Clase 1 PDF

AUDITORIA DE SISTEMAS
AUDITORÍA Y SEGURIDAD DE
TECNOLOGÍAS DE INFORMACIÓN
MOTIVACIÓN
• ¿Qué riegos importantes existen en una
organización?
• ¿Cómo influye una mala información en las
organizaciones?
• ¿Cuál es el activo mas importante de una
empresa?
• ¿Cuál es el rol actual de las TI en una
empresa?
TECNOLOGÍAS de la
INFORMACIÓN
RIESGOS
ITGI
•Presión para incroporar tecnología en estrategias empresariales
•Aumento de la complejidad de los entornos de TI
•Infraestructuras TI fragmentadas
•Brecha de comunicación entre directivos y gerentes TI
•Niveles de servicio de TI decepcionantes tanto por parte de las
funciones internas de TI como los proveedores externos
•Costes de TI fuera de control
•Productividad y ROI marginales sobre inversiones en TI
•Inflexibilidad organizacional
•Frustración por parte de los usuarios, dando lugar a soluciones ad-hoc
ITGI
• Dependencia creciente de la información y los sistemas que la
gestionan
• Vulnerabilidades crecientes y amplio espectro de amenazas
• Escalado y coste de las inversiones actuales y futuras de la
información y los sistemas de información
• Necesidad de cumplir con leyes y regulaciones
• Potencial de las TI para cambiar espectacularmente las
organizaciones y las prácticas empresariales, crear nuevas
oportunidades y reducir costes
• Reconocimiento por parte de muchas organizaciones de los
beneficios potenciales que las TI pueden aportar
Gestión de los SI
Control y evaluación
de esta gestión
Para asegurar que las

 TI proporcionan valor
 Coste, tiempo, funcionalidad esperados
 TI no proporcionan sorpresas
 Riesgos mitigados
 TI contribuyen al negocio
 Nuevas oportunidades e innovaciones en
productos, procesos y servicios
la dirección necesita tener las TI bajo control

La Auditoría de Sistemas de Información

nace como un
mecanismo
para valorar y evaluar
LA CONFIANZA
que se puede depositar en los

sistemas de información
AUDITORÍA
Proceso sistemático de obtención y evaluación
objetiva acerca de aseveraciones efectuadas por
terceros referentes a hechos y eventos de naturaleza
económica, para testimoniar el grado de
correspondencia entre tales afirmaciones y un
conjunto de criterios convencionales, comunicando
los resultados obtenidos a los destinatarios y
usuarios interesados
American Accounting Association
AUDITORÍA DE SISTEMAS
La auditoría de los sistemas se define como un tipo de
auditoría que abarca la revisión y evaluación de los
sistemas automáticos de procesamiento de la
información, incluidos los procedimientos no
automáticos relacionados con ellos, para determinar si
se salvaguardan adecuadamente los activos, se
mantienen la integridad de los datos, se provee
información confiable, se consumen los recursos de
manera eficiente y se alcanza las metas de la
organización.
Fuente: ISACA
la AUDITORIA de SI es el
PROCESO
de RECOGER, AGRUPAR y EVALUAR
EVIDENCIAS
para
DETERMINAR
si un SISTEMA INFORMATIZADO
SALVAGUARDA los ACTIVOS,
mantiene la INTEGRIDAD de los DATOS,
lleva a cabo
los FINES de la ORGANIZACIÓN
y UTILIZA EFICIENTEMENTE los RECURSOS
La responsabilidad en último extremo, en una

empresa sobre la optimización de la calidad de
los SI, y la rentabilidad de los recursos
informáticos la tiene:
1. La Dirección de la empresa
2. El auditor de SI interno
3. El responsable de las Tecnologías de la
Información
4. El vendedor del software y el hardware
Un Auditor de Sistemas de Información debe,

entre sus responsabilidades, realizar:
1. La redacción de los procedimientos de

control en el área de seguridad lógica
2. La aprobación de nuevos sistemas de
gestión
3. Evaluar los riesgos de los sistemas de
información
4. Las pruebas del plan de continuidad
del negocio
OBJETIVOS
AUDITORÍA de
SI/TIC OPINIÓN
INDEPENDIENTE
APOYO a la DIRECCIÓN
CONTROL INTERNO
La Auditoría de Sistemas de Información

se define como cualquier auditoría que
abarca la
REVISIÓN y EVALUACIÓN de
todos los aspectos
(o alguna sección/área) de los sistemas
automatizados de procesamiento de
información, incluyendo procedimientos
relacionados no automáticos, y las
interrelaciones entre ellos
Information Systems Audit & Control Association

