1. AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Ing. Gladys Ormachea Meja

2. Desarrollo del Tema 1.INTRODUCCION2.RIESGOSDELAINFORMACINYELCENTRODECMPUTO.3.CONTROLINTERNO4.EL AUDITORIng. Gladys Ormachea Meja 3. 1. INTRODUCCION La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar; por lo tanto, sometidos a los generales de la misma. Las organizaciones informticas forman parte de lo que se ha denominado el "management o gestin de la empresa. debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informtica. La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or.Ing. Gladys Ormachea Meja 4. Conceptos de Auditora Informtica Es un examen que se realiza con carcter objetivo, crtico, sistemtico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informticos, de la gestin informtica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio.Ing. Gladys Ormachea Meja 5. Conceptos de Auditora Informtica La Auditoria de Tecnologa de Informacin(T.I.) como se le conoce actualmente, (Auditoria informtica o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la acelerada evolucin de la tecnologa informtica de los ltimos aos.La INFORMACIN es considerada un activo tan o ms importante que cualquier otro en una organizacin.Ing. Gladys Ormachea Meja 6. Conceptos de Auditora Informtica Existe pues, un cuerpo de conocimientos, normas, tcnicas y buenas practicas dedicadas a la evaluacin y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la INFORMACION tratada y almacenada a travs del computador y equipos afines, as como de la eficiencia, eficacia y economa con que la administracin de un ente est manejando dicha INFORMACION y todos los recursos fsicos y humanos asociados para su adquisicin, captura, procesamiento, transmisin, distribucin, uso y almacenamiento. Todo lo anterior con el objetivo de emitir una opinin o juicio, para lo cual se aplican tcnicas de auditoria de general aceptacin y conocimiento tcnico especfico.Ing. Gladys Ormachea Meja 7. Objetivos de la Auditoria Informtica La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.Ing. Gladys Ormachea Meja 8. Objetivos de la Auditoria Informtica Esta es de vital importancia para el buen desempeo de los sistemas de informacin, y a que proporcin a los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo: informtica, organizacin de centros de informacin, hardware y software.Ing. Gladys Ormachea Meja 9. Alcance de la Auditora Informtica El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria informtica, se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, si no cuales materias fronterizas han sido omitidas.Ing. Gladys Ormachea Meja 10. Alcance de la Auditora Informtica Ejemplo: Se sometern los registros grabados a un control de integridad exhaustivo?Se comprobar que los controles de validacin de errores son adecuados y suficientes?La definicin de los alcances de la auditoria compromete el xito de la misma.Ing. Gladys Ormachea Meja 11. Caractersticas de la Auditora InformticaLa informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditoria de Inversin Informtica.Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas.Ing. Gladys Ormachea Meja 12. Caractersticas de la Auditora Informtica Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditora de Organizacin Informtica.Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una auditora parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de Proyectos de la Informtica de una empresa, es por que en ese Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.Ing. Gladys Ormachea Meja 13. Tipos y clases de Auditoras El control del funcionamiento del departamento de informtica con el exterior, con el usuario se realiza por medio de la Direccin. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compaa. Una informtica eficiente y eficaz requiere el apoyo continuado de su Direccin frente al exterior. Revisar estas interrelaciones constituye el objeto de la Auditora Informtica de Direccin.Ing. Gladys Ormachea Meja 14. Tipos y clases de Auditoras Estas tres auditoras, mas la auditora de Seguridad, son las cuatro reas Generales de la Auditora Informtica ms importantes.Dentro de las reas generales, se establecen las siguientes divisiones de Auditora Informtica: I. II. III. IV.De Explotacin, De Sistemas, De Comunicaciones y De Desarrollo de Proyectos.Estas son las reas Especificas de la Auditora Informtica ms importantes.Ing. Gladys Ormachea Meja 15. I. Auditoria Informtica de Explotacin La Explotacin