tecnosistemas

En la revista

se plantea explicar todo lo relacionado a las Auditoría de Sistemas y lo que conlleva su uso. Aquí encntrarás temas relacionados a: Riesgos a considerar en la Auditoría de Sistemas. Normas Generales en las distintas metodologías de la Auditoría de Sistemas. - Objetivos de Control de la Metodología de Auditoría. -Recopilación de la documentación y evidenia de la Auditoría. -Fallas y debilidades del Sistema Computacional. - Técnicas y herramientas necesarias para identificar los a que se esté expuesto.

Introducción

Hoy en día, los riesgos en la seguridad de información deben ser considerados en el contexto del negocio y las interrelaciones con otras funciones, tales como recursos humanos, desarrollo, producción, operaciones, administración, tecnología de información o finanzas y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos.

Cada organización tiene una misión, es por ello que en esta era digital, las organizaciones que utilizan sistemas tecnológicos para automatizar sus procesos o información deben de ser conscientes de que la administración del riesgo informático juega un rol crítico, siendo su meta principal el de “proteger a la organización y su habilidad de manejar su misión” y no solamente la protección de los elementos informáticos. Además, el proceso no solo debe de ser tratado como una función técnica generada por los expertos en tecnología que operan y administran los sistemas, sino como una función esencial de administración por parte de toda la empresa.

Por lo tanto, el análisis de riesgo informático es un elemento que forma parte del programa de gestión de continuidad de negocio (Business Continuity Management), siendo necesario identificar si existen controles que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), que de no existir, la vulnerabilidad será de riesgo no controlado.

Es por ello que dentro de la evaluación del riesgo es necesario realizar las siguientes acciones como por ejemplo, calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, en el cual se realiza de forma cuantitativa o de forma cualitativa (matriz de riesgos)

Riesgos

RIESGO

• Estupiñán (2015) establece que el riesgo se trata de “la posibilidad de que un evento ocurra y afecte adversamente el cumplimiento de los objetivos, en los procesos, en el personal y en los sistemas internos generando perdigada” Por lo tanto, la gestión de riesgo supone identificar la probabilidad de que una o varias amenazas se conviertan en desastres o fracasos evaluándolas por separado y prediciendo los efectos si se juntan

RIESGO EN AUDITORÍA DE SISTEMAS

• El riesgo es muy diferente debido a que este se trata del riesgo de que el auditor de una opinión de auditoría inapropiada o cuando la información financiera, administrativa, operacional o de gestión está elaborada en forma errónea

Es por ello que el auditor de sistemas puede enfrentarse a tres tipos de riesgos durante una auditoria, los cuales pueden ser:

RIESGO

RIESGOS A CONSIDERAR EN LA AUDITORÍA DE SISTEMAS

Los riesgos inherentes son aquellos que son propios de la naturaleza de la entidad e independientes de su sistema de control interno, es decir, son cada uno de los riesgos que se encuentran presentes en la entidad, antes de considerar las actividades de control establecidas por la gerencia para mitigarlos. En la medida en que el auditor conozca cuáles son los riesgos inherentes de la entidad, este tendrá mayor facilidad para planear la auditoría y decidir dónde concentrará sus esfuerzos.

Por lo tanto, para evaluar cuáles son los riesgos inherentes de la auditoría, es necesario que el auditor obtenga un conocimiento de la entidad que le permita analizar de acuerdo con el sector al que pertenece y a las operaciones que realiza, cuáles son las áreas que podrían tener mayor riesgo de incorrecciones.

disminuye el riesgo de control de la organización, lo que le permite ganar más confianza sobre la evidencia obtenida.

Por último, los riesgos de detección son aquellos que están relacionados con la posibilidad de que los procedimientos de auditoría no detecten ningún tipo de error, ya que hay siempre la posibilidad de que el auditor no detecte el 100% de errores y por esta razón siempre existirá riesgo de detección, aunque sea mínimo. Es por eso que el auditor debe establecer cuál es el riesgo mínimo de detección que va a aceptar, el cual debe ser aquel que le permita asegurar que los estados financieros no contienen errores importantes.

A su vez, los riesgos de control se tratan de aquellos en los que existe la posibilidad de que los controles de la organización no permitan detectar ni corregir los errores a tiempo. Es por ello que al desarrollar procedimientos de auditoría, el auditor

Por lo consiguiente, puede decirse que los riesgos están presentes en cualquier sistema o proceso que se ejecute, ya sea en procesos de producción como servicios, en operaciones financieras y de mercado, por tal razón podemos afirmar que la Auditoría está exenta de concepto.

