AUDITORIA, SEGURIDAD Y
CONTROL DE SISTEMAS
Ing. Gladys Ormachea Mejía
Desarrollo del Tema


1.INTRODUCCION



2.RIESGOSDELAINFORMACIÓNYELCENTRODECÓMPUTO.



3.CONTROLINTERNO



4.EL AUDITO...
1. INTRODUCCION






La Informática hoy, está subsumida en la gestión integral de la
empresa, y por eso las normas y e...
Conceptos de Auditoría Informática


Es un examen que se realiza con carácter objetivo, crítico,
sistemático y selectivo ...
Conceptos de Auditoría Informática


La Auditoria de Tecnología de Información(T.I.) como se le conoce
actualmente, (Audi...
Conceptos de Auditoría Informática


Existe pues, un cuerpo de conocimientos, normas, técnicas y
buenas practicas dedicad...
Objetivos de la Auditoria Informática


La Auditoría Informática deberá comprender no sólo la evaluación de
los equipos d...
Objetivos de la Auditoria Informática


Esta es de vital importancia para el buen desempeño de los
sistemas de informació...
Alcance de la Auditoría Informática




El alcance ha de definir con precisión el entorno y los límites en que
va a desa...
Alcance de la Auditoría Informática


Ejemplo: ¿Se someterán los registros grabados a un control de
integridad exhaustivo...
Características de la Auditoría
Informática



La información de la empresa y para la empresa, siempre
importante, se ha ...
Características de la Auditoría
Informática


Cuando se producen cambios estructurales en la Informática, se
reorganiza d...
Tipos y clases de Auditorías


El control del funcionamiento del departamento de informática con el
exterior, con el usua...
Tipos y clases de Auditorías


Estas tres auditorías, mas la auditoría de Seguridad, son las cuatro
Áreas Generales de la...
I. Auditoria Informática de Explotación


La Explotación Informática se ocupa de producir resultados
informáticos de todo...
II. Auditoría Informática de Sistemas


Se ocupa de analizar la actividad que se conoce como Técnica de
Sistemas en todas...
II. Auditoría Informática de Sistemas






Software de Teleproceso (Tiempo Real)
No se incluye en Software Básico por...
II. Auditoría Informática de Sistemas


Administración de Base de Datos:



El diseño de las Bases de Datos, sean relaci...
III. Auditoría Informática de
Comunicaciones y Redes:


Revisión de la topología de Red y determinación de posibles
mejor...
IV. Auditoría Informática de Desarrollo
de Proyectos o Aplicaciones



Revisión del proceso completo de desarrollo de pr...
IV. Auditoría Informática de Desarrollo
de Proyectos o Aplicaciones


Revisión de las metodologías utilizadas:



Se ana...
IV. Auditoría Informática de Desarrollo
de Proyectos o Aplicaciones


•Control Interno de las Aplicaciones:



Se deberá...
IV. Auditoría Informática de Desarrollo
de Proyectos o Aplicaciones



Satisfacción de usuarios:
Una Aplicación técnicam...
IV. Auditoría Informática de Desarrollo
de Proyectos o Aplicaciones


Control de Procesos y Ejecuciones de Programas Crít...
Herramientas y Técnicas para la
Auditoría Informática


Cuestionarios
Conjunto de preguntas a las que el sujeto puede res...
Herramientas y Técnicas para la
Auditoría Informática



Entrevistas:
La entrevista es una de las actividades personales...
Herramientas y Técnicas para la
Auditoría Informática



Checklist
El auditor profesional y experto es aquél
que reelabo...
Herramientas y Técnicas para la
Auditoría Informática



Trazas y/o Huellas:
Con frecuencia, el auditor informático debe...
2. Riesgos para la información
Existen dos palabras muy importantes que son
riesgo y seguridad:


Riesgo: Es todo tipo de...
Riesgos para la información


Se entiende por seguridad de la información a todas
aquellas medidas preventivas y reactiva...
Riesgos para la información


Para el hombre como individuo, la seguridad de la
información tiene un efecto significativo...
Riesgos para la información


Importancia de la Información



Se suele pasar por alto la base que hace posible la exist...
Riesgos para la información
En la actualidad gracias a la infinidad de posibilidades que se tiene
para tener acceso a los ...
Riesgos para la información


Principales atacantes



HACKER
CRACKER
LAMMER
COPYHACKER
BUCANEROS
PHREAKER
NEWBIE
SCRIPT...
El manejo de riesgos dentro de la
seguridad en la información


Evitar
No se permite ningún tipo de exposición. Esto se l...
El manejo de riesgos dentro de la
seguridad en la información


Retener, Asumir o Aceptar el riesgo.
•Aceptar las consecu...
RIESGOS EN EL CENTRO DE CÓMPUTO
• Factores físicos.

