Introducción a la Auditoría Informática

Slides:



Advertisements
Presentaciones similares
EL RIS COMO INSTRUMENTO DE LA POLITICA DE INNOVACION REGIONAL Santiago, 19 de Marzo de 2013 ERI - RIS (Estrategia Regional de Innovación)
Advertisements

Dirección Estratégica y Calidad Total
ASPECTOS TECNOLOGICOS DEL PROYECTO
EL ESPACIO EUROPEO DE EDUCACIÓN SUPERIOR Y LA TEORÍA DEL CAMBIO EN EDUCACIÓN: Avisos para navegantes Juan M. Escudero Muñoz Universidad de Murcia.
Abre los ojos a Crece. P l a n e a c i ó n Objetivo: Utilizar esta herramienta en las actividades diarias de tu negocio.
Eurowin 2013 Gestión de Proyectos y Obras
DOCENCIA POSITIVA El modelo educativo del
Negociación Eficaz. Negociación Eficaz Definición: La negociación es un proceso inherente al ser humano en su relación con los demás Negociar es el.
ÉTICA SOCIAL DIMENSIÓN SOCIAL DE LA ÉTICA ÁMBITOS DE LA VIDA SOCIAL
COMO USAR LA PC POR PIMERA VEZ SARAITH MACHORRO PACHECO 28 JOSE ALBERTO LOPEZ RAMIREZ 27 CAPACITACION DE INFORMATICA GRUPO 302.
copyright teddy gauthier
EMPRESA Es toda persona que trabaja bajo un producto o servicio con el fin de lucrar u obtener ganancias. Se entiende por empresa al organismo social.
Examen FRAD Empezar. 1. ¿Cu á l es la diferencia entre FRAD y FRANAR? 1.FRAD son las siglas de un grupo de trabajo de OCLC y FRANAR las siglas de un grupo.
“Todos por Quinchía con Acción y Decisión”
WIN SOLUTIONS Asistencia Integral. Asesoramiento y asistencia –Cualquier empresa actual necesita de un experto o equipo de expertos para asesorarle en.
LABORATORIO DE IDIOMAS. El Tell Me More tiene 3 niveles.
Inicia: 02 de septiembre de 2013 Finaliza: 08 de diciembre de 2013.
Inicia: 02 de septiembre de 2013 Finaliza: 06 de diciembre de 2013.
QUE ES LA WEB 2.0 WEB 2.0 Y EDUCACION TIPOS DE HERRAMIENTAS WEB 2.0 HERRAMIENTAS Y EJEMPLOS DE APLICACION DONDE BUSCAR APLICACIONES WEB 2.0 VENTAJAS DE.
Tutorización individual a través de internet de una unidad de álgebra lineal. Nivel preuniversitario Lourdes Figueiras Ocaña Asesor: Josep Maria Fortuny.
Plan Estratégico Colo-Colo
¿ BUENAS PRÁCTICAS ? ÉTICAS, ESTÉTICAS O FUNCIONALES.
Nuevas Tecnologías Implementadas
ESTRATEGIA PARA EL DESARROLLO DE LA ECONOMÍA DIGITAL Mtro. Víctor Hugo Estrada de la O Director de Economía Digital Subsecretaría de Industria y Comercio.
2 2 Tercer Simposio Internacional sobre Planeación y Gestión de la Inversión Pública ¿Por qué y para qué evaluamos en Jalisco? Redimensionamiento del.
La Gestión de la Calidad es consustancial a la actividad de la empresa
PAUTAS Y HERRAMIENTAS PARA LA VIGILANCIA EN SALUD OBJETIVO: Incorporar estrategias comunitarias para la identificación de necesidades y/o falencias.
Construir una red internacional de innovación tecnológica a través de una estrategia de proximidad Andreia Moreira de Jesus |
Prof. Juan Carlos Lima Colegio IPTCE. Antes de comenzar: ¿Qué es una red informática? ¿Qué ventajas tiene instalar una red informática? ¿Qué servicios.
Jesús López Martín ¿Qué es RDS? «Aplicativo para gestionar en múltiples Delegaciones la reserva y organización de múltiples salas.
Adquirido a lo largo de la historia… Ver mas Ver mas Distintos conceptos de autores… Ver masVer mas Conjunto de información adquirida… Ver masVer mas Conocimientos.
(SIG) Programa de Desarrollo del Sistema de Información Gerencial
EPI-Control Programa para la Vigilancia Epidemiológica Hospitalaria Ampliada y el Control de Infecciones Versión 7.0 Contacto Teléfono.
Lean Sigma por CGP Héctor Hernández.
Colombia Convierte en hechos tu Derecho a la Salud…¡Infórmate! Libertad y Orden Ministerio de la Protección Social República de Colombia.
