Download
1 / 48
480 likes | 753 Views
Servicio de Auditoria Interna. Agencia Tributaria. Visita de familiarización del Servicio de Impuestos Internos de Chile sobre control de accesos al sistema de información de la AEAT. Madrid, 28 de Julio a 1 de Agosto de 2008. Servicio de Auditoria Interna. Agencia Tributaria. I N D I C E.
E N D
Servicio de Auditoria Interna Agencia Tributaria Visita de familiarización del Servicio de Impuestos Internos de Chile sobre control de accesos al sistema de información de la AEAT Madrid, 28 de Julio a 1 de Agosto de 2008
Servicio de Auditoria Interna Agencia Tributaria I N D I C E 1. Normas y principios básicos de la política de seguridad de la información de la AEAT 2. Antecedentes. 3. Documento de Seguridad de los ficheros Automatizados de la Agencia Estatal de Administración Tributaria 4. Comisión de Seguridad y Control de Informática Tributaria 5. Servicio de Auditoría Interna
Servicio de Auditoria Interna Agencia Tributaria • NORMAS Y PRINCIPIOS BÁSICOS DE LA POLITICA DE • SEGURIDAD DE LA INFORMACIÓN EN LA AEAT • Constitución española de 1978. Artículo 18.4. “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. • Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal. Artículo 9 “El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natural”.
Servicio de Auditoria Interna Agencia Tributaria • NORMAS Y PRINCIPIOS BÁSICOS DE LA POLITICA DE • SEGURIDAD DE LA INFORMACIÓN EN LA AEAT • Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre. Capítulo II, Artículo 88 “El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información”. • Ley 1/1998, de 26 de febrero que regula los derechos y garantías de los contribuyentes. Artículo 3, h) “Derecho, en los términos legalmente previstos, al carácter reservado de los datos, informes o antecedentes obtenidos por la Administración tributaria, que sólo podrán ser utilizados para la efectiva aplicación de los tributos o recursos cuya gestión tenga encomendada, sin que puedan ser cedidos o comunicados a terceros, salvo en los supuestos previstos en las leyes”.
Servicio de Auditoria Interna Agencia Tributaria 1. NORMAS Y PRINCIPIOS BÁSICOS DE LA POLITICA DE SEGURIDAD DE LA INFORMACIÓN EN LA AEAT Los elementos en que se basa la política de seguridad de la información en la Agencia Tributaria son: • Constitución de una Comisión de Seguridad Informática. • Aprobación de un Documento de Seguridad • Declaración de los ficheros con datos de carácter personal. • Establecimiento de una red de Responsables y Administradores de Seguridad. • Gestión de usuarios y de las autorizaciones de acceso al sistema de información. • Registro y control de los accesos al sistema de información. • Establecimiento de un sistema de cesión de información.
Servicio de Auditoria Interna Agencia Tributaria 2. ANTECEDENTES Instrucción nº 2/1997, de 11 de febrero, de la Dirección General de la AEAT, sobre control de accesos a las bases de datos y utilización de la información contenida en las mismas en la Agencia. Completa la Instrucción 2/1996, en relación a: - Accesos a controlar de “consultas” y “otros” - Aplicación informática de control de accesos - Selección de accesos - Justificación de los accesos - Informes sobre el control - Control de personal externo
Servicio de Auditoria Interna Agencia Tributaria 2. ANTECEDENTES Orden de 11 de julio de 1997, crea la Comisión de Seguridad y Control. • La Comisión de Seguridad y Control, tiene como cometido básico la elaboración de criterios y la propuesta de normas que aseguren el ajuste estricto de las actividades de la Agencia a las disposiciones que las regulan, el mantenimiento de la seguridad interna del Ente y la defensa de la integridad de los intereses económicos de la Hacienda. • Supervisará los trabajos de las Comisiones Sectoriales de Seguridad y Control y tendrá acceso a los informes del control financiero o de auditoría relativos a las anteriores cuestiones.