• Factores ambientales
• Factores humanos

Ing. Gladys Ormachea Mejía
Factores físicos.
• Cableado.

• La iluminación
• El aire de renovación o ventilación
• Las fuentes de alimentación.

Ing....
Factores ambientales
• Incendios.
• Inundaciones.
• Sismos.
• Humedad.

Ing. Gladys Ormachea Mejía
Factores humanos
• Robos.

• Actos vandálicos.
• Actos vandálicos contra el sistema de red
• Fraude.
• Sabotaje.
• Terrori...
RIESGO, EVIDENCIA Y PRUEBAS
SUSTANTIVAS

Ing. Gladys Ormachea Mejía
Riesgo


Es la probabilidad de que suceda un evento, impacto o
consecuencia adversos. Se entiende también como la medida ...
Evidencia


El auditor obtendrá la certeza suficiente y apropiada a través de la
ejecución de sus comprobaciones de proce...
Evidencia


La fiabilidad de la evidencia está en relación con la fuente de la que
se obtenga interna y externa, y con su...
Evidencia


La Evidencia es la base razonable de la opinión del auditor
informático, es decir el informe de Auditoria Inf...
Puntos para evaluar la fiabilidad de la
evidencia
1. La evidencia externa es más fiable que la interna.
2. La evidencia in...
Puntos para evaluar la fiabilidad de la
evidencia
La Evidencia tiene una serie de calificativos a saber:





La Evide...
Métodos para la evidencia de auditoría








La Inspección: consiste en la
revisión de la coherencia y
concordancia ...
Métodos para la evidencia de auditoría




Los cálculos: comprueban la exactitud aritmética de los registros y
de los cá...
3. CONTROL INTERNO


Control Interno como cualquier actividad o acción realizada manual
y/o automáticamente para prevenir...
Control interno


El Informe COSO define el Control Interno como “Las normas, los
procedimientos, las prácticas y las est...
Control interno
En el ambiente informático, el control interno se materializa
fundamentalmente en controles de dos tipos:
...
Componentes del Control Interno






Entorno de control
Evaluación de riesgos
Actividades de control
Información y c...
Actividades de Control


Son las políticas y procedimientos que ayudan a asegurar que se
toman las medidas para limitar l...
Información y Comunicación






Se debe identificar, ordenar y comunicar en forma oportuna la
información necesaria p...
Supervisión




Debe existir un proceso que
compruebe que el sistema de
control interno se mantiene en
funcionamiento a ...
El Control Interno Informático


Sistema integrado al proceso
administrativo, en la planeación,
organización, dirección y...
Control Interno Informático


El control interno informático controla diariamente que todas las
actividades de sistemas d...
Control Interno Informático


La misión del Control Interno Informático es asegurarse de que las
medidas que se obtienen ...
Principales Objetivos
• Controlar que todas las actividades se
realizan cumpliendo los procedimientos
y normas fijados, ev...
Funciones específicas
• Difundir y controlar el cumplimiento de las normas, estándares y
procedimientos al personal de pro...
Clasificación de los controles internos
informáticos






Controles Preventivos: Sirve para tratar de
evitar un evento...
Clasificación de los controles internos
informáticos




Controles Correctivos: Tratan de asegurar que se subsanen todos...
Sistema de control interno


Es el conjunto de todos los elementos en donde lo principal son las
personas, los sistemas d...
Sistema de control interno


Este es de vital importancia, y a que promueve la eficiencia, asegura
la efectividad, previe...
Sistema de control interno


Los controles pueden implantarse a varios
niveles diferentes. La evaluación de los
controles...
4.EL AUDITOR




Se llama auditor/a a la persona
capacitada y experimentada que se
designa por una autoridad competente ...
Auditor interno/externo informático


Ha de revisar los diferentes controles
internos definidos en cada una de las
funcio...
El Nuevo Auditor Líder ISO 20000




La norma ISO/IEC 20000 es el
estándar
reconocido
internacionalmente en gestión de
s...
Papel Del Auditor Informático


Si se entiende que la auditoria informática comprende las tareas de
evaluar, analizar los...
Papel Del Auditor Informático


El auditor Informático debe estar capacitado en los siguientes
aspectos:
 Deberá ver cua...
Papel Del Auditor Informático




Una vez estudiado el sistema informático a
auditar, el auditor deberá establecer los
r...
Papel Del Auditor Informático




El auditor al igual que otros profesionales pueden incidir en la
toma de decisiones en...
Papel Del Auditor Informático