Normas Generales endistintas Metodologías

de la Auditoría de Sistemas

La metodología de análisis de riesgos se trata de técnicas que se emplean para evaluar los riesgos de un proyecto o un proceso. Estos métodos ayudan a tomar decisiones que permiten implementar medidas de prevención para evitar peligros potenciales o reducir su impacto.

Es por ello que existen diferentes organismos normas que respaldan los procedimientos adecuados al momento de aplicar las diversas metodologías de análisis de riesgo, siendo una ellas el ITIL (Information Technology Infraestructure Library) en el cual proporciona un planteamiento sistemático para la provisión de servicios de TI con calidad. (Jan van Bon, 2008)

La norma ISO 9001, declara que, el propósito de una metodología para el análisis de riesgos es encontrar problemas potenciales que, eventualmente, pueden surgir durante la elaboración de un producto o en la ejecución de un proceso específico.

La norma ISO 31000, se centra de forma exhaustiva en la atención de la gestión del riesgo, como una herramienta para minimizar de forma anticipada las posibles inseguridades que pudieran producirse

ISO/IEC 27001, esta norma, especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).

ISO/IEC 27005, proporciona el “por qué”, “qué” y “cómo” para que las organizaciones puedan gestionar sus riesgos de seguridad de la información de manera efectiva en conformidad con la norma ISO/IEC 27001.

Basilea III, es un estándar internacional que sirve de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos.

La Norma Internacional de Auditoría (NIA)315 de identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno, apartado 3, establece que:

“El objetivo del auditor es identificar y valorar los riesgos de incorrección material, debido a fraude o error, tanto en los estados financieros como en las afirmaciones, mediante el conocimiento de la entidad y de su entorno, incluido su control interno, con la finalidad de proporcionar una base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material”

Ley Sarbanes Oxley (SOX), es una norma impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros.

PCI DSS, es un estándar de Seguridad de Datos para la Industria de Tarjeta de Pago, desarrollado como guía para que ayude a las organizaciones que procesan, almacenan y/o transmiten datos de tarjetahabientes (o titulares de tarjeta), a asegurar dichos datos, con el fin de evitar los fraudes que involucran tarjetas crédito.

Estas son las normas que regulan las metodologías de análisis de riesgo, las cuales pueden ser COBIT 5; ITIL (Biblioteca de Infraestructura de Tecnologías de Información); CRAMM (CCTA Risk Analysis and Management Method) y MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información).

Objetivos de Control de la Metodología de Auditoría

Establecer como prioridad la seguridad y protección de información del sistema computacional y de los recursos informáticos de la empresa

Promover la confiabilidad, oportunidad y veracidad de captación de datos, su procesamiento en el sistema y emisión de informes en la empresa

Implementar métodos, técnicas y procedimientos necesarios para contribuir al eficiente desarrollo de las funciones, actividades y tareas de los servicios computacionales, y satisfacer los requerimientos de sistemas en la empresa

Guzmán, J. (s.f) define a los controles como “un conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos”.

Recopilación de la documentación y evidenciade la Auditoría de Sistemas

DOCUMENTACIÓN

• El auditor deberá documentar los asuntos que son importantes para apoyar las conclusiones expresadas en el informe de auditoría y dejar evidencia de que la auditoría se llevó a cabo de acuerdo con las normas técnicas de trabajo señaladas por los organismos profesionales.

• Diversos autores sustentan que una documentación se refiere al “material, papeles de trabajo preparados por y para, u obtenidos o retenidos por el auditor en conexión con la ejecución de la auditoría” Por lo consiguiente, estos documentos, pueden almacenarse en medios físicos o digitales por el auditor y los datos, presentados en estos documentos, tienen como objetivo auxiliar en la planeación, ejecución, supervisión y revisión del trabajo.

Por otro lado, el auditor deberá registrar en un informe todo lo relacionado a la planeación, la naturaleza, oportunidad y el alcance de los procedimientos de auditoría desarrollados; así como, los resultados y las conclusiones extraídas de la evidencia obtenida. Los papeles de trabajo incluirían el razonamiento del auditor sobre todos los asuntos importantes que requieran un ejercicio de juicio, junto con las conclusiones.

Los contenidos que se deben de reflejar en el informe son: la temática del trabajo, la naturaleza y complejidad de la organización, condición de los sistemas de control internos, las necesidades en las circunstancias particulares, de dirección, supervisión, y revisión del trabajo realizado por los auxiliares, la metodologías y tecnologías de auditoría específicas usadas en el curso del trabajo.

