5
IUT – AGROINDUSTRIAL LOS ANDES - DEPARTAMENTO DE INFORMATICA PNF EN INFORMÁTICA: TRAYECTO 4 – TRIMESTRE 3 ASIGNATURA: AUDITORIA INFORMATICA Unidad 5: METODOLOGIAS DE AUDITORIA INFORMATICA 1 Profesor: Elixender Lamprea L. Unidad 4. METODOLOGIAS DE AUDITORIA INFORMATICA Introducción: Según el Diccionario de la Lengua de la Real Academia Española, METODO es el “modo de decir o hacer con orden una cosa”. Asimismo define el diccionario la palabra METODOLOGIA como el “conjunto de métodos que se siguen en una exposición científica o en una exposición doctrinal. Esto significa que cualquier proceso científico y normado debe estar sujeto a una disciplina de proceso definida con anterioridad que llamaremos Metodología, en nuestro caso: Metodología de Auditoría Informática. La Metodología es necesaria para que un equipo de profesionales alcance un resultado homogéneo tal como si lo hiciera uno solo, por lo que resulta habitual el uso de metodologías en empresas auditoras/consultoras profesionales, desarrolladas por expertos, para conseguir resultados homogéneos en equipos de trabajo heterogéneos. La informática crea unos riesgos informáticos de los que hay que proteger y preservar a la organización con un entramado de medidas. La doctrina de Seguridad de la Información trata del análisis y gestión del riesgo informático y sus medidas de control, y la calidad y la eficacia de las mismas es el objetivo a evaluar por la Auditoria Informática para poder identificar sus puntos débiles y mejorarlos. Las dos Metodologías de evaluación de sistemas por antonomasia son las de Análisis de Riesgos y las de Auditoria Informática, con dos enfoques distintos. La primera es estudiada en los conceptos de Seguridad Informática, para imponer controles, la segunda, en los conceptos de Auditoria Informática, para evaluarlos. En la Unidad 2, estudiamos que para mejorar la gestión y el control de la Información y las TI es necesario que las organizaciones puedan disponer de Una función de auditoría informática independiente, es decir una organización auditora, esto se logra si se aplica el siguiente esquema de organización: Seguridad de la Información Políticas de Seguridad Controles Generales Informáticos Áreas de TI - Usuarios Auditoria Informática Plan Auditor Dictámenes de Auditoría

Auditoria U4

Embed Size (px)

Citation preview

Page 1: Auditoria U4

IUT – AGROINDUSTRIAL LOS ANDES - DEPARTAMENTO DE INFORMATICA PNF EN INFORMÁTICA: TRAYECTO 4 – TRIMESTRE 3 ASIGNATURA: AUDITORIA INFORMATICA

Unidad 5: METODOLOGIAS DE AUDITORIA INFORMATICA 1 Profesor: Elixender Lamprea L.

Unidad 4. METODOLOGIAS DE AUDITORIA INFORMATICA

Introducción:

Según el Diccionario de la Lengua de la Real Academia Española, METODO es el “modo de decir o hacer con orden una cosa”. Asimismo define el diccionario la palabra METODOLOGIA como el “conjunto de métodos que se siguen en una exposición científica o en una exposición doctrinal. Esto significa que cualquier proceso científico y normado debe estar sujeto a una disciplina de proceso definida con anterioridad que llamaremos Metodología, en nuestro caso: Metodología de Auditoría Informática. La Metodología es necesaria para que un equipo de profesionales alcance un resultado homogéneo tal como si lo hiciera uno solo, por lo que resulta habitual el uso de metodologías en empresas auditoras/consultoras profesionales, desarrolladas por expertos, para conseguir resultados homogéneos en equipos de trabajo heterogéneos. La informática crea unos riesgos informáticos de los que hay que proteger y preservar a la organización con un entramado de medidas. La doctrina de Seguridad de la Información trata del análisis y gestión del riesgo informático y sus medidas de control, y la calidad y la eficacia de las mismas es el objetivo a evaluar por la Auditoria Informática para poder identificar sus puntos débiles y mejorarlos. Las dos Metodologías de evaluación de sistemas por antonomasia son las de Análisis de Riesgos y las de Auditoria Informática, con dos enfoques distintos. La primera es estudiada en los conceptos de Seguridad Informática, para imponer controles, la segunda, en los conceptos de Auditoria Informática, para evaluarlos. En la Unidad 2, estudiamos que para mejorar la gestión y el control de la Información y las TI es necesario que las organizaciones puedan disponer de Una función de auditoría informática independiente, es decir una organización auditora, esto se logra si se aplica el siguiente esquema de organización:

Seguridad de la Información Políticas de Seguridad

Controles Generales Informáticos Áreas de TI - Usuarios

Auditoria Informática • Plan Auditor • Dictámenes de Auditoría

Page 2: Auditoria U4

IUT – AGROINDUSTRIAL LOS ANDES - DEPARTAMENTO DE INFORMATICA PNF EN INFORMÁTICA: TRAYECTO 4 – TRIMESTRE 3 ASIGNATURA: AUDITORIA INFORMATICA

Unidad 5: METODOLOGIAS DE AUDITORIA INFORMATICA 2 Profesor: Elixender Lamprea L.

