Your SlideShare is downloading. ×
Gobierno y auditoria de tecnologia de informacion
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Gobierno y auditoria de tecnologia de informacion

2,065
views

Published on

Published in: Education, Technology, Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,065
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
92
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. GOBIERNO Y AUDITORIA DE TECNOLOGÍA DE INFORMACIÓN “ Necesidad de Control” UCSE 2006 Tema I
  • 2. Tema I – Necesidad de Control
    • ¿Como hacer para lograr tener bajo control la tecnología de información de manera tal que esta entregue la información según las necesidades ?
    UCSE 2006
  • 3. Tema I – Necesidad de Control
    • Definiciones
    • Datos: descripción de cosas o eventos que observamos.
    • Información: son datos organizados para ayudar a elegir o no una acción futura.
    • Tecnología de Información: abarca todas las formas de tecnologías involucradas en la captura, manipulación, comunicación, presentación y uso de datos e información.
    UCSE 2006
  • 4. Tema I – Necesidad de Control
    • La sociedad se ha globalizado en el ciberespacio para el intercambio de información sin restricciones.
    • Las organizaciones se han percatado de la importancia de la Información y TI relacionada.
    • Los informáticos se preocupan por su propio gobierno de la TI.
    UCSE 2006
  • 5. Tema I – Necesidad de Control
    • El Ámbito Social
    • Existe un creciente desarrollo y utilización de Tecnologías de Información
    • Existe una creciente vulnerabilidad y un amplio espectro de amenazas.
    UCSE 2006
  • 6. Tema I – Necesidad de Control
    • El Ámbito Empresario reconoce:
    • El potencial que tienen las tecnologías para cambiar radicalmente:
      • la estructura de la empresa (Organización por Procesos)
      • las prácticas de negocio (Ubicuidad)
      • Nuevas estrategias (Globalización y Fusión)
    • El riesgo que implica la creciente dependencia de:
      • la información
      • y los sistemas que proporcionan dicha información
    • Los Beneficios
      • Crear Nuevas Oportunidades
      • Reducir Costos
    UCSE 2006
  • 7. Tema I – Necesidad de Control
    • Situación Actual
    UCSE 2006 Ambiente Empresario Competitivo Cambiante Reducir Costos Dependencia Informática
  • 8. Tema I – Necesidad de Control
    • El Ámbito Informático se preocupa por la manera de:
    • Informar acerca de la finalidad que cumple y el impacto de TI en la organización.
    • Saber si la dirección seguida y el retorno de las inversiones son los esperados
    • Determinar la escalabilidad de los sistemas y el costo de las inversiones actuales y futuras.
    • Medir el desempeño actual y las restricciones dentro de las que debe operar.
    • Determinar los riesgos y limitantes del empleo de las tecnologías.
    UCSE 2006
  • 9. Tema I – Necesidad de Control
    • Situación Actual
    UCSE 2006 Ambiente Informático Avance Tecnológico Permanente Incorporación de Mecanismos de control más poderosos Estandarización de Herramientas Demanda aumento y mejora de habilidades Nuevos Escenarios: computación distribuida, computación Móvil
  • 10. Tema I – Necesidad de Control
    • Caso de Estudio
    UCSE 2006 Adquisición e Implementación
  • 11. Tema I – Necesidad de Control UCSE 2006
    • Visión: es una expresión escrita del futuro deseado para el uso de la información y el manejo de la organización.
    • Arquitectura: describe la manera en que los recursos de información deben ser desplegados para llevar a cabo la visión
    Managing Information Technology
  • 12. Tema I – Necesidad de Control
    • Recursos de TI
    UCSE 2006 Datos: en un sentido amplio pueden ser internos y externos, estructurados y no estructurados. Aplicaciones: la suma de los procedimientos manuales y programados. Tecnología: abarca el hardware, los sistemas operativos, los sistemas de administración de base de datos, las redes, etc. Instalaciones: recursos utilizados para alojar y dar soporte a los sistemas de información. Personal: habilidades, aptitudes, conocimiento y productividad del personal para planificar, organizar, adquirir, brindar soporte y monitorear los sistemas y servicios de información. Cobit
  • 13. Tema I – Necesidad de Control
    • Ejemplo de Visión:
    UCSE 2006 El manejo electrónico de información es estratégicamente importante para un futuro exitoso. El uso de los recursos debe ser basado en las necesidades de la totalidad de la población de clientes y al mismo tiempo el control y la seguridad deben ser altamente prioritarios.
  • 14. Tema I – Necesidad de Control
    • Ejemplo de Arquitectura:
    UCSE 2006
    • Procesadores: estaciones de trabajo y servidores
    • Redes: redes locales
    • Servicios: acceso a terminales, transferencia de archivos, mail
    • Estándares: sistemas operativos, protocolo de comunicaciones
  • 15. Tema I – Necesidad de Control
    • Arquitectura Basada en Servicios
    UCSE 2006 Servicios Dispositivos Sistemas Internos Economía de Servicios Personas Organización Canales
    • A Medida
    • Paquetes
    • En Alquiler
    • Clientes
    • Empleados
    • Socios
    • Pc
    • Servidores
    • PDA
    • Teléfonos
    • Proveedores de Servicio Independientes
    • Intermediarios
  • 16. Tema I – Necesidad de Control
    • Razones
    UCSE 2006
    • Las aplicaciones de TI no están manejadas por una sola persona.
