SlideShare una empresa de Scribd logo

Auditoría informática ITS Ibarra

Descargar como PPT, PDF
U
UnidadEducativaJatun

El documento habla sobre la auditoría informática. En menos de 3 oraciones: La auditoría informática revisa los sistemas de información de una organización para evaluar el cumplimiento de funciones y actividades y dictaminar sobre los resultados. Es importante para asegurar la integridad, confidencialidad y confiabilidad de la información de una empresa. Un auditor informático debe tener conocimientos técnicos actualizados y aplicar herramientas y técnicas especializadas como evaluación de riesgos y análisis de evidencia.

Tecnología
1 de 57
INSTITUTO TECNOLÓGICO SUPERIOR DE INFORMATICA “IBARRA” Auditoria Informática Juan Echegaray Chang DOCENTE
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” AUDITORÍA INFORMÁTICA Es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de funciones, actividades, tareas y procedimientos de una organización, así como dictaminar sobre el resultado de dicha evaluación. .
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” QUE ES LA AUDITORÍA INFORMÁTICA Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” JUSTIFICACIÓN Aumento de la vulnerabilid ad Beneficios para alcanzar los objetivos Información como recurso estratégico Magnitud de los costos e inversiones TIC Aumento de la productivida d Automatizació n de los procesos y prestación de servicios
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” JUSTIFICACION “La productividad de cualquier organización depende del funcionamient o ininterrumpid o de los sistemas TIC, transformand o a todo el entorno en un proceso crítico adicional”
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” EVIDENCIAS ACTUALES 1 El crecimiento del acceso a Internet y de usuarios conectados incrementa la posibilidad de concreción de amenazas informáticas. 2 Crecimiento de la información disponible de empresas y sus empleados en redes sociales Ingeniería Social. 3 Mensajes de e-mail que contienen attachments que explotan vulnerabilidades en las aplicaciones instaladas por los usuarios. 4 Robo de credenciales o captura ilegal de datos. 5 Acceso a redes empresariales a través de códigos maliciosos diseñados para obtener información sensitiva. 6 En el 2009 los sectores financiero, proveedores de servicios TIC, comercios, seguros, comunidad de Internet, empresas de telecomunicaciones y el gobierno han sido los más vulnerables ante las amenazas informáticas. 7 En el 2009 Symantec identificó 240 millones de programas maliciosos, un aumento del 100% con respecto al 2008 y 2,000 millones para el 2012
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” EVIDENCIAS ACTUALES 8 En el 2010 hubo 286 millones de nuevas ciberamenazas. 9 Junto con las redes sociales otra área de peligro en el espacio móvil (Smartphones). 10 ¿Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el mundo, como Estados Unidos, UK o España, han mostrado la preocupación que tienen ante ataques que puedan afectar a la economía del país o incluso a otras áreas, tales como las denominadas infraestructuras críticas. También este año 2009 vimos un ataque lanzado a diferentes páginas web de Estados Unidos y Corea del Sur. Previsión de tendencias de amenazas informáticas para 2010 Fuente: www.cxo-community.com 11 Cuidar a las empresas en esos momentos no es labor fácil. Los ataques son incesantes (al menos 10,000 amenazas circulan en la red cada minuto), y cada año causan pérdidas por más de 650,000 millones de dólares, dice el grupo Crime-Research.org. El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” FACTORES QUE PROPICIAN LA AUDITORÍA INFORMÁTICA Leyes gubernamentales. Políticas internas de la empresa. Necesidad de controlar el uso de equipos computacionales. Altos costos debido a errores. Pérdida de información y de capacidades de procesamiento de datos, aumentando así la posibilidad de toma de decisiones incorrectas. Valor del hardware, software y personal. Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organización.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” OBJETIVOS GENERALES DE LA AUDITORÍA • Asegurar la integridad, confidencialidad y confiabilidad de la información. • Minimizar existencias de riesgos en el uso de Tecnología de información • Conocer la situación actual del área informática para lograr los objetivos. • Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones. • Incrementar la satisfacción de los usuarios de los sistemas informáticos. • Capacitación y educación sobre controles en los Sistemas de Información. • Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” PERFIL DEL AUDITOR INFORMATICO CONOCIMIENTOS GENERALES 1. Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización; Desarrollo, adquisición, implantación y mantenimiento de sistemas de información, Administración, planificación y organización de las Tecnologías de información, Análisis de riesgo en un entorno informático, Sistemas operativos, Telecomunicaciones, Administración de Bases de Datos, Redes locales, Administración de datos, Automatización de oficinas (ofimática), Comercio electrónico, Normas estándares para la auditoría interna; 2. Políticas organizacionales sobre la información y las tecnologías de la información. 3. Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, aspectos legales.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” PERFIL DEL AUDITOR INFORMATICO HERRAMIENTAS Y TECNICAS  Herramientas • Herramientas de control y verificación de la seguridad; • Herramientas de monitoreo de actividades, etc.  Técnicas • Técnicas de Evaluación de riesgos • Muestreo • Cálculo pos operación • Monitoreo de actividades • Recopilación de grandes cantidades de información • Verificación de desviaciones en el comportamiento de la data; • Análisis e interpretación de la evidencia, etc.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” PERFIL DEL AUDITOR INFORMATICO ELEMENTO CLAVE Los auditores han sido considerados tradicionalmente como “personajes siniestros” que se ocupan de identificar todo lo que esta mal, de hacer denuncias y alertar a quien deba de ser alertado. No es sorprendente que actualmente todavía pueda comentarse algo como: “¡Claro! Ese es el propósito del auditor, identificar quien esta haciendo mal las cosas para que lo corran…” esta imagen equivocada de inspector, acusador, verdugo, justiciero, y hasta chismoso, es uno delos lastres mas pesados que los auditores deben vencer. Con la evolución de las teorías administrativas de las empresas se pudo ver también el cambio en el rol y la percepción de la función de auditoria en las organizaciones. Ahora es necesario pensar en el auditor como un elemento clave para la sana operación de las empresas, cambiando su papel de detector de problemas hacia un identificador de oportunidades y un emisor de propuesta de valor
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” FUNCIONES DEL AUDITOR INFORMATICO Hablando de las realidad actual, podría afirmarse que las funciones del auditorinformático deben mantener los objetivos de revisión que le demande la organización.Principalmente, como también lo indican Piattini y Del Peso (2001), éstas son lasactividades a desarrollar por la Función de la Auditoría Informática: • Análisis de la administración de los riesgos de Información y de la seguridad implícita. • Análisis de la administración de los sistemas de Información desde un enfoque de riesgo de seguridad, administración y efectividad de la administración. • Análisis de la integridad, fiabilidad y certeza de la información, a través del análisis de aplicaciones. • Auditoria del riesgo operativo de los circuitos de información. • Diagnostico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa. • Revisión del control interno, tanto de las aplicaciones como de los sistemas deinformación, dispositivos periféricos, entre otros. • Verificación del nivel de continuidad de las operaciones
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” FUNCIONES DEL AUDITOR INFORMATICO Así, el auditor informático es responsable para establecer los objetivos de control que reduzca o elimine la exposición al riesgo de control interno. Después de que los objetivos de auditoria se hayan establecido , el auditor debe revisar los controles y evaluar los resultados de su revisión para determinar las áreas que requieran correcciones o mejoras. Además de analizar el grado de implantación y cumplimiento de los controles internos, se considera que el auditor puede hacer las veces de consultor del auditado, dándole ideas de como establecer procedimientos de seguridad, control interno, efectividad y eficacia, medición del riesgo empresarial, entre otros Hablando de las actividades que ha de realizar el auditor informático en desarrollo de su función, se indica lo siguiente: • Planificar las actividades de auditoria. • Consensuar un cronograma con el auditado o cliente. • Solicitar y analizar documentación, con objeto de emitir una opinión. • Análisis de datos a través de herramientas y síntesis de conclusiones. • Trabajo de campo, entrevistas y revisiones in-situ.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES Los principios contenidos en los códigos deontológicos exigen, que los propios profesionales ayuden a un comportamiento conforme a los mismos como medio de sensibilización y mejora del prestigio y calidad de su oficio. A continuación algunos principios que hacen referencia al comportamiento tanto moral como individual en el entorno profesional. Los auditores deben estar en constantemente con los principios deontológicos adoptados por diferentes colegios y asociaciones profesionales, de los cuales podemos mencionar:
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 1.Principio del Beneficio del Auditado.- Un aspecto importante, en cuanto a la aplicación de este principio, es facilitar el derecho de las organizaciones auditadas, a la elección del auditor. 2.Principio de Calidad.- El auditor deberá cumplir sus servicios con calidad, aun cuando el no se sienta en la capacidad de hacerlo, deberá buscar ayuda o capacitación profesional. Ejemplo: El auditor debe hacer una auditoria al Departamento de Ventas de la empresa XXX, para cumplir con su tarea, éste debe tener accesibilidad a documentación necesaria, si en dicho departamento le niegan la documentación, el auditor debe negarse a realizar la auditoria ya que no puede acceder a la información que es de vital importancia para su desempeño.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 3.Principio de Capacidad.- El auditor debe estar plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoria. Ejemplo: El auditor hace la auditoria del Departamento de Ventas, debido a que no tiene suficiente conocimiento en su trabajo, realiza un informe con recomendaciones que a la larga le dejarán perjuicios a la empresa, lo que hará que el auditor pierda credibilidad como profesional. 4.Principio de Cautela.- El auditor debe tener cierto grado de cuidado, y no confiarse de sus conocimientos profesionales, ser humilde al dictar sus criterios, y ser consciente de que sus recomendaciones deben estar basadas en la experiencia. Ejemplo: Las recomendaciones sugeridas en el informe de auditoria deben estar avaluadas en base a la realidad de la empresa (económico ).