Informtica se ocupa de producir resultados informticos de todo tipo: listadosimpresos, ficheros soportados magnticamente para otros informticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc.La explotacin informtica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la Explotacin Informtica se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad.Ing. Gladys Ormachea Meja 16. II. Auditora Informtica de Sistemas Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus facetas.Sistemas Operativos:Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si las hubiera.Software Bsico:Es fundamental para el auditor conocer los productos de software bsico que han sido facturados aparte de la propia computadora. En cuanto al Software desarrollado por el personal informtico de la empresa, el auditor debe verificar que ste no agreda ni condiciona al Sistema.Ing. Gladys Ormachea Meja 17. II. Auditora Informtica de Sistemas Software de Teleproceso (Tiempo Real) No se incluye en Software Bsico por su especialidad e importancia. Tunning: Es el conjunto de tcnicas de observacin y de medidas en caminadas a la evaluacin del comportamiento de los Subsistemas y del Sistema en su conjunto.Ing. Gladys Ormachea Meja 18. II. Auditora Informtica de Sistemas Administracin de Base de Datos:El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en una actividad muy compleja y sofisticada. La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datos debera asegurarse que Explotacin conoce suficientemente las que son accedidas por los Procedimientos que la ejecuta. Analizar los Sistemas de salvaguarda existentes, que competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de los datos, as como la ausencia de redundancias entre ellos.Ing. Gladys Ormachea Meja 19. III. Auditora Informtica de Comunicaciones y Redes: Revisin de la topologa de Red y determinacin de posibles mejoras, anlisis de caudales y grados de utilizacin.Ing. Gladys Ormachea Meja 20. IV. Auditora Informtica de Desarrollo de Proyectos o Aplicaciones Revisin del proceso completo de desarrollo de proyectos por parte de la empresa auditada. El anlisis se basa en cuatro aspectos fundamentales:Ing. Gladys Ormachea Meja 21. IV. Auditora Informtica de Desarrollo de Proyectos o Aplicaciones Revisin de las metodologas utilizadas:Se analizaran stas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas.Ing. Gladys Ormachea Meja 22. IV. Auditora Informtica de Desarrollo de Proyectos o Aplicaciones Control Interno de las Aplicaciones:Se debern revisar las mismas fases que presuntamente han debido seguir el rea correspondiente de Desarrollo:Estudio de Vialidad de la AplicacinDefinicin Lgica de la Aplicacin.Desarrollo Tcnico de la Aplicacin.Diseo de Programas.Mtodos de Pruebas.Documentacin.Equipo de ProgramacinIng. Gladys Ormachea Meja 23. IV. Auditora Informtica de Desarrollo de Proyectos o Aplicaciones Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien desarrollada, deber considerarse fracasada sino sirve a los intereses del usuario que la solicit. La aquiescencia del usuario proporciona grandes ventajas posteriores, y a que evitar reprogramaciones y disminuir el mantenimiento de la AplicacinIng. Gladys Ormachea Meja 24. IV. Auditora Informtica de Desarrollo de Proyectos o Aplicaciones Control de Procesos y Ejecuciones de Programas Crticos: Se ha de comprobar la correspondencia biunvoca y exclusiva entre el programa codificado y su compilacin. Si los programas fuente y los programa mdulo no coincidieran podra provocar graves y altos costos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial informativo, etc.Ing. Gladys Ormachea Meja 25. Herramientas y Tcnicas para la Auditora Informtica Cuestionarios Conjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos.Caractersticas: Las auditoras informticas se materializan recabando informacin y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin evidencias. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.Ing. Gladys Ormachea Meja 26. Herramientas y Tcnicas para la Auditora Informtica Entrevistas: La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente.Ing. Gladys Ormachea Meja 27. Herramientas y Tcnicas para la Auditora Informtica Checklist El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y porqu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas normales, que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists.Ing. Gladys Ormachea Meja 28. Herramientas y Tcnicas para la Auditora Informtica Trazas y/o Huellas: Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa. Las trazas se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema.Ing. Gladys Ormachea Meja 29. 