Servicio de Auditoria Interna Agencia Tributaria 2. ANTECEDENTES Resolución de 26 de enero de 1998, regula la organización y funcionamiento de la Comisión de Seguridad y Control y crea Comisiones de Seguridad y Control de la Agencia Estatal de Administración Tributaria. - Se crean Comisiones Sectoriales de Seguridad y Control de: • Gestión Tributaria • Inspección Financiera y Tributaria • Recaudación • Aduanas, Impuestos Especiales y vigilancia Aduanera • Seguridad General y Gestión Económica • Informática Tributaria
Servicio de Auditoria Interna Agencia Tributaria 2. ANTECEDENTES • Funciones de las Comisiones Sectoriales de Seguridad y Control - Funciones generales: • Analizar y evaluar los riesgos de funcionamiento de los servicios para establecer las correspondientes medidas preventivas. • Establecer y mantener actualizados de forma permanente los criterios y directrices generales sobre seguridad. • Elaborar propuestas para mejorar y reforzar los sistemas de seguridad y control. • Elevar a la Comisión de Seguridad y Control aquellas propuestas que por su índole deben ser sometidas a la consideración de aquella. • Formular el plan anual de la Comisión Sectorial y elaborar un informe anual de sus actividades.
Servicio de Auditoria Interna Agencia Tributaria 2. ANTECEDENTES - Prestarán especial atención a: • Detectar e inventariar las áreas y puntos de riesgo más relevantes en su ámbito. • Analizar y evaluar, para cada una de las áreas de riesgo delimitadas, las deficiencias y debilidades de control existentes. • Acordar y hacer operativas las medidas encaminadas a corregir las deficiencias observadas y a reforzar los sistemas de control y seguridad, considerando de manera especial el establecimiento de señales de alarma automáticas en los sistemas y aplicaciones informáticas. • Elaborar las propuestas de normas e instrucciones que requiera la ejecución de las medidas acordadas y someterlas a la aprobación del Director correspondiente o del Director General de la Agencia. • Incorporar al plan de actuaciones de la Comisión las prioridades anuales y la estrategia a desarrollar en materia de control y seguridad.
Servicio de Auditoria Interna Agencia Tributaria 2. ANTECEDENTES Instrucción nº 5 de 12 de septiembre de 2001, de la Dirección General de la Agencia Estatal de Administración Tributaria por la que se implanta el Documento de Seguridad de los Ficheros Automatizados de carácter personal de la Agencia Tributaria. Instrucción 4/2004, de 16 de abril, del Director General de la Agencia Estatal de Administración Tributaria por la que se modifica el capítulo séptimo, ordenadores personales, del Documento de Seguridad de los Ficheros Automatizados de carácter personal de la Agencia Tributaria aprobado por la Instrucción 5/2001, de 12 de septiembre.
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD • Sus normas se aplican a la información contenida en todos los ficheros, organizados en forma de base de datos o en cualquier otra forma, de la Agencia Tributaria. • Se aplican a todo el personal que preste servicios en o para la Agencia Tributaria ya sea funcionario, contratado laboral o perteneciente a una empresa de servicios. • También se aplica a las personas que no prestan sus servicios en o para la Agencia Tributaria pero acceden a sus bases de datos.
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD Entre otros, intervienen: • Directores de Departamentos y Servicios, Delegados Especiales y Delegados Provinciales. Son responsables de la seguridad de la información en sus respectivos ámbitos y del cumplimiento de las normas del Documento de Seguridad, así como de las instrucciones y procedimientos que se desarrollen y se comuniquen. • Autorizadores. Deciden y gestionan los puntos de control y perfiles de acceso de cada usuario de las bases de datos de la Agencia Tributaria a través de la aplicación USUARIOS. • Controladores. Realizan el control a posteriori de los accesos, a través de la aplicación CONTROLA.
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD • Administradores de Seguridad regionales y provinciales, Administradores de Seguridad de los Departamentos y Servicios. Son gestores y asesores de la seguridad de la información en sus respectivos ámbitos. Coordinan y controlan las medidas de seguridad, instrucciones y procedimientos que se desarrollen, supervisan la gestión de usuarios y el control de accesos, elaboran informes sobre disconformidades, etc. • Administrador de Seguridad del Departamento de Informática Tributaria. Encargado de coordinar y dar a conocer a todos los Administradores de Seguridad, los procedimientos y las herramientas que se vayan incorporando al sistema informático para facilitar la gestión de usuarios y el control de accesos y desarrollar el cumplimiento de las directrices y planes de seguridad que establezca la Comisión de Seguridad y Control de Informática Tributaria.
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD • Comisión de Seguridad y Control de Informática Tributaria. Fija y mantiene los criterios sobre seguridad informática, da normas y directrices, ordena controles, resuelve incidencias, etc. • Servicio de Auditoría Interna. Vela por el estricto cumplimiento de las normas sobre seguridad de la información, verifica y supervisa el correcto funcionamiento del sistema.
