1. Auditoria de Sistemas
1.Describe las habilidades que debe tener todo auditor de informática.
2.Identifique los campos de acción del auditor.
3.Identifique los principales objetivos de la auditoría informática.
4.Identifica la diferencia entre metodologías cuantitativas y cualitativas de evaluación de sistemas
de información.
5. Reconoce las metodologías de auditoría informática.
6. Identifique las distintas fases que comprende la planeacion de la auditoría en informática.
7. Selecciona los elementos involucrados en la auditoría en función a la organización informática.
8. Identifica los elementos involucrados en los procesos de seguridad lógica.
9. Identifica la importancia de la evaluación del procesamiento de datos y de los equipos de
computo.
10. Describe los tipos de planes de contigencia y los procedimientos de respaldo para casos de
desastre.
Solucion
1.
• Formación (buen profesional, conocimientos completos)
• Experiencia
• Independencia (actitud mental - actuar libremente con respecto a su juicio profesional)
• Objetividad (actitud imparcial - no dejarse influenciar)
• Madurez
• Integridad (rectitud intachable, honestidad)
• Capacidad de análisis y síntesis
• Responsabilidad Interés
• Perfil específico según:
• nivel del puesto
• entorno de trabajo
• áreas a auditar
• Puesta al día de los conocimientos.
2. El campo de acción de la auditoría en informática es:
- La evaluación administrativa del área de informática.
- La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el
uso de la información. La evaluación de la eficiencia y eficacia con la que se trabaja.
- La evaluación del proceso de datos, de los sistemas y de los equipos de cómputo
2. (software, hardware, redes, bases de datos, comunicaciones).
- Seguridad y confidencialidad de la información.
− Aspectos legales de los sistemas y de la información.
3. Cuando hablamos de los objetivos de los controles contables internos podemos identificar
dos niveles:
Objetivos generales de control interno aplicables a todos los sistemas.
Objetivos de control interno aplicables a ciclos de transacciones.
Los objetivos generales de control aplicables a todos los sistemas se desarrollan a partir de
los objetivos básicos enumerados anteriormente, y son más específicos, para facilitar su
aplicación. Los objetivos de control de ciclos se desarrollan a partir de los objetivos generales
de control de sistemas, para que se apliquen a las diferentes clases de transacciones
agrupadas en un ciclo.
4. La auditoria informática solo identifica el nivel de “exposición” por la falta de controles
mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en
base al costo-beneficio de la misma. Todas las metodologías existentes en seguridad de
sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que
garanticen que la productividad de que las amenazas se materialicen en hechos sea lo mas
baja posible o al menos quede reducida de una forma razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control
informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del
trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí
con facilidad por tener asignados unos valores numérico. Están diseñadas para producir una
lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos
valores numéricos. Estos valores son datos de probabilidad de ocurrencia de un evento que
se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de
trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos
significantes desconocidos (depende de la capacidad del profesional para usar el check-
list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos
humanos / tiempo que las metodologías cuantitativas.
Ventajas:
Enfoque lo amplio que se desee.
Plan de trabajo flexible y reactivo.
Se concentra en la identificación de eventos.
3. Desventajas
Depende fuertemente de la habilidad y calidad del personal involucrado.
Identificación de eventos reales más claros al no tener que aplicarles
probabilidades complejas de calcular.
Dependencia profesional.
5. Las metodologías de auditoría informática son de tipo cualitativo/subjetivo. Se puede decir
que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de
experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas,
que exigen en gran profesionalidad y formación continua. Solo existen dos tipos de
metodologías para la auditoría informática:
Controles Generales.- Son el producto estándar de los auditores profesionales. El
objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la
auditoría financiera, es resultado es escueto y forma parte del informe de auditoría, en
donde se hacen notar las vulnerabilidades encontradas. Están desprestigiadas ya que
dependen en gran medida de la experiencia de los profesionales que las usan.
Metodologías de los auditores internos.- Están formuladas por recomendaciones de plan
de trabajo y de todo el proceso que se debe seguir. También se define el objetivo de la
misma, que habrá que describirlo en el memorando de apertura al auditado. De la misma
forma se describe en forma de cuestionarios genéricos, con una orientación de los controles
a revisar. El auditor interno debe crear sus metodologías necesarias para auditar los distintos
aspectos o áreas en el plan auditor.
6. Riesgo en la continuidad del proceso
Son aquellos riesgos de situaciones que pudieran afectar a la realización del trabajo
informático o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar
gravemente a la empresa o incluso también a paralizarla.
Riesgos en la eficacia del servicio informático
Entenderemos como eficacia del servicio la realización de los trabajos encomendados. Así
pues, los riesgos en al eficacia serán aquellos que alteren dicha realización o que afecten a
la exactitud de los resultados ofrecidos por el servicio informático.
Riesgo en la eficiencia del servicio informático
Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos,
ya sea a nivel económico o técnico, pretendiendo con el análisis de estos riesgos mejorar la
calidad de servicio.
