La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Ing. Emilio Palomino Olivera

Publicada porMaría Concepción Campos Piñeiro Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Ing. Emilio Palomino Olivera"— Transcripción de la presentación:

1 Ing. Emilio Palomino Olivera
AUDITORIA DE SISTEMAS Ing. Emilio Palomino Olivera

2 COMO SON LOS NEGOCIOS HOY EN DIA?
El mundo en general está cambiando cada vez más rápidamente, sometiendo a las empresas a la acción de muchas fuerzas externas tales como la creciente necesidad de acceder a los mercados mundiales, la consolidación industrial, la intensificación de competencia, y las nuevas tecnologías. La globalización. La diversificación de actividades. La eliminación de ramas de negocio no rentables o antiguas. La introducción de nuevos productos como respuesta a la competencia. Las fusiones y formación de alianzas estratégicas.

3 QUE HACER?? Ante la rapidez de los cambios, los directivos toman conciencia de que para evitar fallos de control significativos deben reevaluar y reestructurar sus sistemas de controles internos. Deben actuar de manera proactiva antes de que surjan los problemas, tomando medidas audaces para su propia tranquilidad, así como para garantizar a los consejos de administración, accionistas, comités y publico que los controles internos de la empresa están adecuadamente diseñados para hacer frente a los retos del futuro y asegurar la integridad en el momento actual.

4 Centros de computo, área de informática, dirección de informática...
… tiene una importancia crucial por soportar los sistemas de información del negocio, por el volumen de recursos y presupuesto que maneja, etc. Por lo tanto, aumenta las necesidades de control y auditoría, surgiendo en las organizaciones, como medidas organizativas, Control Interno y Auditoría informáticos.

5 EL ROL DE LA AUDITORIA Y EL AUDITOR
La auditoría ha cambiado notablemente en los últimos años con el enorme impacto que han venido obrando las técnicas informáticas en la forma de procesar la información para la gerencia. La necesidad de adquirir y mantener conocimientos actualizados de los sistemas informáticos se vuelve cada vez más acuciante, si bien los aspectos básicos de la profesión no han variado. Los auditores informáticos aportan conocimientos especializados, así como su familiaridad con la tecnología informática. Además los especialistas en auditoria informática y de sistemas basados en computadoras prestan una ayuda valiosa a la Organización y a los auditores en todo lo relativo a los controles sobre dichos sistemas.

6 Prefacio de Auditoría Desde los inicios de la humanidad las distintas culturas han dado una importancia enorme a los temas de contabilidad, y por tanto también han necesitado de medios que permitieran verificar sus registros, ……… consolidado en lo que hoy conocemos como AUDITORIA. A finales de 1800 cuando la auditoria financiera se extendió por el Reino Unido y Norteamérica, y se sientan las bases de las prácticas que conocemos en la actualidad. A partir de 1950, la informática se convierte en una herramienta muy importante en las labores de Auditoria financiera, ya que permite llevar a cabo la forma rápida y precisa, operaciones que manualmente consumirían demasiados recursos. Empieza la denominada “Auditoría con el computador”, que no puede considerarse Auditoría Informática, sino que utiliza el computador como herramienta del auditor financiero.

7 Prefacio… Sin embargo, al convertirse los sistemas de información de la empresa cada vez mas dependientes de los computadores, surge la necesidad de verificar que los sistemas informáticos funcionen correctamente. Surge así la necesidad de una nueva especialidad dentro de la auditoría, cuyo objetivo es precisamente verificar el funcionamiento CORRECTO, EFICAZ Y EFICIENTE de la informática, en definitiva, la “Auditoría del computador”

8 Prefacio… En la actualidad la información se ha convertido en uno de los activos principales de las empresas, que representa su principal ventaja estratégica. Las empresas invierten enormes cantidades de dinero y tiempo en la creación de sistemas de información que les ofrezcan la mayor productividad y calidad posibles. Es por eso que los temas relativos a la auditoría informática cobran cada vez mas relevancia tanto a nivel internacional como nacional. De esa importancia creciente de la información nace la necesidad de que ese bien jurídico sea protegido por el derecho y aparezca regulado en el ordenamiento jurídico.

9 Auditoria . Concepto Genérico
Si desmenuzamos el contenido de la Auditoría y su evolución, podemos observar que el concepto permanece inamovible y son su objeto y finalidad lo que puede variar. Conceptualmente toda Auditoría, es una actividad que consiste en emitir una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas.

