Guía de estudio Gestión digital PDF
Document Details
Uploaded by FastAlpenhorn
Merthyr College
Tags
Summary
Este documento es una guía de estudio sobre gestión digital, enfocándose en la auditoría informática y su rol en las organizaciones. Cubre temas como la introducción y objetivos de la auditoría, el rol del auditor informático, la definición de activos y la gestión de riesgos.
Full Transcript
Gestión Tecnológica Tema 1 La auditoría informática 1.1. Introducción y objetivos La auditoría informática es una de las herramientas que más utilizan los directores TI para asegurarse que el funcionamiento de los sistemas de información de la organización y la seguridad de sus informaciones están g...
Gestión Tecnológica Tema 1 La auditoría informática 1.1. Introducción y objetivos La auditoría informática es una de las herramientas que más utilizan los directores TI para asegurarse que el funcionamiento de los sistemas de información de la organización y la seguridad de sus informaciones están garantizados. Precisan comprobar que los procesos de las organizaciones TI se están desarrollando de acuerdo con las normas establecidas por la dirección y así detectar posibles desviaciones. 1.2. El rol de la auditoría informática El sistema de información es un conjunto de procesos (manuales o automáticos), personas, datos y actividades que procesan la información en una determinada empresa, el auditor informático focalizará su atención en los activos de estos sistemas de información. La International Standard Organization (ISO) a través de su norma ISO/IEC 13335-1:2004 define activo como: «Algo que tiene valor para la organización» Para comprobar que se protegen los activos los auditores analizarán que en los sistemas de información implantados en una organización se cumple que: Se salvaguarda la propiedad de la información Se mantiene la integridad de los datos Se garantiza la confidencialidad de la información Se asegura la disponibilidad de la información Se cumple con eficacia los objetivos de la organización y se emplean sus recursos con eficiencia. Para alcanzar con garantía la eficacia y eficiencia requerida, los sistemas de información deben cumplir con unos requisitos. Los requisitos por cumplir son: Planificación: La incorporación de un nuevo sistema de información debe planificar su integración con el resto de sistemas dentro del plan TIC de la organización, evitando quedar como un sistema aislado. Controles: Que mediante mediciones aseguren la eficacia y eficiencia de los sistemas de información, y que permita actuaciones de mejora. Procedimientos: preciso establecer un conjunto de procesos y procedimientos que delimite el uso de los sistemas de información. 1 Gestión Tecnológica Tema 9. Ideas clave Estándares: Se desarrollará y se gestionará basándose en estándares internacionales reconocidos. Sistemas de seguridad: Confidencialidad, integridad y disponibilidad (CID). Auditor informático que será el profesional que comprende toda la lógica y los procedimientos que, ocultos al auditor tradicional, vienen ejecutando los sistemas de información. Países como Estados Unidos, Reino Unido y Australia son los pioneros en esta labor, ISACA (Information Systems Audit and Control Association) ante la necesidad de divulgar los conceptos y conocimientos relevantes en el ámbito del gobierno TI funda, en 1998, el ITGI (Information Technology Governance Institute), que es quién desarrolla nuevas normas y documentación referente para todo director o gestor de TI. 1.3. Definición y características de la auditoría informática Definición de auditoría informática Piattini y del Peso (2008), en su libro Auditoría de tecnología y sistemas de información, definen auditoría informática como: «El proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos». Del departamento de auditoría de la Universidad de Sudáfrica expone en su web (www.unisa.ac.za) que: «La auditoría informática es un proceso lógico y sistemático que sigue una aproximación basada en riesgos para determinar si los sistemas de información de una organización, incluyendo sus complejos procesos, controles y actividades TI, alcanzarán sus objetivos TI y permitirán a la organización lograr sus objetivos estratégicos». Por su parte ISACA, define a la auditoría de tecnologías de la información (TI) como «Una auditoría de los sistemas organizacionales TI, de sus operaciones y de los procesos de control relacionados, que puede ejecutarse en conexión con otras auditorias, bien financieras, selectivas o temáticas». Se propone como definición completa la que dice que: «La auditoría informática es la evaluación de la infraestructura, políticas y operaciones tecnológicas presentes en una organización TI. Se considera como un proceso de recolección y evaluación de evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos y permite que los objetivos estratégicos se alcancen de forma eficaz y con un uso eficiente de los recursos». Piattini y del Peso (2008), nos indican algunos de los calificativos que reciben las evidencias: Evidencia relevante: Presenta una relación lógica con los objetivos de la auditoría. Evidencia fiable: Demuestra confianza en la evidencia y por tanto se considera válida y objetiva. 2 Gestión Tecnológica Tema 9. Ideas clave Evidencia suficiente: Se valoran de forma cuantitativa y permiten soportar las conclusiones del auditor. Evidencia adecuada: en este caso son cualitativas, pero también se emplean para soportar las conclusiones del auditor. ISACA publicó en el año 2016 en su documento Information Systems Auditing: Tools and Techniques: Creating Audit Programs (ISACA, 2016), los atributos que debería tener cada una de las evidencias encontradas: Condición: Identifica los hallazgos del auditor. Expresa debilidades/fortalezas de control, problemas en las operaciones o incumplimiento de normas o requisitos legales. Criterio: Identifica la línea base que debería seguir la evidencia encontrada. Se emplea a efectos de comparación con el hallazgo. Causa: Identifica la parte responsable del hallazgo. Efecto: Explica el impacto con respecto al objetivo del control afectado. Permite la toma de acciones correctivas. Recomendación: Se ofrecen acciones correctivas para eliminar el problema. Fernando Rodríguez publica en la web una ponencia titulada Auditoría Informática en la administración: un reto para profesionales TIC (Rodríguez, 2006), donde expone algunos de los métodos de obtención de evidencias con que cuenta el auditor: Revisión de documentos: Se emplea para que el auditor comprenda el entorno a auditar. Como documentos a revisar están la estructura de la organización, sus políticas, sus normativas o cualquier otro documento que afecte al sistema que se va a auditar. Entrevistas: Buscan obtener información y conocer el conocimiento que tienen las personas que se entrevistan con respecto al control auditado. Deben planificarse con anticipación y avisar a las personas entrevistadas de la cita. Pruebas y verificaciones de campo: Su función es verificar si los controles internos funcionan correctamente. Observación del trabajo realizado: La observación permite conocer el desempeño del personal y su forma de actuar. Esta técnica se limita a observar y documentar, de forma escrita o de forma visual, las evidencias alcanzadas. Uso de herramientas: Cada vez con más frecuencia se emplean herramientas automáticas que permiten recolectar evidencias. El empleo de estas herramientas aporta, sobre todo, objetividad a la evidencia ante la falta del factor humano interpretativo. 3 Gestión Tecnológica Tema 9. Ideas clave A la hora de clasificar las evidencias, éstas pueden ser de cuatro tipos: Físicas: Son las que se obtienen mediante el empleo de revisión de documentos, las pruebas y verificaciones de campo o la observación. Testimoniales: proporcionadas por los testimonios dados en las entrevistas. Documentales: evidencias que se encuentra en la revisión de documentos o en las entrevistas prefijadas con el personal. Analíticas: Se obtienen mediante el uso de herramientas. Es importante destacar que al igual que el resto de las auditorías, la auditoría informática se basa en los principios de independencia, sistematicidad y objetividad. Tipos de auditoría Una tipificación básica de las auditorías permite establecer dos categorías en función del personal que participe en la auditoría: Interna: participa solamente personal interno a la organización que no pertenece al área auditada para asegurar su independencia y objetividad. Externa: es aquella en la que participa personal externo a la organización mediante un contrato de servicios. Tipos de auditoría atendiendo a su contenido, objeto y finalidad: Cumplimiento: Verifican si se cumple la legislación vigente laboral y todas las disposiciones o normativas asociadas. Financiera: Se centra en revisar la información o procesos contables de la para corroborar su estado financiero. Gestión: Analiza si la gestión se está realizando con la eficacia prevista y si se hace un uso eficiente de los recursos de la organización. Informática: Evalúa la eficacia del plan TIC respecto al plan estratégico de la organización y si este se hace bajo el empleo eficiente de los recursos TI. 1.4. Funciones y objetivos de la auditoría informática Evaluación y comprobación de los controles y procesos de una organización TI en un instante de tiempo determinado, haciendo uso de algún método objetivo y sistemático, como puedan ser las metodologías. 