2. Riesgos para la informacin Existen dos palabras muy importantes que son riesgo y seguridad: Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas prdidas para las empresas.Seguridad: Es una forma de proteccin contra los riesgosLos riesgos mas perjudiciales son a las tecnologas de informacin y comunicaciones.Ing. Gladys Ormachea Meja 30. Riesgos para la informacin Se entiende por seguridad de la informacin a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la autenticidad y la Integridad de la misma.El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, y a que este ltimo slo se encarga de la seguridad en el medio informtico, pudiendo encontrar informacin en diferentes medios o formas.Ing. Gladys Ormachea Meja 31. Riesgos para la informacin Para el hombre como individuo, la seguridad de la informacin tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.El campo de la seguridad de la informacin ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtindose en una carrera acreditada a nivel mundial.Ing. Gladys Ormachea Meja 32. Riesgos para la informacin Importancia de la InformacinSe suele pasar por alto la base que hace posible la existencia de los anteriores elementos, Esta base es la informacin.La informacin:Esta almacenada y procesada en computadoras. Puede ser confidencial para algunas personas o a escala institucional. Puede ser mal utilizada o divulgada. Puede estar sujeta a robos, sabotaje o fraudes Ing. Gladys Ormachea Meja 33. Riesgos para la informacin En la actualidad gracias a la infinidad de posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el mbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informticos son ms latentes. Fraudes. Falsificacin. Venta de informacin. Destruccin de la informacin.Ing. Gladys Ormachea Meja 34. Riesgos para la informacin Principales atacantesHACKER CRACKER LAMMER COPYHACKER BUCANEROS PHREAKER NEWBIE SCRIPT KIDDIE (Skid kiddie) Ing. Gladys Ormachea Meja 35. El manejo de riesgos dentro de la seguridad en la informacin Evitar No se permite ningn tipo de exposicin. Esto se logra simplemente con no comprometerse a realizar la accin que origine el riesgo. Esta tcnica tiene ms desventajas que ventajas, ya que la empresa podra abstenerse de aprovechar muchas oportunidades.Reducir Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa puede ser su reduccin hasta el nivel ms bajo posible. Esta opcin es la ms econmica y sencilla. Se consigue optimizando los procedimientos, la implementacin controles y su monitoreo constante.Ing. Gladys Ormachea Meja 36. El manejo de riesgos dentro de la seguridad en la informacin Retener, Asumir o Aceptar el riesgo. Aceptar las consecuencias de la ocurrencia del evento. Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de asumirlas perdidas involucradas, esta decisin se da por falta de alternativas. La retencin involuntaria inconscientemente.sedacuandoelriesgoesretenidoTransferir. Es buscar un respaldo y compartir el riesgo con otros controles o entidades. Esta tcnica se usa ya sea para eliminar un riego de un lugar y transferirlo a otro, para minimizar el mismo, compartindolo con otras entidades Ing. Gladys Ormachea Meja 37. RIESGOS EN EL CENTRO DE CMPUTO Factores fsicos. Factores ambientales Factores humanosIng. Gladys Ormachea Meja 38. Factores fsicos. Cableado. La iluminacin El aire de renovacin o ventilacin Las fuentes de alimentacin.Ing. Gladys Ormachea Meja 39. Factores ambientales Incendios. Inundaciones. Sismos. Humedad.Ing. Gladys Ormachea Meja 40. Factores humanos Robos. Actos vandlicos. Actos vandlicos contra el sistema de red Fraude. Sabotaje. Terrorismo.Ing. Gladys Ormachea Meja 41. RIESGO, EVIDENCIA Y PRUEBAS SUSTANTIVASIng. Gladys Ormachea Meja 42. Riesgo Es la probabilidad de que suceda un evento, impacto o consecuencia adversos. Se entiende tambin como la medida de la posibilidad y magnitud de los impactos adversos, siendo la consecuencia del peligro, y est en relacin con la frecuencia con que se presente el evento.Ing. Gladys Ormachea Meja 43. Evidencia El auditor obtendr la certeza suficiente y apropiada a travs de la ejecucin de sus comprobaciones de procedimientos para permitirle emitir las conclusiones sobre las que fundamentar su opinin acerca del estado del sistema Informtico.Ing. Gladys Ormachea Meja 44. Evidencia La fiabilidad de la evidencia est en relacin con la fuente de la que se obtenga interna y externa, y con su naturaleza, es decir, visual, documental y oral.Ing. Gladys Ormachea Meja 45. Evidencia La Evidencia es la base razonable de la opinin del auditor informtico, es decir el informe de Auditoria Informtica.Ing. Gladys Ormachea Meja 46. Puntos para evaluar la fiabilidad de la evidencia 1. La evidencia externa es ms fiable que la interna. 