Introducción a la Auditoría Informática

Presentación del tema: "Introducción a la Auditoría Informática"— Transcripción de la presentación:

1 Introducción a la Auditoría Informática
Asignatura: Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista en Redes y Telemática La comunicación como la evidencia más significativa a la hora de tomar decisiones…

2 Nuestro Apoyo al Aprendizaje
Nuestra intención es enriquecer la experiencia de aprender con ayuda de las TICs.

3 BASE TEÓRICA PRINCIPAL
ISACF (2006). "COBIT: Control Objectives for Information and Related Technology". The Information System Audit and Control Foundation, Illinois, EEUU. PIATTINI, M. (ed.) (2000).“Auditing Information Systems”. EEUU, Idea Group Publishing. PIATTINI, M. y DEL PESO, E. (2001). “Auditoría informática: Un enfoque práctico”. 2ª ed. Madrid, Ra-Ma. SOLER, P., PIATTINI, M. y COEIC (2006). “Contratación y gestión informática”. Barcelona, Ed. Aranzadi. UNIVERSIDAD DE CASTILLA-LA MANCHA - ESCUELA SUPERIOR DE INFORMÁTICA – CASOS - Documentos propiedad de Dr. Mario Piattini V., Dr. Ignacio García R. Compilado de MSc.Lorena Moreno Jiménez Sitios web:

4 METODOLOGIA TRADICIONAL: CUESTIONARIO
El auditor revisa los controles con la ayuda de una lista de control que consta de una serie de preguntas o cuestiones a verificar La evaluación consiste en identificar la existencia de unos controles establecidos o estandarizados

5 METODOLOGIA basada en la EVALUACIÓN de RIESGOS
El auditor realiza una evaluación del RIESGO POTENCIAL EXISTENTE Como consecuencia de la ausencia de controles o bien por ser un sistema deficiente, estos riesgos deben ser cuantificados y valorados de tal forma que permita determinar el nivel de fiabilidad que brinda el sistema sobre la exactitud, integridad y procesamiento de la información

6 ELEMENTOS PRINCIPALES
OBJETIVOS de CONTROL EVALUACIÓN de RIESGOS TECNICAS de CONTROL PRUEBAS INDEPENDIENTES CONCLUSIONES SUSTENTADAS

7 OBJETIVO de CONTROL REDUCCIÓN del RIESGO
El objetivo de todo control es la REDUCCIÓN del RIESGO

8 (Políticas y Procedimientos)
TECNICAS de CONTROL (Políticas y Procedimientos) Por cada objetivo de control/riesgo potencial se deben identificar las técnicas de control existentes que deben minimizar el riesgo, logrando cumplir así, el objetivo de control

9 ENTORNO GENERAL de CONTROL
CONTROLES en determinadas APLICACIONES Procesos de negocio automatizados

10 CONTROLES de APLICACIÓN
ENTRADA PROCESO SALIDA

11 CONTROLES PREVENTIVOS CONTROLES CORRECTIVOS
CONTROLES DETECTIVOS CONTROLES CORRECTIVOS

12 PRUEBAS Permiten obtener evidencia y verificar la consistencia de los controles existentes y también medir el riesgo por deficiencia de estos o por su ausencia

13 PRUEBAS de CUMPLIMIENTO SUSTANTIVAS

14 TÉCNICAS GENERALES .ENTREVISTAS .REVISIONES de DOCUMENTOS
.EVALUACION de RIESGOS y CONTROLES .MUESTREO ESTADISTICO .VERIFICACIONES de CALCULOS .PRUEBAS de CUMPLIMIENTO y SUSTANTIVAS .HERRAMIENTAS de AUDITORIA y SOFTWARE ESPECIFICO

15 Son productos de software que permiten al auditor
TÉCNICAS ESPECÍFICAS Son productos de software que permiten al auditor OBTENER INFORMACIÓN de los sistemas automatizados como evidencias de las pruebas que diseñen

16 HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL
Software de auditoría o de revisión de productos determinados o plataformas Permiten obtener una diagnosis de la situación de parámetros y otros aspectos y su relación con respecto a la seguridad y protección del software y de la información

17 HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL
Software de auditoría que permiten extraer información para su revisión, comparación, etc. Estos productos utilizados habitualmente por los auditores operativos o financieros, permiten extraer datos concretos o en base a muestras estadísticas

18 UTILIDADES del SOFTWARE o PLATAFORMA a auditar, bajo el CONTROL de la INSTALACIÓN AUDITADA
Utilidades provistas por el software auditado: revisión de registros lógicos de actividades, edición de parámetros, etc. Productos específicos de rendimiento, control, calidad instalados en la plataforma a auditar: lenguajes de interrogación, software de librerías, depuradores de software, etc.

