SI-38 Seguridad y Auditoría de Sistemas

Cap. 1: El Proceso de Auditoría de Sistemas de Información

UPC – 2007 02 1
 Riesgos de Tecnología

Amenzas de
origen social
• Divulgación no autorizada
de información confidencial
• Alteración no autorizada de
información. Bases de datos
Infraestructura
• Accesos por proveedores Tecnológica Amenazas de
• Fraudes por empleados origen tecnológico

• Espionaje por competidores • Inoperatividad de tecnología

• Violación de derechos de Sistemas de •Virus, worms, spyware
propiedad Información • Ataques de hackers.
• Sabotaje / Terrorismo
• Saturación de servicios
• Spam

Amenazas de
origen natural
Vulnerabilidad: exposición a una situación adversa que podría ser explotada
• Terremotos
intencional o accidentalmente y afectar negativamente el cumplimiento de los
• Inundaciones objetivos de la organización.
• Incendios
Riesgo es el impacto neto proveniente de una vulnerabilidad, considerando
tanto su probabilidad de ocurrencia como el impacto que ocasionaría en caso
de materializarse.
Riesgo = Probabilidad x Impacto
UPC – 2007 02 2
 Riesgos y Controles de Tecnología

Valor de Evolución
Costos por Costos por Costos por hardware, Costos por mal Privacidad controlada
pérdida de mala toma mal uso de software y procesamiento de la del uso de
datos de tecnología personal de información informació los
decisiones n sistemas

ORGANIZACIONES

Auditoría y control de
sistemas de Información

Los Riesgos se manejan estableciendo Controles.

Control es un sistema (políticas, procedimientos, prácticas y estructuras
organizacionales) diseñados para garantizar razonablemente que los objetivos del
negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados
y corregidos.

UPC – 2007 02 3
 Tipos de Controles

• Preventivos, diseñados para prevenir que ocurra un error,

omisión o práctica maliciosa. Ej: el uso de contraseñas para
acceder a un sistema.

• Detectivos, en caso que los controles preventivos fallen,

deben identificar lo antes posible la ocurrencia de un hecho
indebido. Ej: registro de intentos de acceso fallidos para un
sistema.

• Correctivos, ocurrida una incidencia deben reducir el impacto

de la misma y facilitar la vuelta a la normalidad. Ej: recuperar
datos desde una copia de seguridad (backup), un plan de
contingencia, etc.

UPC – 2007 02 4
 Riesgos de Auditoría derivados del uso de TI
 Responsabilidad; el uso de los sistemas es por default, anónimo.
Deben establecerse controles explícitos como código único de usuario,
contraseña (autenticación), etc. para poder identificar al usuario y fijar
responsabilidades
 Alteración indebida de información; el almacenamiento de la
información en medios magnéticos permiten la modificación de datos
sin dejar evidencia. Deben establecerse controles físicos y lógicos para
el acceso a la información.
 Facilidad de duplicación; una transacción duplicada en un sistema
no es distingible de la original. Para evitar esto se implementan los
números de secuencia únicos, cuadre de totales y sellado físico de
documentos.
 Facilidad de acceso remoto; a través de la red LAN, WAN o Internet.
Se requieren controles de identificación y autenticación apropiados.
 Procesamiento ‘invisible’; no es distingible para el auditor el
procesamiento en el computador. Deben establecerse controles de
cambio de programas y separación de actividades entre Desarrollo y
Producción de Sistemas.
 Existencia de pistas de auditoría; ¿cómo analizar el procesamiento
de una transacción desde su inicio hasta su término?.
UPC – 2007 02 5
 El Sistema de Control Interno

Las organizaciones deben tener un Sistema de Control Interno

que asegure que sus controles sean los adecuados y funcionen
correctamente. Los componentes son:

Seguimiento contínuo para asegurar que

Monitoring las políticas y procedimientos funcionan
apropiadamente
Son los controles que permitirán asegurar
que las operaciones del negocio están
Control activities funcionando de acuerdo a los objetivos de
la organización.
Incluye los controles que permitirán al
staff de TI recibir y controlar el flujo de
Information & información de negocio.
communication
Cubre la evaluación de amenazas,
vulnerabilidades e impacto de las mismas,
Risk assessment para fijar eficientemente dónde deberían
establecerse los controles

Control Fijan parámetros generales para los

environment controles: políticas empresariales de alto
nivel, valores éticos, cultura y estructura
de Recursos Humanos.