10 Elementos fundamentales de la Auditoría
Descripción Contenido Una Opinión Condición Profesional Justificación Se sustenta en determinados Procedimientos que proporciona seguridad de lo que se afirma. Objeto Una determinada información obtenida con un cierto soporte (Evidencias ) Finalidad Determinar si presenta adecuadamente la realidad o esta responde a las expectativas que le son atribuidas, es decir, su fiabilidad El Objeto y Finalidad distinguen de que tipo o clase de auditoría se trata. El objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se realiza el estudio, definen el tipo de auditoría de que se trata. (el objeto es el Sistema de Matriculas de la Universidad, la finalidad es si opera satisfactoriamente de acuerdo a las políticas y normas de la institución)

11 Clases de Auditoría CLASE CONTENIDO OBJETO FINALIDAD Financiera
Opinión Cuentas anuales Presenta realidad Informática Sistemas de aplicación, recursos informáticos, planes de contingencias, etc. Operatividad eficiente y según normas establecidas Gestión Dirección Eficacia, Eficiencia, economicidad Cumplimiento Normas establecidas Las operaciones se adecuan a estas normas.

12 Consultoría . Concepto La consultoría consiste en “dar asesoramiento o consejo sobre lo que se ha de hacer o como llevar adecuadamente una determinada actividad para obtener los fines deseados”.

13 Elementos fundamentales de la Consultoría
Descripción Contenido Dar asesoramiento o consejo Condición De carácter especializado Justificación En base a un examen o análisis. (experiencia) Objeto La actividad o cuestión sometida a consideración. Finalidad Establecer la manera de llevarla a cabo adecuadamente. Clases de Consultoría CLASE CONTENIDO OBJETO FINALIDAD Financiera Asesoramiento Planes de cuentas. Procedimientos administrativos Diseño e implantación Informática Aplicaciones. Planes de contingencias. Desarrollo. Diseño e implementación

14 Consultoría & Auditoría
La Consultoría es una función a PRIORI con el fin de determinar como llevar a cabo una función o actividad de forma que obtenga los resultados pretendidos. La Auditoría verifica a POSTERIORI si estas condiciones, una vez realizada esta función o actividad, se cumplen y los resultados pretendidos se obtienen realmente.

15 Control Interno Informático
Control interno informático. Controla diariamente que todas las actividades de los sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas por la dirección de la organización y/o la dirección de Informática, así como los requerimientos legales. La misión de CII es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y validas. CII suele ser un órgano STAFF de la Dirección del Departamento de Informática y esta dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.

16 Objetivos Genéricos de CII
Control del cumplimiento de procedimientos y normas fijadas (legales), evaluar su bondad. Asesorar sobre el cumplimiento de las normas. Colaborar y apoyar en el trabajo de AI. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático.

17 Control de cambios y versiones del sw.
Realización en los diferentes sistemas y entornos informáticos el control de las diferentes actividades operativas… Control de cambios y versiones del sw. Controles sobre la producción diaria. Controles sobre la calidad y eficiencia de desarrollo y mto. del sw y del servicio informático. Controles en las redes de comunicaciones. Controles sobre el Sw de base (sist. Op.) Seguridad: usuarios, responsables y perfiles de uso de archivos y bases de datos. Licencias y relaciones contractuales con terceros. Asesorar y transmitir cultura sobre el riesgo informático.

18 Auditoría Informática
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficazmente los recursos.

19 Objetivos tradicionales de la A.I.
Objetivos de protección e integridad de activos. Objetivos de gestión que abarcan, no solamente los de protección de activos si no también los de eficacia y eficiencia.

20 Funciones Generales del A.I.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos mas complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de Sw. Por los que hoy en día ya no es posible verificar manualmente los procedimientos informatizados que resumen y calculan datos. El auditor es responsable de revisar e informar a la Dirección de la organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.

21 Organización de funciones del A.I
Se puede establecer 3 grupos de funciones por un auditor informático: Participar en las revisiones durante y después del diseño, realización y explotación de aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes. Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las ordenes e instrucciones de la dirección, requisitos legales, protección de confidenciabilidad y cobertura ante errores y fraude. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.

