UNIVERSIDAD CESAR VALLEJO Mg. Ing. Patricia Pereyra S.

Conocer

los conceptos bsicos de la auditora informtica. los organismos reguladores nacionales e internacionales.

Conocer

 Definicin

de Auditora. Clasificacin de la Auditora. Caractersticas de la Auditora. Justificacin para efectuar una Auditora. Objetivos de la Auditora. Organizaciones Normalizadoras.

 Mapa

Conceptual o esquema que ilustre los principales conceptos adquiridos. Conversaciones en aula de alumnos-docente.

 La

palabra auditora proviene del latn auditorius y de sta proviene la palabra auditor, que tiene la virtud de oir y revisar cuentas.

 POR

SU REA DE APLICACIN:

AUDITORIA FINANCIERA AUDITORIA ADMINISTRATIVA AUDITORIA OPERACIONAL AUDITORIA INTEGRAL AUDITORIA GUBERNAMENTAL AUDITORIA DE SISTEMAS

FUENTE: AUDITORIA EN SISTEMAS COMPUTACIONALES. CARLOS MUOZ RAZO

 Proceso

sistemtico, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el alcance al que se cumplen los criterios de auditora.
Conjunto de polticas, procedimientos o requisitos
contra los que se compara la evidencia de la auditora

La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin.
El examen y evaluacin de los procesos del Area de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

 En

funcin del sujeto:

Interna / Externa Pblica / Privada

En

funcin del alcance:

Totales o completas Parciales o de alcance limitado

En

funcin del origen del mandato:

Obligatorias / Voluntarias

 AUDITORA
AUDITORA

EXTERNA:
INTERNA

CONCEPTO VENTAJAS DESVENTAJAS

FUENTE: AUDITORIA EN SISTEMAS COMPUTACIONALES. CARLOS MUOZ RAZO

Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin.

Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD (Departamento de Procesamiento de Datos).
Incrementar la satisfaccin de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de funcin informtica a las metas y objetivos de la organizacin Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico Minimizar existencias de riesgos en el uso de Tecnologa de informacin Decisiones de inversin y gastos innecesarios Capacitacin y educacin sobre controles en los Sistemas de Informacin

 Es

el proceso de recolectar, agrupar y evaluar evidencias para determinar si un sistema de informacin:

Salvaguarda los activos. Mantiene la integridad de los datos. Lleva a cabo eficazmente los fines de la organizacin. Utiliza eficientemente los recursos. Cumple con las leyes y regulaciones establecidas.

Detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin. Determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costos, valor y barreras, que obstaculizan flujos de informacin eficientes. Control de la funcin informtica. Anlisis de la eficiencia de los Sistemas Informticos. Verificacin del cumplimiento de la Normativa en este mbito. Revisin de la eficaz gestin de los recursos informticos.

 Interna

Los recursos y personas pertenecen a la empresa auditada. Es remunerada. La organizacin la controla. Los recursos y personas no pertenecen a la empresa auditada. Es remunerada. Distancia entre auditores y auditados: mayor objetividad.

Externa

 Estudiar

los mecanismos de control que estn implantados en una empresa u organizacin. Determinar si son adecuados y cumplen unos determinados objetivos o estrategias. Establecer los cambios que se deberan realizar para la consecucin de los mismos.

 En

una auditora los mecanismos de control pueden ser: Preventivos De deteccin Correctivos (o de recuperacin ante una contingencia)

Descoordinacin y desorganizacin.
Concordancia con los objetivos. Desvos importantes del plan operativo anual. Alta rotacin de personal.

Mala imagen Insatisfaccin de los usuarios.

Software. Hardware. Plazos de entregas.

Debilidades econmicas-financieras.
Incremento de costos. Justificacin de inversiones informticas. Desviaciones presupuestarias. Costos y plazos de nuevos proyectos.

Inseguridad.
Lgica. Fsica. Confidencialidad. Carencia de planes de contingencias.

 Auditora

fsica. Auditora de la ofimtica. Auditora de la direccin. Auditora del desarrollo. Auditora del mantenimiento. Auditora de BD. Auditora de la seguridad. Auditora de redes. Auditora del aplicaciones. Auditora de SSD y aplicaciones de simulacin.

 Constitucin

legal. Antecedentes. Organigrama. Departamentos. Relaciones jerrquicas y funcionales. Flujos de informacin Cursogramas. Planos.

 Entrevistas.
Visitas

a la organizacin. Estudio de documentacin y antecedentes. Cuestionarios. Encuestas.

 Cuando

un auditor profesional se somete a auditar una empresa, lo primero que intenta realizar es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este trabajo no se hace de la noche a la maana; para ello se empieza a trabajar internamente, por reas o departamentos.

