El documento presenta información sobre auditoría de sistemas e ingeniería de sistemas y seguridad informática impartida por el Mg. Ing. Jack Daniel Cáceres Meza, PMP. Se incluyen definiciones de riesgo tecnológico, modelos de seguridad de la información, marcos de control como COBIT y niveles de gobernanza, entre otros temas relacionados a la seguridad de sistemas y auditoría.
tics en la vida cotidiana prepa en linea modulo 1.pptx
Auditoría de Sistemas - Jack Daniel Cáceres Meza
1. 1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría de Sistemas
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesiones 07 a 09
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf
Atributos clave: 10 pasos para maximizar la función de
Auditoría Interna
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplo de alineamiento estratégico de TI
Ejecución estratégica
Potencial tecnológico
Potencial competitivo
Nivel de servicios
TI se adapta, la implementa
TI apoya estrategias, arquitecto de tecnología
TI define estrategias, explota/potencia capacidades
emergentes de TI -tendencias
TI como generadora de valor, liderazgo del negocio
Fuente: http://www.12manage.com/methods_venkatraman_strategic_alignment_es.html
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Diagrama de influencia extendido
Fuente: N. Vargas* y L. Plazaola, ISSN 1818-6742, Niicaragua
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Relación de la
tecnología con los
procesos de
negocio
Fuente:
http://www.auditool.org/blog/auditoria
-de-ti/827-riesgo-tecnologico-su-
medicion-como-prioridad-para-el-
aseguramiento-del-negocio
http://www.madrimasd.org/revista/revi
sta23/tribuna/tribuna1.asp
http://revista.seguridad.unam.mx/printp
df/356
http://boletin.dseinfonavit.org.mx/035/
documentos/ManualNormativodeRiesgo
Tecnologico.pdf
usabilidad
La tecnología se vuelve
parte de la operación y
su funcionamiento no
puede aislarse de los
demás elementos del
proceso; asimismo,
todos los integrantes en
conjunto tienen un solo
objetivo, además de
poseer la misma
importancia para el
logro de los resultados.
La decisión de incorporar
tecnología en los procesos
del negocio, trae consigo la
decisión de administrar el
correspondiente:
riesgo tecnológico
Pérdida potencial por daños,
interrupción, alteración o fallas
derivadas del uso [mal uso] o
dependencia en el hardware,
software, sistemas, aplicaciones,
redes y cualquier otro canal de
distribución de Información por el
empleo de herramientas y
aplicaciones tecnológicas, que se
incrementa continuamente, y que
no cuentan con una gestión
adecuada en seguridad.
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Riesgo tecnológico
ISACA lo define como:
“El riesgo de negocio asociado al uso, propiedad, operación,
participación, influencia y adopción de las tecnologías de la información
(TI) en la organización”.
Fuente: http://nahunfrett.blogspot.com/2014/08/cobertura-del-riesgo-tecnologico-hacia.html
https://seguridadysalud.wordpress.com/2011/08/03/%C2%BFriesgo-tecnologico/
http://revista.seguridad.unam.mx/numero-14/riesgo-tecnol%C3%B3gico-y-su-impacto-para-las-organizaciones-parte-i
El riesgo tecnológico puede verse desde tres aspectos, primero a
nivel de la infraestructura tecnológica (hardware o nivel físico), en
segundo lugar a nivel lógico (riesgos asociados a software, sistemas
de información e información) y por último los riesgos derivados
del mal uso de los anteriores factores, que corresponde al factor
humano como un tercer nivel.
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Todo tiene
una
explicación
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones de
seguridad de la información
Aspectos legales
Regulaciones
Interoperabilidad
Integración
Compatibilidad
Confianza
Privacidad
Riesgos
Personalización
Licenciamiento
Continuidad
Soporte
Documentación
Vigencia
Sostenibilidad
Concurrencia
QA/QC
Estándares
Mejora continua
Activos
Gestión de configuraciones
Trazas
Normas de gestión
Adaptabilidad
Utilidad
Autentificación
. . .