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 5.Principio de Comportamiento Profesional.- Este principio esta ligado con la ética profesional del auditor, como evitar actos ilícitos, ficticios, que encubran comportamientos no profesionales. Ejemplo: Si el auditor necesita ayuda para la revisión de documentación, debe acudir donde otro profesional (un contador) el cual le pueda ayudar en dicha tarea, dejando constancia en el informe de auditoria de que terceros ayudaron en el trabajo de la auditoria al Departamento de Ventas. 6.Principio de Concentración en el trabajo.- El auditor debe controlar el exceso de trabajo con la concentración que debe tener, esto permitirá al auditor dedicar a su cliente la mayor parte de los recursos posibles obtenidos de sus conocimientos. Ejemplo: El cronograma de la planificación debe estar bien estructurado a fin de que se cumplan en los plazos establecidos todas las acciones a seguir para el correcto desempeño de la auditoria al departamento de Ventas.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 7.Principio de Confianza.- Este principio requiere de ambas partes un dialogo que permita aclarar todas las dudas que se den a lo largo de la auditoría. Ejemplo: El auditor debe ser sincero con el cliente, su actuar debe ser correcto y transparente. 8.Principio de Criterio Propio.-Este principio demanda de que el auditor actué con criterio propio, para no permitir estar subordinado al de otros profesionales. Ejemplo: Si un empleado va y comenta al auditor de que tiene sospechas de que el jefe departamental está desviando fondos, esto no quiere decir que el auditor va a dar por cierto dicho comentario. 9.Principio de Discreción.- Dependerá del cuidado y discreción en la divulgación de datos, y mantenerlos durante el proceso de auditoria como en la finalización. Ejemplo: El auditor no deberá divulgar datos tales como los estados financieros de la empresa, inversiones, estrategias de ventas, etc. Esto restaría credibilidad al auditor.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 10. Principio de Economía.- Se refiere a proteger los derechos económicos del Auditado con el fin de evitar gastos innecesarios, así mismo rechazar, ampliaciones de trabajo sobre asuntos no directamente relacionados con la auditoria. Ejemplo: El plan de auditoria debe estar bien delimitado a fin de evitar gastos extras. 11.Principio de Formación Continuada.- Tiene que ver con una constante preparación por parte del auditor, y una continuo plan de formación personal, y un seguimiento de las nuevas tecnologías de la información. Ejemplo: El auditor deber deberá capacitarse continuamente. 12. Principio de Fortalecimiento y Respeto de la Profesión.- El auditor deberá evitar competir deslealmente con sus compañeros, bajando los precios de sus servicios, o evitar abusar de sus conocimientos frente a los competidores. Ejemplo: Los honorarios del auditor no deben estar sujetas a que si la auditoria es positiva entonces le pago, si la auditoria no sale como espero entonces no le pago!. El auditor merece respeto, sus honorarios serán reconocidos por el trabajo realizado
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 13. Principio de Independencia.- Esta relacionado con el principio de criterio propio, esta independencia implica al auditor, al rechazo de criterios con los que no este de acuerdo. Ejemplo: NO se vería bien que el auditor este con tantas confianzas con el jefe departamental Si dentro del departamento de ventas existe algún amigo suyo, esto no debe influir en los resultados de la auditoria. 14.Principio de Información Suficiente.- Es de interés para el auditado, y obliga al auditor a informar al cliente de todos y cada uno de los puntos relacionados con la auditoria; la labor informativa del auditor debe estar basada en la transparencia de la información. Ejemplo: El auditor debe presentar pruebas concisas de los que argumenta en su informe de auditoria. 15.Principio de Integridad Moral.- Se trata de que el auditor no deberá utilizar los conocimientos adquiridos durante la auditoria, para utilizarlos en contra del cliente. Ejemplo: El auditor tiene conocimiento de los estados financieros de la empresa XXX, si el auditor va a ser una auditoria de la empresa YYY por quedar bien con esta empresa el no puede revelar los secretos que le fueron confiados de la empresa XXX.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 16. Principio de Legalidad.- El auditor no deberá utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la contravención de la legalidad vigente. Ejemplo: El auditor encontró que el jefe departamental estaba desviando fondos. El jefe Departamental le ofrece una jugosa tajada a cambio de que no presente ese hallazgo en su informe de auditoria. El auditor jamás deberá aceptar una situación como esta ya que va en contra de su honorabilidad, su buen juicio y su prestigio profesional. 17.-Principio de Libre Competencia.- Deben evitarse comportamientos desleales para el beneficio propio del auditor, y actuar con ética profesional respetando la competencia profesional. Ejemplo: No debe buscar clientes mediante publicidad y otras formas de oferta de servicios en una forma que sea falsa, aparente o engañosa. 18.- Principio de no Discriminación.- El auditor deberá evitar inducir, o estar involucrado en algún tipo de discriminación o en prejuicios de ninguna clase tanto al cliente, como a la competencia. Ejemplo: La auditoria realizada al Departamento Ventas da como resultado que el Gerente de la empresa XXX ha realizado malversación de fondos, el Gerente al enterarse de esto amenaza al auditor con desprestigiarlo si no lo ayuda retirando esa acusación del informe de auditoria. El auditor no debe cambiar su informe ya que el es independiente, lo que debe hacer es ir a la junta de accionistas para que lo respalden en su trabajo y poder realizar de mejor manera la auditoria.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 19. Principio de no injerencia.- El auditor deberá la labor de otros profesionales y evitar aprovechar los datos obtenidos para entrar en competencia desleal. Ejemplo: El auditor al realizar la auditoria al Departamento de Ventas tiene sospechas al revisar los estados del departamento que es el Jefe Departamental quien ha realizado malversación de fondos. El no puede ir a la reunión de lectura del informe de auditoria y acusarlo al jefe departamental aludiendo que tiene simples sospechas. Toda acusación debe estar respaldada por las pruebas suficientes y valederas. 20. Principio de Precisión.-Deberá ser suficientemente crítico, brindando una información fiable de la auditoría, y precisar el tiempo sin agobios de plazos, ni demoras en entregas. Ejemplo: El auditor al realizar la auditoria al Departamento de Ventas tiene sospechas al revisar los estados del departamento que es el Jefe Departamental quien ha realizado malversación de fondos, el Auditor no puede emitir un juicio acusándolo sino tiene las pruebas suficientes para respaldar su acusación, debe darse el tiempo para recabar sobre ese hallazgo a fin de estar seguro de sus sospechas.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 21. Principio de Publicidad adecuada.-Evitar campañas publicitarias, que por su contenido puedan desmejorar la realidad de sus servicios. Ejemplo: El auditor no puede ofrecerle a sus clientes que si el realiza la auditoria, los resultados van a salir favorables para la empresa y que va a tener un incremento del 15% en las ventas netas. 22. Principio de Responsabilidad.- Es importante definir a priori un tope máximo de responsabilidad sobre los posibles daños acorde con la remuneración acordada como prestación de los servicios de auditoria. Ejemplo: Tienen responsabilidad con los que hacen uso de su servicio, sí. Como con sus colegas cooperar entre si. 23. Principio de Secreto Profesional.- Tiene que ver con el beneficio de seguridad del auditado, obliga al auditor a no difundir a terceras personas información confidencial, a menos que sea consultada al auditado si fuera necesario.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES Ejemplo: El auditor no puede revelar la información que tiene sobre la empresa XXX ya que esto va contra su tica. La revelación de dicha información puede causar perdidas a la empresa, el auditor debe ser muy cauteloso con la información que tiene en conocimiento. 24. Principio de Servicio Público.- Exige una continua elevación del arte de la ciencia en el campo de la auditoria informática, lo que puede lograrse con la participación activa de los profesionales de dicho sector en la definición de las características y exigencias de su actividad profesional. Ejemplo: Durante la auditoria, el auditor descubre que en el sistema existe software dañino (virus) y además sino descubre la procedencia, el auditor debe dar a conocer inmediatamente el hecho de que hay virus en el sistema el cual puede propagarse a otros sistemas, pero no debe revelar el origen de el virus.
INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 25. Principio de Veracidad.- Se refiere a la información veraz según el artículo 20.1.d ) significa información comprobada Según los cánones de la profesionalidad informativa, excluyendo invenciones, o rumores.
Riesgo Informático SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf La Organización Internacional de Normalización (ISO) define riesgo tecnológico (Guías para la Gestión de la Seguridad) como: La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto específico, el cual puede estar representado por pérdidas y daños.
Amenaza SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf Acciones que pueden ocasionar consecuencias negativas en la plataforma informática disponible: fallas, ingresos no autorizados a las áreas de computo, virus, uso inadecuado de activos informáticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas eléctricas. Pueden ser de tipo lógico o físico.
Vulnerabilidad SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se manifiestan como debilidades o carencias: falta de conocimiento del usuario, tecnología inadecuada, fallas en la transmisión, inexistencia de antivirus, entre otros.