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD Control previo realizado a través de la aplicación informática USUARIOS: • Identificación del usuario con código de usuario y palabra de paso. • Limitación de la información a que puede acceder cada usuario a través de la asignación de las autorizaciones que permiten acceder a los programas necesario para su trabajo. Este control lo realizan los: • Autorizadores. Solicitan las altas, bajas o modificaciones de códigos de usuarios y de autorizaciones del personal que dependen orgánicamente de ellos. • Administradores de Seguridad.
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD Control a posteriori realizado a través de la aplicación CONTROLA: • Registro de todos los accesos • Selección de accesos para auditar. • Control quincenal de accesos. Este control lo realizan los: • Controladores. Revisan y toman decisiones sobre los accesos controlados. • Administradores de Seguridad.
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD Registro de todos los accesos realizados: Para cada acceso se registra: • Usuario que lo realiza indicando: - Ámbito. Unidad en la que trabaja el usuarios - Código de usuario, apellidos y nombre - Delegación y Dependencia en que trabaja el usuario • Fecha y hora del acceso • Contribuyente accedido - NIF y nombre - Administración del contribuyente - Unidad de adscripción (responsable, cuando tiene deudas en ejecutiva - Unidad de inspección - Relación con el usuario
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD Registro de todos los accesos realizados: • Operación realizada: - Consulta o modificación de datos - Nivel de detalle: resumen general o detalle - Concepto (impuesto, declaración, tipo de operación, etc.) - Motivo del acceso, grabado por el usuario - Estado del acceso, en relación al control de accesos
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD Selección de accesos para auditar: Se seleccionan los accesos que deben ser objeto de control teniendo en cuenta si son coherentes con el trabajo del usuario. Se pueden seleccionar: • Manualmente, por los controladores y Administradores de Seguridad en base al conocimiento que tienen de los usuarios y el trabajo que tienen encargado. • Automáticamente, por la aplicación CONTROLA • Por los Administradores de la aplicación bajo las directrices de la Comisión de Seguridad y Control de Informática Tributaria. (Por ejemplo, control especial de accesos de personal contratado para la campaña de renta; control especial de excónyuges de los usuarios).
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD Control quincenal de los accesos: Los accesos seleccionados por el sistema, manualmente o por indicaciones de la Comisión de Seguridad y Control de Informática Tributaria se controlan por los controladores siguiendo el procedimiento siguiente: • Pendiente de justificación. El acceso seleccionado le aparece al controlador en este estado. • El controlador examina el acceso para lo cual la aplicación le facilita algunos datos como el contexto del acceso, los filtros aplicados, algunos ratios en relación al contribuyente accedido y al concepto e información del usuario. Puede realizar las siguientes acciones:
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD Control quincenal de los accesos: - Justificar directamente el acceso, si está claro que el acceso fue realizado por el trabajo del usuario. El acceso queda en el estado “Justificado” - Solicitar aclaración al usuario, cuando hay alguna duda respecto a la relación del acceso con el trabajo del usuario. Si la aclaración se solicita a través de la propia aplicación el estado en que queda es “Pendiente aclaración pantalla”. - Una vez que el usuario aporta su aclaración, el acceso pasa al estado “Pendiente visto bueno del controlador”
Servicio de Auditoria Interna Agencia Tributaria 3. DOCUMENTO DE SEGURIDAD Control quincenal de los accesos: - El controlador verifica la aclaración del usuario, si está de acuerdo con ella graba su conformidad y el acceso pasa a “Conforme con la aclaración”. Si no está de acuerdo, graba el motivo del desacuerdo y el acceso pasa al estado “Disconforme con la aclaración” y lo comunica al Responsable de seguridad del ámbito (Director de Departamento o Servicio o Delegado) para que adopte las medidas disciplinarias procedentes (amonestación, advertencia, incoación de expediente disciplinario, etc.). - Si el usuario no puede aclarar el acceso, este se pasa al estado “Pendiente de incidencia”. (Por ejemplo: situaciones de baja por enfermedad, vacaciones, destinos fuera de la Agencia Tributaria, etc.) hasta que pueda resolverse.
