SlideShare una empresa de Scribd logo

Auditoria de sistemas

Descargar como DOC, PDF
F
fabianovasquez
1 de 6
Auditoria de Sistemas 1.Describe las habilidades que debe tener todo auditor de informática. 2.Identifique los campos de acción del auditor. 3.Identifique los principales objetivos de la auditoría informática. 4.Identifica la diferencia entre metodologías cuantitativas y cualitativas de evaluación de sistemas de información. 5. Reconoce las metodologías de auditoría informática. 6. Identifique las distintas fases que comprende la planeacion de la auditoría en informática. 7. Selecciona los elementos involucrados en la auditoría en función a la organización informática. 8. Identifica los elementos involucrados en los procesos de seguridad lógica. 9. Identifica la importancia de la evaluación del procesamiento de datos y de los equipos de computo. 10. Describe los tipos de planes de contigencia y los procedimientos de respaldo para casos de desastre. Solucion 1. • Formación (buen profesional, conocimientos completos) • Experiencia • Independencia (actitud mental - actuar libremente con respecto a su juicio profesional) • Objetividad (actitud imparcial - no dejarse influenciar) • Madurez • Integridad (rectitud intachable, honestidad) • Capacidad de análisis y síntesis • Responsabilidad Interés • Perfil específico según: • nivel del puesto • entorno de trabajo • áreas a auditar • Puesta al día de los conocimientos. 2. El campo de acción de la auditoría en informática es: - La evaluación administrativa del área de informática. - La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información. La evaluación de la eficiencia y eficacia con la que se trabaja. - La evaluación del proceso de datos, de los sistemas y de los equipos de cómputo
(software, hardware, redes, bases de datos, comunicaciones). - Seguridad y confidencialidad de la información. − Aspectos legales de los sistemas y de la información. 3. Cuando hablamos de los objetivos de los controles contables internos podemos identificar dos niveles: Objetivos generales de control interno aplicables a todos los sistemas. Objetivos de control interno aplicables a ciclos de transacciones. Los objetivos generales de control aplicables a todos los sistemas se desarrollan a partir de los objetivos básicos enumerados anteriormente, y son más específicos, para facilitar su aplicación. Los objetivos de control de ciclos se desarrollan a partir de los objetivos generales de control de sistemas, para que se apliquen a las diferentes clases de transacciones agrupadas en un ciclo. 4. La auditoria informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio. Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias: Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numéricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check- list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas. Ventajas:  Enfoque lo amplio que se desee.  Plan de trabajo flexible y reactivo.  Se concentra en la identificación de eventos.
Desventajas  Depende fuertemente de la habilidad y calidad del personal involucrado.  Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia profesional. 5. Las metodologías de auditoría informática son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua. Solo existen dos tipos de metodologías para la auditoría informática:  Controles Generales.- Son el producto estándar de los auditores profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoría financiera, es resultado es escueto y forma parte del informe de auditoría, en donde se hacen notar las vulnerabilidades encontradas. Están desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan. Metodologías de los auditores internos.- Están formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. También se define el objetivo de la misma, que habrá que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genéricos, con una orientación de los controles a revisar. El auditor interno debe crear sus metodologías necesarias para auditar los distintos aspectos o áreas en el plan auditor. 6. Riesgo en la continuidad del proceso Son aquellos riesgos de situaciones que pudieran afectar a la realización del trabajo informático o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o incluso también a paralizarla. Riesgos en la eficacia del servicio informático Entenderemos como eficacia del servicio la realización de los trabajos encomendados. Así pues, los riesgos en al eficacia serán aquellos que alteren dicha realización o que afecten a la exactitud de los resultados ofrecidos por el servicio informático. Riesgo en la eficiencia del servicio informático Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos, ya sea a nivel económico o técnico, pretendiendo con el análisis de estos riesgos mejorar la calidad de servicio. Riesgos económicos directos En cuanto a estos riesgos se analizarán aquellas posibilidades de desembolsos directos inadecuados, gastos varios que no deberían producirse, e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes.
