domingo, 10 de marzo de 2013
1.0 INTRODUCCIÓN
Marco
legislativo destacado:
- · Sistema Integrado de Gestión de la Seguridad (SGSI).
- · Ley Orgánica de Protección de Datos (LOPD), que desarrolla la anterior Ley de Protección de Datos (LORTAD).
- · Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
También
destacar los sistemas de comercio electrónico, tanto entre organizaciones
(B2B), como orientada a clientes finales (B2C).
1.1 LAS FUNCIONES DE CONTROL INTERNO Y
AUDITORÍA INFORMÁTICA.
1.1.1 Control Interno Informático.
Control: actividad realizada
manual o automáticamente para prevenir, corregir errores o irregulares que
puedan afectar al funcionamiento de un sistema a la hora de conseguir sus
objetivos.
El
Control Interno Informático controla diariamente que todas las actividades de los
sistemas de información sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la Dirección de la Organización y/o la
Dirección de Informática, así como los requerimientos legales.
La
misión del Control Interno Informático es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y
válidas.
El
control es diario o muy frecuente cuyos principales objetivos son:
·
Definir, implantar y
ejecutar mecanismos y controles para comprobar el logro de los grados adecuados
del servicio informático.
·
Ver que todo se hace
según los procedimientos internos y normas legales: se debe controlar
que todas las actividades se realizan cumpliendo con los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
·
Asesorar sobre el
conocimiento de las normas al resto de la organización.
·
Colaborar y apoyar al
trabajo de la Auditoría Informática, así como de las auditorías externas al
Grupo.
Esto se
hace con diferentes pruebas y controles (sistemas de control interno
informático). Además, se debe realizar en los diferentes sistemas y entornos
informáticos el control de las diferentes actividades operativa sobre:
·
El
cumplimiento de procedimientos, normas y controles dictados.
·
Controles:
o
Sobre
la producción diaria.
o
Sobre
la calidad y eficiencia del desarrollo y mantenimiento del software y del
servicio informático.
o
En
las redes de comunicaciones
o
Sobre
el software de base.
o
En
los sistemas microinformáticos.
·
La
seguridad informática.
·
Licencias
y relaciones contractuales con terceros.
·
Asesor
y transmitir cultura sobre el riesgo informático.
La
auditoría suele acometerse con personal interno e informa la Dirección del
Departamento de Informática.
1.1.2. Auditoria Informática.
Auditoría: opinión
profesional, sustentada en determinados procedimientos, sobre si el objeto
sometido a análisis (normalmente con datos obtenidos sobre él) refleja y/o
cumple las condiciones que le han sido prescritas (fiabilidad).
La
Auditoría informática es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene
la integridad de los datos, lleva al cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos.
La
Auditoría Informática es puntual, cuyos principales objetivos son:
Objetivos
de protección de activos y datos, e integridad de los datos.
Objetivos
de gestión sobre la eficacia y eficiencia de los procesos, así como de la
utilidad, fiabilidad e integridad de los equipos e información.
El
auditor es responsable de revisar e informar a la Dirección de la Organización
sobre el diseño y el funcionamiento de los controles implantados. Y sobre la
fiabilidad de la información suministrada.
Se
puede establecer tres grupos de funciones a realizar por un auditor
informático:
1.
Participar
en las revisiones durante y diseño.
2.
Revisar
y juzgar los controles implantados en los sistemas informáticos para verificar
su adecuación a las órdenes e instrucciones de la Dirección, así como
requisitos legales, protección de confidencialidad y cobertura ante errores y
fraudes.
3.
Revisar
y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los
equipos y de la información.
La
auditoría suele acometerse con personal externo, además del posible personal
interno. E informa la Dirección del Departamento de Informática.
1.1.3. Control Interno y Auditoria Informática.
Similitudes:
Lo puede acometer personal interno; conocimientos especializados en TI;
verificación del cumplimiento de controles internos, normativas, y
procedimientos establecidos por la Dirección de Informática y la Dirección
General para los sistemas de información.
La implantación de una
política y cultura sobre la seguridad, requiere que sea realizada por fases,
como se puede ver en la siguiente figura, y esté respaldada por la Dirección.
CONTROL INTERNO INFORMATICO
|
AUDITOR INFORMÁTICO
|
|
DIFERENCIAS
|
1.-
Análisis de los controles en el día a día.
2.-
Informa a la Dirección del Departamento de Informática.
3.- Solo
persona interno.
4.- El
alcance de sus funciones es únicamente sobre el Departamento de
Informática.
|
1.-
Análisis en un momento determinado
2.-
Informa a la Dirección General de la Organización.
