Estándares y metodologías de auditoría

Estándares de auditoría de información

Mediante los estándares se definen tanto los requerimientos obligatorios para el desarrollo de la  auditoría de sistemas como los requerimientos para  la generación de informes ya que la mismas se deben realizar en base a ciertas directrices, políticas y lineamientos.

El sistema COBIT contiene ciertas bases para la realización de una auditoría de información, su objetivo principal está enfocado en el control de la tecnología de información la cual garantiza la Seguridad de los Sistemas.

La norma  ISO 27002,  está conformado por un código de internacional con buenas prácticas de seguridad de la información constituyéndose así como una directriz de auditoría. Esta norma se relaciona con  la norma ISO 27001; ya que en ella se define  tanto los requisitos de auditoría como los sistemas.

Objetivos de los estándares de auditoría

Los estándares se definen con los siguientes objetivos:

1. Informar a los auditores de sistemas que nivel puede ser aceptado como mínimo para resolver las responsabilidades profesionales vinculadas con el código de ética profesional de ISACA para auditores de sistemas de información.
2. Informar a las gerencias y otras partes interesadas sobre las expectativas de la profesión concernientes a quienes la practican.
3. Proveer información sobre cómo cumplir con los estándares de la Auditoría de Sistemas.

Metodologías de auditoría de información

Se conoce como metodología a la secuencia de etapas en forma lógica, mediante la cual garantiza el éxito en una auditoría. A nivel general existen tres metodologías de auditoría, entre las que se mencionan:

• R.O.A. Su enfoque principal es el riesgo y fue diseñado por Arthur Andersen
• Check List. Son conocidos como cuestionarios.
• Auditoría de productos. Se conocen como productos a las auditoría orientadas a  la red local,  windows NT,  sistemas de gestión de base de datos DB2, paquetes de seguridad RACF, etc.

Las metodologías mencionadas con anterioridad  se enfocan principalmente en la reducción de riesgos, mediante la funcionalidad de cada uno de los controles.

Para ello cada una de las metodologías  se desarrollan tanto cualitativa como subjetivamente.

Se encuentran basadas en profesionales de un alto nivel, una gran experiencia, y formación, con capacidad suficiente para brindar recomendaciones, técnicas, operativas, y jurídicas, que exigen en gran profesionalidad y formación constante.

Etapas de la metodología

1. Alcance y objetivos de la auditoría informática
2. Estudio inicial del entorno auditable
3. Determinación de los recursos necesarios para la realización de la auditoría
4. Elaboración del plan y los programas de trabajo
5. Actividades de auditoría
6. Confección y redacción del informe final
7. Redacción de la carta de introducción o carta de presentación del informe final

Tipos de metodologías.

Para el desarrollo de  la auditoría de sistemas de información existen dos tipos.

Controles  generales

Se realizan mediante controles estándares realizados por los auditores profesionales.

Su objetivo principal es emitir una opinión sobre la fiabilidad de los datos contenida en los sistemas de información para una auditoría financiera, dependen de  la experiencia que posea el profesional que lo aplique.

Metodología  de los auditores internos

Se desarrollan en base al plan de trabajo y en base a los procesos a seguir. El auditor interno establece la metodología a desarrollar para auditar la información.

Organismos Internacionales enfocados en el control de la auditoría de sistemas de información

Existen organismos internacionales enfocados en el control de la auditoría de información como lo son.

ISACA (Asociación de Auditoría y Control de Sistemas de Información)

Sus inicios fueron en 1967. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association -Asociación de Auditores de Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI.

CISM (Gerente Certificado de Seguridad de la Información)

También ISACA provee la Certificación para la Administración de la Seguridad de la Información del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organización.

CISA ( Auditor Certificado de Seguridad de la Información)

Provee una Certificación de Auditores en Sistemas de Información (CISA); por medio de un examen anual que realiza el Instituto a los candidatos, el Cual cubre el conocimiento de actividades requeridas para la función de Auditoría en TI, para lo cual presenta un Manual de Información Técnica para la preparación de los Candidatos.

NIST

Definido como Instituto  Nacional de Estándares y Tecnología de los Estados Unidos.

Normas generales de auditoría de sistemas

Es necesario e imperativo el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.

   Estándares o normas internacionales

El auditor de sistemas debe tener conocimiento de las normas aplicables en la auditoría de información como lo son:

Normas Internacionales de Auditoría

Emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de Auditoría o International Standards on Auditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras técnicas además de las manuales

Norma ISA 401

Sobre Sistemas de Información por Computadora. SAS No. 94 (The Effect of Information Technology on the Auditor’s Consideration of Internal Control in a Financial Statement audit) establece que toda empresa que usa Tecnologías de Información, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluación de riesgos, actividades de control, información, comunicación y monitoreo además de la forma en que se inicializan, registran, procesan y reportan las transacciones.

