ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
UNIDAD 1: CONTROL INTERNO Y AUDITORÍA DE SISTEMAS DE
INFORMACIÓN.
Contes...
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
CUESTIONARIO DE REPASO DEL TEXTO
1. ¿Qué cambios en las empresas provoca...
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
Control Interno Informático.- Informa a la Dirección del Departamento de...
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
 Planes adecuados de implantación, conversión y pruebas de aceptación
p...
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
UNIDAD 2: METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y LA
AUDITORÍA DE S...
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
11. (V) Los Elementos de información son todos los componentes que conti...
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
* Cualitativas: se enfoca en lo más amplio, es decir tiene un plan flexi...
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
* Contingencia Informática.
* Contingencia Corporativa.
Diferencias: La ...
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
8. ¿Qué papel tiene las herramientas de control en los controles?
Las he...
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
6. (F) El estatuto de auditoría de los SI es cualquier documento donde s...
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
CUESTIONARIO DE REPASO DEL TEXTO
1. Identifique tres aspectos importante...
ALEXANDRA CAGUANA JUCA
AUDITORIA INFORMATICA UTPL
Se podría decir que un total de la integración de los SI en los procesos...
Próxima SlideShare
Cargando en…5
×

Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..

262 visualizaciones

Publicado el

AUTOEVALUACIONES Y EVALUACIONES DE: CONTROL INTERNO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN, METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE SI YDEPARTAMENTO DE AUDITORÍA DE SI - DASI - Y ÉTICA DEL AUDITOR DE LOS SI.

Publicado en: Educación
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
262
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
3
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..

  1. 1. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL UNIDAD 1: CONTROL INTERNO Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN. Conteste correctamente la siguiente autoevaluación (seleccione una respuesta correcta en cada pregunta de múltiples opciones o caso contrario conteste V si es verdadero o F si es falso): 1. (F) El Control Interno Informático asegura que las medidas de los mecanismos implantados sean solamente correctas. 2. (F) La Auditoría Informática es el proceso de recoger evidencias para determinar si un control es válido. 3. (V) Los informes del Control Interno Informáticos son enviados a la Dirección de Departamento de Informática. 4. (V) Los Controles Detectivos son usados para conocer donde está la falla porque el control preventivo no funcionó. 5. (F) Los Controles Correctivos son usados para evitar que ciertos riesgos del sistema de información se ejecuten. 6. Cuál de los controles de la siguiente lista no es un control general organizativo. a. Estándares b. Políticas c. Metodología del Ciclo de Vida d. Políticas del Personal 7. Dentro de los controles generales organizativos – planificación, a que planes se debe efectuar el control: a. Plan a corto, mediano y largo plazo. b. Plan Estratégico de Información, Informático, General de Seguridad y de emergencia de desastre. c. Plan de gestión de recursos. d. Plan de procedimientos de elección de sw y hw. 8. (V) El auditor es el responsable de revisar e informar a la Dirección de Informática el funcionamiento de los controles implantados. 9. (F) La Dirección de Informática, define las directrices para los sistemas de información en base a la exigencia del negocio, que podrán ser internas o externas. 10. (F) El Plan Informático, garantiza la confidencialidad, integridad y disponibilidad de la información.