3.-
Tanto personal interno como externo.
4.- El
alcance de sus funciones tiene cobertura sobre todos los componentes de
los sistemas de información de la Organización.
|
1.2
SISTEMAS DE CONTROL INTERNO INFORMÁTICO.
1.2.1. Definición y tipos de controles
internos.
Los
controles cuando se diseñen, desarrollen e implanten han de ser al menos
completos, simples, fiables, revisables, adecuados y rentables.
Normalmente,
estos controles son automáticos, aunque sus resultados se revisan de forma
manual.
Los
objetivos de los controles informáticos se han clasificados en las siguientes
categorías:
·
Controles
preventivos: controles para tratar de evitar un hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.
·
Controles
detectivos: controles para cuando fallan los controles preventivos, se de
tratar de conocer cuanto antes el evento.
·
Controles
correctivos: controles que facilitan la vuelta a la normalidad cuando se ha
producido incidencias (por ejemplo, copias de seguridad).
Se
deben definir objetivos de control y métodos de control interno, por ejemplo;
como objetivo tenemos “seguridad de acceso” y el método de control en este caso
será “identificación de usuarios”. Las relaciones no siempre son uno a uno.
Y
existen diversos objetivos de control como:
Ø Objetivo de Control
de mantenimiento
Ø Objetivo de Control
de seguridad de programas.
1.2.2. Implantación de un sistema de
controles internos informáticos.
Los
controles pueden implantarse a varios niveles diferentes.
Para
llegar a conocer la configuración del sistema es necesario documentar los
detalles de la red, así como los distintos niveles de control y elementos
relacionados. Por tanto, se debe conocer a fondo y documentar:
·
Entorno
de red.
·
Configuración
del ordenador/es central/es (hots).
·
Entorno
de aplicaciones.
·
Productos
y herramientas de desarrollo de software.
·
Seguridad
(en especial del ordenador central y bases de datos).
Para la
implantación de un sistema de controles internos informáticos habrá que definir
objetivos, métodos y política de control para:
·
Gestión
de sistemas de información: a través de políticas, pautas y normas técnicas que
sirvan de base para el diseño y la implantación de los sistemas de información
y de los controles correspondientes.
·
Administración
de sistemas.: a través de controles sobre la actividad de los centros de datos
y otras funciones de apoyo al sistema, incluyendo la administración de las
redes.
·
Seguridad:
que debe incluir las tres clases de controles fundamentales implantados en el
software del sistema, como integridad
del sistema, confidencialidad
(control de acceso) y disponibilidad.
·
Gestión
de cambio: separación de las pruebas y la producción a nivel de software y controles
de procedimientos, para la migración de programas software aprobados y
probados.
Cada
función juega un papel importante en las distintas etapas que son, básicamente,
las siguientes:
·
Dirección de Negocio o Dirección de Sistemas de
Información (S.I.): han de definir la política y/o directrices para los
sistemas de información en base a las exigencias del negocio, que podrán ser
internas o externas.
·
Dirección de Informática: ha de definir las
normas de funcionamiento del entorno informático y de cada una de las funciones
de informática mediante la creación y publicación de procedimientos,
estándares, metodología y normas, aplicables a todas las áreas de informática,
así como a los usuarios que establezcan el marco de funcionamiento.
·
Control Interno Informático: ha de definir los
diferentes controles periódicos a realizar encada una de las funciones
informáticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser
diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable
(estos se plasmarán en los oportunos procedimientos de control interno y podrán
ser preventivos o de detección). Realizará periódicamente la revisión de los
controles establecidos de Control Interno Informático, informando de las
desviaciones a la Dirección de Informática y sugiriendo cuantos cambios crea
convenientes en los controles.
·
Auditor interno/externo informático: ha de revisar los
diferentes controles internos definidos en cada una de las funciones
informáticas y el cumplimiento de la normativa interna y externa, de acuerdo al
nivel de riesgo y conforme a los objetivos definidos por la Dirección de
Negocio y la Dirección de Informática. Informará también a la Alta Dirección,
de los hechos observados y al detectarse deficiencias o ausencias de controles
recomendarán acciones que minimicen los riesgos que pueden originarse.
d
La
creación de un sistema de control informático es una responsabilidad de la
Gerencia y un punto destacable de la política en el entorno informático.
A
continuación algunos controles internos,
agrupados por secciones funcionales, y que serían los que el Control
Interno Informático y la Auditoría Informática deberían verificar para
determinar su cumplimiento y validez:
1.
Control generales organizativos: engloba una serie
de elementos, tales como:
a.
