Auditoría Informática

Slides:



Advertisements
Presentaciones similares
Agencia Catalana de Protección de Datos © Agència Catalana de Protecció de Dades. Generalitat de Catalunya Auditorías de seguridad Reglamento de desarrollo.
Advertisements

CONTABILIDAD ADMINISTRATIVA PUNTOS A EXPONER: ¿PARA QUE CONTABILIDAD ADMINISTRATIVA? ANTECEDENTES CONCEPTO SU OBJETIVO CARACTERÍSTICAS TOMA DE DECISIONES.
Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES IBARRA TEMA: METODOLOGÍA DE LA AUDITORÍA DE GESTIÓN DOCENTE: ING. WILMER ARIAS 1.
Argentina Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.
ADQUISICION E IMPLEMENTACION KARINA CAIZA U. AUDITORIA DE SISTEMAS INFORMATICOS.
Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.
Proceso de Implantación y Aceptación del Sistema de Información (IAS)
Implementación del SMS
ELABORACIÓN DE PRESUPUESTOS
PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS
APLICACIÓN DE CONTROL INTERNO EN PyMEs
IAAS - Presentación Compliance:
AUDITORIA EXTERNA Profesor : Mª Ivonne Carvacho Ojeda
Salvador Cázares Vázquez
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
Rediseño de Procesos Sistemas de Información Administrativos
EVIDENCIA Y PROCEDIMIENTOS DE AUDITORIA
Facultad de Ingeniería y tecnología informática Practica Profesional I
Fundamentos de Auditoría
Actividades de supervisión adecuada
ISO 9001 REQUISITOS.
NORMAS INTERNACIONALES DE AUDITORIA
UNIVERSIDAD "ALONSO DE OJEDA"
Conceptos y definición básicos
INTRODUCCIÓN A LA TEMÁTICA AMBIENTAL Conceptos de base. Vocabulario técnico ambiental.
PROCESO DE AUDITORIA PROCESO DE AUDITORÍA CR. O.ITUARTE.
Auditoria Informática Unidad III
AUDITORÍA INTERNA.
Auditoría Informática Informe de auditoría informática
Auditoria Informática Unidad III
LAS ETAPAS DEL PROCESO DE AUDITORÍA EN INFORMTICA
Ciclo de Vida del SIA.
Políticas de Seguridad Los Sistemas de Información y la Seguridad.
 ¿Que es la auditoria informática?  Es el conjunto de actividades y procedimientos, destinadas a analizar, evaluar, verificar y recomendar en asuntos.
AUDITORIA EJERCICIO 2016 “LA FAVORITA S.A DE C.V”.
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS INTRODUCCIÓN Auditoría de personal: -Evalúa actividades realizadas en una organización. -Finalidad:
La figura del Delegado de Protección de Datos
ISO SGSI ISO FASES SGSI ANEXOS (A) ISO 27002
ORGANIGRAMA METODOLOGIA PARA LA IMPLANTACION DE UN PROYECTO EDI
1 CONCEPTOS Y CLASES AUDITORÍA. 2 AUDITORIA “En tiempos históricos, auditor era aquella persona a quien le leían los ingresos y gastos producidos por.
Taller Organización de Procedimientos Administrativos.
Protección de datos de carácter personal
La información y la comunicación son dos elementos claves en el quehacer institucional en función del cumplimiento de sus objetivos BUENOS DÍAS.
Unidad 5: Evaluación de los sistemas
Auditoria de Tecnologías de Información PLANIFICACION Ing. Eder Gutiérrez Quispe.
Universidad Pedagógica Nacional Francisco Morazán Facultad de Ciencia y Tecnología Departamento de Educación Comercial Espacio Formativo: Auditoría Facilitador:
AUDITORÍA EN INFORMÁTICA MTRO. HÉCTOR SÁNCHEZ BELLO.
TALLER MANUAL SISTEMA DE GESTION EN SEGURIDAD Y SALUD OCUPACIONAL
Proyecto Etapas en su desarrollo en el tiempo 2 3
Revision de los controles generales
Metodología para el Desarrollo de Estudios Organizacionales
ANTECEDENTES, ESTRUCTURA Y ANALISIS
GESTIÓN FINANCIERA MARIELA SOLIPA PEREZ. Administración y Dirección financiera La Administración financiera es el área de la Administración que cuida.
TALLER MANUAL SISTEMA DE GESTION EN SEGURIDAD Y SALUD OCUPACIONAL
Tema 2 Los requisitos de la Gestión de calidad La Serie ISO 9000.
Llamocca Atahua, Rosmery Cáceres Mejía, Dayhana Ramos Vega, Estefanía Amar Guevara, Cristofer Herrera Atunga, Pool Aldere Tomayro, Lenin Bensa Sulca, Luis.
AUDITORIA INFORMATICA POR : ING. LUIS PERCY TAPIA FLORES.
La información y la comunicación son dos elementos claves en el quehacer institucional en función del cumplimiento de sus objetivos.
Auditorias y Registros de Empresa
AUDITORIA INTERNA DE CALIDAD MERCADERIA “JUSTO Y BUENO” POR. ANDRES HUERTAS YOHANDER YAÑEZ.
TALLER DE INVESTIGACION I PROCESO DE CAPTACION DE LA INFORMACION Y ELABORACION DEL CRONOGRAMA DE INVESTIGACION.
“año de la lucha contra la corrupción e impunidad” INSTITUTU SUPERIOR TECNOLOGICO PRIVADO - TELESUP.
Estudio de Viabilidad del Sistema (EVS). Estudio de Viabilidad del Sistema Cuestiones ¿Qué es la viabilidad de un sistema? ¿Cuáles son los objetivos del.
Plan de Sistemas de Información (PSI). Plan de Sistemas de Información (PSI) Descripción y Objetivos Tiene como objetivo la obtención de un marco de referencia.
ISO Esta norma internacional proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los principios de la auditoría, la.
FASES DEL PROCESO DE AUDITORÍA  FASE PREVIA O PREPARATORIA.  FASE DE PLANIFICACIÓN DE LA AUDITORÍA.  FASE DE EJECUCIÓN DE LA AUDITORÍA.  FASE DE EVALUACIÓN.
Transcripción de la presentación:

Auditoría Informática Ingeniería del Software III Gabriel Buades 2.002 01/12/2018 Auditoría Informática

Índice Concepto de auditoría Auditoría e Informática Auditoría Informática Planificación Organización y Administración Construcción de sistemas Explotación Entorno operativo hardware Entorno operativo software Auditoría en el marco de la LPD 01/12/2018 Auditoría Informática

Concepto de Auditoría Examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado 01/12/2018 Auditoría Informática

Concepto de Auditoría Actividad para determinar, por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la adhesión a los mismos y la eficiencia de su implantación 01/12/2018 Auditoría Informática

Tipos de auditoría Auditoría financiera Auditoría organizativa Auditoría de gestión Auditoría informática 01/12/2018 Auditoría Informática

Auditoría Informática Es el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a mejorar en: Rentabilidad Seguridad Eficacia 01/12/2018 Auditoría Informática

Requisitos auditoría informática Debe seguir una metodología preestablecida Se realizará en una fecha precisa y fija Será personal extraño al servicio de informática 01/12/2018 Auditoría Informática

Objetivos auditoría Interna Revisión y evaluación de controles contables, financieros y operativos Determinación de la utilidad de políticas, planes y procedimientos, así como su nivel de cumplimiento Custodia y contabilización de activos Examen de la fiabilidad de los datos Divulgación de políticas y procedimientos establecidos. Información exacta a la gerencia 01/12/2018 Auditoría Informática

