jueves, 11 de diciembre de 2008

CONOCIMIENTOS Y HERRAMIENTAS DEL AUDITOR



Los conocimientos que debe poseer un aditor informático son:

Comprensión básica de los sistemas informáticos.

Conocimiento de los sistemas operativos y software más difundidos.

Conocimientos de técnicas de proceso de ficheros y estructuras de datos así como de sistemas de software de base de datos.

Conocimientos de software de auditoría informática y auditoría estandar.

Conocimientos y capacidad para revisar e interpretar sistemas de documentación.

Conocimientos sobre y seguridad y continuidad ante fallos del sistema.

Para esto, debe obtenerse una titulación especializada: AUDITOR CISA (Certified Information Systems Auditor).

Para llevar a cabo una correcta Auditoría Informática, se utilizan las siguientes herramientas:

Herramientas Informáticas:

Paquetes ofimáticos de utilidad general.

Paquetes estadísticos y software de auditoría.

Herramientas básicas:

Entrevista.

Cuestionario.

FASES EN EL DESARROLLO DE UNA AUDITORÍA INFORMÁTICA

Una correcta Auditoría Informática se compone, por norma general, de las siguientes fases:


FASE 1: Toma de contacto


Organización Global.


Respecto al CPD.


FASE 2: Planificación de la Operación


FASE 3: Desarrollo de la Auditoría


El objetivo de esta fase es obtener una serie de conclusines basadas en aspectos objetivamente significativos. Los temas analizados en esta fase estarán referidos al entorno informático y al grado de utilización y satisfacción de los usuarios.

FASE 4: Síntesis y Diagnóstico.


El objetivo de esta fase es determinar los siguientes aspectos:


Puntos fuertes y débiles del sistema.


Riesgos eventuales.


Posibles oportunidades, soluciones y mejoras.

FASE 5: Presentación de las Conclusiones.

En esta fase se entregan hechos constatados, basados en conclusiones suficientemente argumentadas, probadas y documentadas de forma que sea difícil su refutación.


Se presentan también proposiciones realistas y constructivas.

FASE 6: Redacción del Informe y Formación del Plan de mejoras. Este plan se

estructura como sigue:


Introducción.


Principales observaciones.


Recomendaciones y plan de mejoras.

El servicio de auditoria en la Ley Orgánica de Protección de Datos





El artículo 9 de la Ley Orgánica de Protección de Datos de Carácter Personal (en adelante LOPD) establece que, tanto el Responsable del Fichero como el Encargado del Tratamiento, deberán adoptar las medidas no sólo de índole técnico sino también de índole organizativo para garantizar la seguridad y evitar la pérdida, alteración y destrucción de ficheros con datos de carácter personal.

Pero este artículo goza de su propio desarrollo reglamentario materializado en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad.

Concretamente, su artículo 17 establece que “Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años”.

Sin embargo, esta no fue la primera ley que habla de ello, sino que ya en la Instrucción 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a Prestación de Servicios de Información sobre Solvencia Patrimonial y Crédito, se habla de la realización de una auditoría en lo que al tema de protección de datos se refiere, al establecer que la implantación, idoneidad y eficacia de las medidas de seguridad, deberá acreditarse mediante una auditoría y la remisión del informe final de la misma a la Agencia de Protección de Datos.

Sin embargo, la auditoria puede presentarse en dos figuras diferentes; una interna y otra externa.

En lo que respecta a la auditoría interna, las dudas acerca de una efectiva independencia son amplias, al ser realizada por personal interno de la propia organización.

De la auditoría externa, decir que es realizada por una empresa externa y que nada tiene que ver con la organización auditada.

Aunque la visión que tenemos hoy en día sobre una buena auditoría de seguridad de protección de datos de carácter personal, se queda en el plano de la simple auditoría sobre el cumplimiento de las medidas de seguridad, que podría calificarse como de incompleto y considerar que debe ser completada con la auditoria informática, tal y como establece la LOPD al hablar de medidas de índole técnica y organizativa.