  2. 2. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL CUESTIONARIO DE REPASO DEL TEXTO 1. ¿Qué cambios en las empresas provocan tensión en el control interno existente? *La restauración de los procesos empresariales * La gestión de la calidad total * El rendimiento por reducción o por aumento del tamaño hasta el nivel correcto *La concentración externa * La descentralización 2. ¿Cuáles son las funciones del control interno informático? * Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, asegurándose de su cumplimiento. * Asesorar sobre el conocimiento de las normas. * Colaborar y apoyar el trabajo de auditoría informática así como la auditoría externa del grupo * Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático. * Seguridad informática * Licencias y relaciones contractuales con terceros * Asesorar y transmitir cultura sobre el riesgo informático. 3. ¿Cuáles son los objetivos de la Auditoria informática? * Objetivos de protección de activos e integridad de datos * Objetivos de gestión que abarcan la eficacia y eficiencia 4. ¿Cuáles son las semejanzas y diferencias entre Control Interno y Auditoria Informática. Semejanzas: Personal interno Conocimiento especializado de TI Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección Informática y Dirección General de Sistemas Diferencias: Control Interno Informático.- Análisis de los controles día a día; Auditor Informático: Análisis en el momento informático determinado Control Interno Informático.- Solo personal Interno Auditor Informático:, Personal interno y/o externo
  3. 3. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL Control Interno Informático.- Informa a la Dirección del Departamento de Informática Auditor Informático: Informa a la Dirección General de la Organización, Control Interno Informático.- tiene alcance sobre el De Departamento de Informática Auditor Informático tiene cobertura sobre todos los componentes de los sistemas de información de la Organización. 5. Ponga ejemplos de controles correctivos en diversas áreas informáticas. • Recuperación de un archivo defectuoso por medio de las copias de seguridad. • Puesta en marcha de un servidor caído, con otro que hacía de espejo. • Si un número indeterminado de persona accede a los servidores se implantaría un sistema de seguridad dactilar para acceso a los servidores • Si las personas del departamento Informático acceden a redes sociales u otros tipos de descargas de archivos, implantar software que impida 6. ¿Cuáles son los principales controles en el área de desarrollo?  La Alta Dirección debe publicar normativas sobre el uso de metodologías del ciclo de vida de un sistema y revisarlo periódicamente  Estándares de prueba de programas y sistemas  Plan de validación, verificación y pruebas  La metodología debe establecer responsabilidades de las áreas del departamento de Informática y usuarios; así como composición y responsabilidades del equipo de proyecto.  Las especificaciones del nuevo sistema debe ser definida por los usuarios y estar escritas y aprobadas antes de iniciar el desarrollo  Establecer estudios tecnológicos de vialidad en el cual se formulen alternativas para alcanzar los objetivos del proyecto (costo-beneficio)  Seleccionada la alternativa debe realizase un plan director del proyecto donde debe existir la metodología de control de costos.  Plan de conversión  El software que se adquiera debe seguir la políticas de adquisición de la  organización, los productos deben ser probados y revisados antes del pago  La contratación de programas a medida ha de ser justificada mediante petición escrita del director del proyecto.  Deberán prepararse manuales de operación, mantenimiento y del usuario. 7. ¿Qué procesos definiría para controlar la informática distribuida y redes?
  4. 4. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL  Planes adecuados de implantación, conversión y pruebas de aceptación para la red  Existencia de un grupo de control de red  Controles que asegurar la compatibilidad del conjunto de datos entre aplicaciones en red distribuida  Procedimientos que definan las medidas y controles de seguridad a usarse en la red en conexión con la distribución del contenido entre departamento que usan la red.  Que se identifique todos los conjuntos de datos sensibles de la red y que se han determinado las especificaciones para su seguridad.  Existencia de inventarios de todos los activos de la red.  Procedimiento de respaldo del hardware y software de la redo Existencia de mantenimiento preventivo de todos los activos.  Existencia de controles que verifiquen que todo los mensajes de salida se validad de forma rutinaria para asegurar que contienen direcciones de destino válidas. 8. ¿Qué controles se deberían establecer en las aplicaciones? * Control de entrada de datos * Controles de tratamiento de datos * Controles de salida de datos 9. ¿Cómo justificaría ante un directivo de empresa la inversión necesaria en control y auditoria informática? Sencillamente teniendo en cuenta que si no aplica los controles internos en su empresa, institución u organización esta será un desorden, porque no habrá parámetros, o un control de cómo hacer las cosas, y si no hace la auditoria informática, no va a estar al tanto de que todo marcha bien en cuanto a esa área. 10.Describa la Informática como modo de estructuración de las empresas. La informática en una empresa en estos tiempos es muy importante ya que las pequeñas, medianas y grandes empresas brindan un servicio muy amplio, por así decirlo, por ello necesita de la informática para que la realización de todas las tares que se hagan, se realicen de una forma rápida y fácil. No hay un modo específico de como describir la informática como modo de estructuración de una empresa ya que estas son muy diferentes i la informática se aplica en formas diferente, en otras palabras la informática se le aplicara a la empresa dependiendo de la empresa.