2. La evidencia interna es ms fiable cuando los controles internos relacionados con ellos son satisfactorios. 3. La evidencia obtenida por el propio auditor es ms fiable que la obtenida por la empresa. 4. La evidencia en forma de documentos y manifestaciones escritas es ms fiable que la procedente de declaraciones orales. 5. El auditor puede ver aumentada su seguridad como la evidencia obtenida de diferentes fuentes. 6. Debe existir una razonable relacin entre el costo de obtener una evidencia y la utilidad de la informacin que suministra.Ing. Gladys Ormachea Meja 47. Puntos para evaluar la fiabilidad de la evidencia La Evidencia tiene una serie de calificativos a saber: La Evidencia Relevante, que tiene una relacin lgica con los objetivos de la auditoria. La Evidencia Fiable, que es valida y objetiva aunque, con nivel de confianza. La Evidencia Suficiente, que es de tipo cuantitativo para soportar la opinin profesional del auditor. La Evidencia Adecuada, que es de tipo cualitativo para afectar las conclusiones del auditor.Ing. Gladys Ormachea Meja 48. Mtodos para la evidencia de auditora La Inspeccin: consiste en la revisin de la coherencia y concordancia de los registros, as como en el examen de los documentos y activos tangibles. La observacin: consiste en ver la ejecucin de un proceso o procedimiento efectuado por otros. Las preguntas: obtienen informacin apropiada de las personas de dentro y fuera de la entidad. Las confirmaciones: mediante ellas se obtiene corroboracin, normalmente por escrito, de una informacin contenida en los registrosIng. Gladys Ormachea Meja 49. Mtodos para la evidencia de auditora Los clculos: comprueban la exactitud aritmtica de los registros y de los clculos y anlisis realizados por la entidad o en la realizacin de clculos independientes. En principio, las pruebas son de cumplimiento o sustantivas.Ing. Gladys Ormachea Meja 50. 3. CONTROL INTERNO Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores oir iregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (AuditoraInformtica-Un Enfoque Prctico-MarioG.Plattini)Ing. Gladys Ormachea Meja 51. Control interno El Informe COSO define el Control Interno como Las normas, los procedimientos, las prcticas y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn.Ing. Gladys Ormachea Meja 52. Control interno En el ambiente informtico, el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales: aquellos que son ejecutados por el personal del rea usuaria o de informticas en la utilizacin de herramientas computacionales. Controles Automticos: son generalmente los incorporados en el software, llmense estos de operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc.Ing. Gladys Ormachea Meja 53. Componentes del Control Interno Entorno de control Evaluacin de riesgos Actividades de control Informacin y comunicacin SupervisinIng. Gladys Ormachea Meja 54. Actividades de Control Son las polticas y procedimientos que ayudan a asegurar que se toman las medidas para limitar los riesgos que pueden afectar que se alcancen los objetivos organizacionales.Ing. Gladys Ormachea Meja 55. Informacin y Comunicacin Se debe identificar, ordenar y comunicar en forma oportuna la informacin necesaria para que los empleados puedan cumplir con sus obligaciones. La informacin puede ser operativa o financiera, de origen interno o externo. Deben existir adecuados canales de comunicacin. El personal debe ser informado de la importancia de que participe en el esfuerzo de aplicar el control interno.Ing. Gladys Ormachea Meja 56. Supervisin Debe existir un proceso que compruebe que el sistema de control interno se mantiene en funcionamiento a travs del tiempo. La misma tiene tareas permanentes y revisiones peridicas. Estas ltimas dependern en cuanto a su frecuencia de la evaluacin de la importancia de los riesgos en juego.Ing. Gladys Ormachea Meja 57. El Control Interno Informtico Sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados. (Auditora Informtica-Aplicaciones en Produccin-Jos Dagoberto Pinilla)Ing. Gladys Ormachea Meja 58. Control Interno Informtico El control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o direccin de informtica, as como los requerimientos legales.Ing. Gladys Ormachea Meja 59. Control Interno Informtico La misin del Control Interno Informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y validas.Ing. Gladys Ormachea Meja 60. Principales Objetivos Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas Colaborar y apoyar el trabajo de Auditora Informtica interna/externa. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informtico. Ing. Gladys Ormachea Meja 61. Funciones especficas Difundir y controlar el cumplimiento de las normas, estndares y procedimientos al personal de programadores, tcnicos y operadores. Disear la estructura del Sistema de Control Interno de la Direccin de Informtica en los siguientes aspectos: Desarrollo y mantenimiento del software de aplicacin. Explotacin de servidores principales Software de Base Redes de Computacin Seguridad Informtica Licencias de software Cultura de riesgo informtico en la organizacin Control interno informtico (reas de aplicacin)Ing. Gladys Ormachea Meja 62. Clasificacin de los controles internos informticos Controles Preventivos: Sirve para tratar de evitar un evento no deseado de todas las reas de departamento como son: Equipo de cmputo, sistemas, telecomunicaciones. Ejemplo: contar con un software de seguridad que impida los accesos no autorizados al sistema. Controles Detectivos: trata de descubrir a posteriori errores o fraudes que no haya sido posible evitar los con controles preventivos. Ejemplo (registros de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones).Ing. Gladys Ormachea Meja 63. Clasificacin de los controles internos informticos Controles Correctivos: Tratan de asegurar que se subsanen todos los errores identificados, mediante los controles preventivos; es decir facilitan la vuelta a la normalidad ante una incidencia. Es un plan de contingencia. Ejemplo: Backup supondra un control correctivo.Ing. Gladys Ormachea Meja 64. Sistema de control interno Es el conjunto de todos los elementos en donde lo principal son las personas, los sistemas de informacin, la supervisin y los procedimientos.Ing. Gladys Ormachea Meja 65. Sistema de control interno Este es de vital importancia, y a que promueve la eficiencia, asegura la efectividad, previene que se violen las normas y los principios de general aceptacin.Los directivos de las organizaciones deben crear un ambiente de control, un conjunto de procedimientos de control directo y las limitaciones del control interno.Ing. Gladys Ormachea Meja 66. Sistema de control interno Los controles pueden implantarse a varios niveles diferentes. La evaluacin de los controles de la Tecnologa de la Informacin exige analizar diversos elementos interdependientes. Por ello es importante llegar a conocer bien la configuracin del sistema, con el objeto de identificar los elementos, productos y herramientas que existen para saber dnde pueden implantarse los controles. As como para identificar posibles riesgos.Ing. Gladys Ormachea Meja 67. 4.EL AUDITOR Se llama auditor/a a la persona capacitada y experimentada que se designa por una autoridad competente o por una empresa de consultora, para revisar, examinar y evaluar con coherencia los resultados de la gestin de una dependencia (institucin gubernamental) o entidad (empresa o sociedad) con el propsito de informar o dictaminar acerca de ellas, realizando las observaciones y recomendaciones pertinentes. El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de Informacin.Ing. Gladys Ormachea Meja 68. Auditor interno/externo informtico Ha de revisar los diferentes controles internos definidos en cada una de las funciones informticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a los objetivos definidos por la Direccin de Negocio y la Direccin de Informtica. Informar a la Alta Direccin de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarn acciones que minimicen los riesgos que pueden originarse.Ing. Gladys Ormachea Meja 69. El Nuevo Auditor Lder ISO 20000 La norma ISO/IEC 20000 es el estndar reconocido internacionalmente en gestin de servicios de Tecnologas de la Informacin (TI). Hoy en da, existe generalmente la percepcin de que los servicios de TI no estn alineados con las necesidades y requisitos del negocio. Una manera de demostrar que los servicios de TI estn cumpliendo con las necesidades del negocio es implantar un