4 Gestión Tecnológica Tema 9. Ideas clave Evaluación de la fiabilidad de los datos que han sido procesados mediante sistemas de información. Evaluación de la eficacia de los controles de manera que se asegure que los sistemas de la organización TI funcionan según lo planificado. Verificar que las políticas de la organización, sus normativas y las leyes vigentes están siendo cumplidas. Con respecto a los procesos, los objetivos de la auditoría TI están más centrados en evaluar aspectos que garanticen la protección de los activos de la organización: El conjunto de datos en cualquiera de las formas o procedencias. (Externos, internos, estructurados, no estructurados…). La gestión del funcionamiento de las aplicaciones, representados por el conjunto de manual y de normas de procedimiento. La tecnología, tanto a nivel de hardware, sistemas operativos, bases de datos, redes. El mantenimiento de sistemas y suministros. La capacitación del personal para poder monitorizar la información procedente de los sistemas y de los servicios. Herramientas de inspección automatizadas CAATS (Computer Assisted Audit Techniques) frente a otro tipo de auditorías. Entre las funciones asignadas al auditor sobresalen dos de ellas, la realización de la auditoría, y la función de informar a la dirección de la organización de los resultados alcanzados. Este informe a la dirección puede tener diferentes formatos, pero entre los aspectos relevantes a presentar están: Figura 2. Puntos de un informe de auditoría. 5 Gestión Tecnológica Tema 9. Ideas clave 1.5. Habilidades del auditor informático La ISO 19011 establece que un auditor, de manera general, debe tener las habilidades y conocimientos necesarios del área a auditar, de manera que logre alcanzar los resultados objeto de la auditoría. Por tanto, los auditores informáticos deben cumplir con la ISO 19011 que establece cuatro áreas determinadas para expresar los conocimientos y habilidades del auditor: En los principios, procesos y métodos de realización de una auditoría: La aplicación de estos principios aporta una sistematicidad a las auditorías y garantizan que se ejecutan de forma correcta. En normas de sistemas de gestión y otras referencias: Así conoce cómo aplicar sus criterios y cuál puede ser el alcance de la auditoría. Sobre la organización y su contexto: Debe conocer la organización de la empresa a auditar, su estructura, a que se dedica y como gestiona sus procesos. En aquellos requisitos legales y reglamentarios aplicables y otros requisitos: El auditor debe disponer de conocimientos de la legalidad vigente o de cualquier otra norma o requisito específico de la organización auditada. Otras capacidades particulares que le permitan afrontar de forma efectiva la auditoria informática: Evaluar la protección de la información que tiene establecida la organización. Comprender la lógica de los controles internos implantados en los sistemas de información. Establecer las conexiones precisas entre la complejidad de la operatividad de los sistemas informáticos y la estrategia de la organización. Conocer las estrategias basadas en riesgos para prevenir las posibles pérdidas de oportunidades de negocio. Emplear herramientas tecnológicas que permitan adaptarse a los nuevos modelos tecnológicos. Disponer de habilidades suficientes para integrar equipos de gestión de proyectos e innovar en nuevas técnicas. Suffield (2020) nos proporcionaba las habilidades que el auditor informático debe de ir entrenando para poder adaptarse a los nuevos modelos de trabajo empresariales: 6 Gestión Tecnológica Tema 9. Ideas clave Habilidades técnicas y éticas: Los conocimientos y habilidades necesarios para realizar actividades de forma coherente a una norma definida, manteniendo los más altos estándares de integridad e independencia. Inteligencia: La capacidad para adquirir y utilizar el conocimiento, pensando, razonando y resolviendo problemas. Creatividad: La capacidad de usar el conocimiento existente en una nueva situación, a hacer conexiones, a explorar los posibles resultados y generar nuevas ideas. Digital: El conocimiento y la aplicación de las diferentes tecnologías digitales existentes y emergentes, desde un punto de vista práctico y estratégico. Emocional: La capacidad de identificar sus propias emociones y las de otros, aprovecharlas y aplicarlas a tareas de cara a su regulación y gestión. Visión: La capacidad de anticipar las tendencias futuras con exactitud mediante la extrapolación de las tendencias y hechos actuales, y así cubrir las lagunas de conocimientos mediante una reflexión innovadora. Experiencia: La capacidad y las habilidades para comprender las expectativas de sus clientes, satisfacer los resultados deseados y crear valor. ----------------------------------------------------------------------------------------------------------------------------------------- Tema 2 Controles internos en una organización TI 2.1. Introducción y objetivos Los controles internos presentes en una organización TI son los encargados de detectar las posibles amenazas que pueda sufrir la información, y de su buen funcionamiento dependerá la precoz activación de las medidas oportunas para mitigar las amenazas detectadas y las posibles pérdidas económicas de la organización. 2.2. Control interno informático La Real Academia Española define el término control como: «comprobación, inspección, fiscalización o intervención». En términos de gestión tecnológica podemos definir control como el conjunto de acciones y mecanismos que establece una organización para prevenir o reducir el impacto que los posibles riesgos, o eventos no deseados, puedan causar a los activos de una organización. ISACA (2016) define los controles internos como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar, con una garantía razonable, el logro de los objetivos empresariales y la prevención, detección y corrección de eventos no deseados. 7 Gestión Tecnológica Tema 9. Ideas clave Controles internos como: Aquellas estructuras específicas, herramientas, procesos u otros mecanismos que se utilizan para garantizar un resultado. El framework 2013 del Committee of Sponsoring Organizations of the Treadway Commission (COSO) (COSO, 2013) establece cinco componentes integrados de control interno: Ambiente de control: Conjunto de normas, procesos y estructuras que proporcionan la base para llevar a cabo el control interno en la organización. Evaluación de riesgos: Es la base para determinar la forma de administrar los riesgos. El riesgo se define como la posibilidad de que un evento suceda y afecte negativamente al cumplimiento de los objetivos de la organización. La evaluación del riesgo exige que se considere el impacto de posibles cambios en el entorno y se tomen medidas para gestionar el impacto. Actividades de control: Acciones que ayudan a mitigar los riesgos, a fin de asegurar el logro de los objetivos. Las actividades de control pueden ser preventivas o detectivas y pueden realizarse en todos los niveles de la organización. Información y comunicación: Para prestar apoyo a los órganos de control interno. La comunicación se utiliza para difundir información importante dentro y fuera de la organización, así como para apoyar los requisitos de toda reunión. Actividades de monitoreo: Evaluaciones periódicas o permanentes para verificar que cada uno de los cinco componentes del control interno, incluyendo los controles que afectan los principios de cada componente, están presentes y en funcionamiento. Definición de control interno informático El control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas por la Dirección de la organización y/o la Dirección de informática, así como los requerimientos legales. (Piattini y del Peso, 2008) Aunque son varios los objetivos que Piattini y del Peso (2008) establecen para el control interno informático a alcanzar, se quiere resaltar los siguientes: Definir e implantar controles y mecanismos para comprobar el correcto funcionamiento del entorno TI, estableciendo responsabilidades en todos los niveles de la organización. Realizar en los diferentes entornos de trabajo tecnológico el control de las diferentes actividades operativas para cumplir con los procedimientos, normas y controles establecidos. Especial atención merecen el control de cambios y de versiones del software. 8 Gestión Tecnológica Tema 9. Ideas clave Controlar la producción diaria, la calidad y eficiencia del desarrollo y el mantenimiento de los sistemas de información. Asesorar y transmitir cultura sobre el riesgo informático. Diferencias entre control interno y auditoría informática DIFERENCIAS CONTROL INTERNO INFORMÁTICO AUDITORÍA INFORMÁTICA Análisis de controles en un momento 1 Análisis diario de los controles 1 determinado de tiempo Reporta a la Dirección del Departamento Reporta a la Dirección General de la 2 2 de Informática organización Efectuado tanto por personal externo 3 Efectuado solo por personal interno 3 cómo externo Funciones afectan a todos los Funciones limitadas al Departamento de componentes de los sistemas de 4 4 Informática información en la organización Tabla 1. Diferencias entre control interno y auditoria informática. A la vista de estas características cabe destacar como la principal diferencia entre ambos conceptos el momento temporal en que se efectúa cada uno: El control interno informático realiza un proceso de verificación diario para mantener la eficiencia y eficacia de los controles internos, mientras que la auditoría informática analiza los controles con una base temporal puntual establecida por la dirección de la organización. A modo de metáfora sería un «retrato de los sistemas de información» en un instante concreto. Semejanzas: El personal interno que participa en las actividades debe poseer sólidos conocimientos de Tecnologías de la Información. En ambos casos, el objetivo es verificar tanto el cumplimiento de las normativas o procedimientos que ha redactado para los sistemas de información, bien la dirección informática, bien la dirección general, como la eficiencia y eficacia de los controles internos implantados. 