Impacto SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf Consecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras. Perdida de dinero, deterioro de la imagen de la empresa, reducción de eficiencia, fallas operativas a corto o largo plazo, pérdida de vidas humanas, etc.
Administración de Riesgos SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf Luego de efectuar el análisis de riesgo-impacto, el ciclo de administración de riesgo finaliza con la determinación de las acciones a seguir respecto: •Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos controles. •Eliminar el riesgo. •Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informática). •Aceptar el riesgo, determinando el nivel de exposición.
Y...¿QUÉ ES EL CONTROL INTERNO? Es un proceso, mediante el cual la administración, los directivos y/o la alta gerencia le proporcionan a sus actividades, un grado razonable de confianza, que le garantice la consecución de sus objetivos, tomando en cuenta: la eficacia y eficiencia de las operaciones, fiabilidad de la información financiera y cumplimiento de las leyes y normas aplicables, con la finalidad de dotar a la organización medidas preventivas, detección y corrección de errores, fallos y fraudes o sabotajes
CONTROL INTERNO. DEFINICIÓN Y TIPOS Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos. La tipología tradicional de los controles informáticos es:
Agente Amenazante Hacker Cracker Espionaje Industrial Criminales Profesionales Usuarios (Daños intencionales o no) Objetivos: Desafío, ganancia financiera/política, daño Causa Física (Natural o no) Concreción de la Amenaza ¿Bajo Nivel de Vulnerabilidad? Daño a los equipos, datos o información Confidencialidad Integridad Disponibilidad Pérdida de •Dinero •Clientes •Imagen de la Empresa
NORMAS DE AUDITORÍA INFORMÁTICA DISPONIBLES  COSO (Committee of Sponsoring Organizations of the Treadway Commission, EEUU 1992).  ITIL (Information Technology Infrastructure Library, Inglaterra 1990).  ISO/IEC 17799:2000 (International Organization for Standardization/International Electrotechnical Commission, Inglaterra 2000).  COBIT (Control Objectives for Information and Related Technology IT, EEUU 1998). Modelo de evaluación del control interno en los sistemas, funciones, procesos o actividades en forma íntegra. Marco referencial que evalúa el proceso de gestión de los Servicios de tecnología de información y de la infraestructura tecnología. Guía de auditoria del sistema de gestión de seguridad de la información para su protección.
Referencia Bibliográfica IT GOVERNANCE INSTITUTE. 2006. COBIT 4.0. Fuente: www.isaca.org Information Systems Audit and Control Association Fundada en 1969, ISACA patrocina conferencias internacionales, publica la revista “ISACA Journal” y desarrolla estándares internacionales en control y auditoria de sistemas de información. También administra la respetada certificación a nivel mundial como Auditor de Sistemas de Información.
Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: •Estableciendo un vínculo con los requerimientos del negocio. •Organizando las actividades de TI en un modelo de procesos generalmente aceptado. •Identificando los principales recursos de TI utilizados. •Definiendo los objetivos de control gerencial a ser considerados. Marco de Trabajo de Control COBIT
Las mejores prácticas de TI se han vuelto significativas debido a un número de factores: •La selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de servicios •Riesgos crecientemente complejos de la TI como la seguridad de redes •Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de TI, aumentar el valor del negocio y reducir los riesgos de éste.
Las mejores prácticas de TI se han vuelto significativas debido a un número de factores: •La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques desarrollados especialmente. •La madurez creciente y la consecuente aceptación de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, entre otros. •La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia (Benchmarking)
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 1 PLANEAR Y ORGANIZAR Estrategias y tácticas. Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. La visión estratégica requiere ser planeada, comunicada y administrada. Implementar una estructura organizacional y una estructura tecnológica apropiada.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. PLANEAR Y ORGANIZAR Cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 2 ADQUIRIR E IMPLEMENTAR Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la implementación e integración en los procesos del negocio.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. ADQUIRIR E IMPLEMENTAR Además para garantizar que las soluciones sigan cubre los siguientes cuestionamientos de la gerencia: ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades? ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios afectarán las operaciones actuales del negocio?
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3 ENTREGAR Y DAR SOPORTE Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3 ENTREGAR Y DAR SOPORTE Aclara las siguientes preguntas de la gerencia: •¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? •¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 4 MONITOREAR Y EVALUAR Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. MONITOREAR Y EVALUAR Abarca las siguientes preguntas de la gerencia: •¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
Procedimientos de Selección del Software Evaluación del cumplimiento de los objetivos de control basados en la Norma COBIT ¿DOMINIO? Objetivos de Control (PO) Planear y Organizar (ME) Monitorear y Evaluar (ES) Entregar y dar soporte (AI) Adquirir e Implementar Establecimiento inadecuado de los requerimientos funcionales Se detectan fallas en la puesta en marcha del sistema automatizado Debido a las fallas los usuarios se resisten a utilizar el sistema (AI1) Identificar soluciones automatizadas (AI2) Adquirir y mantener software (AI3) Adquirir y mantener infraestructura TIC (AI4) Facilitar operación y uso Ejemplo: Supongamos la siguiente situación…
AI1 Identificar soluciones automatizadas AI1.1 Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio. •Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos. •Definir los criterios de aceptación de los requerimientos. Estas iniciativas deben incluir todos los cambios requeridos dada la naturaleza del negocio, de los procesos, de las aptitudes y habilidades del personal, su estructura organizacional y la tecnología de apoyo. •Establecer procesos para garantizar y administrar la integridad, exactitud y la validez de los requerimientos del negocio, como base para el control de la adquisición y el desarrollo continuo de sistemas.
AI1.2 Reporte de análisis de riesgos Identificar, documentar y analizar los riesgos asociados con los procesos del negocio como parte de los procesos organizacionales para el desarrollo de los requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad, disponibilidad y privacidad de los datos, así como el cumplimiento de las leyes y reglamentos. AI1.3 Estudio de factibilidad y formulación de cursos de acción alternativos Desarrollar un estudio de factibilidad que examine la posibilidad de implantar los requerimientos. AI1.4 Requerimientos, decisión de factibilidad y aprobación. El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. Cada autorización va después de la terminación de las revisiones de calidad.
Modelo de Madurez Escala de medición creciente a partir de 0 (No existente) hasta 5 (Optimizado) para la evaluación de los procesos a partir de los objetivos de control (IT Governance Institute, 2006). No Existente • 0 Inicial • 1 Repetible • 2 Definido • 3 Administrado • 4 Optimizado • 5 Estado Actual de la empresa Promedio de la Industria Objetivo de la empresa 0 No se aplican procesos administrativos en lo absoluto 1 Los procesos son ad-hoc y desorganizados 2 Los procesos siguen un patrón regular 3 Los procesos se documentan y se comunican 4 Los procesos se monitorean y se miden 5 Las buenas prácticas se siguen y se automatizan
NORMA COBIT COBIT es la fusión entre prácticas de informática (ITIL, ISO/IEC 17799) y prácticas de control (COSO), las cuales plantean tres tipos de requerimientos de negocio para la información: •De calidad (calidad, costo y entrega de servicio). •Fiduciarios (efectividad y eficiencia de operaciones, confiabilidad de la información y cumplimiento de las leyes y regulaciones). •De Seguridad (confidencialidad, integridad y disponibilidad).
TERMINOLOGÍA COBIT Efectividad: Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como la entrega oportuna sea correcta, consistente y de manera utilizable ante terceros, para poder cumplir con parte del requerimiento fiduciario. Eficiencia: Siguiendo los requerimientos del negocio de la información, en cuanto a calidad- costo, la eficiencia viene dada a través de la utilización óptima (más productiva y económica) de recursos.
TERMINOLOGÍA COBIT Confidencialidad: Se refiere a la protección de información sensible contra divulgación no autorizada. Cumple con el principio de calidad. Integridad: Para el requerimiento de seguridad, la integridad es la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad: Se trata de la oportunidad de entrega de la información cuando ésta sea requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
TERMINOLOGÍA COBIT Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la información: Es la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
BIBLIOGRAFÍA REFERENCIAL •AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004). Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com (Consulta: Noviembre 2006). •ECHENIQUE GARCÍA, JOSÉ (2001). Auditoría en Informática. 2da Edición. McGraw Hill. México. •INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998). COBIT, marco referencial, objetivos de control para la información y tecnología afines. 2da Edición. •MUÑOZ RAZO, CARLOS. 2002. Auditoría en Sistemas Computacionales. Pearson-Prentice Hall. México. •RODRÍGUEZ R., FERNANDO (2006). Auditoría Informática en la Administración: un reto para los profesionales TIC. Tecnimap. Comunicación No. 043. España. •PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditoría en Informática. Un enfoque práctico. Editorial RAMA. España. •RUIZ GONZÁLEZ, FRANCISCO (1999). Planificación y Gestión de Sistemas de Información. 2da. Edición. COBIT-Universidad de Castilla. España. •SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com •VEGA, JAIME (2003). Auditoría de sistemas. Sección 9. Capítulo 53. Enciclopedia de Auditoría. Editorial Océano Centrum. España.
INSTITUTO TECNOLOGICO SUPERIOR DE INFORMATICA “IBARRA”

