¿Qué son sistemas de información? Los sistemas de información nos permiten recolectar, almacenar, recuperar, procesar y distribuir información relevante para los procesos fundamentales y particulares de una organización. Se constituyen en 3 dimensiones Organización / Personal / Tecnología --- Ejemplo: Sistema de información de gestión administrativa (SIGA) SI financiera (SIF) SI para producción (SIP) ¿Qué son tecnologías de la información y comunicaciones? Son tecnologías desarrolladas para una mayor eficiencia en el manejo de la información y las comunicaciones a través de recursos tecnológicos como los son: las computadoras, servidores locales, redes, Internet, servicios. ¿QUÉ ES AUDITORÍA? La auditoría es una disciplina expresada en conceptos, normas, técnicas, procedimientos y metodologías, que tiene como objetivo examinar y evaluar determinada realidad, para emitir una opinión sobre un aspecto o la totalidad del objeto estudiado. AUDITORÍA DE SISTEMAS DE INFORMACIÓN Es el conjunto de técnicas, actividades y procedimientos destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa, ACTIVIDADES DEUN AUDITOR: Obtener resultados garantizando la certidumbre de lo que informa / Emite informe asesorando a la empresa sobre evitar problemas internos/ Informar el estado actual sobre los sistemas y tecnologías de información. OBJETIVOS GENERALES DE LA AUDITORÍA INFORMÁTICA Apoyar en las metas y objetivos de la organización. Conocer la situación actual del área informática. Mejorar la eficacia del área informática protegiendo sus activos y recursos (sugiriendo políticas y normas). Mejorar los estándares y procedimientos. Garantizar los resultados que sean fiables en tiempo, costo y utilidad de los sistemas de información. Mejorar la seguridad de las instalaciones, el hardware, software, los datos y la seguridad del personal. RAZONES PARA LA EXISTENCIA DE LA FUNCIÓN DE AUDITORÍA DE SISTEMAS Existen leyes gubernamentales / políticas internas de la empresa Las operaciones de la empresa dependen cada vez más de la sistematización Los riesgos tienden a aumentar. EVIDENCIAS: El crecimiento del acceso a internet/crecimiento de las redes sociales/Mensajes e-mail maliciosos/Robo de credenciales METODOLOGÍA DE AUDITORÍA: Camino estructurado de forma lógica para asegurar el éxito de la auditoria. Conjunto de etapas que pueden adaptarse para plan y desarrollo de proyectos de auditoria informática. Uso de metodologías, instrumentos y procedimientos operativos tres tipos de metodologías de auditoría informática: ROA(enfoq orientado a l riesgo) / CheckList o cuestionarios/Auditoría de productos. ¿QUÉ SON LOS RIESGOS? La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto específico, el cual puede estar representado por pérdidas y daños GESTIONAR LOS RIESGOS Controlar el riesgo. Fortaleciendo los controles existentes o agregar nuevos controles. Eliminar el riesgo. Compartir el riesgo. traspasando el riesgo a un tercero Aceptar el riesgo, determinando el nivel de exposición. TIPOS DE AUDITORÍA: La auditoría trabaja en consonante con otras auditorías que pueden ser de muchas categorías: (1) EN FUNCIÓN A SUS OBJETIVOS -Auditoría financiera / Auditoría organizativa / Auditoría administrativa / Auditoría de sistemas de información (2) EN FUNCIÓN DEL PERSONAL QUE REALIZA LA AUDITORÍA: -Auditoría interna / Auditoría externa (3) EN FUNCIÓN AL ÁMBITO DE APLICACIÓN AUDITORÍA OPERATIVA (basada en los objetivos) DE GESTIÓN: controlar la adecuada relación costo-eficacia de la aplicación desarrollada. DE LOS PROCEDIMIENTOS: que existan normas y procedimientos DE LAS CIFRAS: fiabilidad de la información y detección de fraudes y manipulaciones en datos o programas. AUDITORÍA FUNCIONAL (que la función informática sea eficiente) DE GESTIÓN: examinar el grado de integración de las tecnologías de información en la empresa DE LOS PROCEDIMIENTOS: seguridad de locales, hardware, software, DE LAS CIFRAS: establecer controles que garanticen la fiabilidad de los datos. APLICACIONES DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN Auditoría de la seguridad física y lógica Auditoría de la planificación Auditoría de la organización y gestión del centro de proceso de datos Área de explotación Área del entorno hardware / software
(1) AUDITORÍA DE LA SEGURIDAD FÍSICA Y LÓGICA
Salvaguardar todo en materia de seguridad en relación directa con el elevado valor de los recursos tecnológicos de la empresa y la importancia de la información, verificando de la existencia de posibles riesgos Auditoría de entornos físicos: Auditoría de entornos físicos: adecuación de las instalaciones locales Auditoría de la seguridad lógica: salvaguardar la acreditación de los usuarios, secreto de transacciones y archivos. (2) AUDITORÍA DE LA PLANIFICACION El crecimiento tecnológico de la empresa sigue un plan previsto / Evaluar los planes informáticos Existe un Plan Estratégico / Táctico (1-2 años) creación del Plan Informático Evaluar el nivel de participación y compromiso de directivos. (3) AUDITORÍA DE LA ORGANIZACIÓN Y GESTIÓN DEL CENTRO DE PROCESO DE DATOS Garantizar que el responsable organice, dirija y controle los recursos Revisar los organigramas del departamento y de la empresa Determinar normas para la documentación en el proceso de datos Verificar que existan métodos de trabajo adecuados Determinar el nivel de participación de los usuarios (4) AUDITORÍA DEL ÁREA DE EXPLOTACIÓN Evaluar los procedimientos seguidos en su operatividad diaria. Comprobar la existencia de normas escritas sobre las funciones de explotación. Revisar la existencia de documentación de procedimientos. Garantía de continuidad. Revisar el control del consumo de recursos (5) AUDITORÍA DEL ENTORNO HARDWARE / SOFTWARE Garantizar un eficiente funcionamiento y utilidad de los recursos hardware/software garantizando su continuidad en el tiempo. Revisar y verificar el inventario del hardware/software. Revisar las librerías utilizadas por los desarrolladores. Comprobar la seguridad de los datos NORMAS INTERNACIONALES Bases legales de la auditoría. Proceso de Auditoría de los Sistemas de Información (ISO 19011:2011) Evaluación del Gobierno y la Gestión de las TICs (ISO/IEC 38500). Evaluación de la Gestión de la Seguridad de la Información (ISO 27001, 27007, 27008) Evaluación de la Gestión del Ciclo de Desarrollo de Software (ISO/IEC 25000, 15504, 14598, 9126)