    • Brinda un entendimiento compartido entre profesionales de TI.
    • Ayuda a comunicar el futuro.
    • Provee un gran esquema que permite la toma de decisiones individuales sea consistente.
  • 17. Tema I – Necesidad de Control
    • Atributos
    UCSE 2006
    • Comunicar claramente: debe ser comprensiva más que detallada
    • No debe especificar una acción exacta sino debe dar la imagen de un posible futuro.
    • Es referente para realizar comparaciones y toma de decisiones.
  • 18. Tema I – Necesidad de Control
    • Caso de Estudio
    UCSE 2006 Visión y Arquitectura
  • 19. Tema I – Necesidad de Control
    • Proyectos de TI
    UCSE 2006 Concepto: es una tarea o conjunto de trabajos asignados que puede ser llevado a cabo por un conjunto de personas, empleando una simple lista de <cosas por hacer> Joseph W.Weiss, Robert k. Wysocki
  • 20. Tema I – Necesidad de Control
    • Características de los Proyectos de TI
    UCSE 2006
    • Objetivos Multidimensionales
    • Tiempo de entrega
    • Sujeto a una Planificación
    • Minimización de costos
      • recursos disponibles
      • flujo de dinero
      • restricciones de performance tecnológicas
    • Presencia de incertidumbre
  • 21. Tema I – Necesidad de Control
    • Proyectos de TI
    UCSE 2006 ¿Donde está la empresa? ¿A donde quiere llegar la empresa? Brecha Describir la brecha en mayor detalle permitirá planificar una serie de proyectos para que la empresa alcance sus metas. Cobit PG 6
  • 22. Tema I – Necesidad de Control
    • Clasificación de Proyectos
    UCSE 2006
    • Iniciativas Estratégicas
    • Proyectos Tácticos
    • Mejoras Organizacionales
    • Desarrollo de Procedimientos
    Cobit PG 6
  • 23. Tema I – Necesidad de Control
    • Prioridad de los Proyectos
    UCSE 2006
    • Se basa en identificar los proyectos con:
    • Resultados favorables que pueden obtenerse rápidamente.
    • Bajo costo de cerrar la brecha
    • Bajo riesgo de fracaso
    • Mayor impacto en los beneficios de la empresa
    Impacto Costo / Riesgo 1 5 10 5 10
  • 24. Tema I – Necesidad de Control
    • Impacto de los Proyectos de TI
    UCSE 2006
    • Objetivos de Negocios
    • Impacto por el costo
    • Dirección estratégica de los negocios
    • Ventajas competitivas
    • Administración del soporte a las decisiones
    • Otros beneficios intangibles
    • Soporte para nuevas tecnologías
  • 25. Tema I – Necesidad de Control
    • Riesgos de Gestión del Proyecto de TI
    UCSE 2006
    • Categorización de Riesgos sobre Proyectos
    • Gestión de Proyectos
    • Enfoque de Negocios
    • Proceso de Negocios
    • Usuarios
    • Tecnología
    • Datos
    Information Systems Control Journal, Volume 5, 2002
  • 26. Tema I – Necesidad de Control
    • Riesgos de Gestión del Proyecto de TI
    UCSE 2006
    • Escalera de Reducción de Riesgos
    • La prevención de riesgo (por ejemplo, por el cambio del alcance del proyecto)
    • La minimización de riesgo (por ejemplo, remediando los pobres controles identificados en el proyecto)
    • La limitación de riesgo (por ejemplo, desarrollando las alternativas en caso de un fracaso del proyecto)
    • El traslado del riesgo (por ejemplo, estando de acuerdo en los daños y perjuicios contractuales)
    • La aceptación de riesgo
    Information Systems Control Journal, Volume 5, 2002
  • 27. Tema I – Necesidad de Control
    • Caso de Estudio
    UCSE 2006
    • Evaluación de Proyectos
    • Propuesta de Solución
  • 28. UCSE 2006 AUDITORIA DE TECNOLOGÍA DE INFORMACIÓN Tema II “ Gobierno de TI”
  • 29. Tema II – Gobierno de TI UCSE 2006 Información & TI Ámbito Gobierno & Contro l
  • 30. Tema II – Gobierno de TI
    • El gobierno de TI apunta a alinear la TI y el negocio, midiendo su desempeño y logrando que se agregue valor a la organización.
    • El control de TI es una definición del resultado o propósito que desea alcanzar implementando procedimientos de control en una actividad de TI particular.
    UCSE 2006 SAC – Informe de Auditoría y control – Instituto de la Fundación de Investigadores de Auditoría Interna
  • 31. Tema II – Gobierno de TI
    • La dirección y la administración ejecutiva de las empresas necesitan extender su gobierno a la TI
    • El gobierno de la TI no es una disciplina aislada, sino debe convertirse en parte integral del manejo total de una empresa; es decir, la TI necesita adoptarse como parte integral de la empresa.
