1
UNIBERSIDAD NACIONALO JORGE
BASADRE GROHOMANN
Facultad de Ciencias Contables y financieras
Auditoría y Seguridad Informá...
2
Tema 1: Introducción a la auditoría de los
S.I.
Indice
Introducción
– Resumen
– Evolución de la Tecnología
Conceptos de ...
3
Tema 1: Introducción a la auditoría de los
S.I.
Resumen
– Tendencia desde una Sociedad Industrial hacia la
llamada Socie...
4
Tema 1: Introducción a la auditoría de los
S.I.
Evolución de la Tecnología
– Es debido a la mayor o menor utilización de...
5
Tema 1: Introducción a la auditoría de los
S.I.
– Los S.I. También han ido evolucionando.
– Sistemas por Lotes (Batch)
–...
6
Tema 1: Introducción a la auditoría de los
S.I.
– Las organizaciones se encuentran con varios problemas a
la hora de dis...
7
Tema 1: Introducción a la auditoría de los
S.I.
Conceptos generales de auditoría
Definiciones de auditoria
– Es un exame...
8
Tema 1: Introducción a la auditoría de los
S.I.
Conceptos generales de auditoría
Definiciones de auditoria
– Es el proce...
9
Tema 1: Introducción a la auditoría de los
S.I.
Conceptos generales de auditoría
Definiciones de auditoria
– Es una herr...
10
Tema 1: Introducción a la auditoría de los
S.I.
Conceptos generales de auditoría
Definiciones de auditoria
– Consiste e...
11
Tema 1: Introducción a la auditoría de los
S.I.
– Puntos comunes de las Definiciones de
auditoria
– Examen metódico
– V...
12
Tema 1: Introducción a la auditoría de los
S.I.
Auditoría externa
– Del hecho de que el dictamen u opinión deba ser
ind...
13
Tema 1: Introducción a la auditoría de los
S.I.
Auditoría interna
– Tiene como función principal la evaluación y revisi...
14
Tema 1: Introducción a la auditoría de los
S.I.
Auditoría Operativa
– Tiene como objetivo, en su sentido más amplio,la
...
15
Tema 1: Introducción a la auditoría de los
S.I.
Objetivos
– Comprobar la fiabilidad y operatividad de la
función inform...
16
Tema 1: Introducción a la auditoría de los
S.I.
Objetivos
– Verificación de los controles de acceso a
instalaciones, te...
17
Tema 2: Aspectos generales de la
Auditoría de S.I.
Indice
Planificación de la auditoría de los S.I.
Sistema Informático...
18
Tema 2: Aspectos generales de la
Auditoría de S.I.
Planificación de la auditoría de los S.I.
– Estudio inicial del área...
19
Tema 2: Aspectos generales de la
Auditoría de S.I.
Planificación de la auditoría de los S.I.
– Definición de las prueba...
20
Tema 2: Aspectos generales de la
Auditoría de S.I.
Planificación de la auditoría de los S.I.
– Preparación del dictamen...
21
Tema 2: Aspectos generales de la
Auditoría de S.I.
Sistema Informático Ideal
– Opera como un departamento de servicios
...
22
Tema 2: Aspectos generales de la
Auditoría de S.I.
Sistema Informático Ideal
– El diseño y planificación de aplicacione...
23
Tema 2: Aspectos generales de la
Auditoría de S.I.
Técnicas de Auditoría
Pruebas de cumplimiento
– Verifican la correct...
24
Tema 2: Aspectos generales de la
Auditoría de S.I.
Técnicas de Auditoría
Ejemplo de técnicas
– Entrevistas (personal de...
25
Tema 2: Aspectos generales de la
Auditoría de S.I.
Pruebas específicas de Auditoría Informática
– Juegos de Ensayo
– Ca...
26
Tema 2: Aspectos generales de la
Auditoría de S.I.
Conceptos y Entornos de Control
– Los estándares de auditoría y el o...
27
Tema 2: Aspectos generales de la
Auditoría de S.I.
Objetivos de control
La responsabilidad de la Gerencia es la de
salv...
28
Tema 2: Aspectos generales de la
Auditoría de S.I.
La falta de control conduce a los siguientes
riesgos:
– Decisiones e...
29
Tema 2: Aspectos generales de la
Auditoría de S.I.
– Un Objetivo de Control es una definición sobre
el resultado espera...
30
Tema 2: Aspectos generales de la
Auditoría de S.I.
Ambito del control
– El ámbito del control implica determinar hacia
...
31
Tema 2: Aspectos generales de la
Auditoría de S.I.
Tecnologías:Que cubren el hardware, los
sistemas operativos, los ges...
32
Tema 2: Aspectos generales de la
Auditoría de S.I.
Evaluación de riesgos
– Riesgo sobre el S.I.aquella
circunstancia,po...
33
Tema 2: Aspectos generales de la
Auditoría de S.I.
Evaluación de riesgos
–Accidentes generados por el entorno
– Consecu...
34
Tema 2: Aspectos generales de la
Auditoría de S.I.
– Trae consigo pérdidas económicas, pérdidas de
imagen e incluso pla...
35
Tema 2: Aspectos generales de la
Auditoría de S.I.
Papeles de trabajo
– La auditoría consta fundamentalmente de los
sig...
36
Tema 2: Aspectos generales de la
Auditoría de S.I.
Aspectos Organizativos
– La auditoría Informática suele realizarse p...
37
Tema 2: Aspectos generales de la
Auditoría de S.I.
Aspectos Organizativos
– Plan de formación
–Medios académicos
–Práct...
38
Tema 3: Control interno y auditoría
informática
Indice
Control interno y auditoría informáticos: campos
análogos
Sistem...
39
Tema 3: Control interno y auditoría
informática
Control interno: controla diariamente que todas las
actividades de S.I....
40
Tema 3: Control interno y auditoría
informática
Auditoría Informática: es el proceso de recoger,
agrupar y evaluar evid...
41
CONTROL INTERNO
INFORMATICO AUDITOR
INFORMATICO
SIMILITUDES
Personal interno
Conocimientos especializados en Tecnología...
42
Tema 3: Control interno y auditoría
informática
Sistema de control interno informático
Definición
Cualquier actividad o...
43
Tema 3: Control interno y auditoría
informática
Sistema de control interno informático
Clasificación de los objetivos d...
44
Tema 3: Control interno y auditoría
informática
Implantación de un sistema de controles
internos informáticos
Los contr...
45
Tema 3: Control interno y auditoría
informática
Implantación de un sistema de controles
internos informáticos
– Detalle...
46
Tema 3: Control interno y auditoría
informática
Implantación de un sistema de controles
internos informáticos
Configura...
47
Tema 3: Control interno y auditoría
informática
Implantación de un sistema de controles
internos informáticos
Productos...
48
Tema 3: Control interno y auditoría
informática
Para la implantación de un sistema de
controles internos informáticos h...
49
Tema 3: Control interno y auditoría
informática
Para la implantación de un sistema de
controles internos informáticos h...
50
Tema 3: Control interno y auditoría
informática
– Gestión del cambio: separación de las pruebas y la
producción a nivel...
51
Tema 3: Control interno y auditoría
informática
Controles generales organizativos
– Políticas: deberán servir de base p...
52
Tema 3: Control interno y auditoría
informática
-Plan General de Seguridad (física y lógica), que
garantice la confiden...
53
Tema 3: Control interno y auditoría
informática
-
– Organizar el Departamento de Informática en un nivel
suficientement...
54
Tema 3: Control interno y auditoría
informática
– Asegurar que existe una política de clasificación de la
información p...
55
Tema 3: Control interno y auditoría
informática
Controles de desarrollo, adquisición y
mantenimiento de S.I.