Riesgos de la seguridad lógica Todos aquellos que posibiliten accesos no autorizados ala información mecanizada mediante técnicas informáticas o de otro tipos. Riesgos de la seguridad física Comprenderán todos aquellos que actúen sobre el deterioro o aprobación de elementos de información de una forma meramente física. Valoración de resultados La autoguía se compone de una serie de cuestionarios de control. Dichos cuestionarios podrán ser contestados mediante dos sistemas indicados en los mismos. 7. 8. Riesgos de la seguridad lógica Todos aquellos que posibiliten accesos no autorizados ala información mecanizada mediante técnicas informáticas o de otro tipos. • INTEGRIDAD: la información debe ser protegida de modificaciones no autorizadas. • DISPONIBILIDAD: la información y servicios deben estar disponibles siempre que se necesiten. • CONFIDENCIALIDAD: se debe garantizar que la información es conocida únicamente por a quien le interese. − Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa. - Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas. - Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. - Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área. - Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente. - Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas.
9. 10.El Plan de Reducción de Riesgos es equivalente a un Plan de Seguridad, en la que seconsidera todos los riesgos conocidos, para lo cual se hará un Análisis de riesgos . 2.1. Análisis de Riesgos El presente realiza un análisis de todos los elementos de riesgos a los cuales esta expuestoel conjunto de equipos informáticos y la información procesada, y que deben ser protegidos . Bienes susceptibles de un daño Se puede identificar los siguientes bienes afectos a riesgos:a) Personalb) Hardwarec) Software y utilitariosd) Datos e informacióne) Documentaciónf) Suministro de energía eléctrica g) Suministro de telecomunicaciones Daños Los posibles daños pueden referirse a:a) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones,naturales o humanas.b) Imposibilidad de acceso a los recursos informáticos, sean estos por cambiosinvoluntarios o intencionales, tales como cambios de claves de acceso, eliminación oborrado físico/lógico de información clave, proceso de información no deseado.c) Divulgación de información a instancias fuera de la institución y que afecte supatrimonio estratégico, sea mediante Robo o Infidencia PLAN DE CONTINGENCIA INFORMATICO Y SEGURIDAD DE INFORMACION 10 Fuentes de daño Las posibles fuentes de daño que pueden causar la no operación normal de la compañíason:  Acceso no autorizado  Ruptura de las claves de acceso a los sistema computacionales  Desastres Naturales: a) Movimientos telúricos b) Inundaciones c) Fallas en losequipos de soporte (causadas por el ambiente, la red de energía eléctrica, noacondicionamiento atmosférico necesario)  Fallas de Personal Clave: por los siguientes inconvenientes: a) Enfermedad b)Accidentes c) Renuncias d) Abandono de sus puestos de trabajo e) Otros.  Fallas de Hardware: a) Falla en los Servidores (Hw) b) Falla en el hardware de Red(Switches, cableado de la Red, Router, FireWall)  Incendios 2.1.1. Características El Análisis de Riesgos tiene las siguientes características:
 Es posible calcular la probabilidad de que ocurran las cosas negativas.  Se puede evaluar económicamente el impacto de eventos negativos.  Se puede contrastar el Costo de Protección de la Informática y medios versus elCosto de volverla a producir.Durante el estudio Análisis de Riesgo, se define claramente:  Lo que intentamos proteger  El valor relativo para la organización Los posibles eventos negativos que atentarían lo que intentamos proteger.  La probabilidad de ataque 2.1.2. Clases de Riesgo La tabla 02 proporciona el Factor de Probabilidad por Clase de Riesgo en función a laubicación geográfica de la institución y a su entorno institucional; por ejemplo, si lainstitución:  Se ubica en zona sísmica el factor de probabilidad de desastre por terremotosserá alta.  Se ubica en una zona marginal con alto índice de delincuencia, las probabilidadesde robo, asalto o vandalismo será de un sesgo considerablemente alto.  Se ubica en zona industrial las probabilidades de “Fallas en los equipos” será altopor la magnitud de variaciones en tensiones eléctricas que se generan en la zona.  Cambia constantemente de personal, las probabilidades de equivocaciones ysabotaje será alto.