El Plan Auditor Informático: Es el esquema metodológico más importante del Auditor Informático. En este documento se debe describir todo sobre esta función y el trabajo que realiza en la entidad y debe estar en sintonía con el resto de planes informáticos de la organización. Las partes de un plan auditor deben ser al menos las siguientes: • Funciones. Ubicación de la figura en el organigrama de la empresa. Debe

existir una clara segregación de funciones, organización interna y recursos asignados.

• Procedimientos bien definidos para las distintas tareas de las auditorias. Entre ellos están: Apertura, Entrega y Discusión de debilidades, Entrega de Informe preliminar, Cierre de Auditoría, Redacción de Informe Final.

• Tipos y Áreas de auditorías que realiza. Metodologías, técnicas y herramientas de las mismas.

• Sistemas de evaluación y los distintos aspectos que evalúa y característica global final, por ej. Niveles Bien (B), Regular (R) o Mal (M) significando la visión de gravedad. Esta evaluación final nos servirá para definir la fecha de repetición de la misma auditoria en el futuro según el nivel de exposición que se le haya dado a este tipo de auditoría.

• Nivel de exposición. Como ejemplo veamos la figura que presenta el siguiente ciclo de auditorías:

Nivel de Exposición Evaluación Frecuencia 10 – 9 “B” 18 Meses

“R” 9 “M” 6

8 – 7 “B” 18 “R” 12 “M” 9

6 – 5 “B” 24 “R” 18 “M” 12

4 – 1 “B” 36 “R” 24 “M” 18

El valor del nivel de exposición significa la suma de factores como impacto, peso del área, criticidad, situación de control en el área, etc. Se puede rebajar el nivel de un área auditada porque está muy bien y no merece la pena revisarla tan a menudo.

• Lista de distribución de Informes. • Seguimiento de las acciones correctoras. • Plan quinquenal. Todas las aéreas a auditar deben corresponderse con

cuestionarios metodológicos y deben repartirse en 4 o 5 años de trabajo. Esta planificación, además de las repeticiones y añadido de nuevas auditorias deberán componer el Plan Anual de auditorias.

• Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer un calendario con horas de trabajo previstas y recursos requeridos.

Page 3: Auditoria U4

IUT – AGROINDUSTRIAL LOS ANDES - DEPARTAMENTO DE INFORMATICA PNF EN INFORMÁTICA: TRAYECTO 4 – TRIMESTRE 3 ASIGNATURA: AUDITORIA INFORMATICA

Unidad 5: METODOLOGIAS DE AUDITORIA INFORMATICA 3 Profesor: Elixender Lamprea L.

Las metodologías de auditoría informática son del tipo cualitativo/subjetivo. Podemos decir que son subjetivas por excelencia. Por tanto están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen una gran profesionalidad, formación continuada y cumplimiento de los principios deontológicos y códigos de ética establecidos. Solo así esta función se consolidará en las organizaciones por el “respeto profesional” a los que ejercen la función. EJEMPLO DE METODOLOGIA DE AUDITORIA DE UNA APLICACION Metodología de trabajo: Revisión de Controles sobre Aplicaciones Objetivo: Determinar que los sistemas producen informaciones exactas y completas en el momento oportuno. Esta área es tal vez la más importante en el trabajo de auditorías informáticas. Programa de Revisión:

1. Identificar el área a revisar (por ej. A partir del calendario del plan auditor) notificar al responsable del área y prepararse utilizando papeles de trabajo de auditorías anteriores si las hubiere.

2. Identificar información necesaria para la auditoría y para las pruebas. 3. Obtener información general del sistema. Definir los objetivos y

alcance de la auditoría e identificación de usuarios específicos (plan de entrevistas)

4. Obtener conocimiento detallado de la aplicación/sistema. Ejecución de entrevistas, examen de documentación de usuarios, técnica, de desarrollo y de operación, aspectos de flujo de datos, bases de datos, periodicidad, programas fuentes, librerías, estructuras de datos, diccionarios, controles, logs de auditoría.