Recomendados

Modulo
ModuloModulo
Modulolazgema
 
Taller 3
Taller 3Taller 3
Taller 3Kathy Alvarez Avilés
 
Taller 3
Taller 3Taller 3
Taller 3roblesdanilo
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticafabianlfb182
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaHernan Cajo Riofrio
 
auditoria
auditoriaauditoria
auditorialuismrl30
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaJuan Prieto
 
Auditoria
AuditoriaAuditoria
AuditoriaPiero Bello
 

Recomendados

Modulo
ModuloModulo
Modulolazgema
 
Taller 3
Taller 3Taller 3
Taller 3Kathy Alvarez Avilés
 
Taller 3
Taller 3Taller 3
Taller 3roblesdanilo
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticafabianlfb182
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaHernan Cajo Riofrio
 
auditoria
auditoriaauditoria
auditorialuismrl30
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaJuan Prieto
 
Auditoria
AuditoriaAuditoria
AuditoriaPiero Bello
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaErii Utatane
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaveroalexa10
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de SistemasSolution´s System
 
Auditoria dde Sistemas
Auditoria dde SistemasAuditoria dde Sistemas
Auditoria dde SistemasSolution´s System
 
Tema 1
Tema 1Tema 1
Tema 1Carmelo Branimir España Villegas
 
Elizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informaticaElizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informaticaIUPSM
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informaticaLeoner Parra
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoriakicwua
 
Auditoria de Sistemas.pdf
Auditoria de Sistemas.pdfAuditoria de Sistemas.pdf
Auditoria de Sistemas.pdfDemsshillCoutino
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaMAIGLYN Araujo
 
Tema 1
Tema 1Tema 1
Tema 1Carmelo Branimir España Villegas
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Camilo Esteban
 
introducción a la auditoria de sistemas
introducción a la auditoria de sistemas introducción a la auditoria de sistemas
introducción a la auditoria de sistemasUPTM
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoriaGABRIELCARRASQUEL1
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3Andreita Lissette
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaRobert Castillo
 
Clase conceptos introductorios
Clase conceptos introductoriosClase conceptos introductorios
Clase conceptos introductoriosMónica Romero Pazmiño
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.Carlos Avendaño Barria
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Más contenido relacionado

