Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Clase 2 Proceso Auditoria

    Cargado por

    SEBASTIAN LORENZON LOPEZ
    15 vistas25 páginas
    El documento resume el proceso de auditoría de sistemas, incluyendo las fases de planificación, ejecución y comunicación de resultados. También describe los conceptos clave de controles internos, riesgos, auditoría remota y auditoría en la nube.

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento resume el proceso de auditoría de sistemas, incluyendo las fases de planificación, ejecución y comunicación de resultados. También describe los conceptos clave de controles internos, riesgos, auditoría remota y auditoría en la nube.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    15 vistas25 páginas

    Clase 2 Proceso Auditoria

    Cargado por

    SEBASTIAN LORENZON LOPEZ
    El documento resume el proceso de auditoría de sistemas, incluyendo las fases de planificación, ejecución y comunicación de resultados. También describe los conceptos clave de controles internos, riesgos, auditoría remota y auditoría en la nube.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 25

    Proceso de Auditoría

    de Sistemas
    Maestría en Seguridad Informática
    Facultad de Ingeniería en Sistemas de Información

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Detalle de Sesión No. 2
    • Proceso de auditoría
    • Programa de auditoría
    • Plan Do Check Act
    • Definición de controles internos (establecer la frontera tecnológica y de
    negocio)
    • Aporte de la Auditoría de Sistemas al negocio en función de Optimizar la
    gestión de TI, Elevar el nivel de madurez de los procesos, cierre de brechas
    entre IT/Negocio, Detección de Fraudes
    • Auditoría Remota y su entrega de valor
    • Auditoría Ágil
    • Auditoría de la computación en la nube

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Proceso de Auditoria de Sistemas
    • ¿Qué es el Proceso de Auditoria de Sistemas?
    ✓Reunir evidencia
    ✓Evaluar las fortalezas
    ✓Evaluar las debilidades
    ✓Elaboración de un informe Objetivo de gerencia

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    ¿Qué se toma en cuenta en una auditoría
    de sistemas?

    Obtener información general sobre la organización

    Objetivos de la auditoria a corto, mediano y largo plazo

    Tener recursos materiales y técnicos

    Conocimiento del Negocio

    Conocimiento de los sistemas de la organización

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Visión Global de la Auditoria de Sistemas

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Proceso de Auditoría

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Detalle de las Fases de la Auditoría de
    Sistemas

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Programa de Auditoría de sistemas

    Recursos:
    ✓ Humanos
    ✓ Físicos
    ✓ Tecnológic
    os

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Plan Do Check Act

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Plan
    Verificar los objetivos de negocio

    Identificar el propósito de la auditoria de sistemas

    Impacto que va tener la auditoria de sistemas

    Alcance identificar las conclusiones y recomendación

    Recursos técnicos a utilizar

    Elaboración de cronograma de actividades con fechas

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Do (Hacer)

    Uso de las
    Entrevistas y Identificar el uso de
    metodología Desarrollo de guías
    antecedentes de la políticas,
    estándar de de evaluación
    organización procedimientos
    auditoria de sistemas

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    CHECK (verificar)

    Evaluación de herramientas

    Verificación de análisis de información

    Documentación de los hallazgos

    Dictamen auditoria de sistemas

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    ACT (Actuar)
    Completar informe de • Hallazgos
    auditoria de sistemas • Conclusiones
    • Recomendaciones

    • Resultado de la auditoria
    Comunicar • Aceptar y resolver los hallazgos

    • Bitácora de acciones a tomar


    Registrar • Fechas de cumplimiento

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Controles internos Aspectos que se toma en
    cuenta para los controles
    Confidencialidad
    internos en auditoria de
    sistemas

    Integridad

    Disponibilidad

    Seguridad de los procesos

    Asegurar la eficacia

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Tipos de controles

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Aporte de la auditoría de sistemas

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Limitaciones en Control Interno

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Enfoque de Riesgos
    Amenaza
    Identificar Objetivos Vulnerabilidad
    Organizacionales
    Probabilidad
    Impacto
    Plan de
    Inventariar Activos de
    Mitigación/Tratamiento
    Información Consecuencias
    del Riesgo