19 EVIDENCIAS, RESULTADOS y CONCLUSIONES
Los resultados de cada prueba deben VALORARSE, obtener UNA CONCLUSIÓN, siempre teniendo en cuenta los OBJETIVOS y el ALCANCE de la auditoría EVIDENCIAS: PERTINENTES y SUFICIENTES FEHACIENTES VERIFICACIÓN de resultados INTERRELACIÓN con otros resultados

20 Las conclusiones obtenidas deben comentarse y discutirse con los responsables directos del área afectada POR EJEMPLO: Puede haber limitaciones de recursos, en la realización de pruebas, en la disponibilidad de la evidencia Puede haber controles alternativos que el auditor no haya detectado

21 CUANTIFICACIÓN del riesgo
Deben incluir DESCRIPCION de la situación RIESGO existente, DEFICIENCIA a solucionar si corresponde, SUGERENCIA de solución CONEXIÓN con objetivo y otras deficiencias CUANTIFICACIÓN del riesgo

22 PAPELES de TRABAJO de la Auditoría de SI

23 METODOLOGÍA utilizada COBERTURA del OBJETIVO de PRUEBAS realizadas y
Se deben realizar de ACUERDO a NORMAS de AUDITORÍA, y deben reflejar METODOLOGÍA utilizada COBERTURA del OBJETIVO de auditoría PRUEBAS realizadas y CRITERIOS utilizados RESULTADOS de las pruebas

24 LIMITACIONES en las tareas realizadas
DEFICIENCIAS en pruebas realizadas que puedan requerir alguna EXTENSIÓN ESPECIAL de la revisión y FALTA de CONSISTENCIA o claridad en las conclusiones

25 CONCLUSIONES GENERALES en base a los resultados obtenidos
INFORME Es necesario elaborar CONCLUSIONES GENERALES en base a los resultados obtenidos Todo informe incluirá: ALCANCE y OBJETIVO de la auditoría, METODOLOGÍA UTILIZADA, POSIBLES LIMITACIONES y CONCLUSIONES Es recomendable obtener junto con la presentación del borrador, una contestación o confirmación del área auditada /cliente /organización

26 el vocabulario debe ser preciso, objetivo, cuidadoso, respetuoso,...
Reglas en la preparación de Informes el vocabulario debe ser preciso, objetivo, cuidadoso, respetuoso,... NO incluir juicios de valor, nombres propios, abreviaturas o iniciales de productos, y frases con contenido y breves......

27 ¿Cuál de las siguientes opciones brinda mejor control de acceso a los datos de nómina que se están procesando en un servidor local? Bitácora (log) de todos los accesos a la información personal Contraseña separada para las transacciones sensitivas Que el software restrinja las reglas de acceso al personal autorizado Acceso al sistema, restringido a horas hábiles

28 El control más efectivo para un antivirus es:
Escanear los archivos adjuntos de correo electrónico en el servidor de correo Restaurar sistemas a partir de copias limpias Deshabilitar las unidades de diskettes Un escaneo en línea con definiciones actualizadas de virus

29 ¿Cuál de las siguientes es una función de control de acceso al sistema operativo?
Registrar las actividades del usuario Registrar las actividades de acceso a la comunicación de datos Verificar la autorización de usuario a nivel de campo Cambiar los archivos de datos

30 Una organización está proponiendo instalar una facilidad de clave única (single sign-on) que de acceso a todos los sistemas. La organización debe ser consciente de que: sería posible un acceso máximo no autorizado si se revelara una contraseña los derechos de acceso a usuario estarían restringidos por los parámetros adicionales de seguridad aumentaría la carga de trabajo del administrador de seguridad aumentarían los derechos de acceso del usuario