Se debe DISTINGUIR claramente entre:
Utilización de medios informáticos en la

realización de una Auditoría
Realización de supervisión o control

rutinario informático dentro del entorno
de sistemas de información
Consultoría en áreas de sistemas de
información, seguridad, calidad, etc.
Diagnósticos de la fortaleza o seguridad

de ciertos mecanismos de seguridad
como “pruebas de intrusismo”, etc.
De
una Auditoría de Sistemas de

Información
que implica
la EVALUACIÓN y EMISIÓN de una
OPINIÓN OBJETIVA e INDEPENDIENTE
sobre la
FIABILIDAD de un sistema de información
Entre otros alcances, la evaluación de:
 Procedimientos organizativos y
operativos
 Sistemas en producción y participación
en nuevos desarrollos
 La confidencialidad
 La integridad de la Información
 Eficiencia o de eficacia de los SI
 Cumplimiento Legal y Normativo
etc.
OB
ASPECTOS A CONTROLAR
J • El Proyecto de Desarrollo de Sistemas esté enmarcado dentro del
E Plan General de Sistemas
T • Eloperativo
Cronograma del Proyecto sea realista y el Sistema esté
en forma oportuna, de acuerdo a las necesidades de la
Institución.
I
• Se aplique la Metodología de Desarrollo de Sistemas
V
• Exista un control permanente de la consistencia y confiabilidad de
O los Sistemas Informáticos.
S • La Calidad del Sistema producido, permita una óptima
operatividad del mismo
ASPECTOS A CONTROLAR
• La tecnología utilizada sea la más adecuada a los fines del
sistema y permita una vida útil satisfactoria para la inversión
realizada.
• Los Costos, tanto del desarrollo como de su operación y

mantenimiento, sean los planificados y exista un retorno de la
inversión
• Se hayan logrado los beneficios esperados

INSTRUMENTOS DE CONTROL
• Documentación de las Sub-etapas del Desarrollo e
Implantación de Sistemas.
• Reuniones de Revisión Técnica.
• Benchmark o pruebas del sistema.
• Formularios de Control.
TIPOS DE AUDITORIA
AUDITORÍA EXTERNA
AUDITORÍA INTERNA
CONTROL
INTERNO
SOFTWARE
DATOS
AUDITORIA de SI INTERNA
Actúa de forma continua y periódica,
dentro de una planificación a corto y largo
plazo, que permite incluir todas y cada una
de las áreas relacionadas con TI
VENTAJA: formación en el concepto de
control de los auditados, y el seguimiento de
la implantación de las recomendaciones
VALOR AÑADIDO: actúa como control

preventivo, contribuyendo a evitar que la
empresa incurra en pérdidas o costes elevados
AUDITORÍA de SI EXTERNA
Su primera ventaja es la independencia

de opinión del auditor, y que además
puede aportar conocimientos técnicos que
aun no se han desarrollado en la empresa,
o que la empresa no tiene posibilidad de
sustentar
Suele solicitarse cuando la empresa
detecta síntomas de riesgos de
seguridad, en temas de eficiencia/ eficacia
de los sistemas de información, o por
requerimientos legales
Un Auditor de SI depende jerárquicamente del Director de

Tecnologías de la Información. ¿Cuál de las siguientes
es cierta con relación a esta situación?
1. Esta situación no permitirá alcanzar los objetivos de

auditoría de SI, ya que no existe la independencia
necesaria
2. El auditor de SI debe depender jerárquicamente de la
Dirección Financiera
3. Para asegurar la independencia, la auditoría de SI debe
ser externa
4. Esta situación es la adecuada para asegurar los
conocimientos técnicos del auditor
CONTROL INTERNO
Control Objectives for related

Information Technology - COBIT
INFORME COSO
GMITS (ISO/IEC 13335-x),
ISO 17799
Common Criteria (ISO 15408)
ASOCIACIONES PROFESIONALES,
USUARIOS, FABRICANTES
MODELO DE RIESGO (*)
RIESGOS
VULNERABILIDAD IMPACTO
PROTECCION (**)
(*) Basado en el modelo "Infosec"(ref. 92/242/ECC)