  5. 5. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL UNIDAD 2: METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y LA AUDITORÍA DE SI. Conteste correctamente la siguiente evaluación (seleccione una respuesta correcta en cada pregunta de múltiples opciones o caso contrario conteste V si es verdadero o F si es falso): 1. (F) El método es un conjunto de herramientas y técnicas, que juntas, dan como resultado un producto en particular. 2. (V) El factor más importante de una contramedida es la Organización, ya que sin él, nada es posible. 3. Cuando hablamos de la situación creada por la falta de uno o varios controles, nos referimos a: a. Amenaza b. Vulnerabilidad c. Riesgo d. Impacto 4. Si la organización crea/tiene un sistema de detección y extinción de incendios, es para que el riesgo sea: a. Evitado b. Transferido c. Reducido d. Asumido 5. (V) Las metodologías cualitativas son basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo y seleccionar en base a la experiencia. 6. (V) Las metodologías de Análisis de Riesgo están desarrolladas para la identificación de la falta de controles y el establecimiento de un plan de contramedidas. 7. (F) En este sentido, la Seguridad Informática sirve para la protección de la información, en contra de amenazas o peligros, para evitar daños y para maximizar riesgos, relacionados con ella. 8. (F) La Gestión de Riesgo es un método solo para clasificar el riesgo y posteriormente implementar mecanismos que permitan controlarlo. 9. (V) En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su perdida y modificación no-autorizado. 10. (V) El objetivo de la protección de datos no son los datos en sí mismo, sino el contenido de la información sobre personas, para evitar el abuso de ésta.
  6. 6. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL 11. (V) Los Elementos de información son todos los componentes que contienen, mantienen o guardan información. También se los conoce como Activos o Recursos. 12. (F) Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que no puede producir un daño. 13. (F) Riesgo = Probabilidad de Amenaza x Vulnerabilidad. 14. (V) Plan de Contingencias es una estrategia planificada constituida por un conjunto de recursos, una organización de emergencia y unos procedimientos. 15. Las fases de un Plan de Contingencias son: a. Análisis y Diseño. b. Desarrollo del Plan c. Pruebas y Mantenimiento d. Todas las anteriores 16. (F) El Plan del Auditor Informático es el mismo que el Plan de Contingencias. 17. Cuando se habla de un valor definido que permite definir la fecha de la repetición de la misma auditoría, en base a la evaluación final de la última auditoría realizada sobre ese tema, se refiere a : a. Funciones b. Procedimientos c. Planes d. Nivel de Exposición 18. (V) En el Plan de trabajo anual se debe estimar tiempos de manera racional y componer un calendario que dé un resultado de horas de trabajo previstas y, por tanto, los recursos que se necesitarán. CUESTIONARIO DE REPASO DEL TEXTO 1. ¿Qué diferencia y similitudes existen entre las metodologías cualitativas y las cuantitativas? ¿Qué ventajas y que inconvenientes tienen? * Diferencias: las cuantitativas se basan en un modelo matemático numérico y las cualitativas se basan en el razonamiento humano. * Similitudes: ambas están orientadas a establecer y mejorar las contramedidas que aseguren que la probabilidad que una amenaza se materialice, sea lo más baja posible. * Ventajas.
  7. 7. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL * Cualitativas: se enfoca en lo más amplio, es decir tiene un plan flexible y reductivo que se concentra en identificar eventos, además incluye elementos intangibles. * Cuantitativas: se especializa en pensamientos a través del uso de números. Ayuda con la comparación de puntos débiles y entrega cifras acorde a cada contramedida. * Desventajas. * Cualitativas: Depende mucho de la habilidad, calidad y experiencia del personal involucrado, puede obviar riesgos significativos y desconocidos. Depende de un profesional. * Cuantitativas: Depende de estadísticas fiables que no existen, esto influye en la estimación de probabilidades. La estimación de pérdidas se sujeta a valores cuantificables. Los estándares y metodologías son difíciles de mantener. 2. ¿Cuáles son los componentes de una contramedida o control (pirámide de la seguridad)? ¿Qué papel tienen las herramientas de control? ¿Cuáles son las herramientas de control más frecuentes? Componentes: * La Normativa * La Organización * Las Metodologías * Los Objetivos de Control * Los Procedimientos de Control * Tecnologías de Seguridad * Las Herramientas de Control * El papel que desempeñan las herramientas de control es la permisión de definir uno o varios procedimientos controladores para cumplir una normativa y un objetivo. * Herramientas de control más frecuentes: * Seguridad Lógica del Sistema * Seguridad Lógica Complementaria al Sistema * Seguridad Lógica para Entornos Distribuidos * Control de Acceso Físico * Control de Copias * Gestión de Soporte Magnético * Gestión y Control de Impresión y Envío de Listados de Red * Control de Proyectos * Control de Versiones * Control y Gestión de Incidencias * Control de Cambios 3. ¿Qué tipos de metodologías de Plan de Contingencias existen? ¿En que se diferencian? ¿Qué es un Plan de Contingencias? Existen 2 tipos de metodologías en planes de contingencia.
