Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Asignatura:
AI 220 AUDITORIA EN INFORMATICA.
Lic. Adalberto Sierra
9531-0717
adalsierrar@gmail.com
Ciudad Universitaria, Jos Trinidad Reyes
Tegucigalpa, MDC.
Objetivos de la Asignatura
GENERAL
Desarrollar en el estudiante las competencias necesarias para
administrar el riesgo y seguridad en las empresas
infotecnolgicas.
ESPECFICOS
- Establecer las bases de las polticas de seguridad y
administracin del riesgo en los centros de infotecnologa.
- Comprender esquemas de seguridad.
- Conocer normas internacionales de auditoria, aplicables a los
centros de datos.
Jornalizacion de contenidos
Parcial
I
Objetivos
1.
2.
3.
4.
Conocer el papel
del auditor de
sistemas dentro de
las empresas.
Conceptos y
metodologas de la
auditoria en
sistemas.
Evaluar lo
aprendido.
Revisar y discutir
examen.
Contenido
1.
2.
3.
4.
5.
6.
Importancia de la
auditoria
informtica.
Importancia de la
seguridad de la
informacin.
El perfil del auditor
informtico.
Funciones del
auditor de sistemas.
Procedimientos
generales de
auditoria.
Controles de
auditoria
45%
Proyecto
40%
Tareas e Investigaciones
15%
Total
100%
Desarrollo de la Clase
Conceptos Bsicos de Auditora Informtica
Justificacin.
Objetivos.
Ejemplos de Auditorias.
Primero: Qu es la auditoria?
Auditoria
La palabra auditora viene del latn auditorius y de esta proviene
auditor, que tiene la virtud de or y revisar cuentas, pero debe estar
encaminado a un objetivo.
Auditor
Es la persona capacitada para realizar auditoras en empresas o
Auditar
Consiste principalmente en estudiar los mecanismos de
control
que
estn
implantados
en
una
empresa
unos
determinados
objetivos
estrategias,
Justificacin de la Auditoria
Recursos
TIC
Principios de Auditoria.
Con referencia a la
auditoria:
Auditoria Externa.
Jos Lpez (2008), dice que se realiza por personas ajenas a
la empresa, ya que esta contrata un servicio para auditar su
sistema de informacin por personas externas a la empresa.
Muoz Carlos (2000), expreso que es la revisin
independiente que realiza un profesional de la auditoria, con
total libertad de criterio y sin ninguna influencia, con el
propsito de evaluar el desempeo de las actividades,
operaciones y funciones que se realizan en la empresa que lo
contrata, as como de la razonabilidad en la emisin de sus
resultados financieros.
Auditoria Interna.
Segn Carmen Heredero (2008), Es realizada por una entidad
funcional perteneciente a la propia estructura organizacional
de la empresa y como contraprestaciones reciben una
remuneracin econmica.
Por otro lado Muoz Carlos (2000), refiere la auditoria interna
con el objetivo de obtener un dictamen interno sobre las
actividades de toda la empresa, que permita diagnosticar la
actuacin administrativa, operacional y funcional de
empleados y funcionarios de las reas que auditen.
Auditora Financiera(Contable).
Auditora Administrativa.
Auditora Ocupacional.
Auditora Integral.
Auditora Gubernamental.
Auditora de Sistemas.
Auditora Informtica
Consiste en verificar el funcionamiento de un sistema de
informacin, aplicando una serie de conocimientos, tcnicas y
mtodos con el propsito de examinar la operatividad del
sistema.
Jos de Jess Aguirre Bautista nos dice: La Auditora en
informtica se refiere a la revisin prctica que se realiza
sobre los recursos informticos con que cuenta una entidad
con el fin de emitir un informe o dictamen sobre la situacin en
que se desarrollan y se utilizan esos recursos.
Utilizacin de estndares.