El auditor tanto en sus relaciones con el auditado como con
terceras personas deberá e...
Características del Auditor Informático


1) Se deben poseer una mezcla de conocimientos de auditoría
financiera y de inf...
Características del Auditor Informático


3) Debe conocer técnicas de administración de empresas y de
cambio, ya que las ...
Responsabilidad del Auditor Informático







1. Verificación del control interno tanto de las aplicaciones como de
...
Responsabilidad del Auditor Informático






6. Verificación del nivel de continuidad de las operaciones.
7. Análisis...
Principios básicos del auditor informático






Principio de beneficio del auditado
El auditor deberá conseguir la máx...
Principios básicos del auditor informático




Principio de cautela:
El auditor debe evitar que el auditado se embarque ...
Principios básicos del auditor informático








Principio de concentración en el trabajo
El auditor deberá evitar q...
Principios básicos del auditor informático








Principio de economía:
El auditor deberá proteger los derechos econ...
Principios básicos del auditor informático








Principio de información suficiente:
Obliga al auditor aportar en f...
Principios básicos del auditor informático


Principio de no discriminación
El auditor en su actuación antes, durante y d...
Principios básicos del auditor informático


Principio de veracidad
El auditor en sus comunicaciones con el auditado debe...
Upcoming SlideShare
Loading in...5
×

Auditoria, seguridad y control de sistemas.ppt

4,305
-1

Published on

auditoria de sistemas

Published in: Business
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,305
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
409
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Auditoria, seguridad y control de sistemas.ppt

