Upload
jean-paul-perea
View
215
Download
0
Embed Size (px)
Citation preview
7/31/2019 ASSI Sesin T1 Auditoria de SI
1/5
Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas
Auditora de Sistemas
Auditora de Sistemas - Pgina 1
Auditora de Sistemas
Universidad Nacional de Trujillo
Auditora de Sistemas
Jaime E. Daz Snchez
Ing. Sistemas C.I.P. 73304
Auditora de Sistemas
Universidad Nacional de Trujillo
Agenda
2
Introduccin
Perfil de Auditor
reas de inters del Auditor de TI
Tipos de Auditoras de TI
Auditora de Sistemas
Universidad Nacional de Trujillo
Agenda
3
Introduccin
Concepto de Auditora
Clasificacin de las Auditoras
Objetivos de las Auditoras
Auditora de Sistemas de Informacin
Auditora de Tecnologa de Informacin
Razones para realizar Auditoras
El Perfil del Auditor
Auditora de Sistemas
Universidad Nacional de Trujillo
Evolucin de la Tecnologa
Desde los 90 hasta hoy
Internet E-Commerce
Rpida difusin de la informacin
Rompe paradigmas
Nuevo estndar Internet compatible
Prdida de intimidad
Seguridad la mayor preocupacin
Redes sociales
4
Auditora de Sistemas
Universidad Nacional de Trujillo
La Informacin
Segn la ISO/IEC 17799:2005:
Es un activo, que tal como otros importantes
activos del negocio, tiene valor para la compaa
y consecuentemente requiere ser protegida
adecuadamente.
Tiene valor estratgico, econmico, legal, etc.para la organizacin.
5
Auditora de Sistemas
Universidad Nacional de Trujillo
Donde encontramos informacin?
6
7/31/2019 ASSI Sesin T1 Auditoria de SI
2/5
Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas
Auditora de Sistemas
Auditora de Sistemas - Pgina 2
Auditora de Sistemas
Universidad Nacional de Trujillo
Nos espan
Nos atacan
Nos acosan
Analizar la circunstancia!
Nos acechan
y qu podemos hacer adems de aplicar defensas?
7
Auditora de Sistemas
Universidad Nacional de Trujillo
Concepto de Auditora
Segn la ISO 19011:2002:
Es un proceso sistmico, independiente y
documentado para obtener Evidencias de
Auditora y evaluarlas de manera objetiva con el
fin de determinar la extensin en que se cumplen
los Criterios de Auditora
8
Auditora de Sistemas
Universidad Nacional de Trujillo
Concepto de Auditora
Las Evidencias de Auditora comprenden a
registros, declaraciones de hechos o cualquier otra
informacin pertinente y verificable para los Criterios
de Auditora, que son un conjunto de polticas,
procedimientos o requisitos.
9
Auditora de Sistemas
Universidad Nacional de Trujillo
Concepto de Auditora
Los Hallazgos de Auditora son los resultados de la
Evidencia de Auditora recopilada frente a los
Criterios de Auditora, de tal manera que pueden
indicar conformidad con estos u oportunidades de
mejora
10
Auditora de Sistemas
Universidad Nacional de Trujillo
Concepto de Auditora
Actividad consistente en la
emisin de una opinin
profesional sobre si el objeto
sometido a anlisis presenta
adecuadamente la realidad
que pretende reflejar y/o
cumple las condiciones que
le han sido prescritas
11
Auditora de Sistemas
Universidad Nacional de Trujillo
Enfoque en administracin de riesgos
Valorhaciaelnegocio
Finanzas yContabilidad
Econmia,Eficiencia y
Eficacia de lasoperaciones
Alineacin con lavisin y misin
empresarial
Evolucin del enfoque de auditora
12
7/31/2019 ASSI Sesin T1 Auditoria de SI
3/5
Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas
Auditora de Sistemas
Auditora de Sistemas - Pgina 3
Auditora de Sistemas
Universidad Nacional de Trujillo
Caractersticas
Siempre es un proceso que se realiza a posteriori, enrelacin con actividades ya realizadas, sobre las que hay que
emitir una opinin:
Contenido
Condicin
Justificacin
Objeto
Finalidad13
Auditora de Sistemas
Universidad Nacional de Trujillo
Clasificacin
Auditora
Por el Sujeto
Interna
Externa
Por su Contenido yFines
De Gestin
Organizativa
Operacional
Financiera
Contable
Informtica
Econmica/Socala
Por su Amplitud
Total
Parcial
Por su Frecuencia
Permanente
Temporal
14
Auditora de Sistemas
Universidad Nacional de Trujillo
Clasificacin
Objeto Auditable
Gestin y Planificacin
Direccin
Tcnica de Sistemas
Calidad
Outsourcing
Desarrollo de Software
Ofimtica
Desarrollo
Mantenimiento
Explotacin
Aplicacin
Base de Datos
Hardware
Fsica
Redes
Seguridad Global
15
Auditora de Sistemas
Universidad Nacional de Trujillo
Auditora de Sistemas
Herramientas y mtodos para establecer criterios
que permitan medir la eficacia, eficiencia y
conformidad con los objetivos deseados de un
determinado sistema (el control del control)
16
Auditora de Sistemas
Universidad Nacional de Trujillo
Objetivos de las Auditoras
Cumplimiento de directivas, polticas, normas,
reglamentos y procedimientos de orden gubernamental e
institucional para la adquisicin, contratacin e instalacin
de bienes y servicios (para el desarrollo de la funcin
informtica)
Garantizar la seguridad (personas, datos, programas y los
equipos)
Comprobar el adecuado uso y resguardo de los recursos
informticos de la entidad 17
Auditora de Sistemas
Universidad Nacional de Trujillo
Objetivos de las Auditoras
18
Evaluar los controles establecidos para administrar la
infraestructura tecnolgica (aplicaciones, servidores de
datos, terminales, impresoras, comunicaciones, etc.)