- La alta ...
56
Tema 3: Control interno y auditoría
informática
- Debe establecerse un estudio tecnológico de
viabilidad en el cual se ...
57
Tema 3: Control interno y auditoría
informática
- Plan de conversión: prueba de aceptación final.
- Los procedimientos ...
58
Tema 3: Control interno y auditoría
informática
– Explotación y mantenimiento: el establecimiento de
controles asegurar...
59
Tema 3: Control interno y auditoría
informática
Controles de explotación de S.I.
– Planificación y Gestión de recursos:...
60
Tema 3: Control interno y auditoría
informática
Controles de explotación de S.I.
– Procedimientos de selección del soft...
61
Tema 3: Control interno y auditoría
informática
Controles físicos para asegurar que el acceso a las
instalaciones del D...
62
Tema 3: Control interno y auditoría
informática
Normas que regulen el acceso a los recursos
informáticos.
Existencia de...
63
Tema 3: Control interno y auditoría
informática
Controles en aplicaciones: Cada aplicación debe
llevar controles incorp...
64
Tema 3: Control interno y auditoría
informática
Controles específicos de ciertas tecnologías
– Controles en S.G.B.D.
El...
65
Tema 3: Control interno y auditoría
informática
Controles para minimizar fallos, recuperar el entorno de las
bases de d...
66
Tema 3: Control interno y auditoría
informática
Controles para asegurar la compatibilidad de conjunto de
datos entre ap...
67
Tema 3: Control interno y auditoría
informática
Procedimientos automáticos para resolver cierres del sistema.
Monitoriz...
68
Tema 3: Control interno y auditoría
informática
Determinar si el equipo multiplexor/concentrador/procesador
frontal rem...
69
Tema 3: Control interno y auditoría
informática
– Controles sobre ordenadores personales y redes de
área local
Política...
70
Tema 3: Control interno y auditoría
informática
Procedimientos de seguridad física y lógica.
Departamento que realice l...
71
Tema 3: Control interno y auditoría
informática
– Implantar herramientas de gestión de la red con el fin de
valorar su ...
72
Tema 3: Control interno y auditoría
informática
– Contratos de mantenimiento (tanto preventivo como
correctivo o detect...
73
Tema 3: Control interno y auditoría
informática
– Control de acceso físico a los recursos microinformáticos:
Llaves de ...
74
Tema 3: Control interno y auditoría
informática
– Implantar en la red local productos de seguridad así como
herramienta...
75
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Introducción a las metodologías
Metodologías...
76
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Introducción a las metodologías
– Método:mod...
77
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Introducción a las metodologías
– Nivel de s...
78
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Factores que intervienen en la composición d...
79
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Factores que intervienen en la composición d...
80
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Metodologías de evaluación de sistemas
– Aná...
81
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Metodologías de evaluación de sistemas
– Def...
82
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Tipos de metodologías
– Cuantitativas: Basad...
83
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Tipos de metodologías
Metodologías cualitati...
84
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Metodologías más comunes
– Análisis de riesg...
85
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Funcionamiento esquemático básico de
cualqui...
86
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
PRIMA(PREVENCIÓN DE RIESGOS INFORMÁTICOS
CON...
87
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Fases de la metodología análisis de riesgos ...
88
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Plan de contingencias
– El plan de contingen...
89
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Fases de un plan
– FASE I. Análisis y Diseño...
90
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Tareas de esta fase en las metodologías de R...
91
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Tareas de esta fase en las metodologías de
B...
92
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Fases de un plan
– FASE II.: Desarrollo del ...
93
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Las metodologías de auditoría informática.
–...
94
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
El plan auditor informático
– Las partes de ...
95
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
El plan auditor informático
Sistema de evalu...
96
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Ciclo de auditorías
Nivel Exposición Evaluac...
97
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Control interno informático. Sus métodos y
p...
98
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
– Evalúan eficiencia, costo y seguridad en s...
99
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Control Interno informático
– Funciones
– De...
100
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
– Control de Soportes Físicos (listados, et...
101
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
– Control de cambios y versiones.
– Control...
102
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Metodologías de clasificación de la informa...
103
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Metodologías de clasificación de la informa...
104
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Metodologías de clasificación de la informa...
105
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Metodologías de clasificación de la informa...
106
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Metodologías de clasificación de la informa...
107
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Metodologías de clasificación de la informa...
108
Tema 4: Metodologías de control interno,
seguridad y auditoría informática
Ejemplo:
– Objetivo de control: separación ...
Upcoming SlideShare
Loading in...5
×

T1 t41-100111002836-phpapp02

158
-1

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
158
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

T1 t41-100111002836-phpapp02

  1. 1. 1 UNIBERSIDAD NACIONALO JORGE BASADRE GROHOMANN Facultad de Ciencias Contables y financieras Auditoría y Seguridad Informática CPC Eduardo Miranda Valdivia
  2. 2. 2 Tema 1: Introducción a la auditoría de los S.I. Indice Introducción – Resumen – Evolución de la Tecnología Conceptos de Auditoría de los S.I. Tipos de Auditoría Objetivos de la Auditoría de los S.I.
  3. 3. 3 Tema 1: Introducción a la auditoría de los S.I. Resumen – Tendencia desde una Sociedad Industrial hacia la llamada Sociedad de Información – La información y la Tecnología de una organización representan sus activos mas importantes – Los requerimientos de calidad, controles y seguridad son indispensables para los Sistemas y Tecnología de la información. – La dirección debe establecer un sistema de control interno adecuado y tal sistema debe soportar debidamente los procesos del negocio. – La auditoría Informática plantea unos métodos y procedimientos de control de los S.I.
  4. 4. 4 Tema 1: Introducción a la auditoría de los S.I. Evolución de la Tecnología – Es debido a la mayor o menor utilización de las mismas por parte de los usuarios – Por las necesidades comerciales y avances tecnológicos de la industria informática – Se contemplan las siguientes más significativas: – Mainframes – Miniordenadores – PC´s – Redes Locales (LAN) – Redes Corporativas (WAN) – Integración de Medios de Información y Comunicación
  5. 5. 5 Tema 1: Introducción a la auditoría de los S.I. – Los S.I. También han ido evolucionando. – Sistemas por Lotes (Batch) – Sistemas interactivos – Aplicaciones de ofimática – Sistemas Cliente/Servidor – Computación Cooperativa – Computación en redes – Este entorno plantea un crecimiento de complejidad de los sistemas y las nuevas tendencias implican una complejidad creciente en el intercambio de productos y servicios. – Se hace compleja la toma de decisiones sobre los S.I. capaces de soportar las nuevas necesidades sobre la adquisición y utilización de las nuevas tecnologías y sobre el Control de las mismas.
  6. 6. 6 Tema 1: Introducción a la auditoría de los S.I. – Las organizaciones se encuentran con varios problemas a la hora de diseñar su S.I.y al control del mismo. – Crisis Políticas y Económicas – Obsolescencia Tecnológica – Resistencia al Cambio – Los retos para la gestión de las empresas son: – Saber integrarse en las tendencias y estrategias globales – Definir la Estrategia Empresarial más conveniente – Coordinar la Estrategia y el acoplamiento eficaz de los Sistemas de Información, como parte integrante de la Estrategia Empresarial. – Integrar y desarrollar los Recursos Humanos – Gestionar el Cambio adecuadamente.