 La

mayora de las organizaciones han acometido varias iniciativas en tal sentido tales como:

La reestructuracin de los procesos empresariales. La gestin de la calidad total. El redimensionamiento por reduccin y/o por aumento de tamao hasta el nivel correcto. La contratacin externa. La descentralizacin.

 EL

INFORME

Documento inequvocamente vinculado a su autor o autores, convenientemente autenticado, con garantas de integridad y de acceso permitido a quienes estn autorizados, en el que el auditor da su opinin profesional independiente al destinatario. Este informe tiene valor para el auditado, y tambin en ciertos supuestos y escenarios, para terceros y para organismos de control.

INSTITUCIONES NORMALIZADORAS INTERNACIONALES. INSTITUCIONES NORMALIZADORAS PERUANAS NORMAS INTERNACIONALES DE EVALUACION Y CERTIFICACIN NORMA TCNICA PERUANA NTP-ISO/IEC 17799

ITU-T (Sector de Normalizacin de las Telecomunicaciones)

ISO/IEC (Organizacin Internacional para la Estandarizacin/ Comisin Electrotcnica Internacional)

CEN/CENELEC (Comit Europeo de Normalizacin/ Comit Europeo de Normalizacin Electrnica)

ETSI (Instituto Europeo de Normas de Telecomunicaciones)

ONGEI:
INDECOPI:

PCM a travs de la Oficina Nacional de Gobierno Electrnico e Informtica - ONGEI en

coordinacin con el Instituto Nacional de Defensa de la Competencia y de la Proteccin de la Propiedad Intelectual INDECOPI, recomienda la aplicacin y uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, en todas las entidades integrantes del Sistema Nacional de Informtica. El Gobierno a travs de la Presidencia de Consejo de Ministros mediante RESOLUCIN MINISTERIAL N 224-2004-PCM, decreta su obligatoriedad en la administracin pblica.

TCSEC -

Trusted Computer Systems Evaluation Criteria

ITSEC/ITSEM ISO/IEC 27000

TCSEC (Libro Naranja):

El Libro Naranja es consecuencia de la creciente conciencia de la seguridad por parte del Gobierno de los Estados Unidos de Norteamrica y de su industria. Define cuatro divisiones jerrquicas de seguridad para la proteccin de informacin. En orden creciente de confiabilidad se tienen las siguientes divisiones: D Proteccin mnima C Proteccin discrecional B - Proteccin obligatoria A Proteccin controlada TCSEC Trusted Computer Systems Evaluation Criteria

ITSEC/ITSEM
ITSEC (Information Technology Security Evaluation Criteria) Es el equivalente europeo del Libro Naranja, pero ms moderno y con mayor alcance que aqul. Se conoce comnmente como Libro Blanco. Ha surgido de la armonizacin de varios sistemas europeos de criterios de seguridad en TI. Tiene un enfoque ms amplio que TCSEC. ITSEM (Information Technology Security Evaluation Manual) Manual de evaluacin de la seguridad de TI que forma parte del ITSEC versin 1.2 y cuya misin es describir cmo aplicar los criterios de evaluacin del ITSEC. Contiene mtodos y procedimientos de evaluacin suficientemente detallados para ser aplicados a evaluaciones de seguridad realizadas tanto en el sector privado como en el pblico.

ISO/IEC 27000

Familia de normas para la gestin de la seguridad de la informacin. Proporciona una visin general de los sistemas de gestin de la informacin de seguridad, que constituyen el objeto de la familia de normas del sistema de gestin de la seguridad de la informacin (SGSI), y define los trminos relacionados.

 ISO

17799

Cdigo de buenas prcticas para la gestin de seguridad informtica.

ISO/IEC

27002

Especificaciones del Sistema de Administracin de Seguridad de la Informacin. Pertenece a la familia de normas ISO 27000.

 LA AUDITORA

ES UNA ACTIVIDAD NECESARIA DE SER APLICADA AL INTERIOR DE CADA ORGANIZACIN. EXISTEN VARIAS NORMAS REGULADORAS, NACIONALES E INTERNACIONALES. LA NTP ES LA NORMA TECNICA PERUANA QUE DEBEMOS APLICAR.

AUDITORIA EN INFORMATICA JOSE ANTONIO ECHENIQUE GARCIA

AUDITORIA EN SISTEMASCOMPUTACIONALES CARLOS MUOZ RAZO AUDITORIA INFORMATICA MARIO G. PIATTINI AUDITORIA DE SISTEMAS El Valor de la Competencia Tcnica y la Independencia del Auditor. http://www.revistasic.com/revista39/pdf_39/SIC_39_acuentas.PDF NTP- Norma Tcnica Peruana http://www.bvindecopi.gob.pe/normas/isoiec17799.pdf