22 C.I.I. y A.I. campos análogos
Ambas funciones han evolucionado rápida y paralelamente. Para ser auditores se debió ser control interno alguna vez o viceversa. Formación en seguridad informática reciben tanto los de CII y AI. Existe similitud de los objetivos profesionales de Control y Auditoria, campos análogos que propician una transición natural. Aunque CII y AI tienen objetivos comunes existen diferencias.

23 Similitudes y Diferencias entre CII y AI
Conocimientos especializados en TIC Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por las Direcciones (Inf. Y Gral.) para los S.I Diferencias El alcance de sus funciones es únicamente sobre el departamento de informática. Informa a la dirección del Dpto. de Informática. Análisis de los controles a diario Solo personal interno. CII Tiene cobertura sobre todos los componentes de los S.I. de la Organización Informa a la Dirección Gral. De la Organización. Análisis de un momento informático determinado. Personal externo que se apoya en el interno. AI

24 Sistema de CII – Definición.
Se define como: Una actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de una sistema. Los controles cuando se diseñen, desarrollen e implanten han de ser: menos complejos, simples, fiables, revisables, adecuados y rentables (según análisis coste-beneficio) Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren complejos mecanismos de control, la mayoría de los cuales son automáticos.

25 Métodos de CII Controles preventivos.- para tratar de evitar el hecho o forma de cómo un sw. o hw. de seguridad impida accesos no autorizados. Controles detectivos.- si fallan los preventivos, éstos controles tratan de conocer cuanto antes el evento, módulo o información sujeto al ataque. Controles correctivos.- Facilitan la vuelta a la normalidad cuando se ha producido incidencias. Ej. La recuperación de un file dañado a partir de las copias de seguridad

26 Relación entre métodos de control y objetivos de control.
Objetivos de control de mantenimiento: Asegurar que las modificaciones de los procedimientos programados están adecuadamente diseñadas, probadas, aprobadas e implantadas. ISO 14764 Objetivos de control de seguridad de programas: Garantizar que no se pueden efectuar cambios no autorizados en los procedimientos programados. NTP ISO/IEC 17799

27 Implantación de un Sistema de CII.
Los controles puede implantarse a varios niveles diferentes. La evaluación de los controles de la tecnología de la información exige analizar diversos elementos interdependientes. Por ello es importante llegar a conocer bien la configuración del sistema, con el objeto de identificar los elementos, productos y herramientas que existen para saber donde puede implantarse los controles, así como para identificar posibles riesgos. Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los niveles de control y otros elementos relacionados.

28 Elementos a conocer para implantar un sistemas de control interno informatico
Entorno de red. Configuración de ordenadores. Entorno de aplicaciones. Productos y herramientas. Seguridad . Gestión de sistemas de información. Gestión de cambio. Sistemas de Gestión de Seguridad Informática.

29 IMPLANTACION DE POLITICAS Y CULTURA SOBRE LA SEGURIDAD
Política de seguridad Plan de seguridad Normas y procedimientos Medidas tecnológicas implantadas DIRECCION DEL NEGOCIO DIRECCION DE INFORMATICA CONTROL INTERNO INFORMATICO

30 ROL DE LA DIRECCIONES DIRECCION DEL NEGOCIO O DIRECCION DE S.I.- Definen políticas y/o directrices para los sistemas en base a las exigencias del negocio, que podrán ser internas o externas. DIRECCION DE INFORMATICA.- Definen normas de funcionamiento del entorno informático y de cada una de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas, aplicables a todas las áreas de informática así como a los usuarios, que establezcan el marco de funcionamiento.

31 ROL DE LA DIRECCIONES CONTROL INTERNO INFORMATICO.- Define los diferentes controles periódicos a realizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo da cada una de ellas y ser diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable. También realizara periódicamente la revisión de los controles establecidos de CII informando de las desviaciones a la Dirección de Informática y sugiriendo cuantos cambios crea convenientes en los controles, así como transmitirá constantemente a toda la organización de informática la cultura y políticas del riesgo informático.

32 ROL DE LA DIRECCIONES AUDITOR INTERNO/EXTERNO INFORMATICO.- Revisa los diferentes controles internos definidos en cada una de las funciones informáticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a los objetivos definidos por la Dirección del Negocio y la Dirección de Informática. Informara a la alta Dirección de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaran acciones que minimicen los riesgos que pueden originarse.

