La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista.

Presentaciones similares


Presentación del tema: "La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista."— Transcripción de la presentación:

1 La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista en Redes y Telemática Asignatura:

2 Nuestra intención es enriquecer la experiencia de aprender con ayuda de las TICs.

3 Evaluación Diagnóstica

4 ISACF (2006). "COBIT: Control Objectives for Information and Related Technology". The Information System Audit and Control Foundation, Illinois, EEUU. PIATTINI, M. (ed.) (2000).Auditing Information Systems. EEUU, Idea Group Publishing. PIATTINI, M. y DEL PESO, E. (2001). Auditoría informática: Un enfoque práctico. 2ª ed. Madrid, Ra-Ma. SOLER, P., PIATTINI, M. y COEIC (2006). Contratación y gestión informática. Barcelona, Ed. Aranzadi. UNIVERSIDAD DE CASTILLA-LA MANCHA - ESCUELA SUPERIOR DE INFORMÁTICA – CASOS - Documentos propiedad de Dr. Mario Piattini V., Dr. Ignacio García R. Compilado de MSc.Lorena Moreno Jiménez Sitios web:

5 5 Originalmente la informática se orientó al apoyo de áreas tales como contabilidad, nóminas, etc., lo que originó la necesidad de conocer y medir el apoyo que la misma realizaba en las áreas antes mencionadas, y a la empresa en general, dando paso al proceso conocido como auditoría a sistemas de información o auditoria de sistemas. Posteriormente, cubrió las áreas de negocio en todos los niveles por medio de productos y servicios variados; proliferaron el uso de computadoras personales e irrumpieron de lleno las redes locales, la integración empresarial a través de las telecomunicaciones y un sinnúmero de componentes de tecnología.

6 6 De este modo la tarea de los responsables de informática y los auditores de sistemas tradicionales se vió desbordada por estos acontecimientos y les imposibilitó continuar con los métodos utilizados hasta ese entonces Así surgió la necesidad del replanteamiento de fondo y forma de la auditoría en informática, conocida también como auditoría de sistemas, si bien ésta abarca solamente la revisión de los sistemas de información en desarrollo, operación y mantenimiento, siendo éste concepto inadecuado para la auditoría en informática, ya que los elementos de informática susceptibles de revisión y control son muchos y manifiestan diversas complejidades.

7 7 La auditoría en informática se encarga de evaluar y verificar políticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la información, mediante la aplicación de una metodología que debe de ejecutarse con formalidad y oportunidad. La función del auditor en informática es el de funcionar como un punto de control y confianza para la alta dirección o los dueños de la empresa, además debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de conducir siempre a la empresa a optimizar el uso de los recursos informáticos

8 8 La tecnología informática (hardware, software, redes, bases de datos, etc.) es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado La solución clara es entonces realizar evaluaciones oportunas y completas de la función informática, a cargo de personal calificado, consultores externos, auditores en informática o evaluaciones periódicas realizadas por el mismo personal de informática

9 9 Existe una obvia necesidad de auditar la función informática, ya que resulta innegable que la misma se ha convertido en una herramienta permanente y necesaria de los procesos principales de los negocios, en un aliado confiable y oportuno. Su auditoría evita errores, fallas, etc., brinda confianza a la empresa ya que el principal insumo organizacional se encuentra resguardado y permanentemente controlado.

10 10 Informática: es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de la información por medios electrónicos, el cual comprende las áreas de la TECNOLOGÍA DE INFORMACIÓN (TI) orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluya de manera oportuna y veraz.

11 11 Auditoria, es un proceso formal y necesario para las empresas que tiene como fin asegurar que sus activos sean protegidos en forma adecuada. Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados American Accounting Association

12 12 Auditoria en informática. Es un proceso formal ejecutado por especialistas del área de auditoria y de informática cuyo objetivo es el de verificar y asegurar que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología informática en la organización, se realicen de manera eficiente y eficaz.