Respaldos
Persistencia
Disponibilidad
Confidencialidad
Integridad
Protección
Localización
Comunicaciones
Mantenimiento
Capacitación
Actualizaciones
Procesos
Cumplimiento
Sustentabilidad
Capacidad
Normas técnicas
Sistemas de gestión
Elementos de configuración (CI)
Base de Datos de la gestión de
configuraciones (CMDB)
CMMI
SDLC
Eficiencia
Eficacia
Usabilidad
Contenido
No repudio
. . .
¿tendencias?
¿legacy?
otra ¿solución web?
¿fusiones?
¿riesgos?
¿TCO?
¿SLA?
¿movilidad?
¿mercado?
¿competencia?
¿benchmark?
¿organización?
¿globalización?
¿situación actual?
¿Planificación?
¿control de medios?
¿avances tecnológicos?
¿decisiones de inversión?
¿beneficios?
¿alcances?
¿cronogramas?
¿expectativas?
¿insatisfacción?
¿efectividad?
¿gestión?
¿oportunidad?
¿aislamiento?
¿metodología?
¿forensic?
¿escalabilidad?
¿flexibilidad?
¿fiabilidad?
¿estrategias empresariales?
¿alineamiento?
...
¿El programador
deberá tener acceso
a los servidores de
producción?
¿El operador podrá
tener acceso a los
programas fuente?
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Confidencialidad
Integridad
Disponibilidad
Procesada
Almacenada
Transmitida
Políticas y
procedimientos
Tecnología
Conciencia, educación,
y entrenamiento
Modelo de Seguridad de la
Información
La seguridad de la información se basa
en estos pilares (metas)
Puede tomar estos estados
Se adoptan medidas para su
seguridad (salvaguardas)
La información es un recurso que,
como el resto de los activos, tiene
valor para una organización y por
consiguiente debe ser debidamente
protegida.
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Seguridad de la información: pilares
Normativo – Legal
(leyes, contratos, reglamentos, códigos de conducta, etc.)
Tecnología
(hardware, software, seguridad física, normas técnicas, mejores prácticas)
Organización
(capacitación, auditorías, aplicación práctica, políticas, etc.)
Data consistente
Válida
Persistente
Sin manipulaciones
Sin alteraciones
Autorización
Autenticación
Privacidad
Acceso controlado
Continuidad del negocio
y operaciones
Canales adecuados
siguiendo los procesos
correctos
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Controles de la
Seguridad de
la información
Adquisición, desarrollo
y mantenimiento de
sistemas de los
información
Seguridad en la
operativa
Aspectos de seguridad
de la información en la
Gestión de la
continuidad del
negocio
Seguridad lógica Seguridad organizativa
Seguridad ligada a
los recursos
humanos
Gestión de incidentes
en la seguridad de la
información
Gestión de
activos
Organización de la
seguridad de la
información
Política de seguridad
Seguridad física
Seguridad física y
ambiental
Control de
accesos
Cumplimiento
Seguridad legal
NTP ISO/IEC 17799:2007
11 dominios de control
39 objetivos de control
133 controles
ISO/IEC 27002:2013
14 dominios de control
35 objetivos de control
114 controles
Seguridad en las
telecomunicaciones
Relación con
proveedores
Cifrado
15. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Riesgos
Legales
• Pérdida de gobernabilidad.
• Usurpación de datos.
• Titularidad de los derechos.
• Deslocalización de la
información.
• Dependencia en el proveedor.
• Negativa del proveedor a ser
auditado.
Riesgos
Técnicos
• Comunicaciones inseguras.
• Abuso de privilegios.
• Compromiso de la interfaz de
gestión.
• Compartición de recursos.
• Denegación de servicio.
• Incompatibilidad para
migración.
• Sabotaje
• Desconocimiento
Controles y guías de buenas
prácticas de seguridad para
la Nube
• Ley de contrataciones.
