La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Unidad 3: Proceso de Auditoría

Publicada porVanesa Rojo Iglesias Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Unidad 3: Proceso de Auditoría"— Transcripción de la presentación:

1 Unidad 3: Proceso de Auditoría
Ing. Elizabeth Guerrero

2 Definiciones Amenaza  una persona o cosa vista como posible fuente de peligro o catástrofe (inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.) Vulnerabilidad  la situación creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y así afectar al entorno informático (falta de control de acceso logico, de versiones, inexistencia de un control de soporte magnético, etc.).

3 Definiciones Riesgo  la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadísticos de cada evento de una base de datos de incidentes). Exposición o Impacto  la evaluación del efecto del riesgo. (es frecuente evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas humanas, imágenes de la empresa, honor, etc.).

4 Tópicos generales Determinación del área a auditar. Riesgos y
contingencias

5 Determinación del área a auditar
Planificar el área a Auditar es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: Evaluación de los sistemas y procedimientos. Evaluación de los equipos de cómputo.

6 Determinación del área a auditar
Para analizar y dimensionar la estructura por auditar se debe solicitar: A NIVEL DEL ÁREA DE INFORMÁTICA.- Objetivos a corto y largo plazo. RECURSOS MATERIALES Y TECNICOS.- Solicitar documentos sobre los equipos, número de ellos, localización y características. Estudios de viabilidad. Número de equipos, localización y las características (de los equipos instalados y por instalar y programados) Fechas de instalación de los equipos y planes de instalación. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuración de los equipos y capacidades actuales y máximas. Planes de expansión. Ubicación general de los equipos. Políticas de operación. Políticas de uso de los equipos.

7 Determinación del área a auditar
SISTEMAS Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información. Manual de formas. Manual de procedimientos de los sistemas. Descripción genérica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalación de los sistemas. Proyecto de instalación de nuevos sistemas.

8 Análisis de Riesgos El análisis de riesgo, también conocido como evaluación de riesgo, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.

9 Análisis de Riesgos El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente. Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.

10 Tipos de riesgo Riesgo inherente Riesgo de detección Riesgo de Control
Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar.

11 RIESGO INHERENTE Cuando un error no se puede evitar que suceda porque no existen controles compensatorios relacionados que se puedan establecer.

12 RIESGO DE CONTROL Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno.

13 RIESGO DE DETECCIÓN Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay.

14 Esquema básico de un proceso de análisis de riesgos
Etapa 1 Cuestionario Etapa 2 Identificar los riesgos Etapa 3 Caldular el impacto Etapa 4 Identificar las contramedidas y el coste Etapa 5 Simulaciones Etapa 6 Creación de los informes

15 Esquema básico de un proceso de análisis de riesgos
Se identifican vulnerabilidades y riesgos en base a cuestionarios y se evalúa el impacto para luego identificar las contramedidas y el coste. La siguiente etapa es la más importante, mediante el juego de simulación (¿Qué pasa SI…?) se analiza el efecto de las distintas contramedidas en la disminución de los riesgos analizados, eligiendo de esta manera un plan de contramedidas (plan de seguridad) que compondrá el informe final de evaluación

16 Riesgos relacionados con la informática
Riesgos de integridad Interfaz de usuario Procesamiento Procesamiento de errores Interfaz Administración de cambios Información Ver documento Riesgos Informáticos y seguridad

17 Riesgos relacionados con la informática
Riesgos de relación Riesgos de acceso Procesos de negocio Aplicación Administración de la información Entorno de procesamiento Redes Nivel Físico

18 Riesgos relacionados con la informática
Riesgos de utilidad Riesgos de infraestructura Planeación organizacional Definición de las aplicaciones Administración de seguridad Operaciones de red y computacionales Administración de sistemas de bases de datos Información / Negocio Riesgos de seguridad general (eléctrico, incendio, niveles inadecuados de energía eléctrica, radiaciones, mecanicos)

19 Plan de contigencia Es una estrategía planificada constituida por:
Un conjunto de recursos de respaldo Una organización de emergencia y Unos procedimientos de actuación Encaminaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa

20 Plan de Contingencia Un Plan de contingencias contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una empresa. Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informática o tecnologías. Dada la importancia de las tecnologías en las organizaciones modernas, el plan de contingencias es el más relevante.