13 13 Dicha evaluación deberá ser la pauta para la entrega del INFORME DE AUDITORIA, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio. Las actividades ejecutadas por los profesionales del área de informática y de auditoria están encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.).

14 14 Sistemas de información. Son el conjunto de módulos computacionales organizados e interrelacionados de una manera formal para la administración y uso eficiente de los recursos (humanos, materiales, tecnológicos, etc.) de un área específica de la empresa (manufactura, administración, dirección, etc.) con la finalidad de representar los procesos reales del negocio y orientar los procedimientos, políticas y funciones inherentes para lograr las metas y objetivos del negocio en forma eficiente. Los sistemas de información pueden orientarse al apoyo de los siguientes aspectos: –Niveles operativos del negocio –Niveles tácticos del negocio –Niveles estratégicos del negocio

15 TECNOLOGÍAS DE LA INFORMACIÓN

16 Presión para incroporar tecnología en estrategias empresariales Aumento de la complejidad de los entornos de TI Infraestructuras TI fragmentadas Brecha de comunicación entre directivos y gerentes TI Niveles de servicio de TI decepcionantes tanto por parte de las funciones internas de TI como los proveedores externos Costes de TI fuera de control Productividad y ROI marginales sobre inversiones en TI Inflexibilidad organizacional Frustración por parte de los usuarios, dando lugar a soluciones ad-hoc

17 Dependencia creciente de la información y los sistemas que la gestionan Vulnerabilidades crecientes y amplio espectro de amenazas Escalado y coste de las inversiones actuales y futuras de la información y los sistemas de información Necesidad de cumplir con leyes y regulaciones Potencial de las TI para cambiar espectacularmente las organizaciones y las prácticas empresariales, crear nuevas oportunidades y reducir costes Reconocimiento por parte de muchas organizaciones de los beneficios potenciales que las TI pueden aportar

18 IMPACTO en el desarrollo del negocio o actividad empresarial REQUERIMIENTOS de fiabilidad de los servicios REQUERIMIENTOS legales Perspectiva de la gestión de SI/TI

19 Diferencias entre: 1.Informática Jurídica 2.Derecho Informático

20 La Auditoría de Sistemas de Información nace hace más de 35 años justamente como un mecanismo para valorar y evaluar LA CONFIANZA que se puede depositar en los sistemas de información

21 la AUDITORIA de SI es el PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIASparaDETERMINAR si un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS

22 Un Auditor de Sistemas de Información debe, entre sus responsabilidades, realizar: 1.La redacción de los procedimientos de control en el área de seguridad lógica 2.La aprobación de nuevos sistemas de gestión 3.Evaluar los riesgos de los sistemas de información 4.Las pruebas del plan de continuidad del negocio

23 La responsabilidad en último extremo, en una empresa sobre la optimización de la calidad de los SI, y la rentabilidad de los recursos informáticos la tiene: 1.La Dirección de la empresa 2.El auditor de SI interno 3.El responsable de las Tecnologías de la Información 4.El vendedor del software y el hardware

24

25 APOYO a la DIRECCIÓN AUDITORÍA de SI/TIC CONTROL INTERNO OPINIÓN INDEPENDIENTE =

26 La Auditoría de Sistemas de Información se define como cualquier auditoría que abarca la REVISIÓN y EVALUACIÓN de todos los aspectos (o alguna sección/área) de los sistemas automatizados de procesamiento de información, incluyendo procedimientos relacionados no automáticos, y las interrelaciones entre ellos Information Systems Audit & Control Association

27 Se debe DISTINGUIR claramente entre: Utilización de medios informáticos en la realización de una Auditoría Realización de supervisión o control rutinario informático dentro del entorno de sistemas de información Consultoría en áreas de sistemas de información, seguridad, calidad, etc. Diagnósticos de la fortaleza o seguridad de ciertos mecanismos de seguridad como pruebas de intrusismo, etc.