Servicio de Auditoria Interna Agencia Tributaria 4. COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA TRIBUTARIA FUNCIONES El capítulo 9 del Documento de Seguridad recoge las funciones del puntos segundo.3 de la Resolución de 26 de enero de 1998. (Ver Antecedentes) COMPOSICIÓN • Presidente. Director del Departamento de Informática Tributaria. • Vicepresidente. Inspector de Servicios Coordinador del Servicio de Auditoría Interna. • Secretario. Administrador de Seguridad del Departamento de Informática Tributaria. • Vocales. Representantes de los distintos Departamentos y Servicios de la Agencia Tributaria y de, al menos, tres Delegaciones, designados al efecto por los directores o Delegados del ámbito que corresponda.
Servicio de Auditoria Interna Agencia Tributaria 4. COMISIÓN DE SEGURIDAD Y CONTROL DE INFORMÁTICA TRIBUTARIA FUNCIONAMIENTO • El pleno de la comisión se reúne aproximadamente cada dos meses (5 ó 6 reuniones anuales). • La Comisión dispone de los informes de control financiero y auditoría que afectan a temas de seguridad de la información. • Se tratan en el pleno las sugerencias y peticiones, tanto de sus miembros, como de los responsables de seguridad de todos los ámbitos. • Para analizar los temas planteados y proponer medidas se constituyen Grupos de Trabajo cuyas propuestas son objeto de aprobación por el pleno.
Servicio de Auditoria Interna Agencia Tributaria 5. SERVICIO DE AUDITORÍA INTERNA FUNCIONES DEL SERVICIO DE AUDITORÍA INTERNA • El control interno de todos los servicios de la Agencia, mediante la realización de auditorías de cualquier clase y naturaleza y el desarrollo de instrumentos de control permanente, que permitan evaluar su eficacia y eficiencia y el cumplimiento de las normas e instrucciones, formulando las propuestas o recomendaciones que deriven de dicha función en la forma en que establezcan las disposiciones reguladoras de su actuación. ..... d) La prevención y detección de las conductas irregulares, la coordinación, en la forma que se determine por el Director General de la Agencia, de las acciones relativas a las mismas y, en su caso, su investigación, así como el análisis y evaluación de los sistemas de seguridad y control interno de la Agencia.
Servicio de Auditoria Interna Agencia Tributaria 5. SERVICIO DE AUDITORÍA INTERNA TIPOS DE ACTUACIONES Para llevar a cabo estas funciones el Servicio de Auditoría Interna realiza cuatro tipos de actuaciones: • Verificación - Seguridad de la información - Auditoría informática • Investigación • Asesoramiento • Participación en la Comisión de Seguridad y Control.
Servicio de Auditoria Interna Agencia Tributaria 5. SERVICIO DE AUDITORÍA INTERNA Seguridad de la información • Verificación de gestión de usuarios y control de accesos de usuarios internos de la Agencia Estatal de Administración Tributaria. • Verificación de gestión de usuarios y control de accesos de usuarios externos de las bases de datos de la AEAT. • Comprobación de la obtención y utilización de la información cedida a órganos externos. • Análisis de accesos calificados como disconformes con la aclaración del usuario y medidas disciplinarias adoptadas.
Servicio de Auditoria Interna Agencia Tributaria 5. SERVICIO DE AUDITORÍA INTERNA Verificación de usuarios internos • Comprobar la gestión de usuarios (altas, bajas y modificaciones de códigos de usuario, asignación de perfiles y autorizaciones, depuración de autorizaciones, etc.) y el control de accesos realizados por los autorizaciones y controladores. • Comprobar los criterios aplicados y el cumplimiento de las directrices e instrucciones de la Comisión de Seguridad y Control de Informática Tributaria. • Como consecuencia de estas actuaciones se efectúan propuestas de medidas para su ejecución por la Unidad comprobada, por la Comisión de Seguridad y Control de Informática Tributaria o por el Departamento de Informática.
Servicio de Auditoria Interna Agencia Tributaria 5. SERVICIO DE AUDITORÍA INTERNA Verificación de usuarios externos La AEAT ha firmado convenios de intercambio de información con diversos Organismos (como Tesorería General de la Seguridad Social, Consejo General del Poder Judicial, Comunidades Autónomas, Ayuntamientos, etc.) en virtud de los cuales personal de los mismos accede a las bases de datos de la AEAT. Algunos organismos del Ministerio de Economía y Hacienda, sin necesidad de convenio y en virtud de normas legales, tienen personal autorizado a acceder a las bases de datos de la AEAT, con la obligación de establecer normas de procedimiento interno para su personal (como Intervención Delegada, Dirección General del Catastro, Dirección General de Tesoro, Dirección General de Tributos, etc.)
