2 - Introduccion de Auditoria Informatica - Fundamentos
2 - Introduccion de Auditoria Informatica - Fundamentos
2 - Introduccion de Auditoria Informatica - Fundamentos
FUNDAMENTOS TEÓRICOS
AUDITORÍA
Nuevas ideas sobre Auditoría
1. Tiene que ser percibida como un valor
agregado a la organización.
2. Los auditores internos deben adoptar la
perspectiva de la cadena entera de valor.
3. Ver más allá de sus propios procesos para
reflejarse como conductores de servicios
organizacionales.
4. Los estándares y otras guías profesionales no
sólo deben orientar la profesión, sino también,
lograr simbolizar una calidad distintiva en el
mercado.
Nuevos retos a superar
• Mayor productividad
• Reducción de costos
• Mayor calidad y
confiabilidad
• Menor plazo de
entrega de los trabajos
• Servicios de valor
agregado
Como Compramos Hoy?
Ir al Banco
tecnología NFC
Actividad
Leer el Diario
Nuevos Negocios
TI y Empresas
En cualquier tipo de organización, se debe dejar bien establecido cómo debe fluir la comunicación, las funciones de cada rol,
niveles de autoridad, acceso a la información, responsabilidades e instrucciones.
¿Qué incluyen los SI?
Elementos: Tiempo, presupuesto, normas y metodologías.
• El tiempo en toda organización es un recurso que debe monitorearse
y gestionar las desviaciones cuando estas ocurren, identificar las
causas con la finalidad de atender de manera oportuna todos los
compromisos del área de sistemas y de la organización en general.
• Otro de los recursos que se debe gestionar es el presupuesto, ya que
será el motor que dará vida a las actividades planeadas en el
departamento de sistemas así como de la organización.
• Por otra parte, debido a que las organizaciones cada vez más, buscan
mantenerse en un nivel de competitividad y posicionamiento
internacional, es necesario demostrar que sus procesos pueden
soportar los rigurosos estándares internacionales, tales como normas
y metodologías (ISO (International Organization for Standardization), 6-
Sigma, CMMI (Capability Maturity Model Integration), PSP (Personal
Software Process), infraestructura ITIL (Information Technology
Infrastructure Library), área de redes el modelo de Cisco Systems ,
COBIT 5, COSO, etc.)
¿4 actividades básicas de un SI?
1. Entrada de Información
– Manuales o automáticas (interfaces)
2. Almacenamiento de Información
– Recuperar la información guardada
– Archivos, Bases de Datos (dispositivos de
almacenamiento)
3. Procesamiento de la Información
– Efectuar cálculos de acuerdo con una secuencia
de operaciones preestablecidas
4. Salida de Información
– Capacidad de sacar la información procesada o
bien datos de entrada al exterior (printers, plotters,
etc.)
¿Actividades que producen información
para un SI?
ENTORNO
Proveedores Clientes
ORGANIZACION
SISTEMA DE INFORMACIÓN
Retroalimentación
CLIENTES
GOBIERNO
Dinero
Labor
ORGANIZACIÓN
Dinero
Dinero
DEUDORES
PROVEEDORES
PROPIETARIOS /
ACCIONISTAS
Los Sistemas de Información (Funciones)
32
APLICACIONES
Sistemas de Información (Demanda)
–Necesidades de Información
–Requermientos del Negocio
¿Que es la auditoría?
Es la revisión independiente
que realiza un auditor
profesional, aplicando técnicas,
métodos y procedimientos
especializados, a fin de evaluar
el cumplimiento de funciones,
actividades, tareas y
procedimientos de una
organización (área - TI), así
como dictaminar sobre el
resultado de dicha evaluación.
Muñoz (2002,34)
¿Que es la auditoría?
El fin de aplicar una auditoría es para evaluar el
cumplimiento en funciones, actividades tareas y
procedimientos, para lo cual el auditor utiliza sus
conocimientos y herramientas especializadas, para llegar
a producir un informe de resultados, en el que plasmará
su opinión sobre las desviaciones y observaciones
detectadas para que los involucrados conozcan el estado
del área auditada (TI).