(**) Incluye los conceptos de control y auditoría de sistemas de información
RIESGO
La probabilidad de que
se dé un error,
falle un proceso,
o tenga lugar un hecho negativo
para la empresa u organización,

incluyendo la posibilidad de fraudes
C
O el MECANISMO o
N PROCEDIMIENTO
T que EVITA o
R
O PREVIENE un RIESGO
L
“el sistema de control interno en TI está

constituido por
 las políticas,
 procedimientos,
 prácticas y estructuras organizativas
diseñadas para proveer
una seguridad razonable
que los objetivos empresariales o de
negocio serán alcanzados o logrados y que
los sucesos indeseados serán detectados,
prevenidos y corregidos”
COBIT (Governance, control and Audit for Information and Related Technology)
Riesgos y controles
en procesos operativos
MANUALES
Riesgos y controles
en procesos operativos
AUTOMATIZADOS
CONTROLES
CONTROL INTERNO
Revisión periódica de
procedimientos de controles
establecidos
Detección de riesgos
Seguimiento de errores o irregularidades

dificultad para implantar una

adecuada segregación de
funciones
obtención de evidencias o pistas
de auditoría relevantes, fiables
y eficientes
complejidad tecnológica
SEGREGACIÓN de FUNCIONES
Establecer una división de

roles y responsabilidades
que excluyan la posibilidad
que una SOLA PERSONA

PUEDA DOMINAR un
PROCESO CRÍTICO
¿Cuál de las siguientes tareas pueden ser

realizadas por la misma persona en un centro
de cómputo de procesamiento de información
bien controlado?
1. Administración de seguridad y admin. de cambios

2. Operaciones de cómputo y desarrollo de sistemas
3. Desarrollo de sistemas y admin. de cambios
4. Desarrollo de sistemas y mantenimiento de
sistemas
¿Cuál de las siguientes controles es el más

crítico sobre la administración de bases
de datos?
1. Aprobación de las actividades del DBA

2. Segregación de funciones
3. Revisión de los registros de acceso y actividades
4. Revisión del uso de las herramientas de bases de
datos
¿Cuál de las siguientes funciones es más

probable que sea realizada por el
administrador de seguridad?
1. Aprobar la política de seguridad

2. Probar el software de aplicación
3. Asegurar la integridad de los datos
4. Mantener las reglas de acceso
VOLATILIDAD Y FACILIDAD de
MANIPULACIÓN de
las EVIDENCIAS,
los REGISTROS y
los PROCESOS
Las características estructurales

de los controles están evolucionando
a la misma velocidad y en la misma forma
de cambio acelerado, que están
experimentando las tecnologías
Ejercicio continuado de investigación

aplicada a los controles en TI
POLITICAS
Provienen de la Dirección
Generalmente abarcan
objetivos, las metas, filosofías,
códigos éticos, y los esquemas
de responsabilidades
No admiten desviaciones
PROCEDIMIENTOS
• Brindan los pasos específicos

necesarios para lograr las metas
• Son las medidas o dispositivos
necesarias para lograr las directrices
de las políticas
Evolucionan con la tecnología, la

estructura organizativa, y se
componen de medidas organizativas y
técnicas
En la definición de los controles
OBJETIVO DEFINIDO de cada

MECANISMO DE CONTROL
Interdependencia y conexión con

otros controles
EVIDENCIAS
En los aspectos organizativos

SEGREGACIÓN de FUNCIONES
IDENTIFICACIÓN de
RESPONSABILIDAD
INDEPENDENCIA de la
SUPERVISIÓN
 La Dirección deberá decidir

sobre el nivel de riesgo que está dispuesta a
aceptar, ello implica equilibrar el riesgo y
el costo
 Los usuarios de los servicios de

T.I. tienen una necesidad creciente
de disponer de una
SEGURIDAD RAZONABLE
CONTROLES versus COSTE/BENEFICIO

de los CONTROLES
Todo control y medida preventiva implica un coste

monetario para su
IMPLANTACIÓN y MANTENIMIENTO
Desembolso que puede evitar pérdidas

mayores en el futuro, y por lo tanto puede dar lugar
a la
RECUPERACIÓN de la INVERSIÓN
NO siempre es fácil IDENTIFICAR y

