0. Auditoria Sistemas Informacion

Views:
 
Category: Education
     
 

Presentation Description

0. Auditoria Sistemas Informacion

Comments

Presentation Transcript

slide 1:

Servicio de Auditoría Interna Auditoría de Sistemas de Información Servicio de Auditoría Interna

slide 2:

Servicio de Auditoría Interna Índice  Estrategia para la Auditoría de Sistemas de la Información  Esquema Organizativo  Auditor Informático  Estándares y Normas Técnicas  Planificación de Actuaciones  Proceso de Auditorías de Sistemas de Información  Guión para Auditorías de Sistemas de Información  Informes de Auditorías de Sistemas de Información

slide 3:

Servicio de Auditoría Interna Estrategia para la Auditoría de Sistemas de Información Necesidad de definir una estrategia Las TIC han acompañado la automatización y el crecimiento La información y los recursos TIC como activos de las organizaciones Dependencia de las TIC Implicación de la Dirección Incremento vulnerabilidad de los sistemas Dar respuesta a la dependencia de la información Importancia costes e inversiones TIC Potencial de las TIC para introducir cambios Desconfianza en los procedimientos automatizados

slide 4:

Servicio de Auditoría Interna Objetivos de las Administraciones Públicas:  Cumplimiento de la legalidad vigente  Eficacia  Eficiencia Auditoría Sistemas de Información Supervisión de los riesgos de los sistemas de información que pudieran afectar al cumplimiento de la legalidad vigente la eficiencia y la eficacia de los procesos soportados por los sistemas de información en especial los de la administración electrónica. Estrategia para la Auditoría de Sistemas de Información

slide 5:

Servicio de Auditoría Interna Estrategia para la Auditoría de Sistemas de Información

slide 6:

Servicio de Auditoría Interna Esquema Organizativo Independencia Autoridad

slide 7:

Servicio de Auditoría Interna Esquema Organizativo Mandato para una Auditoría Interna

slide 8:

Servicio de Auditoría Interna Esquema Organizativo Mandato para una Auditoría Externa

slide 9:

Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información I Actuaciones de apreciación independiente para supervisar el control establecido A- Actividades básicas Dirección o Gobierno de las TIC Gobernanza TIC Supervisar el control interno TIC Supervisar la gestión de riesgos TIC

slide 10:

Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información II Protección de datos de carácter personal Control de accesos Administración Electrónica Equipamiento informático Seguridad sistemas Desarrollo y mantenimiento de aplicaciones Explotación de sistemas de información Contratación bienes y servicios TIC Técnica de sistemas Continuidad del servicio TIC Acreditación de confianza

slide 11:

Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información III B- Acciones proactivas Participación en el ciclo de control Asegurar existencia de controles internos razonables y adecuados Divulgar y fomentar las buenas prácticas Fomentar la documentación de los sistemas y procedimientos Asesorar en la implementación de pistas de auditoría Asesorar en las salvaguardas de activos Asegurar eficiencia gestión recursos

slide 12:

Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información IV C- Auditoría forense Desafío ante delitos informáticos garantizando la evidencia digital que se presentase en un proceso judicial. Recuperar información Determinar cusa y origen de una situación Identificar autores acciones ilícitas Identificar uso inapropiado de los medios de la Organización

slide 13:

Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información V D- Apoyo en auditorías externas Supervisión de auditores externos. E- Apoyo a otras áreas de Auditoría Asistencia para la obtención estructuración y análisis de la información.

slide 14:

Servicio de Auditoría Interna Auditor Informático Áreas de Conocimiento certificables Técnica o metodología de auditoría informática Gestión planificación y organización de las TIC Infraestructura técnica prácticas operativas y protección de activos Recuperación de desastres y continuidad de la actividad Desarrollo adquisición implementación y mantenimiento de sistemas Evaluación de procesos y gestión de riesgos

slide 15:

Servicio de Auditoría Interna Auditor Informático Otras características no certificables Comprender procesos de gestión y normativa legal Identificar problemas y plantear soluciones Llenar vacío de comunicación entre dirección usuarios y técnicos Saber comunicar Negociar situaciones de conflicto Saber cuando solicitar asistencia

slide 16:

Servicio de Auditoría Interna Estándares y Normas Técnicas Principios Salvar brechas entre riesgos del proceso de gestión necesidades de control y aspectos técnicos Determinar el alcance de las actuaciones e identificar los controles mínimos Observar e incorporar estándares y regulaciones nacionales o internacionales Hechos Adecuar técnicas auditoría tradicionales a los controles de las TIC Generar resultados homogéneos Organizar los trabajos tipificar tareas Emplear distintos referentes según tipo de auditoría Estándares basados en buenas prácticas

slide 17:

Servicio de Auditoría Interna Estándares y Normas Técnicas 1 Instrumentos de normalización de las Administraciones Públicas en España  Normas de Auditoría del Sector Público de la IGAE: No son específicas a la auditoría de sistemas de información  MAGERIT Versión 2: Es la metodología de análisis y gestión de riesgos de los sistemas de información.  Modelo EFQM de Excelencia: Es una orientación de la Fundación Europea para la Gestión de la Calidad que contempla algunos criterios que hacen referencia a las TIC  Serie Seguridad de las Tecnologías de la Información del Centro Criptográfico Nacional CCN-STIC

slide 18:

Servicio de Auditoría Interna Estándares y Normas Técnicas 2 Instrumentos de normalización de las Administraciones Públicas en EE.UU.  Government Auditing Standars GAGAS: Son las normas de aplicación para el General Accountability Office GAO de EE.UU.  Federal Information System Controls Audit Manual FISCAM: Una guía metodológica que aplica las normas del GAO y del NIST.  Serie de Publicaciones Especiales SP-800 del Instituto Nacional de Estándares y Tecnología NIST

slide 19:

Servicio de Auditoría Interna Estándares y Normas Técnicas 3 Prácticas y recomendaciones de asociaciones internacionales I  Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna The Institute of Internal Auditors  Asociación de Auditoría y Control de Sistemas de Información ISACA  Control Objetives for Information and Related Technologies COBIT  IS Standars Guidelines and Procedures for Auditing and Control Professionals  Information Technology Infraestructure Library ITIL

slide 20:

Servicio de Auditoría Interna Estándares y Normas Técnicas 3 Prácticas y recomendaciones de asociaciones internacionales II  Modelo de Madurez de las Capacidades Integrado para el Desarrollo CMMI del Instituto de Ingeniería del Software SEI  Instituto SANS SysAdmin Audit Network Security  Normalización internacional ISO:  Gestión de Servicios de las Tecnologías de la Información IT Service Management: ISO/IEC 20000:2005  Seguridad de la Información: Familia ISO/IEC 27000  Criterios comunes de evaluación de la seguridad de las tecnologías de la información ISO/IEC 15408:2005 Common Criteria for Information Technology Security Evaluation

slide 21:

Servicio de Auditoría Interna Planificación de Actuaciones Qué auditar  Cumplimiento de requerimientos legales  Sensibilidad de la organización a riesgos / resultado de análisis  Resultado de auditorías anteriores  Condicionantes de la Organización Cuándo auditar  Priorizar las actuaciones detectadas y ajustando el alcance a los recursos disponibles y las demandas de la dirección  Elaborar el documento de planificación periódica de la unidad de auditoría  Revisión periódica del plan inicial para incorporar actuaciones no previstas Cómo auditar  Proceso para planificar las actuaciones individuales

slide 22:

Servicio de Auditoría Interna Planificación de Actuaciones Análisis de riesgos Sensibilidad de la Dirección Requerimientos legales Prioridades de la Organización Situaciones de riesgo inicialmente no previstas Plan de Actuaciones de Auditoría Actuación 1 Actuación 2 Actuación n .... Tarea 2 Tarea 1 Tarea n

slide 23:

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información

slide 24:

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información

slide 25:

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información PLANIFICACIÓN DE ACTIVIDADES Identificar la información a recopilar Identificar las tareas de campo Identificar interlocutores Recursos necesarios/disponibles Responsabilidades de los miembros del equipo auditoría Calendario tentativo

slide 26:

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Identificar el Alcance de la Actuación  Que se quiere comprobar  Que se pretende demostrar  Que se va a informar Obtención de Información Preliminar  Actividad llevada a cabo por el área a auditar  Esquema de control interno políticas normas etc.  Estándares de referencia  Informes anteriores  Familiarizarse con el entorno tecnológico a auditar

slide 27:

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Identificar Objetivos Detallados  Evaluación preliminar para identificar objetivos de control  Identificar posibles condicionantes  Grado de extensión acorde al alcance Auditorías de cumplimiento: Modelo de control de referencia Existencia de controles Adecuación y eficacia de los controles Proporcionalidad Auditorías operativas: Modelo de control de referencia Planificación y gestión de controles Aseguramiento de los controles Oportunidad de introducir cambios

slide 28:

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información FORMALIZACIÓN DEL INICIO DE LA ACTUACIÓN  Notificación del responsable de la unidad de auditoría al responsable del área a auditar  Reunión del equipo auditor con el responsable de la unidad a auditar para comunicar: Alcance de los trabajos Necesidad/obligación de colaboración Interlocutor del equipo auditor Se debe tener presente no interferir con el trabajo realizado por el área auditada

slide 29:

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información TRABAJOS DE CAMPO Técnicas Recolección de Evidencias Revisión de documentos Entrevistas Observación del trabajo realizado Pruebas y verificaciones Uso de herramientas

slide 30:

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - CAAT I  Obtención de información de los SI  Recolección de evidencias de los SI  Creación de muestras para realizar pruebas Ventajas  Aseguran independencia en la recolección de datos  Disminuyen el riesgo propio del proceso de auditoría  Mayor cobertura y consistencia de la pruebas

slide 31:

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Características  Productos informáticos ad-hoc o herramientas de los sistemas  Acceso a distintas estructuras o formatos de datos  Aplicación de criterios de selección  Reorganización de la información obtenida  Funciones estadísticas y aritméticas Precauciones  El acceso a los datos reales por los auditores debe ser siempre sólo en modo lectura  Los datos extraídos deben aislarse del entorno de producción para evitar que las manipulaciones alteren los originales  El empleo de herramientas que puedan causar perturbaciones debe ser limitado Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - CAAT II

slide 32:

Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - CAAT III Ejemplos  Logs: contienen el registro de actividad  Utilidades de sistema: contienen los parámetros que implementan las políticas de control  Software generalizado de auditoría: acceso a archivos selección de datos reorganización etc.  Software específico: herramientas empleadas con un propósito concreto

slide 33:

Servicio de Auditoría Interna Guión para Auditorías de Sistemas de Información El GUIÓN es la herramienta fundamental de apoyo para el auditor que documenta el proyecto de la auditoría  Identifica que tareas se deben efectuar durante la actuación  Cuantifica los medios necesarios  Define la secuencia de los trabajos  Para que el equipo comprenda lo que debe realizar y obtenga una visión del conjunto

slide 34:

Servicio de Auditoría Interna Guión para Auditorías de Sistemas de Información ESTRUCTURA DEL GUIÓN 1. Puntos de control En función del objetivo y alcance de la actuación se habrán establecido objetivos de control detallados apartados del guión. Identifica lo que se va a supervisar del sistema de control. 2. Directriz de auditoría  Desarrollan los Puntos de control señalando las tareas a efectuar antes o durante la actuación.  Determinan los medios y técnicas necesarios para cada punto de control  Limitadas por el desarrollo de la función de auditoría en la Organización

slide 35:

Servicio de Auditoría Interna Guión para Auditorías de Sistemas de Información Esquema COBIT para el guión Secuencia de las actividades

slide 36:

Servicio de Auditoría Interna Informes de Auditorías de Sistemas de Información Contenidos del Informe de Auditoría

slide 37:

Servicio de Auditoría Interna Informes de Auditorías de Sistemas de Información Ejemplos de Informes de Auditorías Sistemas de Información Elaboración propia  Basado en actuaciones reales  Cumplimiento de políticas e instrucciones Georgia Department of Audits and Accounts  Informe sistema información para la gestión del IVA  Informe de seguimiento National Audit Office  Informe de calidad de la información Impuesto Renta  Progreso en información y servicios on-line Goverment Accountabillity Office  Uso de datos adquiridos  Desafío en el uso del correo electrónico

slide 38:

Servicio de Auditoría Interna www.agenciatributaria.es Fernando Rodríguez Rivadulla frrivadullacorreo.aeat.es

authorStream Live Help