Hoy en día existen muchas empresas que se dedican a
dar servicios de auditoría, quienes cuentan con personal
calificado para cada tipo de auditoría y de esta manera
garantizar que tienen la facultad de poder emitir
recomendaciones que realmente aporten mejoras
sustantivas a la organización.
Muñoz (2002,34)
¿Que es la auditoría?
Otra definición de auditoría informática es la siguiente:
Automatización de
Beneficios
los procesos y
para alcanzar
prestación de
los objetivos
servicios
Recursos
TIC´s
Información
Aumento de la
como recurso
productividad
estratégico
Magnitud de
los costos e
inversiones
TIC
Actividad
Auditoría informática
VS
Peritaje Informático
Auditoría informática (i) definición
La auditoría informática es el proceso de recoger, agrupar y
evaluar evidencias para determinar si un Sistema de
Información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, y cumple con las
leyes y regulaciones establecidas.
• Auditoría informática
• Auditoría con la computadora
• Auditoría sin la computadora
• Auditoría a la gestión informática
• Auditoría al sistema de cómputo
• Auditoría en el entorno de la computadora
• Auditoría sobre la seguridad de sistemas computacionales
• Auditoría a los sistemas de redes
• Auditoría integral a los centros de cómputo
• Auditoría ISO-9000 a los sistemas computacionales
• Auditoría outsorcing
• Auditoría ergonómica de sistemas computacionales
Actividad
Objetivos generales de la
Auditoría en Informática
• Asegurar la integridad, confidencialidad
y confiabilidad de la información.
• Minimizar existencias de riesgos en el
uso de Tecnología de información
• Conocer la situación actual del área
informática para lograr los objetivos.
• Seguridad, utilidad, confianza,
privacidad y disponibilidad en el
ambiente informático, así como también
seguridad del personal, los datos, el
hardware, el software y las instalaciones.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la
Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Auditoría y riesgo Informático
Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible:
fallas, ingresos no autorizados a las
áreas de computo, virus, uso
inadecuado de activos informáticos,
desastres ambientales (terremotos,
inundaciones), incendios, accesos
ilegales a los sistemas, fallas
eléctricas.
Pueden ser de tipo lógico o físico.
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
Confidencialidad
(Daños intencionales o no)
Integridad
Objetivos: Desafío, Disponibilidad
ganancia financiera/política,
daño Pérdida de
•Dinero
Causa Física (Natural o no)
•Clientes
•Imagen de la Empresa
Tratar de evitar el
Cuando fallan los
hecho
preventivos para
tratar de conocer
Disuasivos Preventivos cuanto antes el
evento
Amenaza o
Riesgo
Vuelta a la Tmin
normalidad cuando
se han producido Detectivo Correctivo
incidencias
Normas de Auditoría Informática
disponibles Guía de auditoria del
sistema de gestión de
• COSO (Committee seguridad
of Sponsoring
de la información
Organizations of the Treadway
paraCommission,
su protección.
EEUU 1992).
• ITIL (Information Technology Infrastructure
Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000). ISO/IEC 27001.
• evaluación
Modelo de COBIT 5 del(ControlMarco referencial
Objectives que evalúa
for Information
control interno el proceso
en los Technology
and Related IT, de gestión
EEUU de los
1998).
sistemas, funciones, Servicios de tecnología de
procesos o actividades en información y de la
forma íntegra. infraestructura tecnología.
Actividad
Normas de Auditoría Informática
disponibles
• COSO (Committee of Sponsoring
Organizations of the Treadway Commission,
EEUU 1992).
• ITIL (Information Technology Infrastructure
Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000). ISO/IEC 27001.
• COBIT 5 (Control Objectives for Information
and Related Technology IT, EEUU 1998).
Actividad
Normas de Auditoría Informática
disponibles Guía de auditoria del
sistema de gestión de
seguridad de la información
para su protección.