  La norma SAP 1009 (Statement of Auditing Practice)

Denominada Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoría Asistidas por Computador, plantea la importancia del uso de CAAT en auditorías en un entorno de sistemas de información por computadora.

ISO 9000

La norma ISO 9000 especifica la manera en que una organización opera sus estándares de calidad, tiempos de entrega y niveles de servicio.

Introducción a la teoría y base de datos

Sistema de gestión de Base de datos

Base de datos: Una base de datos contiene información de diversos datos en conjunto vinculados entre sí, para poder clasificarlos, ordenarlos de varias formas.

Características:

Ø  Los datos son independientes

Ø  No se repiten

Ø  Acceso simultaneo de usuarios

Ø  Integridad de los datos

Ø  Respaldo y recuperación

Ø  Consultas complejas optimizadas

Ø  Acceso a través de lenguajes de programación estándar

Ø  Seguridad en el acceso.

Componentes:

Ø  Hardware: Se conforma por los elementos físicos de un computador entre ellos (CPU, mouse, teclado, monitor, etc.)

Ø  Software: Conformado por los programas que se encuentran instalados dentro del computador y entre estos se pueden encontrar las licencias de office, antivirus, programas informáticos, etc.

Ø  Datos: Se define como datos al conjunto de elementos interrelacionados entre si entre los cuales pueden ser; números, nombres, edad, fechas, genero, estilo, tamaña, etc.

Ø  Usuarios: Se denominan así a cada una de las personas con autorización para acceder a la base de datos.

Tablas: Una tabla contiene filas y columnas y dentro de ellas se pueden encontrar textos, gráficos y números. Se conforma por los datos de un programa. Y sus componentes son los campos y los registros

Claves primarias: Se le denomina así al campo o los campos que permitan identificar de forma única a cada fila en una columna.

Claves foráneas. Estas presentan una limitación referencial y permiten identificar una columna o grupo de columnas en una tabla.

Etapas

·  I etapa: etapa del diseño conceptual, contiene una estructura general de la base de datos.

•  II etapa: etapa del diseño lógico, en base a la primera etapa y en esta etapa se realiza la relacionan los atributos, claves primarias y claves foráneas.

·         III etapa: etapa del diseño físico, permite obtener una mayor eficiencia del conjunto de atributos y claves de la segunda etapa.

·         IV etapa: independencia lógica del software: En esta etapa se pueden hacer modificaciones al diseño lógico sin afectar los datos que contiene.

Paradigmas del control interno

Informe coso

1992: Se publica el sistema integrado de control interno, su objetivo es  mejorar la calidad de la información financiera y unificar criterios.

Control interno: Es un proceso realizado por tanto por la dirección como por el personal de una organización, y su fin principal es proporcionar una seguridad razonable respecto a la logro de los objetivos.

Componentes del control interno: Para alcanzar el logro en el control interno, deben existir ciertos componentes interrelacionados y estos son:

a.    Ambiente de control: El ambiente en el entorno del trabajo se fortalece mediante la aplicación de los valores éticos, así mismo influirán en él la capacidad de los funcionarios de la entidad, la forma de dirigir y gestionar cada tramite, la estructura organizacional y las políticas establecidas dentro de la organización.

b.    Evaluación de riesgos: La evaluación de riesgos se hace mediante un análisis de los mismos (externos e internos), con el fin de alcanzar los objetivos previstos por la organización.

Para evaluar correctamente los riesgos es necesario  determinar los objetivos entre los cuales están los objetivos globales y  específicos, con el fin de  poder identificar los criterios para medir el rendimiento y establecer criterios. También es necesario identificar y analizar los riesgos, después de haber realizado lo anterior se debe estimar la importancia y el impacto posible para la organización.

c.    Actividades de control: Se crean mediante las políticas, procedimientos y técnicas aplicadas, todo esto permite a la administración disminuir los riesgos en un nivel aceptable. Para efectuar un mejor control es necesario segregar funciones entre las cuales se pueden definir, personal designado para aprobar, autorizar, verificar, conciliar, e velar por la seguridad de los activos.

Entres estas activadas se pueden incluir los análisis  realizados por la administración o dirección,  controles físicos, gestión directa de los responsables, e indicadores de rendimiento.

d.    Información y comunicación. Los cambios, informaciones, movimientos que deseen realizarse de forma precisa y oportuna para que la comunicación se realice de forma eficaz y los funcionarios responsables tenga conocimiento, estas se pueden realizar mediante memorándum, circulares, providencias, emails, llamadas telefónicas, etc.