Auditora de planificacin
Auditor Informtico
Auditor Informtico
Auditor Informtico:
Es un profesional dedicado al anlisis de
sistemas de informacin e informticos que
est especializado en algunas de las
mltiples ramas de la auditoria informtica,
que tiene conocimientos generales y que
adems posea las caractersticas necesarias
para actuar como consultor con su auditado,
dndole ideas de cmo enfocar la
construccin de los elementos de control y
de gestin y actuar como consejero en la
organizacin en la que est desarrollando su
labor.
NO DESEABLES
Agresivo
Autoritario
Deshonesto
Fcil de influenciar
Indeciso
Inmaduro
No sabe planear
Poco comunicativo
Poco profesional
Poco razonable
Polmico
Terco
Seguridad Informtica
Objetivos
Explicar la importancia de la informacin como activo
estratgico.
Seguridad Informtica
Conceptos:
Como consecuencia de la amplia difusin de la tecnologa
informtica, la informacin:
Seguridad Informtica
Conceptos:
La Seguridad Informtica (S.I.) es la disciplina que se ocupa de
disear las normas, procedimientos, mtodos y tcnicas,
orientados a proveer condiciones seguras y confiables, para el
procesamiento de datos en sistemas informticos.
La decisin de aplicarlos es responsabilidad de cada usuario.
Las consecuencias de no hacerlo tambin.
2. Integridad
3. Disponibilidad
Receptor
Emisor
Atacante
Receptor
Emisor
Atacante
Receptor
Emisor
Atacante
Receptor
Emisor
Atacante
Receptor
Emisor
Atacante
Riesgos
Riesgo:
La posibilidad de que ocurra un acontecimiento que tenga impacto
en el alcance de los objetivos. El riesgo se mide en trminos de
impacto y probabilidad.
Por otro lado, peligro es la potencialidad de ocurrencia de un dao,
prdida o lesin.
Tipos de Riesgo
Tipos de Riesgo
Logro de
Objetivos
Ineficacia
por
exposicin
Ineficacia por
controles
Bajo
Desinformado
-
Gerenciado
Controles
Obsesionado
+
Conceptos
Gobierno
La combinacin de procesos y estructuras implantados por el
Consejo de Administracin para informar, dirigir, gestionar y vigilar
las actividades de la organizacin con el fin de lograr sus objetivos.
Control Interno
Concepto fundamental de la administracin y control, aplicable en
las entidades del Estado para describir las acciones que
corresponde adoptar a sus titulares y funcionarios para preservar,
evaluar y monitorear las operaciones y la calidad del servicio.
Conceptos
Mapa de Riesgos
Representacin grfica (usualmente en cuadrantes) de los riesgos
de una entidad/proceso/procedimiento, conforme a un criterio de
probabilidad e impacto
Gestin de Riesgos
un proceso para identificar, evaluar, manejar y controlar
acontecimientos o situaciones potenciales, con el fin de
proporcionar un aseguramiento razonable respecto del alcance de
los objetivos de la organizacin.
Conceptos
Apetito por el riesgo
Medio
Excediendo
el Apetito de
Riesgo
Dentro del
Apetito de
Riesgo
Bajo
Impacto
Alto
Bajo
Medio
Probabilidad
Alto
Conceptos
Tolerancia al riesgo
El nivel de variacin que la organizacin est dispuesta a asumir
en caso de desviacin a los objetivos empresariales trazados
Estrategia de negocio
Variacin
Inaceptable
Lmite de
tolerancia
Desempeo
Real
Meta Fijada
Lmite de
tolerancia
Variacin
Inaceptable
Tiempo
Identificacin de Riesgos
Esta etapa busca identificar los riesgos que deben ser
gestionados
Riesgo que no sea identificado, es excluido en cualquier
anlisis posterior
Qu puede suceder: impida el logro de los objetivos o
responsabilidades asignadas, afecte la eficiencia de mis
funciones, genere prdidas (tiempo, imagen, recursos, etc.)