Similar a Auditoría informática ITS Ibarra

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaErii Utatane
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaveroalexa10
 
Elizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informaticaElizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informaticaIUPSM
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informaticaLeoner Parra
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoriakicwua
 
introducción a la auditoria de sistemas
introducción a la auditoria de sistemas introducción a la auditoria de sistemas
introducción a la auditoria de sistemasUPTM
 

Similar a Auditoría informática ITS Ibarra (20)

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de Sistemas
 
Auditoria dde Sistemas
Auditoria dde SistemasAuditoria dde Sistemas
Auditoria dde Sistemas
 
Tema 1
Tema 1Tema 1
Tema 1
 
Elizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informaticaElizabeth vasquez auditoria informatica
Elizabeth vasquez auditoria informatica
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informatica
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoria
 
Auditoria de Sistemas.pdf
Auditoria de Sistemas.pdfAuditoria de Sistemas.pdf
Auditoria de Sistemas.pdf
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Tema 1
Tema 1Tema 1
Tema 1
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
introducción a la auditoria de sistemas
introducción a la auditoria de sistemas introducción a la auditoria de sistemas
introducción a la auditoria de sistemas
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoria
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Clase conceptos introductorios
Clase conceptos introductoriosClase conceptos introductorios
Clase conceptos introductorios
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
 

Último

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 

Último (10)

