lunes, 23 de mayo de 2011

clase 23 de mayo

informes previos de auditoria de procesos de la empresa 

CH Auditoría Consultores S.A

DS 11 Administración de datos

Hallazgos:


·          Los datos no se procesan de manera precisa y a tiempo, además los resultados se no se entregan de acuerdo a los requerimientos
·         No existen procedimientos para el almacenamiento que cumplan con las políticas de la organización y requerimientos regulatorios
·         No poseen un medio de inventario de los archivos almacenados los cuales garanticen el acceso a los mismos
·         No existen políticas de eliminación de archivos software y hardware
·         No existen políticas para el respaldo de sistemas, aplicaciones y datos alineados con el plan de continuidad y requerimientos del negocio
·         no consideran un plan de seguridad para la administración de datos

Recomendaciones:


·         Verificar que todos los datos que se espera procesar se reciben y procesan completamente, de forma precisa y a tiempo, y que todos los resultados se entregan de acuerdo a los requerimientos del negocio.
·         Definir e implementar procedimientos para el archivo, almacenamiento y retención de los datos, de forma efectiva y eficiente para conseguir los objetivos de negocio, la política de seguridad de la organización y los requerimientos regulatorios.
·         Definir e implementar procedimientos para mantener un inventario de medios almacenados y archivados para asegurar su usabilidad e  integridad
·         Definir e implementar procedimientos para asegurar que los requerimientos de negocio para la protección de datos sensitivos y el software se consiguen cuando se eliminan o transfieren los datos y/o el hardware
·         Respaldo y Restauración Definir e implementar procedimientos de respaldo y restauración de los sistemas, aplicaciones, datos y documentación en línea con los requerimientos de negocio y el plan de continuidad.
·         Definir e implementar las políticas y procedimientos para identificar y aplicar los requerimientos de seguridad aplicables al recibo, procesamiento, almacén y salida de los datos para conseguir los objetivos de negocio, las políticas de seguridad de la organización y requerimientos regulatorios.

DS5 Garantizar la seguridad de los sistemas

Hallazgos:


·         La administración de la seguridad se realiza de manera alineada con los requerimientos del negocio, para esto se establecieron proceso que incluyen el establecimiento y mantenimiento de roles, responsabilidades de seguridad, políticas y estándares.
·         Los requerimientos del negocio se tienen contemplados  y se tiene un plan de seguridad  que busca minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.
·         El plan de seguridad está enmarcado en la infraestructura de TI y cultura de seguridad.
·         Existe un plan de comunicación de políticas y procedimientos de seguridad para los interesados y usuarios, este plan se encuentra en el marco del plan general de administración de seguridad.
·         No se tiene aun los controles de autenticación de usuarios, pero se está trabajando para establecerlos.
·         Las necesidades de acceso están alineadas con las necesidades del negocio y además están documentadas.
·         La creación de accesos siguen un procedimiento que es aprobado por los responsables del sistema y los encargados de seguridad, además se complementan con normas de seguridad sobre dónde y en qué momentos se pueden acceder los diferentes sistemas.
·         Las actualizaciones de los accesos y normas de autenticación se realizan cada 6 meses y se comportan dentro del presupuesto. Además están establecidos los procedimientos para solicitud, eliminación, actualización y modificación de cuentas de usuarios.
·         La revisión de cuentas y privilegios de los sistemas solo se realiza cuando se realiza el estudio para generar las autorizaciones.
·         Se realizan monitoreos de seguridad y pruebas periódicas así como también se realizan acciones correctivas sobre las debilidades o incidentes de seguridad identificados, sin embargo no se hace referencia a la documentación de dichos monitoreos y correcciones.
·         La tecnología asociada a la seguridad y acceso al sistema es adquirida con el fin de evitar sabotajes y otras falencias de seguridad, además el equipo auditado constata que las políticas son comunicadas a cada uno de los trabajadores y usuarios por medio de reuniones y mensajes.
·         Se poseen controles contra software malicioso.
·         Se toman todas las medidas necesarias para controlar los ambientes físicos y de comunicación como redes de datos y se ponen a cargo de personal calificado.

