12-Auditoria de Sistemas

1
Auditora de Sistemas Informticos
AUDITORA
AUDITORA
AUDITORA DE
SISTEMAS
INFORMTICOS
AUDITORA
Marco normativo
Estndares
Proyectos de Auditora
Desafos de la Auditora de TI
Casos prcticos
Marco Normativo
AUDITORA
SDG AUI
SDG SIT (TI)
SIGEN
DI AUOC
SDG SIT- cuenta con sus

propias regulaciones
DE AUSI
Referencias:
- SDG AUI: Sub. Gral. de Auditora Interna.

- DI AUOC: Dir. Auditora de Operaciones Centrales.
- DE AUSI: Dep. Auditora de Sistemas Informticos.
- SDG SIT: Sub. Gral. de Sistemas y Telecomunicaciones.
Marco Normativo
Resolucin 152/02 (SIGEN)
Resolucin 48/05 (SIGEN)
AUDITORA
Marco Normativo RG 152/02 (SIGEN)
AUDITORA
Resolucin 152/02 (SIGEN):

Instaura un cuerpo de Normas de
Auditora Interna Gubernamental.
Adopta los conceptos de la Normas

Internacionales para el Ejercicio
Profesional de la Auditora Interna.
Incluye tareas especificas para las
Auditoras de Sistemas Informticos.
AUDITORA
Objetivos de Control Interno para TI

Ciclo de vida para el desarrollo y
mantenimiento de software.
Calidad y atributos de la informacin
electrnica.
Documentacin de Sistemas.
Controles incorporados a las
aplicaciones desarrolladas.
Planes de continuidad y contingencia de
negocios.
Plan de capacitacin continua de
usuarios.
Nivel de satisfaccin.
AUDITORA
Resolucin 48/05 (SIGEN):
NORMAS DE CONTROL INTERNO

PARA TECNOLOGA DE LA
INFORMACIN DEL SECTOR
PBLICO NACIONAL.
Vigente desde el ao 2005.
AUDITORA
Destinatarios:
Responsables de los organismos.

Responsables informticos.
Auditores.
AUDITORA
Objetivos de Control Interno: Se incluyen

pautas sobre aspectos especificos de TI
Organizacin Informtica.
Plan Estratgico de TI.
Arquitectura de la Informacin.
Polticas y Procedimientos.
Cumplimiento de Regulaciones Externas.
Administracin de Proyectos.
Desarrollo, Mantenimiento o Adquisicin
de Software de Aplicacin.
Adquisicin y Mantenimiento de la
Infraestructura Tecnolgica.
Seguridad Informtica.
AUDITORA
AUDITORA
Ventajas:
Establece un marco de control

homogeneo.
Resumen de Buenas Prcticas
Estndares
AUDITORA
COBIT
ISO 17799
COBIT (Control
Objectives for
Information and
Related
Technology).
Se compone de 34
procesos de alto
nivel y 210
objetivos de
control.
Cdigo de Prctica
para la
Administracin de
la Seguridad de la
Informacin.
Estndares - COBIT
AUDITORA
OBJETIVOS DE NEGOCIO
en Tecnologa de
Informacin
GOBIERNO DE TI
Dominios de
Control
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
MONITOREO
RECURSOS DE TI
PLANEACIN Y
ORGANIZACIN
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ENTREGA Y
SOPORTE
ADQUISICION E
IMPLANTACION
Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders//COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf
Estndares - COBIT
AUDITORA
Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders
/COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf
Estndares - Mapping
Res. 48/05 SGN
1 - Organizacin Informtica
2 - Plan Estratgico de TI
3 - Arquitectura de la Informacin
4 - Polticas y Procedimientos
5 - Cumplimiento de Regulaciones Externas
6 - Administracin de Proyectos
7 - Desarrollo, Mantenimiento o Adquisicin de
Software de Aplicacin
8 - Adquisicin y Mantenimiento de la
Infraestructura Tecnolgica
9 - Seguridad
10 - Servicios de Procesamiento y/o soporte
Prestado por Terceros
11 - Servicios de Internet / Extranet / Intranet
12 Monitoreo de los Procesos
13 Auditora Interna de Sistemas
AUDITORA
CobiT
PO Planificacion y Organizacin
PO Planificacion y Organizacin
PO2 Definicin de la estructura de la Informacin
P06 Comunicacin de los objetivos y directivas de la
gerencia
PO7 Garantia del cumplimiento de los requisitos
internos
PO10 Administracin de proyectos.
AI2 Adquirir y mantener el software aplicativo
AI3 - Adquisicin y Mantenimiento de la
Infraestructura Tecnolgica
PO6.8 Poltica marco de seguridad y Ctrol Interno
AI.5 Adquirir recursos de TI
AI3 - Adquirir y mantener infraestructura tecnolgica
M1 Monitoreo de los Procesos
M4 Provisin de auditora independiente
Estndares
AUDITORA
Proceso de adopcin de COBIT:

