La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Introducción a la Auditoría Informática

Publicada porMateo Casagrande Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Introducción a la Auditoría Informática"— Transcripción de la presentación:

1 Introducción a la Auditoría Informática
Asignatura: Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista en Redes y Telemática La comunicación como la evidencia más significativa a la hora de tomar decisiones…

2 Nuestro Apoyo al Aprendizaje
Nuestra intención es enriquecer la experiencia de aprender con ayuda de las TICs.

3 Evaluación Diagnóstica
- ¿qué IMPORTANCIA TIENE LA INFORMACIÓN EN LA ORGANIZACIÓN? - ¿qué es in sistema de información? - ¿qué es AUDITORIA? - ¿Qué se entiende por auditoría en informática?

4 BASE TEÓRICA PRINCIPAL
ISACF (2006). "COBIT: Control Objectives for Information and Related Technology". The Information System Audit and Control Foundation, Illinois, EEUU. PIATTINI, M. (ed.) (2000).“Auditing Information Systems”. EEUU, Idea Group Publishing. PIATTINI, M. y DEL PESO, E. (2001). “Auditoría informática: Un enfoque práctico”. 2ª ed. Madrid, Ra-Ma. SOLER, P., PIATTINI, M. y COEIC (2006). “Contratación y gestión informática”. Barcelona, Ed. Aranzadi. UNIVERSIDAD DE CASTILLA-LA MANCHA - ESCUELA SUPERIOR DE INFORMÁTICA – CASOS - Documentos propiedad de Dr. Mario Piattini V., Dr. Ignacio García R. Compilado de MSc.Lorena Moreno Jiménez Sitios web:

5 Antecedentes Originalmente la informática se orientó al apoyo de áreas tales como contabilidad, nóminas, etc., lo que originó la necesidad de conocer y medir el apoyo que la misma realizaba en las áreas antes mencionadas, y a la empresa en general, dando paso al proceso conocido como auditoría a sistemas de información o auditoria de sistemas. Posteriormente, cubrió las áreas de negocio en todos los niveles por medio de productos y servicios variados; proliferaron el uso de computadoras personales e irrumpieron de lleno las redes locales, la integración empresarial a través de las telecomunicaciones y un sinnúmero de componentes de tecnología.

6 Antecedentes De este modo la tarea de los responsables de informática y los auditores de sistemas tradicionales se vió desbordada por estos acontecimientos y les imposibilitó continuar con los métodos utilizados hasta ese entonces Así surgió la necesidad del replanteamiento de fondo y forma de la auditoría en informática, conocida también como auditoría de sistemas, si bien ésta abarca solamente la revisión de los sistemas de información en desarrollo, operación y mantenimiento, siendo éste concepto inadecuado para la auditoría en informática, ya que los elementos de informática susceptibles de revisión y control son muchos y manifiestan diversas complejidades.

7 En la Actualidad… La auditoría en informática se encarga de evaluar y verificar políticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la información, mediante la aplicación de una metodología que debe de ejecutarse con formalidad y oportunidad. La función del auditor en informática es el de funcionar como un punto de control y confianza para la alta dirección o los dueños de la empresa, además debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de conducir siempre a la empresa a optimizar el uso de los recursos informáticos

8 Antecedentes Importancia de la auditoria en informática:
La tecnología informática (hardware, software, redes, bases de datos, etc.) es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado La solución clara es entonces realizar evaluaciones oportunas y completas de la función informática, a cargo de personal calificado, consultores externos, auditores en informática o evaluaciones periódicas realizadas por el mismo personal de informática

9 Antecedentes Importancia de la auditoria en informática:
Existe una obvia necesidad de auditar la función informática, ya que resulta innegable que la misma se ha convertido en una herramienta permanente y necesaria de los procesos principales de los negocios, en un aliado confiable y oportuno. Su auditoría evita errores, fallas, etc., brinda confianza a la empresa ya que el principal insumo organizacional se encuentra resguardado y permanentemente controlado.

10 Terminología de la auditoria en informática
Informática: es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de la información por medios electrónicos, el cual comprende las áreas de la TECNOLOGÍA DE INFORMACIÓN (TI) orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluya de manera oportuna y veraz.

11 Terminología de la auditoria en informática
Auditoria, es un proceso formal y necesario para las empresas que tiene como fin asegurar que sus activos sean protegidos en forma adecuada. Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados American Accounting Association

12 Terminología de la auditoria en informática
Auditoria en informática. Es un proceso formal ejecutado por especialistas del área de auditoria y de informática cuyo objetivo es el de verificar y asegurar que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología informática en la organización, se realicen de manera eficiente y eficaz.