NUEVAS COMPERTENCIAS Alfabetización digital Sociedad de la información Uso de TIC Nueva cultura que supone nuevas formas de ver y entender el mundo Formación.
Base de datos y Microsoft Access
Fundación NIC-NIIF Contratos de construcción 29/03/2017 Fundación NIC-NIIF
4Servicio Centro de Datos
Proyecto: Titular ESTUDIOS DE CASO EXPERIENCIAS EXITOSAS DE REDES CIUDADANAS EN DEFENSA DE LOS DERECHOS HUMANOS.
Hagamos un Proyecto Empresa-Comunidad!
Una visión de las Bibliotecas Digitales en Argentina" Elsa Elena Elizalde Coord. SISBI - UBA y Aurora Scavini Coord. BVSARG-ADOLEC Coord. BVSARG-ADOLEC.
TEORÍAS DE LA ENSEÑANZA- APRENDIZAJE EN LÍNEA OBJETIVOS Poner en común las teorías personales sobre la enseñanza-aprendizaje A partir de lo anterior,
Organización panamericana de la salud Los Procesos de Reforma del Sector Salud y la Calidad de la Atencion Dr. Daniel López Acuña Director. División.
OBJETIVO ¡Bienvenidos! El curso piloto virtual para líderes comunales pretende fortalecer a las organizaciones comunales a partir de su reconocimiento.
Taller de Difusión PROCESO DE CONSTRUCCIÓN DEL MODELO TÉCNICO FINANCIERO Veracruz, 23 de febrero - Mérida, 25 de febrero - León, 2 de marzo – Monterrey,
Prof. Fidel Gonzales Quincho
BLOQUE 3 NUESTRO MODELO EDUCATIVO Y SELLO UPV, A LA LUZ DE LA EXPERIENCIA Rafael Hernández Echavarría Unidad de Planificación y Análisis Institucional,
Presidente de NÚCLEO COMUNICACIONES Y CONTROL TIC y Sostenibilidad Innovación y Sostenibilidad EN TIEMPOS DE CRISIS Presidente de la Comisión de Innovación.
COMPARATIVES AND SUPERLATIVES
SECRETARIA DE PLANIFICACION JUJUY – MARZO 2011 Gobierno de Jujuy ENCUENTRO PROVINCIAL BANCO DE PROYECTOS DE INVERSION BANCO DE PROYECTOS DE INVERSION.
AUDITORIA DE LA SEGURIDAD FISICA
Clase de Administración
El Sistema de gestión de calidad en Biblioteca Mayor- UNC
Programa de Mejora Continua – Área RRHH
Una breve Introducción al proyecto Yussef Farrán Leiva
EFICIENCIA EN EL USO DE RECURSOS Y PRODUCCIÓN MÁS LIMPIA
PROJOVEN es un Programa del Instituto Nacional de Empleo cuya finalidad es apoyar a los y las jóvenes de los sectores de menores ingresos para que puedan.
POLÍTICAS DE SEGURIDAD DATACENTER.
Informática Extracurricular Universidad Nacional Arturo Jauretche.
El rol y compromiso de las Instituciones de Educación Superior hacia la sociedad es un factor determinante para dirigir el desarrollo y evolución de la.
1 FUNDACION TECNOTUR 2010 FUNDACION TECNOTUR Loma de Sancti Petri E Chiclana de la Frontera (Cádiz) Teléfono 956.
Superintendencia de Electricidad y Combustibles Ranking 2007 de Calidad de Servicio de las Empresas de Distribución de Electricidad. Octubre 2007.
INGENIERIA MECANICA AÑO 2012 NUEVO CICLO PRIMERA FASE CONEAU – AUTOEVALUACION AUDITORIA.
RESULTADOS INDICADOR AUTOEVALUACION DEL CONTROL DE LOS PROCESOS Julio 2012.
El Uso de las Tecnologías de la Información y Comunicación (TIC) en Agua y Saneamiento: La experiencia de la red: WASH-RURAL Ing. Marcelo Encalada ONU.
Programa Regional de Eficiencia Energética en el Sector Turismo -PEEST- EE: Oportunidades de Negocios en el Sector Hotelero. San Salvador, Julio 19, 2011.
METODOLOGÍA PARA LA FORMULACIÓN DEL ANTEPROYECTO Y PROYECTO
1.Origen del acompañamiento. Las condiciones educativas (como la cobertura, las condiciones actuales de los estudiantes), que hacen replantearse las nuevas.
Tecnológica, posibilidad tecnológica de provisión sobre múltiples redes tanto de los servicios tradicionales de comunicaciones así como de sus innovaciones.
Transcripción de la presentación:

Introducción a la Auditoría Informática Asignatura: Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista en Redes y Telemática La comunicación como la evidencia más significativa a la hora de tomar decisiones…

Nuestro Apoyo al Aprendizaje Nuestra intención es enriquecer la experiencia de aprender con ayuda de las TICs. www.AuditoriaInformatica.ecaths.com

Evaluación Diagnóstica - ¿qué IMPORTANCIA TIENE LA INFORMACIÓN EN LA ORGANIZACIÓN? - ¿qué es in sistema de información? - ¿qué es AUDITORIA? - ¿Qué se entiende por auditoría en informática?

BASE TEÓRICA PRINCIPAL ISACF (2006). "COBIT: Control Objectives for Information and Related Technology". The Information System Audit and Control Foundation, Illinois, EEUU. PIATTINI, M. (ed.) (2000).“Auditing Information Systems”. EEUU, Idea Group Publishing. PIATTINI, M. y DEL PESO, E. (2001). “Auditoría informática: Un enfoque práctico”. 2ª ed. Madrid, Ra-Ma. SOLER, P., PIATTINI, M. y COEIC (2006). “Contratación y gestión informática”. Barcelona, Ed. Aranzadi. UNIVERSIDAD DE CASTILLA-LA MANCHA - ESCUELA SUPERIOR DE INFORMÁTICA – CASOS - Documentos propiedad de Dr. Mario Piattini V., Dr. Ignacio García R. Compilado de MSc.Lorena Moreno Jiménez Sitios web: www.isaca.org, www.asia.org

Antecedentes Originalmente la informática se orientó al apoyo de áreas tales como contabilidad, nóminas, etc., lo que originó la necesidad de conocer y medir el apoyo que la misma realizaba en las áreas antes mencionadas, y a la empresa en general, dando paso al proceso conocido como auditoría a sistemas de información o auditoria de sistemas. Posteriormente, cubrió las áreas de negocio en todos los niveles por medio de productos y servicios variados; proliferaron el uso de computadoras personales e irrumpieron de lleno las redes locales, la integración empresarial a través de las telecomunicaciones y un sinnúmero de componentes de tecnología.

Antecedentes De este modo la tarea de los responsables de informática y los auditores de sistemas tradicionales se vió desbordada por estos acontecimientos y les imposibilitó continuar con los métodos utilizados hasta ese entonces Así surgió la necesidad del replanteamiento de fondo y forma de la auditoría en informática, conocida también como auditoría de sistemas, si bien ésta abarca solamente la revisión de los sistemas de información en desarrollo, operación y mantenimiento, siendo éste concepto inadecuado para la auditoría en informática, ya que los elementos de informática susceptibles de revisión y control son muchos y manifiestan diversas complejidades.

En la Actualidad… La auditoría en informática se encarga de evaluar y verificar políticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la información, mediante la aplicación de una metodología que debe de ejecutarse con formalidad y oportunidad. La función del auditor en informática es el de funcionar como un punto de control y confianza para la alta dirección o los dueños de la empresa, además debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de conducir siempre a la empresa a optimizar el uso de los recursos informáticos

Antecedentes Importancia de la auditoria en informática: La tecnología informática (hardware, software, redes, bases de datos, etc.) es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado La solución clara es entonces realizar evaluaciones oportunas y completas de la función informática, a cargo de personal calificado, consultores externos, auditores en informática o evaluaciones periódicas realizadas por el mismo personal de informática

Antecedentes Importancia de la auditoria en informática: Existe una obvia necesidad de auditar la función informática, ya que resulta innegable que la misma se ha convertido en una herramienta permanente y necesaria de los procesos principales de los negocios, en un aliado confiable y oportuno. Su auditoría evita errores, fallas, etc., brinda confianza a la empresa ya que el principal insumo organizacional se encuentra resguardado y permanentemente controlado.

