METODOLOGIA DE CONTROL INTERNO Y AUDITORIA INFORMATICA

METODOLOGÍA DE CONTROL INTERNO Y AUDITORIA INFORMÁTICA

Método. Modo de decir o hacer con orden una cosa.

Metodología. Conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal. Esto quiere decir que cualquier proceso científico debe estar sujeto a una metodología.

Las metodologías usadas por un profesional dicen mucho de su forma de entender su trabajo, y están directamente relacionadas con su experiencia profesional. Asimismo una metodología es necesaria para que un equipo de profesionales alcance un resultado homogéneo tal como si lo hiciera uno solo.

Como la informática es una materia compleja en todos sus aspectos, por lo que se hace necesaria la utilización de metodologías en cada doctrina que la componen, desde su diseño de ingeniería, desarrollo del software y la auditoría de los sistemas de información.

El uso de métodos de auditoría es casi paralelo al nacimiento de la informática, en la que existen muchas disciplinas cuyo uso de metodologías constituye una práctica habitual. Una de ellas es la seguridad de los sistemas de información.

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN.

Es la doctrina que trata de los riesgos informáticos o creados por la informática. Proceso de protección y preservación de la información y de sus medios de proceso. Es por esto que la auditoría está muy involucrada con este proceso.

Existen riesgos informáticos de los que hay que proteger a la entidad con una serie de contramedidas, y la calidad y eficacia de las mismas es el objetivo a evaluar para poder identificar así sus puntos débiles y mejorarlos. Esta es una de las funciones de los auditores informáticos. Cualquier contramedida nace de la composición de varios factores expresados en el «grafico».

Factores que intervienen en la composición de una contramedida.

a. La normativa

Debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el punto de vista conceptual, como práctico, desde lo general a lo particular.

Debe inspirarse en:

• Políticas

• Marco jurídico

• Políticas y normas de la empresa

• Experiencia

• Prácticas profesionales

b. La organización

La integran las personas con funciones específicas y con actuaciones concretas, procedimientos definidos metodológicamente y aprobados por la dirección de la empresa. Sin el nada es posible.

• Funciones

• Procedimientos

• Planes (seguridad, contingencia, auditorías, etc.)

c. Las metodologías

Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.

d. Los objetivos de control

Son los objetivos a cumplir en el control de procesos y solamente de un planteamiento correcto de los mismos saldrán unos procedimientos eficaces y realistas.

e. Los procedimientos de control

Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control, y por lo tanto deben estar documentados y aprobados por la Dirección.

f. Tecnología de seguridad

Dentro de la tecnología de seguridad están los elementos, ya sean hardware o software, que ayudaran a controlar un riesgo informático. (cifradores, autentificadores, equipos “tolerantes al fallo” etc.)

g. Las herramientas de control

Son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objeto de control

METODOLOGIAS DE EVALUACION DE SISTEMAS

En la seguridad de los sistemas se utilizan todas las metodologías necesarias para realizar un plan de seguridad además de las de auditoría informática.

Las metodologías más comunes de evaluación de sistemas que podemos encontrar son de análisis de riesgos y de diagnósticos de seguridad, las de plan de contingencias, y las de auditoría de controles generales.

Definiciones para profundizar en estas metodologías

1. Amenaza à una persona o cosa vista como posible fuente de peligro o catástrofe (inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.

2. Vulnerabilidad à la situación creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y así afectar al entorno informático (falta de control de acceso lógico, de versiones, inexistencia de un control de soporte magnético, etc.).

3. Riesgo à la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadísticos de cada evento de una base de datos de incidentes).

4. Exposición o Impacto à la evaluación del efecto del riesgo. (es frecuente evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas humanas, imágenes de la empresa, honor, etc.).

FASES DE UN PLAN

 Fase 1. Definición de Objetivos de Control.

o Tarea 1. Análisis de la Empresa: Estudio de los procesos, organigramas y funciones

o Tarea 2. Recopilación de Estándares: Todas las fuentes de información necesarias para conseguir definir los objetivos de control a cumplir. ( ISO, ITSEC, CISA )

o Tarea 3. Definición de los Objetivos de Control.

 Fase 2. Definición de los Controles.

o Tarea 1. Definición de los Controles: Con los Objetivos de Control Definidos, analizamos los procesos y vamos definiendo los distintos controles que se necesiten.

o Tarea 2. Definición de Necesidades Tecnológicas ( HW y Herramientas de control )

o Tarea 3. Definición de los Procedimientos de Control: Se desarrollan los distintos procedimientos

...