La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORIA TECNOLOGIAS DE INFORMACION

Publicada porAdriana Balcazar Modificado hace 10 años

Presentaciones similares

Presentación del tema: "AUDITORIA TECNOLOGIAS DE INFORMACION"— Transcripción de la presentación:

1 AUDITORIA TECNOLOGIAS DE INFORMACION
Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA

2 Temario – Auditoria TI Auditoria de Sistemas de Información: Objetivos, roles y retos del auditor TI. Áreas Específicas de Auditoria: Aplicaciones Desarrollo de Proyectos Explotación Sistemas Comunicaciones / Redes Seguridad Continuidad de Negocios. Ejemplos de Programas de trabajo y Pruebas de auditoria. Estándares internacionales principales

3 Auditoría TI “Proceso de recolección y evaluación de evidencias para determinar si un sistema computacional resguarda los recursos, mantiene la integridad de los datos, permite el logro de los objetivos de la organización y emplea eficientemente estos recursos”. (Weber)

4 Auditoría tradicional
Gerencia de sistemas Auditoría tradicional Ingeniero de sistemas Auditoría de sistemas Ciencia del comportamiento Ciencias de la Computación

5 Impacto de la auditoría TI
Auditoría de SI Organizaciones Mejorar la eficiencia del sistema Mejorar la integridad de datos Mejorar la salvaguarda de los activos Mejorar la efectividad del sistema

6 Retos del auditor Comprensión del modelo del negocio.
Comprensión del papel de las TIC. Conocimiento sobre cómo actúan las TIC sobre el proceso del negocio. Conocimientos de tecnologías de información. Conocimiento del impacto de sus recomendaciones

7 Roles y funciones del Auditor TI
Evaluar el significado de control dentro de un sistema y ajustar las pruebas necesarias. Revisión de centros de procesamientos de datos. Revisión de plataformas, sistemas operativos, sistemas en producción, redes, etc. Participar en el Ciclo de Vida de Desarrollo del Sistema. Preparar y ejecutar Computer Assisted Audit Techniques (CAATs). Participar en auditorías integradas.

8 Auditoría TI Areas Específicas de Auditoria Desarrollo de Proyectos
Aplicaciones Explotación Infraestructura de Sistemas Seguridad Continuidad operativa

9 Desarrollo de Proyectos
El Auditor puede participar Como “miembro” del equipo de desarrollo para identificar fallas o debilidades en etapas tempranas. En revisiones de postimplementación En revisiones de los procesos en sí.

10 Desarrollo de Proyectos
Requerimientos del usuario. Análisis Funcional. Diseño. Análisis y Diseño Técnico. Desarrollo (Programación). Pruebas. Implementación (Entrega a explotación). Entregables Normas Estándares

11 Auditoria de Aplicaciones
Verificar y/o asegurar: Adecuado servicio a requerimientos del Negocio Nivel de documentación de sistemas y programas. Pruebas, aprobaciones, y documentación de los cambios a programas y procesos. Entender el flujo de transacciones y la estructura básica de control, incluyendo los aspectos de procesos manuales, automatizados e interfaces Controles de Acceso a librerías de programas, documentación, y archivos. Segregación de funciones y responsabilidades dentro de la función de TI y todas las áreas con las que interactúan.

12 Auditoria de Aplicaciones
Revisión de Diseño Especificaciones funcionales: Requerimientos de transacciones, cálculos, flujos de control, etc. Diseño Funcional Diseño de Interfaces con usuarios (E/S) Diseño de Procesos Diseño de Bases de Datos

13 Auditoria de Aplicaciones
Desarrollo de pruebas Estrategias de pruebas Diseño de datos de pruebas Caja Negra: Pruebas de especificaciones funcionales Caja Blanca: Cobertura completa, a nivel de Instrucciones, Rutas de lógica Valores Límite: con datos para probar la ejecución de límites mayores, menores e iguales a lo indicado en el programa. Pruebas de esfuerzo operativo y técnico.

14 Auditoría de Explotación
Control de entrada de datos. Gestión de Cambios (Planificación y recepción de aplicaciones). Centro de control y monitoreo de eventos Centro de atención de Usuarios y resolución de problemas Planificacion de procesos Control de resultados.

15 Auditoría de Infraestructura de sistemas
Software de comunicaciones. Sistemas Operativos. Software básico y herramientas. Administración de Bases de Datos.