    UCSE 2006 Governance Institute
  • 32. Tema II – Gobierno de TI
    • Definición
    • Consiste en el liderazgo, las estructuras de la organización y los procesos para asegurar que la TI mantenga y amplíe los objetivos y estrategias de la empresa.
    UCSE 2006 Governance Institute
  • 33. Tema II – Gobierno de TI UCSE 2006
    • Objetivos
    • Que la TI esté alineada con la empresa y produzca los beneficios prometidos.
    • Que la TI habilite a la empresa a explotar oportunidades y generar los máximos beneficios.
    • Que los recursos de la TI se empleen responsablemente.
    • Que los riesgos relacionados se manejen adecuadamente.
    Governance Institute
  • 34. Tema II – Gobierno de TI UCSE 2006
    • Para aplicar el enfoque de gobierno se necesita...
    • Alinear las estrategias de TI con las estrategias de negocios.
    • Difundir estrategias y objetivos a toda la empresa
    • Proveer la estructura organizacional para facilitar la implementación de estrategias y objetivos.
    • Insistir en que la estructura de control se adopte e implemente
    • Medir el desempeño de la TI.
    Governance Institute
  • 35. Tema II – Gobierno de TI
    • Modelo
    UCSE 2006 Proporcionar Dirección
    • Actividades de TI
    • Aumentar Automatización
    • Reducir Costos
    • Manejar Riesgos (seguridad, confianza y cumplimiento reglamentario)
    Medir Desempeño
    • Establecer Objetivos
    • TI alineado con el negocio
    • TI crea negocios y produce máximos beneficios
    • Recursos TI empleados responsablemente
    • Manejo adecuado de Riesgos relacionados con TI
    Comparar Governance Institute
  • 36. Tema II – Gobierno de TI
    • Objetivos
    UCSE 2006 Governance Institute
    • Producir valor comercial: se lleva a cabo por la alineación
    • Mitigar riesgos: se realiza al establecer responsabilidades dentro de la empresa
  • 37. Tema II – Gobierno de TI
    • Areas de Enfoque
    UCSE 2006 Valor Derivado de la TI Manejo de Riesgos Medir Desempeño Alineación Estratégica de TI Conductores de Valor del Inversionista Governance Institute
  • 38. Tema II – Gobierno de TI
    • Alineación de TI
    UCSE 2006 Governance Institute Definición: Consiste en determinar si la inversión en TI está en armonía con los objetivos estratégicos (la visión, estrategia actual y la misión) creando así la capacidad de generar valor para el negocio. La alineación es una tarea constante que sirve para responder o justificar acerca del valor que tiene invertir en tecnología.
  • 39. Tema II – Gobierno de TI
    • Alineación de TI
    UCSE 2006 Governance Institute Estrategia Empresarial Estrategia de TI Operaciones de TI Operaciones de la Empresa Actividades de Alineación Futuro
  • 40. Tema II – Gobierno de TI
    • Alineación de TI
    UCSE 2006 Governance Institute
    • Requiere
    • Crear y mantener la conciencia del papel estratégico de la TI a los altos gerentes.
    • Clarificar que papel debe desempeñar la TI
    • Crear principios-guía de la TI a partir de máximas de negocio. Ej. Consolidar una base única de clientes
    • Verificar el impacto de la infraestructura de TI en el negocio y el portafolio de aplicaciones
    • Evaluar, después de implementar, los beneficios producidos por los proyectos de TI.
  • 41. Tema II – Gobierno de TI
    • Valor Derivado de la TI: Principios Básicos
    UCSE 2006 Governance Institute
    • En Términos
    • de TI
    • Entregar a Tiempo
    • Dentro del Presupuesto
    • Con los Beneficios Prometidos
    • En Términos
    • de Negocio
    • Ventaja Competitiva
    • Satisfacción del Cliente
    • Utilidad y Productividad del Empleado
  • 42. Tema II – Gobierno de TI
    • Valor Derivado de la TI: Percepción del Valor
    UCSE 2006 Unidad Financiera Unidad Operativa Unidad de Operaciones de TI Infraestructura de TI
    • Aumento de Ingresos
    • Ingreso por Empleado
    • Tiempo para introducir un nuevo producto en el mercado
    • Disponib. y Costo de la Infraestructura y por Área
    • Tiempo y costo de implementación
    Tiempo para el Impacto
  • 43. Tema II – Gobierno de TI
    • Beneficios empresariales por el manejo eficaz de la TI ?
    UCSE 2006 Governance Institute
    • Reputación
    • Confianza
    • Liderazgo en productos/servicios
    • Costos reducidos
    • Tiempo para llevar un producto al mercado
  • 44. Tema II – Necesidad de Control
    • Caso de Estudio
    UCSE 2006 Alineación Valor derivado de la TI
  • 45. UCSE 2006 AUDITORIA DE TECNOLOGÍA DE INFORMACIÓN Tema III “ Control Interno ”
  • 46. Tema III – Control Interno
    • Definición
    UCSE 2006 Control: cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. Piattini – Del Peso.
  • 47. Tema III – Control Interno
    • Control: las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos.