28 EL OBJETIVO DE una Auditoría de Sistemas de Información ES la EVALUACIÓN y EMISIÓN de una OPINIÓN OBJETIVA e INDEPENDIENTE sobre la FIABILIDAD de un sistema de información

29 Procedimientos organizativos y operativos Procedimientos organizativos y operativos Sistemas en producción y participación en nuevos desarrollos Sistemas en producción y participación en nuevos desarrollos La confidencialidad La confidencialidad La integridad de la Información La integridad de la Información Eficiencia o de eficacia de los SI Eficiencia o de eficacia de los SI Cumplimiento Legal y Normativo Cumplimiento Legal y Normativo LA AI DE SISTEMAS DE INFORMACIÓN EVALÚA:

30 ORGANIZACIÓN ORGANIZACIÓN DIRECCIÓN y Gestión DIRECCIÓN y Gestión DESARROLLO e Implantación DESARROLLO e Implantación SERVICIOS - EXPLOTACIÓN SERVICIOS - EXPLOTACIÓN SEGURIDAD LOGICA y FISICA SEGURIDAD LOGICA y FISICA CONTINUIDAD del NEGOCIO CONTINUIDAD del NEGOCIO Etc. Etc.

31 DATOS SOFTWARE CONTROL INTERNO AUDITORÍA INTERNA AUDITORÍA EXTERNA

32 Actúa de forma continua y periódica, dentro de una planificación a corto y largo plazo, que permite incluir todas y cada una de las áreas relacionadas con TI VENTAJA: formación en el concepto de control de los auditados, y el seguimiento de la implantación de las recomendaciones VALOR AÑADIDO: actúa como control preventivo, contribuyendo a evitar que la empresa incurra en pérdidas o costes elevados

33 Su primera ventaja es la independencia de opinión del auditor, y que además puede aportar conocimientos técnicos que aun no se han desarrollado en la empresa, o que la empresa no tiene posibilidad de sustentar Suele solicitarse cuando la empresa detecta síntomas de riesgos de seguridad, en temas de eficiencia/ eficacia de los sistemas de información, o por requerimientos legales

34

35 MODELO DE RIESGO (*) RIESGOS VULNERABILIDAD IMPACTO (*) Basado en el modelo "Infosec"(ref. 92/242/ECC) (**) Incluye los conceptos de control y auditoría de sistemas de información PROTECCION (**)

36 RIESGO La probabilidad de que se dé un error, falle un proceso, o tenga lugar un hecho negativo para la empresa u organización, incluyendo la posibilidad de fraudes

37 el MECANISMO o PROCEDIMIENTO que EVITA o PREVIENE un RIESGO CONTROLCONTROLCONTROLCONTROL

38 el sistema de control interno en TI está constituido por las políticas, las políticas, procedimientos, procedimientos, prácticas y estructuras organizativas prácticas y estructuras organizativas diseñadas para proveer una seguridad razonable Diseñadas para que los objetivos empresariales o de negocio sean alcanzados o logrados y que los sucesos indeseados sean detectados, prevenidos y corregidos COBIT (Governance, control and Audit for Information and Related Technology)

39 Riesgos y controles en procesos operativos MANUALES Riesgos y controles en procesos operativos AUTOMATIZADOS

40 CONTROLES COMPLEMENTARIOSeINTERDEPENDIENTES

41 CONTROL INTERNO Revisión periódica de procedimientos de controles establecidos Detección de riesgos Seguimiento de errores o irregularidades

42 dificultad para implantar una dificultad para implantar una adecuada segregación de funciones obtención de evidencias o pistas obtención de evidencias o pistas de auditoría relevantes, fiables y eficientes complejidad tecnológica complejidad tecnológica

43 SEGREGACIÓN de FUNCIONES Establecer una división de roles y responsabilidades que excluyan la posibilidad que una SOLA PERSONA PUEDA DOMINAR un PROCESO CRÍTICO

