Regulación internacional sobre Auditoría informática, riesgos y seguridad en los sistemas de información, por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

La Contabilidad en la Era del Conocimiento
Auditoría informática

1) Auditoría informática

Para verificar si se están aplicando las medidas de control más apropiadas para la salvaguarda e integridad de la información y de los sistemas en prevención de riesgos de fraude, pérdida, manipulación, fallos de servicio, etc., el papel de la auditoría informática es muy importante.

La auditoría informática consiste en una revisión profunda y detallada de todos los elementos de que dispone una empresa en el área de sistemas de información.

Una "Guía de Seguridad Informática"
Ministerio de Administraciones públicas (https://www.ccn-cert.cni.es/index.php?option=com_wrapper&view=wrapper&Itemid=187&lang=es)
Esta publicación del Ministerio de Administraciones Públicas (MAP), recoge los requisitos fundamentales de la seguridad informática, de cara a garantizar la integridad, la confidencialidad y la disponibilidad de los Sistemas de Información.

En su contenido destacan lo siguientes apartados:

Gestión global de la seguridad de la información
Política de seguridad
Organización y planificación de la seguridad
Análisis y gestión de riesgos
Identificación y clasificación de activos a proteger
Salvaguardas ligadas al personal
Seguridad física
Autenticación
Confidencialidad
Integridad
Disponibilidad
Control de acceso
Acceso a través de redes
Firma electrónica
Protección de soportes de información y copias de respaldo
Desarrollo y explotación de sistemas
Gestión y registro de incidencias
Plan de contingencias
Auditoría y control de seguridad

2) Un "Check list" de Auditoría Informática

Para proyectar el desarrollo de la estrategia es necesario elaborar un plan de trabajo que permita medir el alcance de la auditoría en puntos clave y administrar eficientemente los recursos de tiempo personal que sean asignados. [comentario]

Web recomendada: Un ejemplo de Check List de seguridad referido a las páginas web, Guía del Gobierno de Chile: (http://www.guiaweb.gob.cl/guia/checklists/seguridad.htm).

Se documentan las áreas de riesgo examinadas en esta auditoría, como por ejemplo:

PLANIFICACIÓN DE LA AUDITORIA

CENTRO DE CÁLCULO___________________________________

OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________
______________________________________________________
______________________________________________________
______________________________________________________

ALCANCE DEL TRABAJO A REALIZAR (Áreas de Revisión)

Planificación y organización de sistemas.
Seguridad física y lógica
Plan de contingencias y documentación
Origen, captura y validación de datos
Procesamiento y actualización de datos
Salidas, utilización y control de resultados
Integridad y seguridad de los sistemas y de los datos
Terminales y comunicación de datos

AUDITORES ASIGNADOS.
Supervisor_______________________ Senior ________________

Junior_________________________________________________

DURACION ESTIMADA______ Horas____ Días____ Semanas___

FECHA INICIACION______ FECHA TERMINACION_________

Y para cada punto a analizar se dispone de un listado con los objetivos y procedimientos de auditoría. Por ejemplo, para el "sistema de aire acondicionado" los objetivos y procedimientos de auditoría:

C. SISTEMA DE AIRE ACONDICIONADO (TEMPERATURA, FILTRACION Y HUMEDAD)

Objetivo de Auditoría:

Verificar la suficiencia del sistema de aire acondicionado en cuanto a:

Temperatura
Ventilación
Filtración
Humedad
Protección
Respaldo

Procedimientos de Auditoría:

1. ¿Se usa el sistema exclusivamente para el centro de cálculo?

2. ¿Los revestimientos de los conductos y los filtros están hechos en materiales no combustibles?

3. ¿Se suministran reguladores de corrientes de aire contra incendio?

4. ¿El compresor está alejado del centro de cálculo?

5. ¿La torre de enfriamiento está suficientemente protegida?

6. ¿Existe un sistema de aire acondicionado de respaldo?

7. Las tomas de aire:

a. ¿Están cubiertas con mallas protectoras?
b. ¿Están ubicadas a mayor altura que el nivel de la calle?
c. ¿Están ubicadas para evitar que entren elementos contaminan tes o escombros?

3) Regulación internacional sobre Auditoría de Sistemas de Información

En materia de Auditoría de Sistemas de Información existen varias metodologías desde el enfoque de control a nivel internacional. Algunas de las más importantes para los profesionales de la contabilidad y la auditoría son:

ISACA (COBIT)
COSO
AICPA (SAS)
IFAC (NIA)
SAC
MARGERIT
EDP

A) ISACA-COBIT

The Information Systems Audit and Control Foundation, ISACA (http://www.isaca.org). Es la asociación lider en Auditoría de Sistemas, con 23.000 miembros en 100 países.

ISACA propone la metodología COBIT ® (Control Objectives for Information and related Technology). Es un documento realizado en el año de 1996 y revisado posteriormente, dirigido a auditores, administradores y usuarios de sistemas de información, que tiene como objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e integridad de la información financiera y el cumplimiento de las leyes y regulaciones.

COBIT
COBIT (http://www.isaca.org/cobit.htm). Objetivos de Control para la Información y Tecnologías Afines. Está disponible en español el Resumen Ejecutivo, Marco de Referencia, Objetivos de Control, Directrices de Auditoría y Conjunto de Herramientas de Implementación.