Riesgos económicos directos
En cuanto a estos riesgos se analizarán aquellas posibilidades de desembolsos directos
inadecuados, gastos varios que no deberían producirse, e incluso aquellos gastos derivados
de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la
normativa de la empresa o las leyes vigentes.
4. Riesgos de la seguridad lógica
Todos aquellos que posibiliten accesos no autorizados ala información mecanizada mediante
técnicas informáticas o de otro tipos.
Riesgos de la seguridad física
Comprenderán todos aquellos que actúen sobre el deterioro o aprobación de elementos de
información de una forma meramente física.
Valoración de resultados
La autoguía se compone de una serie de cuestionarios de control. Dichos cuestionarios
podrán ser contestados mediante dos sistemas indicados en los mismos.
7.
8. Riesgos de la seguridad lógica
Todos aquellos que posibiliten accesos no autorizados ala información mecanizada mediante
técnicas informáticas o de otro tipos.
• INTEGRIDAD: la información debe ser protegida de modificaciones no autorizadas.
• DISPONIBILIDAD: la información y servicios deben estar disponibles siempre que se
necesiten.
• CONFIDENCIALIDAD: se debe garantizar que la información es conocida únicamente
por a quien le interese.
− Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar
las políticas a la realidad de la empresa.
- Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la
experiencia y son la principal fuente para establecer el alcance y definir las
violaciones a las políticas.
- Comunicar a todo el personal involucrado sobre el desarrollo de las políticas,
incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus
elementos de seguridad.
- Identificar quién tiene la autoridad para tomar decisiones en cada departamento,
pues son ellos los interesados en salvaguardar los activos críticos su área.
- Monitorear periódicamente los procedimientos y operaciones de la empresa, de
forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
- Detallar explícita y concretamente el alcance de las políticas con el propósito de
evitar situaciones de tensión al momento de establecer los mecanismos de
seguridad que respondan a las políticas trazadas.
5. 9.
10.El Plan de Reducción de Riesgos es equivalente a un Plan de Seguridad, en la que seconsidera todos
los riesgos conocidos, para lo cual se hará un
Análisis de riesgos
.
2.1. Análisis de Riesgos
El presente
realiza un análisis de
todos los elementos de riesgos a los cuales esta expuestoel conjunto de equipos informáticos y la
información procesada,
y que deben ser protegidos
.
Bienes susceptibles de un daño
Se puede identificar los siguientes bienes afectos a riesgos:a) Personalb) Hardwarec) Software y
utilitariosd) Datos e informacióne) Documentaciónf) Suministro de
energía eléctrica
g) Suministro de telecomunicaciones
Daños
Los posibles daños pueden referirse a:a) Imposibilidad de acceso a los recursos debido a problemas físicos en las
instalaciones,naturales o humanas.b) Imposibilidad de acceso a los recursos informáticos, sean estos por
cambiosinvoluntarios o intencionales, tales como cambios de claves de acceso, eliminación oborrado físico/lógico
de información clave, proceso de información no deseado.c) Divulgación de información a instancias
fuera de la institución y que afecte supatrimonio estratégico, sea mediante Robo o Infidencia
PLAN DE CONTINGENCIA INFORMATICO Y SEGURIDAD DE INFORMACION
10
Fuentes de daño
Las posibles fuentes de daño que pueden causar la no operación normal de la compañíason:
Acceso no autorizado
Ruptura de las claves de acceso a los sistema computacionales
Desastres Naturales: a) Movimientos telúricos b) Inundaciones c) Fallas en losequipos de soporte (causadas
por el ambiente, la red de energía eléctrica, noacondicionamiento atmosférico necesario)
Fallas de Personal Clave: por los siguientes inconvenientes: a) Enfermedad b)Accidentes c) Renuncias
d) Abandono de sus puestos de trabajo e) Otros.
Fallas de Hardware: a) Falla en los Servidores (Hw) b) Falla en el hardware de Red(Switches, cableado
de la Red, Router, FireWall)
Incendios
2.1.1. Características
El Análisis de Riesgos tiene las siguientes características:
6.
Es posible calcular la probabilidad de que ocurran las cosas negativas.
Se puede evaluar económicamente el impacto de eventos negativos.
Se puede contrastar el Costo de Protección de la Informática y medios versus elCosto de volverla a
producir.Durante el estudio Análisis de Riesgo, se define claramente:
Lo que intentamos proteger
El valor relativo para la organización
Los posibles eventos negativos que atentarían lo que intentamos proteger.
La probabilidad de ataque
2.1.2. Clases de Riesgo
La tabla 02 proporciona el Factor de Probabilidad por Clase de Riesgo en función a laubicación geográfica de la
institución y a su entorno institucional; por ejemplo, si lainstitución:
Se ubica en zona sísmica el factor de probabilidad de desastre por terremotosserá alta.
Se ubica en una zona marginal con alto índice de delincuencia, las probabilidadesde robo, asalto o vandalismo será de un
sesgo considerablemente alto.
Se ubica en zona industrial las probabilidades de “Fallas en los equipos” será altopor la magnitud de variaciones en
tensiones eléctricas que se generan en la zona.
Cambia constantemente de personal, las probabilidades de equivocaciones ysabotaje será alto.