5. Identificar los puntos de control críticos en el sistema. Utilizando organigramas de flujos de datos, entrevistas, documentación técnica, identificación de puntos de riesgo, interfaces entre procedimentos manuales y automáticos.

6. Diseño y elaboración de los procedimientos de auditoría. 7. Ejecución de pruebas en los puntos críticos de control. Se podría

incluir la necesidad de uso de herramientas informáticas de ayuda a la revisión. Se revisa el cumplimiento de procedimientos para verificar el cumplimiento de los estándares y los procedimientos formales, así como los procesos descritos por los flujos de datos y/o diagramas de actividades y casos de uso de la aplicación. Así se verifican los controles internos del cumplimiento de a) Planes, políticas, procedimientos, estándares, b) del trabajo de la organización, c) requerimientos legales, d) principios generales de contabilidad y e) prácticas generales de informática. Se hacen revisiones y pruebas substantivas como resultado de la revisión del cumplimiento de los procedimientos. Si las pruebas de cumplimiento son positivas se podrían limitar las pruebas substantivas.

Page 4: Auditoria U4

IUT – AGROINDUSTRIAL LOS ANDES - DEPARTAMENTO DE INFORMATICA PNF EN INFORMÁTICA: TRAYECTO 4 – TRIMESTRE 3 ASIGNATURA: AUDITORIA INFORMATICA

Unidad 5: METODOLOGIAS DE AUDITORIA INFORMATICA 4 Profesor: Elixender Lamprea L.

Dentro de este punto del programa de auditoría se pueden analizar los siguientes controles: (Véase Objetivos de Control Cobit) • Controles de preparación de datos • Controles de entrada de datos • Controles de tratamiento y actualización de datos • Controles de salida de datos • Controles de documentación técnica, de usuario, de cambios • Controles de backup y restore • Controles sobre el programa de auditoría del sistema • Controles de satisfacción de usuarios.

Informe Previo: Para mantener una buena relación con el área auditada, se emite un informe previo de los puntos principales de la revisión. Esto da a los responsables del área revisada la posibilidad de contribuir a la elaboración del informe final y permitirá una mejor aceptación por parte de ellos. Informe Final de la Revisión: Después de una reunión con los responsables del área se emite el informe final describiendo los puntos de control interno de la siguiente manera:

• Opinión global (Conclusión) • Problema(s) especifico(s) • Explicación de la violación de cuantos controles internos, planes

organizacionales, estándares y normas • Descripción de los riesgos, exposición o pérdidas que resultarían de las

violaciones. • Cuando sea posible se identificara el impacto económico, dando

soluciones especificas y prácticas a cada problema • Se identificaran las personas que se responsabilizaran de cada aspecto

de las soluciones. • Las recomendaciones son razonables, verificables, interesantes

económicamente y tienen en cuenta el tamaño de la organización. • El informe debe tener un tono constructivo. Si es apropiado se anotan

los puntos fuertes. • Para su distribución se preparará un resumen del informe • Después de la revisión del informe final con los responsables del área

auditada se distribuirá a las otras personas autorizadas.

El área auditada tiene la posibilidad de aceptar o rechazar cada punto de control. Todos los puntos de control se explicaran por escrito. El área acepta los riesgos implícitos de la debilidad encontrada por el auditor. Se hace un seguimiento de la implantación de las recomendaciones para asegurarse de que el trabajo de revisión produce resultados concretos.

Page 5: Auditoria U4

IUT – AGROINDUSTRIAL LOS ANDES - DEPARTAMENTO DE INFORMATICA PNF EN INFORMÁTICA: TRAYECTO 4 – TRIMESTRE 3 ASIGNATURA: AUDITORIA INFORMATICA

Unidad 5: METODOLOGIAS DE AUDITORIA INFORMATICA 5 Profesor: Elixender Lamprea L.

Metodología ISACA (Information System Audit and Control Association)