Comprobar la consistencia y confiabilidad de los sistemas
7/31/2019 ASSI Sesin T1 Auditoria de SI
4/5
Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas
Auditora de Sistemas
Auditora de Sistemas - Pgina 4
Auditora de Sistemas
Universidad Nacional de Trujillo
Auditora de Sistemas de Informacin (ASI)
Evaluacin de la eficacia, eficiencia, economa yconformidad con los objetivos del Sistema de un
Informacin (SI)
19
Auditora de Sistemas
Universidad Nacional de Trujillo
Objetivos de Eficiencia de la ASI
Un SI efectivo alcanza sus objetivos Estos objetivos dependen de las caractersticas y
necesidades de los usuarios y de los canales y
procedimientos de decisin
Conocer si el SI utiliza el mnimo de recursos necesarios
para obtener las salidas requeridas
Medirse considerando el conjunto de procesos y los
recursos disponibles
20
Auditora de Sistemas
Universidad Nacional de Trujillo
Objetivos de Integridad de Datos de la ASI
Identificar en el SI (debe tener) los mecanismos que
vigilen constantemente el mantenimiento de la
integridad de los datos
21
Auditora de Sistemas
Universidad Nacional de Trujillo
Auditora de las Tecnologas de la Informacin (ATI)
Examen objetivo, crtico, sistemtico, eminentemente
posterior y selectivo de las polticas, normas, prcticas,
procedimientos y procesos con el fin de emitir una opinin
respecto a la eficiencia en la utilizacin de los recursosinformticos; la confiabilidad, consistencia, integridad y
oportunidad de la informacin y la efectividad de los
controles en los sistemas de informacin computarizados
22
Auditora de Sistemas
Universidad Nacional de Trujillo
Qu es la ATI?
Examen de carcter objetivo (independiente),
sistemtico (normas), crtico (evidencia), selectivo
(muestras) de las polticas, normas, prcticas,
funciones, procesos, procedimientos e informes
relacionados con los recursos informticos
23
Auditora de Sistemas
Universidad Nacional de Trujillo
Razones para realizar una Auditora
Desconocimiento de la situacin informtica de la
empresa
Descubrimientos de fraudes efectuados con el uso del
computador
Falta total o parcial de seguridades lgicas y fsicas que
garanticen la integridad del personal, equipos e
informacin Falta de documentacin o documentacin incompleta de
sistemas 24
7/31/2019 ASSI Sesin T1 Auditoria de SI
5/5
Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas
Auditora de Sistemas
Auditora de Sistemas - Pgina 5
Auditora de Sistemas
Universidad Nacional de Trujillo
Razones para realizar una Auditora
Falta de una planificacin informtica Inadecuadas especificaciones tcnicas
Falta de estndares en el anlisis, diseo y programacin
Descontento general de los usuarios
Nueva tecnologa no usada o usada incorrectamente
25
Auditora de Sistemas
Universidad Nacional de Trujillo
Para qu evaluar?
Saber si los recursos tecnolgicos se utilizan enforma eficiente y en concordancia con los
requerimientos del negocio
Verificar si se cumple con las polticas
corporativas y con las regulaciones y normas
Saber la fortaleza de los controles preventivos,
detectivos y correctivos en TI26
Auditora de Sistemas
Universidad Nacional de Trujillo
Para qu evaluar?
Establecer seguridad lgica a los sistemas
Garantizar el acceso al computador slo de
personas autorizadas al mismo
Seguridad de los sistemas a fin de contar con
informacin relevante en el momento preciso
27
Auditora de Sistemas
Universidad Nacional de Trujillo
Para qu evaluar?
Asegurar una mayor confidencialidad de la
informacin:
Con caracteres reservados
Exclusiva para funcionarios autorizados
Acceso de datos e informacin slo a personal
autorizado
Transacciones realizadas por un usuario queden
registradas28
Auditora de Sistemas
Universidad Nacional de Trujillo
Para qu evaluar?
Mejorar el funcionamiento del Sistema:
Deben ser probados con datos de prueba
Deben ser desarrollados dentro de un proceso
adecuadamente planificado
Entrenamiento y elaboracin de manuales respectivos,
que garanticen el buen uso del sistema
Mejoramiento de los controles de ingreso, salida,
almacenamiento y procesamiento de los datos29
Auditora de Sistemas
Universidad Nacional de Trujillo
Para qu evaluar?
Si la informacin de laorganizacin cumplecon:
Integridad
Confidencialidad
Disponibilidad
Completitud
30