390 likes | 795 Views
AUDITORÍA DE SISTEMAS INFORMÁTICOS. Marco normativo. Estándares. Proyectos de Auditoría. Desafíos de la Auditoría de TI. Casos prácticos. Marco Normativo. SDG AUI. SDG SIT (TI). SIGEN. DI AUOC. SDG SIT- cuenta con sus propias regulaciones. DE AUSI.
E N D
Marco normativo Estándares Proyectos de Auditoría Desafíos de la Auditoría de TI Casos prácticos
Marco Normativo SDG AUI SDG SIT (TI) SIGEN DI AUOC SDG SIT- cuenta con sus propias regulaciones DE AUSI - SDG AUI: Sub. Gral. de Auditoría Interna. - DI AUOC: Dir. Auditoría de Operaciones Centrales. - DE AUSI: Dep. Auditoría de Sistemas Informáticos. - SDG SIT: Sub. Gral. de Sistemas y Telecomunicaciones. Referencias:
Resolución 152/02 (SIGEN) Resolución 48/05 (SIGEN) Marco Normativo
Marco Normativo – RG 152/02 (SIGEN) Resolución 152/02 (SIGEN): • Instaura un cuerpo de Normas de Auditoría Interna Gubernamental. • Adopta los conceptos de la Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna. • Incluye tareas especificas para las Auditorías de Sistemas Informáticos.
Marco Normativo – RG 152/02 (SIGEN) Objetivos de Control Interno para TI • Ciclo de vida para el desarrollo y mantenimiento de software. • Calidad y atributos de la información electrónica. • Documentación de Sistemas. • Controles incorporados a las aplicaciones desarrolladas. • Planes de continuidad y contingencia de negocios. • Plan de capacitación continua de usuarios. • Nivel de satisfacción.
Marco Normativo – RG 48/05 (SIGEN) Resolución 48/05 (SIGEN): • NORMAS DE CONTROL INTERNO PARA TECNOLOGÍA DE LA INFORMACIÓN DEL SECTOR PÚBLICO NACIONAL. • Vigente desde el año 2005.
Marco Normativo – RG 48/05 (SIGEN) Destinatarios: • Responsables de los organismos. • Responsables informáticos. • Auditores.
Marco Normativo – RG 48/05 (SIGEN) Objetivos de Control Interno: Se incluyen pautas sobre aspectos especificos de TI • Organización Informática. • Plan Estratégico de TI. • Arquitectura de la Información. • Políticas y Procedimientos. • Cumplimiento de Regulaciones Externas. • Administración de Proyectos. • Desarrollo, Mantenimiento o Adquisición de Software de Aplicación. • Adquisición y Mantenimiento de la Infraestructura Tecnológica. • Seguridad Informática.
Marco Normativo – RG 48/05 (SIGEN) Ventajas: • Establece un marco de control homogeneo. • Resumen de Buenas Prácticas
COBIT COBIT ISO 17799 ISO 17799 Estándares • COBIT (Control Objectives for Information and Related Technology). Se compone de 34 procesos de alto nivel y 210 objetivos de control. • Código de Práctica para la Administración de la Seguridad de la Información.
Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders//COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf • efectividad • eficiencia • confidencialidad • integridad • disponibilidad • cumplimiento • confiabilidad • datos • sistemas de aplicación • tecnología • instalaciones • gente Estándares - COBIT Dominios de Control enTecnología de Información OBJETIVOS DE NEGOCIO GOBIERNO DE TI MONITOREO PLANEACIÓN Y ORGANIZACIÓN RECURSOS DE TI ADQUISICION E IMPLANTACION ENTREGA Y SOPORTE
Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf Estándares - COBIT
Estándares Proceso de adopción de COBIT: • 2005 – Creación de grupo mixto Auditoría + TI. • 2006 – Talleres conjuntos en ISACA (Arg). • 2007 – Inclusión de Objetivos COBIT en la programación de auditorías. • 2008 – Adquisición de producto GRC para administración de riesgos. • 2009 – Primeras auditorías evaluando procesos y riesgos con perspectiva GRC.