2005 Creacin de grupo mixto Auditora
+ TI.
2006 Talleres conjuntos en ISACA
(Arg).
2007 Inclusin de Objetivos COBIT en
la programacin de auditoras.
2008 Adquisicin de producto GRC para
administracin de riesgos.
2009 Primeras auditoras evaluando
procesos y riesgos con perspectiva GRC.
Proyectos de Auditoras
AUDITORA
En la actualidad en el Departamento DE
AUSI se practican:
Auditorias de gestin de TI (basadas en CobiT).
Auditorias de sistemas aplicativos y bases de
datos.
Auditorias de revisin limitada (objetivo puntual y
acotado en alcance).
Auditorias forenses
denunciados).
(verificaciones
de
hechos
Auditorias de seguridad
Test de penetracin y anlisis de vulnerabilidades
Seguridad en accesos
Seguridad fsica
Cumplimiento de las Polticas de Seguridad de la Informacin de

AFIP
Desafios de la Auditora de TI
AUDITORA
Desafios de la Auditora de TI:

Ambiente auditado altamente dinmico
provocado por cambios tecnolgicos
continuos.
Necesidad de capacitacin en ltimas
tendencias tecnolgicas.
Alta interrelacin entre aplicaciones.
Compleja trazabilidad motivada por la
diversidad de plataformas.
Necesidad de contar con personal con
distintos perfiles y visiones profesionales.
Programas diferentes para igual objetivo de
control.
Casos Prcticos
AUDITORA
Marco normativo rea de TI
CASO 1. Auditora de desarrollo y

mantenimiento de sistemas.
CASO 2. Auditoria de compras y

contrataciones.
Marco Normativo rea de TI
AUDITORA
Disposicin N76/05 AFIP Manual de Polticas de Seguridad de la

Informacin (Parte pertinente con el objeto auditado).
Establece
mbito de aplicacin
Destinatarios
Definir una apropiada segregacin de

funciones y separacin de ambientes, a fin
de no comprometer a la seguridad de la
informacin.
Introduce los conceptos de ambientes de
desarrollo, prueba y homologacin.
Regula las responsabilidades de las reas
definidoras, homologacin, control de
calidad y Seguridad.
Todos los recursos informticos de la AFIP.
Las reas responsables del desarrollo,
control de calidad, homologacin y puesta
en produccin de sistemas informticos
(SLDC).
El oficial de seguridad informtica
participa en la definicin de las pautas de
seguridad que debe cumplir los sistemas
desarrollados segn el entorno de
operativo.
Las reas responsables de la contratacin
de sistemas programas a medida.
AUDITORA
Instruccin General N 2/05 (SDG SIT) y Anexos Pautas para el desarrollo y

mantenimiento de sistemas informticos en la AFIP.
Objetivo
Establece
Definir pautas y documentacin

entregable para el proceso de
desarrollo y mantenimiento de
sistemas que se realice dentro del
mbito de la SDG SIT.
Las etapas del ciclo de vida de las

aplicaciones.
Roles y responsabilidades.
Contenidos minimos de la
documentacin y/o entregables de
cada etapa.
Vigente desde el 2005
AUDITORA
Ejemplos de contenidos mnimos

En la Fase de Definicin se utiliza el documento REQ Requerimiento de Sistemas
Objetivo: Formalizar la necesidad de desarrollo o mantenimiento de sistema que realiza un rea,
indicando prioridades y la justificacin del pedido.
Responsables: Este documento debe ser aprobado por el Responsable del rea Definidora.
Contenido mnimo requerido:
Solicitud del requerimiento: Datos del rea Definidora, Descripcin, Alcance, Beneficios y
Restricciones, Impacto, Asignacin de prioridad, Fecha requerida de puesta en produccin.
Recepcin del requerimiento: Datos del rea Informtica, Objetivo (nuevo desarrollo de
sistemas y/o mantenimiento).
En la Fase de Implementacin se utiliza el DAP - Documento de Pase a Produccin
Objetivo: Especificar la puesta efectiva en produccin del sistema
Responsables: Este documento debe ser aprobado por el Responsable del rea de Control de
Calidad.
Contenido mnimo requerido:
Fecha de Puesta en Produccin.
Procedimientos para verificar el buen funcionamiento del software en los aspectos operativos
y de negocio (criterios de xito).
Mecanismos de recuperacin ante cadas en operacin.
Procedimientos de restauracin de versiones anteriores.
CASO 1
AUDITORA
Caso 1 - Auditora de Desarrollo y Mantenimiento de