Recomendados

Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informaticajairogordon
 
Metodología de control de proyectos t.i v3
Metodología de control de proyectos t.i v3Metodología de control de proyectos t.i v3
Metodología de control de proyectos t.i v3ealfaroaraya
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Metodologias de control interno
Metodologias de control internoMetodologias de control interno
Metodologias de control internoRolando Arguello
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia primaPaolita Gomez
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 

Recomendados

Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informaticajairogordon
 
Metodología de control de proyectos t.i v3
Metodología de control de proyectos t.i v3Metodología de control de proyectos t.i v3
Metodología de control de proyectos t.i v3ealfaroaraya
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Metodologias de control interno
Metodologias de control internoMetodologias de control interno
Metodologias de control internoRolando Arguello
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia primaPaolita Gomez
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Auditoria clase 3-4
Auditoria clase 3-4Auditoria clase 3-4
Auditoria clase 3-4elreydearmenia
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaCarlos R. Adames B.
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicacionesAndres Reyes
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
Auditoria dde Sistemas
Auditoria dde SistemasAuditoria dde Sistemas
Auditoria dde SistemasSolution´s System
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasMetodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasCarmen Benites
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIACecy1917
 
Auditoria Sistemas
Auditoria SistemasAuditoria Sistemas
Auditoria SistemasSolution´s System
 
Riesgo y contingencia
Riesgo y contingenciaRiesgo y contingencia
Riesgo y contingenciaMAKLG
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De RedesCristian Paul
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaJuan Anaya
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas Michelle Perez
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)alvarezjeffer
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutableBella Loor
 
Unidad 1 parte 1
Unidad 1 parte 1Unidad 1 parte 1
Unidad 1 parte 1UPTM
 

Más contenido relacionado

La actualidad más candente

Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaCarlos R. Adames B.
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicacionesAndres Reyes
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasMetodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasCarmen Benites
 
Riesgo y contingencia
Riesgo y contingenciaRiesgo y contingencia
Riesgo y contingenciaMAKLG
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaJuan Anaya
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas Michelle Perez
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)alvarezjeffer
 

La actualidad más candente (20)

Auditoria clase 3-4
Auditoria clase 3-4Auditoria clase 3-4
Auditoria clase 3-4
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemas
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
 
Auditoria dde Sistemas
Auditoria dde SistemasAuditoria dde Sistemas
Auditoria dde Sistemas
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informática
 
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasMetodologias de Seguridad De Sistemas
Metodologias de Seguridad De Sistemas
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIA
 
Auditoria Sistemas
Auditoria SistemasAuditoria Sistemas
Auditoria Sistemas
 
Riesgo y contingencia
Riesgo y contingenciaRiesgo y contingencia
Riesgo y contingencia
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemas
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamiento
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)
 

Similar a Auditoria de sistemas

Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutableBella Loor
 
Unidad 1 parte 1
Unidad 1 parte 1Unidad 1 parte 1
Unidad 1 parte 1UPTM
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxDanny Israel Ligua Heras
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 UNEFA
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasMarlen Esteban
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaveroalexa10
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasKendyPea
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaHernan Cajo Riofrio
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticafabianlfb182
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticapiranha gt
 
Auditoria Informática.
Auditoria Informática. Auditoria Informática.
Auditoria Informática. pertuzm
 
Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integralGustavo Alvarez
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Anabel Jaramillo
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Edna Lasso
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 

Similar a Auditoria de sistemas (20)

Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutable
 
Unidad 1 parte 1
Unidad 1 parte 1Unidad 1 parte 1
Unidad 1 parte 1
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptx
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4
 
Auditoria de Sistemas.pdf
Auditoria de Sistemas.pdfAuditoria de Sistemas.pdf
Auditoria de Sistemas.pdf
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemas
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
auditoría de sistemas
auditoría de sistemas auditoría de sistemas
auditoría de sistemas
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemas
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informatica
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informatica
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria Informática.
Auditoria Informática. Auditoria Informática.
Auditoria Informática.
 
Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integral
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
 

Auditoria de sistemas

  • 1. Auditoria de Sistemas 1.Describe las habilidades que debe tener todo auditor de informática. 2.Identifique los campos de acción del auditor. 3.Identifique los principales objetivos de la auditoría informática. 4.Identifica la diferencia entre metodologías cuantitativas y cualitativas de evaluación de sistemas de información. 5. Reconoce las metodologías de auditoría informática. 6. Identifique las distintas fases que comprende la planeacion de la auditoría en informática. 7. Selecciona los elementos involucrados en la auditoría en función a la organización informática. 8. Identifica los elementos involucrados en los procesos de seguridad lógica. 9. Identifica la importancia de la evaluación del procesamiento de datos y de los equipos de computo. 10. Describe los tipos de planes de contigencia y los procedimientos de respaldo para casos de desastre. Solucion 1. • Formación (buen profesional, conocimientos completos) • Experiencia • Independencia (actitud mental - actuar libremente con respecto a su juicio profesional) • Objetividad (actitud imparcial - no dejarse influenciar) • Madurez • Integridad (rectitud intachable, honestidad) • Capacidad de análisis y síntesis • Responsabilidad Interés • Perfil específico según: • nivel del puesto • entorno de trabajo • áreas a auditar • Puesta al día de los conocimientos. 2. El campo de acción de la auditoría en informática es: - La evaluación administrativa del área de informática. - La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información. La evaluación de la eficiencia y eficacia con la que se trabaja. - La evaluación del proceso de datos, de los sistemas y de los equipos de cómputo
  • 2. (software, hardware, redes, bases de datos, comunicaciones). - Seguridad y confidencialidad de la información. − Aspectos legales de los sistemas y de la información. 3. Cuando hablamos de los objetivos de los controles contables internos podemos identificar dos niveles: Objetivos generales de control interno aplicables a todos los sistemas. Objetivos de control interno aplicables a ciclos de transacciones. Los objetivos generales de control aplicables a todos los sistemas se desarrollan a partir de los objetivos básicos enumerados anteriormente, y son más específicos, para facilitar su aplicación. Los objetivos de control de ciclos se desarrollan a partir de los objetivos generales de control de sistemas, para que se apliquen a las diferentes clases de transacciones agrupadas en un ciclo. 4. La auditoria informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio. Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias: Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numéricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check- list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas. Ventajas:  Enfoque lo amplio que se desee.  Plan de trabajo flexible y reactivo.  Se concentra en la identificación de eventos.
  • 3. Desventajas  Depende fuertemente de la habilidad y calidad del personal involucrado.  Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia profesional. 5. Las metodologías de auditoría informática son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua. Solo existen dos tipos de metodologías para la auditoría informática:  Controles Generales.- Son el producto estándar de los auditores profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoría financiera, es resultado es escueto y forma parte del informe de auditoría, en donde se hacen notar las vulnerabilidades encontradas. Están desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan. Metodologías de los auditores internos.- Están formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. También se define el objetivo de la misma, que habrá que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genéricos, con una orientación de los controles a revisar. El auditor interno debe crear sus metodologías necesarias para auditar los distintos aspectos o áreas en el plan auditor. 6. Riesgo en la continuidad del proceso Son aquellos riesgos de situaciones que pudieran afectar a la realización del trabajo informático o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o incluso también a paralizarla. Riesgos en la eficacia del servicio informático Entenderemos como eficacia del servicio la realización de los trabajos encomendados. Así pues, los riesgos en al eficacia serán aquellos que alteren dicha realización o que afecten a la exactitud de los resultados ofrecidos por el servicio informático. Riesgo en la eficiencia del servicio informático Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos, ya sea a nivel económico o técnico, pretendiendo con el análisis de estos riesgos mejorar la calidad de servicio. Riesgos económicos directos En cuanto a estos riesgos se analizarán aquellas posibilidades de desembolsos directos inadecuados, gastos varios que no deberían producirse, e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes.