  1. 1. AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Ing. Gladys Ormachea Mejía
  2. 2. Desarrollo del Tema  1.INTRODUCCION  2.RIESGOSDELAINFORMACIÓNYELCENTRODECÓMPUTO.  3.CONTROLINTERNO  4.EL AUDITOR Ing. Gladys Ormachea Mejía
  3. 3. 1. INTRODUCCION    La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar; por lo tanto, sometidos a los generales de la misma. Las organizaciones informáticas forman parte de lo que se ha denominado el "management“ o gestión de la empresa. debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática. La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Ing. Gladys Ormachea Mejía
  4. 4. Conceptos de Auditoría Informática  Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión informática y si estas han brindado el soporte adecuado a los objetivos y metas del negocio. Ing. Gladys Ormachea Mejía
  5. 5. Conceptos de Auditoría Informática  La Auditoria de Tecnología de Información(T.I.) como se le conoce actualmente, (Auditoria informática o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la acelerada evolución de la tecnología informática de los últimos años.  La INFORMACIÓN es considerada un activo tan o más importante que cualquier otro en una organización. Ing. Gladys Ormachea Mejía
  6. 6. Conceptos de Auditoría Informática  Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas practicas dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la INFORMACION tratada y almacenada a través del computador y equipos afines, así como de la eficiencia, eficacia y economía con que la administración de un ente está manejando dicha INFORMACION y todos los recursos físicos y humanos asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio, para lo cual se aplican técnicas de auditoria de general aceptación y conocimiento técnico específico. Ing. Gladys Ormachea Mejía
  7. 7. Objetivos de la Auditoria Informática  La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Ing. Gladys Ormachea Mejía
  8. 8. Objetivos de la Auditoria Informática  Esta es de vital importancia para el buen desempeño de los sistemas de información, y a que proporción a los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software. Ing. Gladys Ormachea Mejía
  9. 9. Alcance de la Auditoría Informática   El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, si no cuales materias fronterizas han sido omitidas. Ing. Gladys Ormachea Mejía
  10. 10. Alcance de la Auditoría Informática  Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo?  ¿Se comprobará que los controles de validación de errores son adecuados y suficientes?  La definición de los alcances de la auditoria compromete el éxito de la misma. Ing. Gladys Ormachea Mejía
  11. 11. Características de la Auditoría Informática  La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.  Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Ing. Gladys Ormachea Mejía
  12. 12. Características de la Auditoría Informática  Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.  •Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es por que en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas. Ing. Gladys Ormachea Mejía
  13. 13. Tipos y clases de Auditorías  El control del funcionamiento del departamento de informática con el exterior, con el usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz requiere el apoyo continuado de su Dirección frente al “exterior”. Revisar estas interrelaciones constituye el objeto de la Auditoría Informática de Dirección. Ing. Gladys Ormachea Mejía
  14. 14. Tipos y clases de Auditorías  Estas tres auditorías, mas la auditoría de Seguridad, son las cuatro Áreas Generales de la Auditoría Informática más importantes.  Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: I. II. III. IV. De Explotación, De Sistemas, De Comunicaciones y De Desarrollo de Proyectos. Estas son las Áreas Especificas de la Auditoría Informática más importantes. Ing. Gladys Ormachea Mejía
  15. 15. I. Auditoria Informática de Explotación  La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listadosimpresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc.  La explotación informática se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la Explotación Informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. Ing. Gladys Ormachea Mejía
  16. 16. II. Auditoría Informática de Sistemas  Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas.  Sistemas Operativos:  Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera.  Software Básico:  Es fundamental para el auditor conocer los productos de software básico que han sido facturados aparte de la propia computadora. En cuanto al Software desarrollado por el personal informático de la empresa, el auditor debe verificar que éste no agreda ni condiciona al Sistema. Ing. Gladys Ormachea Mejía
  17. 17. II. Auditoría Informática de Sistemas     Software de Teleproceso (Tiempo Real) No se incluye en Software Básico por su especialidad e importancia. Tunning: Es el conjunto de técnicas de observación y de medidas en caminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto. Ing. Gladys Ormachea Mejía
  18. 18. II. Auditoría Informática de Sistemas  Administración de Base de Datos:  El diseño de las Bases de Datos, sean relaciones o jerárquicas, se ha convertido en una actividad muy compleja y sofisticada. La administración tendría que estar a cargo de Explotación. El auditor de Base de Datos debería asegurarse que Explotación conoce suficientemente las que son accedidas por los Procedimientos que la ejecuta. Analizará los Sistemas de salvaguarda existentes, que competen igualmente a Explotación. Revisará finalmente la integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos. Ing. Gladys Ormachea Mejía
  19. 19. III. Auditoría Informática de Comunicaciones y Redes:  Revisión de la topología de Red y determinación de posibles mejoras, análisis de caudales y grados de utilización. Ing. Gladys Ormachea Mejía
  20. 20. IV. Auditoría Informática de Desarrollo de Proyectos o Aplicaciones   Revisión del proceso completo de desarrollo de proyectos por parte de la empresa auditada. El análisis se basa en cuatro aspectos fundamentales: Ing. Gladys Ormachea Mejía
