OBSERVACIONS Y REFLEXIONES - AUDITORIA DE SISTEMAS

OBSERVACIONES Y REFLEXIONES
 La Auditoría de Sistemas hoy en día se hace más que necesaria debido a la implementación de tecnologías de información por parte de la mayoría de las empresas, ya que la realización de actividades propias de la empresa dependen de la veracidad de la información necesaria para las mismas.

Para que la información sea segura es necesario que se tomen las medidas apropiadas con el fin de evitar alteraciones en la misma relacionadas con el hardware en el que se maneja la información y con el software donde se maneja.

Para llevar a cabo la implementación de estas medidas, la auditoría ofrece las actividades necesarias, como lo son las revisiones y evaluaciones de todos los sistemas automatizados y no automatizados, con el fin de verificar que la empresa tome las medidas de prevención apropiadas para la seguridad de la información con tal de que no se altere la información que ingresa al sistema, así como la verificación de los controles que se necesitan para minimizar fraudes y errores en el sistema.

SAP BUSNESS ONE - INTRODUCCION

MaPa CoNcEpTuAl MaRgErIt

Margerit mapa from Adriana Ortega

MaPa CoNcEpTuAl CoSo

Coso mapa from Adriana Ortega

ViDeO AuDiToRiA De SiStEmAs

CoBiT

COBIT

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association).

MISION

Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.

BENEFICIOS COBIT

• Mejor alineación basado en una focalización sobre el negocio.
• Visión comprensible de TI para su administración.
• Clara definición de propiedad y responsabilidades.
• Aceptabilidad general con terceros y entes reguladores.
• Entendimiento compartido entre todos los interesados basados en un lenguaje común.
• Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO.   

ESTRUCTURA

La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.

"La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado.

DOMINIOS DEL COBIT

El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro "dominios" principales, a saber:

·         PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.

·         ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

·         SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

·         MONITOREO: Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

USUARIOS

·         La Gerencia: Para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.

·         Los Usuarios Finales: Quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.

·         Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.

·         Los Responsables de TI: Para identificar los controles que requieren en sus áreas.

También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.

CARACTERISTICAS

·         Orientado al negocio.

·         Alineado con estándares y regulaciones "de facto".

·         Basado en una revisión crítica y analítica de las tareas y actividades en TI.

·         Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

PRINCIPIOS:

El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

Requerimientos de la información del negocio: Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos CRITERIOS:

·         Requerimientos de Calidad: Calidad, Costo y Entrega.

·         Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.

·         Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.

NIVELES COBIT

Se divide en 3 niveles, los cuales son los siguientes:

·         Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.

·         Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.

·         Actividades: Acciones requeridas para lograr un resultado medible.

COMPONENTES COBIT

·         PLANEAR Y ORGANIZAR

·         ADQUIRIR E IMPLANTAR

·         MONITOREAR Y EVALUAR

·         PRESTACIÓN Y SOPORTE

CONCLUSION

 COBIT es un marco general, su flexibilidad y versatilidad nos permite adaptarlo a cualquier tipo y tamaño de empresa, realizando una implementación gradual y progresiva acorde a los recursos disponibles y acompasando la estrategia empresarial.

LAS ISO 17779 Y 27001

                                                             ISO 17779

La ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.

Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándar internacional, es el más extendido y aceptado.

El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.

La norma ISO 17799:2005 establece once dominios de control que cubren por completo la Gestión de la Seguridad de la Información:

1. Política de seguridad: Dirigir y dar soporte a la Gestión de la seguridad de la información -directrices y recomendaciones-

2. Aspectos organizativos de la seguridad: Gestión dentro de la Organización (recursos, activos, tercerización, etc.)

3. Clasificación y control de activos: Inventario y nivel de protección de los activos.

4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos.

5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los datos.

6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de información.

7. Control de accesos: Evitar accesos no autorizados a los sistemas de información (de usuarios, computadores, redes, etc)

8. Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad está incorporada dentro de los sistemas de información. Evitar pérdidas, modificaciones, mal uso.

