Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Introducción Auditoría de Sistemas de Información

    Cargado por

    Mario Steven Moreno Balsa
    6 vistas3 páginas

    Título original

    01. Introducción Auditoría de Sistemas de Información.docx

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    6 vistas3 páginas

    Introducción Auditoría de Sistemas de Información

    Cargado por

    Mario Steven Moreno Balsa

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 3

    01.

    Introducción Auditoría de Sistemas de Información


    ¿Qué son sistemas de información?
    Los sistemas de información nos permiten recolectar, almacenar, recuperar, procesar y distribuir información
    relevante para los procesos fundamentales y particulares de una organización. Se constituyen en 3 dimensiones
    Organización / Personal / Tecnología --- Ejemplo: Sistema de información de gestión administrativa (SIGA)
    SI financiera (SIF)
    SI para producción (SIP)
    ¿Qué son tecnologías de la información y comunicaciones?
    Son tecnologías desarrolladas para una mayor eficiencia en el manejo de la información y las comunicaciones a
    través de recursos tecnológicos como los son: las computadoras, servidores locales, redes, Internet, servicios.
    ¿QUÉ ES AUDITORÍA?
    La auditoría es una disciplina expresada en conceptos, normas, técnicas, procedimientos y metodologías, que tiene
    como objetivo examinar y evaluar determinada realidad, para emitir una opinión sobre un aspecto o la totalidad del
    objeto estudiado.
    AUDITORÍA DE SISTEMAS DE INFORMACIÓN
    Es el conjunto de técnicas, actividades y procedimientos destinados a analizar, evaluar, verificar y recomendar en
    asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa,
    ACTIVIDADES DEUN AUDITOR: Obtener resultados garantizando la certidumbre de lo que informa / Emite informe
    asesorando a la empresa sobre evitar problemas internos/ Informar el estado actual sobre los sistemas y tecnologías
    de información.
    OBJETIVOS GENERALES DE LA AUDITORÍA INFORMÁTICA
    Apoyar en las metas y objetivos de la organización.
    Conocer la situación actual del área informática.
    Mejorar la eficacia del área informática protegiendo sus activos y recursos (sugiriendo políticas y normas).
    Mejorar los estándares y procedimientos.
    Garantizar los resultados que sean fiables en tiempo, costo y utilidad de los sistemas de información.
    Mejorar la seguridad de las instalaciones, el hardware, software, los datos y la seguridad del personal.
    RAZONES PARA LA EXISTENCIA DE LA FUNCIÓN DE AUDITORÍA DE SISTEMAS
    Existen leyes gubernamentales / políticas internas de la empresa
    Las operaciones de la empresa dependen cada vez más de la sistematización
    Los riesgos tienden a aumentar.
    EVIDENCIAS: El crecimiento del acceso a internet/crecimiento de las redes sociales/Mensajes e-mail
    maliciosos/Robo de credenciales
    METODOLOGÍA DE AUDITORÍA: Camino estructurado de forma lógica para asegurar el éxito de la auditoria.
    Conjunto de etapas que pueden adaptarse para plan y desarrollo de proyectos de auditoria informática.
    Uso de metodologías, instrumentos y procedimientos operativos
    tres tipos de metodologías de auditoría informática: ROA(enfoq orientado a l riesgo) / CheckList o
    cuestionarios/Auditoría de productos.
    ¿QUÉ SON LOS RIESGOS?
    La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo,
    generando un impacto específico, el cual puede estar representado por pérdidas y daños
    GESTIONAR LOS RIESGOS
    Controlar el riesgo. Fortaleciendo los controles existentes o agregar nuevos controles.
    Eliminar el riesgo.
    Compartir el riesgo. traspasando el riesgo a un tercero
    Aceptar el riesgo, determinando el nivel de exposición.
    TIPOS DE AUDITORÍA: La auditoría trabaja en consonante con otras auditorías que pueden ser de muchas
    categorías:
    (1) EN FUNCIÓN A SUS OBJETIVOS
    -Auditoría financiera / Auditoría organizativa / Auditoría administrativa / Auditoría de sistemas de información
    (2) EN FUNCIÓN DEL PERSONAL QUE REALIZA LA AUDITORÍA:
    -Auditoría interna / Auditoría externa
    (3) EN FUNCIÓN AL ÁMBITO DE APLICACIÓN
     AUDITORÍA OPERATIVA (basada en los objetivos)
    DE GESTIÓN: controlar la adecuada relación costo-eficacia de la aplicación desarrollada.
    DE LOS PROCEDIMIENTOS: que existan normas y procedimientos
    DE LAS CIFRAS: fiabilidad de la información y detección de fraudes y manipulaciones en datos o programas.
     AUDITORÍA FUNCIONAL (que la función informática sea eficiente)
    DE GESTIÓN: examinar el grado de integración de las tecnologías de información en la empresa
    DE LOS PROCEDIMIENTOS: seguridad de locales, hardware, software,
    DE LAS CIFRAS: establecer controles que garanticen la fiabilidad de los datos.
    APLICACIONES DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN
    Auditoría de la seguridad física y lógica
    Auditoría de la planificación Auditoría de la organización y gestión del centro de proceso de datos
    Área de explotación
    Área del entorno hardware / software

    (1) AUDITORÍA DE LA SEGURIDAD FÍSICA Y LÓGICA


    Salvaguardar todo en materia de seguridad en relación directa con el elevado valor de los recursos tecnológicos de la
    empresa y la importancia de la información, verificando de la existencia de posibles riesgos
    Auditoría de entornos físicos: Auditoría de entornos físicos: adecuación de las instalaciones locales
    Auditoría de la seguridad lógica: salvaguardar la acreditación de los usuarios, secreto de transacciones y archivos.
    (2) AUDITORÍA DE LA PLANIFICACION
    El crecimiento tecnológico de la empresa sigue un plan previsto / Evaluar los planes informáticos
    Existe un Plan Estratégico / Táctico (1-2 años) creación del Plan Informático
    Evaluar el nivel de participación y compromiso de directivos.
    (3) AUDITORÍA DE LA ORGANIZACIÓN Y GESTIÓN DEL CENTRO DE PROCESO DE DATOS
    Garantizar que el responsable organice, dirija y controle los recursos
    Revisar los organigramas del departamento y de la empresa
    Determinar normas para la documentación en el proceso de datos
    Verificar que existan métodos de trabajo adecuados
    Determinar el nivel de participación de los usuarios
    (4) AUDITORÍA DEL ÁREA DE EXPLOTACIÓN
    Evaluar los procedimientos seguidos en su operatividad diaria.
    Comprobar la existencia de normas escritas sobre las funciones de explotación.
    Revisar la existencia de documentación de procedimientos.
    Garantía de continuidad. Revisar el control del consumo de recursos
    (5) AUDITORÍA DEL ENTORNO HARDWARE / SOFTWARE
    Garantizar un eficiente funcionamiento y utilidad de los recursos hardware/software garantizando su continuidad en
    el tiempo.
    Revisar y verificar el inventario del hardware/software.
    Revisar las librerías utilizadas por los desarrolladores.
    Comprobar la seguridad de los datos
    NORMAS INTERNACIONALES
    Bases legales de la auditoría.
    Proceso de Auditoría de los Sistemas de Información (ISO 19011:2011)
    Evaluación del Gobierno y la Gestión de las TICs (ISO/IEC 38500).
    Evaluación de la Gestión de la Seguridad de la Información (ISO 27001, 27007, 27008)
    Evaluación de la Gestión del Ciclo de Desarrollo de Software (ISO/IEC 25000, 15504, 14598, 9126)

    También podría gustarte