33 LA CREACION DE UN SISTEMA DE CONTROL INFORMATICO ES UNA RESPONSABILIDAD DE LA GERENCIA Y UN PUNTO DESTACABLE DE LA POLITICA EN EL ENTORNO INFORMATICO

34 Controles generales organizativos. 259,320, 019
CII y AI verifican y determinan el cumplimiento y validez de los siguientes controles internos. Controles generales organizativos. 259,320, 019 Controles de desarrollo, adquisición y mantenimiento de sistemas de información , 14764, Controles de explotación de sistemas de información , Controles de aplicaciones Controles específicos de ciertas tecnologías.

35 Controles generales organizativos.
Políticas.- sirven de base para la planificación, control y evaluación por la dirección de las actividades del Departamento de Informática. Planificación: Plan Estratégico Institucional – Plan Estrategico Informático.- realizado por la alta dirección - Definen procesos corporativos y se considera TIC así como las amenazas – oportunidades, Fortalezas - Debilidades de su uso o de sus ausencia. Plan Operativo Informático.- realizado por el Dep. Informática, define como cubrir las necesidades de la empresa con proyectos informáticos. Plan general de seguridad (física y lógica).- que garantice la cofidenciabilidad, integridad y disponibilidad de la información. Plan de Control Interno Informático.- sujeto a la normativa de la Resolución de contraloría de la Nación Nº CG Plan de emergencia ante desastres.- que garantice la disponibilidad de eventos ante desastres.

36 Controles generales organizativos.
Estándares.- que regulen la adquisición de recursos (reglamento de adquisiciones del estado), el diseño, desarrollo y modificación y explotación de sistemas. Procedimientos.- que describan la forma y las responsabilidades de ejecutoria para regular las relaciones entre el Dep. de Informática y los Deptos Usuarios. Organizar el Dep. de informática en un nivel suficientemente superior de estructura organizativa como para asegurar su independencia de los demás departamentos.

37 Controles generales organizativos.
Descripción de la funciones y responsabilidades dentro del Departamento con una clara separación de las mimas. Políticas de personal.- selección, plan de formación, plan de vacaciones y evaluación y promoción. Asegurar que la Dirección revise todos los informes de control y resuelva todas las observaciones. Asegurar que exista una política de clasificación de la información para saber dentro de la Organización que personas están autorizadas y a que tipo de información. Designar oficialmente la figura de CII y de AI.

38 Controles de desarrollo, adquisición y mantenimiento de sistemas de informacion
Para que permitan alcanzar la eficacia del sistema, economía, eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones. Metodología del ciclo de vida del desarrollo de sistemas: Su empleo podrá garantizar a la alta dirección que se alcanzaran los objetivos definidos para el sistema. Estos son algunos controles que deben existir en la metodología: Explotación y mantenimiento.

39 Controles de la Metodolgía
La alta dirección debe publicar una normativa sobre el uso de metodología del ciclo de vida y desarrollo de sistemas y revisar ésta periódicamente. La metodología debe establecer los roles y responsabilidades de las distintas áreas del departamento de Informática y de los usuarios, así como la composición y responsabilidades del equipo de proyecto. Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes de que comience el proceso de desarrollo. Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen alternativas de alcanzar los objetivos del proyecto acompañadas de una análisis costo-beneficio --- de cada alternativa---.

40 Controles de la Metodolgía
Cuando se seleccione una alternativa debe realizarse el plan director del proyecto. En dicho plan deberá existir una metodología de control de costos. Procedimientos para la definición y documentación de especificaciones de: Diseño, Entrada, Salida, ficheros, procesos, programas, controles de seguridad, pistas de auditoria. Etc. Plan de validación, verificación y pruebas. Estándares de prueba de programas, de prueba de sistemas. Plan de conversión: prueba de aceptación final. Los procedimientos de adquisición de software deberán seguir las políticas de adquisición de la organización y dichos productos antes deberán ser probados y revisados para luego pagar por ellos y ponerlos en uso.

41 Controles de la Metodolgía
La contratación de programas de servicios de programación a medida ha de estar justificada mediante una petición escrita de un director de proyecto. Deberán prepararse manuales de operación y mantenimiento como parte de todo proyecto de desarrollo o modificación de sistemas de información. Así como manuales de usuario.