• Proveedores sin experiencia.
• Personal técnico no especializado.
• Normativas internas.
• Integración débil.
• Inter operabilidad incompleta.
ISO: International Organization for Standardization
NIST: National Institute of Standards and Technology
COBIT:Control Objectives for Information and Related Technology
CSA: Cloud Security Alliance
ISO
NIST
COBIT CSA
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplos de tipos de evento de riesgo con los aspectos de tecnología
relacionados
Fuente: http://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-medicion-como-prioridad-para-el-
aseguramiento-del-negocio
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplos de tipos de evento de riesgo con los aspectos de tecnología
relacionados
Fuente: http://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-
medicion-como-prioridad-para-el-aseguramiento-del-negocio
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Niveles de gobernanza
Fuente: http://www.isaca.org/chapters7/Monterrey/Events/Documents/20080416%20Standard%20ISO38500.pdf
https://www.iaia.org.ar/revistas/elauditorinterno/08/articulo2.html
http://revista.seguridad.unam.mx/numero-15/riesgo-tecnol%C3%B3gico-y-su-impacto-para-las-organizaciones-parte-ii-gobierno-de-ti-y-
riesgos
http://revista.seguridad.unam.mx/printpdf/366
21. COBIT
Es el resultado de una investigación con expertos de varios
paises, desarrollada por la “Information, Systems Audit and
Control Association “ISACA”.
Esta asociación se ha constituido en el organismo
normalizador y orientador en el control y la auditoría de los
sistemas de Información y Tecnología (IT).
El modelo CobIT ha sido aceptado y adoptado por
organizaciones en el ámbito mundial.
Modelo para evaluar y/o auditar la
gestión y control de los de
Sistemas de Información y
Tecnología relacionada (IT):
MODELO COBIT
(Control Objectives for
Information Systems and
related Technology)
Ing. Víctor Manuel Montaño Ardila
22. Modelo COBIT
Origen
LEGISLADORES / REGULADORES
USUARIOS PRESTADORES
DE SERVICIOS
• MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD
Y CONTROL
ALTAGERENCIA
•INVERSION CONTROL TI
•BALANCE RIESGO/CONTROL
• BASE BENCHMARKING
USUARIOSDETI
• ACREDITACÍON CONTROL
/SEGURIDAD POR AUDITORES O
TERCEROS
• CONFUSIÓN ESTANDARES
AUDITORES
• DESGASTE
OPINION V.S.
ALTA GCIA.
• CONSULTORES EN
CONTROL/SEG.
TI
CONCEPTOS BÁSICOS
Ing. Víctor Manuel Montaño Ardila
23. CONCEPTOS BÁSICOS
Proveer un marco único reconocido a nivel mundial de
las “mejores prácticas” de control y seguridad de TI
Consolidar y armonizar estándares originados en
diferentes países desarrollados.
Concientizar a la comunidad sobre importancia del
control y la auditoría de TI.