16 Auditoría de Comunicaciones
Diseño de la infraestructura de las redes Monitoreo de tráfico y disponibilidad de las redes -> alertas Servicios de transporte y balanceo de tráfico Pruebas de los enlaces de contingencia Inventario de equipos de comunicaciones y servidores de infraestructura y aplicativos Pruebas de vulnerabilidad de la segmentación de redes Proveedores: disponibilidad para escalamiento, upgrades, mantenimiento, costos, etc Detección, registro y resolución de problemas Participación en el diseño de aplicaciones online. Pruebas de acceso a redes y/o servidores según perfiles

17 Auditoría de Seguridad
Seguridad Física Seguridad Lógica Seguridad Operativa / Funcional. Seguridad Técnica.

18 Evaluación de arquitectura
Auditoría de Seguridad Evaluación de arquitectura Revisar la metodología para la evaluación de riesgos y compararla con las mejores prácticas para determinar las brechas. Compruebe que la arquitectura de seguridad reconoce los riesgos e implementa mitigadores, procesos y procedimientos que proveen controles apropiados.

19 Auditoría de Seguridad
Evaluación de arquitectura La arquitectura de seguridad de la empresa separa la información en zonas de redes lógicas para proteger los datos y para aislar a los usuarios. La arquitectura debe proveer servicios de autenticación, autorización, auditoría, detección de intrusos y diseñada utilizando las mejores prácticas y análisis de los riesgos del negocio.

20 Evaluación del plan de seguridad
Auditoría de Seguridad Evaluación del plan de seguridad Basado en las mejores prácticas recomendadas en las 11 secciones de la ISO 17799 Planes de Seguridad: proceso de publicación, documentación, revisión y mantenimiento. Los planes deben ser conocidos y aprobados por el dueño del negocio y que están de acuerdo en los riesgos y controles Identificación de los activos de información significativos, que tengan la evaluación de riesgos y controles que lo mitigan Verificar el nivel de concientización por el personal y la responsabilidad de los controles de seguridad Verificar el cumplimiento de las políticas y de la normativa relacionada. Verificar el cumplimiento y valoración de los controles

21 Evaluacion de un sistema PKI
Auditoría de Seguridad Evaluacion de un sistema PKI Revisar el certificado de autoridad y los controles y políticas que la organización mantiene. Probar los sistemas de distribución y administración de certificados para certificar que son procesos claros y bien administrados.

22 Evaluacion de acceso biométrico
Auditoría de Seguridad Evaluacion de acceso biométrico Explore la existencia de planes de contingencia en caso el control falle. Evalúe el proceso de registración, porque en este punto se establece la identidad. Revise oportunidades existentes para evitar estos controles y la aceptación de los empleados.

23 Auditoría de Continuidad de Negocios
Existencia de un Plan de Continuidad de Negocios: Servicios críticos Organización y Procedimientos Pruebas de los Planes de Contingencia: Sistema de recuperacion Infraestructura alternativa Atención de servicios Retorno a la Normalidad

24 Auditoría Informática
Ejemplos de Programas de Trabajo Aplicaciones Controles Generales

25 Estándares de Auditoría
En el mundo, han evolucionado las siguientes organizaciones profesionales: American Institute of Certified Public Accountants (AICPA) Canadian Institute of Chartered Accountants (CICA) Institute of Internal Auditors (IIA) Information Systems Audit and Control Association (ISACA) U.S. General Accounting Office.

26 Estándares de Auditoría
Informe COSO - (Committee of Sponsoring Organizations), de la Comisión de Estudios de Controles Internos -> Para la Gerencia SAC - (Systems Auditability and Control), de la Fundación de Investigación del IIA -> Para los Auditores Internos. SAS 55 y SAS 78 - Consideraciones de la estructura de Controles Internos en los Informes de los Estados Financieros, del Instituto Americano de Contadores Públicos (AICPA) -> Auditores Externos COBIT (Control Objectives for Information and related Technology), de la Fundación de Auditoría y Control de Sistemas de Información ->Auditores de TI.

27 Programas de certificación
CISA: Certified Information System Auditor. CISM: Certified Information Security Manager. ESI: European Software Institute. CIA: Certified Internal Auditor.

Descargar ppt "AUDITORIA TECNOLOGIAS DE INFORMACION"

Presentaciones similares

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches

Integrantes: Valericio Carrasco Yáñez Humberto Álvarez Vilches
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
5 ING. BIOQUIMICA CATEDRATICO: MATERIA: Instituto Tecnológico

5 ING. BIOQUIMICA CATEDRATICO: MATERIA: Instituto Tecnológico
Gustavo Ramiro Soliz Garnica

Gustavo Ramiro Soliz Garnica
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.

Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
Sisdata, C.A..

Sisdata, C.A..
AUDITORÍA INFORMÁTICA - SEGURIDAD

AUDITORÍA INFORMÁTICA - SEGURIDAD
Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo

Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo
UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.

UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Metodologías de control interno, seguridad y auditoría informática

Metodologías de control interno, seguridad y auditoría informática
Eveline Estrella Zambrano Sara Alvear Montesdeoca

Eveline Estrella Zambrano Sara Alvear Montesdeoca

Presentaciones similares

Anuncios Google