ÍNDICEAUDITORÍA DE SISTEMAS DE INFORMACIÓN
1.- INTRODUCCIÓN
2.- OBJETIVOS DE LA ASI
3.- CONTROL INTERNO
4.- METODOLOGÍAS DE ASI
5.- ÁREAS DE REVISIÓN
6.- NORMAS Y REGULACIONES
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
INFORME COSOINFORME COSO
Control Objectives for related Control Objectives for related Information Technology - COBITInformation Technology - COBIT
GMITS (ISO/IEC 13335-x),GMITS (ISO/IEC 13335-x),
Common Criteria (ISO 15408)Common Criteria (ISO 15408)
ASOCIACIONES PROFESIONALES, ASOCIACIONES PROFESIONALES, USUARIOS, FABRICANTESUSUARIOS, FABRICANTES
ISO 17799ISO 17799
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
MODELO DE RIESGOMODELO DE RIESGO (*)(*)
RIESGOSRIESGOS
VULNERABILIDADVULNERABILIDAD IMPACTO IMPACTO
(*) Basado en el modelo "Infosec"(ref. 92/242/ECC)(*) Basado en el modelo "Infosec"(ref. 92/242/ECC)(**) Incluye los conceptos de control y auditoría de sistemas de información(**) Incluye los conceptos de control y auditoría de sistemas de información
PROTECCION PROTECCION (**)(**)
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
RIESGORIESGO
La probabilidad de que La probabilidad de que se dé un error, se dé un error, falle un proceso, falle un proceso, o tenga lugar un hecho o tenga lugar un hecho negativonegativo
para la empresa u organización, para la empresa u organización, incluyendo la posibilidad deincluyendo la posibilidad de
fraudesfraudes
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
el MECANISMO o el MECANISMO o
PROCEDIMIENTO PROCEDIMIENTO
queque EVITA EVITA o o
PREVIENEPREVIENE un RIESGOun RIESGO
CCOONNTTRROOLL
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
““el sistema de control interno en TI está el sistema de control interno en TI está constituido porconstituido por
las políticas, las políticas, procedimientos, procedimientos, prácticas y estructuras organizativasprácticas y estructuras organizativas
diseñadas para proveer diseñadas para proveer una seguridad razonable una seguridad razonable
que los objetivos empresariales o de que los objetivos empresariales o de negocio serán alcanzados o logrados y negocio serán alcanzados o logrados y
que los sucesos indeseados serán que los sucesos indeseados serán detectados, prevenidos y corregidos”detectados, prevenidos y corregidos”
COBIT COBIT (Governance, control and Audit for Information and Related Technology)(Governance, control and Audit for Information and Related Technology)
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Riesgos y controles Riesgos y controles en procesos operativosen procesos operativos
MANUALESMANUALES
Riesgos y controles Riesgos y controles en procesos operativosen procesos operativos
AUTOMATIZADOSAUTOMATIZADOS
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
CONTROLESCONTROLESCOMPLEMENTARIOS
COMPLEMENTARIOS
e e
INTERDEPENDIENTES
INTERDEPENDIENTES
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
CONTROL INTERNOCONTROL INTERNO
Revisión periódica de Revisión periódica de procedimientos de controles procedimientos de controles establecidosestablecidos
Detección de riesgosDetección de riesgos
Seguimiento de errores o irregularidadesSeguimiento de errores o irregularidades
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
dificultad para implantar unadificultad para implantar unaadecuada segregación de adecuada segregación de funcionesfunciones
obtención de evidencias o pistasobtención de evidencias o pistasde auditoría relevantes, fiables de auditoría relevantes, fiables y eficientesy eficientes
complejidad tecnológicacomplejidad tecnológica
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
SEGREGACIÓN de SEGREGACIÓN de FUNCIONESFUNCIONES
Establecer una división de Establecer una división de roles y responsabilidades roles y responsabilidades
que excluyan la posibilidadque excluyan la posibilidad
que unaque una SOLA PERSONA SOLA PERSONA
PUEDA DOMINAR un PUEDA DOMINAR un
PROCESO CRÍTICOPROCESO CRÍTICO
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
¿Cuál de las siguientes tareas pueden ser realizadas por la misma persona en un centro de cómputo de procesamiento de información bien controlado?
1. Administración de seguridad y admón. de cambios
2. Operaciones de cómputo y desarrollo de sistemas
3. Desarrollo de sistemas y admón. de cambios
4. Desarrollo de sistemas y mantenimiento de sistemas
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
¿Cuál de las siguientes controles es el más crítico sobre la administración de bases de datos?
1.Aprobación de las actividades del DBA
2.Segregación de funciones
3.Revisión de los registros de acceso y actividades
4.Revisión del uso de las herramientas de bases de datos
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
¿Cuál de las siguientes funciones es más probable que sea realizada por el administrador de seguridad?