21 Fases de un plan de contingencia
Análisis y Diseño: para su desarrollo se diferencias dos familias metodológicas: Análisis de Riesgos Impacto de Negocio Fase 2 Desarrollo del Plan Fase 3 Pruebas y Mantenimiento

22 Fase 1. Análisis y Diseño Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo, y se analiza el coste/beneficio de las mismas. Familias metodológicas: Análisis de Riesgo: se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan. Impacto de Negocio: se basan en el estudio del impacto (pérdida económica o de imagen) que ocaciona la falta de algun recurso de los que soporta la actividad del negocio. Permiten hacer estudios coste/beneficio que justifican las inversiones con más rigor que los estudios de probabilidad que se obtienen con los análisis de riesgos

23 Fase 2: Desarrollo del Plan
Se desarrolla la estrategia seleccionada, implantándose hasta el final todas las acciones previstas. Se analiza la vuelta a la normalidad, dado que pasr de la situación normal a la alternativa debe concluirse con la restitución de la situación inicial antes de la contingencia.

24 Fase 3. Pruebas y mantenimiento
Se definen las pruebas, sus caracterísiticas y sus ciclos, y se realiza la primera prueba como comprobación de todo el trabajo realizado, asi como mentalizar al personal implicado Se define la estrategia de mantenimiento, la organización destinada a ello y la normativa y procedimientos necesarios para llevarlo a cabo.

25 Plan de Contingencia Ejemplo
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.

26 Plan Auditor Informático
Las partes de un plan auditor informático: Funciones Describir las funciones de forma precisa, y la organización interna del departamento, con todos sus recursos Procedimientos Para las distintas tareas de auditoría Tipos de Auditorías Auditoría completa de un área Limitada a un aspecto Comprobación de acciones correctivas de auditorías anteriores Sistema de Evaluación Definir varios aspectos a evaluar como gestión de recursos, cumplimiento de normas. Realizar una evaluación global de resumen para toda la auditoría Niveles: Bien, Regular o Mal (grado de gravedad)

27 Ciclos de Auditorías Nivel de Exposición Evaluación Frecuencia Visitas
10-9 B 18 meses R 9 meses M 6 meses 8 -7 12 meses 6 – 5 24 meses 4 -1 36 meses

28 Nivel de exposición El valor del nivel de exposición significa la suma de factores como impacto, peso del área, situación de control en el área En la tabla anterior se aprecia un numero del 1 al 10 definido subjetivamente y que permite en base a la evaluación final de la última auditoría realizada definir la fecha de la repetición de la misma auditoría.

29 Plan Auditor Informático
Lista de distribución de informes Seguimiento de las acciones correctoras Plan quinqueenal Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos y deben repetirse en 4 o 5 años Plan de trabajo anual Deben estimarse tiempos de manera racional y componer un calendario que una vez terminado nos dé un resultado de horas de trabajo previstas y, por lo tanto, de los recursos que se necesitarán

Descargar ppt "Unidad 3: Proceso de Auditoría"

Presentaciones similares

SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
También conocido como Diseño Lógico Rodrigo Salvatierra Alberú.

También conocido como Diseño Lógico Rodrigo Salvatierra Alberú.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
RIESGOS Y CONTROLES Definiciones Tipos de Riesgos Tipos de Control.

RIESGOS Y CONTROLES Definiciones Tipos de Riesgos Tipos de Control.
Auditoría Informática

Auditoría Informática
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO

METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO
Metodología de Trabajo de Auditoría Informática

Metodología de Trabajo de Auditoría Informática
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
AUDITORIA DE LA EXPLOTACIÓN

AUDITORIA DE LA EXPLOTACIÓN
DESASTRE Evento de origen natural o provocado por el hombre que causa alteraciones intensas en las personas, los bienes, los servicios y ó el medio ambiente.

DESASTRE Evento de origen natural o provocado por el hombre que causa alteraciones intensas en las personas, los bienes, los servicios y ó el medio ambiente.
Mantenimiento basado en el Riesgo (Inspección basada en el Riesgo)

Mantenimiento basado en el Riesgo (Inspección basada en el Riesgo)
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
Planeación de la Auditoría en Informática

Planeación de la Auditoría en Informática
METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA INFORMATICA

METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA INFORMATICA
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
Guía para la evaluación de seguridad en un sistema

Guía para la evaluación de seguridad en un sistema
Plan de emergencia y evacuación

Plan de emergencia y evacuación
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas

Presentaciones similares

Anuncios Google