La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORIA TECNOLOGIAS DE INFORMACION Ing. Yolfer Hernández, CIA Seguridad y Auditoria de Sistemas Ciclo 2009-1.

Presentaciones similares


Presentación del tema: "AUDITORIA TECNOLOGIAS DE INFORMACION Ing. Yolfer Hernández, CIA Seguridad y Auditoria de Sistemas Ciclo 2009-1."— Transcripción de la presentación:

1 AUDITORIA TECNOLOGIAS DE INFORMACION Ing. Yolfer Hernández, CIA Seguridad y Auditoria de Sistemas Ciclo

2 Auditoria de Sistemas de Información: Objetivos, roles y retos del auditor TI. Áreas Específicas de Auditoria: Aplicaciones Desarrollo de Proyectos Explotación Sistemas Comunicaciones / Redes Seguridad Continuidad de Negocios. Ejemplos de Programas de trabajo y Pruebas de auditoria. Estándares internacionales principales Temario – Auditoria TI

3 Auditoría TI Proceso de recolección y evaluación de evidencias para determinar si un sistema computacional resguarda los recursos, mantiene la integridad de los datos, permite el logro de los objetivos de la organización y emplea eficientemente estos recursos. (Weber)

4 Auditoría Auditoría de sistemas Gerencia de sistemas Auditoría tradicional Ciencias de la Computación Ciencia del comportamiento Ingeniero de sistemas

5 Impacto de la auditoría TI Auditoría de SI Organizaciones Mejorar la salvaguarda de los activos Mejorar la integridad de datos Mejorar la efectividad del sistema Mejorar la eficiencia del sistema

6 Comprensión del modelo del negocio. Comprensión del papel de las TIC. Conocimiento sobre cómo actúan las TIC sobre el proceso del negocio. Conocimientos de tecnologías de información. Conocimiento del impacto de sus recomendaciones Retos del auditor

7 Roles y funciones del Auditor TI Evaluar el significado de control dentro de un sistema y ajustar las pruebas necesarias. Revisión de centros de procesamientos de datos. Revisión de plataformas, sistemas operativos, sistemas en producción, redes, etc. Participar en el Ciclo de Vida de Desarrollo del Sistema. Preparar y ejecutar Computer Assisted Audit Techniques (CAATs). Participar en auditorías integradas.

8 Auditoría TI Areas Específicas de Auditoria Desarrollo de Proyectos Aplicaciones Explotación Infraestructura de Sistemas Seguridad Continuidad operativa

9 El Auditor puede participar Como miembro del equipo de desarrollo para identificar fallas o debilidades en etapas tempranas. En revisiones de postimplementación En revisiones de los procesos en sí. Desarrollo de Proyectos

10 Requerimientos del usuario. Análisis Funcional. Diseño. Análisis y Diseño Técnico. Desarrollo (Programación). Pruebas. Implementación ( Entrega a explotación ). Entregables Normas Estándares Desarrollo de Proyectos

11 Verificar y/o asegurar: Adecuado servicio a requerimientos del Negocio Nivel de documentación de sistemas y programas. Pruebas, aprobaciones, y documentación de los cambios a programas y procesos. Entender el flujo de transacciones y la estructura básica de control, incluyendo los aspectos de procesos manuales, automatizados e interfaces Controles de Acceso a librerías de programas, documentación, y archivos. Segregación de funciones y responsabilidades dentro de la función de TI y todas las áreas con las que interactúan. Auditoria de Aplicaciones

12 Revisión de Diseño Especificaciones funcionales: Requerimientos de transacciones, cálculos, flujos de control, etc. Diseño Funcional Diseño de Interfaces con usuarios (E/S) Diseño de Procesos Diseño de Bases de Datos Auditoria de Aplicaciones

13 Desarrollo de pruebas Estrategias de pruebas Diseño de datos de pruebas Caja Negra: Pruebas de especificaciones funcionales Caja Blanca: Cobertura completa, a nivel de Instrucciones, Rutas de lógica Valores Límite: con datos para probar la ejecución de límites mayores, menores e iguales a lo indicado en el programa. Pruebas de esfuerzo operativo y técnico. Auditoria de Aplicaciones

14 Auditoría de Explotación Control de entrada de datos. Gestión de Cambios (Planificación y recepción de aplicaciones). Centro de control y monitoreo de eventos Centro de atención de Usuarios y resolución de problemas Planificacion de procesos Control de resultados.