13 Terminología de la auditoria en informática
Las actividades ejecutadas por los profesionales del área de informática y de auditoria están encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.). Dicha evaluación deberá ser la pauta para la entrega del INFORME DE AUDITORIA, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio.

14 SISTEMAS DE INFORMACION
Sistemas de información. Son el conjunto de módulos computacionales organizados e interrelacionados de una manera formal para la administración y uso eficiente de los recursos (humanos, materiales, tecnológicos, etc.) de un área específica de la empresa (manufactura, administración, dirección, etc.) con la finalidad de representar los procesos reales del negocio y orientar los procedimientos, políticas y funciones inherentes para lograr las metas y objetivos del negocio en forma eficiente. Los sistemas de información pueden orientarse al apoyo de los siguientes aspectos: Niveles operativos del negocio Niveles tácticos del negocio Niveles estratégicos del negocio

15 TECNOLOGÍAS DE LA INFORMACIÓN
TI TECNOLOGÍAS DE LA INFORMACIÓN

16 ORIGEN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
Presión para incroporar tecnología en estrategias empresariales Aumento de la complejidad de los entornos de TI Infraestructuras TI fragmentadas Brecha de comunicación entre directivos y gerentes TI Niveles de servicio de TI decepcionantes tanto por parte de las funciones internas de TI como los proveedores externos Costes de TI fuera de control Productividad y ROI marginales sobre inversiones en TI Inflexibilidad organizacional Frustración por parte de los usuarios, dando lugar a soluciones ad-hoc

17 ORIGEN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
Dependencia creciente de la información y los sistemas que la gestionan Vulnerabilidades crecientes y amplio espectro de amenazas Escalado y coste de las inversiones actuales y futuras de la información y los sistemas de información Necesidad de cumplir con leyes y regulaciones Potencial de las TI para cambiar espectacularmente las organizaciones y las prácticas empresariales, crear nuevas oportunidades y reducir costes Reconocimiento por parte de muchas organizaciones de los beneficios potenciales que las TI pueden aportar

18 REQUERIMIENTOS de fiabilidad de los servicios REQUERIMIENTOS legales
GESTIÓN DE SISTEMAS DE INFORMACIÓN EN TI Perspectiva de la gestión de SI/TI IMPACTO en el desarrollo del negocio o actividad empresarial REQUERIMIENTOS de fiabilidad de los servicios REQUERIMIENTOS legales

19 Informática Jurídica 2. Derecho Informático APLICACIONES LEGALES
Diferencias entre: Informática Jurídica 2. Derecho Informático

20 AUDITORIA DE SISTEMAS DE INFORMACION
La Auditoría de Sistemas de Información nace hace más de 35 años justamente como un mecanismo para valorar y evaluar LA CONFIANZA que se puede depositar en los sistemas de información

21 AUDITORIA DE SISTEMAS DE INFORMACION
la AUDITORIA de SI es el PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIAS para DETERMINAR si un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS

22 RESPONSABILIDAD EN AUDITORIA DE SI
Un Auditor de Sistemas de Información debe, entre sus responsabilidades, realizar: 1. La redacción de los procedimientos de control en el área de seguridad lógica 2. La aprobación de nuevos sistemas de gestión 3. Evaluar los riesgos de los sistemas de información 4. Las pruebas del plan de continuidad del negocio

23 RESPONSABILIDAD EN AUDITORIA DE SI
La responsabilidad en último extremo, en una empresa sobre la optimización de la calidad de los SI, y la rentabilidad de los recursos informáticos la tiene: 1. La Dirección de la empresa 2. El auditor de SI interno 3. El responsable de las Tecnologías de la Información 4. El vendedor del software y el hardware

24 OBJETIVOS DE LA AUDITORIA DE SISTEMAS DE INFORMACION

25 OPINIÓN INDEPENDIENTE
OBJETIVOS DE LA AUDITORIA DE SI AUDITORÍA de SI/TIC OPINIÓN INDEPENDIENTE APOYO a la DIRECCIÓN = CONTROL INTERNO

26 REVISIÓN y EVALUACIÓN de todos los aspectos
ISACA La Auditoría de Sistemas de Información se define como cualquier auditoría que abarca la REVISIÓN y EVALUACIÓN de todos los aspectos (o alguna sección/área) de los sistemas automatizados de procesamiento de información, incluyendo procedimientos relacionados no automáticos, y las interrelaciones entre ellos Information Systems Audit & Control Association

27 Se debe DISTINGUIR claramente entre:
Utilización de medios informáticos en la realización de una Auditoría Realización de supervisión o control rutinario informático dentro del entorno de sistemas de información Consultoría en áreas de sistemas de información, seguridad, calidad, etc. Diagnósticos de la fortaleza o seguridad de ciertos mecanismos de seguridad como “pruebas de intrusismo”, etc.