Sistemas.
Objeto de la auditora
Alcance
Evaluar los procedimientos o metodologas utilizadas en las actividades de

sistemas.
Relevar y analizar el cumplimiento de

la normativa aplicable y las actividades
de control relativos al proceso de
sistemas, con cada una de las reas
intervinientes en el proceso.
Disposicin N76/05 AFIP Manual de

Polticas de Seguridad de la Informacin
(Parte pertinente con el objeto auditado).
Marco Normativo
IG. N 2/05 (SDG SIT) y Anexos Pautas

para el desarrollo y mantenimiento de
sistemas informticos en la AFIP.
CASO 1
AUDITORA
CARACTERISTICAS DEL ENTORNO A AUDITAR:

No existen en la AFIP una unica rea de desarrollo, sino
seis (6). Una por cada unidad de negocio y todas
dependen de la SDG SIT.
Diversas reas definidoras y/o solicitantes de

requerimientos.
Diversidad de lenguajes y entornos de produccin.
La dotacin es de ms 600 personas
Aplicativos cedidos a otros Organismos.
SDG SIT
Direccin de Informtica Tributara

Direccin de Informtica de Fiscalizacin
Dep. Informtica de Administracin
Direccin de Informtica Aduanera
Dir. De Inf. Rec. de la Seguridad Social
Dep. Informtica Jurdica y Colaborativa
CASO 1
AUDITORA
PLANIFICACIN DE LA AUDITORA:
El programa de auditora se bas en el estndar COBIT y
se adapt a las particularidades de la AFIP.
Constitucin de varios equipos de trabajo.
Se ejecutaron en dos (2) auditoras
La primer auditora abarco 3 reas de desarrollo y la
segunda incluyo a las reas de desarrollo restantes, ms
las reas de soporte y definidoras.
CASO 1
AUDITORA
EJECUCIN DEL CASO 1:

Elaboracin de cuestionarios.
Entrevistas.
Visualizacin.
Seleccin de muestra de los sistemas crticos.
Anlisis de log / Revisin de accesos, permiso y
usuarios.
CASO 1
AUDITORA
Cmo se evalu la Disp 76/05 AFIP?:

Se analiz la segregacin de funciones desde distintos
aspectos:
a) Estructura Orgnica.
- Se encuentran definidas las reas de desarrollo, de calidad,
y de homologacin en la estructura del Organismo?
- Funcionan independiente y responden a distintas jefaturas?
b) Ambientes.
- Los tareas desarrollo, control de calidad y homologacin se
realizan en distintos equipos y/o los ambientes son
independientes?
- Los usuarios de cada entorno responden al rol y la funcin
del agente.?
CASO 1
AUDITORA
Cmo se evalu la IG. 02/05 SDG SIT?:

Se analiz el cumplimiento de la normativa mediante la
solicitud y evaluacin de la calidad de la documentacin
de los sistemas crticos seleccionados, dando especial
importancia a los siguientes aspectos:
a) Participacin del rea definidora en los proyectos de
nuevos desarrollos.
b) Los controles en las etapas del ciclo de vida.
c) La conformidad de las reas de calidad.
CASO 1
AUDITORA
PRESENTACIN DE RESULTADOS:
Trabajo de Campo
PAPEL DE TRABAJO
(MT)
Observacin
Entrevista de
Cierre
- Aprobacin
del auditor -
Informe Preliminar
-IP-
Informe de Auditora
Interna
-IAI-
AUDITORA CONJUNTA
Definicin
Caractersticas
AUDITORA
Las AUDITORAS CONJUNTAS son

actividades que tienen por objetivo
dar una opinin integral por parte
de la UAI.
Informe Consolidado.
Los destinarios son las reas
auditadas.
Se consolida con los informes
tcnicos o complementarias de otras
reas de la UAI.
Informe Tcnico Complementario.
Los destinatarios son las reas de la
UAI que consolidan.
Emitir una opinin especializada (Ej.
Opinin tcnica informtica o legal
sobre un proceso contable).
CASO 2
AUDITORA
Caso 2 - Auditora de gestin de compras y contraciones