44 ¿Cuál de las siguientes tareas pueden ser realizadas por la misma persona en un centro de cómputo de procesamiento de información bien controlado? 1.Administración de seguridad y administración de cambios 2.Operaciones de cómputo y desarrollo de sistemas 3.Desarrollo de sistemas y administración de cambios 4.Desarrollo de sistemas y mantenimiento de sistemas

45 ¿Cuál de las siguientes funciones es más probable que sea realizada por el administrador de seguridad? 1.Aprobar la política de seguridad 2.Probar el software de aplicación 3.Asegurar la integridad de los datos 4.Mantener las reglas de acceso

46 No admiten desviaciones Provienen de la Dirección POLÍTICAS Generalmente abarcan objetivos, las metas, filosofías, códigos éticos, y los esquemas de responsabilidades

47 PROCEDIMIENTOS Brindan los pasos específicos Brindan los pasos específicos necesarios para lograr las metas Son las medidas o dispositivos Son las medidas o dispositivos necesarias para lograr las directrices de las políticas Evolucionan con la tecnología, la estructura organizativa, y se componen de medidas organizativas y técnicas

48 En la definición de los controles debe existir un: EVIDENCIAS OBJETIVO DEFINIDO de cada MECANISMO DE CONTROL Interdependencia y conexión con otros controles

49 SEGREGACIÓN de FUNCIONES IDENTIFICACIÓN de RESPONSABILIDAD INDEPENDENCIA de la SUPERVISIÓN En los aspectos organizativos debe haber:

50 La Dirección deberá decidir La Dirección deberá decidir sobre el nivel de riesgo que está dispuesta a aceptar, ello implica equilibrar el riesgo y el costo Los usuarios de los servicios de Los usuarios de los servicios de T.I. tienen una necesidad creciente de disponer de una SEGURIDAD RAZONABLE SEGURIDAD RAZONABLE

51 CONTROLES versus COSTE/BENEFICIO de los CONTROLES Todo control y medida preventiva implica un coste monetario para su IMPLANTACIÓN y MANTENIMIENTO IMPLANTACIÓN y MANTENIMIENTO NO siempre es fácil IDENTIFICAR y CUANTIFICAR que riesgos pueden provocar daño o fraude, y que pérdidas concretas Desembolso que puede evitar pérdidas mayores en el futuro, y por lo tanto puede dar lugar a la RECUPERACIÓN de la INVERSIÓN

52 ESQUEMA BÁSICO MATERIALIDAD de los RIESGOS CONTROLES NECESARIOS COMPARACION de CONTROL versus COSTE DEFINICIÓN de los CONTROLES

53 Un auditor de SI está auditando los controles relativos al despido/retiro de empleados. ¿Cuál de los siguientes aspectos es el más importante que debe ser revisado? 1.El personal relacionado de la compañía es notificado sobre el despido/retiro 2.El usuario y las contraseñas del empleado han sido eliminadas 3.Los detalles del empleado han sido eliminados de los archivos activos de la nómina 4.Los bienes de la compañía provistos al empleado han sido devueltos

54 Cuando se revisa un acuerdo de nivel de servicio para un centro de cómputo contratado con terceros (outsourcing), un auditor de SI debería PRIMERO determinar que 1.El coste propuesto para los servicios es razonable 2.Los mecanismos de seguridad están especificados en el contrato 3.Los servicios contratados están basados en un análisis de las necesidades del negocio 4.El acceso de la auditoría al centro de cómputo esté permitido conforme al contrato

55 Un auditor de SI que hace una auditoría de procedimiento de monitoreo de hardware debe revisar: 1.reportes de disponibilidad del sistema 2.reportes coste-beneficio 3.reportes de tiempo de respuesta 4.reportes de utilización de bases de datos

56 Un auditor de SI cuando revisa una red utilizada para las comunicaciones de Internet, examinará primero 1.la validez de los casos en que se hayan efectuado cambios de contraseña 2.la arquitectura de la aplicación cliente/servidor 3.la arquitectura y el diseño de la red 4.la protección de firewall y los servidores proxy


Descargar ppt "La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista."

Presentaciones similares


Anuncios Google