M. Sc. Miguel Cotaña Mier Lp, Noviembre 2020

14.6. Normas de Buenas Prácticas

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

Carrera de Contaduría Pública

GABINETE DE AUDITORIA DE

SISTEMAS

2

Desde un tiempo atrás, la sociedad estestigo de la existencia de publicacionesde normas y “buenas prácticas” sobre lagestión y la seguridad de las TIC´s,algunas totalmente nuevas, otras conactualizaciones periódicas y otrassimplemente “remozadas”.

INTRODUCCIÓN

3

En muchos de estos casos, estas normas ybuenas prácticas están relacionadas con elgobierno de TI.La implantación de una norma, en unentorno de TI, no es un obstáculo para quelos ASI puedan emitir un informe o dictamenindependiente, basado en pruebasindependientes, sobre la confianza quepuede depositar en su TI, como soporte desu “negocio” e identificando los riesgos queTI puede implicar.

4

Las mejores prácticas son directrices quepermiten a las empresas modelar susprocesos para que se ajusten a sus propiasnecesidades, proporcionan a las empresas y/oorganizaciones métodos utilizados paraestandarizar procesos y administrar de unamejor manera los entornos de TI.

MEJORES PRÁCTICAS

5

La necesidad de contar con lineamientosy herramientas estándar para elejercicio de la ASI ha promovido lacreación y desarrollo de mejoresprácticas como:

6

Es la base sobre la que se construye la tomade decisiones de una organización. Sinaseguramiento, las empresas no tienencertidumbre de que la información sobre laque sustentan sus decisiones es confiable,segura y está disponible cuando se lenecesita.

ASEGURAMIENTO DE LA INFORMACIÓN

7

Definimos Aseguramiento de la Informacióncomo “la utilización de información y dediferentes actividades operativas, con el fin deproteger la información, los sistemas deinformación y las redes de forma que sepreserve la disponibilidad, integridad,confidencialidad, autenticación y el norepudio, ante el riesgo de impacto deamenazas locales, o remotas a través decomunicaciones e Internet”.

8

Una tarea de aseguramiento puede darse acualquier nivel, por lo que a continuación sedescribe brevemente las más importantes:Aseguramiento de los Datos: Referente lainformación histórica o prospectiva,probabilística e indicadores de desempeño;Aseguramiento de los Procesos: Basadoprincipalmente en controles internos yprocedimientos establecidos para laprotección de intereses;

9

Aseguramiento del Comportamiento:Conformidad con normas, regulaciones omejores prácticas;Aseguramiento del Sistema de Gestión:En la que los objetivos del negocio sonestablecidos para proteger a todos losinvolucrados: directivos y empleados.

10

La administración del aseguramiento de lacalidad valida que los SI producidos por lafunción de sistemas de información logren lasmetas de calidad y que el desarrollo,implementación, operación, y mantenimientode dichos sistemas, cumplan con un conjuntode normas de calidad.

ASEGURAMIENTO DE LA CALIDAD

11

Debido a esto, mejorar la calidad del softwarees parte de una tendencia universal entre lasorganizaciones proveedoras para mejorar lacalidad de los productos y los servicios queofrecen, agregando valor a los controles deproducción, implementación, operación ymantenimiento del software.

12

Vigente apartir del1ro. denoviembrede 2012

Normas de TIC

13

Es el examen objetivo, crítico, metodológico yselectivo de evidencia relacionada con políticas,prácticas, procesos y procedimientos en materia detecnologías de la información y la comunicación,para expresar una opinión independiente respecto:a) A la confidencialidad, integridad, disponibilidad yconfiabilidad de la información.

b) Al uso eficaz de los recursos tecnológicos.c) A la eficacia del control interno asociado a losprocesos de las Tecnologías de la Información yla Comunicación.

14

La auditoría de TIC está definidaprincipalmente por sus objetivos y puede serorientada hacia uno o varios de los siguientesenfoques:a) Enfoque a las seguridades;b) Enfoque a la información;c) Enfoque a la infraestructura tecnológica;d) Enfoque al software de aplicación;e) Enfoque a las comunicaciones y redes.

15

La auditoría detecnologías de lainformación y lacomunicación se debeplanificar en formametodológica, paraalcanzareficientemente losobjetivos de la misma.

1ra. Norma: PLANIFICACIÓN

16

Personal competentedebe supervisarsistemática yoportunamente eltrabajo realizado porlos profesionales queconformen el equipode auditoría.

2da. Norma: SUPERVISIÓN

17

Debe obtenerseuna comprensióndel control internorelacionado con elobjeto del examen.