Terminología de la auditoria en informática Informática: es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de la información por medios electrónicos, el cual comprende las áreas de la TECNOLOGÍA DE INFORMACIÓN (TI) orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluya de manera oportuna y veraz.

Terminología de la auditoria en informática Auditoria, es un proceso formal y necesario para las empresas que tiene como fin asegurar que sus activos sean protegidos en forma adecuada. Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados American Accounting Association

Terminología de la auditoria en informática Auditoria en informática. Es un proceso formal ejecutado por especialistas del área de auditoria y de informática cuyo objetivo es el de verificar y asegurar que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología informática en la organización, se realicen de manera eficiente y eficaz.

Terminología de la auditoria en informática Las actividades ejecutadas por los profesionales del área de informática y de auditoria están encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.). Dicha evaluación deberá ser la pauta para la entrega del INFORME DE AUDITORIA, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio.

SISTEMAS DE INFORMACION Sistemas de información. Son el conjunto de módulos computacionales organizados e interrelacionados de una manera formal para la administración y uso eficiente de los recursos (humanos, materiales, tecnológicos, etc.) de un área específica de la empresa (manufactura, administración, dirección, etc.) con la finalidad de representar los procesos reales del negocio y orientar los procedimientos, políticas y funciones inherentes para lograr las metas y objetivos del negocio en forma eficiente. Los sistemas de información pueden orientarse al apoyo de los siguientes aspectos: Niveles operativos del negocio Niveles tácticos del negocio Niveles estratégicos del negocio

TECNOLOGÍAS DE LA INFORMACIÓN TI TECNOLOGÍAS DE LA INFORMACIÓN

ORIGEN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Presión para incroporar tecnología en estrategias empresariales Aumento de la complejidad de los entornos de TI Infraestructuras TI fragmentadas Brecha de comunicación entre directivos y gerentes TI Niveles de servicio de TI decepcionantes tanto por parte de las funciones internas de TI como los proveedores externos Costes de TI fuera de control Productividad y ROI marginales sobre inversiones en TI Inflexibilidad organizacional Frustración por parte de los usuarios, dando lugar a soluciones ad-hoc

ORIGEN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Dependencia creciente de la información y los sistemas que la gestionan Vulnerabilidades crecientes y amplio espectro de amenazas Escalado y coste de las inversiones actuales y futuras de la información y los sistemas de información Necesidad de cumplir con leyes y regulaciones Potencial de las TI para cambiar espectacularmente las organizaciones y las prácticas empresariales, crear nuevas oportunidades y reducir costes Reconocimiento por parte de muchas organizaciones de los beneficios potenciales que las TI pueden aportar

REQUERIMIENTOS de fiabilidad de los servicios REQUERIMIENTOS legales GESTIÓN DE SISTEMAS DE INFORMACIÓN EN TI Perspectiva de la gestión de SI/TI IMPACTO en el desarrollo del negocio o actividad empresarial REQUERIMIENTOS de fiabilidad de los servicios REQUERIMIENTOS legales

Informática Jurídica 2. Derecho Informático APLICACIONES LEGALES Diferencias entre: Informática Jurídica 2. Derecho Informático

AUDITORIA DE SISTEMAS DE INFORMACION La Auditoría de Sistemas de Información nace hace más de 35 años justamente como un mecanismo para valorar y evaluar LA CONFIANZA que se puede depositar en los sistemas de información

AUDITORIA DE SISTEMAS DE INFORMACION la AUDITORIA de SI es el PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIAS para DETERMINAR si un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS

RESPONSABILIDAD EN AUDITORIA DE SI Un Auditor de Sistemas de Información debe, entre sus responsabilidades, realizar: 1. La redacción de los procedimientos de control en el área de seguridad lógica 2. La aprobación de nuevos sistemas de gestión 3. Evaluar los riesgos de los sistemas de información 4. Las pruebas del plan de continuidad del negocio

RESPONSABILIDAD EN AUDITORIA DE SI La responsabilidad en último extremo, en una empresa sobre la optimización de la calidad de los SI, y la rentabilidad de los recursos informáticos la tiene: 1. La Dirección de la empresa 2. El auditor de SI interno 3. El responsable de las Tecnologías de la Información 4. El vendedor del software y el hardware