    Realizar Evaluación de
    Riesgos

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Ciclo de Riesgo

    ACTOR TIPO DE AMENAZA EVENTO ACTIVO/RECURSO TIEMPO

    • Interno • Ataque malicioso • Revelación • Personas y • Duración


    • Externo • Accidente • Interrupción habilidades • Momento en que
    • Error • Modificación • Estructuras ocurre el evento
    • Falla • Robo organizativas • Detección
    • Eventos naturales • Destrucción • Proceso • Desfase temporal
    • Requisito Externo • Diseño erróneo • Infraestructura
    (instalaciones)
    • Ejecución errónea
    • Infraestructura de
    • Normas y
    TI
    regulaciones
    • Información
    • Uso inapropiado
    • Aplicaciones

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Proceso de
    Auditoría
    Remota

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Proceso de Auditoría Ágil
    La auditoría ágil utiliza una mentalidad centrada en el riesgo, colaborativa y de
    reducción de desperdicios para ayudar a las organizaciones a alcanzar sus objetivos
    (Raven Global Training, LLC 2020).

    Fuente: Ilustrado por Carmen Catlin. Adaptado de Scrum Alliance de Scrum de un


    vistazo (2020)
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Proceso Auditoría de computación en la nube
    A medida que las empresas se mudan a entornos de nube, ocurren ciertos cambios
    que los auditores deben reconocer, ya que el movimiento cambia el alcance de la
    auditoría y introduce un nuevo riesgo para los sistemas.

    La auditoría de la infraestructura de la
    nube es similar a la auditoría de la
    infraestructura interna localizada, con
    áreas de control relevantes:
    • aquellas que controlan el acceso
    • la autorización y
    • los marcos de control de confianza.

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala


    Proceso Auditoría de computación en la nube
    Desafíos de auditoría con la computación en la nube
    Una tecnología disruptiva, como la computación en la nube, puede afectar el "cómo" auditar
    • Comprender el alcance del entorno de computación en la nube
    – ¿Utiliza la misma matriz para nubes públicas que para nubes privadas? (interno vs externo)
    – El concepto de perímetro en un entorno multiinquilino ya no tiene sentido
    – ¿Dónde comienza y termina la nube?
    • ¿Puede su evaluación de riesgos actual capturar los riesgos correctamente?
    • Selección de muestras
    – ¿Cuál es la población universal de la cual tomar una muestra?
    – ¿Cuál sería su metodología de selección de muestras en un entorno muy dinámico?
    – Una instantánea en el tiempo puede depender de si se trata de un punto máximo alto o bajo
    en el tiempo
    • Pistas de auditoría
    – ¿Cómo “prueba” los datos históricos si no hubo un registro de auditoría?
    • Otro
    – Educar al comité de auditoría– Superar las barreras internas que restringen la participación
    temprana de auditoría interna como “asesor de riesgos” para el negocio y la informática
    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala
    Fuentes de Información

    • Estévez, C. (5 de Junio de 2012). Macro. Obtenido de Macro Auditoria de sistemas:


    http://www.iuai.org.uy/uploads/presentaciones/jornadas/7/Carmen%20Estevez.%20El%20rol%20del%20AI%20en%20la%20eval
    uacion%20del%20reisgo%20de%20fraude%20interno.pdf
    • Auditoria en Informática CUN. (23 de Julio de 2015). Obtenido de
    https://sites.google.com/site/auditoriaeninformaticacun/planeacion/investigacion-preliminar
    • Europa INTERNATIONAL. (01 de Mayo de 2015). https://ec.europa.eu/europeaid/node/44367_en. Obtenido de
    https://ec.europa.eu/europeaid/node/44367_en: https://ec.europa.eu/europeaid/node/44367_en
    • Auditoria de Sistemas . (6 de Mayo de 2016). Auditoria de sistemas blog spot. Obtenido de Auditoria de sistemas blogspot:
    http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacion-auditoria.html
    • Auditoria de Sistemas 014. (6 de Julio de 2014). Auditoria de los sistemas de información. Obtenido de Auditoria de los sistemas
    de información: https://auditoriadesistemas2014.wordpress.com/
    • MAINARDI, Robert L. Beyond Audit: Auditing Remotely and Delivering Value. 2021
    • CATLIN,Raven and WATKINS, Ceciliana. Agile Auditing: Fundamentals and Applications. 2021

    Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

    También podría gustarte