    UCSE 2006 COSO – Comité de partocinadores de Organizaciones de la Comisión de Treadway Definición
  • 48. Tema III – Control Interno
    • Clasificación Histórica
    UCSE 2006
    • Controles preventivos: para tratar de evitar el hecho. Ej. un software que impida los accesos no autorizados.
    • Controles detectivos: se realizan para tratar de conocer cuanto antes el evento. Ej. Registro de intentos de acceso no autorizados, registro de errores diarios, etc.
    • Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Ej. Recuperación de un archivo dañado a partir de las copias de seguridad.
  • 49. Tema III – Control Interno
    • Características de los controles
    UCSE 2006
    • Completos
    • Simples
    • Fiables
    • Revisables
    • Adecuados
    • Rentables
    Tanto en diseño como en la implementación deben ser:
  • 50. Tema III – Control Interno
    • ¿Para que se aplican los controles?
    UCSE 2006
    • Efectividad
    • Eficiencia
    • Confidencialidad
    • Disponibilidad
    • Integridad
    • Cumplimiento
    • Confiabilidad
    “ Para satisfacer los criterios de control de información ”
  • 51. Tema III – Control Interno
    • Para aplicar el enfoque de control se necesita...
    • Traducir los objetivos de negocio a satisfacer en requerimientos de información
    • Visualizar la información necesaria para dar soporte a los procesos
    • Obtener información como resultado de la aplicación combinada de recursos de tecnología de TI que deben ser administrados por procesos de TI.
    UCSE 2006
  • 52. Tema III – Control Interno
    • Como Gerentes …
    UCSE 2006 Determinación de lo que se está logrando según lo planificado Control
    • Evaluación del desempeño
    • Aplicación de medidas Correctivas
    = =
  • 53. Tema III – Control Interno
    • Modelo de Control Estándar
    UCSE 2006 Normas Estándares Objetivos Comparar Actuar Controlar Información Proceso
  • 54. Tema III – Control Interno
    • Las Normas
    UCSE 2006 Variedad
    • Planes y Estrategias de alto nivel
    • Indicadores Claves de Desempeño (ICD)
    • Factores Críticos de Éxito (FCE)
    • Etc.
    • Documentadas
    • Mantenidas
    • Comunicadas
    Custodia
  • 55. Tema III – Control Interno
    • Deferencias entre Control Interno y Auditoria
    UCSE 2006
    • Control Interno
    • Definición de Propietarios y Perfiles: Clasificación de la Información
    • Administración delegada en control Dual
    • Responsable del desarrollo y actualización del Plan de Contingencias, Manual de Procedimientos y Planes de Seguridad
    • Define procedimientos de control
    • Control de calidad
    • Control de costos
    • Auditoria
    • Vigilancia y evaluación mediante dictámenes
    • Evalúan eficiencia, costo y Seguridad
    • Operan según un plan
    • Utilizan metodologías de evaluación
    • Repetición de auditoria por nivel de exposición de área auditada y el resultado de la última auditoria de la misma.
    Piattini – Del Peso.
  • 56. Tema III – Control Interno
    • Control Interno – Metodología
    UCSE 2006
    • Busca establecer una situación de control según el grado de importancia de las entidades de información.
    • Los controles se diferencian según el activo o recurso que protege
    • “ Clasificación de la Información”
  • 57. Tema III – Control Interno
    • Control Interno – Metodología
    UCSE 2006
    • Identificación de la Información
    • Inventario de Entidades de Información
    • Identificación de Propietarios
    • Definición de Jerarquías de Información
    • Definición de la Matriz de Clasificación
    • Confección de la Matriz de Clasificación
    • Realización del Plan de Acciones
    • Implantación y Mantenimiento
    • “ Clasificación de la Información”
  • 58. Tema III – Control Interno
    • Control Interno – Plan de Contingencias
    UCSE 2006
    • Definición
    • Es una estrategia planificada constituida por:
      • Un conjunto de recursos de respaldo
      • Una organización de emergencia
      • Procedimientos de actuación encaminada
    • encaminada a conseguir una restauración progresiva y ágil de los servicios del negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa.
    Piattini – Del Peso.
  • 59. Tema III – Control Interno
    • Control Interno – Plan de Contingencias
    UCSE 2006
    • Fases
    • Análisis y Diseño
    • Desarrollo del Plan
    • Pruebas de Mantenimiento
  • 60. Tema III – Control Interno
    • Control Interno – Plan de Contingencias
    UCSE 2006 Fases 1 - “Análisis y Diseño” Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo y el costo beneficio de las mismas utilizando alguna de las siguientes metodologías:
    • Análisis de Riesgo
    • Impacto de Negocios
  • 61. Tema III – Control Interno
    • Definiciones para profundizar en las metodologías
    UCSE 2006 Amenaza : una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o catástrofe. Ejemplos: inundación, incendio, robo de datos, sabotaje, falta de procedimientos de emergencia, divulgación de datos, implicaciones con la ley, aplicaciones mal diseñadas, gastos no controlados, etc. Vulnerabilidad : situación creada, por la falta de uno o varios controles, con la que la amenaza pudiera acaecer y así afectar al entorno informático. Ej. falta de control de acceso lógico, falta de control de versiones, inexistencia de un control sobre soporte magnético, falta de cifrado en las comunicaciones, etc. Piattini – Del Peso.
