? Ventaja econmica para terceros? Copias ilegales? Publicacin antes de tiempo? Prdidas financieras? Reclamaciones econmicas? Ordenes de produccin errneas? Decisiones errneas? Perjuicios produccin, inventario, distribucin Retraso en los pagos? Coste reparacin o reposicin? Penalizaciones contractuales? Clientes afectados?
Manresa 18-11-2008 - p. 19
PRDIDA DE INTEGRIDAD
PRDIDA DE DISPONIBILIDAD
Documentacin Resultados
Aplicaciones de TI Sistemas de TI Comunicaciones Salas de TI
Manresa 18-11-2008 - p. 20
Aplicaciones-Sistema de TI
APLICACIONES No m A1 A2 A3 A4 A5 A6 A7 Descripci Nmines Subsidis Control despeses viatges Autentificaci usuaris Gesti del sistema X Intercanvi (e-mail, ...) Gesti documental X X X LOP D X X X X X X X X SISTEMA S1 S2 S3 S4 S5 S6 S 7
Manresa 18-11-2008 - p. 21
RIESGO AUDITORA DE SI
Riesgo Inherente
Asociado a la propia naturaleza del negocio
Dinero vs Muebles
Riesgo de Control
Eficiencia del procedimiento
Revisiones manuales vs Revisiones automatizadas
Riesgo de Deteccin
Eficacia.Procedimiento inadecuado de prueba
Riesgo General
Nivel de riesgo dispuesto a asumir el ASI
Manresa 18-11-2008 - p. 22
FASES AUDITORA de SI
Manresa 18-11-2008 - p. 23
Manresa 18-11-2008 - p. 24
INICIO
Carta de apertura.
Auditora interna. Auditora externa.
Sujeto.
rea que ser auditada.
Objetivo.
Propsito de la auditora.
Alcance.
Sistemas especficos Funcin Unidad de negocio
Perodo revisado.
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 25
INICIO : Ejemplo A
Sujeto : Identificacin del rea a auditar General, Desarrollo, Mantenimiento, Explotacin, Seguridad, Aplicaciones de negocio, ..
Objetivo de la auditora
Estrategia, supervisin, riesgos, exactitud, integridad, aplicacin, datos, ...
Alcance
Identificar los sistemas especficos y/o unidad de negocio Funcin, geografa, . Comunicacin formal, Grado de anlisis, Riesgos a cubrir, Duracin
INICIO : Ejemplo B
Objetivo de la auditora
El objetivo del presente trabajo ser la realizacin de la auditora del cumplimiento del reglamento de Medidas de Seguridad .
Alcance
El alcance del trabajo cubre los fichero de nivel medio y alto. las medidas de nivel bsico, medio y alto el entorno informtico UNIX los sistemas de tratamiento ubicados en Manresa .
La duracin estimada del trabajo ser de 4 semanas, iniciando el 18 de noviembre y finalizando el 16 de diciembre. El presente trabajo abarcar los datos de carcter personal comprendidos entre el 18 de noviembre del 2006 y 18 de noviembre de 2008.
Manresa 18-11-2008 - p. 27
PLANIFICACIN (1/4)
Recopilacin de Informacin inicial.
Organigrama Visitar las instalaciones clave Obtener:
Leyes y regulaciones pertinentes Publicaciones sectoriales Informes anuales Anlisis financieros independientes
PLANIFICACIN (1/4)
Manresa 18-11-2008 - p. 29
PLANIFICACIN (2/4)
Anlisis de riesgos (inherente).
1.- Caracterizacin del Sistema 2.- Identificacin amenazas 3.- Identificacin vulnerabilidades 4.- Anlisis de control 5.- Clculo probabilidad 6.- Anlisis impacto 7.- Determinacin del riesgo
Manresa 18-11-2008 - p. 30
(P)
Impacto (I)
Evaluacin Riesgo (P x I)
Actividades de Control (IV) Existencia (Controles) Evaluacin del diseo de controles (existencia y suficiencia) Evaluacion Riesgo Residual
Manresa 18-11-2008 - p. 31
Test
2008 Auditoria C.I. LOPD
PLANIFICACIN (3/4)
Establecimiento de objetivos.
Traducir:
Objetivos generales en objetivos especficos
Fundamentar:
existen controles internos cumplimiento requisitos legales
Identificar:
objetivos de control controles relacionados controles compensatorios
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 32
PLANIFICACIN (4/4)
Recursos y Calendario.
Personal disponible Experiencia Habilidades tcnicas
Programa de trabajo
Desarrollar un plan detallado Informes comparativos sobre el plan Ajustes sobre el plan y medidas correctivas
Manresa 18-11-2008 - p. 33
Manresa 18-11-2008 - p. 34
EJECUCIN (1/13)
Identificacin reas crticas
Relevancia para el proceso de negocio Cambios recientes
proceso de negocio tecnologa personal
EJECUCIN (2/13)
Anlisis de Procedimientos de Control.