  7. 7. 7 Tema 1: Introducción a la auditoría de los S.I. Conceptos generales de auditoría Definiciones de auditoria – Es un examen metódico del servicio informático, o de un S.I., realizado de una forma puntual y de modo discontinuo, a instancias de la Dirección, con la intención de ayudar a mejorar conceptos como la seguridad, la eficacia y la rentabilidad del servicio que resultan auditados.(Alonso Rivas)
  8. 8. 8 Tema 1: Introducción a la auditoría de los S.I. Conceptos generales de auditoría Definiciones de auditoria – Es el proceso de reunir y evaluar evidencia para determinar si un sistema informático protege sus activos, mantiene la integridad de los datos, alcanza los objetivos de la organización con efectividad y consume los recursos con eficiencia (Weber R.).
  9. 9. 9 Tema 1: Introducción a la auditoría de los S.I. Conceptos generales de auditoría Definiciones de auditoria – Es una herramienta de control que, mediante una serie de metodologías específicas, permite establecer criterios para medir la eficacia, eficiencia y posibles desviaciones , de los objetivos de un sistema (Rodriguez de Cora)
  10. 10. 10 Tema 1: Introducción a la auditoría de los S.I. Conceptos generales de auditoría Definiciones de auditoria – Consiste en analizar si las necesidades de información de los distintos procesos de negocios están satisfechas con los recursos destinados a tecnologías de la información, y todo ello con una organización adecuada y a un coste razonable.En el análisis no se deben contemplar únicamente los aspectos técnicos, sino también los aspectos de gestión y planificación (Weber,1999).
  11. 11. 11 Tema 1: Introducción a la auditoría de los S.I. – Puntos comunes de las Definiciones de auditoria – Examen metódico – Verificación de Calidad del servicio informático – Verificación de seguridad de la función informática – Obtención de evidencia – Tipos de auditoría – Auditoría externa – Auditoría interna – Auditoría Operativa – Auditoría Informática
  12. 12. 12 Tema 1: Introducción a la auditoría de los S.I. Auditoría externa – Del hecho de que el dictamen u opinión deba ser independiente, se desprende la necesidad de que existan auditores externos. – Las personas que realicen esta función deben tener unos códigos de conducta y ética profesional muy estrictos y no tener ninguna vinculación, real o aparente, con la entidad auditada por ellos.
  13. 13. 13 Tema 1: Introducción a la auditoría de los S.I. Auditoría interna – Tiene como función principal la evaluación y revisión de los sistemas y actividades que se dan en la organización desde el punto de vista de “Control Gerencial”, verificando y comprobando que las directrices y politicas que emanan de la Dirección se están aplicando y se están aplicando correctamente. – Adicionalmente, a las comprobaciones entre sus funciones, está la de sugerir mejoras en los sistemas establecidos.
  14. 14. 14 Tema 1: Introducción a la auditoría de los S.I. Auditoría Operativa – Tiene como objetivo, en su sentido más amplio,la de opinar sobre la bondad, eficiencia y racionalidad de los métodos y procedimientos en vigor. Auditoría Informática – Se llega a una opinión sobre los S.I. y sobre los datos que se procesan. Estos deberán ser exactos, completos y autorizados. – Los errores deberán ser detectados y corregidos a tiempo. – Deberán existir procedimientos adecuados y actualizados que garantizan la continuidad de los operaciones.
  15. 15. 15 Tema 1: Introducción a la auditoría de los S.I. Objetivos – Comprobar la fiabilidad y operatividad de la función informática – Verificación de aspectos organizativos y administrativos de la función de Proceso de Datos – Verificación de los controles del ciclo de vida de un sistema Analisis,Diseño y Desarrollo Entrada y Salida de Datos Explotación Mantenimiento Documentación
  16. 16. 16 Tema 1: Introducción a la auditoría de los S.I. Objetivos – Verificación de los controles de acceso a instalaciones, terminales, librerías, etc. – Mecanización de actividades de Auditoría Interna – Formar parte del Comité de Informática – Colaborar con Auditores Externos
  17. 17. 17 Tema 2: Aspectos generales de la Auditoría de S.I. Indice Planificación de la auditoría de los S.I. Sistema Informático Ideal Técnicas de Auditoría Conceptos y Entornos de Control Evaluación de riesgos Papeles de trabajo
  18. 18. 18 Tema 2: Aspectos generales de la Auditoría de S.I. Planificación de la auditoría de los S.I. – Estudio inicial del área a auditar para fijar los objetivos y el alcance. – Investigación preliminar de normas, procedimientos y controles para conseguir los objetivos definidos y determinar el potencial de riesgos existentes. – Elaboración del programa y calendario de trabajo detallado, incluyendo logística y trámites necesarios. – Selección y definición del equipo de trabajo y de otros recursos para llevar a cabo el programa.
  19. 19. 19 Tema 2: Aspectos generales de la Auditoría de S.I. Planificación de la auditoría de los S.I. – Definición de las pruebas de auditoría a realizar y de las herramientas a utilizar. – Realización del trabajo de auditoría mediante la recogida y análisis de información, realización de pruebas de cumplimiento y verificaciones pertinentes. – Examen de controles existentes y evaluación de riesgos, exponiendo deficiencias y documentando los hechos. – Comprobación de resultados y objetivos propuestos.
  20. 20. 20 Tema 2: Aspectos generales de la Auditoría de S.I. Planificación de la auditoría de los S.I. – Preparación del dictamen de auditoría y elaboración de informe con recomendaciones. – Revisión y archivo de papeles de trabajo.
  21. 21. 21 Tema 2: Aspectos generales de la Auditoría de S.I. Sistema Informático Ideal – Opera como un departamento de servicios autónomo, dependiendo de la Gerencia General – Optimiza la utilización de los equipos informáticos y provee servicios mecanizados a un coste mínimo. – Se anticipa a las necesidades futuras de los usuarios sin introducir productos no probados o experimentales. – Opera mediante estándares y procedimientos predefinidos que garantizan procesos fiables y una distribución adecuada de resultados.
  22. 22. 22 Tema 2: Aspectos generales de la Auditoría de S.I. Sistema Informático Ideal – El diseño y planificación de aplicaciones se lleva a cabo conjuntamente con los usuarios. – Se mantiene un sistema de asignación de costes a usuarios según la utilización de los recursos informáticos.
  23. 23. 23 Tema 2: Aspectos generales de la Auditoría de S.I. Técnicas de Auditoría Pruebas de cumplimiento – Verifican la correcta ejecución y registro de una operación o proceso mediante la repetición u observación de la misma. Pruebas de carácter sustantivo – Llevan a cabo las revisiones analíticas aplicadas directamente a los datos para valorar su calidad.
  24. 24. 24 Tema 2: Aspectos generales de la Auditoría de S.I. Técnicas de Auditoría Ejemplo de técnicas – Entrevistas (personal de dirección, usuarios) – Observación “in situ” del entorno de trabajo – Guías de auditoría (cuestionarios para revisión de controles). – Organigramas de sistema incluyendo flujos de procesos manuales y mecanizados, etc. – Documentación de sistemas y descripción del entorno auditado. – Organización jerárquica del personal y segregación de funciones – Realización de otras pruebas específicas
  25. 25. 25 Tema 2: Aspectos generales de la Auditoría de S.I. Pruebas específicas de Auditoría Informática – Juegos de Ensayo – Caso Básico – Sistema “Paralelo” – Revisión de Sistemas de seguridad – Evaluación de Ciclo de vida de aplicación
  26. 26. 26 Tema 2: Aspectos generales de la Auditoría de S.I. Conceptos y Entornos de Control – Los estándares de auditoría y el objetivo de la misma, no varían entre un sistema manual y un sistema mecanizado. – El alcance. El énfasis sobre cada tipo de control, y los métodos y procedimientos a emplear varían sustancialmente con el tipo y nivel de la mecanización de un sistema – La ISACF(Information Systems Audit and Control Foundation) sacó 1996, el producto CobiT(Control Objetives for Information and related Technology, orientado a definir una metodología a aplicar sobre los controles.