9 Gestión Tecnológica Tema 9. Ideas clave 2.3. Clasificación de los controles internos Una primera clasificación general de los controles internos permite establecer dicotomías excluyentes entre ellos: Voluntarios: cuando son diseñados por la organización con el fin de alcanzar una mejora de sus procesos. Obligatorios: cuando son las autoridades externas o reguladoras quienes imponen la implementación de esos controles. Manuales: las personas se encargan de ejecutar estos controles. Automáticos: son los sistemas de información automatizados quienes activan de forma automática estos controles ante la llegada de un evento. Generales: están orientados a establecer un entorno de desarrollo donde van a establecerse otros controles. De aplicación: son controles internos plenamente orientados hacia una aplicación o software concreto. Clasificación por su naturaleza: Preventivos: buscan eliminar la vulnerabilidad de un activo o mitigar el impacto que podría tener un riesgo sobre dicho activo. Por ejemplo, impedir los accesos no autorizados al sistema. Detectivos: los controles detectivos se activan cuando fallan los preventivos y su función es notificar cuanto antes el evento ocurrido para evitar que la vulnerabilidad vaya a mayores. Las alarmas o el simple de registro de accesos no autorizados son alguna muestra de este tipo de controles. Correctivos: son controles internos cuya funcionalidad es restablecer la actividad del sistema una vez que se ha producido la incidencia. Buscan localizar y eliminar la causa de la incidencia para minimizar nuevas incidencias. Un ejemplo sería el empleo de copias de seguridad para restaurar un fichero dañado. Controles internos: Controles por área: Son controles internos que analizan alguna de las áreas funcionales en que está dividido un Centro de Proceso de Datos. Controles de productos informáticos: Están asociados a un software comercial para que la organización TI pueda observar que el producto informático ofrece todas las especificaciones dadas por la empresa desarrolladora y cumple correctamente con las funcionalidades deseadas. Controles por motivos legales: La legislación vigente en cada territorio aporta otro tipo de controles internos de cara a garantizar su cumplimiento. 10 Gestión Tecnológica Tema 9. Ideas clave 2.4. Controles generales de una organización TI Si bien la eficacia de los controles generales no garantiza por sí sola de la eficacia de los controles de aplicación, su ineficacia implicará con altas dosis de probabilidad la ineficacia de los controles de aplicación. De entre los controles generales existentes, en este apartado vamos a referenciar cuatro de ellos: Figura 2. Clasificación controles generales. Controles de organización y operación Garantizan que la organización TI tiene definida una estructura y unas normas operativas para toda su empresa. Sin estos controles la efectividad del resto de los controles se verá claramente mermada, sino inutilizada. Algunos de los controles que deberán existir son: Políticas y planes estratégicos de TI Gestión del presupuesto Definición de las estructuras organizativas Marco procedimental de operación Controles de seguridad lógica y física La seguridad lógica se encarga de comprobar que el sistema está bien configurado evitando el acceso a las personas no autorizadas, mientras que la física se encarga de la seguridad que ofrece el entorno de trabajo donde se encuentra el equipo. Algunos de los controles a implementar son: Comprobar que exista una política de seguridad conocida por todo el personal. Pruebas de identificación de usuarios. Política de contraseñas. Gestión de usuarios. Seguridad Física de servidores y equipos críticos. Programas de protección frente a malware (antivirus). 11 Gestión Tecnológica Tema 9. Ideas clave Controles del proceso de desarrollo Buscan dotar a los sistemas de información de la eficacia y eficiencia que exige la organización. Para ello dispondrá de una serie de normas, procedimientos o estándares de desarrollo que todo empleado debe conocer y utilizar en el desarrollo de su labor. Entre estos controles cabe destacar: Control para gestionar que los cambios a efectuar han sido aprobados. Comprobar que los cambios los realiza personal autorizado. Existencia de un control para garantizar el proceso de implementación de cambios de emergencia. Existencia de un entorno de pruebas completo que cumpla la segregación de funciones. Controles de explotación de sistemas Para una gestión en el departamento de explotación. Son controles generales orientados más a la relación con el exterior de la organización TI. Así, deberían implantarse los siguientes controles: Adquisición de aplicaciones y servidores. Integración de nuevas aplicaciones en la explotación de sistemas. Selección de proveedores bajo condiciones de servicio certificadas. Gestión de incidencias. Supervisión del proceso productivo. Control de la ejecución de procesos automáticos. 2.5. Controles de aplicación COBIT establece que los controles de aplicación consisten en actividades manuales y/o automáticas que aseguran que la información y los sistemas de información que procesan esa información cumplen con ciertos criterios. Estos controles de aplicación garantizan una seguridad razonable del alcance de los objetivos que la gerencia establece sobre las aplicaciones. Los criterios establecidos son 7, de los cuales dos afectan a los sistemas de información y cinco a la información: Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento 12 Gestión Tecnológica Tema 9. Ideas clave Confiabilidad Estos controles de aplicación se emplean para garantizar alguno de los siguientes objetivos: Que la inserción de datos a la aplicación sea exacta, completa, autorizada y correcta. Que el procesamiento de estos datos se efectúe en el tiempo previsto. Que los datos se almacenen de forma completa y adecuada. Que las salidas del sistema sean salidas correctas y completas. Que exista un mantenimiento de registros que permita monitorizar las entradas y salidas del sistema. Ejemplos de controles de aplicación: Controles de entrada de datos: Se utilizan para garantizar la integridad de los datos que entran al sistema. Controles de tratamiento de datos: Sirven para garantizar un procesamiento de transacciones completo, adecuado y autorizado, evitando que procesos no autorizados actualicen datos. Controles de salida de datos: permiten conocer las operaciones realizadas con los datos para obtener las salidas. Además, genera los informes de errores de la aplicación. Logs: Se utilizan a modo de pistas de auditoría (Audit trails), que permiten analizar hechos anormales en el funcionamiento de la aplicación. 2.6. Implantación de controles internos en una organización TI La implementación de controles internos en una organización TI toma como punto de referencia los cinco componentes integrados de control interno definidos por el framework 2013 del Committee of Sponsoring Organizations of the Treadway Commission (COSO). Constará de cinco pasos: Paso 1: Establecer un ambiente de control El ambiente de control es la cultura, los valores y las expectativas que las organizaciones inculquen en sus trabajadores. Algunas formas de establecer este ambiente de control son: Aplique y promocione las normas éticas y la integridad. Comunique la planificación estratégica para que la organización conozca qué es lo que va a hacer. Establezca una estructura organizativa y asigne responsabilidades. Contrate personal competente y fiable y proporciónele la formación necesaria. Destaque que el cumplimiento de leyes y reglamentos es un objetivo imprescindible de la organización. 13 Gestión Tecnológica Tema 9. Ideas clave Paso 2: Realizar evaluaciones de riesgo Algunas actividades para realizar esta evaluación de riesgos son: Cada función debe tener identificados los riesgos para las operaciones y el rendimiento. Reúnete con el personal para determinar posibles riesgos externos Prioriza y clasifica los riesgos, y discute con los responsables los controles necesarios para eliminar o reducir el riesgo. Obtenga información acerca de riesgos emergentes a través de encuestas de empleados o informes sectoriales. Paso 3: Implementar actividades de control Las actividades de control son políticas y procedimientos para ejecutar las operaciones, lograr los objetivos y evitar el fraude. Los métodos básicos de control interno son: Establecer responsabilidades: Asignar cada tarea a una sola persona. Establecer la estructura organizacional. Aplicar la segregación de funciones: No hagas a un empleado responsable de todas las partes de un proceso. Restringir el acceso: Deniegue el acceso a los sistemas, a la información o a los activos, salvo que sea necesario. Crear políticas y procedimientos: Redacte instrucciones con las directivas a seguir. Garantice que los controles cubren todas las áreas a auditar. Paso 4: Implementar sistemas de información y comunicación Utilice alguna de las siguientes sugerencias para crear sus protocolos de comunicación e información: Establezca sistemas de información confiables para efectuar el seguimiento de las operaciones y el progreso y cumplimiento de los objetivos. Distribuya la información en su organización con la garantía de que la información crítica se entrega al personal adecuado en forma y tiempo correcto. Pregunte al personal qué información necesitan, pero no están recibiendo. Cree líneas de comunicación independientes para la información confidencial, informando a los empleados los protocolos de estas líneas de comunicación. Establezca líneas de comunicación para informar a entidades externas. 