Enlaza los objetivos y estrategias de los negocios con la
estructura de control de la TI, como factor crítico de
éxito
Aplica a todo tipo de organizaciones independiente de
sus plataformas de TI
Ratifica la importancia de la información, como uno de
los recursos más valiosos de toda organización exitosa
Ing. Víctor Manuel Montaño Ardila
24. CONCEPTOS BÁSICOS
COSO : (Committe Of Sponsoring Org. of the Treadway Commission)
OECD : (Organizarion for Economic Cooperation and Development)
ISO 9003 : (International Standars Organization)
NIST : (National Institute of Standars and Technology)
DTI : (Departament of Trade and Industry of the U.K´)
ITSEC : (Information Technology Security Evaluation Criteria - Europa)
TCSEC : (Trusted Computer Evaluación Criteria - Orange Book- E.U)
IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)
IS : Auditing Standars Japón
COBIT
Representatividad
ISACA - 95 paises 20.000 miembros
Investigación: E.U-Europa-Australia-Japón
Consolidación y armonización 18 estándares
Ing. Víctor Manuel Montaño Ardila
25. CONCEPTOS BÁSICOS
Para satisfacer los objetivos del negocio la
información debe cumplir con criterios que COBIT
extrae de los más reconocidos modelos:
Requerimientos de calidad
(ISO 9000-3)
•Calidad
•Costo
•Entrega
Ing. Víctor Manuel Montaño Ardila
26. Requerimientos fiduciarios
(informe COSO)
Eficacia y eficiencia
Confiabilidad de la información
Cumplimiento con leyes y
reglamentaciones
Requerimientos de seguridad
(libro rojo, naranja,
ISO 17799 y otros)
Disponibilidad
Integridad
Confidencialidad
CONCEPTOS BÁSICOS
Ing. Víctor Manuel Montaño Ardila
27. REGLA DE ORO DEL COBIT
A fin, de proveer la información
que la organización requiere para
lograr sus objetivos, los recursos
de TI deben ser administrados por
un conjunto de procesos,
agrupados de forma adecuada y
normalmente aceptada.
Ing. Víctor Manuel Montaño Ardila
28. ¿POR QUÉ COBIT?
La Tecnología se ve como un
costo, no hay una terminología
común con el negocio, y se
recorta el presupuesto en la
seguridad, ya que la falta de
difusión de normas y buenas
prácticas que ayuden a
generar conciencia de los
riesgos mantiene la quimera
del :
“ A mi no me va pasar..”
Ing. Víctor Manuel Montaño Ardila
29. 29
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Atributos de calidad
Los atributos de calidad requeridos de la información, ya sea relevada
o recibida, obtenida dentro de –o sujeta a- los parámetros de
seguridad, procedimientos internos o ámbitos de actuación y/o de
responsabilidad de las distintas unidades de la organización
involucradas en el proyecto son, pero no están limitados a, los
siguientes:
Contenido completo, contextual y claro, con detalle pertinente y
suficiente para desarrollar de forma apropiada la evaluación contractual
requerida, y con el nivel pertinente.
Redacción correcta, precisa, clara, objetiva, concisa, constructiva.
30. 30
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluación vs. Auditoría
Toda evaluación lleva implícita una opinión o juicio de valor, a partir de un
conjunto de informaciones sobre la evolución o los resultados de experiencias
o de la operación, con el fin de tomar una decisión lo más objetiva posible; por
tanto, es una aproximación cualitativa, un proceso reflexivo, sistemático, de
valoración sobre juicio de expertos.
Una auditoria puede tomar los resultados de la evaluación y realizar un
escrutinio externo y objetivo de ellos en busca de determinar un grado de
cumplimiento de los procesos o normativa general que la misma institución
haya establecido –evaluar la eficacia y eficiencia, analizando el contexto
organizativo y ambiental en el que se desenvuelve.
Una evaluación debe incorporarse como una práctica cotidiana que realizan los
involucrados y afecta a la institución en su conjunto, para mejorar y potenciar
continuamente su desarrollo y el de sus integrantes; por tanto, se considera
una labor de consultoría.
31. 31
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelo de madurez
La madurez se puede entender o visualizar como la razón por la que el
éxito ocurre, o como la vía para prevenir comúnmente los problemas.
Los modelos nos permiten representar realidades complejas
(área/entorno/organización) en forma más sencilla, a través de la
selección de un conjunto de características que la definen, cuya
evaluación nos permite obtener una visión de su situación actual,
predecir su comportamiento y proporcionar una guía de pasos a seguir
para alcanzar una situación deseada (futura).
Luego, un modelo de madurez es un conjunto estructurado de
elementos (mejores prácticas, herramientas de medición, criterios de
análisis, entre otros), que permite identificar las capacidades
instaladas en la organización con relación al aspecto evaluado,
compararlas con estándares, identificar vacíos o debilidades y
establecer procesos de mejora continua.