Fallas y DebilidadesDel Sistema Computacional

Hoy en día, toda organización posee muchísimos equipos de esta índole, y como se ha explicado anteriormente si no se mantiene una buena gestión de riesgos se dará lugar a numerosos inconvenientes como fallas o la perdida de valiosos activos

Por lo tanto, la dependencia de las empresas por tecnologías de la información para realizar sus actividades principales de negocio ha generado una alta preocupación por la ciberseguridad, debido a que las vulnerabilidades amenazas informáticas son un riesgo para los sistemas la información de la empresa, sobre todo en el entorno actual, altamente digitalizado y dependiente de servicios tecnológicos.

Es por ello que para poder tomar las medidas adecuadas y proteger los recursos tecnológicos así como la información de la empresa es necesario conocer cuáles son las principales vulnerabilidades que ponen en riesgo la seguridad de la empresa en la red

Se puede decir que una vulnerabilidad se trata de un fallo o debilidad de un sistema de información que pone en riesgo la seguridad de la misma. Se trata de un “agujero” que puede ser producido por un error de configuración, una carencia de procedimientos o un fallo de diseño.

Es por ello que los ciberdelincuentes aprovechan las vulnerabilidades de los sistemas informáticos (por ejemplo, de los sistemas operativos) para poder entrar en los mismos y realizar actividades ilegales, robar información sensible o interrumpir su funcionamiento

El error humano es otra causa de riesgos en ciberseguridad debido a que el usuario siempre tiene el riesgo de cometer un error que pueda generar una vulnerabilidad que suponga una amenaza informática. Por eso en ciberseguridad se tiende a automatizar procesos críticos para minimizar o eliminar el factor de riesgo del error humano.

Debilidades

Las debilidades desde el punto de vista del suministro de energía, se producen por las variaciones de voltaje a las que muchas veces los equipos pueden estar expuestos, ocasionando así, que se dañen los componentes de este.

Cada una de estas debilidades, pueden provocar fallas tales como, procesamiento de datos lento, sobrecalentamiento y ruido en los componentes de los sistemas, errores en la actualización del S.O, reinicios automáticos, errores lógicos, entre otros

Es por ello que actualmente todas las organizaciones deben realizar un análisis de riesgos informáticos y de seguridad, ya que actualmente dependen de la tecnología para realizar la mayoría de sus actividades y de esta manera no disponer de las medidas apropiadas de seguridad expone a las organizaciones a sufrir situaciones graves que pueden ocasionar pérdidas importantes (como periodos de inactividad o pérdida de datos sensibles).

Técnicas y Herramientas Necesarias para Identificar

Riesgos

El auditor debe apoyarse de diversas herramientas a la hora de evaluar los riesgos, principalmente en el proceso de evaluación de los mismos, que le permita que una vez terminado el proceso, documentar toda la información recabada para su análisis posterior.

Las posibles técnicas que puede aplicar el auditor para estos casos, son el desarrollo de talleres de autoevaluación de riesgo y control, mantener conversaciones constantes con los gerentes presidentes de la organización, como con su equipo de gestión riesgo,

También debe hacer una revisión de los planes estratégicos, estudio y análisis del sector a auditar, y de las

Cabe destacar que muchas de estas técnicas han de emplearse ciertas herramientas, las cuales ayudaran al auditor a desarrollar su trabajo en la identificación de riesgo

ejemplo, cuestionario de análisis de riesgo, listas de chequeo, gráficas de flujo de procesos, SWIFT, análisis de árbol de fallas, diagrama causa-efecto y análisis modal de fallos

Conclusiones

La organización tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades.

Cuando se sabe que las innovaciones tecnológicas son cada vez más frecuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos. Una vez que se tienen las recomendaciones, se inician las acciones de distribución de ellas para corregir el entorno y reducir los riesgos a que está sometida la infraestructura humana, tecnológica, de procesos y física que respalda a uno o más procesos de negocio de una organización. De esa manera es posible implementar en los activos analizados, y también en los activos de mismas características que los analizados, las medidas de corrección y tratamiento de las vulnerabilidades.

Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades y amenazas potenciales para su corrección .

Un concepto clave es el análisis de riesgos debido a que tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización

Referencias

A.

A.(2020)

Estupiñán,

Fernández,

y 31.010. Recuperado 25 de octubre de 2022, en: https://proyectosuntref.wixsite.com/proyectos/post/administraci%C3%B3n-del-riesgo-normas-iso-31000-y-31010

G. (2020). Riesgos de auditoría y sus tipos. Recuperado 25 de octubre de 2022, en: https://www.gerencie.com/tipos de riesgos-de-auditoria.html

Gallego,