  8. 8. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL * Contingencia Informática. * Contingencia Corporativa. Diferencias: La corporativa incluye todos los departamentos de la empresa. LA informática solo a TI. Un plan de contingencia es una estrategia completamente planificada por una serie de elementos de respaldo, es decir una forma de organización de emergencia y procedimientos de actuación que tienen como objetivo obtener una restauración progresiva y rápida de los servicios del negocio afectados por cualquier tipo de paralización. 4. ¿Qué metodologías de auditoria informática existen? ¿Para qué se usa cada uno? Existen 2 metodologías distintas, las auditorias de controles generales y las metodologías de los auditores internos. Las auditorias de controles generales se utilizan para la obtención de una opinión sobre la confiabilidad de los datos, todo esto basado en pequeños cuestionarios estandarizados que dan como resultado informes generales. Las metodologías de auditor interno también cumplen la misma función que las auditorías de controles generales pero son diseñadas por el propio auditor 5. ¿Qué es el nivel de exposición y para que sirve? Es un indicativo definido de forma subjetiva y permite en base a la evaluación final de la última auditoría realizada, definir la fecha de repetición de la misma auditoría. 6. ¿Qué diferencias existen entre las figuras de auditoría informática y control interno informático? ¿Cuáles son las funciones más importantes de éste? La diferencia entre ambas es clara; el control interno monta los controles del proceso informático, mientras que la auditoría informática evalúa el grado de control. 7. ¿Cuáles son las dos metodologías más importantes para el control interno informático? ¿Para qué sirve cada una? * Clasificación de la Información. Sirve para que el profesional pueda añadir en las herramientas niveles o jerarquías estándares y objetivos a cumplir por nivel y ayudas de contramedidas. * Obtención de los procedimientos de control. Constituye sumándose a los distintos proyectos de un plan de seguridad para mejorar el entramada de contramedidas
  9. 9. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL 8. ¿Qué papel tiene las herramientas de control en los controles? Las herramientas de control son elementos – software que por sus principales características funcionales nos permite organizar el control de una manera más actual y más automatizada. 9. ¿Cuáles son los objetivos de control en el acceso lógico? Segregación de funciones entre los usuarios, integridad de los log e imposibilidad de desactivarlos por ningún perfil que tenga desee revisarlos, gestión centralizada de la seguridad o al menos única, contraseña única para los distintos sistemas de la red, la contraseña y archivos con perfiles y derechos inaccesibles a todos, el sistema debe obligar a los usuarios a cambiar la contraseña y es frecuente encontrar mecanismos de auto log out. 10.¿Qué es la certificación de seguridad? ¿Qué aporta la ISO 17799? ¿Qué metodologías se utilizan en el desarrollo de un SGSI? El Single Sing On, se lo puede definir como: “Es necesario solamente un Password y un User ID, para un único usuario, para acceder y usar su informacióny sus recursos, de todos los sistemas como si de un solo entorno se tratara” Es necesario un software que permita conseguir en el escenario de los entornos distribuidos, el control como si de un computador con un solo control de acceso se tratara, e incluso mejorar el nivel de control y observar la seguridad lógica tal como un todo. UNIDAD 3: DEPARTAMENTO DE AUDITORÍA DE SI - DASI - Y ÉTICA DEL AUDITOR DE LOS SI. 1. (V) Según COSO, el control interno es un proceso, ejercido por el consejo de administración de la organización, diseñado para proporcionar seguridad razonable. 2. (V) Los recursos de información son usados por la organización para soportar sus procesos operativos o de negocios. 3. (V) Un recurso de información son las PERSONAS. 4. (F) El departamento de auditoría de los SI, puede estar ubicado en cualquier parte de la organización. 5. (F) No son necesarios los recursos económicos en el departamento de auditoría de los SI.