UPC – 2007 02 6
 El Sistema de Control Interno

Un sistema de control interno debe considerar las siguientes

categorías:

 Segregación de actividades: una transacción debe pasar por

varias etapas a cargo de personas distintas.
 Personal: competente y confiable.
 Procedimientos de Autorización: que aseguren los debidos
niveles de aprobación y su registro adecuado.
 Registro de actividades: protección y almacenamiento de
documentos, pistas de auditoría, etc.
 Control físico sobre activos y registros: mecanismos apropiados
para evitar accesos no autorizados.
 Adecuada supervisión: seguimiento cercano del supervisor para
disuadir o detectar actos indebidos.

UPC – 2007 02 7
 Controles de IT: Generales y de Aplicación

Un sistema de control interno debe considerar las siguientes

categorías:

Controles Generales de IT:

Se ejecutan para asegurar que el desarrollo, implementación,
operación y mantenimiento de los sistemas de información se
hace de una manera planeada y controlada. En otras palabras, los
controles generales de IT permiten que se provea una
infraestructura estable en la cual los sistemas de información
puedan construirse, operarse y modificarse de acuerdo a las
necesidades diarias y de acuerdo a los procedimientos
establecidos.

Controles de aplicación:
Se requieren para asegurar un procesamiento confiable de la
información y se aplican sobre transacciones individuales. Estos
controles aseguran que las transacciones sean válidas,
UPCautorizadas
– 2007 02 y se registren apropiadamente. 8
 Controles Generales de IT

Incluyen los siguientes:

 Organización y administración, incluyendo pólíticas y

estándares.
 Segregación de actividades.
 Controles físicos: accesos y ambientales.
 Control de accesos lógicos: cuentas de usuario y contraseñas
 Desarrollo de sistemas y cambios a programas.
 Controles sobre personal de sistemas, incluyendo
programadores, analistas y Operaciones y Soporte de TI.
(también proveedores externos).
 Controles sobre disponibilidad y continuidad de sistemas. Por
ejemplo el plan de continuidad de negocios.
 Controles sobre uso de computadoras por usuarios finales.

UPC – 2007 02 9
 Controles de Aplicación

Dado que se aplican sobre transacciones individuales,

incluyen:

 Controles sobre las entradas de transacciones

 Controles sobre el procesamiento de transacciones.
 Controles sobre la salida de transacciones
 Controles sobre datos y archivos maestros.

UPC – 2007 02 10
 Controles de IT: ‘ Onion Model’

•The IT controls framework

•Physical and environmental controls

•System Security and Internal Audit

•Staff selection, vetting and training

•Network Access Controls

•Operating system controls

•APPLICATION CONTROLS
•INPUT PROCESS OUTPUT

•Audit Trails •Standing Data

UPC – 2007 02 11
 La Auditoría y los Controles de IT

• La función de la auditoría es determinar si existen los controles

para evitar eventos no deseados en los sistemas de TI y si estos
controles trabajan adecuadamente.

• Eventualmente pueden existir eventos no deseados que no

tengan un control establecido. Esto sólo debe ocurrir cuando no
sea posible implementar un control efectivo en términos de
costo-beneficio.

UPC – 2007 02 12
 El Proceso de Auditoría

UPC – 2007 02 13
 Planeamiento de la Auditoría

El objetivo de esta etapa es tomar conocimiento del cliente y de

sus sistemas de control interno. Temas a considerar son:
 Necesidades del cliente para la auditoría:
• soporte a una auditoría financiera
• evaluación de controles TI
• necesidades regulatorias, etc.