  27. 27. 27 Tema 2: Aspectos generales de la Auditoría de S.I. Objetivos de control La responsabilidad de la Gerencia es la de salvaguardar los activos de la empresa. Los objetivos de control principales son: – Salvaguardar activos – Garantizar que los datos sean exactos, fiables y autorizados – Eficiencia de operaciones – Seguimiento fiel de las políticas y procedimientos de la organización.
  28. 28. 28 Tema 2: Aspectos generales de la Auditoría de S.I. La falta de control conduce a los siguientes riesgos: – Decisiones erróneas – Fraude – Interrupción del negocio – Costes excesivos – Desventajas competitivas – Situaciones ilegales
  29. 29. 29 Tema 2: Aspectos generales de la Auditoría de S.I. – Un Objetivo de Control es una definición sobre el resultado esperado, o propósito definido que se establece al implementar unos procedimientos de control específicos dentro de una actividad de Tecnologías de información. – Según CobiT establece:Los recursos de las tecnologías de Información necesitan gestionarse, mediante unos procesos agrupados lógicamente, con el objeto de proporcionar la información que la empresa necesita para cumplir sus objetivos.
  30. 30. 30 Tema 2: Aspectos generales de la Auditoría de S.I. Ambito del control – El ámbito del control implica determinar hacia qué recurso se aplica el mismo en un momento determinado de la auditoría por ejemplo, las instalaciones, los sistemas o los datos especificos. – CobiT define los siguientes recursos: Datos:(estructurados y no estructurados,gráficos,sonido imagen etc) Sistemas de Aplicación:Las aplicaciones de la empresa(procesos manuales y mecanizados)
  31. 31. 31 Tema 2: Aspectos generales de la Auditoría de S.I. Tecnologías:Que cubren el hardware, los sistemas operativos, los gestores de base de datos, las redes, la multimedia etc. Instalaciones: Los recursos necesarios para albergar y soportar los Sistemas de Información. Personas: Conocimientos, habilidades y productividad de las personas para planificar, organizar, entregar, mantener y supervisar los servicios relacionados y los S.I.
  32. 32. 32 Tema 2: Aspectos generales de la Auditoría de S.I. Evaluación de riesgos – Riesgo sobre el S.I.aquella circunstancia,potencial o real, que incide directamente en la pérdida de valor de los activos de la organización – Los riegos que afectan a los datos son los siguientes: –Errores de manipulación –Fraudes intencionados –Sabotajes –Filtraciones –Desastres naturales
  33. 33. 33 Tema 2: Aspectos generales de la Auditoría de S.I. Evaluación de riesgos –Accidentes generados por el entorno – Consecuencias –Corrupción de los datos, afectando la fiabilidad de los mismos –Interrupción de los procesos, limitando la disponibilidad de datos –Destrucción de datos, llevando a una falta de integridad –Revelación o sustracción de datos, llevando a una pérdida de privacidad y confidencialidad
  34. 34. 34 Tema 2: Aspectos generales de la Auditoría de S.I. – Trae consigo pérdidas económicas, pérdidas de imagen e incluso plantear problemas de situaciones de ilegalidad para la propia organización. – Los controles se implementan para minimizar el riesgo aunque se debe tener en cuenta el factor de rentabilidad antes de ponerlos.Esto es,el control debe ser mas barato y efectivo que el riesgo que se quiere evitar.
  35. 35. 35 Tema 2: Aspectos generales de la Auditoría de S.I. Papeles de trabajo – La auditoría consta fundamentalmente de los siguientes documentos: – Oferta o presentación de la Auditoría – Informes de progreso – Papeles de Trabajo. “Permanent File” – Otros Papeles de Trabajo – Informes Preliminares – Informe Final de Auditoría
  36. 36. 36 Tema 2: Aspectos generales de la Auditoría de S.I. Aspectos Organizativos – La auditoría Informática suele realizarse por: Departamentos de Organización y Métodos Unidades de control de calidad de la Información Unidad de Control Interno de Informática Asesorías Externas contratadas – Normas de conducta
  37. 37. 37 Tema 2: Aspectos generales de la Auditoría de S.I. Aspectos Organizativos – Plan de formación –Medios académicos –Práctica Profesional –Colegios y Asociaciones Profesionales • I.S.A.C.A.,O.A.I. –Seminarios técnicos específicos • CISA
  38. 38. 38 Tema 3: Control interno y auditoría informática Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos – Controles generales organizativos – Controles de desarrollo, adquisición y mantenimiento de S.I. – Controles de explotación de S.I. – Controles en aplicaciones – Controles específicos de ciertas tecnologías – Controles en S.G.B.D. – Controles en informática distribuida y redes – Controles sobre ordenadores personales y redes área local
  39. 39. 39 Tema 3: Control interno y auditoría informática Control interno: controla diariamente que todas las actividades de S.I., sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección de Informática, así como los requerimientos legales Objetivos – Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados. – Asesorar sobre el conocimiento de las normas – Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas al Grupo. – Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático.
  40. 40. 40 Tema 3: Control interno y auditoría informática Auditoría Informática: es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Objetivos – de protección de activos e integridad de datos – de gestión que abarcan, no solamente los de protección de activos sino también los de eficacia y eficiencia.
  41. 41. 41 CONTROL INTERNO INFORMATICO AUDITOR INFORMATICO SIMILITUDES Personal interno Conocimientos especializados en Tecnología de Información. Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información. DIFERENCIAS Análisis de los controles en el día a día. Informa a la Dirección del Departamento de Informática. Sólo personal interno. El alcance de sus funciones es únicamente sobre el Departamento de Informática Análisis de un momento informático determinado. Informa a la Dirección General de la Organización. Personal interno y/o externo. Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización.
  42. 42. 42 Tema 3: Control interno y auditoría informática Sistema de control interno informático Definición Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
  43. 43. 43 Tema 3: Control interno y auditoría informática Sistema de control interno informático Clasificación de los objetivos de los controles informáticos – Preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. – Detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. – Correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
  44. 44. 44 Tema 3: Control interno y auditoría informática Implantación de un sistema de controles internos informáticos Los controles pueden implantarse a varios niveles diferentes. La evaluación de los controles de la Tecnología de la Información exige analizar diversos elementos interdependientes. Por ello es importante llegar a conocer bien la configuración del sistema, con el objeto de identificar los elemntos, productos y herramientas que existen para saber donde pueden implantarse controles, asi como para identificar posibles riesgos.
  45. 45. 45 Tema 3: Control interno y auditoría informática Implantación de un sistema de controles internos informáticos – Detalles de la configuración del sistema Entorno de red: esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.
  46. 46. 46 Tema 3: Control interno y auditoría informática Implantación de un sistema de controles internos informáticos Configuración del ordenador base: configuración del soporte físico, entorno del sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: procesos de transacciones, sistemas de gestión de bases de datos y entornos de procesos distribuidos.
  47. 47. 47 Tema 3: Control interno y auditoría informática Implantación de un sistema de controles internos informáticos Productos y herramientas: software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas. Seguridad del ordenador base: identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.