de tecnologa.
Objeto de la
auditora Conjunta
Objetivo General
Evaluar la gestin de la SDG SIT, con
relacin al proceso de compras y
contrataciones.
Objetivo DE AUGR
Evaluar el cumplimiento del Manual de
Contrataciones y la normativa vigente.
Objetivo DE AUSI
Evaluar la razonabilidad tcnica y
econmica de las decisiones de compras
efectuadas por el rea de TI.
Alcance
Perodo diciembre de 2007 a abril de 2008
Marco Normativo
Disposicin N65/05 (SDG ADF) - Rgimen

Genaral para Contrataciones de Bienes,
Servicios y Obras Pblicas. Manual de
Contrataciones.
CASO 2
AUDITORA
Parmetros de evaluacin DE AUSI:

Anlisis del requerimiento de adquisicin (Dependencia
tecnologca, compromiso econmico, riesgos).
Evaluacin del detalle documental que avala la necesidad
de adquisicin.
La adquisicin se alinea con los objetivos estratgicos de
la AFIP.
Deteccin de situaciones fuera de trminos Incumplimiento Normativo-.
Intervencin de la ONTI -Oficina Nacional de Tecnologa
de Informacin- sobre el cumplimiento de ETAP
(Estandares Tecnologicos para la Administracin Pblica)
CASO 2
AUDITORA
Tareas de Colaboracin:
Extraccin de informacin de las base de datos de los
sistemas informticos usados en la gestin de compras.
Seleccin de muestra.
Anlisis estadstico de la muestra.
CASO 2
AUDITORA
Resultado:
A una auditora de cumplimiento normativo, se la
enriqueci con una perspectiva tcnica y econmica de
las decisiones de compras efectuadas por el rea de TI.
A partir de la auditora, se elev el estandard de
requerimiento documental necesario para justificar una
compra/contratacin de tecnologa.
AUDITORA
AUDITORA

12-Auditoria de Sistemas

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

12-Auditoria de Sistemas

Uploaded by

Copyright:

Available Formats

1

Auditora de Sistemas Informticos

Auditora de Sistemas Informticos

Auditora de Sistemas Informticos

SDG SIT- cuenta con sus

- SDG AUI: Sub. Gral. de Auditora Interna.

Auditora de Sistemas Informticos

Resolucin 152/02 (SIGEN)

Resolucin 48/05 (SIGEN)

Auditora de Sistemas Informticos

Marco Normativo RG 152/02 (SIGEN)

Resolucin 152/02 (SIGEN):

Adopta los conceptos de la Normas

Auditora de Sistemas Informticos

Marco Normativo RG 152/02 (SIGEN)

Objetivos de Control Interno para TI

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

Resolucin 48/05 (SIGEN):

NORMAS DE CONTROL INTERNO

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

Responsables de los organismos.

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

Objetivos de Control Interno: Se incluyen

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

Auditora de Sistemas Informticos

Marco Normativo RG 48/05 (SIGEN)

Establece un marco de control

Auditora de Sistemas Informticos

Auditora de Sistemas Informticos

Auditora de Sistemas Informticos

Auditora de Sistemas Informticos

Res. 48/05 SGN

Auditora de Sistemas Informticos

Proceso de adopcin de COBIT:

Auditora de Sistemas Informticos

Cumplimiento de las Polticas de Seguridad de la Informacin de

Auditora de Sistemas Informticos

Desafios de la Auditora de TI:

Auditora de Sistemas Informticos

Marco normativo rea de TI

CASO 1. Auditora de desarrollo y

CASO 2. Auditoria de compras y

Auditora de Sistemas Informticos

Marco Normativo rea de TI

Disposicin N76/05 AFIP Manual de Polticas de Seguridad de la

Definir una apropiada segregacin de

Auditora de Sistemas Informticos

Marco Normativo rea de TI

Instruccin General N 2/05 (SDG SIT) y Anexos Pautas para el desarrollo y

Definir pautas y documentacin

Las etapas del ciclo de vida de las

Auditora de Sistemas Informticos

Marco Normativo rea de TI

Ejemplos de contenidos mnimos

Auditora de Sistemas Informticos

Caso 1 - Auditora de Desarrollo y Mantenimiento de

Evaluar los procedimientos o metodologas utilizadas en las actividades de

Relevar y analizar el cumplimiento de

Disposicin N76/05 AFIP Manual de