  • 4. Riesgos de la seguridad lógica Todos aquellos que posibiliten accesos no autorizados ala información mecanizada mediante técnicas informáticas o de otro tipos. Riesgos de la seguridad física Comprenderán todos aquellos que actúen sobre el deterioro o aprobación de elementos de información de una forma meramente física. Valoración de resultados La autoguía se compone de una serie de cuestionarios de control. Dichos cuestionarios podrán ser contestados mediante dos sistemas indicados en los mismos. 7. 8. Riesgos de la seguridad lógica Todos aquellos que posibiliten accesos no autorizados ala información mecanizada mediante técnicas informáticas o de otro tipos. • INTEGRIDAD: la información debe ser protegida de modificaciones no autorizadas. • DISPONIBILIDAD: la información y servicios deben estar disponibles siempre que se necesiten. • CONFIDENCIALIDAD: se debe garantizar que la información es conocida únicamente por a quien le interese. − Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa. - Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas. - Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. - Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área. - Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente. - Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas.
  • 5. 9. 10.El Plan de Reducción de Riesgos es equivalente a un Plan de Seguridad, en la que seconsidera todos los riesgos conocidos, para lo cual se hará un Análisis de riesgos . 2.1. Análisis de Riesgos El presente realiza un análisis de todos los elementos de riesgos a los cuales esta expuestoel conjunto de equipos informáticos y la información procesada, y que deben ser protegidos . Bienes susceptibles de un daño Se puede identificar los siguientes bienes afectos a riesgos:a) Personalb) Hardwarec) Software y utilitariosd) Datos e informacióne) Documentaciónf) Suministro de energía eléctrica g) Suministro de telecomunicaciones Daños Los posibles daños pueden referirse a:a) Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones,naturales o humanas.b) Imposibilidad de acceso a los recursos informáticos, sean estos por cambiosinvoluntarios o intencionales, tales como cambios de claves de acceso, eliminación oborrado físico/lógico de información clave, proceso de información no deseado.c) Divulgación de información a instancias fuera de la institución y que afecte supatrimonio estratégico, sea mediante Robo o Infidencia PLAN DE CONTINGENCIA INFORMATICO Y SEGURIDAD DE INFORMACION 10 Fuentes de daño Las posibles fuentes de daño que pueden causar la no operación normal de la compañíason:  Acceso no autorizado  Ruptura de las claves de acceso a los sistema computacionales  Desastres Naturales: a) Movimientos telúricos b) Inundaciones c) Fallas en losequipos de soporte (causadas por el ambiente, la red de energía eléctrica, noacondicionamiento atmosférico necesario)  Fallas de Personal Clave: por los siguientes inconvenientes: a) Enfermedad b)Accidentes c) Renuncias d) Abandono de sus puestos de trabajo e) Otros.  Fallas de Hardware: a) Falla en los Servidores (Hw) b) Falla en el hardware de Red(Switches, cableado de la Red, Router, FireWall)  Incendios 2.1.1. Características El Análisis de Riesgos tiene las siguientes características:
  • 6.  Es posible calcular la probabilidad de que ocurran las cosas negativas.  Se puede evaluar económicamente el impacto de eventos negativos.  Se puede contrastar el Costo de Protección de la Informática y medios versus elCosto de volverla a producir.Durante el estudio Análisis de Riesgo, se define claramente:  Lo que intentamos proteger  El valor relativo para la organización Los posibles eventos negativos que atentarían lo que intentamos proteger.  La probabilidad de ataque 2.1.2. Clases de Riesgo La tabla 02 proporciona el Factor de Probabilidad por Clase de Riesgo en función a laubicación geográfica de la institución y a su entorno institucional; por ejemplo, si lainstitución:  Se ubica en zona sísmica el factor de probabilidad de desastre por terremotosserá alta.  Se ubica en una zona marginal con alto índice de delincuencia, las probabilidadesde robo, asalto o vandalismo será de un sesgo considerablemente alto.  Se ubica en zona industrial las probabilidades de “Fallas en los equipos” será altopor la magnitud de variaciones en tensiones eléctricas que se generan en la zona.  Cambia constantemente de personal, las probabilidades de equivocaciones ysabotaje será alto.