I.2 Metodologías internas y organización del departamento de
Anuncio
AUDITORÍA Y CONSULTORÍA TEMA 2 Metodologías internas y organización del departamento de auditoría informática Estos esquemas no son documentación oficial de la asignatura ni de la U.N.E.D. El contenido oficial es el del libro de la asignatura y, en su caso, los materiales que decidan subir los miembros del equipo docente. Tan sólo un bosquejo de ideas para que podáis seguir mejor mis presentaciones como profesor intercampus. No son, ni pretenden ser, completos. Basarse sólo en ellos para estudiar la asignatura es garantía de tener que releerlos en septiembre… Juan Carlos Alfaro López Profesor-Tutor del Centro Asociado de Tudela Profesor intercampus de la asignatura http://lasultimasaguilasnegras.blogspot.com.es/ Tabla de contenido I.2 Metodologías internas y organización del departamento de auditoría informática .................... 3 I.2.1. Riesgos y contramedidas .................................................................................................... 3 I.2.2. Metodologías de evaluación de Sistemas ........................................................................... 3 I.2.3. Plan de contingencias ......................................................................................................... 5 I.2.4. Metodologías de Auditoría Informática.............................................................................. 5 I.2.5. Plan Auditor Informático .................................................................................................... 5 I.2.6. Organización del Departamento de Auditoría Informática (información extra) .............. 6 I.2 Metodologías internas y organización del departamento de auditoría informática Metodología: conjunto de métodos (formas de hacer en orden cosas) que se siguen en una actividad humana y que permiten afrontarla de forma organizada y consecuente (y eficaz, a mi modo de entender…) I.2.1. Riesgos y contramedidas La Informática crea riesgos a la entidad, que debe protegerse frente a ellos con un conjunto de contramedidas. Se debe evaluar la calidad y eficiencia de las mismas para identificar puntos débiles y mejorarlos (auditores) Componentes que intervienen en una contramedida (en forma piramidal fig 3.1; pag 55): Normativa (puede ser externa –Banco España, etc.-) La organización (la empresa, pero sobre todo las personas que trabajan en ella) La metodología (garantiza el orden y la eficacia) Objetivos de control Procedimientos de control Tecnología de seguridad (tanto hardware como software) Herramientas de control y análisis (normalmente software) Todo esto debe formalizarse en un PLAN DE SEGURIDAD y en un PLAN AUDITOR I.2.2. Metodologías de evaluación de Sistemas Definiciones: Amenaza: algo (o alguien) visto como posible fuente de peligro o catástrofe Vulnerabilidad: situación creada por falta o fallo de unos controles y contramedidas específicos Riesgo: la probabilidad que una/s amenaza/s acaezca por una/s vulnerabilidad/es Exposición o impacto: cuantificación (monetaria, imagen…) del efecto de los riesgos Controles de Riesgo deben tratar de: Evitarlos (lo mejor) Reducirlos si se producen (p.e. extintores) Transferirlo a otros departamentos o empresas para que lo minimicen (si uno no sabe como…) Asumirlo (incluidas sus pérdidas si no hay otra o no tenemos mejores controles) Cualquier metodología en seguridad y control de riesgos se dedica a implantar y mejorara contramedidas que garanticen una probabilidad de materialización de amenazas lo más baja posible para un presupuesto dado. Tipología de metodologías Cuantitativas Cuantifican los riesgos mediante la asignación de un número a unos determinados coeficientes (de pérdida máxima (A.L.E.), de reducción de pérdida máxima, de retorno de la inversión, etc. Cualitativas / subjetivas Métodos estadísticos y lógica borrosa Menos necesitadas de recursos que las cuantitativas Mixtas (lo habitual) –ver cuadro comparativo en el texto base (fig 3.3; pág 62)- Metodologías más comunes Todas parten de (fig 3.4; pag 63): o