15 Auditoría de Infraestructura de sistemas Software de comunicaciones. Sistemas Operativos. Software básico y herramientas. Administración de Bases de Datos.

16 Auditoría de Comunicaciones Diseño de la infraestructura de las redes Monitoreo de tráfico y disponibilidad de las redes -> alertas Servicios de transporte y balanceo de tráfico Pruebas de los enlaces de contingencia Inventario de equipos de comunicaciones y servidores de infraestructura y aplicativos Pruebas de vulnerabilidad de la segmentación de redes Proveedores: disponibilidad para escalamiento, upgrades, mantenimiento, costos, etc Detección, registro y resolución de problemas Participación en el diseño de aplicaciones online. Pruebas de acceso a redes y/o servidores según perfiles

17 Auditoría de Seguridad Seguridad Física Seguridad Lógica Seguridad Operativa / Funcional. Seguridad Técnica.

18 Evaluación de arquitectura Revisar la metodología para la evaluación de riesgos y compararla con las mejores prácticas para determinar las brechas. Compruebe que la arquitectura de seguridad reconoce los riesgos e implementa mitigadores, procesos y procedimientos que proveen controles apropiados. Auditoría de Seguridad

19 La arquitectura de seguridad de la empresa separa la información en zonas de redes lógicas para proteger los datos y para aislar a los usuarios. La arquitectura debe proveer servicios de autenticación, autorización, auditoría, detección de intrusos y diseñada utilizando las mejores prácticas y análisis de los riesgos del negocio. Evaluación de arquitectura Auditoría de Seguridad

20 Evaluación del plan de seguridad Basado en las mejores prácticas recomendadas en las 11 secciones de la ISO Planes de Seguridad: proceso de publicación, documentación, revisión y mantenimiento. Los planes deben ser conocidos y aprobados por el dueño del negocio y que están de acuerdo en los riesgos y controles Identificación de los activos de información significativos, que tengan la evaluación de riesgos y controles que lo mitigan Verificar el nivel de concientización por el personal y la responsabilidad de los controles de seguridad Verificar el cumplimiento de las políticas y de la normativa relacionada. Verificar el cumplimiento y valoración de los controles Auditoría de Seguridad

21 Evaluacion de un sistema PKI Revisar el certificado de autoridad y los controles y políticas que la organización mantiene. Probar los sistemas de distribución y administración de certificados para certificar que son procesos claros y bien administrados. Auditoría de Seguridad

22 Evaluacion de acceso biométrico Explore la existencia de planes de contingencia en caso el control falle. Evalúe el proceso de registración, porque en este punto se establece la identidad. Revise oportunidades existentes para evitar estos controles y la aceptación de los empleados. Auditoría de Seguridad

23 Auditoría de Continuidad de Negocios Existencia de un Plan de Continuidad de Negocios: Servicios críticos Organización y Procedimientos Pruebas de los Planes de Contingencia: Sistema de recuperacion Infraestructura alternativa Atención de servicios Retorno a la Normalidad

24 Auditoría Informática Ejemplos de Programas de Trabajo Aplicaciones Controles Generales

25 Estándares de Auditoría En el mundo, han evolucionado las siguientes organizaciones profesionales: American Institute of Certified Public Accountants (AICPA) Canadian Institute of Chartered Accountants (CICA) Institute of Internal Auditors (IIA) Information Systems Audit and Control Association (ISACA) U.S. General Accounting Office.

26 Estándares de Auditoría Informe COSO - ( Committee of Sponsoring Organizations ), de la Comisión de Estudios de Controles Internos -> Para la Gerencia SAC - ( Systems Auditability and Control ), de la Fundación de Investigación del IIA -> Para los Auditores Internos. SAS 55 y SAS 78 - Consideraciones de la estructura de Controles Internos en los Informes de los Estados Financieros, del Instituto Americano de Contadores Públicos (AICPA) -> Auditores Externos COBIT ( Control Objectives for Information and related Technology ), de la Fundación de Auditoría y Control de Sistemas de Información ->Auditores de TI.

27 CISA: Certified Information System Auditor. CISM: Certified Information Security Manager. ESI: European Software Institute. CIA: Certified Internal Auditor. Programas de certificación


Descargar ppt "AUDITORIA TECNOLOGIAS DE INFORMACION Ing. Yolfer Hernández, CIA Seguridad y Auditoria de Sistemas Ciclo 2009-1."

Presentaciones similares


Anuncios Google