42 Explotación y Mantenimiento
El establecimiento de controles asegurara que los datos se tratan de forma congruente y exacta y que el contenido de sistemas solo será modificado mediante autorización adecuada. Estos son algunos de los controles que se deben implantar: Procedimiento de control de explotación. Sistema de contabilidad para asignar a usuarios los costos asociados con la explotación de un sistema de información. Procedimientos para realizar un seguimiento y control de los cambios de un sistema de información.

43 Controles de explotación de sistemas de información
Planificación y gestión de recursos.- Definir el presupuesto operativo del Departamento, plan de adquisición de equipos y gestión de la capacidad de los equipos. Controles para usar de manera efectiva los recursos en ordenadores: Calendario de carga de trabajo. Programación de personal. Mantenimiento preventivo - correctivo Gestión de problemas y cambios–stock de materiales Procedimientos de facturación a usuarios.

44 Controles de explotación de sistemas de información
Seguridad Física y Lógica. Definir un grupo de seguridad de la información, siendo una de sus funciones la administración y gestión del Software de seguridad, revisar periódicamente los informes de violaciones y actividad de seguridad para identificar y resolver incidentes. Controles físicos para asegurar que el acceso a las instalaciones del Departamento de Informática queda restringido a las personas no autorizadas. Instalación de medidas de protección contra fuego. Formación y concientización en procedimientos de seguridad y evacuación del edificio. Control de acceso a usuarios con códigos intransferibles Normas que regulen el acceso a los recursos informáticos. Existencia de un plan de contingencias para el funcionamiento de equipos, Sistema y para la recuperación de los servicios después de una interrupción imprevista.

45 Controles en Aplicaciones
Cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, validez y mantenimiento completos y exactos de los datos. Lo mas importante en estos controles consideramos: Control de entrada de datos: procedimientos de conversión y de entrada, validación y corrección de datos. Controles de tratamiento de datos, asegurando que no se den de alta, modifiquen o borren datos no autorizados. Controles de salida de datos: procedimientos de distribución de salidas, de gestión de errores en las salidas.

46 Controles en Aplicaciones

47 Controles en Aplicaciones

48 Controles específicos de ciertas Tecnologías
Controles en sistemas de gestión de bases de datos. Controles en informática distribuida y redes. Controles sobre ordenadores personales y redes de área local.

49 Controles en sistemas de gestión de bases de datos.
El Sw de GBD debe instalarse y mantenerse asegurando la integridad del software, las BD y las instrucciones que definen el entorno. Definir las responsabilidades sobre la planificación, organización, dotación y control de los activos de datos (Administrador). Deben existir procedimientos para la descripción y los cambios de datos así como para el mantenimiento del diccionario de datos Controles sobre el acceso de datos y de concurrencia. Controles para minimizar fallos, recuperar el entorno de las BD hasta el punto de caída y minimizar el tiempo para la recuperación. Controles para asegurar la integridad de los datos: como comprobar enlaces físicos, registros de control para mantener los balances de transacciones.

50 I Controles en informática distribuida y redes
Planes adecuados de implantación, conversión y pruebas de aceptación para la red. Existencia de un grupo de control de red. Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando la red es distribuida. Procedimiento que definan las medidas y controles de seguridad a ser usados en la red entre los departamentos interconectados. Existencia de inventario de todos los activos de la red. Procedimientos de respaldo del Hw. y Sw. de la red. Existencia del mantenimiento preventivo de todos los activos. Controles que verifiquen que todos los mensajes de salida se validen de forma rutinaria para asegurar que contienen direcciones de destino validas. Controles de seguridad lógica: control de acceso a la red, establecimiento de perfiles de usuario.

51 II Controles en informática distribuida y redes
Procedimientos de cifrado de la información critica que se transmite a través de la red Procedimientos automáticos para resolver cierres del sistema. Monitorización para medir la eficiencia de la red. Diseñar el trazado físico y las medidas de seguridad de las líneas de comunicación local dentro de la organización. Detectar la correcta o mala recepción de mensajes. Identificar los mensajes por una clave individual de usuario, por terminal, y por el numero de secuencia del mensaje. Revisar los contratos de mantenimiento y el tiempo de servicio acordados con el proveedor, cumpliendo así con los cronogramas propuestos. Determinar si el equipo MUX/Concentrador/Procesador Frontal remoto tiene lógica redundante y poder de respaldo con realimentación automática en caso de fallas.