Proceso de Control
1.- Se especific un estndar para un proceso. 2.- Existe un medio para saber qu esta sucediendo en el proceso. 3.- La unidad de control compara la informacin con el estndar. 4.- Existen acciones correctivas
Observaciones de Control
1.- Responsabilidad clara y NO ambigua 2.- Estndares:
documentados con claridad y precisin mantenidos comunicados
3.- Definicin precisa de lo que constituye una desviacin. 4.- Requerimientos de evidencia para:
informacin de control informacin de la accin correctiva
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 36
Proceso de Control
(Font IT Governance Institute Cobit 3.0, USA 2000)
Manresa 18-11-2008 - p. 37
EJECUCIN (3/13)
Anlisis de Riesgos de La Auditora.
Evaluacin del Riesgo de control Evaluacin del Riesgo de deteccin Calcular Riesgo Total
Manresa 18-11-2008 - p. 38
EJECUCIN (4/13)
Lista de personas a entrevistar. Tipos entrevista:
Inicial Investigacin Final
Manresa 18-11-2008 - p. 39
EJECUCIN (5/13)
Fases entrevista(1/4):
Preparacin
Tipo Objetivos Enfoque Formato Temas Preguntas concretas
Manresa 18-11-2008 - p. 40
EJECUCIN (6/13)
Fases entrevista (2/4) :
Conduccin
Iniciar
Objetivo de la entrevista y hacer hablar al entrevistado
Escuchar
Escuchar activamente y recordar los temas
Enfocar
Dirigir la atencin a temas para profundizar
Sondear
Profundizar en temas importantes planteados por el entrevistado
Utilizar
Informacin obtenida
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 41
EJECUCIN (7/13)
Fases entrevista (3/4) :
Protocolo
Minimizar las variaciones respecto del objetivo Escuchar la mayor parte del tiempo Permitir tiempo para pensar Evitar ser condescendiente y crtico Evitar sarcasmos Evitar jerga Evitar desacuerdos y enfrentamientos Estar atento e interesado Responder cortsmente Mantener una formalidad relajada sin familiaridades
Manresa 18-11-2008 - p. 42
EJECUCIN (8/13)
Fases entrevista (4/4) :
Anlisis
Separar los hechos de las opiniones Asimilar la informacin obtenida Clarificar los puntos poco claros Identificar nuevos puntos
Manresa 18-11-2008 - p. 43
EJECUCIN (9/13)
Seleccionar metodologa apropiada o desarrollar herramientas de auditora.
Software generalizado de auditora ACL, IDEA, ... Utilities Comandos SQL Software de control de accesos de terceros Sistemas de aplicacin Informes integrados del sistema
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 44
EJECUCIN (10/13)
Identificacin/documentacin.
Quin realiza la tarea. Dnde se realiza la tarea. Sobre qu datos de entrada se realiza la tarea. Qu resultados se esperan de la tarea. Cules son los procedimientos establecidos para realizar la tarea.
Manresa 18-11-2008 - p. 45
EJECUCIN (11/13)
Evaluacin.
Leyes, regulaciones y criterios organizacionales en cuanto a su aplicacin sobre los procedimientos Procedimientos
eficientes proporcionan aseguramiento razonable
realizacin de la tarea cumplimiento objetivo de control
EJECUCIN (12/13)
Pruebas de cumplimiento.
Adherencia de la organizacin a los controles prescritos Comprobacin de controles y su funcionamiento Entrevistas y revisin de documentacin Slo se realizan sobre la base de los procedimientos que han sido determinados como eficaces
Manresa 18-11-2008 - p. 47
WP- 230-10. El dia xx hemos visitado la sala en compaa del director de IT. Hemos observado lo siguiente:
La sala cuenta con dos puertas de acceso. La sala no cuenta con ventanas. Las puertas de acceso permanecen cerradas bajo llave.
CONCLUSION: Adecuado
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 48
EJECUCIN (13/13)
Pruebas sustantivas.
Fundamenta la integridad de un procesamiento real Provee evidencias de la validez del resultado final Proporcin inversa a las pruebas de cumplimiento
Manresa 18-11-2008 - p. 49
EVIDENCIA
Toda aquella informacin empleada por el auditor de SI para determinar si la entidad o los datos auditados cumplen con los criterios u objetivos de auditora establecidos. Es necesario que las conclusiones del auditor estn basadas en la suficiencia de la evidencia conseguida
Independencia del proveedor de la evidencia Calificacin de la persona que proporciona la informacin o la evidencia Objetividad de la evidencia Duracin de la evidencia
Manresa 18-11-2008 - p. 50
EVIDENCIA
Tcnicas para conseguir evidencias:
Revisin de la estructura de la organizacin de IS Revisin de las polticas, procedimientos y estndares de IS Revisin de la documentacin de IS Entrevistar al personal adecuado Observacin de procesos y procedimientos de ejecucin empleados.
