Embed Size (px)
Citation preview
AUDITORIA INFORMATICA
Integrantes: Carlos Avendaño Sara Nahuelfil.
¿Qué es la Auditoria Informática?
• La Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto.
Consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información:
• Salvaguarda el activo empresarial.• Si mantiene la integridad de los datos ya que
esta lleva a cabo eficazmente los fines de la organización,
• Si utiliza eficientemente los recursos, • Cumple con las leyes y regulaciones
establecidas.
Agente Amenazante
Concreción de la
Amenaza
¿Bajo Nivel de Vulnerabilidad?
Daño a los equipos, datos o información
ConfidencialidadIntegridad Disponibilidad
Pérdida de•Dinero•Clientes•Imagen de la Empresa
Factores que propician la Auditoría Informática
Leyes gubernamentales.Políticas internas de la empresa.Necesidad de controlar el uso de equipos computacionales.Altos costos debido a errores.Pérdida de información y de capacidades de procesamiento de datos, aumentando así la posibilidad de toma de decisiones incorrectas.Valor del hardware, software y personal.Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organización.
Objetivos generales de la Auditoría en Informática• Asegurar la integridad, confidencialidad
y confiabilidad de la información. • Minimizar existencias de riesgos en el
uso de Tecnología de información • Conocer la situación actual del área
informática para lograr los objetivos. • Seguridad, utilidad, confianza,
privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones.
Auditoria de Sistemas de Barcelona (2004)
• Incrementar la satisfacción de los usuarios de los sistemas informáticos.
• Capacitación y educación sobre controles en los Sistemas de Información.
• Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información.
Auditoria de Sistemas de Barcelona (2004)
Objetivos generales de la Auditoría en Informática
Riesgo Informático
La Organización Internacional de Normalización (ISO) define riesgo tecnológico (Guías para la Gestión de la Seguridad) como:
La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto específico, el cual puede estar representado por pérdidas y daños.
AmenazaAcciones que pueden ocasionar consecuencias negativas en la plataforma informática disponible: fallas, ingresos no autorizados a las áreas de computo, virus, uso inadecuado de activos informáticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.
VulnerabilidadCondiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen.
Se manifiestan como debilidades o carencias:
•falta de conocimiento del usuario, tecnología inadecuada, fallas en la transmisión, inexistencia de antivirus, entre otros.
ImpactoConsecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras.
Perdida de dinero, deterioro de la imagen de la empresa, reducción de eficiencia, fallas operativas a corto o largo plazo, pérdida de vidas humanas, etc.
Administración de RiesgosLuego de efectuar el análisis de riesgo-impacto, el ciclo de administración de riesgo finaliza con la determinación de las acciones a seguir respecto:
•Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos controles.
•Eliminar el riesgo.
•Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informática).
•Aceptar el riesgo, determinando el nivel de exposición.
Normas de Auditoría Informática disponibles
• COSO (Committee of Sponsoring Organizations of the Treadway Commission, EEUU 1992).
• ITIL (Information Technology Infrastructure Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International Organization for Standardization/International Electrotechnical Commission, Inglaterra 2000).
• COBIT (Control Objectives for Information and Related Technology IT, EEUU 1998).
Modelo de evaluación del control interno en los sistemas, funciones,
procesos o actividades en forma íntegra.
Marco referencial que evalúa el proceso de gestión de los Servicios de tecnología de
información y de la infraestructura tecnología.
Guía de auditoria del sistema de gestión de
seguridad de la información para su protección.
Norma COBITCOBIT es la fusión entre prácticas de informática (ITIL, ISO/IEC 17799) y prácticas de control (COSO), las cuales plantean tres tipos de requerimientos de negocio para la información:
•De calidad (calidad, costo y entrega de servicio).
•Fiduciarios (efectividad y eficiencia de operaciones, confiabilidad de la información y cumplimiento de las leyes y regulaciones).
•De Seguridad (confidencialidad, integridad y disponibilidad).
Modelo de MadurezEscala de medición creciente a partir de 0 (No existente) hasta 5 (Optimizado) para la evaluación de los procesos a partir de los objetivos de control (IT Governance Institute, 2006).
Estado Actual de la empresa
Promedio de la Industria
Objetivo de la empresa
0 No se aplican procesos administrativos en lo absoluto
1 Los procesos son ad-hoc y desorganizados
2 Los procesos siguen un patrón regular
3 Los procesos se documentan y se comunican
4 Los procesos se monitorean y se miden
5 Las buenas prácticas se siguen y se automatizan