52 III Controles en informática distribuida y redes
Asegurarse de que haya procedimientos de recuperación y reinicio. Asegurarse que existan pistas de auditoria que puedan usarse en la reconstrucción de archivos de datos y de las transacciones de las diversas terminales. Debe existir la capacidad de rastrear los datos entre el terminal y el usuario. Considerar circuitos de conmutación que usen rutas alternativas para diferentes paquetes de información provenientes del mismo mensaje; esto ofrece una forma de seguridad en caso de que alguien intercepte los mensajes.

53 I Controles sobre ordenadores personales y redes de área local
Políticas de adquisición y utilización. Normativas y procedimientos de desarrollo y adquisición de Sw. De aplicaciones. Procedimiento de control de Sw. Contratado bajo licencia. Controles de acceso a redes, mediante palabras clave, a través de ordenadores personales. Revisiones periódicas del uso de los ordenadores personales. Políticas que contemplen la selección, adquisición e instalación de redes. Procedimientos de seguridad física y lógica. Departamento que realice la gestión y soporte técnico de la red. Controles para evitar modificar la configuración de una red.

54 II Controles sobre ordenadores personales y redes de área local
Inventario actualizado de todas las aplicaciones de la entidad. Implantar herramientas de gestión de la red con el fin de valorar su rendimiento, aplicación y control. Políticas que obliguen a la desconexión de los equipos de las líneas de comunicación cuando no se esta haciendo uso de ellas. Adoptar los procedimientos de control y gestión adecuados para la integridad, privacidad, confidencialidad y seguridad de la información contenida en las redes. Cuando exista conexión PC-Host, comprobar que opere bajo los controles necesarios para evitar la carga/extracción de datos de forma no autorizada. Contratos de mantenimiento (preventivo y correctivo).

55 III Controles sobre ordenadores personales y redes de área local
Mantener un registro documental de las acciones de mantenimiento realizadas, incluyendo la descripción del problema y la solución dada al mismo. Los ordenadores deberán estar conectados a equipos de continuidad (UPS). Protección contra incendios, inundaciones o electricidad estática. Control de acceso físico a los recursos informáticos: llaves de Pcs, Áreas restringidas. Ubicación de impresoras. Prevención de robos de dispositivos. Autorización para desplazamientos de equipos. Acceso físico fuera de horario normal.

56 IV Controles sobre ordenadores personales y redes de área local
Adecuada identificación de usuarios en cuanto a las siguientes operaciones: altas, bajas, y modificaciones, cambios de password, explotación del sistema. Controlar las conexiones remotas. Procedimientos para la instalación o modificación de software y establecer que la dirección sea consciente del riesgo de virus informático y otros softwares maliciosos, así como de fraude por modificaciones no autorizadas de software y daños. Controles para evitar la introducción de un sistema operativo a través de disquete o CD/DVD que pudiera vulnerar el sistema de seguridad establecido.

57 INFORME Es la comunicación Formal del Auditor Informático al cliente, sobre el alcance de la Auditoria; (Objetivos, periodo de cobertura, naturaleza y extensión del trabajo realizado) como de los resultados, conclusiones y recomendaciones. Se separa lo significativo de lo no significativo evaluados por su importancia y vinculación con el factor riesgo. Informe de debilidades del control interno. Deberá ser claro, adecuado, suficiente y comprensible.

58 Puntos Esenciales, genéricos y mínimos del Informe
Titulo del Informe. Identificación del cliente y los destinatarios. Identificación de la entidad Auditada. Objetivos de la Auditoria Informática Normativa aplicada. Alcance de la Auditoria. (Área organizativa, Periodo de Auditoria, sistemas de Información,… señalando limitaciones al alcance y restricciones del auditado) Conclusiones: informe corto de opinión. Opinión favorable. Opinión con salvedades. Opinión desfavorable. Opinión denegada Resultados: Informe largo y otros informes Informe previos. (El informe de Auditoria es, por principio, un informe de conjunto) Delito societario y responsabilidad civil del auditor informatico. Fecha del informe. Identificación y firma del auditor. Distribución del informe

59 Opinión favorable Se manifiesta de forma clara y precisa.
Es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre. Esta de acuerdo con la normativa legal y profesional. Carece de salvedades significativas, es limpia o favorable.

60 Opinión con salvedades
Salvedades significativas en relación con los objetivos de la auditoria, describiéndose con precisión la naturaleza y razones. Limitaciones al alcance del trabajo realizado. (restricciones por parte del auditado) Incertidumbre cuyo resultado no permita una previsión razonable. Irregularidades significativas. Incumplimiento de la normativa legal y profesional.