Servicio de Auditoria Interna Agencia Tributaria 5. SERVICIO DE AUDITORÍA INTERNA Verificación de usuarios externos El objetivo de estas actuaciones es verificar el cumplimiento de las normas legales y las cláusulas de los convenios en cuanto a la gestión de usuarios, información accedida y control de accesos. Como consecuencia de las actuaciones se realizan propuestas de medidas para ejecutar por los organismos externos, la Comisión de Seguridad y Control de Informática Tributaria y el Departamento de Informática Tributaria.
Servicio de Auditoria Interna Agencia Tributaria 5. SERVICIO DE AUDITORÍA INTERNA Cesión de información • La AEAT suministra información, a través de una aplicación informática de “cesión de información” a diferentes órganos de las distintas Administraciones Públicas (General del Estado, autonómica y Local), para finalidades tributarias, recaudatorias y no tributarias. • Se firman convenios en los que los diferentes organismos aceptan someterse a actuaciones de comprobación a cargo del Servicio de Auditoría Interna de la AEAT. • En estas actuaciones se verifica la adecuada obtención y utilización de la información cedida y del cumplimiento de las condiciones establecidas por la normativa o por los convenios. • Se efectúan propuestas de medidas a adoptar por la Comisión de Seguridad y Control de Informática Tributaria, el Departamento de Informática Tributaria, el Departamento de Organización, Planificación y Relaciones Institucionales y Administradores de Seguridad Regionales.
Servicio de Auditoria Interna Agencia Tributaria 5. SERVICIO DE AUDITORÍA INTERNA Accesos disconformes El Documento de Seguridad establece que los Administradores de Seguridad elaborarán un informe sobre los accesos calificados como disconformes con la aclaración del usuario para el responsable de seguridad con copia para el SAI. Se realiza un análisis de los criterios aplicados y las decisiones adoptadas sobre la calificación de las faltas y medidas para su corrección en los accesos calificados como disconformes con la aclaración del usuario, en base a los informes de los Administradores de Seguridad.
Servicio de Auditoria Interna Agencia Tributaria 5. SERVICIO DE AUDITORÍA INTERNA INVESTIGACIONES • Se efectúan actuaciones e investigación de conductas presuntamente irregulares a petición de diversos órganos como: - Consejo para la Defensa del Contribuyente - Juzgados y Tribunales - Instructores de expedientes disciplinarios - Denuncias de contribuyentes, funcionarios, etc. - Directores de Departamento y Delegados - Administradores de Seguridad, etc.
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA Auditoría informática DEMANDA DE SUPERVISIÓN Y CONTROL DE LOS S.I. • DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIÓN • AMENAZAS A LA SEGURIDAD INFORMÁTICA • PROTECCIÓN DE LOS DERECHOS DE LOS CIUDADANOS • CONFIABILIDAD DE LA INFORMACIÓN
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA DEFINICIÓN DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN • Auditoría cuyo objeto es la revisión y evaluación de los sistemas automáticos de procesamiento de la información y de los procedimientos no automáticos relacionados con ellos, así como de los interfaces correspondientes.
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA FUNCIONES DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN • Velar por la eficacia y eficiencia del S.I. • Verificar el cumplimiento de las normas y estándares vigentes. • Supervisar el control interno ejercido sobre los S.I. • Verificar la calidad de los S.I. • Comprobar e impulsar la seguridad de los S.I. • Comprobar el cumplimiento de los requerimientos de negocio de la información. • Analizar la gestión de los riesgos asociados a los S.I.
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA EQUIPO DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN DEL SAI • COMPOSICIÓN • Inspector de los Servicios • Colaboradores de Auditoría especializados en auditoría de sistemas de información • Personal Auxiliar • PERFIL DE LOS AUDITORES DE SI • Titulados Superiores • Funcionarios de los Cuerpos de Sistemas y Tecnologías de la Información • Experiencia profesional dentro y fuera de la AGE • Capacitación en Auditoría de SI (CISA, INAP, etc.)