Políticas
generales.
b.
Planificación
(plan estratégico de información, plan informático, plan general de seguridad y
plan de emergencia ante desastres).
c.
Estándares de adquisición.
d.
Procedimientos.
e.
Organizar
el departamento de informática.
f.
Descripción
de las funciones y responsabilidades dentro del departamento.
g.
Políticas
de personal.
h.
Asignación
de funciones y responsabilidades.
i.
Asegurar
que la dirección revisa todos los informes de control y resuelve las excepciones
que ocurran.
j.
Asegurar
que existe una política de clasificación de la información.
k.
Designar
oficialmente la figura del Control Interno Informático y de la Auditoría Informática
2.
Controles sobre desarrollo, adquisición y mantenimiento
de sistemas de información: se utilizan para que se puedan alcanzar la
eficacia del sistema, economía y eficiencia, integridad de los datos,
protección de los recursos y cumplimiento con las leyes y regulaciones. Se
compone de:
a.
Metodología
del ciclo de vida del desarrollo de sistemas (como especificaciones, estándares
de pruebas, pases a producción, roll-back, etc).
b.
Explotación
y mantenimiento.
3.
Controles sobre la explotación de los sistemas de
información:
consta de
a.
Planificación
y gestión de recursos.
b.
Presencia
de personal en momentos críticos (calendario personal).
c.
Reparto
de costes informáticos a la organización.
d.
Controles
propios (por ejemplo, accesos muy restringidos al host).
e.
Revisiones
técnicas preceptivas.
f.
Controles
para usar de manera efectiva los recursos en ordenadores.
g.
Procedimientos
de selección del software del sistema, de instalación, de mantenimiento, de
seguridad y de control de cambios.
h.
Seguridad
física y lógica (como definir un grupo de seguridad de la información,
controles físicos, formación y concienciación de procedimientos de seguridad, seguridad
contra incendios/inundaciones, control de acceso restringido, normas que
regulen el acceso a los recursos informáticos, existencia de un plan de contingencias,
etc).
4.
Controles sobre las aplicaciones: cada aplicación debe
llevar controles incorporados para garantizar la entrada, actualización, y
mantenimiento de los datos:
a.
Control
de entrada de datos (validaciones, conversiones, formatos, procedencias).
b.
Controles
de tratamiento de datos (sobre usos no previstos).
c.
Controles
de salida de datos (ídem entrada+seguridad).
5.
Controles específicos de ciertas tecnologías:
a.
Controles
en Sistemas de Gestión de Bases de Datos.
b.
Controles
en informática distribuida y redes.
c.
Controles
sobre ordenadores personales (ofimática) y redes de área local.
d.
Controles
conexiones OPEN <-> HOST.
6.
Controles de Calidad.
a.
Existencia
de un Plan General de Calidad basado en el Plan de la Entidad a Largo Plazo, y
el Plan a Largo Plazo de Tecnología.
b.
Esquema
General de Garantía de Calidad: debe abordar todos los ámbitos empresariales,
no sólo la Informática y las TI.
c.
Compatibilidad
de la revisión de Garantía de Calidad con las normas y procedimientos
habituales en las distintas funciones de Informática.
d.
Metodología
de Desarrollo de Sistemas.
e.
Actualización
de la Metodología de Desarrollo de Sistemas respecto a cambios en la
tecnología.
f.
Coordinación
y comunicación.
g.
Relaciones
con proveedores que desarrollan sistemas.
h.
Normas
de documentación de programas.
i.
Normas
de pruebas de programas.
j.
Normas
respecto a la Prueba de Sistemas,
k.
Pruebas
piloto o en paralelo.
l.
Documentación
de las pruebas de sistemas.
m.
Evaluación
del cumplimiento de garantía de Calidad de las Normas de Desarrollo.
1.3 CONCLUSIÓN.
Es necesaria
la existencia de un control interno informático como herramienta de una
adecuada gestión de los SI.
El
sistema de control interno informático será más eficiente en una organización
inmersa en tecnología cuando se le dote de herramientas modernas de
supervisión. Esto ayuda a que la organización logre adecuados niveles de
excelencia en la custodia y aprovechamiento de su información.
En
definitiva, el papel actual del auditor informático dentro de las
organizaciones lo podemos resumir en dos grandes tareas principales:
a)
Apoyo
al auditor interno, en la definición y aplicación de controles internos sobre
los procesos de negocio, estratégicos y de soporte de la Organización, en tanto
que gran parte de los mismos se aplican desde sus sistemas de información.
b)
Auditoría
de la gestión de los sistemas de información.