El COBIT se desarrolla a través de varios capítulos: planificación y organización, adquisición e implementación, desarrollo, soporte y control.

Planificación y organización

Po1 Definición de un plan estratégico
Po2 Definición de la arquitectura de información
Po3 Determinación de la dirección tecnológica
Po4 Definición de organización y relaciones
Po5 Administración de la inversión
Po6 Comunicación de las políticas
Po7 Administración de los recursos humanos
Po8 Asegurar el cumplimiento con los requerimientos Externos
Po9 Evaluación de riesgos
Po10 Administración de proyectos
Po11 Administración de la calidad

Adquisición e implementación

A11. Identificación de soluciones automatizadas
A12. Adquisición y mantenimiento del software aplicativo
A13. Adquisición y mantenimiento de la infraestructura tecnológica
A14. Desarrollo y mantenimiento de procedimientos
A15. Instalación y aceptación de los sistemas
A16. Administración de los cambios

Prestación y soporte

Ds1. Definición de los niveles de servicios
Ds2. Administrar los servicios de terceros
Ds3. Administrar la capacidad y rendimientos
Ds4. Asegurar el servicio continuo
Ds5. Asegurar la seguridad de los sistemas
Ds6. Entrenamiento a los usuarios
Ds7. Identificar y asignar los costos
Ds8. Asistencia y soporte a los clientes
Ds9. Administración de la configuración
Ds10. Administración de los problemas
Ds11. Administración de los datos
Ds12. Administración de las instalaciones
Ds13. Administración de la operación

Control

M1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnología de la información.
M2. Obtener realización de las evaluaciones independientes

B) COSO

The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO).

Publicado en 1992 hace recomendaciones a los contables de gestión de cómo evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información y comunicación, y el monitoreo.

C) AICPA-SAS

The American Institute of Certified Public Accountants' Consideration of the Internal Control Structure in a Financial Statement Audit (SAS 55), que ha sido modificado por el (SAS 78), 1995.

Da una guía a los auditores externos sobre el impacto del control interno en la planificación y desarrollo de una auditoría de estados financieros de las empresas, presentado como objetivos de control la información financiera, la efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en los componentes de ambiente de control, valoración de riesgo, actividades de control, información, comunicación y monitoreo.

Systrust, la respuesta de AICPA y the Canadian Institute of Chartered Accountants (CICA)

Systrust (http://www.aicpa.org/INTERESTAREAS/INFORMATIONTECHNOLOGY/RESOURCES/TRUSTSERVICES/Pages/default.aspx) es un producto lanzado por AICPA y CICA para que los CPA (Contables colegiados) asesoren en temas de auditoría informática.

"SysTrustTM Principles and Criteria for Systems Reliability" utiliza los siguientes cuatro principios para evaluar si un sistema de información es fiable:

Disponibilidad
Seguridad
Integridad
Que se puede mantener

D) IFAC-NIA

La Federación Internacional de Contables IFAC (http://www.ifac.org) emitió las Normas Internacionales de Auditoría NIA 15, 16 y 20 en 1991.

IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una referencia de controles para procesamiento electrónico de datos y la necesidad de estos cuando estamos en ambientes donde los instrumentos tradicionales del papel y demás pistas de auditoría no son visibles para los contables en el momento de realizar su trabajo.

La NIA 16 (Técnicas de Auditoría Asistida por Computador) describe técnicas y procedimientos de auditoría que se pueden hacer en entornos informatizados con ayuda de los computadores y otras tecnologías.

La NIA 20 nos presenta los efectos de un entorno informatizado en la evaluación de sistemas de información contables. Junto con las demás normas dan una guía al auditor de los controles en general a tener en cuenta en un ambiente informatizado y en las aplicaciones que procesan la información, así como técnicas de auditoría asistidas por computador y su importancia.

Para aprender más: Descargue en IFAC el documento en pdf "Information Security Governance": (http://www.ifac.org/Members/DownLoads/Info_Security_final.pdf_1.pdf)

E) SAC

The Institute of Internal Auditors Research Foundation's Systems Auditability and Control (SAC).

Realizado en 1991 y revisado posteriormente. Ofrece una guía de estándares y controles para los auditores internos en el área de auditoría de sistemas de información y tecnología. Tiene como objetivos de control la efectividad y eficiencia de las operaciones, la integridad de la información financiera y el cumplimiento de normas y regulaciones que explica en el ambiente de control, sistemas manuales y automatizados y procedimientos de control.

F) MARGERIT

Consejo superior de informática del ministerio de administraciones públicas de España MARGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). 1997

Es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el consejo superior de informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información, esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

G) EDP

La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carácter educativo e investigativo en los temas sobre estándares para la auditoría de los sistemas de información.

Esta fundación ha investigado sobre controles en los sistemas de información, generando los diez estándares generales de auditoría de sistemas y el código de ética para los auditores de sistemas que relacionamos a continuación.

Citar como: Serrano Cinca C. (2011): "Riesgos y seguridad en los sistemas de información", [en línea] 5campus.org, Sistemas Informativos Contables <http://www.5campus.org/leccion/buscar> [y añadir fecha consulta]	[Índice]