CUANTIFICAR que riesgos pueden provocar daño
o fraude, y que pérdidas concretas
ESQUEMA BÁSICO
MATERIALIDAD de los RIESGOS
CONTROLES NECESARIOS
COMPARACION de CONTROL versus COSTE
DEFINICIÓN de los CONTROLES

Un auditor de SI está auditando los controles

relativos al despido/retiro de empleados. ¿Cuál
de los siguientes aspectos es el más importante
que debe ser revisado?
1. El personal relacionado de la compañía es notificado

sobre el despido/retiro
2. El usuario y las contraseñas del empleado han sido
eliminadas
3. Los detalles del empleado han sido eliminados de los
archivos activos de la nómina
4. Los bienes de la compañía provistos al empleado han
sido devueltos
Cuando se revisa un acuerdo de nivel de servicio

para un centro de cómputo contratado con
terceros (outsourcing), un auditor de SI
debería PRIMERO determinar que
1. El coste propuesto para los servicios es razonable

2. Los mecanismos de seguridad está especificados en el
contrato
3. Los servicios contratados están basados en un análisis
de las necesidades del negocio
4. El acceso de la auditoría al centro de cómputo esté
permitido conforme al contrato
Un auditor de SI que hace una auditoría de

procedimiento de monitoreo de hardware debe
revisar:
1. reportes de disponibilidad del sistema

2. reportes coste-beneficio
3. reportes de tiempo de respuesta
4. reportes de utilización de bases de datos
Un auditor de SI cuando revisa una red utilizada

para las comunicaciones de Internet,
examinará primero
1. la validez de los casos en que se hayan efectuado

cambios de contraseña
2. la arquitectura de la aplicación cliente/servidor
3. la arquitectura y el diseño de la red
4. la protección de firewall y los servidores proxy

Clase 1 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Clase 1 PDF

Cargado por

Copyright:

Formatos disponibles

AUDITORIA DE SISTEMAS

Para asegurar que las

la dirección necesita tener las TI bajo control

La Auditoría de Sistemas de Información

que se puede depositar en los

La responsabilidad en último extremo, en una

Un Auditor de Sistemas de Información debe,

1. La redacción de los procedimientos de

La Auditoría de Sistemas de Información

Information Systems Audit & Control Association

Se debe DISTINGUIR claramente entre:

Utilización de medios informáticos en la

Realización de supervisión o control

Diagnósticos de la fortaleza o seguridad

una Auditoría de Sistemas de

Entre otros alcances, la evaluación de:

• Los Costos, tanto del desarrollo como de su operación y

• Se hayan logrado los beneficios esperados

VALOR AÑADIDO: actúa como control

Su primera ventaja es la independencia

Un Auditor de SI depende jerárquicamente del Director de

1. Esta situación no permitirá alcanzar los objetivos de

Control Objectives for related

GMITS (ISO/IEC 13335-x),

MODELO DE RIESGO (*)

(*) Basado en el modelo "Infosec"(ref. 92/242/ECC)

para la empresa u organización,

“el sistema de control interno en TI está

Seguimiento de errores o irregularidades

dificultad para implantar una

Establecer una división de

que una SOLA PERSONA

¿Cuál de las siguientes tareas pueden ser

1. Administración de seguridad y admin. de cambios

¿Cuál de las siguientes controles es el más

1. Aprobación de las actividades del DBA

¿Cuál de las siguientes funciones es más

1. Aprobar la política de seguridad

Las características estructurales

Ejercicio continuado de investigación

• Brindan los pasos específicos

Evolucionan con la tecnología, la

En la definición de los controles

OBJETIVO DEFINIDO de cada

Interdependencia y conexión con

En los aspectos organizativos

 La Dirección deberá decidir

 Los usuarios de los servicios de

CONTROLES versus COSTE/BENEFICIO

Todo control y medida preventiva implica un coste

Desembolso que puede evitar pérdidas

NO siempre es fácil IDENTIFICAR y

MATERIALIDAD de los RIESGOS

COMPARACION de CONTROL versus COSTE

DEFINICIÓN de los CONTROLES

Un auditor de SI está auditando los controles

1. El personal relacionado de la compañía es notificado

Cuando se revisa un acuerdo de nivel de servicio

1. El coste propuesto para los servicios es razonable

Un auditor de SI que hace una auditoría de

1. reportes de disponibilidad del sistema

Un auditor de SI cuando revisa una red utilizada

1. la validez de los casos en que se hayan efectuado