Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informática
• Nombres y Apellidos
• Trabajo y posición actual
• ¿Sabes algo del curso?.
• Expectativas del curso
• Normas de convivencia en aula.
• Como te ves en 5 años
Objetivo del Curso
• El hecho de que los controles generales sean adecuados no garantiza que los
controles de aplicación serán también adecuados.
• Si los controles generales son deficientes, muy probablemente los controles de
aplicación serán también deficientes.
GESTION DE LA FUNCION DE AUDITORIA DE TI
Componentes a revisar:
• Procesos
• Servicios
• Puestos
• Funciones
• Recursos/Infraestructura
• Proyectos
• Contratos
ESTANDARES Y DIRECTRICES DE AUDITORIA DE TI
Directrices:
• Estatuto de auditoría de TI.
• Efecto de la participación en el proceso de desarrollo, adquisición, implementación o
mantenimiento en la independencia del Auditor de TI.
• Independencia y relaciones dentro de la organización.
• Consideraciones de auditoría con relación a la ocurrencia de irregularidades.
• Debido cuidado profesional.
• Conceptos de materialidad para Auditoría de Sistemas de Información.
• Planeamiento.
• Planificación de la auditoría de TI.
• Utilización del trabajo de otros auditores y expertos.
ESTANDARES Y DIRECTRICES DE AUDITORIA DE TI
Directrices:
• Utilización de la evaluación de riesgo en la planificación de auditoría.
• Efecto de terceras partes sobre los controles de TI de la organización.
• Documentación de auditoría.
• Revisión de sistemas de aplicación.
• Requerimientos de evidencia de auditoría.
• Muestreo de auditoría.
• Gobierno corporativo de los sistemas de información.
• Uso de las técnicas de auditoría asistida por computador.
• Estructura y contenido de informes.
ESTANDARES Y DIRECTRICES DE AUDITORIA DE TI
• COBIT
• ITIL (Servicios Informáticos)
• ISO 20000 (Servicios Informáticos)
• ISO 31000 (Riesgos de TI)
• ISO 27001 (Seguridad de Información)
• ISO 22301 (Continuidad de Negocios)
ANÁLISIS DE RIESGOS
El riesgo es parte inherente del negocio y, dado que resulta impráctico y costoso
eliminar todos los riesgos, cada organización tiene un nivel de riesgo que acepta.
Al enfrentarse con el riesgo, las organizaciones tienen cuatro opciones estratégicas:
Acceso:
La información pública debe tener acceso de escritura restringido y el acceso de lectura abierto.
ANÁLISIS DE RIESGOS
Identificación de activos
Todo elemento necesario para mantener las actividades de la organización
• Datos, hardware, personal, imagen de la organización
Evaluación de las Amenazas
Evento que puede afectar a los activos de la organización, poniendo en peligro su integridad
Las amenazas dependen del:
• Negocio de la organización, ubicación de la organización, tipo de sistema a proteger
Tipos de amenazas:
• Naturaleza, errores o accidentes, intencionales ( locales o remotas)
Identificar la causa de la amenaza}Identificar el activo afectado por la amenaza
Calcular la probabilidad de que ocurra la amenaza
Resultados:
• Lista de Amenazas
• Activos afectados
• Probabilidad de que ocurra
ANÁLISIS DE RIESGOS - FASES DEL ANÁLISIS DE RIESGOS
Evaluación de Vulnerabilidades
• Ser susceptible de daño o perjuicio
• Agujero o debilidad en la organización
• Una vulnerabilidad , por sí misma, no causa daño
• El impacto es el resultado de la combinación de un activo vulnerable y una amenaza que se
materializa sobre el activo.
• El impacto se mide con una escala cuantitativa [Por ejemplo 1..5]
ANÁLISIS DE RIESGOS - FASES DEL ANÁLISIS DE RIESGOS
Evaluación de Vulnerabilidades
ANÁLISIS DE RIESGOS - FASES DEL ANÁLISIS DE RIESGOS
EN RESUMEN
• Los pasos básicos para desarrollar un programa de administración de riesgos son:
• Establecer el contexto y propósito
• Identificar los activos
• Clasificar los activos
• Identificar las amenazas y las vulnerabilidades
• Determinar los riesgos
• Valuar los impactos
• Priorizar los riesgos
• Tratar los riesgos
• Dar formación a los usuarios
• Monitorear y revisar
• Comunicar y consultar
Preguntas…