Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
• Conceptos Básicos de Auditoría
Informática
• Justificación
• Objetivos
• Ejemplos
Primero: ¿Que es la auditoría?
Es la revisión independiente que
realiza un auditor profesional,
aplicando técnicas, métodos y
procedimientos especializados, a fin
de evaluar el cumplimiento de
funciones, actividades, tareas y
procedimientos de una organización,
así como dictaminar sobre el
resultado de dicha evaluación.
Muñoz (2002,34)
Administración de la
Configuración de
Bases de Datos
Justificación
Aumento de la
vulnerabilidad
Automatización
Beneficios
de los procesos y
para alcanzar
prestación de
los objetivos
servicios
Recursos
TIC´s
Información
Aumento de la
como recurso
productividad
estratégico
Magnitud de
los costos e
inversiones
TIC
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la
Gestión de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto específico, el cual
puede estar representado por
pérdidas y daños.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la
Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible: fallas,
ingresos no autorizados a las áreas de
computo, virus, uso inadecuado de
activos informáticos, desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación.
Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Y...¿Qué es el control interno?
Es un proceso, mediante el cual la
administración, los directivos y/o la alta
gerencia le proporcionan a sus
actividades, un grado razonable de
confianza, que le garantice la consecución
de sus objetivos, tomando en cuenta: la
eficacia y eficiencia de las operaciones,
fiabilidad de la información financiera y
cumplimiento de las leyes y normas
aplicables, con la finalidad de dotar a la
organización medidas preventivas,
detección y corrección de errores, fallos y
fraudes o sabotajes
CONTROL INTERNO. DEFINICIÓN Y TIPOS
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
Confidencialidad
(Daños intencionales o no)
Integridad
Objetivos: Desafío, Disponibilidad
ganancia financiera/política,
daño Pérdida de
•Dinero
Causa Física (Natural o no)
•Clientes
•Imagen de la Empresa
Tratar de evitar el
Cuando fallan los
hecho
preventivos para
tratar de conocer
Disuasivos Preventivos cuanto antes el
evento
Amenaza o
Riesgo
Vuelta a la Tmin
normalidad cuando
se han producido Detectivo Correctivo
incidencias
Normas de Auditoría
Guía de
Informática disponibles auditoria del
sistema de
• COSO (Committee of Sponsoring gestión de
seguridad de la
Organizations of the Treadway
información
Commission, EEUU 1992). para su
• ITIL (Information Technology protección.
Infrastructure Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000).
• COBIT (Control Objectives for
Information and Related Technology IT,
Modelo de evaluación del EEUU 1998).
control interno en los Marco referencial que evalúa el
sistemas, funciones, proceso de gestión de los Servicios
procesos o actividades en de tecnología de información y de
la infraestructura tecnología.
Referencia Bibliográfica
IT GOVERNANCE
INSTITUTE. 2006. COBIT
4.0. Fuente: www.isaca.org
Indicadores
de Indicadores Metas de Directrices Prácticas de
Desempeño Meta Actividades de Control
Auditoría
Modelo de Madurez
Traducción Implementación
Las mejores prácticas de TI se han vuelto
significativas debido a un número de factores:
• 0 • 1 • 2 • 3 • 4 • 5