9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información.

10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades del negocio y proteger sus procesos críticos frente a fallas, ataques o desastres.

11. Conformidad con la legislación: Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de Seguridad.

ES MUY IMPORTANTE TENER CLARO:

Ø  La norma ISO 17799 no es una norma tecnológica.

Ø  La seguridad de la información es un asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial.

Ø  La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios

ISO 27001

•       Este estándar internacional adopta un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el ISMS (Information security manegement system)  en una organización.

•       Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente.

•       Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación de los mismos.

MODELO PLAN-DO-CHEK-ACT (PDCA)

ü  Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la información, entregando  resultados acordes a las políticas y objetivos de toda la organización.

ü  Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos.

ü  Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión.

ü  Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante para permitir la continua mejora del ISMS.

Los requerimientos de este estándar internacional, son genéricos y aplicables a la totalidad de las organizaciones.

Sin embargo, hay 5 clausulas, tales como:

1. ISMS
2. Responsabilidad de la administracion
3. Auditoria Interna ISMS
4. Administracion de las revisiones ISMS
5. Mejoras del ISMS

Cualquier exclusión a los controles detallados por la norma y denominados como “necesarios” para satisfacer los criterios de aceptación de riegos, debe ser justificada y se debe poner de manifiesto, o evidenciar claramente los criterios por los cuales este riesgo es asumido y aceptado.

ISMS

La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un documentado ISMS en el contexto de su propia organización para las actividades globales de su negocio y de cara a los riesgos. Para este propósito esta norma el proceso está basado en el modelo PDCA.

CONTROL DE DOCUMENTOS

Todos los documentos requeridos por el ISMS serán protegidos y controlados. Un procedimiento documentado deberá establecer las acciones de administración necesarias para:

•       Aprobar documentos y prioridades o clasificación de empleo.

•       Revisiones, actualizaciones y reaprobaciones de documentos.

•       Asegurar que los cambios y las revisiones de documentos sean identificados.

•       Asegurar que las últimas versiones de los documentos aplicables estén disponibles y listas para ser usadas.

RESPONSABILIDAD DE LA ADMINISTRACION

La administración proveerá evidencias de sus compromisos para el establecimiento, implementación, operación, monitorización, mantenimiento y mejora del ISMS a través de:

•       Establecimiento de la política del ISMS

•       Asegurar el establecimiento de los objetivos y planes del ISMS.

•       Establecer roles y responsabilidades para la seguridad de la información.

•       Comunicar y concienciar a la organización sobre la importancia y apoyo necesario a los objetivos propuestos por la política de seguridad, sus responsabilidades legales y la necesidad de una continua mejora en este aspecto.

AUDITORIA INTERNA DE ISMS

•       La organización realizará auditorías internas al ISMS a intervalos planeados para determinar si los controles, sus objetivos, los procesos y procedimientos continúan de conformidad a esta norma y para analizar y planificar acciones de mejora.

•       Ninguna persona podrá auditar su propio trabajo, ni cualquier otro que guarde relación con él.

•       La responsabilidad y requerimientos para el planeamiento y la conducción de las actividades de auditoría, los informes resultantes y el mantenimiento de los registros será definido en un procedimiento.

ADMINISTRACION DE LAS REVISIONES DE ISMS

•       Las revisiones mencionadas en la auditoría interna de ISMS deberán llevarse a cabo al menos una vez al año para asegurar su vigencia, adecuación y efectividad.

•       Estas revisiones incluirán valoración de oportunidades para mejorar o cambiar el ISMS incluyendo la política de seguridad de la información y sus objetivos.

•       Los resultados de estas revisiones, como se mencionó en la auditoría interna ISMS, serán claramente documentados y los mismos darán origen a esta actividad.

MEJORAS ISMS

La organización deberá mejorar continuamente la eficiencia del ISMS a través del empleo de la política de seguridad de la información, sus objetivos, el resultado de las auditorías, el análisis y monitorización de eventos, las acciones preventivas y correctivas y las revisiones de administración.