  • 62. Tema III – Control Interno
    • Definiciones para profundizar en las metodologías
    UCSE 2006 Riesgo : es la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad. Exposición o Impacto : es la evaluación del efecto del riesgo. Ej. Es frecuente evaluar el impacto en términos económicos, aunque también puede ser en vida humanas, imagen de la empresa, honor, defensa nacional, etc. Piattini – Del Peso.
  • 63. Tema III – Control Interno
    • Control Interno – Plan de Contingencias
    UCSE 2006 Metodología - “Análisis de Riesgo”
    • Identificación de amenazas
    • Análisis de la probabilidad de materialización de la amenaza
    • Selección de amenazas
    • Identificación de entornos amenazados
    • Identificación de servicios afectados
    • Estimación del impacto económico por la paralización de cada servicio.
    • Selección de los servicios a cubrir
    • Selección final del ámbito del Plan.
    • Identificación de alternativas para los entornos
    • Selección de alternativas
    • Diseño de estrategias de respaldo
    • Selección de estrategias de respaldo
  • 64. Tema III – Control Interno
    • Control Interno – Plan de Contingencias
    UCSE 2006 Metodología - “Impacto de Negocio”
    • Identificación de los servicios finales
    • Análisis del impacto: daños económicos, de imagen y otros aspectos
    • Selección de servicios críticos
    • Determinación de recursos de soporte
    • Identificación de alternativas para entornos
    • Selección de alternativas
    • Diseño de estrategias globales de respaldo
    • Selección de la estrategia global de respaldo
  • 65. Tema III – Control Interno
    • El sistema de Control debe asegurar que los objetivos de negocio se puedan cumplir, teniendo en cuenta:
    • La TI debe estar alineada con los negocios
    • La TI debe crear negocios y maximizar los beneficios.
    • Los recursos deben ser usados responsablemente.
    • Los riesgos relacionados con la TI deben ser manejados apropiadamente.
    UCSE 2006
  • 66. Tema III – Control Interno
    • Caso de Estudio
    UCSE 2006 Clasificación de la Inf. Plan de Contingencias
  • 67. UCSE 2006 AUDITORIA DE TECNOLOGÍA DE INFORMACIÓN Tema IV “ Seguridad”
  • 68. Tema IV – Seguridad
    • Definición
    UCSE 2006 Cobit 2003
    • Seguridad: consiste en proteger la información contra…
    • Su uso no autorizado
    • Divulgación
    • Modificación
    • Daño
    • Pérdida
  • 69. Tema IV – Seguridad
    • Objetivo General de la Auditoria
    UCSE 2006
    • Evaluar la seguridad informática debido a los riesgos que crea la misma informática a la organización.
    • Evaluar la calidad y eficiencia de las medidas destinadas a proteger y preservar a la organización.
  • 70. Tema IV – Seguridad
    • Administración de Medidas
    UCSE 2006 Cobit 2003
    • Traducir la información de evaluación de planes de riesgo en planes de seguridad de TI.
    • Implementar el plan de seguridad de TI
    • Actualizar el plan de seguridad de TI para reflejar los cambios en la configuración de TI.
    • Evaluar el impacto de las solicitudes de cambio en la seguridad de TI.
    • Monitorear la implementación del plan de seguridad de TI.
    • Alinear los procedimientos de seguridad con otras políticas y procedimientos.
  • 71. Tema IV – Seguridad
    • Auditoria de Seguridad - Clasificación
    UCSE 2006
    • Física: se evalúan las protecciones de recursos
      • De Sistemas: datos, programas, instalaciones, equipos, redes y soportes manuales, magnéticos, etc.
      • Instalaciones: ergonomía, confort, iluminación, vigilancia, accesos, evacuación, alarmas, fuego, salidas alternativas, materiales utilizados.
      • Recursos humanos: acceso, presencia, seguros, enfermedad, negligencias, errores.
    • Lógica: se verificará que cada usuario solo pueda acceder a los recursos a los que le autorice el propietario, aunque sea de forma genérica, según su función y con las posibilidades que el propietario le haya fijado: lectura, modificación.
  • 72. Tema IV – Seguridad
    • Relaciones de Seguridad y Auditoria
    UCSE 2006 Piattini – Del Peso. Auditoria de TI Externa Auditoria de TI Interna Control Interno General Administración de Seguridad Ámbito Protegido
  • 73. Tema IV – Seguridad
    • Caso de Estudio
    UCSE 2006 Seguridad Física Seguridad de los Datos
  • 74. UCSE 2006 AUDITORIA DE TECNOLOGÍA DE INFORMACIÓN Tema V “ Concepto de Auditoría”
  • 75. Tema V – Concepto de Auditoría UCSE 2006 ¿Para qué se realizan las Auditorias de TI? Una auditoria se realiza para dar soporte al control y seguridad de la tecnología de información utilizada en la empresa, aplicando un enfoque de control orientado a los procesos de la misma.
  • 76. Tema V – Concepto de Auditoría
    • Orígen
    • Auditoría: deriva del latín “audire” que signigfica OIR
    • Auditor: todo aquel que tiene la virud de oir.