  21. 21. IV. Auditoría Informática de Desarrollo de Proyectos o Aplicaciones  Revisión de las metodologías utilizadas:  Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas. Ing. Gladys Ormachea Mejía
  22. 22. IV. Auditoría Informática de Desarrollo de Proyectos o Aplicaciones  •Control Interno de las Aplicaciones:  Se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de Desarrollo:  •Estudio de Vialidad de la Aplicación  •Definición Lógica de la Aplicación.  •Desarrollo Técnico de la Aplicación.  •Diseño de Programas.  •Métodos de Pruebas.  •Documentación.  •Equipo de Programación Ing. Gladys Ormachea Mejía
  23. 23. IV. Auditoría Informática de Desarrollo de Proyectos o Aplicaciones   Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada sino sirve a los intereses del usuario que la solicitó. La aquiescencia del usuario proporciona grandes ventajas posteriores, y a que evitará reprogramaciones y disminuirá el mantenimiento de la Aplicación Ing. Gladys Ormachea Mejía
  24. 24. IV. Auditoría Informática de Desarrollo de Proyectos o Aplicaciones  Control de Procesos y Ejecuciones de Programas Críticos: Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los programas fuente y los programa módulo no coincidieran podría provocar graves y altos costos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial informativo, etc. Ing. Gladys Ormachea Mejía
  25. 25. Herramientas y Técnicas para la Auditoría Informática  Cuestionarios Conjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos.  Características: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma. Ing. Gladys Ormachea Mejía
  26. 26. Herramientas y Técnicas para la Auditoría Informática   Entrevistas: La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Ing. Gladys Ormachea Mejía
  27. 27. Herramientas y Técnicas para la Auditoría Informática   Checklist El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y porqué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas “normales”, que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists. Ing. Gladys Ormachea Mejía
  28. 28. Herramientas y Técnicas para la Auditoría Informática   Trazas y/o Huellas: Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Las trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Ing. Gladys Ormachea Mejía
  29. 29. 2. Riesgos para la información Existen dos palabras muy importantes que son riesgo y seguridad:  Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas pérdidas para las empresas.  Seguridad: Es una forma de protección contra los riesgos  Los riesgos mas perjudiciales son a las tecnologías de información y comunicaciones. Ing. Gladys Ormachea Mejía
  30. 30. Riesgos para la información  Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la autenticidad y la Integridad de la misma.  El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, y a que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas. Ing. Gladys Ormachea Mejía
  31. 31. Riesgos para la información  Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.  •El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Ing. Gladys Ormachea Mejía
  32. 32. Riesgos para la información  Importancia de la Información  Se suele pasar por alto la base que hace posible la existencia de los anteriores elementos, “Esta base es la información”.  La información:  Esta almacenada y procesada en computadoras. Puede ser confidencial para algunas personas o a escala institucional. Puede ser mal utilizada o divulgada. Puede estar sujeta a robos, sabotaje o fraudes    Ing. Gladys Ormachea Mejía
  33. 33. Riesgos para la información En la actualidad gracias a la infinidad de posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el ámbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informáticos son más latentes. •Fraudes. •Falsificación. •Venta de información. •Destrucción de la información. Ing. Gladys Ormachea Mejía
  34. 34. Riesgos para la información  Principales atacantes  HACKER CRACKER LAMMER COPYHACKER BUCANEROS PHREAKER NEWBIE SCRIPT KIDDIE (“Skid kiddie”)        Ing. Gladys Ormachea Mejía
  35. 35. El manejo de riesgos dentro de la seguridad en la información  Evitar No se permite ningún tipo de exposición. Esto se logra simplemente con no comprometerse a realizar la acción que origine el riesgo. Esta técnica tiene más desventajas que ventajas, ya que la empresa podría abstenerse de aprovechar muchas oportunidades.  Reducir Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa puede ser su reducción hasta el nivel más bajo posible. Esta opción es la más económica y sencilla. Se consigue optimizando los procedimientos, la implementación controles y su monitoreo constante. Ing. Gladys Ormachea Mejía
  36. 36. El manejo de riesgos dentro de la seguridad en la información  Retener, Asumir o Aceptar el riesgo. •Aceptar las consecuencias de la ocurrencia del evento. •Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de asumirlas perdidas involucradas, esta decisión se da por falta de alternativas. •La retención involuntaria inconscientemente. se da cuando el riesgo es retenido •Transferir. •Es buscar un respaldo y compartir el riesgo con otros controles o entidades. Esta técnica se usa ya sea para eliminar un riego de un lugar y transferirlo a otro, ó para minimizar el mismo, compartiéndolo con otras entidades Ing. Gladys Ormachea Mejía
  37. 37. RIESGOS EN EL CENTRO DE CÓMPUTO • Factores físicos. • Factores ambientales • Factores humanos Ing. Gladys Ormachea Mejía
  38. 38. Factores físicos. • Cableado. • La iluminación • El aire de renovación o ventilación • Las fuentes de alimentación. Ing. Gladys Ormachea Mejía
  39. 39. Factores ambientales • Incendios. • Inundaciones. • Sismos. • Humedad. Ing. Gladys Ormachea Mejía
  40. 40. Factores humanos • Robos. • Actos vandálicos. • Actos vandálicos contra el sistema de red • Fraude. • Sabotaje. • Terrorismo. Ing. Gladys Ormachea Mejía
  41. 41. RIESGO, EVIDENCIA Y PRUEBAS SUSTANTIVAS Ing. Gladys Ormachea Mejía
