AUDITORIA INFORMATICA

41
AUDITORIA INFORMATICA

description

audutoria informatica

Transcript of AUDITORIA INFORMATICA

  • AUDITORIA INFORMATICA

  • Que es la auditora?Es la revisin independiente que realiza un auditor profesional, aplicando, tcnica, mtodos y procedimientos especializados, a fin de evaluar el cumplimiento de funciones, actividades, tareas y procedimientos de una organizacin, as como dictaminar sobre el resultado de dicha evaluacin.

  • Administracin de la Configuracin de Bases de Datos

  • JustificacinRecursosTICs

  • Fuente: Symantec (2010).

    Evidencias1El crecimiento del acceso a Internet y de usuarios conectados incrementa la posibilidad de concrecin de amenazas informticas.2Crecimiento de la informacin disponible de empresas y sus empleados en redes sociales Ingeniera Social.3Mensajes de e-mail que contienen attachments que explotan vulnerabilidades en las aplicaciones instaladas por los usuarios.4Robo de credenciales o captura ilegal de datos.5Acceso a redes empresariales a travs de cdigos maliciosos diseados para obtener informacin sensitiva.6En el 2012 los sectores financiero, proveedores de servicios TIC, comercios, seguros, comunidad de Internet, empresas de telecomunicaciones y el gobierno han sido los ms vulnerables ante las amenazas informticas.7En el 2012 Symantec identific 240 millones de programas maliciosos, un aumento del 100% con respecto al 2008.

  • Fuente: Rodrguez (2006)

  • Factores que propician la Auditora Informtica

    Leyes gubernamentales.Polticas internas de la empresa.Necesidad de controlar el uso de equipos computacionales.Altos costos debido a errores.Prdida de informacin y de capacidades de procesamiento de datos, aumentando as la posibilidad de toma de decisiones incorrectas.Valor del hardware, software y personal.Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organizacin.

  • Objetivos generales de la Auditora en InformticaAsegurar la integridad, confidencialidad y confiabilidad de la informacin. Minimizar existencias de riesgos en el uso de Tecnologa de informacin Conocer la situacin actual del rea informtica para lograr los objetivos. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico, as como tambin seguridad del personal, los datos, el hardware, el software y las instalaciones.

  • Incrementar la satisfaccin de los usuarios de los sistemas informticos. Capacitacin y educacin sobre controles en los Sistemas de Informacin. Buscar una mejor relacin costo-beneficio de los sistemas automticos y tomar decisiones en cuanto a inversiones para la tecnologa de informacin.

    Objetivos generales de la Auditora en Informtica

  • Riesgo InformticoLa probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto especfico, el cual puede estar representado por prdidas y daos.

  • AmenazaAcciones que pueden ocasionar consecuencias negativas en la plataforma informtica disponible: fallas, ingresos no autorizados a las reas de computo, virus, uso inadecuado de activos informticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas elctricas. Pueden ser de tipo lgico o fsico.

  • VulnerabilidadCondiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se manifiestan como debilidades o carencias: falta de conocimiento del usuario, tecnologa inadecuada, fallas en la transmisin, inexistencia de antivirus, entre otros.

  • ImpactoConsecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras.Perdida de dinero, deterioro de la imagen de la empresa, reduccin de eficiencia, fallas operativas a corto o largo plazo, prdida de vidas humanas, etc.

  • Administracin de RiesgosLuego de efectuar el anlisis de riesgo-impacto, el ciclo de administracin de riesgo finaliza con la determinacin de las acciones a seguir respecto:Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos controles.Eliminar el riesgo. Aplicando los correctivos necesarios.Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informtica).Aceptar el riesgo, determinando el nivel de exposicin.

  • Y...Qu es el control interno?Es un proceso, mediante el cual la administracin, los directivos y/o la alta gerencia le proporcionan a sus actividades, un grado razonable de confianza, que le garantice la consecucin de sus objetivos, tomando en cuenta: la eficacia y eficiencia de las operaciones, fiabilidad de la informacin financiera y cumplimiento de las leyes y normas aplicables, con la finalidad de dotar a la organizacin medidas preventivas, deteccin y correccin de errores, fallos y fraudes o sabotajes

  • CONTROL INTERNO. DEFINICIN Y TIPOSCualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos.La tipologa tradicional de los controles informticos es:

  • Tratar de evitar el hechoCuando fallan los preventivos para tratar de conocer cuanto antes el eventoVuelta a la normalidad cuando se han producido incidencias