    UCSE 2006 Conceptualización Consiste en la emisión de la opinión profesional sobre si el objeto sometido al análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas. Piattini – Del Peso.
  • 77. Tema V – Concepto de Auditoría
    • Definición : La auditoria de los sistemas de información consiste en la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
    UCSE 2006 ISACA – Asociación de Auditoría y Control de Sistemas de Información.
  • 78. Tema V – Concepto de Auditoría
    • Los Jugadores – Ambito Informático
    UCSE 2006 Gobierno de TI : implementa procesos informáticos alineados Control Interno : aplica los controles Auditoría Informática : evalúa las prácticas de control
  • 79. Tema V – Concepto de Auditoría
    • Los Jugadores – Ambito Empresario
    UCSE 2006 Ejecutivos : implementan nuevas estrategias competitivas Administradores : responsables de los procesos de negocio o áreas Auditor Informático : opina y aconseja si está bien lo que se hace.
  • 80.
    • Clases de Auditoria
    Tema V – Concepto de Auditoría UCSE 2006 Clase Auditoria Financiera Auditoria Gestión Auditoría de TI Objeto Cuentas anuales Dirección TI
  • 81.
    • Tipos de Auditoria de TI
    Tema V – Concepto de Auditoría UCSE 2006
    • Soporte de la auditoria tradicional.
    • Auditoria de la Gestión del Entorno Informático.
    • Auditoria como función independiente enfocada a la seguridad, riesgo y eficiencia del entorno.
    • Auditoria como función de control dentro del departamento de gobierno de TI.
  • 82. Tema V – Concepto de Auditoría
    • Objetivos
    • Garantizar que se logren los objetivos de control
    • Identificación de las deficiencias significativas
    • Sustanciación del riesgo asociado a las deficiencias
    • Asesoramiento sobre las acciones correctivas a adoptar
    UCSE 2006
  • 83. UCSE 2006 AUDITORIA DE TECNOLOGÍA DE INFORMACIÓN Tema VI “ Auditor de TI”
  • 84. Tema VI – Auditor de TI
    • Concepto
    • Es un profesional especializado en TI y en Auditoria de TI, que tiene conocimientos generales de los ámbitos en que se mueve; y está obligado a lograr que sus destrezas evolucionen con la TI
    UCSE 2006
  • 85. Tema VI – Auditor de TI UCSE 2006
    • Principio General:
    • Los auditores deben suministrar…
    • Garantías y asesoramiento respecto de los controles de la organización.
    • Garantías razonables que están cumpliendo los objetivos de control pertinentes.
    • Identificar donde se encuentran las deficiencias significativas en dichos controles.
    • Definir el riesgo que puede estar asociado a dichas deficiencias.
    • Asesorar a los ejecutivos sobre las medidas correctivas que se deberían tomar.
  • 86. Tema VI – Auditor de TI UCSE 2006
    • Puede actuar como:
    • Evaluador de prácticas de control
    • Consultor: dando ideas de cómo enfocar buenas prácticas de control.
    • Asesor en seguridad y control de TI
  • 87. Tema VI – Auditor de TI UCSE 2006
    • Amplio Perfil Profesional
    • Gestión de Proyectos
    • Gestión del Departamento de TI
    • Análisis de riesgos de un entorno informático
    • Sistemas operativos
    • Telecomunicaciones
    • Bases de Datos
    • Redes
    • Encriptación
    • Gestión de Seguridad
    • Ofimática
    Nuevos Paradigmas y Herramientas de TI
  • 88. Tema VI – Auditor de TI UCSE 2006
    • Código de Ética de Auditores CISA:
    • Apoyar el establecimiento y cumplimiento de normas, procedimientos y controles de las auditorias de sistemas de información.
    • Cumplir con las normas de auditorias de sistemas de información, según adopte la ISACF
    • Actuar en interés de sus empleadores, accionistas clientes y público en general en forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilícitas o incorrectas.
    • Mantener la confidencialidad de la información obtenida en el curso de sus deberes. La información no deberá ser utilizada en beneficio propio o divulgada a terceros no legitimados.
  • 89. Tema VI – Auditor de TI
    • Riesgos a los que se enfrenta el Auditor
    • Errores de importancia que ocurran en el proceso de captura de datos del cual se obtienen los informes
    • Errores de importancia que pueda existir
    UCSE 2006
  • 90. Tema III – Auditor de TI
    • Reducción de Riesgos
    • Confía en el control interno para reducir el primer riesgo.
    • Confía en sus pruebas y en sus procedimientos para reducir el segundo riesgo.
    UCSE 2006
  • 91. Tema VI – Auditor de TI
    • Evaluación del Control
    UCSE 2006
    • Pruebas de Cumplimiento
    • Pruebas Sustantivas
  • 92. Tema VI – Auditor de TI
    • Tipos de Pruebas Sustantivas
    UCSE 2006
    • Pruebas para identificar errores en el procesamiento o falta de seguridad o confidencialidad
    • Pruebas para asegurar la calidad de los datos
    • Pruebas para identificar la inconsistencia de los datos
    • Pruebas para comparar con los datos o contadores físicos
    • Confirmación de datos con fuentes externas
    • Pruebas para confirmar la adecuada comunicación
    • Pruebas para determinar la falta de seguridad
    • Pruebas para determinar problemas de legalidad
  • 93. Tema VI – Auditor de TI
    • Dominios de Alto Nivel
    UCSE 2006
    • Planificación y Organización: abarca la estrategia de TI. Se identifica la forma en que la TI puede contribuir más adecuadamente con el logro de los objetivos de negocio.