28 una Auditoría de Sistemas de Información
EL OBJETIVO DE una Auditoría de Sistemas de Información ES la EVALUACIÓN y EMISIÓN de una OPINIÓN OBJETIVA e INDEPENDIENTE sobre la FIABILIDAD de un sistema de información

29 OTROS ALCANCES DE LA EVALUACION
LA AI DE SISTEMAS DE INFORMACIÓN EVALÚA: Procedimientos organizativos y operativos Sistemas en producción y participación en nuevos desarrollos La confidencialidad La integridad de la Información Eficiencia o de eficacia de los SI Cumplimiento Legal y Normativo

30 LA AI DE SI ESTÁ PRESENTE EN :
ORGANIZACIÓN DIRECCIÓN y Gestión DESARROLLO e Implantación SERVICIOS - EXPLOTACIÓN SEGURIDAD LOGICA y FISICA CONTINUIDAD del NEGOCIO Etc.

31 ENTORNO DE AI DE SISTEMAS DE INFORMACION
AUDITORÍA EXTERNA AUDITORÍA INTERNA CONTROL INTERNO SOFTWARE DATOS

32 AUDITORIA de SI INTERNA
Actúa de forma continua y periódica, dentro de una planificación a corto y largo plazo, que permite incluir todas y cada una de las áreas relacionadas con TI VENTAJA: formación en el concepto de control de los auditados, y el seguimiento de la implantación de las recomendaciones VALOR AÑADIDO: actúa como control preventivo, contribuyendo a evitar que la empresa incurra en pérdidas o costes elevados

33 AUDITORIA de SI EXTERNA
Su primera ventaja es la independencia de opinión del auditor, y que además puede aportar conocimientos técnicos que aun no se han desarrollado en la empresa, o que la empresa no tiene posibilidad de sustentar Suele solicitarse cuando la empresa detecta síntomas de riesgos de seguridad, en temas de eficiencia/ eficacia de los sistemas de información, o por requerimientos legales

34 COBIT

35 RIESGOS PROTECCION (**)
MODELO DE RIESGO (*) RIESGOS VULNERABILIDAD IMPACTO PROTECCION (**) (*) Basado en el modelo "Infosec"(ref. 92/242/ECC) (**) Incluye los conceptos de control y auditoría de sistemas de información

36 RIESGO La probabilidad de que
se dé un error, falle un proceso, o tenga lugar un hecho negativo para la empresa u organización, incluyendo la posibilidad de fraudes

37 CONTROL el MECANISMO o PROCEDIMIENTO que EVITA o PREVIENE un RIESGO

38 una seguridad razonable
“el sistema de control interno en TI está constituido por las políticas, procedimientos, prácticas y estructuras organizativas diseñadas para proveer una seguridad razonable Diseñadas para que los objetivos empresariales o de negocio sean alcanzados o logrados y que los sucesos indeseados sean detectados, prevenidos y corregidos” COBIT (Governance, control and Audit for Information and Related Technology)

39 en procesos operativos en procesos operativos
Riesgos y controles en procesos operativos MANUALES Riesgos y controles en procesos operativos AUTOMATIZADOS

40 COMPLEMENTARIOS e INTERDEPENDIENTES
CONTROLES COMPLEMENTARIOS e INTERDEPENDIENTES

41 CONTROL INTERNO Revisión periódica de procedimientos de controles establecidos Detección de riesgos Seguimiento de errores o irregularidades

42 dificultad para implantar una
adecuada segregación de funciones obtención de evidencias o pistas de auditoría relevantes, fiables y eficientes complejidad tecnológica

43 SEGREGACIÓN de FUNCIONES
Establecer una división de roles y responsabilidades que excluyan la posibilidad que una SOLA PERSONA PUEDA DOMINAR un PROCESO CRÍTICO

44 ¿Cuál de las siguientes tareas pueden ser realizadas por la misma persona en un centro de cómputo de procesamiento de información bien controlado? Administración de seguridad y administración de cambios Operaciones de cómputo y desarrollo de sistemas Desarrollo de sistemas y administración de cambios Desarrollo de sistemas y mantenimiento de sistemas

