Metodología de Control Interno, Seguridad y Auditoría Informática Universidad Técnica Nacional Ingeniería del software Curso: Auditoría de Sistemas Profesor: Wilmert Vindas Acuña Integrantes: Katherine Camacho Samudio Sergio Fernández salas Paula Moreira Fernández I Cuatrimestre, 2015 1 Metodología de Control Interno, Seguridad y Auditoría Informática Índice METODOLOGIAS .............................................................................................................................. 3 METODOLOGIAS DE EVALUACION DE SISTEMAS ............................................................................ 3 Auditoría Informática: ......................................................................................................... 3 Análisis de Riesgos: ............................................................................................................. 3 TIPOS DE METODOLOGIAS .............................................................................................................. 3 Cuantitativas: ...................................................................................................................... 3 Cualitativas: ......................................................................................................................... 3 PASOS DE LA METODOLOGIA .......................................................................................................... 3 CONTROL INTERNO INFORMATICO................................................................................................. 4 La Función de Control: ........................................................................................................ 4 I.S.A.C.A. (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION) ........................ 4 LOS METODOS Y PROCEDIMIENTOS DE CONTROL ......................................................................... 5 DIFERENCIAS ENTRE AUDITORIA INFORMATICA Y CONTROL INTERNO ......................................... 5 LA AUDITORIA INFORMATICA: ............................................................................................ 5 CONTROL INTERNO INFORMÁTICO ......................................................................................... 5 HERRAMIENTAS DE CONTROL......................................................................................................... 6 SEGURIDAD ..................................................................................................................................... 6 ADMINISTRACIÓN DE LA SEGURIDAD ................................................................................. 7 SEGURIDADES ...................................................................................................................... 7 ADQUISICION, INSTALACIÓN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS DE CONTROL ..................................................................................................................................... 7 ORGANIZACIÓN INTERNA DE LA SEGURIDAD INFORMATICA ......................................................... 7 2 Metodología de Control Interno, Seguridad y Auditoría Informática METODOLOGIAS Hacen referencia al conjunto de procedimientos racionales utilizados para alcanzar una gama de objetivos que rigen una investigación científica, una exposición doctrinal o tareas que requieran habilidades, conocimientos o cuidados específicos. METODOLOGIAS DE EVALUACION DE SISTEMAS Auditoría Informática: Solo identifica el nivel de “exposición” por falta de controles. Análisis de Riesgos: Facilita la “evaluación” de los riesgos y recomienda acciones en base al costo-beneficio de las mismas. TIPOS DE METODOLOGIAS Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo. Cualitativas: Basadas en un criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a experiencia acumulada Las metodologías más comunes de evaluación de sistemas que podemos encontrar son de análisis de riesgos y de diagnósticos de seguridad, las de plan de contingencias, y las de auditoría de controles generales. PASOS DE LA METODOLOGIA Identificación de la información. Inventario de entidades de información residente y operativa. Identificación de Propietarios Definición de jerarquías de Información. Definición de la matriz de Clasificación. Confección de la matriz de Clasificación. Realización del plan de Acciones. 3 Metodología de Control Interno, Seguridad y Auditoría Informática Implantación y Mantenimiento. CONTROL INTERNO INFORMATICO El control informático es el componente de la actuación segura entre los usuarios, la informática y control interno, todos ellos auditados por auditoría informática. Es el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. La Función de Control: Su objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente. I.S.A.C.A. (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION) La seguridad de sistemas abarca un campo mucho mayor de lo que es la seguridad lógica, podríamos decir que: El área Informática monta los procesos informáticos seguros. o El Control Interno monta los controles. o La Auditoria Informática evalúa el grado de control. Funciones de control dual con otros departamentos. o Función normativa y del cumplimiento del marco jurídico. o Tiene funciones propias (Administración de la Seguridad lógica, etc.) Responsable del desarrollo y actualización del plan de contingencias, manuales de procedimientos y plan de seguridad. o Dictar normas de seguridad informática. o Definir los procedimientos de control. o Control de soportes físicos. o Control de información sensible o comprometida. o Control de calidad del servicio informático. o Definición de requerimientos de seguridad en proyectos nuevos. Control de cambios y versiones. 4 Metodología de Control Interno, Seguridad y Auditoría Informática LOS METODOS Y PROCEDIMIENTOS DE CONTROL Son aquellos procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control, y por lo tanto deben estar documentados y aprobados por la Dirección. DIFERENCIAS ENTRE AUDITORIA INFORMATICA Y CONTROL INTERNO LA AUDITORIA INFORMATICA: Tiene la función de vigilancia y evaluación mediante dictámenes y todas las metodologías van encaminadas a esta función. Revisa y evalúa los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, con el fin de lograr una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones. Tiene sus propios objetivos distintos a los auditores de cuentas. Los auditores de cuentas la necesitan para utilizar la información de sus sistemas para evaluaciones financieras y operativas. o Evalúan eficiencia, costo y seguridad en su más amplia visión. o Operan según el plan auditor. Establecen planes con tiempos definidos y ciclos completos. Sistemas de evaluación de repetición de auditoría por nivel de exposición del área auditada y el resultado de la última auditoria de esta área. Función de soporte informático de todos los auditores. CONTROL INTERNO INFORMÁTICO El control interno se encarga de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. Funciones de control dual con otros departamentos. Función normativa y del cumplimiento del marco jurídico. Tiene funciones propias (Administración de la Seguridad lógica, etc.) Responsable del desarrollo y actualización del plan de contingencias, manuales de procedimientos y plan de seguridad. 5 Metodología de Control Interno, Seguridad y Auditoría Informática Dictar normas de seguridad informática. Definir los procedimientos de control. Control de soportes físicos. Control de información sensible o comprometida. Control de calidad del servicio informático. Definición de requerimientos de seguridad en proyectos nuevos. HERRAMIENTAS DE CONTROL Las herramientas de control son elementos software que por sus características funcionales permiten vertebrar un control de una manera más actual y más automatizada. Las herramientas de control más comunes son: Seguridad lógica del sistema. Seguridad lógica complementaria al sistema Seguridad lógica para entornos distribuidos. Control de acceso físico. Control de Presencia. Control de copias Gestión de soportes magnéticos. Control de proyectos. Control de versiones. Control de cambios. SEGURIDAD Dentro de la tecnología de seguridad están los elementos, ya sean hardware o software, que ayudaran a controlar un riesgo informático. (cifradores, autentificadores, equipos “tolerantes al fallo” etc.) 6 Metodología de Control Interno, Seguridad y Auditoría Informática ADMINISTRACIÓN DE LA SEGURIDAD Tenemos que considerar si los sistemas nos permiten realizar todas las actividades normales con los criterios de seguridad física y lógica requerida por la organización. Definir los perfiles y las comunicaciones con cada área de la empresa para llevar un completo control sobre los miembros de la organización. SEGURIDADES Aquí se usa lo clásico en cada producto, que cada persona tenga su password con límites de longitud para el acceso a dicho producto. ADQUISICION, INSTALACIÓN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS DE CONTROL Con todos los pasos anteriores, lo único que queda por hacer es comprar el producto, instalarlo e implantar su nuevo esquema de seguridad y desarrollar los procesos de control. ORGANIZACIÓN INTERNA DE LA SEGURIDAD INFORMATICA Comité de Seguridad de la Información o Seguridad corporativa. o Control Interno. o Departamento de Informática. o Departamento de Usuarios. o Dirección del Plan de Seguridad Auditoría Informática o Plan Auditor o Dictámenes de Auditoria Control Informático o Responsable de Ficheros o Controles generales Informáticos 7