Proyectos de Auditorías En la actualidad en el Departamento DE AUSI se practican: • Auditorias de gestión de TI (basadas en CobiT). • Auditorias de sistemas aplicativos y bases de datos. • Auditorias de revisión limitada (objetivo puntual y acotado en alcance). • Auditorias forenses (verificaciones de hechos denunciados). • Auditorias de seguridad Test de penetración y análisis de vulnerabilidades Seguridad en accesos Seguridad física Cumplimiento de las Políticas de Seguridad de la Información de AFIP
Desafios de la Auditoría de TI Desafios de la Auditoría de TI: • Ambiente auditado altamente dinámico provocado por cambios tecnológicos continuos. • Necesidad de capacitación en últimas tendencias tecnológicas. • Alta interrelación entre aplicaciones. • Compleja trazabilidad motivada por la diversidad de plataformas. • Necesidad de contar con personal con distintos perfiles y visiones profesionales. • Programas diferentes para igual objetivo de control.
Marco normativo área de TI CASO 1. Auditoría de desarrollo y mantenimiento de sistemas. CASO 2. Auditoria de compras y contrataciones. Casos Prácticos
Establece Ámbito de aplicación Destinatarios Marco Normativo área de TI “Disposición N°76/05 AFIP – Manual de Políticas de Seguridad de la Información (Parte pertinente con el objeto auditado).” • Definir una apropiada segregación de funciones y separación de ambientes, a fin de no comprometer a la seguridad de la información. • Introduce los conceptos de ambientes de desarrollo, prueba y homologación. • Regula las responsabilidades de las áreas definidoras, homologación, control de calidad y Seguridad. • Todos los recursos informáticos de la AFIP. • Las áreas responsables del desarrollo, control de calidad, homologación y puesta en producción de sistemas informáticos (SLDC). • El oficial de seguridad informática participa en la definición de las pautas de seguridad que debe cumplir los sistemas desarrollados según el entorno de operativo. • Las áreas responsables de la contratación de sistemas ó programas a medida.
Objetivo Establece Marco Normativo área de TI “Instrucción General N° 2/05 (SDG SIT) y Anexos – Pautas para el desarrollo y mantenimiento de sistemas informáticos en la AFIP.” • Definir pautas y documentación entregable para el proceso de desarrollo y mantenimiento de sistemas que se realice dentro del ámbito de la SDG SIT. • Las etapas del ciclo de vida de las aplicaciones. • Roles y responsabilidades. • Contenidos minimos de la documentación y/o entregables de cada etapa. • Vigente desde el 2005
Marco Normativo área de TI Ejemplos de contenidos mínimos En la “Fase de Definición” se utiliza el documento REQ – Requerimiento de Sistemas · Objetivo: Formalizar la necesidad de desarrollo o mantenimiento de sistema que realiza un área, indicando prioridades y la justificación del pedido. · Responsables: Este documento debe ser aprobado por el Responsable del Área Definidora. · Contenido mínimo requerido: Solicitud del requerimiento: Datos del Área Definidora, Descripción, Alcance, Beneficios y Restricciones, Impacto, Asignación de prioridad, Fecha requerida de puesta en producción. Recepción del requerimiento: Datos del Área Informática, Objetivo (nuevo desarrollo de sistemas y/o mantenimiento). En la “Fase de Implementación” se utiliza el DAP - Documento de Pase a Producción · Objetivo: Especificar la puesta efectiva en producción del sistema · Responsables: Este documento debe ser aprobado por el Responsable del Área de Control de Calidad. · Contenido mínimo requerido: Fecha de Puesta en Producción. Procedimientos para verificar el buen funcionamiento del software en los aspectos operativos y de negocio (criterios de éxito). Mecanismos de recuperación ante caídas en operación. Procedimientos de restauración de versiones anteriores.
Objeto de la auditoría Alcance Marco Normativo CASO 1 “Caso 1 - Auditoría de Desarrollo y Mantenimiento de Sistemas.” • Evaluar los procedimientos o metodo-logías utilizadas en las actividades de desarrollo y mantenimiento de sistemas. • Relevar y analizar el cumplimiento de la normativa aplicable y las actividades de control relativos al proceso de desarrollo y mantenimiento de sistemas, con cada una de las áreas intervinientes en el proceso. • Disposición N°76/05 AFIP – Manual de Políticas de Seguridad de la Información (Parte pertinente con el objeto auditado). • IG. N° 2/05 (SDG SIT) y Anexos – Pautas para el desarrollo y mantenimiento de sistemas informáticos en la AFIP.
