Vous êtes sur la page 1sur 37

1

AUDITORA

Auditora de Sistemas Informticos

AUDITORA

AUDITORA DE SISTEMAS INFORMTICOS

Auditora de Sistemas Informticos

AUDITORA

Marco normativo

Estndares

Proyectos de Auditora

Desafos de la Auditora de TI

Casos prcticos

Auditora de Sistemas Informticos

Marco Normativo

AUDITORA

SDG AUI SIGEN


DI AUOC SDG SIT (TI)
SDG SIT- cuenta con sus propias regulaciones

DE AUSI

Referencias:

- SDG AUI: Sub. Gral. de Auditora Interna. - DI AUOC: Dir. Auditora de Operaciones Centrales. - DE AUSI: Dep. Auditora de Sistemas Informticos. - SDG SIT: Sub. Gral. de Sistemas y Telecomunicaciones.

Auditora de Sistemas Informticos

Marco Normativo

AUDITORA

Resolucin 152/02 (SIGEN)

Resolucin 48/05 (SIGEN)

Auditora de Sistemas Informticos

Marco Normativo RG 152/02 (SIGEN)


Resolucin 152/02 (SIGEN):

AUDITORA

Instaura un cuerpo de Normas de Auditora Interna Gubernamental.

Adopta los conceptos de la Normas Internacionales para el Ejercicio Profesional de la Auditora Interna.
Incluye tareas especificas para las Auditoras de Sistemas Informticos.

Auditora de Sistemas Informticos

Marco Normativo RG 152/02 (SIGEN)

AUDITORA

Objetivos de Control Interno para TI


Ciclo de vida para el desarrollo y mantenimiento de software. Calidad y atributos de la informacin electrnica. Documentacin de Sistemas. Controles incorporados a las aplicaciones desarrolladas. Planes de continuidad y contingencia de negocios. Plan de capacitacin continua de usuarios. Nivel de satisfaccin.

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Resolucin 48/05 (SIGEN):

NORMAS DE CONTROL INTERNO PARA TECNOLOGA DE LA INFORMACIN DEL SECTOR PBLICO NACIONAL.
Vigente desde el ao 2005.

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Destinatarios:

Responsables de los organismos.


Responsables informticos. Auditores.

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Objetivos de Control Interno: Se incluyen


pautas sobre aspectos especificos de TI
Organizacin Informtica. Plan Estratgico de TI.

Arquitectura de la Informacin. Polticas y Procedimientos. Cumplimiento de Regulaciones Externas.


Administracin de Proyectos. Desarrollo, Mantenimiento o Adquisicin de Software de Aplicacin. Adquisicin y Mantenimiento de la Infraestructura Tecnolgica. Seguridad Informtica.

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

AUDITORA

Ventajas:

Establece un marco de control homogeneo. Resumen de Buenas Prcticas

Auditora de Sistemas Informticos

Estndares

AUDITORA

COBIT

COBIT (Control Objectives for Information and Related Technology). Se compone de 34 procesos de alto nivel y 210 objetivos de control.

ISO 17799

Cdigo de Prctica para la Administracin de la Seguridad de la Informacin.

Auditora de Sistemas Informticos

Estndares - COBIT
OBJETIVOS DE NEGOCIO

AUDITORA

Dominios de Control
en Tecnologa de Informacin

GOBIERNO DE TI
MONITOREO efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

RECURSOS DE TI
datos sistemas de aplicacin tecnologa instalaciones gente ENTREGA Y SOPORTE

PLANEACIN Y ORGANIZACIN

ADQUISICION E IMPLANTACION

Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders//COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

Auditora de Sistemas Informticos

Estndares - COBIT

AUDITORA

Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders /COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf

Auditora de Sistemas Informticos

Estndares - Mapping

AUDITORA

1 - Organizacin Informtica 2 - Plan Estratgico de TI 3 - Arquitectura de la Informacin 4 - Polticas y Procedimientos 5 - Cumplimiento de Regulaciones Externas 6 - Administracin de Proyectos 7 - Desarrollo, Mantenimiento o Adquisicin de Software de Aplicacin 8 - Adquisicin y Mantenimiento de la Infraestructura Tecnolgica 9 - Seguridad 10 - Servicios de Procesamiento y/o soporte Prestado por Terceros 11 - Servicios de Internet / Extranet / Intranet 12 Monitoreo de los Procesos 13 Auditora Interna de Sistemas

Res. 48/05 SGN

PO Planificacion y Organizacin PO Planificacion y Organizacin PO2 Definicin de la estructura de la Informacin P06 Comunicacin de los objetivos y directivas de la gerencia PO7 Garantia del cumplimiento de los requisitos internos PO10 Administracin de proyectos. AI2 Adquirir y mantener el software aplicativo AI3 - Adquisicin y Mantenimiento de la Infraestructura Tecnolgica PO6.8 Poltica marco de seguridad y Ctrol Interno AI.5 Adquirir recursos de TI AI3 - Adquirir y mantener infraestructura tecnolgica M1 Monitoreo de los Procesos M4 Provisin de auditora independiente

CobiT

Auditora de Sistemas Informticos

Estndares
Proceso de adopcin de COBIT:

AUDITORA

2005 Creacin de grupo mixto Auditora + TI. 2006 Talleres conjuntos en ISACA (Arg). 2007 Inclusin de Objetivos COBIT en la programacin de auditoras. 2008 Adquisicin de producto GRC para administracin de riesgos. 2009 Primeras auditoras evaluando procesos y riesgos con perspectiva GRC.

Auditora de Sistemas Informticos

Proyectos de Auditoras

AUDITORA

En la actualidad en el Departamento DE AUSI se practican:


Auditorias de gestin de TI (basadas en CobiT). Auditorias de sistemas aplicativos y bases de datos. Auditorias de revisin limitada (objetivo puntual y acotado en alcance). Auditorias forenses denunciados). (verificaciones de hechos

Auditorias de seguridad
Test de penetracin y anlisis de vulnerabilidades Seguridad en accesos Seguridad fsica

Cumplimiento de las Polticas de Seguridad de la Informacin de AFIP

Auditora de Sistemas Informticos

Desafios de la Auditora de TI
Desafios de la Auditora de TI:

AUDITORA

Ambiente auditado altamente dinmico provocado por cambios tecnolgicos continuos. Necesidad de capacitacin en ltimas tendencias tecnolgicas. Alta interrelacin entre aplicaciones. Compleja trazabilidad motivada por la diversidad de plataformas. Necesidad de contar con personal con distintos perfiles y visiones profesionales. Programas diferentes para igual objetivo de control.

Auditora de Sistemas Informticos

Casos Prcticos

AUDITORA

Marco normativo rea de TI

CASO 1. Auditora de desarrollo y mantenimiento de sistemas.

CASO 2. Auditoria de compras y contrataciones.

Auditora de Sistemas Informticos

Marco Normativo rea de TI

AUDITORA

Disposicin N76/05 AFIP Manual de Polticas de Seguridad de la Informacin (Parte pertinente con el objeto auditado).
Definir una apropiada segregacin de funciones y separacin de ambientes, a fin de no comprometer a la seguridad de la informacin. Introduce los conceptos de ambientes de desarrollo, prueba y homologacin. Regula las responsabilidades de las reas definidoras, homologacin, control de calidad y Seguridad. Todos los recursos informticos de la AFIP. Las reas responsables del desarrollo, control de calidad, homologacin y puesta en produccin de sistemas informticos (SLDC). El oficial de seguridad informtica participa en la definicin de las pautas de seguridad que debe cumplir los sistemas desarrollados segn el entorno de operativo. Las reas responsables de la contratacin de sistemas programas a medida.

Establece

mbito de aplicacin

Destinatarios

Auditora de Sistemas Informticos

Marco Normativo rea de TI

AUDITORA

Instruccin General N 2/05 (SDG SIT) y Anexos Pautas para el desarrollo y mantenimiento de sistemas informticos en la AFIP.
Objetivo
Definir pautas y documentacin entregable para el proceso de desarrollo y mantenimiento de sistemas que se realice dentro del mbito de la SDG SIT.