Sistema de Gestin de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000.Ing. Gladys Ormachea Meja 70. Papel Del Auditor Informtico Si se entiende que la auditoria informtica comprende las tareas de evaluar, analizar los procesos informticos, el papel de auditor debe estar encaminado hacia la bsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas.Ing. Gladys Ormachea Meja 71. Papel Del Auditor Informtico El auditor Informtico debe estar capacitado en los siguientes aspectos: Deber ver cuando se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones mas idneas, segn los problemas detectados en el sistema informtico, siempre y cuando las soluciones que se adopten no violen la ley ni los principios ticos.Ing. Gladys Ormachea Meja 72. Papel Del Auditor Informtico Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los requisitos mnimos, aconsejables y ptimos para su adecuacin con la finalidad de que cumpla para lo que fue diseado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos. El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente onerosas, daina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases cientficas insuficientemente probadas o de imprevisible futuro.Ing. Gladys Ormachea Meja 73. Papel Del Auditor Informtico El auditor al igual que otros profesionales pueden incidir en la toma de decisiones en la mayora de sus clientes con un elevado grado de autonoma, dado la dificultad prctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos tcnicos existente entre al auditor y los auditados (Puede pesar gravemente). El auditor deber prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposicin, impidan o dificulten seriamente la realizacin de la auditoria deber negarse a realizar hasta que se le garantice un mnimo de condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes.Ing. Gladys Ormachea Meja 74. Papel Del Auditor Informtico El auditor tanto en sus relaciones con el auditado como con terceras personas deber en todo momento, deber actuar conforme a las normas implcitas o explcitas de dignidad de la profesin y de correccin en el trato personal. El auditor deber facilitar e incrementar la confianza de auditado en base a una actuacin de transparencia, en su actividad profesional sin alardes cientfico- tcnico, que, por su incomprensin, pueden restar credibilidad a los resultados obtenidos y a las directrices aconsejadas.Ing. Gladys Ormachea Meja 75. Caractersticas del Auditor Informtico 1) Se deben poseer una mezcla de conocimientos de auditora financiera y de informtica en general. En el rea informtica, se debe tener conocimientos bsicos de: Desarrollo de SI, Sistemas operativos, Telecomunicaciones, Administracin de Bases de Datos, Redes locales, Seguridad fsica, Administracin de Datos, Automatizacin de oficinas (ofimtica), Comercio electrnico, de datos, etc.2) Especializacin en funcin de la importancia econmica que tienen distintos componentes financieros dentro del entorno empresarial.Ing. Gladys Ormachea Meja 76. Caractersticas del Auditor Informtico 3) Debe conocer tcnicas de administracin de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen.4) Debe tener un enfoque de Calidad Total, lo cual har que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad.Ing. Gladys Ormachea Meja 77. Responsabilidad del Auditor Informtico 1. Verificacin del control interno tanto de las aplicaciones como de los SI, perifricos, etc. 2. Anlisis de la administracin de Sistemas de Informacin, desde un punto de vista de riesgo de seguridad, administracin y efectividad de la administracin. 3. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del anlisis de aplicaciones. 4. Auditora del riesgo operativo de los circuitos de informacin 5. Anlisis de la administracin de los riesgos de la informacin y de la seguridad implcita.Ing. Gladys Ormachea Meja 78. Responsabilidad del Auditor Informtico 6. Verificacin del nivel de continuidad de las operaciones. 7. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las consecuencias empresariales que un desfase tecnolgico puede acarrear. 