14 Gestión Tecnológica Tema 9. Ideas clave Paso 5: Monitorizar los controles internos Algunas formas de monitorizarlos son: Establezca un sistema de control de calidad en todos los procesos. Realice revisiones independientes de una función para determinar si está funcionando como se pretendía, o los controles deben ser rediseñados. Organice auditorías externas y sea responsable con los resultados. Utilice la monitorización para buscar señales de la presencia de algún problema en los controles. Señalar que esta incorporación de controles internos en el SGSI sigue la norma ISO 27001 la cual se apoya en una Guía de controles, ISO27002, donde se especifican 115 posibles controles a implantar. ---------------------------------------------------------------------------------------------------------------------------------------- Tema 3 El proceso de la auditoría de seguridad 3.2. Metodologías para la evaluación de riesgos Por tanto, podría conceptualizarse, en el ámbito de la auditoría, una metodología como un conjunto de procedimientos o métodos empleados de manera sistemática y objetiva para establecer si los sistemas de información están alineados con el plan estratégico de la organización y emplean los recursos de forma eficiente. El Instituto Nacional de Ciberseguridad (INCIBE) cree necesario realizar auditorías que permitan analizar y evaluar la situación de los distintos elementos que conforman la organización, ya sean tecnológicos (sistemas, ordenadores, routers, etc.), o físicos. (INCIBE, 2018) Metodología creada por Arthur Andersen que se basa en la evaluación de riesgos (EDR) que recomienda ISACA, donde se observarán tres enfoques de la metodología que, si bien son similares en cuanto a riesgos, presentan diferentes puntos de análisis: Figura 1. Enfoques de metodologías de evaluación de riesgos. Metodología de evaluación de riesgos genérica Enfocada al riesgo ya que comienza evaluando los riesgos posibles que pueden afectar. Un esquema de esta metodología de evaluación de riesgos genérica puede observarse en la siguiente figura: 15 Gestión Tecnológica Tema 9. Ideas clave Figura 2. Esquema metodología de evaluación de riesgos genérica. Elementos que la conforman: Objetivos de control Controles Pruebas de cumplimiento Pruebas sustantivas EVALUACIÓN DE RIESGOS GENÉRICO Objetivo de Control Pruebas de Pruebas sustantivas Riesgo Control cumplimento Al menos cada riesgo va a Realizada por el Control En caso de no superar estas Se identifican riesgos tener asociado un objetivo Interno de Tecnologías de la pruebas de cumplimento, Solo se emplean si el provenientes de los controles de control, pero también Información bajo los planes con la ejecución de pruebas control no supera las existentes puede tener asociados de actuación que determine sustantivas que analizarán pruebas de Una vez identificados los varios objetivos de control. la dirección de la con mayor profundidad si el riesgos, el auditor debe cumplimiento. Suelen Tienen como meta la organización, o, en caso de control cumple con el categorizar los mismos ser pruebas que reducción del riesgo en delegación, el departamento objetivo perseguido. asignándoles una prioridad y aumentan la muestra los sistemas de de informática. Verifican el cumplimiento de cuantificando la importancia analizada en las información de una Son procedimientos un control. Observa si el en cuanto a sus efectos sobre organización. implantados por la control existe, si funciona pruebas de la información que procesan organización para cubrir el eficientemente y si lo hace cumplimiento los sistemas de información. objetivo de control. con eficacia. Garantizar el Comprobar la existencia acceso a los de un Acceso no autorizado a Procedimiento de gestión sistemas solo de procedimiento para sistemas y aplicaciones de contraseñas personal autorizado generar password seguros Procedimiento de Comprobar que usuarios Ampliar muestra de altas/bajas de usuarios dados de baja no acceden usuarios Tabla 1. Formato de evaluación de riesgos genérico. 16 Gestión Tecnológica Tema 9. Ideas clave Metodología de evaluación de riesgos simplificada El enfoque de la metodología emplea una lista de comprobación o de control (checklist) para auditar si están implementados determinados controles. Emplean auditores con poca experiencia o recién iniciados, pero que les ayuda ir identificando riesgos, evaluar si existe o no el control, y así poder determinar recomendaciones sobre aspectos a controlar. Su simplicidad le restringe el ámbito de actuación a ciertas áreas de auditoría. Las posibles respuestas a las preguntas incluidas en la checklist, son: Si: Se responde en sentido positivo a la pregunta. No: Se responde en sentido negativo a la pregunta. N/A: No se puede responder a la pregunta por desconocimiento u omisión. Observaciones: Notas del auditor a tenor de las respuestas obtenidas. CHECKLIST Si No N/A Observaciones Emplea lenguajes estándar x Define requisitos no x No procede funcionales Política de seguridad x Tabla 2. Formato de checklist. Metodología de evaluación de riesgos ampliada Productos software comerciales o a una tecnología concreta. Si bien el producto está integrado entre los sistemas de información de la organización, y como tal debe ser auditado, frecuentemente este software comercial aporta métodos adicionales suministrados por la empresa que ha desarrollado dicho producto. Esta aportación adicional de métodos es lo que le confiere el carácter de ampliado. Estos métodos aportados pueden clasificarse en tres categorías: Audit tools: Identificados con los CAATs (Computer Assisted Audit Techniques), son los métodos que aporta el programa propiamente dicho. Audit retrievals: Son scripts desarrollados que permiten obtener evidencias del producto que ayuden a la ejecución de la auditoría. 17 Gestión Tecnológica Tema 9. Ideas clave Audit trails: Considerados como pistas de auditoría, se encargan de registrar los cambios que se han introducido en una base de datos o archivo para su análisis en la auditoría. A la hora de facilitar los resultados alcanzados por esta metodología, se sigue un esquema muy parecido al el EDR genérico y se incorporan los aspectos propios del EDR ampliado: Descripción del producto a auditar y del entorno donde opera. Enumeración de los riesgos que presenta el producto y cuáles son los objetivos de control a alcanzar. Controles que deben implantarse para mitigar los riesgos enumerados Pruebas de cumplimiento y sustantivas para efectuar estos controles. Estas pruebas se desarrollarán, preferentemente, con el empleo de los métodos aportados por el producto mediante los audit tools, audit retrieval y audit trails. Fruto de la realización de estas pruebas se formulan los comentarios finales con las recomendaciones a realizar. 3.3. El proceso de una auditoría de seguridad De entre estos procesos, el más valorado para ejecutar una auditoría TI es el proceso definido por ISACA que consta de cinco etapas: 1. Determinar el objetivo y el alcance de la auditoría TI. 2. Desarrollar un plan de auditoría para alcanzar los objetivos de la auditoría. 3. Recolectar información relevante sobre los sistemas y procesos TI. 4. Realizar pruebas de auditoría sobre los controles clave de TI, utilizando CAATs preferentemente. 5. Informar de los resultados de la auditoría. Pero no solo existe el proceso facilitado por ISACA, sino que coexisten otras variantes que recomiendan, en un menor o mayor número de pasos, nuevas fases que, básicamente, abordan los mismos conceptos: Proceso A 1. Efectuar una planificación. 2. Definición de los objetivos y alcance de la auditoría. 3. Recopilación de evidencias mediante un proceso de evaluación. 4. Documentación y presentación de informes. 18 Gestión Tecnológica Tema 9. Ideas clave Proceso B 1. Planificar la auditoría. 2. Determinar sus objetivos. 3. Acotar los sistemas y flujos de datos. 4. Identificar los controles clave. 5. Comprender la funcionalidad de la aplicación. 6. Realizar las pruebas. 7. Eliminar las complicaciones. 8. Analizar conclusiones o beneficios empresariales. 9. Redactar el informe. Todo proceso puede resumirse en 3 fases principales que se analizarán con mayor profundidad en el resto del tema: Planificación de una auditoría. Realización de la auditoría. Redacción y distribución del informe de auditoría. 3.4. Planificación de una auditoría de seguridad El primer paso que debe hacer es efectuar una planificación de la auditoría que va a realizar (ISACA, 2012). Y entonces surge la pregunta, ¿y cómo se hace la planificación? Una primera corriente sugiere al auditor el uso de planificaciones realizadas por organizaciones especializadas en el tema, como pueden ser ISACA o el Institute of Internal Auditors (IIA), que cubren las áreas más comunes de la auditoría y le permiten ahorrar una gran cantidad de tiempo. Sin embargo, la recomendación principal que ofrece Ian Cooke en su artículo sobre programas de auditoría (Cooke, 2017) es que: Cree su propio programa de auditoría y vaya adaptándolo a las diferentes circunstancias que le surjan durante el desempeño de su labor auditora. En marzo de 2016, ISACA publicó un libro blanco titulado Information Systems Auditing: Tools and Techniques Creating Audit Programs, donde se describen los cinco pasos en el desarrollo de su propio programa de auditoría (ISACA, 2016). 19 Gestión Tecnológica Tema 9. Ideas clave Esencialmente, estos pasos son: Determinar cuál es el alcance de la auditoría: ¿Qué es? Debe identificar el área a auditar, su localización física, su función empresarial,… Definir el objetivo de la auditoría: ¿Por qué? Permite conocer el propósito de la auditoría. Establecer el ámbito de auditoría: ¿Cuáles son los límites? El auditor necesitará comprender el entorno TI y sus componentes para identificar los recursos, sobre todo en cuanto a número de auditores.. Igualmente limita el periodo de tiempo de la auditoría. Realizar una preauditoría: ¿Cuáles son los factores de riesgo específicos? Incluye tareas como la realización de una evaluación del riesgo, la identificación de los requisitos de cumplimiento de normas y la determinación de los recursos necesarios para realizar la auditoría. Determinar los procedimientos de auditoría y los pasos para la recopilación de datos: ¿Cómo se van a probar los controles para los riesgos especificados? Este paso considera actividades como: Obtención de las políticas departamentales empleadas en las revisiones. Incorpora una lista de las personas a entrevistar. Establece los métodos y herramientas para llevar a cabo la evaluación. Desarrolla una metodología para probar y verificar los controles existentes. Desarrollo de scripts adicionales para realizar más pruebas. Identifica criterios para valorar las pruebas. Define una metodología para evaluar si las pruebas y sus resultados son precisos (y repetibles si fuese necesario). La planificación incorpora un plan de trabajo que recoge las asignaciones de los auditores implicados y un plan de comunicación que describirá a quien se hace entrega de los resultados de la auditoría, el formato y cómo se efectuarán las comunicaciones, tanto internas como externas, durante la realización de la auditoría. 