Etapa1. Cuestionarios (con peso de cada pregunta) o Etapa2. Identificación de Riesgos o Etapa3. Cálculo de Impacto o Etapa4. Identificación de contramedidas y evaluación de su coste o Etapa5. Simulaciones o Etapa6. Emisión de informes Se diferencian básicamente entre ellas por: o Cuantitativas / Cualitativas / Mixtas o Etapa de simulaciones Nombres famosos: o MARION (cuantitativa) o CRAMM (cualitativa) o RISCKPAC (mixta) o MAGERIT (administración española) o OCTAVE (mixta) o PRIMA (prevención de riesgos informáticos con metodologías abiertas; española; mixta) I.2.3. Plan de contingencias Definiciones: Estrategia planificada constituida por un conjunto de recurso de respaldo, organización de emergencia y procedimientos de actuación encaminada a la restauración progresiva (y cuanto más ágil, mejor) de un S.I. Fases de un plan F1. Análisis y diseño o Metodología RISK ANALYSIS (estudio probabilístico del riesgo) -ver tareas en texto base; pag 67o Metodología BUSSINES IMPACT (estudio del impacto económico e imagen) -ver tareas en texto base; pag 68 F2. Desarrollo del plan (secuenciación de acciones hasta vuelta normalidad) F3. Pruebas y mantenimiento I.2.4. Metodologías de Auditoría Informática (recomendable seguir ejemplo 3.3.1.; pag 71-79). Basadas en CONTROLES GENERALES (homologadas internacionalmente) (externos) o Objetivo dar una opinión profesional sobre la situación de los datos en el sistema y las vulnerabilidades obtenidas o Definen pruebas a pasar y hay que anotar sus resultados o Problema serio: quien define y comprueba las pruebas debe ser alguien con mucha experiencia METODOLOGÍAS de Auditoría Interna o También muy basadas en la experiencia profesional del auditor I.2.5. Plan Auditor Informático (pag 80-82) Esquema metodológico fundamental en Auditoría informática (sobre todo interna) Debe incluir una separación funcional precias con respecto a Control Informático Describe los procedimientos a seguir (apertura del plan, discusión debilidades, informe preliminar…) Tipos de auditorías a realizar (LOPD, física, Bases de datos…) Sistema de evaluación y niveles de evaluación (1 a 10; bien, mal, regular…) Nivel de exposición: un número (habitual 1 a 10) que resume la peligrosidad de lo encontrado y, por ende, la prioridad para adoptar medidas correctivas y repetición auditoría Seguimiento medidas correctoras Adopción plan revisión anual y a más largo plazo I.2.6. Organización del Departamento de Auditoría Informática (información extra) En principio, el auditor informático era una ayuda al auditor financiero para asegurar que los datos de los que partía el segundo para efectuar su análisis eran exactos y coherentes. Necesidades de formación del Auditor Informático : Persona con formación obligatoria en Informática y en Auditoría, Formación en Economía y Gestión de Empresa (sobre todo, gestión del cambio) Comprometido con la Calidad A ser posible, certificado CISA (Certified Information Systems Auditor) Definición de auditor informático: Responsable de establecer unos objetivos de control que reduzcan la exposición al riesgo de control interno: Después de establecidos, el auditor debe revisar los controles y evaluar los resultados de su revisión para determinar las áreas que requieren correcciones o mejoras En cierto sentido, también tiene que actuar como consultor para el auditado, dándole ideas sobre cómo instalar nuevos procedimientos de seguridad o control interno, efectividad y eficacia, nuevas tecnologías informáticas, aseguramiento de la continuidad de las operaciones… Organización de la Función de Auditoría Informática: Puede estar en permanente contacto con departamentos afines como el de Auditoría Financiera, pero nunca debe estar supeditado de manera orgánica a éstos. Independencia. Orgánicamente sólo debería depende de Dirección General o Consejero Delegado. Jerárquicamente, el departamento debería constar de: o Jefe del departamento (desarrolla plan de trabajo a largo y define puestos internos) o Supervisor (responsable del trabajo a corto) o Auditores (ejecutan directamente el trabajo a realizar)