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 

Auditoría informática ITS Ibarra

  • 1. INSTITUTO TECNOLÓGICO SUPERIOR DE INFORMATICA “IBARRA” Auditoria Informática Juan Echegaray Chang DOCENTE
  • 2. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” AUDITORÍA INFORMÁTICA Es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de funciones, actividades, tareas y procedimientos de una organización, así como dictaminar sobre el resultado de dicha evaluación. .
  • 3. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” QUE ES LA AUDITORÍA INFORMÁTICA Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
  • 4. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” JUSTIFICACIÓN Aumento de la vulnerabilid ad Beneficios para alcanzar los objetivos Información como recurso estratégico Magnitud de los costos e inversiones TIC Aumento de la productivida d Automatizació n de los procesos y prestación de servicios
  • 5. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” JUSTIFICACION “La productividad de cualquier organización depende del funcionamient o ininterrumpid o de los sistemas TIC, transformand o a todo el entorno en un proceso crítico adicional”
  • 6. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” EVIDENCIAS ACTUALES 1 El crecimiento del acceso a Internet y de usuarios conectados incrementa la posibilidad de concreción de amenazas informáticas. 2 Crecimiento de la información disponible de empresas y sus empleados en redes sociales Ingeniería Social. 3 Mensajes de e-mail que contienen attachments que explotan vulnerabilidades en las aplicaciones instaladas por los usuarios. 4 Robo de credenciales o captura ilegal de datos. 5 Acceso a redes empresariales a través de códigos maliciosos diseñados para obtener información sensitiva. 6 En el 2009 los sectores financiero, proveedores de servicios TIC, comercios, seguros, comunidad de Internet, empresas de telecomunicaciones y el gobierno han sido los más vulnerables ante las amenazas informáticas. 7 En el 2009 Symantec identificó 240 millones de programas maliciosos, un aumento del 100% con respecto al 2008 y 2,000 millones para el 2012
  • 7. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” EVIDENCIAS ACTUALES 8 En el 2010 hubo 286 millones de nuevas ciberamenazas. 9 Junto con las redes sociales otra área de peligro en el espacio móvil (Smartphones). 10 ¿Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el mundo, como Estados Unidos, UK o España, han mostrado la preocupación que tienen ante ataques que puedan afectar a la economía del país o incluso a otras áreas, tales como las denominadas infraestructuras críticas. También este año 2009 vimos un ataque lanzado a diferentes páginas web de Estados Unidos y Corea del Sur. Previsión de tendencias de amenazas informáticas para 2010 Fuente: www.cxo-community.com 11 Cuidar a las empresas en esos momentos no es labor fácil. Los ataques son incesantes (al menos 10,000 amenazas circulan en la red cada minuto), y cada año causan pérdidas por más de 650,000 millones de dólares, dice el grupo Crime-Research.org. El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..
  • 8. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” FACTORES QUE PROPICIAN LA AUDITORÍA INFORMÁTICA Leyes gubernamentales. Políticas internas de la empresa. Necesidad de controlar el uso de equipos computacionales. Altos costos debido a errores. Pérdida de información y de capacidades de procesamiento de datos, aumentando así la posibilidad de toma de decisiones incorrectas. Valor del hardware, software y personal. Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organización.
  • 9. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” OBJETIVOS GENERALES DE LA AUDITORÍA • Asegurar la integridad, confidencialidad y confiabilidad de la información. • Minimizar existencias de riesgos en el uso de Tecnología de información • Conocer la situación actual del área informática para lograr los objetivos. • Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones. • Incrementar la satisfacción de los usuarios de los sistemas informáticos. • Capacitación y educación sobre controles en los Sistemas de Información. • Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información.
  • 10. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” PERFIL DEL AUDITOR INFORMATICO CONOCIMIENTOS GENERALES 1. Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización; Desarrollo, adquisición, implantación y mantenimiento de sistemas de información, Administración, planificación y organización de las Tecnologías de información, Análisis de riesgo en un entorno informático, Sistemas operativos, Telecomunicaciones, Administración de Bases de Datos, Redes locales, Administración de datos, Automatización de oficinas (ofimática), Comercio electrónico, Normas estándares para la auditoría interna; 2. Políticas organizacionales sobre la información y las tecnologías de la información. 3. Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, aspectos legales.
  • 11. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” PERFIL DEL AUDITOR INFORMATICO HERRAMIENTAS Y TECNICAS  Herramientas • Herramientas de control y verificación de la seguridad; • Herramientas de monitoreo de actividades, etc.  Técnicas • Técnicas de Evaluación de riesgos • Muestreo • Cálculo pos operación • Monitoreo de actividades • Recopilación de grandes cantidades de información • Verificación de desviaciones en el comportamiento de la data; • Análisis e interpretación de la evidencia, etc.
  • 12. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” PERFIL DEL AUDITOR INFORMATICO ELEMENTO CLAVE Los auditores han sido considerados tradicionalmente como “personajes siniestros” que se ocupan de identificar todo lo que esta mal, de hacer denuncias y alertar a quien deba de ser alertado. No es sorprendente que actualmente todavía pueda comentarse algo como: “¡Claro! Ese es el propósito del auditor, identificar quien esta haciendo mal las cosas para que lo corran…” esta imagen equivocada de inspector, acusador, verdugo, justiciero, y hasta chismoso, es uno delos lastres mas pesados que los auditores deben vencer. Con la evolución de las teorías administrativas de las empresas se pudo ver también el cambio en el rol y la percepción de la función de auditoria en las organizaciones. Ahora es necesario pensar en el auditor como un elemento clave para la sana operación de las empresas, cambiando su papel de detector de problemas hacia un identificador de oportunidades y un emisor de propuesta de valor
  • 13. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” FUNCIONES DEL AUDITOR INFORMATICO Hablando de las realidad actual, podría afirmarse que las funciones del auditorinformático deben mantener los objetivos de revisión que le demande la organización.Principalmente, como también lo indican Piattini y Del Peso (2001), éstas son lasactividades a desarrollar por la Función de la Auditoría Informática: • Análisis de la administración de los riesgos de Información y de la seguridad implícita. • Análisis de la administración de los sistemas de Información desde un enfoque de riesgo de seguridad, administración y efectividad de la administración. • Análisis de la integridad, fiabilidad y certeza de la información, a través del análisis de aplicaciones. • Auditoria del riesgo operativo de los circuitos de información. • Diagnostico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa. • Revisión del control interno, tanto de las aplicaciones como de los sistemas deinformación, dispositivos periféricos, entre otros. • Verificación del nivel de continuidad de las operaciones
  • 14. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” FUNCIONES DEL AUDITOR INFORMATICO Así, el auditor informático es responsable para establecer los objetivos de control que reduzca o elimine la exposición al riesgo de control interno. Después de que los objetivos de auditoria se hayan establecido , el auditor debe revisar los controles y evaluar los resultados de su revisión para determinar las áreas que requieran correcciones o mejoras. Además de analizar el grado de implantación y cumplimiento de los controles internos, se considera que el auditor puede hacer las veces de consultor del auditado, dándole ideas de como establecer procedimientos de seguridad, control interno, efectividad y eficacia, medición del riesgo empresarial, entre otros Hablando de las actividades que ha de realizar el auditor informático en desarrollo de su función, se indica lo siguiente: • Planificar las actividades de auditoria. • Consensuar un cronograma con el auditado o cliente. • Solicitar y analizar documentación, con objeto de emitir una opinión. • Análisis de datos a través de herramientas y síntesis de conclusiones. • Trabajo de campo, entrevistas y revisiones in-situ.
  • 15. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES Los principios contenidos en los códigos deontológicos exigen, que los propios profesionales ayuden a un comportamiento conforme a los mismos como medio de sensibilización y mejora del prestigio y calidad de su oficio. A continuación algunos principios que hacen referencia al comportamiento tanto moral como individual en el entorno profesional. Los auditores deben estar en constantemente con los principios deontológicos adoptados por diferentes colegios y asociaciones profesionales, de los cuales podemos mencionar:
  • 16. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 1.Principio del Beneficio del Auditado.- Un aspecto importante, en cuanto a la aplicación de este principio, es facilitar el derecho de las organizaciones auditadas, a la elección del auditor. 2.Principio de Calidad.- El auditor deberá cumplir sus servicios con calidad, aun cuando el no se sienta en la capacidad de hacerlo, deberá buscar ayuda o capacitación profesional. Ejemplo: El auditor debe hacer una auditoria al Departamento de Ventas de la empresa XXX, para cumplir con su tarea, éste debe tener accesibilidad a documentación necesaria, si en dicho departamento le niegan la documentación, el auditor debe negarse a realizar la auditoria ya que no puede acceder a la información que es de vital importancia para su desempeño.
  • 17. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 3.Principio de Capacidad.- El auditor debe estar plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoria. Ejemplo: El auditor hace la auditoria del Departamento de Ventas, debido a que no tiene suficiente conocimiento en su trabajo, realiza un informe con recomendaciones que a la larga le dejarán perjuicios a la empresa, lo que hará que el auditor pierda credibilidad como profesional. 4.Principio de Cautela.- El auditor debe tener cierto grado de cuidado, y no confiarse de sus conocimientos profesionales, ser humilde al dictar sus criterios, y ser consciente de que sus recomendaciones deben estar basadas en la experiencia. Ejemplo: Las recomendaciones sugeridas en el informe de auditoria deben estar avaluadas en base a la realidad de la empresa (económico ).