Objetivos auditoría Externa Obtención de elementos de juicio fundamentados en la naturaleza de los hechos examinados Medición de la magnitud de un error ya conocido, detección de errores supuestos o confirmación de la ausencia de errores Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia Detección de los hechos importantes ocurridos tras el cierre del ejercicio Control de las actividades de investigación y desarrollo 01/12/2018 Auditoría Informática

Metodología Toma de contacto Auditoría Informática Organización Organigrama Volumen Situación en el mercado Estructura del departamento Relaciones funcionales y jerárquicas Recursos Aplicaciones en desarrollo Aplicaciones en producción Sistemas de explotación 01/12/2018 Auditoría Informática

Metodología (2) Planificación Auditoría Informática Concentración de objetivos Áreas que cubrirá Personas de la organización que se involucrarán en el proceso de auditoría Plan de trabajo Tareas Calendario Resultados parciales Presupuesto Equipo auditor necesario 01/12/2018 Auditoría Informática

Metodología (3) Desarrollo de la auditoría Fase de diagnóstico Entrevistas Cuestionarios Observación de las situaciones deficientes Observación de los procedimientos Fase de diagnóstico Meditación sin contacto con la empresa auditada Factor decisivo será la experiencia del equipo auditor Se deben definir los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución y mejora 01/12/2018 Auditoría Informática

Metodología (4) Presentación de conclusiones Auditoría Informática Se han de argumentar y documentar lo suficiente para que no puedan ser refutadas durante la discusión Es especialmente delicada por el rechazo que puede provocar en la organización auditada. Se debe esmerar el tacto En ocasiones serán necesarias tomar decisiones desagradables, pero es misión del auditor informar a la dirección de la forma más objetiva posible. 01/12/2018 Auditoría Informática

Metodología (5) Formación del plan de mejoras Auditoría Informática Resumen de las deficiencias encontradas Recogerá las recomendaciones encaminadas a paliar las deficiencias detectadas Medidas a corto plazo: mejoras en plazo, calidad, planificación o formación Medidas a medio plazo: mayor necesidad de recursos, optimización de programas o documentación y aspectos de diseño Medidas a largo plazo: cambios en políticas, medios y estructuras del servicio 01/12/2018 Auditoría Informática

Área de planificación Toda organización se ordena mediante: Plan estratégico Plan táctico Planes operacionales Objetivos de la auditoría informática Qué planes del CPD están coordinados con los planes generales Revisar los planes de informática Contrastar su nivel de realización Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación 01/12/2018 Auditoría Informática

Área de planificación Objetivos (cont.) Auditoría Informática Participar en el proceso de planificación Revisar los planes de desarrollo del software de aplicación Revisar los procedimientos de planificación del software de base Comprobar la ejecución del plan en cualquiera de sus niveles 01/12/2018 Auditoría Informática

Área de organización y admón Objetivos: Revisión del organigrama del departamento y del general de la empresa Comparar la estructura actual con la definida Verificar los estándares de documentación Determinar los procedimientos de dirección para hacer cumplir los criterios de documentación en P.D. Confrontar las directrices sobre documentos con la realidad Colaborar en la elaboración de nuevos documentos 01/12/2018 Auditoría Informática

Área de organización y admón Objetivos (cont) Revisar la política personal: grado de cumplimiento de los procedimientos generales y nivel de sometimiento a la política personal Evaluar la distribución de funciones Examinar las políticas retributivas y los planes de formación Verificar los métodos de análisis e imputación de costes Confrontar presupuesto y realidad Revisar todo tipo de contratos que afecten al CPD 01/12/2018 Auditoría Informática

Área de organización y admón Objetivos (cont) Examinar los métodos de trabajo: análisis programación, pruebas,… Evaluar el grado de participación de los usuarios Evaluar el rendimiento de consultores externos Conocer el grado de aceptación o satisfacción general con respecto al servicio informático Revisar la documentación de usuario Examinar los procedimientos usados para actualizar la documentación Determinar el impacto de servicio de proceso de datos recibido desde fuentes externas 01/12/2018 Auditoría Informática