45 ¿Cuál de las siguientes funciones es más probable que sea realizada por el administrador de seguridad? Aprobar la política de seguridad Probar el software de aplicación Asegurar la integridad de los datos Mantener las reglas de acceso

46 No admiten desviaciones
POLÍTICAS Provienen de la Dirección Generalmente abarcan objetivos, las metas, filosofías, códigos éticos, y los esquemas de responsabilidades No admiten desviaciones

47 PROCEDIMIENTOS Brindan los pasos específicos
necesarios para lograr las metas Son las medidas o dispositivos necesarias para lograr las directrices de las políticas Evolucionan con la tecnología, la estructura organizativa, y se componen de medidas organizativas y técnicas

48 OBJETIVO DEFINIDO de cada MECANISMO DE CONTROL
En la definición de los controles debe existir un: OBJETIVO DEFINIDO de cada MECANISMO DE CONTROL Interdependencia y conexión con otros controles EVIDENCIAS

49 SEGREGACIÓN de FUNCIONES
En los aspectos organizativos debe haber: SEGREGACIÓN de FUNCIONES IDENTIFICACIÓN de RESPONSABILIDAD INDEPENDENCIA de la SUPERVISIÓN

50 T.I. tienen una necesidad creciente de disponer de una
La Dirección deberá decidir sobre el nivel de riesgo que está dispuesta a aceptar, ello implica equilibrar el riesgo y el costo Los usuarios de los servicios de T.I. tienen una necesidad creciente de disponer de una SEGURIDAD RAZONABLE

51 CONTROLES versus COSTE/BENEFICIO de los CONTROLES
Todo control y medida preventiva implica un coste monetario para su IMPLANTACIÓN y MANTENIMIENTO Desembolso que puede evitar pérdidas mayores en el futuro, y por lo tanto puede dar lugar a la RECUPERACIÓN de la INVERSIÓN NO siempre es fácil IDENTIFICAR y CUANTIFICAR que riesgos pueden provocar daño o fraude, y que pérdidas concretas

52 ESQUEMA BÁSICO MATERIALIDAD de los RIESGOS
CONTROLES NECESARIOS COMPARACION de CONTROL versus COSTE DEFINICIÓN de los CONTROLES

53 Un auditor de SI está auditando los controles relativos al despido/retiro de empleados. ¿Cuál de los siguientes aspectos es el más importante que debe ser revisado? El personal relacionado de la compañía es notificado sobre el despido/retiro El usuario y las contraseñas del empleado han sido eliminadas Los detalles del empleado han sido eliminados de los archivos activos de la nómina Los bienes de la compañía provistos al empleado han sido devueltos

54 Cuando se revisa un acuerdo de nivel de servicio para un centro de cómputo contratado con terceros (outsourcing), un auditor de SI debería PRIMERO determinar que El coste propuesto para los servicios es razonable Los mecanismos de seguridad están especificados en el contrato Los servicios contratados están basados en un análisis de las necesidades del negocio El acceso de la auditoría al centro de cómputo esté permitido conforme al contrato

55 Un auditor de SI que hace una auditoría de procedimiento de monitoreo de hardware debe revisar:
reportes de disponibilidad del sistema reportes coste-beneficio reportes de tiempo de respuesta reportes de utilización de bases de datos

56 Un auditor de SI cuando revisa una red utilizada para las comunicaciones de Internet, examinará primero la validez de los casos en que se hayan efectuado cambios de contraseña la arquitectura de la aplicación cliente/servidor la arquitectura y el diseño de la red la protección de firewall y los servidores proxy

Descargar ppt "Introducción a la Auditoría Informática"

Presentaciones similares

EL RIS COMO INSTRUMENTO DE LA POLITICA DE INNOVACION REGIONAL Santiago, 19 de Marzo de 2013 ERI - RIS (Estrategia Regional de Innovación)

EL RIS COMO INSTRUMENTO DE LA POLITICA DE INNOVACION REGIONAL Santiago, 19 de Marzo de 2013 ERI - RIS (Estrategia Regional de Innovación)
Dirección Estratégica y Calidad Total

Dirección Estratégica y Calidad Total
ASPECTOS TECNOLOGICOS DEL PROYECTO

ASPECTOS TECNOLOGICOS DEL PROYECTO
EL ESPACIO EUROPEO DE EDUCACIÓN SUPERIOR Y LA TEORÍA DEL CAMBIO EN EDUCACIÓN: Avisos para navegantes Juan M. Escudero Muñoz Universidad de Murcia.