3.5. Realización de una auditoría de seguridad El auditor comenzará a identificar los riesgos potenciales que presenten los sistemas de información, bien porque carece de control, bien porque el control no cumple con la finalidad asignada. Esta identificación de riesgos deberá cuantificarse igualmente para conocer la magnitud del riesgo y tendrá asociado una serie de evidencias que permitirán justificar el riesgo y su trazabilidad. Esta recolección de evidencias suele quedar registrada en un registro tipo, propio del auditor o de la empresa que realiza la auditoría, donde pueda anotar sus apreciaciones. Algunos de sus campos son: Fecha de la recolección de la evidencia. Descripción de la evidencia obtenida. 20 Gestión Tecnológica Tema 9. Ideas clave Identificación del sistema de información/control afectado. Comentarios del auditor. Para un mayor detalle de este análisis se crea un anexo donde se puede observar la trazabilidad de las conclusiones aportadas con respecto a las evidencias obtenidas. Figura 5. Pasos para la realización de una auditoría. 3.6. Redacción y distribución del informe de auditoría El informe de auditoría presenta dos versiones. Un primer informe inicial, a modo de borrador, que contiene los resultados de la auditoría y que se emplea para comentar con la organización auditada las dudas u objeciones que puedan surgir, los defectos encontrados o las posibles mejoras a realizar, y un informe final donde además de los resultados de la auditoría se incluyen las objeciones formuladas. El informe debe ser completo, exacto, objetivo, convincente, y tan claro y conciso como el tema lo permita. Vendrá estructurado, de acuerdo con el manual de auditorías TI de la consultora Grant Thornton, bajo los siguientes epígrafes (Grant Thorton, s.f.): Introducción El informe debe dar brevemente los detalles del sistema resaltando el entorno donde se ejecuta el software y los recursos de hardware necesarios para la ejecución del sistema. El volumen de datos, la complejidad del 21 Gestión Tecnológica Tema 9. Ideas clave procesamiento y otros detalles pueden darse para que el lector del informe tenga una idea clara acerca del sistema y pueda valorar los resultados alcanzados por la auditoría. Objetivos, alcance y metodología Con respecto a los objetivos, los auditores deberían explicar los aspectos de rendimiento examinados. En cuanto al alcance de la auditoría, los auditores deben describir la profundidad y la cobertura de los trabajos realizados para cumplir los objetivos de la auditoría. Para informar sobre la metodología utilizada, los auditores deben explicar claramente la fase de recolección de evidencias y las técnicas de análisis utilizadas. Evidencias Para informar de esas evidencias incluirán información suficiente, competente y relevante para promover la adecuada comprensión de la evidencia y convencer de su trazabilidad con respecto al objetivo. Conclusiones Las conclusiones están orientadas para comunicar a la dirección los hechos detectados, por lo que deberán redactarse de forma clara y concisa, en un lenguaje ejecutivo. Se formularán en consonancia con los objetivos de la auditoría y se basarán en las evidencias detectadas y en un análisis lógico de las mismas, siendo respaldadas por su trazabilidad. En este apartado se evitará efectuar conclusiones que vengan avaladas por evidencias incompletas o débiles. Recomendaciones Los auditores formularán sus recomendaciones cuando representen una mejora sustantiva del rendimiento de las operaciones y estén basadas en las evidencias encontradas. Especialmente, deben realizarse cuando se hayan encontrado significativas deficiencias en los controles implantados o se observe un incumplimiento de la legislación vigente. Las recomendaciones constructivas llevan aparejada una mejora significativa de los procesos. Comentarios y Anexos Los comentarios contienen las apreciaciones personales o notas del auditor durante la realización de la auditoría, las cuales ayudarán a una mejor comprensión del informe elaborado. Igualmente contiene, en el informe final, las apreciaciones de la organización al informe inicial, si las hubiere. Este apartado ofrece también a modo de anexo la síntesis de las evidencias encontradas y su trazabilidad con respecto a los riesgos y fortalezas detectadas, para que así se pueda profundizar en las conclusiones emitidas. 22 Gestión Tecnológica Tema 9. Ideas clave Limitaciones Es importante mencionar en el informe de auditoría, las limitaciones que se ha encontrado el auditor durante la auditoría. Una vez redactado el informe final bajo el formato definido en la etapa de planificación, se debe proceder, en el plazo estipulado, a su distribución entre los destinatarios especificados en el plan de comunicación. Esta distribución se verá complementada con una presentación del informe final ante la dirección de la organización para que puedan formular cuantas aclaraciones estimen convenientes y, así, dar por concluida la auditoría. Es importante facilitar también un resumen ejecutivo a modo de documento conciso que contiene una breve descripción del problema, los objetivos clave de la auditoría, las conclusiones y las recomendaciones del informe final. Este resumen no es obligatorio, pero es altamente recomendable, ya que, con frecuencia, es la única sección del informe que será leído por los altos ejecutivos. Normalmente se encuentra al principio del informe final de auditoría. ------------------------------------------------------------------------------------- Tema 4 Gobierno TI: Framework COBIT 4.1. Introducción y objetivos La dirección reclama al sector tecnológico un modelo de gobierno que les permita basar sus decisiones en procesos testados y que les permita orientar su estrategia empresarial considerando su entramado TI. El framework o entorno de trabajo COBIT, como modelo de gobierno TI más utilizado, o la norma ISO 38500 les dan una serie de orientaciones prácticas que son de gran ayuda en su desempeño directivo. 4.2. Gobierno TI: ISO 38500 La International Standard Organization (ISO) ha desarrollado la norma ISO/IEC 38500 que contiene una serie de principios para mejorar la eficacia y eficiencia de las empresas y que puede ser empleada por cualquier organización para que la dirección controle sus sistemas TI y así garantizar la confidencialidad, integridad y disponibilidad de su información. De acuerdo con ITGI (2009) la ISO/IEC 38500 proporciona, entre otros, los siguientes beneficios: Destaca la importancia del gobierno de TI debido a los riesgos involucrados y a las significativas inversiones requeridas. Anima a las empresas a utilizar estándares apropiados para su gobierno TI. 23 Gestión Tecnológica Tema 9. Ideas clave Facilita un marco de 6 principios básicos para que la dirección los emplee a la hora de evaluar, dirigir y supervisar el uso de las TI en sus empresas. Incide en que un buen gobierno corporativo de TI ayuda a la dirección a asegurar la conformidad con las obligaciones (regulatorias, legales, contractuales y de derecho común) sobre el uso aceptable de TI. La norma se basa en seis principios fundamentales cuyas implicaciones prácticas quedan expuestas a continuación (ITGI, 2009): Responsabilidad: se debe establecer estructuras de organización de gobierno, así como asignar funciones y responsabilidades que permitan conocer el autor y la rendición de cuentas en las tareas importantes, incluyendo a proveedores críticos de servicios TI. Estrategia: la planificación estratégica de TI deberá incluir la evaluación de la capacidad actual de la infraestructura TI y de los recursos humanos ante futuras necesidades de la empresa, al igual que planificar nuevos avances tecnológicos que otorguen mayor competitividad o ahorro de costes. Adquisición: en las adquisiciones de recursos de TI hay que analizar su integración con el resto de infraestructura TI ya presente. Toda adquisición se ve como un cambio organizacional orientado a trabajar con los procesos de negocio ya existentes para un mayor beneficio empresarial. Desempeño: hay que incorporar procesos de medición del desempeño para asegurar que existe una supervisión de los procesos transparente y fiable. Esta transparencia se alcanza expresando los objetivos, indicadores e informes de rendimiento en un lenguaje asequible para tomar las medidas apropiadas. Conformidad: Este equilibrio entre conformidad y desempeño debe plasmarse en políticas y procedimientos internos que garanticen la privacidad, confidencialidad, propiedad intelectual y seguridad. El comportamiento humano: Para que sean vistos positivamente los directores comunicarán claramente los objetivos de los cambios para que todo el mundo afectado los comprenda y no se vea perjudicado. Junto con estos 6 principios existe un modelo que describe la estructura organizativa del Gobierno Ti y que refleja las presiones, necesidades, fuentes de información, problemas o propuestas a las que se ven sometidos los directivos TI a la hora de tomar sus decisiones. El modelo puede verse en la Figura 2 que proporciona la propia ISO 38500: 24 Gestión Tecnológica Tema 9. Ideas clave Junto con esta norma, las organizaciones disponen del COBIT (Control Objectives for Information and related Technology) como modelo de gobernanza TI, que será expuesto en sucesivos apartados de este tema. 4.3. Continuidad de negocio y recuperación de Desastres La existencia del plan de continuidad del negocio es una de las cuestiones que observan los auditores de cara a conocer la estabilidad empresarial y para analizar las acciones previstas en caso de siniestro. El auditor, por tanto, confirmará que la organización posee este BCP (Businesss Continuity Plan) y además, un DRP (Disaster Recovery Plan) para aseverar que la organización está preparada ante cualquier eventualidad. La importancia de estos planes BCP y DRP, queda refrendada por el dato de que cerca del 60% de las organizaciones que sufren un problema inesperado y carecen y de un BCP o un DRP, no continúan su actividad en menos de 3 años. A la hora de establecer este BCP, se dispone de la ISO 22301 que nos guía en cuanto a los pasos a realizar. Esta ISO 22301 indica cuales son las bases de un sistema de gestión de continuidad de negocio, mostrando el proceso a seguir para el desarrollo e implementación de un BCP, junto a los principios y términos más empleados. A la hora de desarrollar un BCP, la especificación NIST propone cuatro etapas de desarrollo (Swanson et al., 2010): 1. Inicialización: Elabora una relación de las principales operaciones y servicios de suministro, estableciendo un plan de asignación de responsabilidades sobre estos servicios críticos. 