Los riesgos se identifican independientemente de que estn
bajo el control de la entidad o no
Herramientas y Tcnicas
de identificacin de riesgos
Tcnicas de Recopilacin de
Informacin
Tormenta de Ideas
Tcnicas de Diagramacin
Diagrama causa/efecto
Tcnica Delphi
Cuestionarios y encuesta
Entrevistas
Anlisis FODA
Diagramas de Influencia
Niveles de Riesgo
Bajo: Requiere monitoreo peridico a fin de mantener los riesgos
en este nivel (Nivel 1)
Criterios Fundamentales:
Incumplimiento parcial de normas y procedimientos internos
dentro del perodo evaluado. (no repetitivo)
Niveles de Riesgo
Moderado: Requiere atencin de la gerencia (Nivel 2)
Criterios Fundamentales:
Incumplimiento reiterativo de procedimientos internos dentro del
perodo evaluado
Desactualizacin de normas y procedimientos internos
relacionados con la administracin de activos.
Equivalente nivel de Riesgo/Madurez:
3 - Implementado
Niveles de Riesgo
Alto: Requiere atencin urgente de las gerencias responsables
(Nivel 3)
Criterios Fundamentales:
Afectacin al cumplimiento de los objetivos operativos
Atencin y servicio al cliente (trascendencia pblica local)
Prdidas y multas por incumplimiento de normativas internas y
externas.
Omisin en la aplicacin de controles crticos en los procesos
operativos y de soporte.
Carencia de normas y procedimientos internos relacionados con
la administracin de activos y recursos.
Omisin en la implantacin de recomendaciones en dos
perodos consecutivos.
Equivalente nivel de Madurez:
2 En Proceso
Niveles de Riesgo
Extremo: Requiere atencin urgente de la alta direccin (Nivel 4)
Criterios Fundamentales:
Afectacin al cumplimiento de los objetivos estratgicos
Afectacin de la imagen institucional (trascendencia pblica a
nivel nacional)
Interrupcin de las operaciones que afecten la prestacin de los
servicios y que generen un efecto econmico negativo.
Fraudes: robos e irregularidades internacionales
Omisin en la aplicacin de controles crticos en los procesos
estratgicos, operativos y soporte
Equivalente nivel de Madurez:
1 Inexistente / Inicial
Anlisis de Riesgos
El anlisis de riesgos involucra prestar consideracin a las
fuentes de riesgos, sus consecuencias y las probabilidades de
que puedan ocurrir esas consecuencias
Implica
determinar:
fuentes
del
riesgo,
posibilidad,
consecuencias, responsables, acciones.
Se deben identificar los controles o acciones que ayuden a
minimizarlos
Cualitativos. El anlisis cualitativo utiliza formatos de palabras o
escalas descriptivas para describir la magnitud de las
consecuencias potenciales y la probabilidad de que esas
consecuencias ocurran.
Cuantitativos. Uso de datos numricos para la determinacin de
los riesgos.
NIVEL DE IMPACTO
Descripcin
Concepto
Nivel
Descripcin
Concepto
Impro bable
Insignificante
P o co pro bable /
Raro
M eno r
P ro bable
P ro bablemente o curriria en la
mayo ria de circunstancias
M o derado
P o tencial
M ayo r
El desarro llo del pro ceso es afectado significativamente P rdida financiera mayo r
Casi cierto
Catastro fico
IMPACTO
Modera do
Al to
Al to
Extremo
Extremo
Mayor
Modera do
Modera do
Al to
Extremo
Extremo
Moderado
Ba jo
Modera do
Al to
Al to
Al to
Menor
Ba jo
Modera do
Modera do
Modera do
Al to
Insignificante
Ba jo
Ba jo
Ba jo
Modera do
Modera do
Ra ra vez
Oca s i ona l
Poco
frecuente
FRECUENCIA
Frecuente
Muy frecuente