CASO 1 CARACTERISTICAS DEL ENTORNO A AUDITAR: • No existen en la AFIP una unica área de desarrollo, sino seis (6). Una por cada unidad de negocio y todas dependen de la SDG SIT. • Diversas áreas definidoras y/o solicitantes de requerimientos. • Diversidad de lenguajes y entornos de producción. • La dotación es de más 600 personas • Aplicativos cedidos a otros Organismos. • Dirección de Informática Tributaría • Dirección de Informática de Fiscalización • Dep. Informática de Administración • Dirección de Informática Aduanera • Dir. De Inf. Rec. de la Seguridad Social • Dep. Informática Jurídica y Colaborativa SDG SIT
CASO 1 PLANIFICACIÓN DE LA AUDITORÍA: • El programa de auditoría se basó en el estándar COBIT y se adaptó a las particularidades de la AFIP. • Constitución de varios equipos de trabajo. • Se ejecutaron en dos (2) auditorías • La primer auditoría abarco 3 áreas de desarrollo y la segunda incluyo a las áreas de desarrollo restantes, más las áreas de soporte y definidoras.
CASO 1 EJECUCIÓN DEL CASO 1: • Elaboración de cuestionarios. • Entrevistas. • Visualización. • Selección de muestra de los sistemas críticos. • Análisis de log / Revisión de accesos, permiso y usuarios.
CASO 1 Cómo se evaluó la Disp 76/05 AFIP?: Se analizó la segregación de funciones desde distintos aspectos: a) Estructura Orgánica. - Se encuentran definidas las áreas de desarrollo, de calidad, y de homologación en la estructura del Organismo? - Funcionan independiente y responden a distintas jefaturas? b) Ambientes. - Los tareas desarrollo, control de calidad y homologación se realizan en distintos equipos y/o los ambientes son independientes? - Los usuarios de cada entorno responden al rol y la función del agente.?
CASO 1 Cómo se evaluó la IG. 02/05 SDG SIT?: • Se analizó el cumplimiento de la normativa mediante la solicitud y evaluación de la calidad de la documentación de los sistemas críticos seleccionados, dando especial importancia a los siguientes aspectos: • a) Participación del área definidora en los proyectos de nuevos desarrollos. • b) Los controles en las etapas del ciclo de vida. • c) La conformidad de las áreas de calidad.
CASO 1 PRESENTACIÓN DE RESULTADOS: Trabajo de Campo Entrevista de Cierre - Aprobación del auditor - PAPEL DE TRABAJO (MT) Observación Informe Preliminar -IP- Informe de Auditoría Interna -IAI-
Definición Características AUDITORÍA CONJUNTA • Las AUDITORÍAS CONJUNTAS son actividades que tienen por objetivo dar una opinión integral por parte de la UAI. Informe Consolidado. • Los destinarios son las áreas auditadas. • Se consolida con los informes técnicos o complementarias de otras áreas de la UAI. Informe Técnico ó Complementario. • Los destinatarios son las áreas de la UAI que consolidan. • Emitir una opinión especializada (Ej. Opinión técnica informática o legal sobre un proceso contable).
Objeto de la auditoría Conjunta Alcance Marco Normativo CASO 2 “Caso 2 - Auditoría de gestión de compras y contraciones de tecnología.” Objetivo General • Evaluar la gestión de la SDG SIT, con relación al proceso de compras y contrataciones. Objetivo DE AUGR • Evaluar el cumplimiento del Manual de Contrataciones y la normativa vigente. Objetivo DE AUSI • Evaluar la razonabilidad técnica y económica de las decisiones de compras efectuadas por el área de TI. Período diciembre de 2007 a abril de 2008 • Disposición N°65/05 (SDG ADF) - Régimen Genaral para Contrataciones de Bienes, Servicios y Obras Públicas. Manual de Contrataciones.
CASO 2 Parámetros de evaluación DE AUSI: • Análisis del requerimiento de adquisición (Dependencia tecnologíca, compromiso económico, riesgos). • Evaluación del detalle documental que avala la necesidad de adquisición. • La adquisición se alinea con los objetivos estratégicos de la AFIP. • Detección de situaciones fuera de términos -Incumplimiento Normativo-. • Intervención de la ONTI -Oficina Nacional de Tecnología de Información- sobre el cumplimiento de ETAP (Estandares Tecnologicos para la Administración Pública)
CASO 2 Tareas de Colaboración: • Extracción de información de las base de datos de los sistemas informáticos usados en la gestión de compras. • Selección de muestra. • Análisis estadístico de la muestra.
CASO 2 Resultado: • A una auditoría de cumplimiento normativo, se la enriqueció con una perspectiva técnica y económica de las decisiones de compras efectuadas por el área de TI. • A partir de la auditoría, se elevó el estandard de requerimiento documental necesario para justificar una compra/contratación de tecnología.