2. Definición del BIA (Business Impact Analysis): Su objetivo es conocer el impacto que una eventualidad inesperada provocada en la organización, por lo que se debe realizar una evaluación profunda de procesos de la organización, con especial énfasis en los flujos de información. 3. Desarrollo del BCP: Se redacta el BCP con referencias al software, hardware, instalaciones, personal, suministros… tanto a largo, como a corto plazo, describiendo los recursos a emplear en el BCP. 4. Aprobación e implementación del BCP: Su aprobación la realiza la dirección de la organización, quienes deben contribuir a divulgar entre sus empleados la existencia del plan para saber cómo proceder ante una eventualidad. 25 Gestión Tecnológica Tema 9. Ideas clave Junto con el BCP, es preciso que la organización disponga de un DRP para poder recuperar sus sistemas en caso de desastre en el menor tiempo posible y que su capacidad de producir no disminuya. El Instituto Nacional de Ciberseguridad INCIBE (2019) nos facilita como proceder para elaborar un DRP en 7 fases: Alinear el DRP con el BCP: Focalizando ambos esfuerzos en aplicaciones o sistemas indispensables para la empresa. Efectuar evaluación de riesgos: Para conocer las amenazas posibles a las que se enfrenta la organización y puedan afectar a la continuidad del negocio. Realizar un BIA: Identifica las necesidades de la organización en términos de recuperación, para los servicios críticos que afecten al funcionamiento de la organización. Implementar acciones para recuperar servicios y aplicaciones prioritarias: Se trata de implementar actividades que permitan volver a operar normalmente en el menor tiempo posible. Ejecutar pruebas: El DRP debe ser probado con periodicidad y comprobar que las acciones estimadas de recuperación son las correctas. Mejora continua del DRP: La información proveniente de las pruebas ejecutadas facilita la toma de decisiones de cara a la actualización y mejora del plan establecido. Capacitación a responsables del DRP y difusión del plan: Es preciso que todas las personas afectadas por el plan conozcan su contenido y sus responsabilidades en caso de su aplicación. 4.4. Framework COBIT COBIT es un marco de negocio para el gobierno y la gestión de las TI de la empresa que las ayuda a lograr sus objetivos de gobierno y a efectuar una correcta gestión tecnológica, manteniendo un equilibrio entre el tratamiento del riesgo, la utilización de recursos y la obtención de beneficios empresariales. Principios básicos de COBIT 5: Satisfacer las necesidades de las partes interesadas. Cubrir la empresa de extremo a extremo. Aplicar un marco de referencia único integrado. Hacer posible un enfoque holístico. Separar el gobierno de la gestión. 26 Gestión Tecnológica Tema 9. Ideas clave 4.5. Principios COBIT Figura 4. Principios de COBIT 5. Fuente: (ISACA, 2012). Satisfacer las necesidades de las partes interesadas Uno de los principales objetivos empresariales es la creación de valor para sus accionistas, por lo que la generación de valor debe estar entre sus objetivos prioritarios. Esta generación de valor se consigue bajo dos formas, la optimización de riesgos y la optimización de recursos, en las cuales hay que contar con todas las partes interesadas, dada la diversidad empresarial existente (ISACA, 2012). TI COBIT 5 ofrece su cascada de metas, que traduce las necesidades de las partes interesadas en metas corporativas, metas relacionadas con las TI y metas catalizadoras a medida. Esta cascada de metas se produce en cuatro pasos (ISACA, 2012): 1. Los motivos de las partes interesadas influyen en las necesidades de las partes interesadas: Las necesidades de las partes interesadas pueden verse modificadas por cambios de estrategia. 2. Las necesidades de las partes interesadas desencadenan metas empresariales: Estas necesidades pueden relacionarse con un conjunto de metas empresariales genéricas. COBIT 5 facilita 17 objetivos genéricos a los que poder asociarse. 3. Cascada de metas de empresa a metas relacionadas con las TI: Para alcanzar las metas empresariales, es preciso en muchos casos, alcanzar una serie de metas relacionadas con la TI. COBIT define 17 metas relacionadas con la TI. 4. Cascada de metas relacionadas con las TI hacia metas catalizadoras: Para lograr las metas relacionadas con la TI se requiere de la aplicación de varios catalizadores que incluyen estructuras organizativas, procesos e información. 27 Gestión Tecnológica Tema 9. Ideas clave 5. Cubrir la empresa de extremo a extremo Integra el gobierno TI dentro del gobierno corporativo y cubre todas las funciones y procesos necesarios para gobernar y gestionar la información corporativa allá donde sea necesaria. De esta forma engloba cualquier servicio o proceso TI tanto interno como externo. Esta integración se efectúa mediante catalizadores que permiten definir para cada procesamiento de información los requisitos necesarios y su propio ciclo de vida. Estos catalizadores de gobierno estarán conformados por marcos de referencia, estructuras, principios, procesos, buenas prácticas y recursos corporativos (personas, datos). El enfoque de gobierno queda reflejado en la Figura 5 (ISACA, 2012): Aplicar un marco de referencia único integrado COBIT 5 se presenta como un marco de referencia único que integra los mejores marcos de ISACA y está alineado con otros estándares y marcos de referencia como ITIL (Information Technology Infrastructure Library), PMBOK (Project Management Body of Knowledge), PRINCE2 (PRojects IN Controlled Environments 2) o estándares ISO. (ESAN, 2016) Este marco integra el conocimiento disperso en los diferentes marcos de ISACA, (ValIT, Risk IT…), para ofrecer un marco que proporcione una cobertura completa a la empresa donde pueda integrar sus marcos, estándares, o prácticas empleadas. Una descripción de este marco de referencia única se expresa en la Figura 6: 28 Gestión Tecnológica Tema 9. Ideas clave Hacer posible un enfoque holístico Los catalizadores son factores que influyen en el funcionamiento del gobierno y la gestión de una empresa TI. Sus ámbitos de acción están predeterminados por la cascada de metas de la organización que definen los objetivos que los catalizadores deben conseguir para el buen funcionamiento empresarial. Dentro de COBIT 5 existen 7 categorías de catalizadores que pueden verse en la figura 7 (ISACA, 2012). Figura 7. Categorías de catalizadores COBIT 5. Fuente: (ISACA, 2012). Principios, políticas y marcos de referencia: son guías prácticas para gestionar la actividad diaria. Procesos: conjunto de prácticas y actividades que permiten alcanzar las metas relacionadas con TI Estructuras organizativas: entidades que toman las principales decisiones de la organización en tecnologías de la información. Cultura, ética y comportamiento de individuos y empresa: es un factor importante para alcanzar los objetivos empresariales. Información: en términos de gobierno es el producto fundamental de la empresa e incluye todo tipo de información que sea utilizada. Servicios, infraestructuras y aplicaciones: comprende cualquier infraestructura, servicio o aplicación que trabaje con la información de la empresa. Personas, habilidades y competencias: hay que conocer las habilidades del personal para efectuar una buena toma de decisiones en temas de gobierno TI. La necesidad de obtener resultados positivos en su funcionamiento hace que la empresa evalué su rendimiento, basándose en estas cuatro preguntas: ¿Se están considerando las necesidades de las partes necesitadas? ¿Se alcanzan los objetivos de los catalizadores? ¿Hay una gestión del ciclo de vida del catalizador? 29 ¿Se están aplicando buenas prácticas? Gestión Tecnológica Tema 9. Ideas clave Separar el gobierno de la gestión Considera que el gobierno es responsabilidad del consejo de administración y se dedica a evaluar las necesidades, condiciones y opciones de las partes interesadas para comprobar que se logran las metas corporativas, estableciendo una priorización y toma de decisiones en base al rendimiento de los procesos establecidos. (ISACA, 2012). Por otro lado, la gestión es misión de la dirección ejecutiva que ejerce el CEO y consiste en planificar, construir, ejecutar y controlar las actividades establecidas por el gobierno para el correcto alineamiento y así alcanzar las metas corporativas. Si bien separa ambos conceptos, existen una serie de interacciones entre ellos para alcanzar la eficiencia del sistema: A nivel de información es preciso que exista un intercambio de información entre los procesos de gobierno y gestión para evaluar y supervisar la infraestructura TI. A nivel de estructuras organizativas, la estructura de gobierno toma decisiones estratégicas que afectan a las actividades a realizar en la estructura de gestión. Las políticas, normas o principios que emanan del gobierno orientan la ejecución de decisiones de la gestión. Si bien las personas que estén en el gobierno o en la gestión presentarán diferentes habilidades, debe existir una interacción entre ellas importante para el correcto desempeño de sus funciones. COBIT 5 incorpora también un modelo de referencia de procesos que define en detalle los procesos de gobierno y gestión que se encuentran con mayor frecuencia en organizaciones con actividades TI. De esta forma, las empresas disponen de una referencia para sus procesos, pero que deberá ser adaptada a las características particulares de cada empresa. Este modelo de referencia, que consta en la figura 8, se divide en dos dominios: Gobierno: Comprende 5 procesos orientados a evaluar, orientar y supervisar. Gestión: se subdivide en 4 subdominios que comprenden 32 procesos: Alinear, planificar y organizar: 13 procesos. Construir, adquirir e implementar: 10 procesos. Entregar, dar servicio y soporte: 6 procesos. Supervisar, evaluar y valorar: 3 procesos. 