  10. 10. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL 6. (F) El estatuto de auditoría de los SI es cualquier documento donde solamente conste los objetivos que se quieren lograr en la auditoría. 7. (F) El estatuto debe ser privado y sólo debe conocerlo el auditor y el auditado. 8. (V ) El primer paso para AUDITAR es establecer ¿Qué se debe auditar?. 9. (V) El análisis de riesgo es establecer una medida de importancia relativa a cada uno de los elementos de la organización a auditar. 10. (F) Cualquier persona de cualquier perfil puede conformar el equipo de auditoria de SI. 11. (V) Una de las características más importantes al seleccionar al personal del equipo de auditoría de SI, es que tenga un magnífico trato con las personas. 12. (F) Trato con las personas significa que debe ser paciente, prudente y flexible, y no defender sus puntos de vista. 13. (F) El principio de comportamiento profesional significa que el auditor debe estar plenamente capacitado para la realización de la auditoría. 14. (V) El auditor debe ser plenamente consciente del alcance de sus conocimientos y de su capacidad para desarrollar la auditoría. 15. (F) El auditor está en libertad de usar los conocimientos adquiridos en una auditoría y usarlos en contra del auditado. 16. (V) El auditor debe tener un secreto profesional sobre la información obtenida durante la auditoría. 17. (V) El auditor deberá actuar en la auditoría con criterio propio, así lo dictamina el principio de independencia. 18. (V) El auditor deberá proteger los derechos económicos del auditado. 19. (F) Es necesario que el auditor sea veraz en la información que dé en la auditoría, aunque ésta no esté respaldada. 20. (F) El auditor no se puede negar a participar en actividades ilegales o impropias de la auditoría.
  11. 11. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL CUESTIONARIO DE REPASO DEL TEXTO 1. Identifique tres aspectos importantes para evaluar y decidir acerca de la ubicación geográfica de un departamento de auditoria de SI dentro de su organización. Establecimiento de la misión y responsabilidades del departamento de auditoría de los SI Definición de la organización del departamento de auditoría de los SI Elaboración de los planes de trabajo del departamento de la auditoria de los SI 2. Identifique competencias y habilidades que deben tener los auditores de SI Un auditor de SI debe tener las siguientes habilidades. Revisar la existencia y suficiencia de los controles de los recursos de información que soportan los procesos de negocio. Validar que los recursos de información apoyan los objetivos de negocio y cumplen los requerimientos establecidos. Analizar el nuevo riesgo derivados de las nuevas tecnologías y de los nuevos negocios. Formar y divulgar respectos de los riesgos amenazas que se derivan de una inadecuada utilización de los recursos de información. 3. Cuál cree el lector que debe ser la ubicación en el organigrama de su organización del departamento de auditoria de SI. La ubicación de la función de la auditoria de los SI dentro de la organización debe de estar englobada con la función de la auditoría interna de dicha organización. En el cronograma la auditoria de SI está en el tercer lugar y abarca análisis de riego, planificación, evaluación, recomendación y seguimiento. 4. Exponga al menos tres procedimientos que debe contener la metodología de un departamento de auditoria SI. Trabajo de auditoría. Objetivos del Informe. Objetivo General. 5. Defina una estrategia para establecer el universo de TI. De una organización.
  12. 12. ALEXANDRA CAGUANA JUCA AUDITORIA INFORMATICA UTPL Se podría decir que un total de la integración de los SI en los procesos operativo de las organizaciones. Esta estrategia provoca que determinar dónde terminar el proceso puramente operativo y donde comienza el proceso informático sea totalmente imposible. 6. ¿Cuál cree que es el aspecto más relevante para determinar la dimensión de un departamento de auditoria de SI en su organización? La sensibilidad de los órganos de gobiernos y dirección de organización que tiene el control interno 7. Exponga dos aspectos relevantes de la definición de control interno. Es la valoración de riesgo y las actividades de control que pueden ser tanto política como de procedimiento 8. ¿De qué órgano depende la función de auditoria de SI? La función de la auditoria depende del gobierno. 9. ¿Qué son los recursos de información? Nómbrelos. Datos Software de aplicaciones Tecnología Instalaciones Personas 10.Exponga los pasos en los que se descompone la planificación de auditoria de SI. A corto plazo y a largo plazo.

×