Área de organización y admón Objetivos Evaluar el grado de conocimiento de los usuarios implicados sobre los sistemas automatizados 01/12/2018 Auditoría Informática

Área de sistemas Objetivos Auditoría Informática Examinar la metodología de construcción que se esté utilizando Revisar la definición de las grandes opciones que caracterizan al sistema Examinar el inventario de problemas a resolver por el sistema, dictaminando sobre la prioridad y razonabilidad de éstos. Verificar los medios que la organización ha dispuesto para la realización 01/12/2018 Auditoría Informática

Área de sistemas Objetivos Auditoría Informática Comprobar el plan de realización Tareas a emprender Previsión de dificultades Descomposición de problemas Líneas de comportamiento a seguir Garantizar la fiabilidad y precisión del estudio económico de costes preliminar a la realización Verificar los estudios de necesidades de software y hardware asociados con el proyecto Evaluar los métodos utilizados para la recogida de datos 01/12/2018 Auditoría Informática

Área de sistemas Objetivos Auditoría Informática Colaborar en la fase de puesta en marcha del sistema Comprobar los medios de seguridad con que se va a dotar al sistema en cuestión Evaluar el rendimiento de un sistema ya en marcha Aconsejar, si es necesario, las modificaciones oportunas para la optimización del sistema en funcionamiento. 01/12/2018 Auditoría Informática

Área de explotación Objetivos Auditoría Informática Comprobar la existencia de normas generales escritas para el personal de explotación en lo que se refiere a sus fucniones Verificar la existencai de estándares de documentación en el departamento Comprobar que en ningún caso los operadores acceden a documentación de programas que no sea la exclusiva par us explotación Verificar que los programadores no tienen acceso a ls operación del ordenador cuando corren sus programas 01/12/2018 Auditoría Informática

Área de explotación Objetivos Auditoría Informática Examinar que las versiones de programas y ficheros activos en explotación son efectivamente las versiones que dben ser las vigentes Como consecuencia de lo anterior, revisar que existen procedimientos que impidan que puedan correrse versiones de programas no activos Investigar el diario de explotación y los archivos de log Verificar los procedimientos según los cuales se incorporan nuevos programas a las librerías productivas 01/12/2018 Auditoría Informática

Área de explotación Objetivos Auditoría Informática Examinar la adecuación de los lcales en que se almacenan cintas y discos, así como la perfecta y visible identificación de estos medios Investigar los estándares en tiempo d eejecución de la instalación, comparando éstos con las observaciones reales efectuadas. Verificar los planes de mantenimiento preventivo de la instalación Comprobar que existen normas escritas que regulen perfectamente todo lo relativo a copias de seguridad: manejo, autorización de obtención, destrucción, etc. 01/12/2018 Auditoría Informática

Área de explotación Objetivos (cont) Auditoría Informática Inspeccionar el cumplimiento de sus funciones, además de la idoneidad de éstas, de la persona encargada de mantener la biblioteca de medios magnéticos Comprobar que existen métodos adecuados que permitan verificar un seguimiento de los trabajos en el ordenador Examinar e incluso participar en la elaboración de los presupuestos del centro de explotación si éstos son independientes del resto del servicio informático 01/12/2018 Auditoría Informática

Entorno operativo hardware Objetivos Determinar si el hardware se utiliza eficientemente Revisar los infomes de la dirección sobre uso del hw Revisar si el equipo se utiliza par el personal autorizado Examinar los estudios de adquisición, selección y evolución del hw Comprobar las condiciones ambientales Revisar el inventario hardware Verificar los procedimientos de seguridad física Examinar los controles de acceso físico 01/12/2018 Auditoría Informática