Manresa 18-11-2008 - p. 51
INFORME
Anlisis de Resultados. Valoracin de Riesgos. Presentacin y Discusin Informe Provisional. Pruebas adicionales si es el caso. Borrador Informe. Revisin y Cierre Papeles de trabajo.
Manresa 18-11-2008 - p. 52
INFORME: ejemplo
OBSERVACIN La Sociedad no dispone de copias de seguridad externas. EFECTO Dicha ausencia no permite asegurar la disponibilidad de la informacin en caso de contingencia. RECOMENDACIN Implantar un procedimiento que asegure la realizacin de copias de seguridad externa.
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 53
CIERRE
Crear recomendaciones. Informe Definitivo.
Opinin favorable. Opinin con salvedades. Opinin denegada. Opinin adversa.
Manresa 18-11-2008 - p. 54
Objetivos.
Informar los resultados de la auditora a la Alta Direccin y a los usuarios interesados (internos y externos). Dejar evidencia de haber informado los hallazgos de auditora ms relevantes a las partes interesadas. Suscitar acciones de mejora.
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 55
______
______
______ _______
Manresa 18-11-2008 - p. 57
SI
NO
_____
_____
______
____
______
_____
______
______
2008 Antoni Bosch
En el informe nicamente se incluyen puntos que tienen alto potencial de prdida y bajo costo. Tienen sentido los ttulos utilizados para encabezar los comentarios u observaciones. El informe no contiene o explica la terminologa tcnica de Sistemas y de auditora. El informe se emite oportunamente (a tiempo) de modo que pueda obtenerse el mximo beneficio.
Manresa 18-11-2008 - p. 59
SI
NO
______
______
______
______
______
______
______
______
CONTROL INTERNO
Manresa 18-11-2008 - p. 60
CONTROL
Las polticas, procedimientos, prcticas y estructuras organizativas diseadas para garantizar razonablemente que los objetivos del negocio se alcanzarn y que se prevendrn o detectarn y se corregirn los eventos no deseados.
OBJETIVO DE CONTROL
Una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.
Enfoque COBIT
El enfoque del Control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando la informacin como el resultado de la aplicacin combinada de recursos relacionados con la TI que deben ser administrados por procesos de TI.
Manresa 18-11-2008 - p. 61
COBIT
(Font IT Governance Institute Cobit 4.1, USA 2007)
Manresa 18-11-2008 - p. 62
Manresa 18-11-2008 - p. 63
BUSINESS OBJECTIVES
COBIT
(Font IT Governance Institute Cobit 4.0, USA 2005)
INFORMATION effectivness eficiency confidentiality integrity availability compliance reliability IT RESOURCES Applications Information Infrastructure People ACQUISITION AND IMPLEMENTATION PLANNING AND ORGANISATION
Business Objectives IT Processes Criteria and effectiveness effectiveness efficiency efficiency domains confidenciality confidenciality
integrity integrity availability availability compliance compliance reliability reliability
ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance.
IT RESOURCES
PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects.
Manresa 18-11-2008 - p. 65
AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. 2008 Antoni Bosch AI7 Install and accredit solutions and changes.
COBIT 4.1
Manresa 18-11-2008 - p. 66
Modelo CONTROL
(Font IT Governance Institute Cobit 4.1, USA 2007)
Manresa 18-11-2008 - p. 67
Manresa 18-11-2008 - p. 68
Modelo de Control
(Font IT Governance Institute Cobit 4.0, USA 2005)
Focalizndose en Metas TI Se logra con Controles clave Se mide con Mtricas clave
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 69
focalizndose en
la definicin de polticas, procedimientos y estndares de seguridad de TI y en el monitoreo, deteccin, reporte y resolucin de las vulnerabilidades e incidentes de seguridad.
se logra con
El entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. La administracin de identidades y autorizaciones de los usuarios de forma estandarizada. Probando la seguridad de forma regular.
y se mide con
El nmero de incidentes que daan la reputacin con el pblico El nmero de sistemas donde no se cumplen los requerimientos de seguridad El nmero de violaciones en la segregacin de tareas.