Una comunicación clara y oportuna permitirá asegurar que la información recibida es de calidad y se encuentra protegida, y que las vías de comunicación interna aseguren que el personal conozca de las normas, políticas y procedimientos para realizar sus tareas.

e.    Supervisión y monitoreo: Para conocer el resultado del control interno es necesario realizar un proceso de supervisión, evaluación cada cierto tiempo

Auditoría Interna: Se encarga de supervisar la eficacia y permanencia de los sistemas de control

Los empleados: Tienen la responsabilidad de informar sobre las desviaciones que  detecten a las políticas establecidas o la legalidad de las acciones realizadas.

Seguridad Informática

Concepto

Es un conjunto de métodos y herramientas con el fin de proteger la información, los programas, y sistemas informáticos de diversas circunstancias que originan amenazas.

Su enfoque principal es  proteger la información  contenida en sus bases de datos, proteger los programas, sus redes, etc.

La seguridad informática incluye  tanto software, base de datos,  metadatos, archivos y todo lo que se reconozca como un activo el cual al estar a disponibilidad de personas ajenas a la entidad originen un riesgo.

Propósitos

La seguridad informática tiene dos propósitos que son la seguridad en la información y proteger los datos.

Seguridad de la información

Este propósito brinda seguridad sobre el resguardo de la información,  su confidencialidad, integridad, disponibilidad y la autenticidad en cada uno de los datos.

Protección de datos

Su objetivo es la protección de la información, mediante la implementación de medidas que permitan reducir los riesgos y resguardar el contenido de las bases de datos.

Objetivos

Como objetivo general se debe:

Mantener la integridad, disponibilidad, privacidad, control y autenticación de  la información contenida en el equipo de computo.

Sus objetivos específicos son:

• Identificar principales elementos críticos de la red de una empresa, como también evaluar los principales riesgos en la seguridad.
• Identificar riesgos de seguridad de un determinado flujo de información.
• Conocer los mecanismos y tecnologías fundamentales que se relacionen con la identidad digital y la protección de datos de carácter personal.
• Decidir las medidas de seguridad apropiadas en base a los riesgos identificados.

Principios

La seguridad informática se rige bajo cinco principios

1. Integridad: Este principio brinda la seguridad de que los datos ingresados son correctos.
2. Confidencialidad: Proporciona la confianza de que el acceso a la información esté admitida exclusivamente para personal autorizado de acuerdo a las funciones.
3. Autenticación: Este principio asegura que el personal autorizado tenga acceso al sistema o a los diversos recursos del sistema.
4. Disponibilidad: Garantiza el correcto funcionamiento en cada uno de los sistemas de  información.
5. Evitar el rechazo: Su fin principal es garantizar que el sistema no negara la realización la realización de dichas operaciones realizadas por los usuarios autorizados.

Tipos de seguridad

Se mencionan dos tipos de seguridad que son la seguridad física y la seguridad lógica.

La seguridad física consiste en la implementación y aplicación de barreras físicas y procedimientos de control, como medidas de precaución que permitan proteger el equipo de computo.

La seguridad lógica consiste en la protección de la información contenida en cada uno de los programas o sistemas informáticos.

La seguridad informática debe proteger los diversos activos informáticos como la infraestructura computacional, los usuarios y la información.

Gestión de riesgos

La gestión de riesgos es la aplicación de un método que permite analizar, valorar y clasificar el riesgo y de esa manera implementar medidas que permitan controlarlos.

Se divide en cuatro fases que son  el análisis, la clasificación,  el control y la reducción.

Mediante el análisis se  determina los componentes o áreas que requieren control, las vulnerabilidades que debilitan el sistema y las amenazas que originan un peligro para la información.

A través de la clasificación  se determinan cada uno de los riesgos encontrados y si estos son aceptables.

La fase de control se limita al análisis en el funcionamiento, la efectividad y el cumplimiento de cada una de las medidas implementadas para corregir las debilidades o posibles incumplimientos.

En la cuarta fase como lo es la reducción se definen y analizan las diversas medidas destinadas a la protección, adicional capacita a los usuarios sobre esas medidas.

Tipos de amenazas

Se clasifican en amenazas por el origen, amenazas por el efecto y amenazas por el medio utilizado.

Las amenazas por el origen pueden ser de carácter interno como externo, las amenazas por defecto  incluyen el robo o destrucción de la información, la anulación de los sistemas, la suplantación de la entidad, robo de dinero, estafas, etc, entre las amenazas por el medio utilizado se mencionan los virus informáticos, phishing, denegación del servicio, etc.

Técnicas para asegurar el sistema

Debido a lo valioso que es la información de toda organización se deben implementar diversas medidas que permitan el resguardo de la misma como lo son:

1. Utilizar técnicas de desarrollo que cumplan con ciertos criterios de seguridad.
2. Implantar medidas de seguridad física.
3. Codificar la información.
4. Seguridad en cada una de las contraseñas.
5. La utilización de certificados de confianza.
6. Vigilar el acceso a la red
7. Realizar copias de seguridad y/o respaldo remoto.
8. Controlar el acceso a la información
9. Protección antivirus