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA MARCO DE ACTUACIÓN DEL EQUIPO DE AUDITORÍA DE SI • MÉTODOS Y PROCEDIMIENTOS GENERALES DEL SAI • MÉTODOS Y PROCEDIMIENTOS ESPECÍFICOS DE LA AUDITORÍA DE SI • Marco de referencia COBIT(Control Objectives for Information and related Technology versión 4.1) • Normas, Estándares y Códigos de buenas prácticas (ISO/IEC 17799, ISO/IEC 27001, ISACA, NIST, ITIL, SANS Institute etc.) • Legislación vigente (Ley de Protección de Datos, Ley de Acceso Electrónico, Accesibilidad y Usabilidad) • Normativa interna (Documento de Seguridad, CDIT, Instrucciones de la Dirección)
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA ACTUACIONES EN MATERIA DE AUDITORÍA DE S.I. • Englobadas en programas específicos del Plan de Actuaciones del SAI • Actuaciones de auditoría (“control permanente”) en los Servicios Periféricos (Dependencias Regionales de Informática) de la AEAT • Guión estandarizado, mantenido de modo continuo • Actuaciones de auditoría (“control específico”) en los Servicios Centrales (Departamento de Informática Tributaria) de la AEAT • Guiones específicos para cada actuación
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA ACTUACIONES DE CONTROL PERMANENTE (1) • Organización de la Dependencia Regional de Informática • Coordinación de las actividades • Capacitación del personal • Gestión del parque informático (inventario) • Mantenimiento de equipos • Apoyo y asistencia a usuarios • Pautas de mantenimiento y operación (administración de redes) • Salvaguarda y respaldo de datos • Adecuación de las instalaciones (seguridad física)
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA ACTUACIONES DE CONTROL PERMANENTE (2) • Actividad vírica • Desarrollos informáticos no corporativos • Presencia de datos de carácter personal en las redes locales • Recepción de soportes • Entrada de datos • Depuración de datos • Campañas de declaraciones fiscales e informativas • Promoción de la presentación telemática
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA ACTUACIONES DE CONTROL ESPECÍFICO • Auditoría bienal de cumplimiento del Documento de Seguridad • Explotación de Sistemas y Telecomunicaciones • Desarrollo de Sistemas y Aplicativos para el Sistema de Información corporativo de la AEAT • Confiabilidad de la información tributaria
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA AUDITORÍA DEL REGISTRO DE LOS ACCESOS EN LOS SISTEMAS CORPORATIVOS OBJETIVOS DE LA ACTUACIÓN • Comprobación del adecuado registro de las transacciones en los accesos a datos de carácter personal realizados por los usuarios del sistema de información corporativo, • determinando su conformidad con las prescripciones incluidas en el Documento de Seguridad de la AEAT • y en las normas técnicas vigentes en el DIT.
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA AUDITORÍA DEL REGISTRO DE LOS ACCESOS EN LOS SISTEMAS CORPORATIVOS METODOLOGÍA • Examen del sistema específico de control de accesos de la AEAT (CONTROLA). • Evaluación de los distintos subsistemas del S.I. de la AEAT que interactúan con el anterior (aplicativos). • Análisis de la calidad del flujo de información que alimenta el sistema de control de accesos. • Obtención de evidencias sobre el registro efectivo de los accesos mediante el examen de una muestra de accesos generados ex profeso en diferentes sistemas.
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA AUDITORÍA DEL REGISTRO DE LOS ACCESOS EN LOS SISTEMAS CORPORATIVOS RECOMENDACIONES • Sistematización del registro de accesos. • No hay una especificación formal uniforme para los desarrolladores • Homogeneización de criterios. • Cada campo del registro puede ser interpretado de manera distinta por los desarrolladores • Control de calidad en la puesta en producción. • No se verifica de modo sistemático la efectividad de los controles de acceso antes de la entrada en producción
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA ACTUACIONES DE ASESORAMIENTO (1) • Los Órganos de Auditoría Interna tienen una vertiente consultora. • Peticiones de asesoramiento desde diferentes órganos: • Comité de Dirección. • Comisión de Seguridad y Control de IT. • Departamento de Informática Tributaria. • Delegaciones Especiales. • Delegación central de Grandes Contribuyentes
Servicio de Auditoria Interna Agencia Tributaria 6. SERVICIO DE AUDITORÍA INTERNA ACTUACIONES DE ASESORAMIENTO (2) • Mapa de Riesgos de la AEAT • Política respecto del correo electrónico saliente • Política de seguridad de los soportes informáticos • Plan de Contingencias • Accesibilidad y facilidad de uso de la página web • Gestión Documental (Expediente Electrónico) • Calidad de la información en la DCGC • Protocolo de tratamiento de información de las Unidades de Auditoría Informática del área de Fiscalización