  48. 48. 48 Tema 3: Control interno y auditoría informática Para la implantación de un sistema de controles internos informáticos habrá que definir: – Gestión de sistemas de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes. – Administración de sistemas: controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
  49. 49. 49 Tema 3: Control interno y auditoría informática Para la implantación de un sistema de controles internos informáticos habrá que definir: – Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
  50. 50. 50 Tema 3: Control interno y auditoría informática – Gestión del cambio: separación de las pruebas y la producción a nivel de software y controles de procedimientos para la migración de programas software aprobadas y probados. Control Interno y auditoría Política de Seguridad Normas y Procedimientos Medidas Tecnológicas implantadas FORMACION Y MENTALIZACION
  51. 51. 51 Tema 3: Control interno y auditoría informática Controles generales organizativos – Políticas: deberán servir de base para la planificación, control y evaluación por la Dirección de las actividades del Departamento de Informática – Planificación - Plan estratégico de Información, realizado por los órganos de la Alta Dirección de la Empresa donde se definen los procesos corporativos y se considera el uso de las diversas tecnologías de información así como las amenazas y oportunidades de su uso o de su ausencia. - Plan informático, realizado por el Departamento de Informática, determina los caminos precisos para cubrir las necesidades de la Empresa plasmándolas en proyectos informáticos.
  52. 52. 52 Tema 3: Control interno y auditoría informática -Plan General de Seguridad (física y lógica), que garantice la confidencialidad, integridad y disponibilidad de la información. – Plan de emergencia ante desastres, que garantice la disponibilidad de los sistemas ante eventos. Estándares: que regulen la adquisición de recursos, el diseño, desarrollo y modificación y exploración de sistemas. Procedimientos: que describan la forma y las responsabilidades de ejecutoria para regular las relaciones entre el Departamento de informática y los departamentos usuarios.
  53. 53. 53 Tema 3: Control interno y auditoría informática - – Organizar el Departamento de Informática en un nivel suficientemente superior de estructura organizativa como para asegurar su independencia de los departamentos usuarios. – Descripciones de las funciones y responsabilidades dentro del Departamento con una clara separación de las mismas. – Políticas del personal: selección, plan de formación, plan de vacaciones y evaluación y promoción – Asegurar que la dirección revisa todos los informes de control y resuelve las excepciones que ocurran.
  54. 54. 54 Tema 3: Control interno y auditoría informática – Asegurar que existe una política de clasificación de la información para saber dentro de la Organización qué personas están autorizadas y a qué información. – Designar oficialmente la figura de Control Interno Informático y de Auditoría Informática (estas dos figurar se nombrarán internamente en base al tamaño del Departamento de Informática).
  55. 55. 55 Tema 3: Control interno y auditoría informática Controles de desarrollo, adquisición y mantenimiento de S.I. - La alta Dirección debe publicar una normativa sobre el uso de metodología de ciclo de vida del desarrollo de sistemas y revisar ésta periódicamente. - La metodología debe establecer los papeles y responsabilidades de las distintas áreas del Departamento de Informática y de los usuarios, así como la composición y responsabilidades del equipo de proyecto. - Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes de que comience el proceso de desarrollo.
  56. 56. 56 Tema 3: Control interno y auditoría informática - Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos del proyecto acompañadas de un análisis coste-beneficio -de cada alternativa - Cuando se seleccione una alternativa debe realizarse el plan director del proyecto. En dicho plan deberá existir una metodología de control de costes. - Procedimientos para la definición y documentación de especificaciones de diseño, de entrada, de salida, de ficheros, de procesos, de programas, de controles de seguridad, de pistas de auditoría, etc. - Plan de validación, verificación y pruebas. - Estándares de prueba de programas, de prueba de
  57. 57. 57 Tema 3: Control interno y auditoría informática - Plan de conversión: prueba de aceptación final. - Los procedimientos de adquisición de software deberán seguir las políticas de adquisición de la Organización y dichos productos debieran ser probados y revisados antes de pagar por ellos y ponerlos en uso. - La contratación de programas de servicios de programación a medida ha de estar justificada mediante una petición escrita de un director de proyecto. - Deberán prepararse manuales de operación y mantenimiento como parte de todo proyecto de desarrollo o modificación de sistemas de información, así como manuales de usuario.
  58. 58. 58 Tema 3: Control interno y auditoría informática – Explotación y mantenimiento: el establecimiento de controles asegurará que los datos se tratan de forma congruente y exacta y que el contenido de sistemas sólo será modificado mediante autorización adecuada. – – Ejemplos de algunos controles a implantar: - Procedimientos de control de explotación. - Sistema de contabilidad para asignar a usuarios los costes asociados con la explotación de un sistema de información. - Procedimientos para realizar un seguimiento y control de los cambios de un sistema de información.
  59. 59. 59 Tema 3: Control interno y auditoría informática Controles de explotación de S.I. – Planificación y Gestión de recursos: definir el presupuesto operativo del Departamento, Plan de adquisición de equipos y gestión de la capacidad de los equipos. – Controles para usar de manera efectiva los recursos en ordenadores Calendario de carga de trabajo. Programación de personal. Mantenimiento preventivo del material Gestión de problemas y cambios. Procedimientos de facturación a usuarios. Sistema de gestión de biblioteca de soportes.
  60. 60. 60 Tema 3: Control interno y auditoría informática Controles de explotación de S.I. – Procedimientos de selección del software del sistema, de instalación, de mantenimiento, de seguridad y control de cambios. – Seguridad física y lógica: Definir un grupo de seguridad de la información, siendo una de sus funciones la administración y gestión de software de seguridad, revisar periódicamente los informes de violaciones y actividad de seguridad para identificar y resolver incidentes.
  61. 61. 61 Tema 3: Control interno y auditoría informática Controles físicos para asegurar que el acceso a las instalaciones del Departamento de Informática queda restringido a las personas autorizadas. Las personas externas a la Organización deberán ser acompañadas por un miembro de la plantilla cuando tengan que entrar en las instalaciones. Instalación de medidas de protección contra el fuego. Formación y concienciación en procedimientos de seguridad y evacuación del edificio. Control de acceso restringido a los ordenadores mediante la asignación de un identificador de usuario con palabra clave personal e intransferible
  62. 62. 62 Tema 3: Control interno y auditoría informática Normas que regulen el acceso a los recursos informáticos. Existencia de un plan de contingencias para el respaldo de recursos de ordenador críticos y para la recuperación de los servicios del Departamento Informático después de una interrupción imprevista de los mismo.
  63. 63. 63 Tema 3: Control interno y auditoría informática Controles en aplicaciones: Cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, validez y mantenimiento completos y exactos de los datos. – Control de entrada de datos: procedimientos de conversión y de entrada, validación y corrección de datos. – Controles de tratamientos de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos mediante procesos no autorizados. – Controles de salidas de datos: sobre el cuadre y reconciliación de salidas, procedimientos de distribución de salidas, de gestión de errores en las salidas, etc.
  64. 64. 64 Tema 3: Control interno y auditoría informática Controles específicos de ciertas tecnologías – Controles en S.G.B.D. El software de gestión de bases de datos para prever el acceso a, la estructuración de, y el control sobre los datos compartidos, deberá instalarse y mantenerse de modo tal que asegure la integridad del software, las bases de datos y las instrucciones de control que definen el entorno. Que están definidas las responsabilidades sobre la planificación, organización, dotación y control de los activos de datos, es decir, un administrador de datos. Que existen procedimientos para la descripción y los cambios de datos así como para el mantenimiento del diccionario de datos. Controles sobre el acceso a datos y de concurrencia.
  65. 65. 65 Tema 3: Control interno y auditoría informática Controles para minimizar fallos, recuperar el entorno de las bases de datos hasta el punto de caída y minimizar el tiempo necesario para la recuperación. Controles para asegurar la integridad de los datos: programas de utilidad para comprobar los enlaces físicos -punteros- asociados a los datos, registros de control para mantener los balances transitorios de transacciones para su posterior cuadre con totales generados por el usuario o por otros sistemas. – Controles en informática distribuida y redes Planes adecuados de implantación, conversión y pruebas de aceptación para la red. Existencia de un grupo de control de red.