    • Adquisición e Implementación : deben identificarse, desarrollarse o adquirirse soluciones de TI y luego implementarse e integrarse en el proceso de negocio.
    • Entrega y Soporte : abarca la entrega de los servicios y el soporte de los mismos.
    • Monitoreo : abarca la evaluación de todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control.
  • 94. Tema VI – Auditor de TI
    • Tipos de Controles
    UCSE 2006 Esenciales de TI Detallados de TI
    • Aplicación
    • Generales
    Planificación y Organización Adquisición e Implementación Entrega y Soporte Monitoreo
  • 95. Tema VI – Auditor de TI
    • Tipos de Controles
    UCSE 2006
    • Esenciales de TI : son aquellos diseñados para administrar y monitorear el ambiente de TI
    • Detallados de TI: son aquellos aplicados a la adquisición, implementación, entrega y soporte de servicios y sistemas de información.
      • Generales : son controles que se aplican al ambiente en el que se desarrollan, mantienen y operan el conjunto de sistemas.
      • Aplicación : se refiere a las transacciones y a los datos permanentemente relacionados con cada uno de los sistemas computarizados.
  • 96. Tema VI – Auditor de TI
    • Caso de Estudio
    UCSE 2006 Pruebas Controles
  • 97. UCSE 2006 AUDITORIA DE TECNOLOGÍA DE INFORMACIÓN Tema VII “ Ejecución de una Auditoria”
  • 98.
    • Enfoques de Auditoria de TI
    Tema VII – Auditoría: Ejecución UCSE 2006
    • Reactiva:
    • ¿Está bien lo que se hace?, ¿Cómo se corrige?
    • Proactiva:
    • ¿Qué necesito para que no sea necesario corregirlo?
  • 99. Tema VII – Auditoría: Ejecución
    • Normas y Procedimientos
    • El elemento esencial de la Auditoría es la opinión profesional que se fundamenta y justifica por medio de procedimientos específicos tendentes a proporcionar una seguridad razonable de lo que se afirma.
    UCSE 2006 Piattini – Del Peso.
  • 100. Tema VII – Auditoría: Ejecución
    • Normas Generales para la Auditoría de TI
    • 010 Título de la Auditoría
    • 020 Independencia
    • 030 Ética y Normas profesionales
    • 040 Idoneidad
    • 050 Planificación
    • 060 Ejecución del Trabajo de Auditoría
    • 070 Informes
    • 080 Actividades de Seguimiento
    UCSE 2006
  • 101. Tema VII – Auditoría: Ejecución
    • 050 Normas (Planificación)
    UCSE 2006
    • Requerimientos de Negocios : debe conocer los objetivos de la auditoria, el área a auditar y la infraestructura.
    • Conocimiento de la Organización : debe obtener el entendimiento de la organización y los procesos.
    • Materialidad : es una expresión del grado de importancia que tiene una cosa en particular en el contexto de la organización.
    • Evaluación de Riesgo : se deben identificar aras con relativa existencia de alto riesgo de problemas.
    • Evaluación del Control Interno : debe considerar hasta que punto es necesaria la revisión del control interno.
    • Documentación – Programa de Auditoría: conjunto de pasos para realizar el objetivo de la auditoría.
  • 102. Tema VII – Auditoría: Ejecución
    • Programa de Auditoria
    UCSE 2006
    • Listado del trabajo a realizar
    • Factibilidad
    • Personal y otros recursos requeridos
    • Un calendario de actividades
    • Un presupuesto
  • 103. Tema VII – Auditoría: Ejecución
    • Normas 060.020 (Evidencia)
    UCSE 2006 Concepto: se constituye por aquellos hechos susceptibles de ser probados por el auditor que están relacionados con los objetivos de control que evalúa, y que se manifiesta a través de las pruebas de cumplimiento y sustantivas de los controles, y están de acuerdo con el juicio profesional.
  • 104. Tema VII – Auditoría: Ejecución
    • Normas 060.020 (Evidencia)
    UCSE 2006
    • En el transcurso de la auditoria, el auditor de sistemas de información debe obtener la evidencia suficiente, confiable, pertinente y útil a fin de que se alcancen los objetivos de auditoria con eficacia.
    • Los hallazgos y las conclusiones de la auditoria deben ser sustentados mediante el análisis y la interpretación de dicha evidencia.
  • 105. Tema VII – Auditoría: Ejecución
    • Normas 060.020 (Evidencia)
    UCSE 2006
    • Evidencia obtenida por parte independiente
    • Evidencia obtenida por la organización
    Fuente de obtención
  • 106. Tema VII – Auditoría: Ejecución
    • Normas 060.020 (Evidencia)
    UCSE 2006
    • Evidencia Física: Ej. observación de cómo se realizan las actividades, etc.