 Realidad del cliente:

• organización y operaciones del negocio
• hardware utilizado (servidores, PC’s, redes, etc.)
• software de sistemas (sistemas operativos, BD’s, seguridad,
redes, etc.)
• principales sistemas de información
• personal de contacto en TI y en áreas usuarias
• problemas del cliente con sus aplicativos
• cambios planeados en aplicativos o tecnología, etc.
UPC – 2007 02 14
 Planeamiento de la Auditoría

 Fuentes de información:
• informe y papeles de trabajo de auditorías anteriores
• observación de las instalaciones
• entrevistas con personal de TI
• documentos del cliente (plan estratégico de TI, plan del
negocio, documentación de sistemas, etc.)

 Necesidad de otros especialistas como ayuda a la auditoría:

• en caso de riesgos significativos detectados (sistemas,
equipamiento, procedimientos, seguridad de información,
etc.),
• por solicitud expresa del cliente
• cuando existe considerable desarrollo interno de sistemas
• en caso de existir planes de cambios importantes en
infraestructura o aplicativos.

UPC – 2007 02 15
 Planeamiento de la Auditoría

 Determinar alcance y tiempo de los procedimientos de

auditoría:
• qué aplicativos se revisarán y qué tiempo será necesario, en
función a su contribución al negocio, tamaño y complejidad
de la plataforma tecnológica,
• los objetivos de la auditoría
• áreas críticas del negocio identificadas con el cliente
• debilidades conocidas en los controles internos

 Determinación de recursos necesarios:

• cantidad de personal requerido, nivel de experiencia y
disponibilidad del mismo,
• disponibilidad del personal del cliente
• otros recursos: equipamiento, software especializado,
manuales, dinero para traslados/alojamiento.

UPC – 2007 02 16
 Planeamiento de la Auditoría

 Elaboración de un Plan de Auditoría, que contiene:

• referencias del cliente y sus necesidades,
• alcance y objetivos de la auditoría a realizar
• áreas críticas a examinar
• recursos necesarios
• Cronograma

UPC – 2007 02 17
 Evaluar Controles Internos

Una vez que el auditor ha logrado un adecuado entendimiento de

los controles internos del cliente, debe decidir la manera como
debe realizar los siguientes pasos de la auditoría:

• Si considera que el riesgo de los controles vigente es inferior al

máximo aceptable, debe identificar los controles que justifican
esto y evaluar si estos funcionan adecuadamente. Se asume
que si los controles operan efectivamente, será menos el
esfuerzo posterior en hacer pruebas sustantivas para alcanzar
un juicio de auditoría.

• Si considera que el riesgo de los controles supera el máximo

aceptable, el auditor no verifica los controles pues supone que
es probable que estos no sean efectivos y por lo tanto su
prueba no sería confiable para realizar una auditoría eficiente.
En estos casos se decide por realizar pruebas sustantivas.

UPC – 2007 02 18
 El Proceso de Auditoría

THE AUDIT PROCESS

PLANNING

EVALUATION OF
INTERNAL CONTROLS

Yes : Perform compliance No: No reliance on

tests of controls controls

Substantive testing

Review and evalaute

Report

UPC – 2007 02 19
 Tipos de Pruebas de Auditoría

Para obtener las evidencias de la auditoría se pueden ejecutar:

• Pruebas de cumplimiento. Buscan determinar si el control existe

en la práctica y opera efectivamente durante el periodo objeto
de la auditoría. Se requiere realizar un muestreo para
determinar el alcance de la prueba. Por ejemplo, para verificar
los controles de tiempos de respuesta para un sistema crítico, el
auditor puede entrevistar al Jefe de Producción de Sistemas
para determinar si se revisan los tiempos de respuesta con
regularidad y qué acciones se toman cuando estos no son
aceptables.