  • Normas de Auditora Informtica disponiblesCOSO (Committee of Sponsoring Organizations of the Treadway Commission, EEUU 1992). ITIL (Information Technology Infrastructure Library, Inglaterra 1990). ISO/IEC 17799:2000 (International Organization for Standardization/International Electrotechnical Commission, Inglaterra 2000). COBIT (Control Objectives for Information and Related Technology IT, EEUU 1998).Modelo de evaluacin del control interno en los sistemas, funciones, procesos o actividades en forma ntegra. Marco referencial que evala el proceso de gestin de los Servicios de tecnologa de informacin y de la infraestructura tecnologa.Gua de auditoria del sistema de gestin de seguridad de la informacin para su proteccin.

  • Las mejores prcticas de TI se han vuelto significativas debido a un nmero de factores:

    Directores de negocio y consejos directivos que demandan un mayor retorno de la inversin en TI.

    Preocupacin por el creciente nivel de gasto en TI.

    La necesidad de satisfacer requerimientos regulatorios para controles de TI en reas como privacidad y reportes financieros y en sectores especficos como el financiero, farmacutico y de atencin a la salud.

  • La seleccin de proveedores de servicio y el manejo de Outsourcing y de Adquisicin de servicios Riesgos crecientemente complejos de la TI como la seguridad de redes Iniciativas de gobierno de TI que incluyen la adopcin de marcos de referencia de control y de mejores prcticas para ayudar a monitorear y mejorar las actividades crticas de TI, aumentar el valor del negocio y reducir los riesgos de ste.

  • La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques desarrollados especialmente.

    La madurez creciente y la consecuente aceptacin de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, entre otros.

    La necesidad de las empresas de valorar su desempeo en comparacin con estndares generalmente aceptados y con respecto a su competencia (Benchmarking)

  • Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. PLANEAR Y ORGANIZAR Estrategias y tcticas. Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. La visin estratgica requiere ser planeada, comunicada y administrada.Implementar una estructura organizacional y una estructura tecnolgica apropiada.

  • PLANEAR Y ORGANIZAR Cubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?Continuacin

  • ADQUIRIR E IMPLEMENTAR Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la implementacin e integracin en los procesos del negocio.

  • Adems para garantizar que las soluciones sigan cubre los siguientes cuestionamientos de la gerencia:Los nuevos proyectos generan soluciones que satisfagan las necesidades?Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?Trabajarn adecuadamente los nuevos sistemas una vez sean implementados?Los cambios afectarn las operaciones actuales del negocio?

  • ENTREGAR Y DAR SOPORTE Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales.

  • Aclara las siguientes preguntas de la gerencia: Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

  • MONITOREAR Y EVALUAR Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.

  • MONITOREAR Y EVALUAR Abarca las siguientes preguntas de la gerencia: Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?

  • Ejemplo: Supongamos la siguiente situacin

  • AI1 Identificar soluciones automatizadas

    AI1.1 Definicin y mantenimiento de los requerimientos tcnicos y funcionales del negocio.

    Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y tcnicos.

    Definir los criterios de aceptacin de los requerimientos. Estas iniciativas deben incluir todos los cambios requeridos dada la naturaleza del negocio, de los procesos, de las aptitudes y habilidades del personal, su estructura organizacional y la tecnologa de apoyo.

    Establecer procesos para garantizar y administrar la integridad, exactitud y la validez de los requerimientos del negocio, como base para el control de la adquisicin y el desarrollo continuo de sistemas.

  • AI1.2 Reporte de anlisis de riesgos Identificar, documentar y analizar los riesgos asociados con los procesos del negocio como parte de los procesos organizacionales para el desarrollo de los requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad, disponibilidad y privacidad de los datos, as como el cumplimiento de las leyes y reglamentos.

    AI1.3 Estudio de factibilidad y formulacin de cursos de accin alternativos Desarrollar un estudio de factibilidad que examine la posibilidad de implantar los requerimientos.

    AI1.4 Requerimientos, decisin de factibilidad y aprobacin. El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto funcionales como tcnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. Cada autorizacin va despus de la terminacin de las revisiones de calidad.

  • Norma COBITCOBIT es la fusin entre prcticas de informtica (ITIL, ISO/IEC 17799) y prcticas de control (COSO), las cuales plantean tres tipos de requerimientos de negocio para la informacin: De calidad (calidad, costo y entrega de servicio). Fiduciarios (efectividad y eficiencia de operaciones, confiabilidad de la informacin y cumplimiento de las leyes y regulaciones).De Seguridad (confidencialidad, integridad y disponibilidad).