Establece

Las etapas del ciclo de vida de las aplicaciones. Roles y responsabilidades. Contenidos minimos de la documentacin y/o entregables de cada etapa. Vigente desde el 2005

Auditora de Sistemas Informticos

Marco Normativo rea de TI

AUDITORA

Ejemplos de contenidos mnimos


En la Fase de Definicin se utiliza el documento REQ Requerimiento de Sistemas Objetivo: Formalizar la necesidad de desarrollo o mantenimiento de sistema que realiza un rea, indicando prioridades y la justificacin del pedido. Responsables: Este documento debe ser aprobado por el Responsable del rea Definidora. Contenido mnimo requerido: Solicitud del requerimiento: Datos del rea Definidora, Descripcin, Alcance, Beneficios y Restricciones, Impacto, Asignacin de prioridad, Fecha requerida de puesta en produccin. Recepcin del requerimiento: Datos del rea Informtica, Objetivo (nuevo desarrollo de sistemas y/o mantenimiento). En la Fase de Implementacin se utiliza el DAP - Documento de Pase a Produccin Objetivo: Especificar la puesta efectiva en produccin del sistema Responsables: Este documento debe ser aprobado por el Responsable del rea de Control de Calidad. Contenido mnimo requerido: Fecha de Puesta en Produccin. Procedimientos para verificar el buen funcionamiento del software en los aspectos operativos y de negocio (criterios de xito). Mecanismos de recuperacin ante cadas en operacin. Procedimientos de restauracin de versiones anteriores.

Auditora de Sistemas Informticos

CASO 1

AUDITORA

Caso 1 - Auditora de Desarrollo y Mantenimiento de Sistemas.


Evaluar los procedimientos o metodologas utilizadas en las actividades de desarrollo y mantenimiento de sistemas.

Objeto de la auditora

Alcance

Relevar y analizar el cumplimiento de la normativa aplicable y las actividades de control relativos al proceso de desarrollo y mantenimiento de sistemas, con cada una de las reas intervinientes en el proceso.

Disposicin N76/05 AFIP Manual de Polticas de Seguridad de la Informacin (Parte pertinente con el objeto auditado).

Marco Normativo

IG. N 2/05 (SDG SIT) y Anexos Pautas para el desarrollo y mantenimiento de sistemas informticos en la AFIP.

Auditora de Sistemas Informticos

CASO 1

AUDITORA

CARACTERISTICAS DEL ENTORNO A AUDITAR:


No existen en la AFIP una unica rea de desarrollo, sino seis (6). Una por cada unidad de negocio y todas dependen de la SDG SIT.

Diversas reas definidoras y/o solicitantes de requerimientos.


Diversidad de lenguajes y entornos de produccin. La dotacin es de ms 600 personas Aplicativos cedidos a otros Organismos.

SDG SIT

Dep. Informtica Jurdica y Colaborativa

Direccin de Informtica Tributara Direccin de Informtica de Fiscalizacin Dep. Informtica de Administracin Direccin de Informtica Aduanera Dir. De Inf. Rec. de la Seguridad Social

Auditora de Sistemas Informticos

CASO 1

AUDITORA

PLANIFICACIN DE LA AUDITORA:
El programa de auditora se bas en el estndar COBIT y se adapt a las particularidades de la AFIP. Constitucin de varios equipos de trabajo. Se ejecutaron en dos (2) auditoras La primer auditora abarco 3 reas de desarrollo y la segunda incluyo a las reas de desarrollo restantes, ms las reas de soporte y definidoras.

Auditora de Sistemas Informticos

CASO 1 EJECUCIN DEL CASO 1:


Elaboracin de cuestionarios. Entrevistas. Visualizacin.

AUDITORA

Seleccin de muestra de los sistemas crticos. Anlisis de log / Revisin de accesos, permiso y usuarios.