  66. 66. 66 Tema 3: Control interno y auditoría informática Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando la red es distribuida. Procedimientos que definan las medidas y controles de seguridad a ser usados en la red de informática en conexión con la distribución del contenido de bases de datos entre los departamentos que usan la red. Que se identifican todos los conjuntos de datos sensibles de la red y que se han determinado las especificaciones para su seguridad. Existencia de inventario de todos los activos de la red. Que existen controles que verifican que todos los mensajes de salida se validan de forma rutinaria para asegurar que contienen direcciones de destinos válidas. Controles de seguridad lógica: control de acceso a la red, establecimiento de perfiles de usuario.
  67. 67. 67 Tema 3: Control interno y auditoría informática Procedimientos automáticos para resolver cierres del sistema. Monitorización para medir la eficiencia de la red. Diseñar el trazado físico y las medidas de seguridad de las líneas de comunicación local dentro de la organización. Detectar la correcta o mala recepción de mensajes. Identificar los mensajes por una clave individual de usuario, por terminal, y por el número de secuencia del mensaje. Revisar los contratos de mantenimiento y el tiempo medio de servicio acordados con el proveedor con objeto de obtener una cifra de control constante.
  68. 68. 68 Tema 3: Control interno y auditoría informática Determinar si el equipo multiplexor/concentrador/procesador frontal remoto tiene lógica redundante y poder de respaldo con realimentación automática para el caso de que falle. Asegurarse de que haya procedimientos de recuperación y reinicio. Asegurarse de que existan pistas de auditoría que puedan usarse en la reconstrucción de los archivos de datos y de las transacciones de los diversos terminales. Debe existir la capacidad de rastrear los datos entre la terminal y el usuario. Considerar circuitos de conmutación que usen rutas alternativas para diferentes paquetes de información provenientes del mismo mensaje; esto ofrece una forma de seguridad en caso de que alguien intercepte los mensajes.
  69. 69. 69 Tema 3: Control interno y auditoría informática – Controles sobre ordenadores personales y redes de área local Políticas de adquisición y utilización. Normativas y procedimientos de desarrollo y adquisición de software de aplicaciones. Procedimientos de control del software contratado bajo licencia. Controles de acceso a redes, mediante palabra clave, a través de ordenadores personales. Revisiones periódicas del uso de los ordenadores personales. Políticas que contemplen la selección, adquisición e instalación de redes de área local.
  70. 70. 70 Tema 3: Control interno y auditoría informática Procedimientos de seguridad física y lógica. Departamento que realice la gestión y soporte técnico de la red. Controles para evitar modificar la configuración de una red. Recoger información detallada sobre los Minis existentes: – Arquitectura (CPU’s, Discos, Memoria, Streamers, Terminales, etc), software (sistema operativo, utilidades, lenguajes, aplicaciones, etc.), Servicios soportados. – Inventario actualizado de todas las aplicaciones de la Entidad. – Política referente a la organización y utilización de los discos duros de los equipos.
  71. 71. 71 Tema 3: Control interno y auditoría informática – Implantar herramientas de gestión de la red con el fin de valorar su rendimiento, planificación y control. – Procedimientos de control de los file-transfer que se realizan y de controles de acceso para los equipos con posibilidades de comunicación. – Políticas que obliguen a la desconexión de los equipos de las líneas de comunicación cuando no se está haciendo uso de ellas. – Adoptar los procedimientos de control y gestión adecuados para la integridad, privacidad, confidencialidad y seguridad de la información contenida en redes de área local. – Cuando existan conexión PC-Host, comprobar que opera bajo los controles necesarios para evitar la carga/extracción de datos de forma no autorizada.
  72. 72. 72 Tema 3: Control interno y auditoría informática – Contratos de mantenimiento (tanto preventivo como correctivo o detectivo). – Cuando en las acciones de mantenimiento se requiera la acción de terceros o salida de los equipos de los límites de la oficina, se deberán establecer procedimientos para evitar la divulgación de información confidencial o sensible. – Mantener un registro documental de las acciones de mantenimiento realizadas, incluyendo la descripción del problema y la solución dada al mismo. – Los ordenadores deberán estar conectados a equipos de continuidad (UPS’s, grupo, etc). – Protección contra incendios, inundaciones o electricidad estática.
  73. 73. 73 Tema 3: Control interno y auditoría informática – Control de acceso físico a los recursos microinformáticos: Llaves de PC’s. Areas restringidas. Ubicación de impresoras (propias y de red). Prevención de robos de dispositivos. Autorización para desplazamientos de equipos. Acceso físico fuera de horario normal. – Control de acceso físico a los datos y aplicaciones: almacenamiento de disquetes con copias de backup u otra información o aplicación, procedimientos de destrucción de datos u informes confidenciales, identificación de disquetes/cintas, inventario completo de disquetes almacenados, almacenamiento de documentación. – En los ordenadores en que se procesen aplicaciones o datos sensibles instalar protectores de oscilación de línea eléctrica y sistemas de alimentación ininterrumpida.
  74. 74. 74 Tema 3: Control interno y auditoría informática – Implantar en la red local productos de seguridad así como herramientas y utilidades de seguridad. – Adecuada identificación de usuarios en cuanto a las siguientes operaciones: altas, bajas y modificaciones, cambios de password, explotación del log del sistema – Controlar las conexiones remotas in/out (CAL): Modems, Gateways, Mapper. – Procedimientos para la instalación o modificación de software y establecer que la dirección es consciente del riesgo de virus informáticos y otros software maliciosos, así como de fraude por modificaciones no autorizadas de software y daños. – Controles para evitar la introducción de un sistema operativo a través de disquete que pudiera vulnerar el sistema de seguridad establecido.
  75. 75. 75 Tema 4: Metodologías de control interno, seguridad y auditoría informática Introducción a las metodologías Metodologías de evaluación de sistemas Las metodologías de auditoría informática El plan auditor informático Metodologías de clasificación de la información y de obtención de los procedimientos de Control
  76. 76. 76 Tema 4: Metodologías de control interno, seguridad y auditoría informática Introducción a las metodologías – Método:modo de decir o hacer con orden una cosa. – Metodología:conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal. – Una metodología es necesaria para que un equipo de profesionales alcance un resultado homogéneo. – La SEGURIDAD DE LOS S.I. Se define como la doctrina que trata de los riesgos informáticos o creados por la informática, entonces la auditoría es una de las figuras involucradas en este proceso de protección y preservación de la información y de sus medios de proceso.
  77. 77. 77 Tema 4: Metodologías de control interno, seguridad y auditoría informática Introducción a las metodologías – Nivel de seguridad informática en una entidad es un objetivo a evaluar y está directamente relacionado con la calidad y eficacia de un conjunto de acciones y medidas destinadas a proteger y preservar la información de la entidad y sus medios de proceso. – Resumen: – La informática crea unos riesgos informáticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas. – La calidad y la eficacia de las mismas es el objetivo a evaluar para poder identificar así sus puntos débiles y mejorarlos – Cualquier contramedida nace de la composición de varios factores.