30 Gestión Tecnológica Tema 9. Ideas clave Figura 8. Modelo referencia procesos COBIT 5. Fuente: (ISACA, 2012). 4.6. Modelo de capacidad de los procesos de COBIT 5 COBIT 5 facilita a las organizaciones un modelo de capacidad de los procesos basado en la norma ISO/IEC 15504 de evaluación de procesos en ingeniería del software. Este modelo de capacidad permitirá efectuar una evaluación de los procesos tecnológicos y, en función de los resultados o mediciones obtenidos, establecerá cuales son las áreas de mejora donde focalizar la acción. 31 Gestión Tecnológica Tema 9. Ideas clave El modelo ofrece 6 niveles de capacidad, donde cada nivel de capacidad solo puede alcanzarse si el nivel inferior se ha alcanzado completamente: Proceso incompleto Proceso ejecutado Proceso gestionado Proceso establecido Proceso predecible Proceso optimizado ------------------------------------------------------------------------------------- Tema 5 Gobierno TI: Certificación CISA 5.3. Proceso de auditoría de sistemas de información Es el primer dominio del examen CISA y representa el 21% de las preguntas. Se debe prestar especial atención al proceso de construcción de un programa de auditoría, las funciones que soporta y los roles que desempeña dentro de la organización. Es fundamental tener por escrito los estatutos de una organización para poder realizar una auditoría interna, independiente y apoyada por la alta dirección, que analice el alineamiento de los sistemas de información y los objetivos de la organización. El Information Technology Assurance Framework (ITAF), utilizado a modo de una guía integral, contiene elementos de las normas y directrices de auditoría de COBIT y de ISACA. Análisis de riesgo El análisis de riesgos es una parte crítica de la auditoría que se realiza inicialmente para permitir al auditor TI estructurar mejor un plan de auditoría. Dispone del RISK IT Framework de ISACA para ayudarle a determinar los procesos de gobernanza, evaluación y así responder mejor a los riesgos de una organización. El proceso de auditoría Su propósito principal es reunir evidencias que respalden la operación de controles efectivos y eficientes en el entorno de trabajo. La evidencia generalmente contiene capturas de pantalla de la configuración del control, notas escritas, correspondencia, documentación de procesos y procedimientos y registros comerciales. La documentación clave que un auditor debe intentar reunir durante una auditoría son: documentación de políticas y procedimientos, cartas, contratos de terceros, organigramas, registros de incidentes, normas y documentación de sistemas. 32 Gestión Tecnológica Tema 9. Ideas clave Tipos de riesgo y decisiones Como parte del examen CISA, es importante comprender los diferentes tipos de riesgo que encontrará en un entorno. Los tipos de riesgo posible son: control, detección, inherente, auditoría y muestreo. El impacto directo de un auditor sobre el riesgo se limita a la detección, ya que este es el riesgo de que un auditor no encuentre o señalice un riesgo durante una auditoría. Una vez que se ha identificado el riesgo, la organización y el enfoque se centran en la reducción, transferencia, evitación o aceptación del riesgo. La reducción del riesgo es la implementación de controles para reducir el riesgo. La transferencia del riesgo se realiza trasladando el riesgo a otra organización mediante la compra de un seguro contra el riesgo. La organización evita el riesgo bien eliminando la actividad de riesgo bien sin utilizar esa actividad de riesgo. La aceptación del riesgo es cuando la organización decide que el riesgo, mínimo o inevitable, es un coste del negocio y no hace ningún esfuerzo mínimo por corregirlo. Dos tipos clave de pruebas son las pruebas de cumplimiento y las pruebas sustantivas. Las pruebas de cumplimiento determinan si un control se diseña y se implementa de forma adecuada, mientras que las sustantivas se usan para verificar la integridad de las transacciones de los procesos de negocio. 5.4. Gobierno y gestión de TI El segundo dominio del examen CISA es el gobierno y la gestión de TI que representa un 17% del examen. Los aspectos clave a considerar son la comprensión del proceso de TI, de la estructura del departamento y de las prácticas clave que afectan a las tecnologías de la información. Igualmente, es importante comprender el proceso de desarrollo de un plan de continuidad de negocio. El gobierno de TI adecuado no se puede lograr sin un enfoque top-down donde la alta dirección impulse la gobernanza. Generalmente se constituye un comité directivo con altos ejecutivos que establecen la dirección estratégica y las políticas de la organización que tienen que estar alineados con los objetivos empresariales. Estas políticas, suelen provenir de directores de información (CIO) o directores de riesgos de información (CIRO), quienes, además desarrollan políticas de seguridad, manejan la gestión de incidentes, la gestión de vulnerabilidades o la gestión de accesos. 33 Gestión Tecnológica Tema 9. Ideas clave Gestión de riesgos y evaluaciones La gestión de riesgos es un campo clave para el gobierno y la gestión del dominio de TI CISA, donde se identifican activos claves y sus vulnerabilidades. Una vez identificados los riesgos, se toman medidas para mitigar, transferir, evitar o aceptar el riesgo. Las evaluaciones de riesgos pueden ser de dos tipos: cualitativas o cuantitativas. Las evaluaciones cualitativas clasifican los riesgos en forma de alta, media, baja, o informativa, mientras que las evaluaciones cuantitativas se centran en vincular los riesgos a costes económicos. Prácticas clave de gestión La operativa de un departamento u organización de TI requiere ciertas prácticas clave de gestión entre las que cabe destacar: Gestión de personal Abastecimiento Gestión del cambio Gestión financiera Gestión de calidad Gestión de cartera. Gestión de controles Gestión de seguridad Para una adecuada gobernanza TI hay que disponer por escrito de una estructura formal de gestión, junto con una documentación completa que incluya los roles desempeñados, las responsabilidades asumidas y la descripción del trabajo a realizar, y aplicando la segregación de tareas para un mejor seguimiento. Continuidad del negocio y recuperación ante desastres Los planes de continuidad del negocio se crean para responder a los desastres naturales o provocados por el hombre, y, así, poder continuar con las actividades de negocio críticas. El proceso para desarrollar un plan de continuidad del negocio comienza con una declaración de metas y objetivos, se completa un análisis de impacto empresarial (BIA: Business Impact Analysis) y se vincula cada proceso crítico a una declaración de impacto que puede hacerse de forma cualitativa o cuantitativa. El siguiente paso es un análisis de criticidad donde cada proceso de negocio se clasifica, (cualitativa, cuantitativa o subjetivamente), en términos de criticidad y se le asigna un tiempo de inactividad máximo tolerable. 34 Gestión Tecnológica Tema 9. Ideas clave Desde el punto de vista de la auditoría, el auditor debe revisar las políticas, los procesos y los registros de la organización para garantizar que el comité directivo esté trabajando en la planificación e implementación de la planificación BC/DR. El objetivo es garantizar la alineación adecuada de las metas y objetivos de negocio con el plan BC/DR. 5.5. Adquisición, Desarrollo e Implementación de Sistemas de Información El tercer dominio del examen CISA se refiere a la gestión del ciclo de vida de TI y engloba el 12 % del examen, focalizando su acción sobre la documentación escrita de los procesos y procedimientos de cara a garantizar que los procesos sean repetibles y consistentes. Supervisión de TI y gestión de programas La gestión de programas es fundamental para el ciclo de vida de TI y se refiere a la supervisión de los proyectos de TI para que se cumplan los presupuestos y la asignación de recursos sea apropiada. Solamente se desarrollarán aquellos proyectos que engloben un caso de negocio aprobado por la alta dirección. Casos de negocios y planificación de proyectos Un plan del proyecto debe contener la cantidad de recursos necesarios y un cronograma básico, junto con unas métricas descritas orientadas al beneficio empresarial. Si el proyecto tiene similitudes con proyectos precedentes se hará referencia a ellos. Los proyectos, además de la planificación formal, contarán con procedimientos documentados de gestión de cambios y de revisión final del proyecto al objeto de que futuros proyectos no se encuentren con los mismos obstáculos y puedan realizar mejoras continuas en sus procesos. Desarrollo de software y ciclo de vida de adquisición El desarrollo y la adquisición de software se realizan a través del SDLC (Software Development Life Cycle), que es un conjunto de actividades que aseguran que las aplicaciones implementadas satisfagan las necesidades de la organización. Aunque las fases del SDLC son: estudio de viabilidad, definición de requisitos, diseño, desarrollo, prueba e implementación, la que más afecta a la organización es la de pruebas, por su amplia variedad: 35 Gestión Tecnológica Tema 9. Ideas clave Prueba unitaria: cada componente individual de una aplicación se prueba a medida que se construye para ver si funciona y cumple con lo diseñado. Pruebas del sistema: se producen cuando una aplicación y sus módulos se han implementado dentro de un entorno y se prueban en otro entorno. Pruebas funcionales: aseguran que se hayan cumplido los requisitos. Los resultados de estas pruebas se registran y se usan como prueba de cumplimiento. Pruebas de aceptación: se realizan para garantizar que una aplicación satisfaga las necesidades de los usuarios. Determinan que la funcionalidad de la aplicación satisface las necesidades de los usuarios. Las pruebas de control de calidad: fase final donde se realizan pruebas para garantizar que una aplicación se desempeña según las especificaciones del sistema. Gestión del cambio La gestión del cambio se centra en controlar los cambios en un entorno que garantice que los cambios se planifiquen, prueben, revisen y discutan antes de la implementación. La gestión de la configuración es similar, pero gira en torno a la configuración de elementos del entorno, como sistemas operativos, aplicaciones y equipos de red. Controles de aplicación Cualquier aplicación que tenga entrada de datos debe garantizar su integridad y por tanto, deben superar los controles de aplicación para esos datos. Estos esquemas de validación, que son 3, validación de entrada, validación de procesamiento y validación de salida, verifican los datos en diversos puntos del proceso y aseguran que los datos están normalizados son del tipo esperado. Evaluaciones de elementos externos Cualquier elemento externo utilizado por una organización debe evaluarse para garantizar el cumplimiento y la alineación con los objetivos de la organización. Como elementos externos se tienen tres tipos principales: SaaS: un proveedor proporciona acceso a un software presente en la nube. IaaS: un proveedor da acceso a la infraestructura de la nube, como máquinas virtuales o equipos de red. PaaS: un proveedor de la nube está dando acceso a sus herramientas y plataformas. 