Entorno operativo hardware Objetivos (cont) Revisar la seguridad física de los componentes de la red de teleproceso Revisar los controles sobre la transmisión de los datos entre los periférciso y el ordenador Comprobar los procedimientos de prevención/detección/corrección frente a cualquier tipo de desastre Colaborar en la confección de un plan de contingencias y desastres 01/12/2018 Auditoría Informática

Entorno operativo software Objetivos Revisar la seguridad del software sobre ficheros de datos y programas Revisar las librerías utilizadas por los programadores Examinar que los programas realizan lo que realmente se espera de ellos Revisar el inventario de software Comprobar la seguridad de datos y ficheros Examinar los controles sobre los datos Revisar los procedimientos de entrada y salida Verificar las previsiones y procedimientos de backup 01/12/2018 Auditoría Informática

Entorno operativo software Objetivos Revisar los procedimientos de planificación, adecuación y mantenimiento del software del sistema Revisar la documentación sobre sw base Revisar los controles sobre programas producto Examinar la utilización de estos paquetes Verificar periódicamente el contenido de los ficheros de usuario Determinar que el proceso para usuarios está sujeto a los controles adecuados Examinar los cálculos críticos 01/12/2018 Auditoría Informática

Entorno operativo software Objetivos Supervisar el uso de las herramientas potentes al servicio de los usuarios Comprobar la seguridad e integridad de las bases de datos 01/12/2018 Auditoría Informática

Auditoría en el marco de la LPD R.D. 994/1999: Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal Artículo 17.- Auditoría. (Medidas de seguridad de nivel medio) 1.- Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años. 2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. 3.- Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos. 01/12/2018 Auditoría Informática

Auditoría en el marco de la LPD Tipos de ficheros 1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. 2.- Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio. 3.- Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto. 4.- Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20. 5.- Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes. 01/12/2018 Auditoría Informática

Medidas de nivel básico Funciones y obligaciones del personal Registro de incidencias Identificación y autenticación: inventario de usuarios procedimiento de distribución y almacenamiento de contraseñas Control de acceso basado en autorizaciones de usuarios, según autorización del responsable del fichero Gestión de soportes control de almacenamiento y distribución Copias de respaldo y recuperación copias de forma semanal Documento de seguridad 01/12/2018 Auditoría Informática

Medidas de nivel medio Auditoría Informática Funciones y obligaciones del personal Responsable de seguridad Auditoría obligatoria de forma bi-anual Registro de incidencias anotar restauraciones con pérdidas de datos obligatoriedad de la autorización por escrito del responsable Identificación y autenticación: inventario de usuarios procedimiento de distribución y almacenamiento de contraseñas detección de intrusiones y bloqueo de contraseñas Control de acceso basado en autorizaciones de usuarios, según autorización del responsable del fichero control de acceso físico Gestión de soportes control de almacenamiento y distribución registro de entrada y salida inutilización de soportes obsoletos Copias de respaldo y recuperación copias de forma semanal Pruebas con datos reales Documento de seguridad 01/12/2018 Auditoría Informática

Medidas de nivel alto Auditoría Informática Funciones y obligaciones del personal Responsable de seguridad Auditoría obligatoria de forma bi-anual Registro de incidencias anotar restauraciones con pérdidas de datos obligatoriedad de la autorización por escrito del responsable Identificación y autenticación: inventario de usuarios procedimiento de distribución y almacenamiento de contraseñas detección de intrusiones y bloqueo de contraseñas Control de acceso basado en autorizaciones de usuarios, según autorización del responsable del fichero control de acceso físico registro de accesos Gestión de soportes control de almacenamiento y distribución registro de entrada y salida inutilización de soportes obsoletos cifrado de soportes Copias de respaldo y recuperación copias de forma semanal almacenamiento en distinta ubicación Pruebas con datos reales Cifrado de las comunicaciones Documento de seguridad 01/12/2018 Auditoría Informática

Fin 01/12/2018 Auditoría Informática

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.