METODOLOGIAS DE AUDITORIA INFORMATICA
Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.
La auditoria informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo más baja posible o al menos quede reducida de una forma razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numéricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el número de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.
Ventajas:
Ø Enfoque lo amplio que se desee.
Ø Plan de trabajo flexible y reactivo.
Ø Se concentra en la identificación de eventos.
Desventajas
Ø Depende fuertemente de la habilidad y calidad del personal involucrado.
Ø Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular.
Ø Dependencia profesional.
Metodologías en Auditoría Informática.
Las metodologías de auditoría informática son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua. Solo existen dos tipos de metodologías para la auditoría informática:
Ø Controles Generales.- Son el producto estándar de los auditores profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoría financiera, es resultado es escueto y forma parte del informe de auditoría, en donde se hacen notar las vulnerabilidades encontradas. Están desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan.
Ø Metodologías de los auditores internos.- Están formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. También se define el objetivo de la misma, que habrá que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genéricos, con una orientación de los controles a revisar. El auditor interno debe crear sus metodologías necesarias para auditar los distintos aspectos o áreas en el plan auditor.
Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria informática.
El contenido de este documento tratara en forma general las mismas, así como de manera particular CRMR (Computer Resource Management Review)
El objetivo del trabajo práctico se divide en dos partes. En primer lugar, describir las metodologías de auditoría informática en forma general. En segundo lugar profundizar sobre una metodología en particular, CRMR.
En la primera parte se darán a conocer los puntos o fases que toda auditoría debe tener en cuenta. En la segunda parte se hará un estudio de la metodología elegida para corroborar las conclusiones obtenidas en la primera parte de la investigación.
El trabajo constará con el análisis detallado de tan solo una metodología, la misma debe ser usada extensamente y estar disponible para su estudio.
El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales y comunes de a toda auditoría Informática: La operatividad de los Sistemas y los Controles Generales de Gestión Informática.
Ø Estudio Inicial
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática.
Para su realización el auditor debe conocer lo siguiente:
Ø Organización: Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:
ü Organigrama: El organigrama expresa la estructura oficial de la organización a auditar. Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia.
ü Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.
ü Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes.
Ø Flujos de Información: Además de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepartamentales.
Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama.
En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa.
Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la organización.
Ø Número de Puestos de trabajo: El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes.
Ø Número de personas por Puesto de Trabajo: Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.
ENTORNO OPERACIONAL
El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:
a. Situación geográfica de los Sistemas:
Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo.
b. Arquitectura y configuración de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas esta muy ligada a las políticas de seguridad lógica de las compañías.
Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos.
c. Inventario de Hardware y Software:
El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remoto, periféricos de todo tipo, etc.
El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.
d. Comunicación y Redes de Comunicación:
En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones.
Igualmente, poseerán información de las Redes Locales de la Empresa.
Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente:
a. Volumen, antigüedad y complejidad de las Aplicaciones
b. Metodología del Diseño
Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto.
c. Documentación
La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.
La documentación de programas disminuye gravemente el mantenimiento de los mismos.
d. Cantidad y complejidad de Bases de Datos y Ficheros.
El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos.
Estos datos proporcionan una visión aceptable de las características de la carga informática.
DETERMINACIÓN DE RECURSOS DE LA AUDITORÍA INFORMÁTICA
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.
Ø Recursos humanos
Ø Recursos materiales
Ø Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
a. Recursos materiales Software
· Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.
· Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
b. Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable.
Es igualmente señalable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.
Informático en general: Con experiencia amplia en ramas distintas. Es deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de Proyectos: Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes.
Técnico de Sistemas: Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación.
Experto en Bases de Datos y Administración de las mismas: Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación
Experto en Software de Comunicación: Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso.
AUDITORÍA POR TEMAS GENERALES O POR ÁREAS ESPECÍFICAS:
La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos.
Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor calidad.
Técnicas de Trabajo:
Ø Análisis de la información recabada del auditado
Ø Análisis de la información propia
Ø Cruzamiento de las informaciones anteriores
Ø Entrevistas
Ø Simulación
Ø Muestreos
Herramientas:
Ø Cuestionario general inicial
Ø Cuestionario Checklist
Ø Estándares
Ø Monitores
Ø Simuladores (Generadores de datos)
Ø Paquetes de auditoría (Generadores de Programas)
Ø Matrices de riesgo.
Principio: auditar racionalmente significa explicitar sus finalidades, y deducir de éstas los medios y las acciones de investigación que se consideren necesarios y suficientes.
La auditoría informática sólo tiene sentido si se define su finalidad: examen de la eficacia o seguridad de un sistema, de la fiabilidad de una aplicación, verificación de la aplicación, etc...
La finalidad está en emitir un juicio sobre el mangement del sistema de Informaciones.
Regla: la auditoría informática consiste en comparar uno o varios actos de management, desde uno o varios puntos de vista, con los que deberían ser.
La auditoría informática siempre llegará a una conclusión cuando los medios asignados sean suficientes y las acciones sean posibles. La auditoría informática jamás debe empañar su finalidad ni limitarse a lo que es más sencillo de examinar,so pena de que el juicio que emita carezca de valor al caer fuera de la cuestión verdadera. Debe ser completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la solidez de todo el control. los medios y las acciones elegidas por el auditor deben adaptarse exclusivamente a la finalidad de la auditoría, siendo coherentes entre sí y, desde luego,fiables y seguros.
En determinados casos la tarea del auditor puede ser muy compleja, para ello deberá dividirla en funciones obteniendo conclusiones parciales de éstas y establecer un plan de aquellas que resulten ser más significativas.
No hay comentarios:
Publicar un comentario