  78. 78. 78 Tema 4: Metodologías de control interno, seguridad y auditoría informática Factores que intervienen en la composición de una contramedida – La Normativa:debe definir de forma clara y precisa todo lo que debe existir y ser cumplido. – La organización: la integran personas con funciones específicas y con actuaciones concretas, procedimientos definidos metodológicamente y aprobados por la dirección de la empresa. – Las metodologías: son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. – Los Objetivos de control: son los objetivos a cumplir en el control de procesos. – Los procedimientos de control: son los procedimientos operativos de las distintas áreas de la empresa obtenidos con una metodología apropiada. –
  79. 79. 79 Tema 4: Metodologías de control interno, seguridad y auditoría informática Factores que intervienen en la composición de una contramedida – Tecnología de seguridad: están todos los elementos, hardware, software, que ayudan a controlar un riesgo informático. – Las herramientas de control: son los elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control. – Todos estos factores están relacionados entre sí. – Cuando se evalúa el nivel de seguridad en una organización , se están evaluando todos estos factores y se plantea un Plan de seguridad nuevo que mejore todos estos factores. – Plan de seguridad es una estrategia planificada de acciones y proyectos que lleven a un S.I., y sus centros proceso de una situación inicial determinada a una situación mejorada.
  80. 80. 80 Tema 4: Metodologías de control interno, seguridad y auditoría informática Metodologías de evaluación de sistemas – Análisis de riesgos: facilita la “evaluación” de los riesgos y recomienda acciones en base al costo- beneficio de las mismas – Auditoría informática:sólo identifica el nivel “exposición” por la falta de controles.
  81. 81. 81 Tema 4: Metodologías de control interno, seguridad y auditoría informática Metodologías de evaluación de sistemas – Definir conceptos: – Amenaza: Una persona o cosa vista como posible fuente de peligro. – Vulnerabilidad: La situación creada, por falta de uno o varios controles, con la que amenaza pudiera acaecer. – Riesgo: La probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad – Exposición o impacto: La evaluación del efecto del riesgo.
  82. 82. 82 Tema 4: Metodologías de control interno, seguridad y auditoría informática Tipos de metodologías – Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo. – Cualitativas:Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada. Metodologías cuantitativas – Diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos. – Estos valores son datos de probabilidad de ocurrencia (riesgo) de un evento.
  83. 83. 83 Tema 4: Metodologías de control interno, seguridad y auditoría informática Tipos de metodologías Metodologías cualitativas – Basadas en métodos estadísticos y lógica borrosa. – Precisan la involucración de un profesional experimentado – Requieren menos recursos humanos/tiempo que las metodologías cuantitativas.
  84. 84. 84 Tema 4: Metodologías de control interno, seguridad y auditoría informática Metodologías más comunes – Análisis de riesgos o Diagnósticos de seguridad – Plan de contingencias – Auditoría de controles generales. Ejemplo: – Metodologías analizadas en INFOSEC’92 . – ANALIZY – BDSS – BIS RISK ASSESOR – BUDDY SYSTEM – COBRA – CRAMM – DDIS, MARION,MELISA
  85. 85. 85 Tema 4: Metodologías de control interno, seguridad y auditoría informática Funcionamiento esquemático básico de cualquier paquete (analisis de riesgos): Etapa 1 Etapa 2 Etapa 3 Etapa 4 Etapa 5 Etapa 6 Cuestionario Identificar los riesgos Calcular el impacto Idenficación las contramedidas y el coste Simulaciones Creación de los Informes
  86. 86. 86 Tema 4: Metodologías de control interno, seguridad y auditoría informática PRIMA(PREVENCIÓN DE RIESGOS INFORMÁTICOS CON METODOLOGÍA ABIERTA) Características esenciales. – Cubrir las necesidades de los profesionales que desarrollan cada uno de los proyectos necesarios de un plan de seguridad – Fácilmente adaptable a cualquier tipo de herramienta – Posee cuestionarios de preguntas para la identificación de debilidades o faltas de controles – Posee listas de ayuda para los usuarios menos experimentados de debilidades, riesgos y contramedidas – Permite fácilmente la generación de informes finales – Las listas de ayuda y los cuestionarios son abiertos
  87. 87. 87 Tema 4: Metodologías de control interno, seguridad y auditoría informática Fases de la metodología análisis de riesgos PRIMA - Amenazas - Vulnerabilidades - Ponderación - Valoración - Prioridad - Duración - Coste económico - Dificultad - Debilidades - Riesgos - Plan de Acciones - Plan de Proyectos Check-List Toma de datos Identificación debilidades Análisis del impacto y riesgos Definición de contramedidas Valoración de contramedidas Realización del Plan de Acciones y Proyectos Informe final Juegos de ensayo (Opcionales)
  88. 88. 88 Tema 4: Metodologías de control interno, seguridad y auditoría informática Plan de contingencias – El plan de contingencias es una estrategia planificada constituida por un conjunto de recursos de respaldo,una organización de emergencia y unos procedimientos de actuación encaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa.
  89. 89. 89 Tema 4: Metodologías de control interno, seguridad y auditoría informática Fases de un plan – FASE I. Análisis y Diseño. Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo, y se analiza el coste/beneficio de las mismas. – Se diferencian dos familias de metodologías: RISK ANALISIS:Se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismo sucedan. BUSSINES IMPACT: se basan en el estudio del impacto(pérdida económica o de imagen) que ocasiona la falta de algun recurso de los que soporta la actividad del negocio.
  90. 90. 90 Tema 4: Metodologías de control interno, seguridad y auditoría informática Tareas de esta fase en las metodologías de Risk Analisis – Identificación de amenazas – Análisis de la probabilidad de materialización de la amenaza – Selección de amenazas – Identificación de entornos amenazados – Identificación de servicios afectados – Estimación del impacto económico por paralización de cada servicio – Selección de los servicios a cubrir – Selección final del ámbito del Plan – Identificación de alternativas para los entornos – Selección de alternativas – Diseño de estrategias de respaldo –
  91. 91. 91 Tema 4: Metodologías de control interno, seguridad y auditoría informática Tareas de esta fase en las metodologías de Bussines Impact – Identificación de servicios finales – Análisis del impacto – Selección de servicios críticos – Determinación de recursos de soporte – Identificación de alternativas para entornos – Selección de alternativas – Diseño de estrategias globales de respaldo – Selección de la estrategia global de respaldo.
  92. 92. 92 Tema 4: Metodologías de control interno, seguridad y auditoría informática Fases de un plan – FASE II.: Desarrollo del plan. En esta fase se desarrolla la estrategia seleccionada, implantandose hasta el final todas las acciones previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los procedimientos de actuación generando así la documentación del plan. – FASE III.Pruebas y mantenimiento. En esta fase se definen las pruebas, sus características y sus ciclos, y se realiza la primera prueba como comprobación de todo trabajo realizado.
  93. 93. 93 Tema 4: Metodologías de control interno, seguridad y auditoría informática Las metodologías de auditoría informática. – Controles Generales – Metodologías de los auditores internos
  94. 94. 94 Tema 4: Metodologías de control interno, seguridad y auditoría informática El plan auditor informático – Las partes de un plan auditor informático deben ser al menos las siguientes: Funciones:Ubicación de la figura en el organigrama de la empresa.Debe existir una clara segregación de funciones con la informática y de control interno informático. Procedimientos para las distintas tareas de las auditorías (procedimiento apertura, entrega,cierre de auditoría etc). Tipos de auditorías que se realiza – Full o completa de un área (seguridad lógica) – CAR (Corrective Action Review) es comprobar acciones correctivas de auditoría anteriores
  95. 95. 95 Tema 4: Metodologías de control interno, seguridad y auditoría informática El plan auditor informático Sistema de evaluación: y de las distintos aspectos que se evalúa. Nivel de exposición: Es un número definido subjetivamente definido entre 1 y 10. Lista de distribución de informes Seguimiento de las acciones correctoras Plan quinquenal: Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos y deben repartirse en cuatro o cinco años de trabajo. Plan de trabajo anual: Establecer un calendario para estimar tiempos de manera racional para que nos de un resultado de horas de trabajo previstas.