3ra. Norma: CONTROL INTERNO

18

Debe obtenerseevidenciacompetente ysuficiente comobase razonablepara sustentar loshallazgos yconclusiones delauditorgubernamental.

4ta. Norma: EVIDENCIA

19

La acumulación de evidencia es unproceso integrado a toda la ejecución dela auditoría y debe sustentar todos losatributos de los hallazgos de auditoría:

✓Condición: Situación deficienteencontrada. “Lo que es”;

✓ Criterio: Es la norma contra la cual elauditor mide la condición. “Lo quedebe o debió ser” ;

20

✓ Causa: Párrafo donde el auditor detallalas razones por las cuales a su juicio,ocurrió la condición observada. “Porqué ocurrió la condición”;

✓ Efecto: Es la consecuencia real opotencial, cuantitativa o cualitativa de lacondición descrita. “La diferenciaentre lo que es y debió ser”

RecomendaciónComentario de la entidadConclusión.

21

Recomendaciones generales con el propósito de minimizar los riesgos y eliminar las causas detectadas que afectan a: la integridad y confiabilidad de la información gestionada en XX.

COMENTARIOS Y SUGERENCIAS RESULTANTES DE LA EVALUACIÓN DE LOS SISTEMAS DE INFORMACIÓN

1 Necesidad de una Auditorías de Sistemas

2 Necesidad de actualizar e implementar normas políticas y procedimientos para la administración de las tareas relacionadas con tecnología de la información

3 Recomendaciones para la seguridad física del centro de cómputo

4 Debilidades en el proceso de desarrollo y mantenimiento de componentes y/o sistemas de información.

5 Debilidades en las copias de respaldo

6 Necesidad de implementar modificaciones y bajas automáticas en la gestión de claves.

22

3 RECOMENDACIONES PARA LA SEGURIDAD FÍSICA DEL CENTRO DE CÓMPUTO

Condición

Como resultado de la evaluación de seguridad física realizada al Centro de Cómputo de

la Entidad, se observó que el Data Center al ser un activo informático, no se ubica en un

lugar adecuado para garantizar la seguridad de los equipos donde residen los sistemas del

Programa.

Por otro lado, el acceso al área de sistemas ni al Centro de Cómputo es controlado, como

especifica el Manual de Seguridad y Contingencias.

No se aplica correctamente el Cableado Estructurado.

23

Criterio

De acuerdo con la ISO 27002, en su apartado 9.2.1 "Ubicación y protección del

equipamiento", los equipos deben ser ubicados y protegidos para reducir los riegos

ocasionados por amenazas y peligros ambientales y oportunidades de accesos no

autorizados.

Asimismo, el Estándar TIA-942 se encarga de brindar los requerimientos y lineamientos

necesarios para el diseño e instalación del Data Center.

La aplicación de infraestructura con componentes redundantes (TIER II), infraestructura

con mantenimiento simultaneo (TIER III) e infraestructura tolerante a fallos (TIER IV), control

de ingreso y salida, tanto de personal autorizado y no autorizado y Cableado Estructurado,

deben ser considerados a la hora de implementar un Data Center.

24

Causa

Este aspecto no fue considerado con anterioridad.

Efecto

El no contar con infraestructura adecuada reduce las medidas de seguridad básicas de

protección del equipamiento, incrementa el riesgo de que se generen accesos no

autorizados a la información y que los equipos puedan sufrir amenazas físicas y ambientales

las cuales deriven en la interrupción de las operaciones del programa por falta de los

sistemas de información.

25

Recomendación

Debería considerarse que el ambiente de procesamiento de datos cuente con las

siguientes medidas como ser:

• Empresas que dan soporte 24/7;

• Servicios 24x365;

• Manejo térmico;

• Software de administración de infraestructura física diseñada como solución

integral;

• Detección y supresión de incendios;

• Generadores de energía

• Cajas ignifugas, para el resguardo de los medios de almacenamiento removibles

(tales como cintas, discos ópticos, etc.)

• Armarios especiales con algún tipo de dispositivo de cierre;

• Monitoreo y personal de seguridad 7x24;

• Acceso restringido a través de tarjetas de proximidad y sensores biométricos de

huella, temperatura corporal y de iris;

• Resguardo físico por vidrios anti-balas nivel 7 y puertas de acero;

• Sistemas de detección de intrusos;

Sistemas de análisis de seguridad de activos.

26

Comentario de la entidad:

Se tomará en cuenta la presente recomendación, acorde con la propuesta de

modernización de las Tecnologías de la Información presentada por la Unidad de Sistemas,

evaluando la posibilidad institucional de realizar mejoras en el ambiente y otros

requerimientos relacionados, si el caso amerita.