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 70
Manresa 18-11-2008 - p. 73
Manresa 18-11-2008 - p. 74
focalizndose en
la identificacin de todas las leyes y regulaciones aplicables, el nivel correspondiente de cumplimiento de TI y la optimizacin de los procesos de TI para reducir el riesgo de no cumplimiento
se logra con
La identificacin de los requisitos legales y regulatorios relacionados con la TI La evaluacin del impacto de los requisitos regulatorios El monitoreo y reporte del cumplimiento de los requisitos regulatorios
y se mide con
El costo del no cumplimiento de TI, incluyendo multas Tiempo promedio de demora entre la identificacin de los problemas externos de cumplimiento y su resolucin Frecuencia de revisiones de cumplimiento
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 75
RACI
ME3 Asegurar el Cumplimiento Regulatorio
Manresa 18-11-2008 - p. 76
Modelos de Madurez
(Font IT Governance Institute Cobit 4.0, USA 2005)
Manresa 18-11-2008 - p. 77
Modelo de Madurez
ME3 Asegurar el Cumplimiento Regulatorio
0 No existente cuando
Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales.
Modelo de Madurez
ME3 Asegurar el Cumplimiento Regulatorio
3 Proceso definido cuando
Se han desarrollado, documentado y comunicado polticas, procedimientos y procesos, para garantizar el cumplimiento de los reglamentos y de las obligaciones contractuales y legales, pero algunas quiz no se sigan y algunas quiz estn desactualizadas o sean poco prcticas de implantar. Se realiza poco monitoreo y existen requisitos de cumplimiento que no han sido resueltos. Se brinda formacin sobre requisitos legales y regulatorios externos que afectan a la organizacin Se forma respecto a los procesos de cumplimiento definidos. Existen contratos pro forma y procesos legales estndar para minimizar los riesgos asociados con las obligaciones contractuales
Manresa 18-11-2008 - p. 79
Modelo de Madurez
ME3 Asegurar el Cumplimiento Regulatorio
4 Administrado y medible cuando
Existe un entendimiento completo de los eventos y de la exposicin a requerimientos externos, y la necesidad de asegurar el cumplimiento a todos los niveles. Existe un esquema formal de entrenamiento que asegura que todo el equipo est consciente de sus obligaciones de cumplimiento. Las responsabilidades son claras y se ha comprendido la propiedad de los procesos. El proceso incluye una revisin del entorno para identificar requerimientos externos y cambios recurrentes. Existe un mecanismo implantado para monitorear el no cumplimiento de los requisitos externos, reforzar las prcticas internas e implantar acciones correctivas. Los eventos de no cumplimiento se analizan de forma estndar en busca de las causas raz, con el objetivo de identificar soluciones sostenibles. Se usan buenas prcticas internas estandarizadas para necesidades especficas tales como reglamentos vigentes y contratos de servicio.
Manresa 18-11-2008 - p. 80
Modelo de Madurez
ME3 Asegurar el Cumplimiento Regulatorio
5 Optimizado cuando
Existe un proceso bien organizado, eficiente e implantado para cumplir con los requerimientos externos, basado en una sola funcin central que brinda orientacin y coordinacin a toda la organizacin. Hay un amplio conocimiento de los requerimientos externos aplicables, incluyendo sus tendencias futuras y cambios anticipados, as como la necesidad de nuevas soluciones. La organizacin participa en discusiones externas con grupos regulatorios y de la industria para entender e influenciar los requerimientos externos que la puedan afectar. Se han desarrollado mejores prcticas que aseguran el cumplimiento de los requisitos externos, y esto ocasiona que haya muy pocos casos de excepciones de cumplimiento. Existe un sistema central de rastreo para toda la organizacin, que permite a la gerencia documentar el flujo de trabajo, medir y mejorar la calidad y efectividad del proceso de monitoreo del cumplimiento. Existe un proceso externo de auto-evaluacin de requerimientos y se ha refinado hasta alcanzar el nivel de buena prctica. El estilo y la cultura administrativa de la organizacin referente al cumplimiento es suficientemente fuerte, y se elaboran los procesos suficientemente bien para que el entrenamiento se limite al nuevo personal y siempre que ocurra un cambio significativo.
Manresa 18-11-2008 - p. 81
PO AI DS MO
Manresa 18-11-2008 - p. 82
IT Risk
(Font Westerman. MIT Sloan CISR,2005)
Manresa 18-11-2008 - p. 83
Manresa 18-11-2008 - p. 84
Evitar el riesgo
Eliminar la causa (apagar el sistema)
Limitar el riesgo
Implementar controles Plan para priorizar, implementar y mantener controles Reducir la prdida en base al conocimiento de las vulnerabilides
Transferir el riesgo
Pliza de seguro
2008 Auditoria C.I. LOPD Manresa 18-11-2008 - p. 85
KGI
KPI
Manresa 18-11-2008 - p. 86
Manresa 18-11-2008 - p. 88
?????????????
Antoni Bosch i Pujol, CISA, CISM antoni.bosch@uab.es www.eae.es http://idt.uab.es www.isacabcn.org
Manresa 18-11-2008 - p. 89