  42. 42. Riesgo  Es la probabilidad de que suceda un evento, impacto o consecuencia adversos. Se entiende también como la medida de la posibilidad y magnitud de los impactos adversos, siendo la consecuencia del peligro, y está en relación con la frecuencia con que se presente el evento. Ing. Gladys Ormachea Mejía
  43. 43. Evidencia  El auditor obtendrá la certeza suficiente y apropiada a través de la ejecución de sus comprobaciones de procedimientos para permitirle emitir las conclusiones sobre las que fundamentar su opinión acerca del estado del sistema Informático. Ing. Gladys Ormachea Mejía
  44. 44. Evidencia  La fiabilidad de la evidencia está en relación con la fuente de la que se obtenga interna y externa, y con su naturaleza, es decir, visual, documental y oral. Ing. Gladys Ormachea Mejía
  45. 45. Evidencia  La Evidencia es la base razonable de la opinión del auditor informático, es decir el informe de Auditoria Informática. Ing. Gladys Ormachea Mejía
  46. 46. Puntos para evaluar la fiabilidad de la evidencia 1. La evidencia externa es más fiable que la interna. 2. La evidencia interna es más fiable cuando los controles internos relacionados con ellos son satisfactorios. 3. La evidencia obtenida por el propio auditor es más fiable que la obtenida por la empresa. 4. La evidencia en forma de documentos y manifestaciones escritas es más fiable que la procedente de declaraciones orales. 5. El auditor puede ver aumentada su seguridad como la evidencia obtenida de diferentes fuentes. 6. Debe existir una razonable relación entre el costo de obtener una evidencia y la utilidad de la información que suministra. Ing. Gladys Ormachea Mejía
  47. 47. Puntos para evaluar la fiabilidad de la evidencia La Evidencia tiene una serie de calificativos a saber:     La Evidencia Relevante, que tiene una relación lógica con los objetivos de la auditoria. La Evidencia Fiable, que es valida y objetiva aunque, con nivel de confianza. La Evidencia Suficiente, que es de tipo cuantitativo para soportar la opinión profesional del auditor. La Evidencia Adecuada, que es de tipo cualitativo para afectar las conclusiones del auditor. Ing. Gladys Ormachea Mejía
  48. 48. Métodos para la evidencia de auditoría     La Inspección: consiste en la revisión de la coherencia y concordancia de los registros, así como en el examen de los documentos y activos tangibles. La observación: consiste en ver la ejecución de un proceso o procedimiento efectuado por otros. Las preguntas: obtienen información apropiada de las personas de dentro y fuera de la entidad. Las confirmaciones: mediante ellas se obtiene corroboración, normalmente por escrito, de una información contenida en los registros Ing. Gladys Ormachea Mejía
  49. 49. Métodos para la evidencia de auditoría   Los cálculos: comprueban la exactitud aritmética de los registros y de los cálculos y análisis realizados por la entidad o en la realización de cálculos independientes. En principio, las pruebas son de cumplimiento o sustantivas. Ing. Gladys Ormachea Mejía
  50. 50. 3. CONTROL INTERNO  Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores oir iregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (AuditoríaInformática-Un Enfoque Práctico-MarioG.Plattini) Ing. Gladys Ormachea Mejía
  51. 51. Control interno  El Informe COSO define el Control Interno como “Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán. Ing. Gladys Ormachea Mejía
  52. 52. Control interno En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos: •Controles manuales: aquellos que son ejecutados por el personal del área usuaria o de informáticas en la utilización de herramientas computacionales. •Controles Automáticos: son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc. Ing. Gladys Ormachea Mejía
  53. 53. Componentes del Control Interno      Entorno de control Evaluación de riesgos Actividades de control Información y comunicación Supervisión Ing. Gladys Ormachea Mejía
  54. 54. Actividades de Control  Son las políticas y procedimientos que ayudan a asegurar que se toman las medidas para limitar los riesgos que pueden afectar que se alcancen los objetivos organizacionales. Ing. Gladys Ormachea Mejía
  55. 55. Información y Comunicación     Se debe identificar, ordenar y comunicar en forma oportuna la información necesaria para que los empleados puedan cumplir con sus obligaciones. La información puede ser operativa o financiera, de origen interno o externo. Deben existir adecuados canales de comunicación. El personal debe ser informado de la importancia de que participe en el esfuerzo de aplicar el control interno. Ing. Gladys Ormachea Mejía
  56. 56. Supervisión   Debe existir un proceso que compruebe que el sistema de control interno se mantiene en funcionamiento a través del tiempo. La misma tiene tareas permanentes y revisiones periódicas. Estas últimas dependerán en cuanto a su frecuencia de la evaluación de la importancia de los riesgos en juego. Ing. Gladys Ormachea Mejía
  57. 57. El Control Interno Informático  Sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. (Auditoría Informática-Aplicaciones en Producción-José Dagoberto Pinilla) Ing. Gladys Ormachea Mejía
  58. 58. Control Interno Informático  El control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o dirección de informática, así como los requerimientos legales. Ing. Gladys Ormachea Mejía
  59. 59. Control Interno Informático  La misión del Control Interno Informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y validas. Ing. Gladys Ormachea Mejía
  60. 60. Principales Objetivos • Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. • Asesorar sobre el conocimiento de las normas • Colaborar y apoyar el trabajo de Auditoría Informática interna/externa. • Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático. Ing. Gladys Ormachea Mejía