OBJETIVOS DE LA AUDITORIA DE SISTEMAS DE INFORMACION

OPINIÓN INDEPENDIENTE OBJETIVOS DE LA AUDITORIA DE SI AUDITORÍA de SI/TIC OPINIÓN INDEPENDIENTE APOYO a la DIRECCIÓN = CONTROL INTERNO

REVISIÓN y EVALUACIÓN de todos los aspectos ISACA La Auditoría de Sistemas de Información se define como cualquier auditoría que abarca la REVISIÓN y EVALUACIÓN de todos los aspectos (o alguna sección/área) de los sistemas automatizados de procesamiento de información, incluyendo procedimientos relacionados no automáticos, y las interrelaciones entre ellos Information Systems Audit & Control Association

Se debe DISTINGUIR claramente entre: Utilización de medios informáticos en la realización de una Auditoría Realización de supervisión o control rutinario informático dentro del entorno de sistemas de información Consultoría en áreas de sistemas de información, seguridad, calidad, etc. Diagnósticos de la fortaleza o seguridad de ciertos mecanismos de seguridad como “pruebas de intrusismo”, etc.

una Auditoría de Sistemas de Información EL OBJETIVO DE una Auditoría de Sistemas de Información ES la EVALUACIÓN y EMISIÓN de una OPINIÓN OBJETIVA e INDEPENDIENTE sobre la FIABILIDAD de un sistema de información

OTROS ALCANCES DE LA EVALUACION LA AI DE SISTEMAS DE INFORMACIÓN EVALÚA: Procedimientos organizativos y operativos Sistemas en producción y participación en nuevos desarrollos La confidencialidad La integridad de la Información Eficiencia o de eficacia de los SI Cumplimiento Legal y Normativo

LA AI DE SI ESTÁ PRESENTE EN : ORGANIZACIÓN DIRECCIÓN y Gestión DESARROLLO e Implantación SERVICIOS - EXPLOTACIÓN SEGURIDAD LOGICA y FISICA CONTINUIDAD del NEGOCIO Etc.

ENTORNO DE AI DE SISTEMAS DE INFORMACION AUDITORÍA EXTERNA AUDITORÍA INTERNA CONTROL INTERNO SOFTWARE DATOS

AUDITORIA de SI INTERNA Actúa de forma continua y periódica, dentro de una planificación a corto y largo plazo, que permite incluir todas y cada una de las áreas relacionadas con TI VENTAJA: formación en el concepto de control de los auditados, y el seguimiento de la implantación de las recomendaciones VALOR AÑADIDO: actúa como control preventivo, contribuyendo a evitar que la empresa incurra en pérdidas o costes elevados

AUDITORIA de SI EXTERNA Su primera ventaja es la independencia de opinión del auditor, y que además puede aportar conocimientos técnicos que aun no se han desarrollado en la empresa, o que la empresa no tiene posibilidad de sustentar Suele solicitarse cuando la empresa detecta síntomas de riesgos de seguridad, en temas de eficiencia/ eficacia de los sistemas de información, o por requerimientos legales

COBIT

RIESGOS PROTECCION (**) MODELO DE RIESGO (*) RIESGOS VULNERABILIDAD IMPACTO PROTECCION (**) (*) Basado en el modelo "Infosec"(ref. 92/242/ECC) (**) Incluye los conceptos de control y auditoría de sistemas de información

RIESGO La probabilidad de que se dé un error, falle un proceso, o tenga lugar un hecho negativo para la empresa u organización, incluyendo la posibilidad de fraudes

CONTROL el MECANISMO o PROCEDIMIENTO que EVITA o PREVIENE un RIESGO

una seguridad razonable “el sistema de control interno en TI está constituido por las políticas, procedimientos, prácticas y estructuras organizativas diseñadas para proveer una seguridad razonable Diseñadas para que los objetivos empresariales o de negocio sean alcanzados o logrados y que los sucesos indeseados sean detectados, prevenidos y corregidos” COBIT (Governance, control and Audit for Information and Related Technology)

en procesos operativos en procesos operativos Riesgos y controles en procesos operativos MANUALES Riesgos y controles en procesos operativos AUTOMATIZADOS