Recomendaciones:


·         Los controles de autenticación de usuarios son primordiales para la empresa pues garantizan la integridad de la información y de los sistemas, ya que se encuentran desarrollando dichos controles, es aconsejable que establezcan los lineamientos y estrategias de seguridad en base a las necesidades del negocio y que consideren en caso de ser necesario adquirir nuevos equipos de detección y acceso como equipos biométricos. Todos los controles de autenticación deben  generar los registros necesarios y estar acordes con el presupuesto aprobado.
·         La revisión de cuentas y privilegios se debe hacer de manera periódica porque los cambios que haga el encargado de seguridad no generan tantos inconvenientes como los que ocurren por agentes externos. Según las necesidades de la empresa se recomienda que el plan de revisión de cuentas este hecho para cada mes y se generen informes para los encargados de sistemas y auditoría interna.
·         Se deben establecer claramente los formatos para el monitoreo de la seguridad y para reportar errores, actualizaciones y demás cambios, adiciones o eliminación de documentos, cuentas u otros relacionados con seguridad.


TALLER IDEA

TALLER IDEA 

13. Como puedo usar IDEA para auditoria en los distintos campos: empresas financieras, industriales, seguridad informática, gobierno, etc. 

IDEA - Interactive Data Extraction and Analyisis, es un Software para Extracción, Análisis y Auditoria de Datos, de origen Canadiense, utilizado por más de 10000 empresas en Gran Bretaña, Estados Unidos y otros países del mundo. Su potencia, funcionalidad y facilidad de uso son reconocidas por auditores, contadores públicos, investigadores de fraude, gerentes financieros, estadísticos y profesionales en Sistemas de Información.

Por sus características y funcionalidades IDEA, ha sido elegido como estándar de auditoría de datos por las grandes firmas de contadores públicos, oficinas de auditoría y finanzas gubernamentales, auditores internos de empresas públicas y privadas y adoptado por universidades como herramienta de aprendizaje en los cursos de pregrado y postgrado en Auditoria.

IDEA es una herramienta para apoyar el trabajo de auditores, contadores, investigadores de fraude y profesionales en sistemas. Permite importar archivos desde diferentes formatos y reportes, leer, visualizar, analizar, procesar, obtener muestras y extraer datos. Provee cinco métodos diferentes de muestreo y funcionalidades para identificar vacíos en secuencia de registros, chequear registros duplicados, comparar, unir y agregar archivos y crear reportes personalizados. Es aplicable a investigaciones sobre fraudes y lavado de activos.

14. La Ley de Benford plantea que los dígitos y las secuencias de dígitos en una serie de datos siguen un patrón predecible. La Ley de Benford genera una base de datos, y opcionalmente un Resultado, que puede analizar para identificar posibles errores, fraudes potenciales u otras irregularidades. Si existen valores artificiales o ficticios en una base de datos, la distribución de los dígitos dentro de la base de datos puede ser diferente a la establecida al respecto por la Ley de Benford.

Un análisis de Ley de Benford es más efectivo en:

· Datos que contienen valores similares para fenómenos similares

· Datos sin un mínimo y un máximo especificado.

· Datos sin asignaciones de números, como números de cuentas bancarias y códigos postales

· Datos que contengan cuatro o más dígitos

El análisis cuenta la secuencia de los dígitos de los valores en la base de datos y compara esto contra un resultado previamente establecido de acuerdo a la Ley de Benford. Los dígitos distintos de cero son contados de izquierda a derecha y los valores inferiores a 10 son ignorados.

La ley de Benford, también conocida como la ley del primer dígito, asegura que, en los números que existen en la vida real, la primera cifra es 1 con mucha más frecuencia que el resto de los números. Además, según crece este primer dígito, más improbable es que se encuentre en la primera posición. El hecho de que la primera cifra sea la cifra 1 con mayor frecuencia que las demás, puede ser entendido si tenemos en cuenta que comenzamos a contar desde 1 (1, 2, 3,…) hasta llegar al 9, momento en que cada cifra tiene la misma probabilidad. Pero de 10 a 19 sólo tenemos como primera cifra el 1, y sólo cuando llegamos al 99 todas las cifras tendrán la misma probabilidad de nuevo. ( log10(n + 1) − log10(n) )