    • Evidencia Documentada: Ej. registros de transacciones, inventarios, etc.
    • Representaciones: Ej. diagramas, afirmaciones que realizan los usuarios, etc.
    • Análisis: análisis de la información a través de comparaciones, etc.
    Tipos de Evidencia
  • 107. Tema VII – Auditoría: Ejecución
    • Normas 060.020 (Evidencia)
    UCSE 2006 El auditor debe considerar el tiempo durante el cual existe la información y está disponible en su naturaleza, duración en el tiempo, para realizar pruebas sustantivas y, si es aplicable, su comprobación. Disponibilidad de la Evidencia
  • 108. Tema VII – Auditoría: Ejecución
    • Normas 060.020 (Evidencia)
    UCSE 2006
    • Entrevista
    • Observación
    • Inspección
    • Confirmación
    • Re-Evaluación
    • Monitoreo
    Recolección de la Evidencia
  • 109. Tema VII – Auditoría: Ejecución
    • Evidencia
    UCSE 2006 La evidencia obtenida deberá recogerse en los papeles de trabajo del auditor como justificación del trabajo efectuado y la opinión expresada. Corolario Piattini – Del Peso.
  • 110.
    • 1 - Definición del Requerimiento
    • del Proceso de Auditoria de TI
    Tema VII – Auditoría: Requerimiento UCSE 2006
    • Definir el alcance de la auditoria
    • Identificar los requerimientos de información relacionados con el proceso de negocio
    • Identificar los riesgos inherentes y el nivel de control general
    • Seleccionar los procesos y plataformas para auditar
    • Establecer la estrategia de la auditoria
    Cobit 2003
  • 111. Tema VII – Auditoría: Ejecución
    • 2 - Pauta de Auditoria Genérica
    UCSE 2006 Cobit
    • Obtención del entendimiento
    • Evaluación de los controles
    • Evaluación del cumplimiento
    • Definición del riesgo
    Lo que existe Se decide que evaluar, como y si son suficientes los controles. Obtener evidencia para garantizar que el control funciona Opinión confidencial de puntos débiles y del impacto real y potencial
  • 112.
    • 3 - Informe de Auditoria
    Tema VII – Auditoría: Informe UCSE 2006
    • Descripción del Problema
    • El impacto que produce (según los riesgos)
    • Sugerencia u Opinión
    Cobit Criterios
    • Modelo Cobit
    • Normas de la Empresa
    • Reglas del Sector
    • Estándares
  • 113.
    • Análisis del Riesgo – Metodología
    Tema VII – Auditoría: Ejecución UCSE 2006 Cobit
    • Valuación de los Bienes
    • Análisis de Vulnerabilidad
    • Observación de Amenazas
    • Evaluación del Riesgo
    • = (Prob. de la Amenaza +
    • Grado de Vulnerabilidad +
    • Severidad del impacto)
    • Selección de Contramedidas (Controles)
    • Identificación de Riesgo Residual
    • Plan de acción
  • 114.
    • Análisis del Riesgo - Tipos
    Tema VII – Auditoría: Ejecución UCSE 2006 Cobit
    • Potencial : la capacidad que una amenaza explote alguna vulnerabilidad de los recursos provocando pérdida o daño.
    • Inherente : riesgo asociado a un evento en la ausencia de controles específicos.
    • Residual : riesgo asociado a un evento cuando los controles reducen el efecto o la probabilidad de dicho evento.
    Riesgo : es la probabilidad que un acto o evento ocurra produciendo un efecto adverso en la organización y en la información.
  • 115. Tema VII – Auditoría: Ejecución
    • Caso de Estudio
    UCSE 2006 Requerimientos del Proceso Pautas Genéricas
  • 116. GOBIERNO Y AUDITORIA DE TECNOLOGÍA DE INFORMACIÓN UCSE 2006 Bibliografía
  • 117.
    • Libros:
    Bibliografía UCSE 2006
    • Título : Auditoria Informática Un enfoque práctico 2ª Edición
    • Autor: Mario G. Piattini – Emilio del Peso
    • Editorial: Alfaomega – RA-MA
    • Título : Auditoria Informática 2ª Edición
    • Autor: José Antonio Echenique García
    • Editorial: Mc Graw Hill
  • 118. UCSE 2006 AUDITORIA DE TECNOLOGÍA DE INFORMACIÓN APÉNDICE
  • 119. UNIDAD I – Concepto de Auditoría
    • Estructura Cobit de la Auditoria
    UCSE 2006 Cobit
    • Nivel 1
    • Marco Cobit
    • Requerimientos del Proceso de Auditoria
    • Observaciones de Control
    • Pauta de Auditoria Genérica
    • Nivel 2
    • Pauta de auditoria detallada
    • Nivel 3
    • Condiciones Locales (criterios específicos del sector, normas de la industria, elementos específicos de la plataforma, etc.)
  • 120. UNIDAD I – Necesidad de Control
    • Gobierno de TI
    UCSE 2006 Resultados Objetivos Procesos de Negocio Procesos de TI Eventos Servicios TI