ASSI Sesión T1 Auditoria de SI

7/31/2019 ASSI Sesin T1 Auditoria de SI

1/5

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas

Auditora de Sistemas

Auditora de Sistemas - Pgina 1


Universidad Nacional de Trujillo


Jaime E. Daz Snchez

Ing. Sistemas C.I.P. 73304

[email protected]



Agenda

2

Introduccin

Perfil de Auditor

reas de inters del Auditor de TI

Tipos de Auditoras de TI



Agenda

3

Introduccin

Concepto de Auditora

Clasificacin de las Auditoras

Objetivos de las Auditoras

Auditora de Sistemas de Informacin

Auditora de Tecnologa de Informacin

Razones para realizar Auditoras

El Perfil del Auditor



Evolucin de la Tecnologa

Desde los 90 hasta hoy

Internet E-Commerce

Rpida difusin de la informacin

Rompe paradigmas

Nuevo estndar Internet compatible

Prdida de intimidad

Seguridad la mayor preocupacin

Redes sociales

4



La Informacin

Segn la ISO/IEC 17799:2005:

Es un activo, que tal como otros importantes

activos del negocio, tiene valor para la compaa

y consecuentemente requiere ser protegida

adecuadamente.

Tiene valor estratgico, econmico, legal, etc.para la organizacin.

5



Donde encontramos informacin?

6


2/5






Nos espan

Nos atacan

Nos acosan

Analizar la circunstancia!

Nos acechan

y qu podemos hacer adems de aplicar defensas?

7




Segn la ISO 19011:2002:

Es un proceso sistmico, independiente y

documentado para obtener Evidencias de

Auditora y evaluarlas de manera objetiva con el

fin de determinar la extensin en que se cumplen

los Criterios de Auditora

8




Las Evidencias de Auditora comprenden a

registros, declaraciones de hechos o cualquier otra

informacin pertinente y verificable para los Criterios

de Auditora, que son un conjunto de polticas,

procedimientos o requisitos.

9




Los Hallazgos de Auditora son los resultados de la

Evidencia de Auditora recopilada frente a los

Criterios de Auditora, de tal manera que pueden

indicar conformidad con estos u oportunidades de

mejora

10




Actividad consistente en la

emisin de una opinin

profesional sobre si el objeto

sometido a anlisis presenta

adecuadamente la realidad

que pretende reflejar y/o

cumple las condiciones que

le han sido prescritas

11



Enfoque en administracin de riesgos

Valorhaciaelnegocio

Finanzas yContabilidad

Econmia,Eficiencia y

Eficacia de lasoperaciones

Alineacin con lavisin y misin

empresarial

Evolucin del enfoque de auditora

12


3/5






Caractersticas

Siempre es un proceso que se realiza a posteriori, enrelacin con actividades ya realizadas, sobre las que hay que

emitir una opinin:

Contenido

Condicin

Justificacin

Objeto

Finalidad13



Clasificacin

Auditora

Por el Sujeto

Interna

Externa

Por su Contenido yFines

De Gestin

Organizativa

Operacional

Financiera

Contable

Informtica

Econmica/Socala

Por su Amplitud

Total

Parcial

Por su Frecuencia

Permanente

Temporal

14



Clasificacin

Objeto Auditable

Gestin y Planificacin

Direccin

Tcnica de Sistemas

Calidad

Outsourcing

Desarrollo de Software

Ofimtica

Desarrollo

Mantenimiento

Explotacin

Aplicacin

Base de Datos

Hardware

Fsica

Redes

Seguridad Global

15




Herramientas y mtodos para establecer criterios

que permitan medir la eficacia, eficiencia y

conformidad con los objetivos deseados de un

determinado sistema (el control del control)

16




Cumplimiento de directivas, polticas, normas,

reglamentos y procedimientos de orden gubernamental e

institucional para la adquisicin, contratacin e instalacin

de bienes y servicios (para el desarrollo de la funcin

informtica)

Garantizar la seguridad (personas, datos, programas y los

equipos)

Comprobar el adecuado uso y resguardo de los recursos

informticos de la entidad 17




18

Evaluar los controles establecidos para administrar la

infraestructura tecnolgica (aplicaciones, servidores de

datos, terminales, impresoras, comunicaciones, etc.)

Comprobar la consistencia y confiabilidad de los sistemas


4/5






Auditora de Sistemas de Informacin (ASI)

Evaluacin de la eficacia, eficiencia, economa yconformidad con los objetivos del Sistema de un

Informacin (SI)

19



Objetivos de Eficiencia de la ASI

Un SI efectivo alcanza sus objetivos Estos objetivos dependen de las caractersticas y

necesidades de los usuarios y de los canales y

procedimientos de decisin

Conocer si el SI utiliza el mnimo de recursos necesarios

para obtener las salidas requeridas

Medirse considerando el conjunto de procesos y los

recursos disponibles

20



Objetivos de Integridad de Datos de la ASI

Identificar en el SI (debe tener) los mecanismos que

vigilen constantemente el mantenimiento de la

integridad de los datos

21



Auditora de las Tecnologas de la Informacin (ATI)

Examen objetivo, crtico, sistemtico, eminentemente

posterior y selectivo de las polticas, normas, prcticas,

procedimientos y procesos con el fin de emitir una opinin

respecto a la eficiencia en la utilizacin de los recursosinformticos; la confiabilidad, consistencia, integridad y

oportunidad de la informacin y la efectividad de los

controles en los sistemas de informacin computarizados

22



Qu es la ATI?

Examen de carcter objetivo (independiente),

sistemtico (normas), crtico (evidencia), selectivo

(muestras) de las polticas, normas, prcticas,

funciones, procesos, procedimientos e informes

relacionados con los recursos informticos

23



Razones para realizar una Auditora

Desconocimiento de la situacin informtica de la

empresa

Descubrimientos de fraudes efectuados con el uso del

computador

Falta total o parcial de seguridades lgicas y fsicas que

garanticen la integridad del personal, equipos e

informacin Falta de documentacin o documentacin incompleta de

sistemas 24


5/5






Razones para realizar una Auditora

Falta de una planificacin informtica Inadecuadas especificaciones tcnicas

Falta de estndares en el anlisis, diseo y programacin

Descontento general de los usuarios

Nueva tecnologa no usada o usada incorrectamente

25



Para qu evaluar?

Saber si los recursos tecnolgicos se utilizan enforma eficiente y en concordancia con los

requerimientos del negocio

Verificar si se cumple con las polticas

corporativas y con las regulaciones y normas

Saber la fortaleza de los controles preventivos,

detectivos y correctivos en TI26



Para qu evaluar?

Establecer seguridad lgica a los sistemas

Garantizar el acceso al computador slo de

personas autorizadas al mismo

Seguridad de los sistemas a fin de contar con

informacin relevante en el momento preciso

27



Para qu evaluar?

Asegurar una mayor confidencialidad de la

informacin:

Con caracteres reservados

Exclusiva para funcionarios autorizados

Acceso de datos e informacin slo a personal

autorizado

Transacciones realizadas por un usuario queden

registradas28



Para qu evaluar?

Mejorar el funcionamiento del Sistema:

Deben ser probados con datos de prueba

Deben ser desarrollados dentro de un proceso

adecuadamente planificado

Entrenamiento y elaboracin de manuales respectivos,

que garanticen el buen uso del sistema

Mejoramiento de los controles de ingreso, salida,

almacenamiento y procesamiento de los datos29



Para qu evaluar?

Si la informacin de laorganizacin cumplecon:

Integridad

Confidencialidad

Disponibilidad

Completitud

30

Documents

ASSI Sesión T1 Auditoria de SI