  • 18. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 5.Principio de Comportamiento Profesional.- Este principio esta ligado con la ética profesional del auditor, como evitar actos ilícitos, ficticios, que encubran comportamientos no profesionales. Ejemplo: Si el auditor necesita ayuda para la revisión de documentación, debe acudir donde otro profesional (un contador) el cual le pueda ayudar en dicha tarea, dejando constancia en el informe de auditoria de que terceros ayudaron en el trabajo de la auditoria al Departamento de Ventas. 6.Principio de Concentración en el trabajo.- El auditor debe controlar el exceso de trabajo con la concentración que debe tener, esto permitirá al auditor dedicar a su cliente la mayor parte de los recursos posibles obtenidos de sus conocimientos. Ejemplo: El cronograma de la planificación debe estar bien estructurado a fin de que se cumplan en los plazos establecidos todas las acciones a seguir para el correcto desempeño de la auditoria al departamento de Ventas.
  • 19. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 7.Principio de Confianza.- Este principio requiere de ambas partes un dialogo que permita aclarar todas las dudas que se den a lo largo de la auditoría. Ejemplo: El auditor debe ser sincero con el cliente, su actuar debe ser correcto y transparente. 8.Principio de Criterio Propio.-Este principio demanda de que el auditor actué con criterio propio, para no permitir estar subordinado al de otros profesionales. Ejemplo: Si un empleado va y comenta al auditor de que tiene sospechas de que el jefe departamental está desviando fondos, esto no quiere decir que el auditor va a dar por cierto dicho comentario. 9.Principio de Discreción.- Dependerá del cuidado y discreción en la divulgación de datos, y mantenerlos durante el proceso de auditoria como en la finalización. Ejemplo: El auditor no deberá divulgar datos tales como los estados financieros de la empresa, inversiones, estrategias de ventas, etc. Esto restaría credibilidad al auditor.
  • 20. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 10. Principio de Economía.- Se refiere a proteger los derechos económicos del Auditado con el fin de evitar gastos innecesarios, así mismo rechazar, ampliaciones de trabajo sobre asuntos no directamente relacionados con la auditoria. Ejemplo: El plan de auditoria debe estar bien delimitado a fin de evitar gastos extras. 11.Principio de Formación Continuada.- Tiene que ver con una constante preparación por parte del auditor, y una continuo plan de formación personal, y un seguimiento de las nuevas tecnologías de la información. Ejemplo: El auditor deber deberá capacitarse continuamente. 12. Principio de Fortalecimiento y Respeto de la Profesión.- El auditor deberá evitar competir deslealmente con sus compañeros, bajando los precios de sus servicios, o evitar abusar de sus conocimientos frente a los competidores. Ejemplo: Los honorarios del auditor no deben estar sujetas a que si la auditoria es positiva entonces le pago, si la auditoria no sale como espero entonces no le pago!. El auditor merece respeto, sus honorarios serán reconocidos por el trabajo realizado
  • 21. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 13. Principio de Independencia.- Esta relacionado con el principio de criterio propio, esta independencia implica al auditor, al rechazo de criterios con los que no este de acuerdo. Ejemplo: NO se vería bien que el auditor este con tantas confianzas con el jefe departamental Si dentro del departamento de ventas existe algún amigo suyo, esto no debe influir en los resultados de la auditoria. 14.Principio de Información Suficiente.- Es de interés para el auditado, y obliga al auditor a informar al cliente de todos y cada uno de los puntos relacionados con la auditoria; la labor informativa del auditor debe estar basada en la transparencia de la información. Ejemplo: El auditor debe presentar pruebas concisas de los que argumenta en su informe de auditoria. 15.Principio de Integridad Moral.- Se trata de que el auditor no deberá utilizar los conocimientos adquiridos durante la auditoria, para utilizarlos en contra del cliente. Ejemplo: El auditor tiene conocimiento de los estados financieros de la empresa XXX, si el auditor va a ser una auditoria de la empresa YYY por quedar bien con esta empresa el no puede revelar los secretos que le fueron confiados de la empresa XXX.
  • 22. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 16. Principio de Legalidad.- El auditor no deberá utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la contravención de la legalidad vigente. Ejemplo: El auditor encontró que el jefe departamental estaba desviando fondos. El jefe Departamental le ofrece una jugosa tajada a cambio de que no presente ese hallazgo en su informe de auditoria. El auditor jamás deberá aceptar una situación como esta ya que va en contra de su honorabilidad, su buen juicio y su prestigio profesional. 17.-Principio de Libre Competencia.- Deben evitarse comportamientos desleales para el beneficio propio del auditor, y actuar con ética profesional respetando la competencia profesional. Ejemplo: No debe buscar clientes mediante publicidad y otras formas de oferta de servicios en una forma que sea falsa, aparente o engañosa. 18.- Principio de no Discriminación.- El auditor deberá evitar inducir, o estar involucrado en algún tipo de discriminación o en prejuicios de ninguna clase tanto al cliente, como a la competencia. Ejemplo: La auditoria realizada al Departamento Ventas da como resultado que el Gerente de la empresa XXX ha realizado malversación de fondos, el Gerente al enterarse de esto amenaza al auditor con desprestigiarlo si no lo ayuda retirando esa acusación del informe de auditoria. El auditor no debe cambiar su informe ya que el es independiente, lo que debe hacer es ir a la junta de accionistas para que lo respalden en su trabajo y poder realizar de mejor manera la auditoria.
  • 23. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 19. Principio de no injerencia.- El auditor deberá la labor de otros profesionales y evitar aprovechar los datos obtenidos para entrar en competencia desleal. Ejemplo: El auditor al realizar la auditoria al Departamento de Ventas tiene sospechas al revisar los estados del departamento que es el Jefe Departamental quien ha realizado malversación de fondos. El no puede ir a la reunión de lectura del informe de auditoria y acusarlo al jefe departamental aludiendo que tiene simples sospechas. Toda acusación debe estar respaldada por las pruebas suficientes y valederas. 20. Principio de Precisión.-Deberá ser suficientemente crítico, brindando una información fiable de la auditoría, y precisar el tiempo sin agobios de plazos, ni demoras en entregas. Ejemplo: El auditor al realizar la auditoria al Departamento de Ventas tiene sospechas al revisar los estados del departamento que es el Jefe Departamental quien ha realizado malversación de fondos, el Auditor no puede emitir un juicio acusándolo sino tiene las pruebas suficientes para respaldar su acusación, debe darse el tiempo para recabar sobre ese hallazgo a fin de estar seguro de sus sospechas.
  • 24. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 21. Principio de Publicidad adecuada.-Evitar campañas publicitarias, que por su contenido puedan desmejorar la realidad de sus servicios. Ejemplo: El auditor no puede ofrecerle a sus clientes que si el realiza la auditoria, los resultados van a salir favorables para la empresa y que va a tener un incremento del 15% en las ventas netas. 22. Principio de Responsabilidad.- Es importante definir a priori un tope máximo de responsabilidad sobre los posibles daños acorde con la remuneración acordada como prestación de los servicios de auditoria. Ejemplo: Tienen responsabilidad con los que hacen uso de su servicio, sí. Como con sus colegas cooperar entre si. 23. Principio de Secreto Profesional.- Tiene que ver con el beneficio de seguridad del auditado, obliga al auditor a no difundir a terceras personas información confidencial, a menos que sea consultada al auditado si fuera necesario.
  • 25. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES Ejemplo: El auditor no puede revelar la información que tiene sobre la empresa XXX ya que esto va contra su tica. La revelación de dicha información puede causar perdidas a la empresa, el auditor debe ser muy cauteloso con la información que tiene en conocimiento. 24. Principio de Servicio Público.- Exige una continua elevación del arte de la ciencia en el campo de la auditoria informática, lo que puede lograrse con la participación activa de los profesionales de dicho sector en la definición de las características y exigencias de su actividad profesional. Ejemplo: Durante la auditoria, el auditor descubre que en el sistema existe software dañino (virus) y además sino descubre la procedencia, el auditor debe dar a conocer inmediatamente el hecho de que hay virus en el sistema el cual puede propagarse a otros sistemas, pero no debe revelar el origen de el virus.
  • 26. INSTITUTO TECNOLÓGICO SUPERIOR “IBARRA” DEONTOLOGIA DEL AUDITOR PRINCIPIOS FUNDAMENTALES 25. Principio de Veracidad.- Se refiere a la información veraz según el artículo 20.1.d ) significa información comprobada Según los cánones de la profesionalidad informativa, excluyendo invenciones, o rumores.
  • 27. Riesgo Informático SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf La Organización Internacional de Normalización (ISO) define riesgo tecnológico (Guías para la Gestión de la Seguridad) como: La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto específico, el cual puede estar representado por pérdidas y daños.
  • 28. Amenaza SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf Acciones que pueden ocasionar consecuencias negativas en la plataforma informática disponible: fallas, ingresos no autorizados a las áreas de computo, virus, uso inadecuado de activos informáticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas eléctricas. Pueden ser de tipo lógico o físico.
  • 29. Vulnerabilidad SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se manifiestan como debilidades o carencias: falta de conocimiento del usuario, tecnología inadecuada, fallas en la transmisión, inexistencia de antivirus, entre otros.
  • 30. Impacto SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf Consecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras. Perdida de dinero, deterioro de la imagen de la empresa, reducción de eficiencia, fallas operativas a corto o largo plazo, pérdida de vidas humanas, etc.
  • 31. Administración de Riesgos SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf Luego de efectuar el análisis de riesgo-impacto, el ciclo de administración de riesgo finaliza con la determinación de las acciones a seguir respecto: •Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos controles. •Eliminar el riesgo. •Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informática). •Aceptar el riesgo, determinando el nivel de exposición.