  61. 61. Funciones específicas • Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de programadores, técnicos y operadores. • Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los siguientes aspectos: • Desarrollo y mantenimiento del software de aplicación. • Explotación de servidores principales • Software de Base • Redes de Computación • Seguridad Informática • Licencias de software • Cultura de riesgo informático en la organización • Control interno informático (áreas de aplicación) Ing. Gladys Ormachea Mejía
  62. 62. Clasificación de los controles internos informáticos    Controles Preventivos: Sirve para tratar de evitar un evento no deseado de todas las áreas de departamento como son: Equipo de cómputo, sistemas, telecomunicaciones. Ejemplo: contar con un software de seguridad que impida los accesos no autorizados al sistema. Controles Detectivos: trata de descubrir a posteriori errores o fraudes que no haya sido posible evitar los con controles preventivos. Ejemplo (registros de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones). Ing. Gladys Ormachea Mejía
  63. 63. Clasificación de los controles internos informáticos   Controles Correctivos: Tratan de asegurar que se subsanen todos los errores identificados, mediante los controles preventivos; es decir facilitan la vuelta a la normalidad ante una incidencia. Es un plan de contingencia. Ejemplo: Backup supondría un control correctivo. Ing. Gladys Ormachea Mejía
  64. 64. Sistema de control interno  Es el conjunto de todos los elementos en donde lo principal son las personas, los sistemas de información, la supervisión y los procedimientos. Ing. Gladys Ormachea Mejía
  65. 65. Sistema de control interno  Este es de vital importancia, y a que promueve la eficiencia, asegura la efectividad, previene que se violen las normas y los principios de general aceptación.  Los directivos de las organizaciones deben crear un ambiente de control, un conjunto de procedimientos de control directo y las limitaciones del control interno. Ing. Gladys Ormachea Mejía
  66. 66. Sistema de control interno  Los controles pueden implantarse a varios niveles diferentes. La evaluación de los controles de la Tecnología de la Información exige analizar diversos elementos interdependientes. Por ello es importante llegar a conocer bien la configuración del sistema, con el objeto de identificar los elementos, productos y herramientas que existen para saber dónde pueden implantarse los controles. Así como para identificar posibles riesgos. Ing. Gladys Ormachea Mejía
  67. 67. 4.EL AUDITOR   Se llama auditor/a a la persona capacitada y experimentada que se designa por una autoridad competente o por una empresa de consultoría, para revisar, examinar y evaluar con coherencia los resultados de la gestión de una dependencia (institución gubernamental) o entidad (empresa o sociedad) con el propósito de informar o dictaminar acerca de ellas, realizando las observaciones y recomendaciones pertinentes. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de Información. Ing. Gladys Ormachea Mejía
  68. 68. Auditor interno/externo informático  Ha de revisar los diferentes controles internos definidos en cada una de las funciones informáticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a los objetivos definidos por la Dirección de Negocio y la Dirección de Informática. Informará a la Alta Dirección de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarán acciones que minimicen los riesgos que pueden originarse. Ing. Gladys Ormachea Mejía
  69. 69. El Nuevo Auditor Líder ISO 20000   La norma ISO/IEC 20000 es el estándar reconocido internacionalmente en gestión de servicios de Tecnologías de la Información (TI). Hoy en día, existe generalmente la percepción de que los servicios de TI no están alineados con las necesidades y requisitos del negocio. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. Ing. Gladys Ormachea Mejía
  70. 70. Papel Del Auditor Informático  Si se entiende que la auditoria informática comprende las tareas de evaluar, analizar los procesos informáticos, el papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas. Ing. Gladys Ormachea Mejía
  71. 71. Papel Del Auditor Informático  El auditor Informático debe estar capacitado en los siguientes aspectos:  Deberá ver cuando se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones mas idóneas, según los problemas detectados en el sistema informático, siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos. Ing. Gladys Ormachea Mejía
  72. 72. Papel Del Auditor Informático   Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos, aconsejables y óptimos para su adecuación con la finalidad de que cumpla para lo que fue diseñado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos. El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases científicas insuficientemente probadas o de imprevisible futuro. Ing. Gladys Ormachea Mejía
  73. 73. Papel Del Auditor Informático   El auditor al igual que otros profesionales pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía, dado la dificultad práctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos técnicos existente entre al auditor y los auditados (Puede pesar gravemente). El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarse a realizar hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes. Ing. Gladys Ormachea Mejía
  74. 74. Papel Del Auditor Informático   El auditor tanto en sus relaciones con el auditado como con terceras personas deberá en todo momento, deberá actuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en el trato personal. El auditor deberá facilitar e incrementar la confianza de auditado en base a una actuación de transparencia, en su actividad profesional sin alardes científico- técnico, que, por su incomprensión, pueden restar credibilidad a los resultados obtenidos y a las directrices aconsejadas. Ing. Gladys Ormachea Mejía
  75. 75. Características del Auditor Informático  1) Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general. En el área informática, se debe tener conocimientos básicos de:           Desarrollo de SI, Sistemas operativos, Telecomunicaciones, Administración de Bases de Datos, Redes locales, Seguridad física, Administración de Datos, Automatización de oficinas (ofimática), Comercio electrónico, de datos, etc. 2) Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial. Ing. Gladys Ormachea Mejía