Auditora de Sistemas Informticos

CASO 1
Cmo se evalu la Disp 76/05 AFIP?:

AUDITORA

Se analiz la segregacin de funciones desde distintos aspectos: a) Estructura Orgnica. - Se encuentran definidas las reas de desarrollo, de calidad, y de homologacin en la estructura del Organismo? - Funcionan independiente y responden a distintas jefaturas?

b) Ambientes.
- Los tareas desarrollo, control de calidad y homologacin se realizan en distintos equipos y/o los ambientes son independientes? - Los usuarios de cada entorno responden al rol y la funcin del agente.?

Auditora de Sistemas Informticos

CASO 1
Cmo se evalu la IG. 02/05 SDG SIT?:

AUDITORA

Se analiz el cumplimiento de la normativa mediante la solicitud y evaluacin de la calidad de la documentacin de los sistemas crticos seleccionados, dando especial importancia a los siguientes aspectos: a) Participacin del rea definidora en los proyectos de nuevos desarrollos. b) Los controles en las etapas del ciclo de vida. c) La conformidad de las reas de calidad.

Auditora de Sistemas Informticos

CASO 1

AUDITORA

PRESENTACIN DE RESULTADOS:

Trabajo de Campo
Entrevista de Cierre - Aprobacin del auditor -

PAPEL DE TRABAJO (MT)

Observacin

Informe Preliminar -IP-

Informe de Auditora Interna -IAI-

Auditora de Sistemas Informticos

AUDITORA CONJUNTA

AUDITORA

Definicin

Las AUDITORAS CONJUNTAS son actividades que tienen por objetivo dar una opinin integral por parte de la UAI.

Caractersticas

Informe Consolidado. Los destinarios son las reas auditadas. Se consolida con los informes tcnicos o complementarias de otras reas de la UAI. Informe Tcnico Complementario. Los destinatarios son las reas de la UAI que consolidan. Emitir una opinin especializada (Ej. Opinin tcnica informtica o legal sobre un proceso contable).

Auditora de Sistemas Informticos

CASO 2

AUDITORA

Caso 2 - Auditora de gestin de compras y contraciones de tecnologa.


Objetivo General Evaluar la gestin de la SDG SIT, con relacin al proceso de compras y contrataciones.

Objeto de la auditora Conjunta

Objetivo DE AUGR Evaluar el cumplimiento del Manual de Contrataciones y la normativa vigente. Objetivo DE AUSI Evaluar la razonabilidad tcnica y econmica de las decisiones de compras efectuadas por el rea de TI.

Alcance

Perodo diciembre de 2007 a abril de 2008

Marco Normativo

Disposicin N65/05 (SDG ADF) - Rgimen Genaral para Contrataciones de Bienes, Servicios y Obras Pblicas. Manual de Contrataciones.

Auditora de Sistemas Informticos

CASO 2
Parmetros de evaluacin DE AUSI:

AUDITORA

Anlisis del requerimiento de adquisicin (Dependencia tecnologca, compromiso econmico, riesgos). Evaluacin del detalle documental que avala la necesidad de adquisicin. La adquisicin se alinea con los objetivos estratgicos de la AFIP. Deteccin de situaciones fuera de trminos Incumplimiento Normativo-. Intervencin de la ONTI -Oficina Nacional de Tecnologa de Informacin- sobre el cumplimiento de ETAP (Estandares Tecnologicos para la Administracin Pblica)

Auditora de Sistemas Informticos

CASO 2
Tareas de Colaboracin:

AUDITORA

Extraccin de informacin de las base de datos de los sistemas informticos usados en la gestin de compras. Seleccin de muestra. Anlisis estadstico de la muestra.

Auditora de Sistemas Informticos

CASO 2
Resultado:

AUDITORA

A una auditora de cumplimiento normativo, se la enriqueci con una perspectiva tcnica y econmica de las decisiones de compras efectuadas por el rea de TI. A partir de la auditora, se elev el estandard de requerimiento documental necesario para justificar una compra/contratacin de tecnologa.

1
AUDITORA

Auditora de Sistemas Informticos

1
AUDITORA

Auditora de Sistemas Informticos