ISACA es una asociación creada en 1969 y entre sus funciones, desarrolla estándares internacionales de aseguramiento, auditoría y control de sistemas de información y marcos de trabajo que ayudan a sus miembros a garantizar la confianza y el valor de los sistemas de información. Ha creado el Código de Ética de cumplimiento obligatorio por parte de los Auditores que obtienen la certificación CISA (Certified Information Systems Audit). Para facilitar el cumplimiento de la función de auditoría ISACA ha establecido el esquema de trabajo que incluye: Estándares de Auditoría, Guías de Auditoria, Herramientas de Auditoria y el Marco de Trabajo COBIT que incluye los Objetivos de Control. Todos estos documentos son accesibles en la página web de ISACA, no todos son posibles en español pero es importante referenciar este marco de trabajo para los estudiantes, practicantes y profesionales de auditoría informática. En la dirección: http://www.isaca.org/Knowledge-Center/Standards/IT-Audit-and-Assurance/Pages/ObjectivesScopeandAuthorityofITAudit.aspx Puede descargar el documento maestro de la metodología ISACA sobre Estandares, Guías, Herramientas y Técnicas para la Auditoria y Aseguramiento y Control Profesionales bajo el titulo “IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals. En la página 7 encontrará los siguientes índices y luego el detalle de los contenidos: Componentes Index of IT Audit and Assurance Documentos Estandares Standards S1 – S16 Guías de Auditoria Guidelines G1 – G42 Herramientas y Técnicas Tools and Techniques P1 – P11 Además, en esa misma dirección, puede acceder a enlaces (View Standars, View Guidelines, View Tools and Techniques) para visualizar o descargar cada uno de los documentos Sn, Gn o Pn específicos. Solo los estándares pueden accederse y descargarse en Español. ASIGNACION E1 (Trabajo en Equipo): Primera Entrega (Trabajo de Metodología de Auditoria Informática) Para el Área de Auditoría que le corresponde a su equipo de trabajo, desarrollar un informe de Planificación de Auditoria que considere y contemple los documentos correspondientes a la aplicación de los siguientes estándares: S1, S5, S6, S7, S9, S11, S14 y S15. Recomendación: para la mejor comprensión y aplicación de la especificación de los estándares anteriores lea e intérprete los comentarios asociados a cada Sn.


M5 U4 Extenso

M5 U4 Extenso

Documents
Presentación U4

Presentación U4

Documents
Lectura U4.docx

Lectura U4.docx

Documents
U4 - Negociación

U4 - Negociación

Education
TBD U4 - Seguridad

TBD U4 - Seguridad

Documents
u4 Algebra Booleana

u4 Algebra Booleana

Documents
Act Central u4

Act Central u4

Documents
1 u4 ciclo_devidacalidad

1 u4 ciclo_devidacalidad

Documents
Apostila_D2 - U4 - Final

Apostila_D2 - U4 - Final

Documents
U4 Farneda Mendez

U4 Farneda Mendez

Documents
Fisica general u4

Fisica general u4

Documents
U4 este soyyo_indicaciones4to

U4 este soyyo_indicaciones4to

Documents
U4 habitatge

U4 habitatge

Documents
U4 aula tecnologia

U4 aula tecnologia

Education
Ne Resumen u4

Ne Resumen u4

Documents
Actividad U4

Actividad U4

Documents
Taller U4 asee

Taller U4 asee

Documents
apuntes u4

apuntes u4

Documents
U4 grammarpractice1

U4 grammarpractice1

Education
Filosofiader u4 4

Filosofiader u4 4

Education
Resueltos U4

Resueltos U4

Documents
Positionsplan Baugrube Teil 1 Bereich Neubau Kasernstraße ... · Kanal in U3 Kanal in U3 Kanal in U3 Kanal in U3 Kanal in U3 Wand in U4 Wand in U4 Wand in U4 Wand in U4 Wand in U4

Positionsplan Baugrube Teil 1 Bereich Neubau Kasernstraße ... · Kanal in U3 Kanal in U3 Kanal in U3 Kanal in U3 Kanal in U3 Wand in U4 Wand in U4 Wand in U4 Wand in U4 Wand in U4

Documents
U4 enchúfate indicaciones5to

U4 enchúfate indicaciones5to

Documents
Autoevaluación U4

Autoevaluación U4

Documents
U4 clase-01

U4 clase-01

Documents
FORMATO MATE PULIDO RÚSTICO 30X60 U4 P3 E3 C2 U4 P3 E3 C2eurocoverings.com/wp-content/uploads/2018/04/ALCALAGRES... · 2018-04-20 · 30x60 u4 p3 e3 c2 u4 p3 e3 c2 60x60 u4 p4 e3

FORMATO MATE PULIDO RÚSTICO 30X60 U4 P3 E3 C2 U4 P3 E3 C2eurocoverings.com/wp-content/uploads/2018/04/ALCALAGRES... · 2018-04-20 · 30x60 u4 p3 e3 c2 u4 p3 e3 c2 60x60 u4 p4 e3

Documents
Ingresos u4

Ingresos u4

Documents
Compendio U4

Compendio U4

Documents
U4. elasticidad

U4. elasticidad

Documents
Programacion entera u4

Programacion entera u4

Engineering