1.Aprobar la política de seguridad
2.Probar el software de aplicación
3.Asegurar la integridad de los datos
4.Mantener las reglas de acceso
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
VOLATILIDAD Y VOLATILIDAD Y FACILIDAD de FACILIDAD de
MANIPULACIÓNMANIPULACIÓN dede
laslas EVIDENCIASEVIDENCIAS,,
loslos REGISTROSREGISTROS yy
los los PROCESOSPROCESOS
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Las características estructurales Las características estructurales de losde los controles están evolucionandocontroles están evolucionando a la misma velocidad y en la misma forma a la misma velocidad y en la misma forma de cambio acelerado, que están de cambio acelerado, que están experimentando las tecnologíasexperimentando las tecnologías
Ejercicio continuado deEjercicio continuado de investigación investigación aplicada a los controlesaplicada a los controles enen TITI
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
No admiten desviacionesNo admiten desviaciones
Provienen de la DirecciónProvienen de la Dirección
POLITICASPOLITICAS
Generalmente abarcanGeneralmente abarcanobjetivos, las metas, filosofías, objetivos, las metas, filosofías, códigos éticos, y los esquemas códigos éticos, y los esquemas de responsabilidadesde responsabilidades
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
PROCEDIMIENTOSPROCEDIMIENTOS
• Brindan los pasos específicosBrindan los pasos específicosnecesarios para lograr las metasnecesarios para lograr las metas
• Son las medidas o dispositivosSon las medidas o dispositivosnecesarias para lograr las directrices necesarias para lograr las directrices de las políticasde las políticas
Evolucionan con la tecnología, la Evolucionan con la tecnología, la estructura organizativa, y se estructura organizativa, y se
componen de medidas organizativas y componen de medidas organizativas y técnicastécnicas
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
En la definición de los controlesEn la definición de los controles
EVIDENCIASEVIDENCIAS
OBJETIVO DEFINIDO de cada OBJETIVO DEFINIDO de cada MECANISMO DE CONTROLMECANISMO DE CONTROL
Interdependencia Interdependencia y conexión con y conexión con otros controlesotros controles
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
SEGREGACIÓN de SEGREGACIÓN de FUNCIONESFUNCIONES
IDENTIFICACIÓN de IDENTIFICACIÓN de RESPONSABILIDADRESPONSABILIDAD
INDEPENDENCIA de la INDEPENDENCIA de la SUPERVISIÓNSUPERVISIÓN
En los aspectos organizativosEn los aspectos organizativos
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
La La DirecciónDirección deberá decidirdeberá decidir
ssobreobre el nivel de riesgoel nivel de riesgo que que está dispuesta a aceptar, elloestá dispuesta a aceptar, ello implicaimplica equilibrarequilibrar elel riesgo riesgo y ely el costocosto
Los usuarios de los servicios deLos usuarios de los servicios deT.I. tienen una necesidad creciente T.I. tienen una necesidad creciente de disponer de unade disponer de una
SEGURIDAD RAZONABLESEGURIDAD RAZONABLE
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
CONTROLES CONTROLES versusversus COSTE/BENEFICIOCOSTE/BENEFICIO de de los CONTROLESlos CONTROLES
Todo control y medida preventiva implica un coste Todo control y medida preventiva implica un coste monetario para sumonetario para su
IMPLANTACIÓNIMPLANTACIÓN yy MANTENIMIENTOMANTENIMIENTO
NO NO siempre essiempre es fácilfácil IDENTIFICARIDENTIFICAR yyCUANTIFICARCUANTIFICAR que riesgos pueden provocar daño que riesgos pueden provocar daño o fraude, y que pérdidas concretaso fraude, y que pérdidas concretas
Desembolso que puede evitar pérdidas Desembolso que puede evitar pérdidas mayores en el futuro, y por lo tanto puede dar mayores en el futuro, y por lo tanto puede dar lugar a lalugar a la
RECUPERACIÓNRECUPERACIÓN de lade la INVERSIÓNINVERSIÓN
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN
ESQUEMA BÁSICOESQUEMA BÁSICO
MATERIALIDAD MATERIALIDAD de losde los RIESGOS RIESGOS
CONTROLES NECESARIOSCONTROLES NECESARIOS
COMPARACIONCOMPARACION de de CONTROLCONTROL versus versus COSTECOSTE
DEFINICIÓN de los CONTROLESDEFINICIÓN de los CONTROLES
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Un auditor de SI está auditando los controles relativos al despido/retiro de empleados. ¿Cuál de los siguientes aspectos es el más importante que debe ser revisado?
1. El personal relacionado de la compañía es notificado sobre el despido/retiro
2. El usuario y las contraseñas del empleado han sido eliminadas
3. Los detalles del empleado han sido eliminados de los archivos activos de la nómina
4. Los bienes de la compañía provistos al empleado han sido devueltos
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Cuando se revisa un acuerdo de nivel de servicio para un centro de cómputo contratado con terceros (outsourcing), un auditor de SI debería PRIMERO determinar que
1. El coste propuesto para los servicios es razonable2. Los mecanismos de seguridad está especificados
en el contrato3. Los servicios contratados están basados en un
análisis de las necesidades del negocio4. El acceso de la auditoría al centro de cómputo
esté permitido conforme al contrato
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Un auditor de SI que hace una auditoría de procedimiento de monitoreo de hardware debe revisar:
1. reportes de disponibilidad del sistema
2. reportes coste-beneficio
3. reportes de tiempo de respuesta
4. reportes de utilización de bases de datos
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Un auditor de SI cuando revisa una red utilizada para las comunicaciones de Internet, examinará primero
1. la validez de los casos en que se hayan efectuado cambios de contraseña
2. la arquitectura de la aplicación cliente/servidor
3. la arquitectura y el diseño de la red
4. la protección de firewall y los servidores proxy
Top Related