Pero ¿cuál es el principal cometido en una auditoria? Es verificar la adecuación de procedimientos, medidas, estándares de seguridad establecidos por el responsable del tratamiento y el Reglamento de Medidas de Seguridad. Una vez realizado el análisis de todo lo anterior y detectadas las anomalías, el auditor procederá a proponer las medidas correctoras necesarias.

Los pasos de una auditoría son principalmente:




• Fijación del calendario y de los interlocutores, tanto de la empresa auditada como de la empresa que audita.




• Recogida de la documentación e información oportuna.




• Entrevistas con los usuarios.




• Análisis de la documentación y de la información previamente recogida.




• Entrega del Informe de Auditoría y del Reglamento de Medidas de seguridad.





Pero ¿qué sucede con la figura del Auditor?El problema principal radica en que no se haya regulada en ningún manual y no existe ningún registro al respecto, por lo que el único requisito radica en su calificación y experiencia en diferentes proyectos.

Lo que sí debemos tener claro es que el Auditor debe ser una persona en constante formación debido a que la rapidez con la que progresan las nuevas tecnologías hace que, en caso contrario, se quede desfasado y fuera del mercado laboral.



Características de la Auditoría Informática



La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.Síntomas de Necesidad de una Auditoría Informática:Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad.

Estos síntomas pueden agruparse en clases:

* Síntomas de descoordinación y desorganización:

- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.

[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]



* Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

* Síntomas de debilidades económico-financiero:



- Incremento desmesurado de costes.- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).- Desviaciones Presupuestarias significativas.

- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

* Síntomas de Inseguridad: Evaluación de nivel de riesgos



- Seguridad Lógica- Seguridad Física - Confidencialidad[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.

- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.





Tipos de Auditoría informática



Dentro de la auditoría informática destacan los siguientes tipos (entre otros):





Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.





Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la ley organica y de protección de datos





Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.





Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.





Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.





Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.





Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.





Auditoría de las comunicaciones.





Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.




jueves, 4 de diciembre de 2008

AUDITORIA EN INFORMATICA





La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.





Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.





Los objetivos de la auditoría
Informática son:





El control de la
función informática



El análisis de la eficiencia de los
Sistemas Informáticos



La verificación del cumplimiento de la Normativa en este ámbito



La revisión de la eficaz gestión de los recursos informáticos.







La auditoría informática sirve para mejorar ciertas características en la empresa como:





Eficiencia




Eficacia



Rentabilidad



Seguridad





Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:





Gobierno corporativo



Administración del Ciclo de vida de los sistemas



Servicios de Entrega y Soporte



Protección y Seguridad



Planes de continuidad y Recuperación de desastres




La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría




informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.





Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.








Objetivo





El objetivo de la Auditoria consiste en apoyar a los miembros de la empresa en el desempeño de sus actividades. Para ello la Auditoria les proporciona análisis, evaluaciones, recomendaciones, asesoría e información concerniente a las actividades revisadas.
Los miembros de la organización a quien Auditoria apoya, incluye a Directorio y las Gerencias.





Finalidad





Los fines de la auditoria son los aspectos bajo los cuales su objeto es observado. Podemos escribir los siguientes:





1. Indagaciones y determinaciones sobre el estado patrimonial



2. Indagaciones y determinaciones sobre los estados financieros.



3. Indagaciones y determinaciones sobre el estado reditual.



4. Descubrir errores y fraudes.



5. Prevenir los errores y fraudes



6. Estudios generales sobre casos especiales, tales como:



a. Exámenes de aspectos fiscales y legales



b. Examen para compra de una empresa( cesión patrimonial)



c. Examen para la determinación de bases de criterios de prorrateo, entre otros.





Los variadísimos fines de la auditoria muestran, por si solos, la utilidad de esta técnica.