8. Diagnstico del grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de informacin de la empresa 9. Tambin el auditor informtico es responsable de establecer los objetivos de control que reduzcan o eliminen la exposicin al riesgo de control interno.Ing. Gladys Ormachea Meja 79. Principios bsicos del auditor informtico Principio de beneficio del auditado El auditor deber conseguir la mxima eficiencia y rentabilidad de los medios informticos de la empresa auditada. El auditor deber evitar estar ligado a determinados intereses. Principio de calidad El auditor deber prestar servicios con los medios a su alcance. Libertad de utilizacin de los mismos. Condiciones tcnicas adecuadas. Principio de capacidad El auditor debe estar plenamente capacitado para la realizacin de la auditora encomendada. Debe ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditora (sobreestima o subestima).Ing. Gladys Ormachea Meja 80. Principios bsicos del auditor informtico Principio de cautela: El auditor debe evitar que el auditado se embarque en proyectos de futuro fundamentados en intuiciones sobre la evolucin de las nuevas tecnologa de la informacin. Principio de comportamiento profesional Exige al auditor una seguridad en sus conocimientos tcnicos y una clara percepcin de sus carencias (acudiendo a expertos si necesario) dejando constancia de esa circunstancia y reflejando en forma diferenciada, en sus informes y dictmenes, las opiniones y conclusiones propias y las emitidas por los mismo. Debe guardar un escrupuloso respeto por la poltica de la empresa que audita.Ing. Gladys Ormachea Meja 81. Principios bsicos del auditor informtico Principio de concentracin en el trabajo El auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas Nunca copiar conclusiones de otros informes de auditoras pasadas por la acumulacin de trabajo Principio de confianza: El auditor deber facilitar e incrementar la confianza del auditado en base a una actuacin de transparencia en su actividad profesional Principio de criterio propio: El auditor deber actuar con criterio propio y no permitir que este este subordinado al de otros profesionales Principio de discrecin: El auditor deber mantener una cierta discrecin en la divulgacin de datosIng. Gladys Ormachea Meja 82. Principios bsicos del auditor informtico Principio de economa: El auditor deber proteger los derechos econmicos del auditado evitando generar gastos innecesarios Principio de formacin continuada: Impone al auditor la obligacin de estar en contnua formacin. Principio de fortalecimiento y respeto a la profesin Los auditores han de cuidar del valor de trabajo realizado y de las conclusiones obtenidas Principio de independencia El auditor debe exigir una total autnoma e independencia en su trabajo.Ing. Gladys Ormachea Meja 83. Principios bsicos del auditor informtico Principio de informacin suficiente: Obliga al auditor aportar en forma clara, precisa e inteligible para el auditado la informacin Principio de integridad moral Obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales, de justicia y probidad, y a evitar participar en actos de corrupcin personal o a terceras personas. Principio de legalidad El auditor deber evitar utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la contravencin de la legalidad vigente Principio de libre competencia Exige que el ejercicio de la profesin se realice en el marco de la libre competencia.Ing. Gladys Ormachea Meja 84. Principios bsicos del auditor informtico Principio de no discriminacin El auditor en su actuacin antes, durante y despus de la auditora, deber evitar inducir, participar o aceptar situaciones discriminatorias de ningn tipo.Principio de no injerencia El auditor deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar cierto desprestigio de su calificacin profesional.Principio de precisin Exige del auditor la no conclusin de su trabajo hasta estar convencido de la viabilidad de sus propuestas.Principio de secreto profesionalLa confidencia y la confianza son caractersticas esenciales de las relaciones entre el auditor y el auditado, e imponen al primero la obligacin de guardar en secreto los hechos e informaciones que Ing. Gladys Ormachea Meja conozca en el ejercicio de su actividad profesional. 85. Principios bsicos del auditor informtico Principio de veracidad El auditor en sus comunicaciones con el auditado deber tener siempre presente la obligacin de asegurar la veracidad de sus manifestaciones con los lmites impuestos por los deberes de respeto, correccin y secreto.Principio de servicio pblico Incitar al auditor a hacer lo que est en su mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales como los que pueden producirse en los casos en que, durante la ejecucin de la auditora, descubra elementos de software dainos (virus) que puedan propagarse a otros sistemas informticos diferentes al auditado.Ing. Gladys Ormachea Meja