AUDITORIA INTEGRAL PROCESOS DE TI EN LA EMPRESA FIRETIRE


Objetivos
Objetivo general 


El objetivo principal de la auditoria es el revisar de manera interna a la empresa la estructura, funcionalidad, y operación de los procesos actuales que se desarrollan en el área de TI, se buscarán posibles debilidades o ausencias de información, control, integridad, en fin, cualquier aspecto que afecte negativamente el desempeño y el rendimiento de la organización a corto o largo plazo. Los procesos que deberán ser evaluados se encuentran dentro del marco de trabajo COBIT en su versión 4.1 sobre gobierno de TI y son: AI4 Facilitar la operación y el uso, AI6 Administrar cambios, DS5 Garantizar la seguridad de los sistemas, DS10 Administrar los problemas y ME2 Monitorear y evaluar el control interno. 


Objetivos específicos 

· Realizar sugerencias específicas de aspectos a implementar o adecuar para los procesos auditados y así mejor el rendimiento de la empresa.

· Conocer los modelos de los procesos auditados con el fin de verificar su veracidad, integridad, seguridad, accesibilidad, concordancia y comunicación con otros procesos, siempre y cuando sean pertinentes y se puedan verificar estos aspectos.

· El objetivo de las listas de chequeo es identificar si se cumple o no con los aspectos de control establecidos para cada proceso, además se pueden adicionar observaciones que permitan identificar la causa del inconveniente o justificar la elección del auditor.

· El objetivo de las entrevistas en consultar el conocimiento del encargado o responsable del proceso sobre cómo funciona este, si conoce el comportamiento y relaciones normales del proceso y otros aspectos específicos para cada proceso. Además las entrevistas corroboran los datos y procedimientos que fueron suministrados en formato escrito.

· El objetivo de las pruebas aleatorias consiste en examinar de manera no secuencial aspectos de cada proceso, solo cuando estos aparentemente estén bien estructurados e implementados y posean muchas variables o aspectos y por esto sean tediosos para evaluar.
Criterios para la auditoria
Fuentes de criterios

Los criterios que se han establecido para efectuar la auditoria se encuentran bajo el marco de trabajo COBIT versión 4.1 sobre Gobierno de TI, y se establecen los criterios u objetivos de control necesarios para poder auditar cada proceso, cada proceso en el marco de trabajo posee sus propios objetivos de control y estos serán incluidos además de los que el auditor considere pertinentes para evaluar completamente el proceso.


Definición de los criterios 

Los criterios generales para todos los procesos objeto de la auditoria son:

· La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

· La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.

· La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada.

· La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

· La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

· El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

· La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

Tomado literalmente de Cobit 4.1 (IT Governance Institute)


Procedimientos 

1. Solicitud y revisión de la documentación sobre procesos.

2. Aplicar las listas de chequeo.

3. Realizar entrevistas con los encargados y subordinados relacionados a los procesos.

4. Corroborar los datos obtenidos de las listas de chequeo por proceso y entrevistas por medio del levantamiento de procesos y seguimiento del mismo, en caso de ser procesos con volúmenes de datos grandes se realizan pruebas aleatorias, y dado el caso de encontrar una inconsistencia revisar dicho proceso de manera exhaustiva.

5. Realizar un informe previo de auditoría.

6. Presentar y discutir el informe previo para corregir y acordar las inconsistencias en la auditoria.

7. Realizar el informe final de auditoría con las sugerencias pertinentes.

8. Presentar y sustentar el informe final.

Instrumentos
Listas de chequeo



Objeto de control
Cumple
Observaciones
Si
No
AI4 Facilitar la operación y el uso
Se posee un plan para identificar y documentar los aspectos técnicos (plan de soluciones de operación)



Se transfiere a la gerencia el conocimiento de los procesos y se incluye las características de seguridad



Se transfiere el conocimiento y habilidades al personal de soporte técnico y operaciones.



 Se realiza el entrenamiento inicial y continuo al personal de soporte técnico y operaciones para la transferencia de conocimiento.