  96. 96. 96 Tema 4: Metodologías de control interno, seguridad y auditoría informática Ciclo de auditorías Nivel Exposición Evaluación Frecuencia Visitas 10 - 9 “B” 18 meses “R” 9 meses “M” 6 meses 8 - 7 “B” 18 meses “R” 12 meses “M” 9 meses 6 - 5 “B” 24 meses “R” 18 meses “M” 12 meses 4 - 1 “B” 36 meses “R” 24 meses “M” 18 meses
  97. 97. 97 Tema 4: Metodologías de control interno, seguridad y auditoría informática Control interno informático. Sus métodos y procedimientos. Las herramientas de control. – Por la segregación de funciones podríamos decir: El área Informática monta los procesos informáticos seguros El Control interno monta los controles La auditoría Informática evalúa el grado de control. La auditoría Informática: – Funciones – Tiene la función de vigilancia y evaluación mediante dictámenes, y todas sus metodologías van encaminadas a esta función. – Tiene sus propios objetivos distintos a los auditores de cuentas, aunque necesarios para que éstos puedan utilizar la información de sus sistemas para sus evaluaciones financieras y operativas
  98. 98. 98 Tema 4: Metodologías de control interno, seguridad y auditoría informática – Evalúan eficiencia, costo y seguridad en su más amplia visión, esto es todos los riesgos informáticos, ya sean los clásicos (confidencialidad, integridad y disponibilidad), o los costos y los jurídicos, dado que ya no hay una clara separación en la mayoría de casos. – Operan según el plan auditor. – Utilizan motodologías de evaluación del tipo culitativo con la característica de las pruebas de auditoría. – Establecen planes quinquenales como ciclos completos. – Sistemas de evaluación de repetición de la auditoría de esta área. – La función de soporte informático de todos los auditores (opcionalmente), aunque dejando claro que no se debe pensar con esto que la auditoría informática consiste en esto solamente.
  99. 99. 99 Tema 4: Metodologías de control interno, seguridad y auditoría informática Control Interno informático – Funciones – Definición de propietarios y perfiles según “Clasificación de la Información” (utilizando metodología). – Administración delegada en Control Dual (dos personas intervienen en un acción como medida de control) de la seguridad lógica. – Responsable del desarrollo y actualización del Plan de Contingencias, Manuales de procedimientos y Plan de Seguridad. – Promover el Plan de Seguridad Informática al Comité de Seguridad. – Dictar Normas de Seguridad Informática. – Definir los Procedimientos de Control – Control del Entorno de Desarrollo. – Control de Soportes Magnéticos según la Clasificación de la Información.
  100. 100. 100 Tema 4: Metodologías de control interno, seguridad y auditoría informática – Control de Soportes Físicos (listados, etc.) – Control de Información Comprometida o Sensible. – Control de Microinformática y Usuarios. – Control de Calidad de Software. – Control de Calidad del Servicio Informático. – Control de Costes. – Responsable del Departamento (gestión de recursos humanos y técnicos). – Control de Licencias y Relaciones Contractuales con terceros. – Control y Manejo de Claves de cifrado. – Relaciones externas con entidades relacionadas con la Seguridad de la Información. – Definición de Requerimientos de Seguridad en Proyectos nuevos. – Vigilancia del Cumplimiento de las Normas y Controles.
  101. 101. 101 Tema 4: Metodologías de control interno, seguridad y auditoría informática – Control de cambios y versiones. – Control de Paso de Aplicaciones a Explotación. – Control de Medidas de Seguridad Física o corporativa en la Informática. – Responsable de Datos Personales (LORTAD y Código Penal). – Otros controles que se le designen. – Otras funciones que se le designen
  102. 102. 102 Tema 4: Metodologías de control interno, seguridad y auditoría informática Metodologías de clasificación de la información y de obtención de los procedimientos de control. A) ESTANDARES B) TECNOLOGIA C) Estándares (ISO, CISA, ITSEC, TCS, etc.) CONTRAMEDIDA 3 CLASIFICACION DE LA INFORMACION OBJETIVOS DE CONTROL 1 OBJETIVOS DECONTROL 2 CONTRAMEDIDA 1 OBJETIVOS DE CONTROL 1 CONTRAMEDIDA 2 ANALISIS DE RIESGOS PLAN DE ACCIONES
  103. 103. 103 Tema 4: Metodologías de control interno, seguridad y auditoría informática Metodologías de clasificación de la información y de obtención de los procedimientos de control. – Clasificación de la información. – SI IDENTIFICAMOS DISTINTOS NIVELES DE CONTRAMEDIDAS PARA DISTINTAS ENTIDADES DE INFORMACIÓN CON DISTINTO NIVEL DE CRITICIDAD, ESTAREMOS OPTIMIZANDO LA EFICIENCIA DE LAS CONTRAMEDIDAS Y REDUCIENDO LOS COSTOS DE LAS MISMAS.
  104. 104. 104 Tema 4: Metodologías de control interno, seguridad y auditoría informática Metodologías de clasificación de la información y de obtención de los procedimientos de control. – PRIMA introduce el concepto de ENTIDAD DE INFORMACION como el objetivo a proteger en el entorno informático – Realiza unas jerarquías con la información según: – Optica de preservación (vital-crítica-valuada-No sensible) – Protección(altamente confidencial-confidencial-restringida-no sensible)
  105. 105. 105 Tema 4: Metodologías de control interno, seguridad y auditoría informática Metodologías de clasificación de la información y de obtención de los procedimientos de control. – PRIMA define: – Estratégica (información muy restringida, muy confidencial, vital para la subsistencia de la empresa). – Restringida ( a los propietarios de la información). – De uso interno (a todos los empleados). – De uso general (sin restricción)
  106. 106. 106 Tema 4: Metodologías de control interno, seguridad y auditoría informática Metodologías de clasificación de la información y de obtención de los procedimientos de control. Pasos de la metodología(PRIMA) – Identificación de la información – Inventario de entidades de información residentes y operativas. Inventario de programas, ficheros de datos, soportes de información. – Identificación de propietarios. Son los que necesitan para su trabajo, usan o custodian la información. – Definición de jerarquías de información. Suelen ser cuatro. – Definición de la matriz de clasificación. Consiste en definir las políticas, estándares por tipos y jerarquías de información.
  107. 107. 107 Tema 4: Metodologías de control interno, seguridad y auditoría informática Metodologías de clasificación de la información y de obtención de los procedimientos de control. Pasos de la metodología(PRIMA) – Confección de la matriz de clasificación. Se relaciona cada entidad de información con los elementos que se correlacionan(transacción, ficheros, soportes, propietarios, jerarquía) – Realización del plan de acciones. Se confecciona el plan de acciones. – Implantación y mantenimiento. Se implanta el plan de acciones y se mantiene actualizado.
  108. 108. 108 Tema 4: Metodologías de control interno, seguridad y auditoría informática Ejemplo: – Objetivo de control: separación de entornos de desarrollo y explotación. – Departamento desarrollo debe haber un procedimiento de – “paso de aplicaciones a explotación” – Departamento explotación debe haber un procedimiento de – “paso de explotación de aplicaciones de desarrollo”. – Lo debe soportar la herramienta de control de acceso lógico. – Proceso de clasificación hemos definido distintos perfiles en desarrollo y explotación – La herramienta debe impedir el acceso a unos y a otros al entorno que no es el suyo. – Resumiendo para pasar una aplicación de uno a otro cuando una aplicación está terminada, se necesita un procedimiento en el que intervenga las dos áreas y un control informático que actúa de llave.
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×