• Pruebas sustantivas. Buscan confirmar los resultados esperados

del control, utilizando técnicas de muestreo para identificar
transacciones significativas. En el ejemplo anterior, el auditor
elegiría un conjunto de transacciones críticas y verificaría sus
tiempos de respuesta para asegurarse que están en los niveles
aceptables.
UPC – 2007 02 20
 Obtener evidencia de Auditoría (Pruebas de Cumplimiento)

 En caso de que el auditor haya determinado realizar pruebas de

cumplimiento, estas se realizan con el objetivo de confirmar que
los controles sean realmente efectivos. Este tipo de pruebas
también buscan disminuir los costos de la auditoría.

 Puede ser necesario realizar muestreo de transacciones, uso de

herramientas de SW especializadas, hacer seguimiento de
transacciones durante el ciclo de negocio, reproducir resultados
para verificar cálculos correctos, etc.

UPC – 2007 02 21
 Obtener evidencia de Auditoría (Pruebas Sustantivas)

 Se ejecutan para evaluar si errores o mal procesamiento de las

transacciones ha tenido un impacto significativo (materialidad)
en las operaciones o los estados financieros.

 Una vez realizadas estas pruebas el auditor debe confirmar o

revisar su evaluación inicial del riesgo de los controles. Esto
puede implicar tanto, disminuir las pruebas sustantivas a
realizar posteriormente (en caso los controles hayan sido
eficientes) o incrementarlas en caso contrario.

UPC – 2007 02 22
 Revisión y evaluación de Resultados

 El auditor debe evaluar los hallazgos hechos en las pruebas

realizadas y emitir una opinión. Normalmente, el auditor se
apoya en colegas o supervisores para completar su opinión.

 Los posible juicios a emitir son:

• Abstenerse de opinión: cuando las verificaciones

realizadas no le permiten emitir una opinión.
• Opinión adversa: cuando el auditor considera que existen
pérdidas o problemas materiales detectados en la auditoría.
• Opinión calificada: cuando el auditor considera que se han
presentado pérdidas o problemas, pero estos no se
consideran materiales.
• Opinión favorable: cuando el auditor considera que no se
han presentado pérdidas o problemas en los controles
revisados.

UPC – 2007 02 23
 Elaborar Informe y Presentación de Resultados

Se siguen los siguientes pasos:

 Revisión de reportes preliminares

• Primer borrador: para discusión con el cliente. Se precisa el
contenido del informe, se corrigen posibles errores y
aclaran temas necesarios.
• Segundo borrador: primer informe formal para el cliente.
• Comentarios del cliente: el cliente envía eventuales
comentarios al borrador formal recibido.
• Tercer borrador: el auditor entrega el borrador final en el
cual el cliente debe responder las observaciones
presentadas.

 Revisión Interna: el auditor envía el informe para su validación

por colegas o por su Supervisor. Se valida que cumpla con los
estándares de documentación, posibles omisiones o errores, se
discute los hallazgos con colegas, etc.
UPC – 2007 02 24
 Emisión del Informe de Auditoría

El informe debe contener

 La carta de presentación.
• Propósito de la auditoría y eventuales salvedades
(disclaimers)
• Qué sistemas fueron revisados
• Contenido del informe detallado
• Con quién se revisó el informe
• Opinión de la auditoría realizada.
• Indicación de las observaciones incluídas en el informe
detallado.
• Agradecimiento a la empresa.

UPC – 2007 02 25
 Emisión del Informe de Auditoría

El informe debe contener

 El informe detallado.
• Buenas prácticas de control y consideraciones sobre el
riesgo de negocio asociado con las deficiencias de los
controles.
• Detalle de los hallazgos u observaciones encontrados por el
auditor, incluyendo el riesgo asociado a los mismos. Es
importante que lo reportado sea la debilidad o problema
raíz detectado.
• Recomendaciones, las que al ser implementadas reducirían
los riesgos. Deben ser recomendaciones factibles y
eficientes.
• Comentarios de la Gerencia, si la Gerencia ha considerado
necesario hacerlas a las observaciones de auditoría.

UPC – 2007 02 26
 Gracias por su atención

UPC – 2007 02 27