32. 32
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelo de madurez
Así, un modelo de madurez, entre otras ventajas:
Permite a la institución ubicarse a sí misma de manera relativamente fácil
en una determinada escala del modelo.
Facilita la evaluación por medio de benchmarking y la identificación de las
mejoras necesarias.
Expresa un perfil donde las condiciones relevantes a diferentes niveles de
madurez se han conseguido.
Expresa cuánta interiorización han logrado los interesados (entre otros, la
alta dirección, gerentes, jefes, personal) en los conceptos y aspectos que
se han evaluado.
Permite identificar dónde se encuentran los problemas y cómo fijar
prioridades para las mejoras, para alcanzar un determinado nivel de
madurez en un periodo razonable de tiempo.
33. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
NIVEL DE MADUREZ
CARACTERÍSTICAS
PRINCIPALES
QUÉ LO CARACTERIZA QUÉ OBTENGO
Innovación
Benchmarking
Los procesos representan
mejores prácticas
Se utilizan herramientas de
automatización en forma
consistente
Existe un importante foco en la
mejora de la calidad y
efectividad
Innovaciones planeadas
Gestión de
configuraciones
Análisis causal y
resolución
Optimización de
procesos
Proactividad real
Cumplimiento de
metas
Procesos
predecibles que
son mejorados de
forma continua
Automatización efectiva
Existen mecanismos para la
mejora de los procesos
El cumplimiento de los
procedimientos se mide y
monitorea
Procesos estables
Resultados predecibles
Gestión del conocimiento
Gestión cuantitativa de
proyectos
Medición de procesos
Control de procesos
Cuantificación de
resultados
Explotación de
beneficios de la
estandarización
Procesos
establecidos que
se ejecutan
dentro de límites
definidos
Procesos estandarizados,
documentados y comunicados
mediante entrenamiento
No existe un procedimiento de
aseguramiento de la calidad
de los procesos
Juez y parte
Crecimiento de la
productividad
Economía de escala
Gestión integrada de
proyectos
Gestión de riesgos
Definición de procesos
Implementación de
procesos
Mediciones
eficientes y
efectivas
Entrenamiento
apropiado y
pertinente
Procesos
gestionados
implementados
usando procesos
definidos
34. 34
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Procedimientos
similares para la misma
tarea realizadas por
diferentes personas
No existen
entrenamientos o
comunicaciones
formales de estándares
Alto grado de
dependencia en
personas
Reducción del
retrabajo
Se satisfacen
compromisos
Planificación del
proyecto
Gestión del
rendimiento
Estabilizació
n del trabajo
Compromiso
de control
Procesos
ejecutados
implementad
os de forma
gestionada
Reactivo
Desorganizado
Enfoque ad-hoc aplicado
de manera individual o
caso por caso
“sólo haz que
funcione”
Ser
considerado
“bombero”
Nivel 0
No se reconocen
procesos
No se reconoce que
existe una necesidad que
debe ser contemplada
No hay problemas
por resolver
Las cosas
“funcionan”
NIVEL DE MADUREZ
CARACTERÍSTICAS
PRINCIPALES
QUÉ LO CARACTERIZA QUÉ OBTENGO
35. 35
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Sistema –objeto complejo: unión de cosas de manera organizada
Conjunto ordenado de normas y
procedimientos que regulan el
funcionamiento de un grupo o
colectividad.
Conjunto de partes o elementos
organizados y relacionados que
interactúan entre sí para lograr un
objetivo. Los sistemas reciben (entrada)
datos, energía o materia del ambiente y
proveen (salida) información, energía o
materia.
Un sistema puede ser físico o concreto
(una computadora, un televisor, un
humano) o puede ser abstracto o
conceptual (un software).