COMPLEMENTARIOS e INTERDEPENDIENTES CONTROLES COMPLEMENTARIOS e INTERDEPENDIENTES

CONTROL INTERNO Revisión periódica de procedimientos de controles establecidos Detección de riesgos Seguimiento de errores o irregularidades

dificultad para implantar una adecuada segregación de funciones obtención de evidencias o pistas de auditoría relevantes, fiables y eficientes complejidad tecnológica

SEGREGACIÓN de FUNCIONES Establecer una división de roles y responsabilidades que excluyan la posibilidad que una SOLA PERSONA PUEDA DOMINAR un PROCESO CRÍTICO

¿Cuál de las siguientes tareas pueden ser realizadas por la misma persona en un centro de cómputo de procesamiento de información bien controlado? Administración de seguridad y administración de cambios Operaciones de cómputo y desarrollo de sistemas Desarrollo de sistemas y administración de cambios Desarrollo de sistemas y mantenimiento de sistemas

¿Cuál de las siguientes funciones es más probable que sea realizada por el administrador de seguridad? Aprobar la política de seguridad Probar el software de aplicación Asegurar la integridad de los datos Mantener las reglas de acceso

No admiten desviaciones POLÍTICAS Provienen de la Dirección Generalmente abarcan objetivos, las metas, filosofías, códigos éticos, y los esquemas de responsabilidades No admiten desviaciones

PROCEDIMIENTOS Brindan los pasos específicos necesarios para lograr las metas Son las medidas o dispositivos necesarias para lograr las directrices de las políticas Evolucionan con la tecnología, la estructura organizativa, y se componen de medidas organizativas y técnicas

OBJETIVO DEFINIDO de cada MECANISMO DE CONTROL En la definición de los controles debe existir un: OBJETIVO DEFINIDO de cada MECANISMO DE CONTROL Interdependencia y conexión con otros controles EVIDENCIAS

SEGREGACIÓN de FUNCIONES En los aspectos organizativos debe haber: SEGREGACIÓN de FUNCIONES IDENTIFICACIÓN de RESPONSABILIDAD INDEPENDENCIA de la SUPERVISIÓN

T.I. tienen una necesidad creciente de disponer de una La Dirección deberá decidir sobre el nivel de riesgo que está dispuesta a aceptar, ello implica equilibrar el riesgo y el costo Los usuarios de los servicios de T.I. tienen una necesidad creciente de disponer de una SEGURIDAD RAZONABLE

CONTROLES versus COSTE/BENEFICIO de los CONTROLES Todo control y medida preventiva implica un coste monetario para su IMPLANTACIÓN y MANTENIMIENTO Desembolso que puede evitar pérdidas mayores en el futuro, y por lo tanto puede dar lugar a la RECUPERACIÓN de la INVERSIÓN NO siempre es fácil IDENTIFICAR y CUANTIFICAR que riesgos pueden provocar daño o fraude, y que pérdidas concretas

ESQUEMA BÁSICO MATERIALIDAD de los RIESGOS CONTROLES NECESARIOS COMPARACION de CONTROL versus COSTE DEFINICIÓN de los CONTROLES

Un auditor de SI está auditando los controles relativos al despido/retiro de empleados. ¿Cuál de los siguientes aspectos es el más importante que debe ser revisado? El personal relacionado de la compañía es notificado sobre el despido/retiro El usuario y las contraseñas del empleado han sido eliminadas Los detalles del empleado han sido eliminados de los archivos activos de la nómina Los bienes de la compañía provistos al empleado han sido devueltos

Cuando se revisa un acuerdo de nivel de servicio para un centro de cómputo contratado con terceros (outsourcing), un auditor de SI debería PRIMERO determinar que El coste propuesto para los servicios es razonable Los mecanismos de seguridad están especificados en el contrato Los servicios contratados están basados en un análisis de las necesidades del negocio El acceso de la auditoría al centro de cómputo esté permitido conforme al contrato

Un auditor de SI que hace una auditoría de procedimiento de monitoreo de hardware debe revisar: reportes de disponibilidad del sistema reportes coste-beneficio reportes de tiempo de respuesta reportes de utilización de bases de datos

Un auditor de SI cuando revisa una red utilizada para las comunicaciones de Internet, examinará primero la validez de los casos en que se hayan efectuado cambios de contraseña la arquitectura de la aplicación cliente/servidor la arquitectura y el diseño de la red la protección de firewall y los servidores proxy