EL ESPACIO EUROPEO DE EDUCACIÓN SUPERIOR Y LA TEORÍA DEL CAMBIO EN EDUCACIÓN: Avisos para navegantes Juan M. Escudero Muñoz Universidad de Murcia.
Abre los ojos a Crece. P l a n e a c i ó n Objetivo: Utilizar esta herramienta en las actividades diarias de tu negocio.

Abre los ojos a Crece. P l a n e a c i ó n Objetivo: Utilizar esta herramienta en las actividades diarias de tu negocio.
Eurowin 2013 Gestión de Proyectos y Obras

Eurowin 2013 Gestión de Proyectos y Obras
DOCENCIA POSITIVA El modelo educativo del

DOCENCIA POSITIVA El modelo educativo del
Negociación Eficaz. Negociación Eficaz Definición: La negociación es un proceso inherente al ser humano en su relación con los demás Negociar es el.

Negociación Eficaz. Negociación Eficaz Definición: La negociación es un proceso inherente al ser humano en su relación con los demás Negociar es el.
ÉTICA SOCIAL DIMENSIÓN SOCIAL DE LA ÉTICA ÁMBITOS DE LA VIDA SOCIAL

ÉTICA SOCIAL DIMENSIÓN SOCIAL DE LA ÉTICA ÁMBITOS DE LA VIDA SOCIAL
COMO USAR LA PC POR PIMERA VEZ SARAITH MACHORRO PACHECO 28 JOSE ALBERTO LOPEZ RAMIREZ 27 CAPACITACION DE INFORMATICA GRUPO 302.

COMO USAR LA PC POR PIMERA VEZ SARAITH MACHORRO PACHECO 28 JOSE ALBERTO LOPEZ RAMIREZ 27 CAPACITACION DE INFORMATICA GRUPO 302.
copyright teddy gauthier

copyright teddy gauthier
EMPRESA Es toda persona que trabaja bajo un producto o servicio con el fin de lucrar u obtener ganancias. Se entiende por empresa al organismo social.

EMPRESA Es toda persona que trabaja bajo un producto o servicio con el fin de lucrar u obtener ganancias. Se entiende por empresa al organismo social.
Examen FRAD Empezar. 1. ¿Cu á l es la diferencia entre FRAD y FRANAR? 1.FRAD son las siglas de un grupo de trabajo de OCLC y FRANAR las siglas de un grupo.

Examen FRAD Empezar. 1. ¿Cu á l es la diferencia entre FRAD y FRANAR? 1.FRAD son las siglas de un grupo de trabajo de OCLC y FRANAR las siglas de un grupo.
“Todos por Quinchía con Acción y Decisión”

“Todos por Quinchía con Acción y Decisión”
WIN SOLUTIONS Asistencia Integral. Asesoramiento y asistencia –Cualquier empresa actual necesita de un experto o equipo de expertos para asesorarle en.

WIN SOLUTIONS Asistencia Integral. Asesoramiento y asistencia –Cualquier empresa actual necesita de un experto o equipo de expertos para asesorarle en.
LABORATORIO DE IDIOMAS. El Tell Me More tiene 3 niveles.

LABORATORIO DE IDIOMAS. El Tell Me More tiene 3 niveles.
Inicia: 02 de septiembre de 2013 Finaliza: 08 de diciembre de 2013.

Inicia: 02 de septiembre de 2013 Finaliza: 08 de diciembre de 2013.
Inicia: 02 de septiembre de 2013 Finaliza: 06 de diciembre de 2013.

Inicia: 02 de septiembre de 2013 Finaliza: 06 de diciembre de 2013.
QUE ES LA WEB 2.0 WEB 2.0 Y EDUCACION TIPOS DE HERRAMIENTAS WEB 2.0 HERRAMIENTAS Y EJEMPLOS DE APLICACION DONDE BUSCAR APLICACIONES WEB 2.0 VENTAJAS DE.

QUE ES LA WEB 2.0 WEB 2.0 Y EDUCACION TIPOS DE HERRAMIENTAS WEB 2.0 HERRAMIENTAS Y EJEMPLOS DE APLICACION DONDE BUSCAR APLICACIONES WEB 2.0 VENTAJAS DE.
Tutorización individual a través de internet de una unidad de álgebra lineal. Nivel preuniversitario Lourdes Figueiras Ocaña Asesor: Josep Maria Fortuny.

Tutorización individual a través de internet de una unidad de álgebra lineal. Nivel preuniversitario Lourdes Figueiras Ocaña Asesor: Josep Maria Fortuny.

Presentaciones similares

Anuncios Google