  • 32. Y...¿QUÉ ES EL CONTROL INTERNO? Es un proceso, mediante el cual la administración, los directivos y/o la alta gerencia le proporcionan a sus actividades, un grado razonable de confianza, que le garantice la consecución de sus objetivos, tomando en cuenta: la eficacia y eficiencia de las operaciones, fiabilidad de la información financiera y cumplimiento de las leyes y normas aplicables, con la finalidad de dotar a la organización medidas preventivas, detección y corrección de errores, fallos y fraudes o sabotajes
  • 33. CONTROL INTERNO. DEFINICIÓN Y TIPOS Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos. La tipología tradicional de los controles informáticos es:
  • 34. Agente Amenazante Hacker Cracker Espionaje Industrial Criminales Profesionales Usuarios (Daños intencionales o no) Objetivos: Desafío, ganancia financiera/política, daño Causa Física (Natural o no) Concreción de la Amenaza ¿Bajo Nivel de Vulnerabilidad? Daño a los equipos, datos o información Confidencialidad Integridad Disponibilidad Pérdida de •Dinero •Clientes •Imagen de la Empresa
  • 35. NORMAS DE AUDITORÍA INFORMÁTICA DISPONIBLES  COSO (Committee of Sponsoring Organizations of the Treadway Commission, EEUU 1992).  ITIL (Information Technology Infrastructure Library, Inglaterra 1990).  ISO/IEC 17799:2000 (International Organization for Standardization/International Electrotechnical Commission, Inglaterra 2000).  COBIT (Control Objectives for Information and Related Technology IT, EEUU 1998). Modelo de evaluación del control interno en los sistemas, funciones, procesos o actividades en forma íntegra. Marco referencial que evalúa el proceso de gestión de los Servicios de tecnología de información y de la infraestructura tecnología. Guía de auditoria del sistema de gestión de seguridad de la información para su protección.
  • 36. Referencia Bibliográfica IT GOVERNANCE INSTITUTE. 2006. COBIT 4.0. Fuente: www.isaca.org Information Systems Audit and Control Association Fundada en 1969, ISACA patrocina conferencias internacionales, publica la revista “ISACA Journal” y desarrolla estándares internacionales en control y auditoria de sistemas de información. También administra la respetada certificación a nivel mundial como Auditor de Sistemas de Información.
  • 37. Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: •Estableciendo un vínculo con los requerimientos del negocio. •Organizando las actividades de TI en un modelo de procesos generalmente aceptado. •Identificando los principales recursos de TI utilizados. •Definiendo los objetivos de control gerencial a ser considerados. Marco de Trabajo de Control COBIT
  • 38. Las mejores prácticas de TI se han vuelto significativas debido a un número de factores: •La selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de servicios •Riesgos crecientemente complejos de la TI como la seguridad de redes •Iniciativas de gobierno de TI que incluyen la adopción de marcos de referencia de control y de mejores prácticas para ayudar a monitorear y mejorar las actividades críticas de TI, aumentar el valor del negocio y reducir los riesgos de éste.
  • 39. Las mejores prácticas de TI se han vuelto significativas debido a un número de factores: •La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques desarrollados especialmente. •La madurez creciente y la consecuente aceptación de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, entre otros. •La necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia (Benchmarking)
  • 40. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 1 PLANEAR Y ORGANIZAR Estrategias y tácticas. Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. La visión estratégica requiere ser planeada, comunicada y administrada. Implementar una estructura organizacional y una estructura tecnológica apropiada.
  • 41. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. PLANEAR Y ORGANIZAR Cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
  • 42. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 2 ADQUIRIR E IMPLEMENTAR Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la implementación e integración en los procesos del negocio.
  • 43. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. ADQUIRIR E IMPLEMENTAR Además para garantizar que las soluciones sigan cubre los siguientes cuestionamientos de la gerencia: ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades? ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios afectarán las operaciones actuales del negocio?
  • 44. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3 ENTREGAR Y DAR SOPORTE Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.
  • 45. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3 ENTREGAR Y DAR SOPORTE Aclara las siguientes preguntas de la gerencia: •¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? •¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
  • 46. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 4 MONITOREAR Y EVALUAR Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.
  • 47. Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. MONITOREAR Y EVALUAR Abarca las siguientes preguntas de la gerencia: •¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
  • 48. Procedimientos de Selección del Software Evaluación del cumplimiento de los objetivos de control basados en la Norma COBIT ¿DOMINIO? Objetivos de Control (PO) Planear y Organizar (ME) Monitorear y Evaluar (ES) Entregar y dar soporte (AI) Adquirir e Implementar Establecimiento inadecuado de los requerimientos funcionales Se detectan fallas en la puesta en marcha del sistema automatizado Debido a las fallas los usuarios se resisten a utilizar el sistema (AI1) Identificar soluciones automatizadas (AI2) Adquirir y mantener software (AI3) Adquirir y mantener infraestructura TIC (AI4) Facilitar operación y uso Ejemplo: Supongamos la siguiente situación…
  • 49. AI1 Identificar soluciones automatizadas AI1.1 Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio. •Identificar, dar prioridades, especificar y acordar los requerimientos de negocio funcionales y técnicos. •Definir los criterios de aceptación de los requerimientos. Estas iniciativas deben incluir todos los cambios requeridos dada la naturaleza del negocio, de los procesos, de las aptitudes y habilidades del personal, su estructura organizacional y la tecnología de apoyo. •Establecer procesos para garantizar y administrar la integridad, exactitud y la validez de los requerimientos del negocio, como base para el control de la adquisición y el desarrollo continuo de sistemas.
  • 50. AI1.2 Reporte de análisis de riesgos Identificar, documentar y analizar los riesgos asociados con los procesos del negocio como parte de los procesos organizacionales para el desarrollo de los requerimientos. Los riesgos incluyen las amenazas a la integridad, seguridad, disponibilidad y privacidad de los datos, así como el cumplimiento de las leyes y reglamentos. AI1.3 Estudio de factibilidad y formulación de cursos de acción alternativos Desarrollar un estudio de factibilidad que examine la posibilidad de implantar los requerimientos. AI1.4 Requerimientos, decisión de factibilidad y aprobación. El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto funcionales como técnicos, y los reportes del estudio de factibilidad en las etapas clave predeterminadas. Cada autorización va después de la terminación de las revisiones de calidad.
  • 51. Modelo de Madurez Escala de medición creciente a partir de 0 (No existente) hasta 5 (Optimizado) para la evaluación de los procesos a partir de los objetivos de control (IT Governance Institute, 2006). No Existente • 0 Inicial • 1 Repetible • 2 Definido • 3 Administrado • 4 Optimizado • 5 Estado Actual de la empresa Promedio de la Industria Objetivo de la empresa 0 No se aplican procesos administrativos en lo absoluto 1 Los procesos son ad-hoc y desorganizados 2 Los procesos siguen un patrón regular 3 Los procesos se documentan y se comunican 4 Los procesos se monitorean y se miden 5 Las buenas prácticas se siguen y se automatizan
  • 52. NORMA COBIT COBIT es la fusión entre prácticas de informática (ITIL, ISO/IEC 17799) y prácticas de control (COSO), las cuales plantean tres tipos de requerimientos de negocio para la información: •De calidad (calidad, costo y entrega de servicio). •Fiduciarios (efectividad y eficiencia de operaciones, confiabilidad de la información y cumplimiento de las leyes y regulaciones). •De Seguridad (confidencialidad, integridad y disponibilidad).
  • 53. TERMINOLOGÍA COBIT Efectividad: Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como la entrega oportuna sea correcta, consistente y de manera utilizable ante terceros, para poder cumplir con parte del requerimiento fiduciario. Eficiencia: Siguiendo los requerimientos del negocio de la información, en cuanto a calidad- costo, la eficiencia viene dada a través de la utilización óptima (más productiva y económica) de recursos.
  • 54. TERMINOLOGÍA COBIT Confidencialidad: Se refiere a la protección de información sensible contra divulgación no autorizada. Cumple con el principio de calidad. Integridad: Para el requerimiento de seguridad, la integridad es la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad: Se trata de la oportunidad de entrega de la información cuando ésta sea requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
  • 55. TERMINOLOGÍA COBIT Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la información: Es la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
  • 56. BIBLIOGRAFÍA REFERENCIAL •AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004). Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com (Consulta: Noviembre 2006). •ECHENIQUE GARCÍA, JOSÉ (2001). Auditoría en Informática. 2da Edición. McGraw Hill. México. •INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998). COBIT, marco referencial, objetivos de control para la información y tecnología afines. 2da Edición. •MUÑOZ RAZO, CARLOS. 2002. Auditoría en Sistemas Computacionales. Pearson-Prentice Hall. México. •RODRÍGUEZ R., FERNANDO (2006). Auditoría Informática en la Administración: un reto para los profesionales TIC. Tecnimap. Comunicación No. 043. España. •PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditoría en Informática. Un enfoque práctico. Editorial RAMA. España. •RUIZ GONZÁLEZ, FRANCISCO (1999). Planificación y Gestión de Sistemas de Información. 2da. Edición. COBIT-Universidad de Castilla. España. •SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com •VEGA, JAIME (2003). Auditoría de sistemas. Sección 9. Capítulo 53. Enciclopedia de Auditoría. Editorial Océano Centrum. España.
  • 57. INSTITUTO TECNOLOGICO SUPERIOR DE INFORMATICA “IBARRA”