Se entrenan a los usuarios para que usen los sistemas y aplicaciones



AI6 Administrar cambios
Existe un procedimiento que de manera estándar maneje las solicitudes para cambios en la infraestructura y aplicativos



Se evalúan las solicitudes de cambio de los sistemas en términos operacionales y funcionales



Se posee un proceso para cambios de emergencia



Se realiza la documentación y pruebas después de la implantación de un cambio de emergencia



Se hace seguimiento y se reportan los cambios a los interesados



Se actualiza la documentación de usuario y procedimientos después de un cambio



Se posee un plan de revisiones para garantizar la completa implantación de cambios



DS5 Garantizar la seguridad de los sistemas
Se administra la seguridad de manera alineada con los requerimientos del negocio



Se posee un plan de seguridad de TI que cubra los requerimientos del negocio



El plan de seguridad está enmarcado en la infraestructura de TI y cultura de seguridad



Se tiene un plan de comunicación de políticas y procedimientos de seguridad para los interesados y los usuarios



Se poseen controles de autenticación para todos los usuarios



Las necesidades de acceso están alineadas con las necesidades del negocio y además están documentadas



Las nuevas autorizaciones siguen un procedimiento y es aprobado por el responsable del sistema e implementado por la persona encargada de la seguridad



Las técnicas de autenticación son rentables y se mantienen actualizadas



Están establecidos los procedimientos para solicitud, eliminación, actualización o modificación de cuentas de usuario



Se realizan revisiones regulares sobre la gestión de cuentas y privilegios asociados



Se monitorea de forma pro-activa la seguridad de TI



Se pueden obtener los registro sobre actividades inusuales o anormales en el ingreso al sistema



Se garantiza que la tecnología relacionada a la seguridad es resistente al sabotaje y no proporciona información confidencial



Se poseen políticas para la generación, destrucción, cambio de información relacionada con la seguridad



Se han establecido medidas para la detección y corrección de problemas causados por malware.



Se poseen controles físicos para garantizar la seguridad de las redes



Se poseen controles para la transferencia o comunicación de datos sensibles para la empresa.



DS10 Administración de problemas
Existen procesos para reportar y clasificar los problemas



Cuando se registrar los problemas se asignan estos a un responsable ya definido



Se puede hacer el levantamiento de los problemas desde la raíz hasta los problemas relacionados



Están relacionados los problemas e incidentes con la administración de cambios y configuración



DS 11 Administración de datos
Los datos se procesan de manera precisa y a tiempo, además los resultados se entregan de acuerdo a los requerimientos



Existen procedimientos para el almacenamiento que cumplan con las políticas de la organización y requerimientos regulatorios



Se posee un medio de inventario de los archivos almacenados que garantice el acceso a los mismos



Existen políticas de eliminación de archivos software y hardware relacionado



Existen políticas para el respaldo de sistemas, aplicaciones y datos alineados con el plan de continuidad y requerimientos del negocio



Se considera un plan de seguridad para la administración de datos



ME2 Monitorear y evaluar el control interno
Se monitorea de manera continua el ambiente de control de TI



Se monitorean y evalúa la eficiencia y efectividad de la auditoría interna



Se han identificado las excepciones de control y se idéntica claramente sus causantes, además se hacen los reportes a los interesados



Se evalúan los controles de gerencia sobre procesos, políticas y contratos de TI por un programa continuo de autoevaluación



Se evalúan los controles internos por parte de terceros



Se evalúan los controles internos para los servicios externos



Se identifican y realizan correcciones correspondientes a la evaluación de controles, además estos se documentan




Entrevistas 

Las entrevistas consisten en un complemento para las listas de chequeo y consisten esencialmente en la interacción y documentación de las experiencias y justificaciones que brinden los entrevistados acerca de preguntas especificas relacionadas con los objetivos de control de cada proceso del marco de trabajo.

En las entrevistas se deberá constatar con otros entrevistados la veracidad de las versiones anteriormente suministradas. En caso de encontrar inconsistencias se harán las entrevistas adicionales necesarias. El carácter de las entrevistas es formal y se harán de manera aleatoria y sin previo aviso en algunos casos.

Durante la entrevista se deberán solicitar ciertos documentos que corroboren lo que dicen los entrevistados.