61 Opinión Desfavorable Identificación de irregularidades
Incumplimiento de la normativa legal y profesional que afecten significativamente los objetivos de la Auditoria informática estipulados, incluso con incertidumbre: todo ello en evaluación en conjunto y reseñando detalladamente las razones correspondientes.

62 Opinión Denegada Limitaciones al alcance de la Auditoria
Incertidumbre significativas de un modo tal que impidan al auditor formarse una opinión. Irregularidades Incumplimiento de la normativa legal y profesional que imposibiliten lograr los objetivos de la Auditoria informática

63 Contratos informáticos
Es aquel cuyo objeto es un bien o servicio informático - o ambos. Los contratos informáticos van en crecimiento, lo que viene sucediendo en función de los avances tecnológicos y de sus mayor utilización por la sociedad. Se clasifican en: Contratación de hardware. Contratación de Software. Contratación de datos. Contratación de servicios. Contratos complejos.

64 Contratación de Hardware
El objeto en esta clase de contratos es el Hardware y equipos auxiliares. No presentan problemas específicos Los contratos mas usuales son: Compraventa. Arrendamiento. Mantenimiento.

65 Contratación de Software
El objeto en esta clase de contratos es el Software(desarrollo a medida), licencia de uso (autorizar a terceros derechos de explotación conservando la propiedad del mismo ), adaptación de un Software producto (contratación de una licencia de uso de un producto que se adapte a las necesidades del usuario), mantenimiento (corregir errores en el software fuera del periodo de garantía – correctivos, de adaptación, perfectivo y preventivo), garantía de acceso al código fuente (se da este contrato en caso de que la empresa titular de los derechos de propiedad intelectual desaparezca - el programa fuente queda bajo custodia del notario publico por si en el futuro amerita acceder a este código).

66 Contratación de Datos El valor de la información aumenta cada día mas, la comercialización de Bases de Datos es el negocio de hoy y del futuro. Distribución de la información.- consiste en la comercialización de la BD durante un cierto periodo de tiempo a cambio de un precio. Suministro de la información.- el usuario accede siempre que lo precise a las BD del distribuidor. Compra.- se vende la BD con la posibilidad de que el adquiriente pueda no solo usarla si no mezclarla con otras propias para después comercializar con ellas (previo acuerdo). Cesión.- parecido al anterior salvo que solo se permite el uso de la BD sin que realice transmisiones posteriores.

67 Contratación de Servicios
Los mas importantes son: Consultoría informática. Auditoria informática. Formación. Seguridad informática. Contratación de personal informático. Instalación. Comunicaciones. Seguros. Responsabilidad civil.

68 Contratos Complejos Contemplan los sistemas informáticos como un todo incorporado al Hardware, al Software y algunos servicios determinados. Contratación global o parcial de servicios informáticos (outsourcing).- se integra en la estrategia de la empresa y diseña soluciones. Contrato de respaldo (back up).-asegura el mantenimiento en circunstancias de mal funcionamiento del sistema. Contrato de llave en mano (turn-key-package).- Contrato de suministro de energía informática.-

Descargar ppt "Ing. Emilio Palomino Olivera"

Presentaciones similares

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Universidad de los Lagos

Universidad de los Lagos
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.

Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
A continuación mencionaremos algunos conceptos de calidad.

A continuación mencionaremos algunos conceptos de calidad.
Universidad Nacional de Ingeniería UNI-Norte

Universidad Nacional de Ingeniería UNI-Norte
Aclaraciones de la Realización del Producto

Aclaraciones de la Realización del Producto
EVALUACION DEL PERSONAL

EVALUACION DEL PERSONAL
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
AUDITORIA DE LA EXPLOTACIÓN

AUDITORIA DE LA EXPLOTACIÓN
Diana Carolina Rojas Alarcón María Alejandra Hernández

Diana Carolina Rojas Alarcón María Alejandra Hernández
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS

CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Enrique Cardenas Parga

Enrique Cardenas Parga
12.4 Seguridad de los archivos del sistema

12.4 Seguridad de los archivos del sistema
LAS NORMAS TÉCNICAS DE AUDITORÍA

LAS NORMAS TÉCNICAS DE AUDITORÍA
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO

Presentaciones similares

Anuncios Google