  • Terminologa COBITEfectividad: Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como la entrega oportuna sea correcta, consistente y de manera utilizable ante terceros, para poder cumplir con parte del requerimiento fiduciario.Eficiencia: Siguiendo los requerimientos del negocio de la informacin, en cuanto a calidad-costo, la eficiencia viene dada a travs de la utilizacin ptima (ms productiva y econmica) de recursos.

  • Terminologa COBITConfidencialidad: Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Cumple con el principio de calidad. Integridad: Para el requerimiento de seguridad, la integridad es la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio.Disponibilidad: Se trata de la oportunidad de entrega de la informacin cuando sta sea requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.

  • Terminologa COBITCumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la informacin: Es la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

  • Auditoria ExternaAplicando el concepto general, se puede decir que la auditora Externa es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir una opinin independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento.

    La Auditora Externa examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos, pero las empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del producto de este,

  • Auditoria InternaLa auditora Interna es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma.

    Las auditoras internas son hechas por personal de la empresa. Un auditor interno tiene a su cargo la evaluacin permanente del control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los mtodos y procedimientos de control interno que redunden en una operacin ms eficiente y eficaz.

  • Preguntas a Responder y Analizar

    Se define Auditoria como la revisin independiente que realiza un auditor profesional, aplicando, tcnica, mtodos y procedimientos especializados.VF___________________________________________________________________ 2)Se dice que las Unidades de Sistemas de una organizacin forman parte directa de su diagrama de flujo.VF____________________________________________________________________3)Se dice que la no productividad de cualquier organizacin depende del funcionamiento ininterrumpido de los sistemas TIC.VF___________________________________________________________________________________________________________________________________ 4) El crecimiento del acceso a Internet y de usuarios conectados incrementa la posibilidad de concrecin de amenazas informticas.VF____________________________________________ 5)Un rol bsico de la funcin de Auditora Informtica es una efectiva poltica de administracin de riesgos.VF______________________________________________________________________ 6)Dos elementos que pueden generar la aplicacin de una Auditoria Informtica son: Las Leyes Gubernamentales y las Polticas Internas:VF________________________________________________________________________________________________________________________7)Es un objetivo de la Auditoria de Sistemas asegurar la integridad, confidencialidad y confiabilidad de la informacin. VF_________________________________________________________8) Es un objetivo de la Auditoria la Capacitacin y educacin sobre controles en los Sistemas de Informacin.VF______________________________________________________________________9)La Auditoria define Riesgo Informtico como: La probabilidad de que una amenaza se materialice.VF______________________________________________________________________ 10) El ciclo de la administracin de riesgos esta compuesta de 5 elementos.VF______________________________________________________________________1) Se define Auditoria como la revisin independiente que realiza un auditor profesional, aplicando, tcnica, mtodos y procedimientos especializados.

    2) Dos elementos que pueden generar la aplicacin de una Auditoria Informtica son: Las Leyes Gubernamentales y las Polticas Internas.3) La Auditoria define Riesgo Informtico como: La probabilidad de que una amenaza se materialice.4) La Auditora Interna examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos.5) La efectividad basada en la tecnologa COBIT se refiere a que la informacin relevante sea pertinente para el proceso del negocio.

    *Fuente Imagen: http://www.a3bys.com/a3byst/imagenes/20070520040540-computadora.jpg*****Fuente Imgenes: Google Imgenes Criterio de Bsqueda Riesgo Computador***Fuente Imagen: http://fabianmarinog.files.wordpress.com/2008/08/cd_locked.jpg*******Fuente imagen: http://www.barrosohernandez.com/images/SemaforBCN.jpg*Fuente de Imgenesesencia21.wordpress.comwww.eleconomista.es

    Fuente: http://www.segu-info.com.ar/ataques/ataques.htm***Fuente Imagen: http://www.universidadicn.edu.mx/imagenes/maest_auditoria.jpg***************FIDUCIARIO Dicho de un negocio o de un contrato: Basado principalmente en la confianza entre las partes. (www.rae.es)Fuente Imagen: http://img181.imageshack.us/img181/4265/informatedequepuedeponevn1.jpg***


auditoria informatica

auditoria informatica

Auditoria Informatica y Auditoria Forense_Final.pdf

Auditoria Informatica y Auditoria Forense_Final.pdf

AUDITORIA INFORMATICA,

AUDITORIA INFORMATICA,

Auditoria informatica

Auditoria informatica