36 Gestión Tecnológica Tema 9. Ideas clave 5.6. Modelo de capacidad de los procesos de COBIT 5 El cuarto dominio del examen CISA representa el 23 % del examen y se focaliza en la ejecución de las operaciones diarias, un mantenimiento programado estructurado y la réplica de copias de seguridad. Para cotejar su alineamiento con los objetivos de la organización se hace imprescindible su monitorización y administración para medir su evolución en el proceso de mejora continua. Marcos de gestión de servicios Los marcos de gestión de servicios más empleados en el control de la operativa TI son COBIT e ITIL, que proporcionan un punto de referencia sobre cómo administrar y monitorear las operaciones y se ajustan a la mayoría de las organizaciones TI. Modelo OSI El modelo OSI de red consta de 7 capas y permite el intercambio de información: La capa física trata sobre los dispositivos y especificaciones eléctricos y físicos, como el cableado o la señalización. La capa de enlace de datos se refiere a la forma en que los datos se transfieren a través de la red. La capa de red se centra en la entrega real de datos de un lado de la red a otro o a redes completamente diferentes. Se hace mediante enrutamiento. La capa de transporte se centra en la fiabilidad de los datos que se transfieren. Aquí es donde se emplean protocolos orientados a la conexión versus protocolos sin conexión, como TCP y UDP. La capa de sesión se ocupa de controlar sesiones con funciones como el establecimiento, finalización y recuperación de sesiones. Los protocolos comunes en esta capa son SIP, sockets y NetBIOS. La capa de presentación se utiliza para convertir datos de un formato sin formato a una forma presentable. El mejor ejemplo es el cifrado/descifrado. La capa de aplicación se centra en programas que interactúan con los usuarios, como, por ejemplo, los clientes de correo electrónico. Los protocolos comunes en esta capa son DNS, DHCP y http. Configuraciones RAID Los niveles RAID también pueden ser importantes para el examen CISA, ya que son fundamentales para comprender ciertos esquemas de protección de datos y opciones de configuración. RAID 0 es el menos protector, al estar dividido en bandas y no puede tolerar una sola falla de unidad, mientras que RAID 6 puede tolerar 2 fallas de unidad. RAID 1 y RAID 5 son similares en su protección. 37 Gestión Tecnológica Tema 9. Ideas clave Gestión de base de datos Los auditores también deben familiarizarse con los sistemas de gestión de bases de datos, especialmente las bases de datos relacionales donde los datos relacionados se ubican en diferentes tablas dentro de una única base de datos. La seguridad en estas bases de datos se centra en tres principios principales: controles de acceso, cifrado y registro de auditoría. Planificación y gestión de capacidad de redes Para comprender la planificación y gestión de la capacidad de las redes, un auditor debe comprender los esquemas de subred y direccionamiento IP sin clase. Esto le indicará al auditor cuánto espacio disponible hay en una subred en particular y lo ayudará a determinar si se debe hacer una recomendación para aumentar o disminuir el alcance de la subred. La división en subredes también ayudará a garantizar la seguridad y el enrutamiento entre varias redes dentro de la misma organización. Replicación, copias de seguridad y rotación de copias de seguridad La replicación se refiere al método de copiar datos de un sitio primario a un sitio secundario, especialmente en el área de almacenamiento de datos en disco, sistema operativo o bases de datos. La replicación puede ser síncrona o asíncrona. La replicación sincrónica se refiere a escribir datos tanto en una ubicación primaria como en una ubicación secundaria al mismo tiempo. La replicación asincrónica, la más utilizada, se refiere en el que los datos se escriben localmente en tiempo real, pero se replican en algún momento en una ubicación secundaria. Las copias de seguridad de datos deben mantener su integridad, disponer de un almacenamiento seguro y tener un protocolo de eliminación y uso. Hay tres tipos de esquemas de respaldo son: La auditoría de este dominio se centra en comprender las complejidades técnicas de la configuración de hardware y software y los conceptos técnicos relacionados con la protección de datos. Cada componente debe tener documentación clara para las políticas, procedimientos y procesos que el auditor puede revisar. 38 Gestión Tecnológica Tema 9. Ideas clave 5.7. Protección de los activos de información El quinto dominio, la protección de los activos de información, es el que refleja un mayor porcentaje de preguntas en el examen CISA 27%. El dominio versa sobre la identificación y protección de activos críticos para la organización efectuando el mismo bajo el método top-down. Actividades del programa de gestión de seguridad En un programa de gestión de seguridad es importante especificar el rol de cada persona para conseguir alcanzar los objetivos del negocio. Los principales procesos que protegen los activos de información y la política de seguridad dentro de una organización son: Gestión de accesos Es la actividad más importante en un programa de gestión de seguridad ya que controla el acceso a los datos confidenciales de una organización. Comprende la gestión de acceso de usuario, la gestión de acceso a la red y la revisión de los registros de accesos. Gestión de acceso de usuario Gestiona todas las formas de acceso de los usuarios a los sistemas. Crea cuentas para nuevos usuarios, incluyendo quien autoriza la nueva cuenta, concede bajas y establece un procedimiento de bajas para accesos físicos y lógicos, garantizando la eliminación de todo posible acceso del usuario dado de baja a archivos o aplicaciones. Gestión de contraseñas Para gestionar contraseñas los auditores deben conocer ciertos conceptos: Bloqueos de cuentas Longitud de la contraseña Complejidad de la contraseña Caducidad de la contraseña Reutilización de contraseña Cambio de contraseña Dispositivos móviles La irrupción de los dispositivos móviles en la sociedad hace que los auditores deban conocer las protecciones comunes para dispositivos móviles: 39 Gestión Tecnológica Tema 9. Ideas clave Políticas de autenticación Cifrado Borrado remoto Restricciones de descarga Controles de seguridad de red Ante las amenazas presentes en la red como suplantación de identidad, espionaje, malware o man in the middle los auditores deben conocer los controles de seguridad de red que protegen de esos ataques: autenticación de usuario o máquina, cifrado, redes conmutadas, el uso de encriptación WPA/WPA2, la segregación de las redes y el requerimiento de VPN, o el aprovechamiento de la autenticación de 2 factores. Controles de acceso Dos modelos de control de acceso importantes para el examen CISA son: El control de acceso obligatorio: controla centralmente y los usuarios no pueden cambiarlo. Cuando se intenta el acceso, el sistema operativo determina si se debe permitir o denegar el acceso en función de las propiedades de acceso del sujeto y el objeto. El control de acceso discrecional: permite al propietario de un objeto determinar qué sujetos tienen acceso. Identificación, autenticación y autorización Comprender las diferencias entre identificación, autenticación y autorización es fundamental para muchas preguntas en el examen CISA: La identificación no requiere prueba y no se cuenta con ella para ningún acceso. La autenticación es el proceso de verificación de identidad, como obtener pruebas además de la identidad, como una contraseña y un segundo factor. La autorización es el proceso para garantizar que un usuario debidamente autenticado tenga acceso adecuado a recursos dentro de la red. Amenazas de malware Una amenaza común para la seguridad de los activos de información es el malware: virus, gusanos, troyanos, spyware o bots. El ingreso de malware a una organización más frecuente es mediante archivos adjuntos maliciosos en el mail o mediante dispositivos USB no autorizados. También puede entrar explotando máquinas sin actualizar, vulnerabilidades de software, configuraciones inseguras o fallos en la arquitectura diseñada. 40 Gestión Tecnológica Tema 9. Ideas clave Seguridad física La seguridad física es otra preocupación para proteger los activos de información. Amenazas de seguridad física como robo, sabotaje, espionaje, puertas traseras, pueden ser mitigadas con: sistemas de tarjeta de acceso, bloqueos de cifrado mediante código para acceder al edificio, bolardos, video vigilancia o guardias de seguridad. ------------------------------------------------------------------------------------- Tema 6 6.2. Fundamentos de la gestión del riesgo La confiabilidad, integridad y disponibilidad de la información empresarial puede verse comprometida por un software malicioso, por los ataques de delincuentes cibernéticos o por el empleo de otras técnicas que habiliten el acceso a los sistemas a personas no autorizadas. Por tanto, es preciso que las organizaciones focalicen parte de su