  76. 76. Características del Auditor Informático  3) Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen.  4) Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad. Ing. Gladys Ormachea Mejía
  77. 77. Responsabilidad del Auditor Informático      1. Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc. 2. Análisis de la administración de Sistemas de Información, desde un punto de vista de riesgo de seguridad, administración y efectividad de la administración. 3. Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones. 4. Auditoría del riesgo operativo de los circuitos de información 5. Análisis de la administración de los riesgos de la información y de la seguridad implícita. Ing. Gladys Ormachea Mejía
  78. 78. Responsabilidad del Auditor Informático     6. Verificación del nivel de continuidad de las operaciones. 7. Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias empresariales que un desfase tecnológico puede acarrear. 8. Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa 9. También el auditor informático es responsable de establecer los objetivos de control que reduzcan o eliminen la exposición al riesgo de control interno. Ing. Gladys Ormachea Mejía
  79. 79. Principios básicos del auditor informático    Principio de beneficio del auditado El auditor deberá conseguir la máxima eficiencia y rentabilidad de los medios informáticos de la empresa auditada. El auditor deberá evitar estar ligado a determinados intereses. Principio de calidad El auditor deberá prestar servicios con los medios a su alcance. Libertad de utilización de los mismos. Condiciones técnicas adecuadas. Principio de capacidad El auditor debe estar plenamente capacitado para la realización de la auditoría encomendada. Debe ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoría (sobreestima o subestima). Ing. Gladys Ormachea Mejía
  80. 80. Principios básicos del auditor informático   Principio de cautela: El auditor debe evitar que el auditado se embarque en proyectos de futuro fundamentados en intuiciones sobre la evolución de las nuevas tecnología de la información. Principio de comportamiento profesional Exige al auditor una seguridad en sus conocimientos técnicos y una clara percepción de sus carencias (acudiendo a expertos si necesario) dejando constancia de esa circunstancia y reflejando en forma diferenciada, en sus informes y dictámenes, las opiniones y conclusiones propias y las emitidas por los mismo. Debe guardar un escrupuloso respeto por la política de la empresa que audita. Ing. Gladys Ormachea Mejía
  81. 81. Principios básicos del auditor informático     Principio de concentración en el trabajo El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas Nunca copiar conclusiones de otros informes de auditorías pasadas por la acumulación de trabajo Principio de confianza: El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de transparencia en su actividad profesional Principio de criterio propio: El auditor deberá actuar con criterio propio y no permitir que este este subordinado al de otros profesionales Principio de discreción: El auditor deberá mantener una cierta discreción en la divulgación de datos Ing. Gladys Ormachea Mejía
  82. 82. Principios básicos del auditor informático     Principio de economía: El auditor deberá proteger los derechos económicos del auditado evitando generar gastos innecesarios Principio de formación continuada: Impone al auditor la obligación de estar en contíınua formación. Principio de fortalecimiento y respeto a la profesión Los auditores han de cuidar del valor de trabajo realizado y de las conclusiones obtenidas Principio de independencia El auditor debe exigir una total autónoma e independencia en su trabajo. Ing. Gladys Ormachea Mejía
  83. 83. Principios básicos del auditor informático     Principio de información suficiente: Obliga al auditor aportar en forma clara, precisa e inteligible para el auditado la información Principio de integridad moral Obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión, a ajustarse a las normas morales, de justicia y probidad, y a evitar participar en actos de corrupción personal o a terceras personas. Principio de legalidad El auditor deberá evitar utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la contravención de la legalidad vigente Principio de libre competencia Exige que el ejercicio de la profesión se realice en el marco de la libre competencia. Ing. Gladys Ormachea Mejía
  84. 84. Principios básicos del auditor informático  Principio de no discriminación El auditor en su actuación antes, durante y después de la auditoría, deberá evitar inducir, participar o aceptar situaciones discriminatorias de ningún tipo.  Principio de no injerencia El auditor deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar cierto desprestigio de su calificación profesional.  Principio de precisión Exige del auditor la no conclusión de su trabajo hasta estar convencido de la viabilidad de sus propuestas.  Principio de secreto profesional La confidencia y la confianza son características esenciales de las relaciones entre el auditor y el auditado, e imponen al primero la obligación de guardar en secreto los hechos e informaciones que Ing. Gladys Ormachea Mejía conozca en el ejercicio de su actividad profesional.
  85. 85. Principios básicos del auditor informático  Principio de veracidad El auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación de asegurar la veracidad de sus manifestaciones con los límites impuestos por los deberes de respeto, corrección y secreto.  Principio de servicio público Incitar al auditor a hacer lo que esté en su mano y sin perjuicio de los intereses de su cliente, para evitar daños sociales como los que pueden producirse en los casos en que, durante la ejecución de la auditoría, descubra elementos de software dañinos (virus) que puedan propagarse a otros sistemas informáticos diferentes al auditado. Ing. Gladys Ormachea Mejía
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×