Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2020-2021
AUDITORIA DE SISTEMAS
AUTOMATIZADOS
POLITICAS DE SEGURIDAD Y
CONCLUSIONES
DR. SIXTO RONQUILLO BRIONES, Msc.
OBJETIVOS GENERALES DE LA AUDITORÍA EN
INFORMÁTICA
• Incrementar la satisfacción de los usuarios
de los sistemas informáticos.
• Capacitación y educación sobre controles en
los Sistemas de Información.
• Buscar una mejor relación costo-beneficio
de los sistemas automáticos y tomar decisiones
en cuanto a inversiones para la tecnología de
información.
Riesgo Informático
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la Gestión de la
Seguridad) como:
La probabilidad de que una amenaza se
materialice de acuerdo al nivel de
vulnerabilidad existente de un activo,
generando un impacto específico, el
cual puede estar representado por
pérdidas y daños para una organización.
Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible: fallas,
ingresos no autorizados a las áreas de
computo, virus, uso inadecuado de
activos informáticos, desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.
Vulnerabilidad
Consecuencias de la ocurrencia
de las distintas amenazas:
financieras o no financieras.
Perdida de dinero, deterioro de la
imagen de la empresa, reducción
de eficiencia, fallas operativas a
corto o largo plazo, pérdida de
vidas humanas, etc.
Administración de Riesgos
Luego de efectuar el análisis de riesgo-impacto, el
ciclo de administración de riesgo finaliza con la
determinación de las acciones a seguir respecto:
•Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
•Eliminar el riesgo.
•Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informática).
•Aceptar el riesgo, determinando el nivel de
exposición y afectación probable.
REVISION DE LAS
POLITICAS DE SEGURIDAD
DE INFORMACION.
DEFINICIONES GENERALES
PLANEAR Y ORGANIZAR
Estrategias y tácticas. Identificar la manera en
que TI pueda contribuir de la mejor manera al
logro de los objetivos del negocio.
La visión estratégica requiere ser planeada,
comunicada y administrada.
Implementar una estructura organizacional y
una estructura tecnológica apropiada.
PARA GOBERNAR EFECTIVAMENTE TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE REQUIEREN
SER ADMINISTRADOS.
PLANEAR Y ORGANIZAR
Cubre los siguientes cuestionamientos típicos de la gerencia:
¿Están alineadas las estrategias de TI y del negocio?
¿La empresa está alcanzando un uso óptimo de sus recursos?
¿Entienden todas las personas dentro de la organización los
objetivos de TI?
¿Se entienden y administran los riesgos de TI?
¿Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?
PARA GOBERNAR EFECTIVAMENTE TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE
REQUIEREN SER ADMINISTRADOS( DOMINIO 2).
ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la
implementación e integración en los procesos del negocio.
PARA GOBERNAR EFECTIVAMENTE TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE
REQUIEREN SER ADMINISTRADOS.
ADQUIRIR E IMPLEMENTAR
Además para garantizar que las soluciones sigan cubre
los siguientes cuestionamientos de la gerencia:
¿Los nuevos proyectos generan soluciones que
satisfagan las necesidades?
¿Los nuevos proyectos son entregados a tiempo y dentro
del presupuesto?
¿Trabajarán adecuadamente los nuevos sistemas una
vez se han implementados?
¿Los cambios afectarán las operaciones actuales del
negocio?
PARA GOBERNAR EFECTIVAMENTE TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE REQUIEREN
SER ADMINISTRADOS (DOMINIO 3).
MONITOREAR Y EVALUAR
Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su
calidad y cumplimiento de los
requerimientos de control.
Este dominio abarca la administración del
desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación del
gobierno.
PARA GOBERNAR EFECTIVAMENTE LA TI, ES IMPORTANTE
DETERMINAR LAS ACTIVIDADES Y LOS RIESGOS QUE
REQUIEREN SER ADMINISTRADOS.
MONITOREAR Y EVALUAR
Abarca las siguientes preguntas de la gerencia:
•¿Se mide el desempeño de TI para detectar los
problemas antes de que sea demasiado tarde? •¿La
Gerencia garantiza que los controles internos son
efectivos y eficientes? •¿Puede vincularse el
desempeño de lo que TI ha realizado con las metas
del negocio? •¿Se miden y reportan los riesgos,
el control, el cumplimiento y el desempeño?
LINEAMIENTOS PARA LA ADQUISICION DE BIENES
INFORMATICOS.
1.- Toda adquisición de tecnología informática se efectuara a través del Comité, que
esta conformado por el personal de la Administración de Informática.
2.- La adquisición de bienes de informática, quedara sujeta a los lineamientos
establecidos en este documento.
PROCEDIMIENTOS
Un procedimiento de seguridad es la definición detallada de los pasos a ejecutar para llevar a
cabo unas tareas determinadas. Los procedimientos de seguridad permiten aplicar e implantar
las políticas de seguridad que han sido aprobadas por la organización.
Se describe como se implementan, en las áreas a proteger, las políticas generales que han
sido definidas para la entidad, en correspondencia con las necesidades de protección e cada
una de ellas, atendiendo sus formas de ejecución, periodicidad, personal participante y medios
disponibles.
Se sustenta sobre la base de los recursos disponibles y, en dependencia de los niveles de
seguridad alcanzados se elaborara un programa de seguridad informática, que incluya las
acciones a realizar por etapas para lograr niveles superiores.
CLASIFICACION DE LOS TIPOS DE
AUDITORIAS
AUDITORIA INTERNA
AUDITORIA EXTERNA
AUDITORÍAS POR SU ÁREA DE
APLICACIÓN
• Auditoría financiera
• Auditoría administrativa
• Auditoría operacional
• Auditoría integral
• Auditoría gubernamental
• Auditoría de sistemas
AUDITORÍAS ESPECIALIZADAS EN
ÁREAS ESPECÍFICAS
• Auditoria al área medica(evaluación médico-sanitaria)
• Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)
• Auditoría fiscal-Tributaria
• Auditoría laboral
• Auditoría de proyectos de inversión
• Auditoría a la caja chica o caja mayor(arqueos)
• Auditoría al manejo de mercancías(inventarios)
• Auditoría ambiental
• Auditoría de sistemas Automatizados.
• Etc, Etc.
CONCLUSIONES DE LA AUDITORIA INFORMATICA.