Fuente: DICCIONARIO DE INFORMÁTICA Y TECNOLOGÍA
Núcleo de un átomo
Sistema/Aparato digestivo
Sistema (modelo) político
Sistema métrico decimal
…
…
…
36. 36
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría de sistemas –de información
Es el examen o revisión de carácter objetivo (independiente), crítico
(evidencia), sistemático (normas/[procedimientos]), selectivo
(muestras) de las políticas, normas, prácticas, funciones, procesos,
procedimientos e informes [documentados] relacionados con los
sistemas de información computarizados, con el fin de emitir una
opinión profesional ([independiente, objetiva e] imparcial) con
respecto a:
Eficiencia en el uso de los recursos informáticos.
Validez de la información.
Efectividad de los controles establecidos.
Fuente: https://maledume.wordpress.com/concepto-y-etapas-de-auditoria-de-sistemas/
http://www.gerencie.com/auditoria-de-sistemas.html
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html
http://anaranjo.galeon.com/conceptos.htm
El área informática monta los procesos informáticos seguros.
El control interno informático monta los controles (función normativa y
del cumplimiento del marco jurídico).
La auditoria informática evalúa el grado de control.
i
m
p
o
r
t
a
n
t
e
37. 37
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Aspectos básicos de la Auditoría de Sistemas de Información
Es un examen y validación de los controles y procedimientos usados por el Área de
Sistemas (Informática) a fin de verificar que los objetivos de continuidad del servicio,
confidencialidad y seguridad de la información así como la integridad y coherencia de
la misma, se cumplan satisfactoriamente y de acuerdo a la normatividad externa e
interna de la Empresa. (Universidad Regional Autónoma de los Andes)
Juega un papel fundamental en el control adecuado, uso y aplicación de todos los
recursos de la organización, especialmente los que garanticen el manejo seguro y
eficiente de la información. (Universidad Distrital Francisco José De Caldas)
Permite determinar si los controles implementados son eficientes y suficientes,
identificar las causas de los problemas existentes en los sistemas de información y a su
vez las áreas de oportunidad que puedan encontrarse, determinando las acciones
preventivas y correctivas necesarias para mantener a los sistemas de información
confiables y disponibles. (auditoria.com.mx)
Auditoría informática es aquella actividad auditora que trata de evaluar la adecuada
utilidad, eficiencia, fiabilidad y salvaguarda de la información mecanizada que se
produce en una determinada empresa o institución, así como la organización de los
servicios que la elaboran y procesan. (Hevia, 1989)
38. 38
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Qué? ¿Dónde? ¿Cómo? …
¿Desviaciones? ¿cuáles son sus causas?
Revisemos
http://blog.iedge.eu/tecnologia-sistemas-informacion/tecnologia-
tecnologia-sistemas-informacion/
http://blog.iedge.eu/tecnologia-sistemas-informacion/seguridad-
informatica-2/juan-manuel-escudero-iniciacion-la-auditoria-
informatica/#more-1485
http://blog.iedge.eu/tecnologia-sistemas-informacion/direccion-siti/jose-
barato-introduccion-al-governance/#more-8424
http://www.ongei.gob.pe/publica/metodologias/Lib5002/n00.htm
http://anaranjo.galeon.com/objetiv_audi.htm
39. 39
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Investigación
35 Preguntas de TI que todo Director de Auditoría Interna debe realizar
Objetivos, funciones, riesgos, mejores prácticas, estándares,
herramientas, controles, estrategias, planificación, recursos, gobierno …
15 Preguntas Sobre Controles Tecnología Información (TI)
Los controles –apoyados por el 6W-2H
Tecnología de Información y Fraude
Gobierno, auditoría continua, gestión, intrusiones
TI y la entrega de valor en la empresa
40. 40
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Si se requiere, entre otros
Evaluación administrativa del área de
procesos electrónicos.
Evaluación de los sistemas y
procedimientos.
Evaluación de los equipos de
cómputo.
Evaluación del proceso de datos, de los
sistemas y de los equipos de cómputo
(entre otros, pero no limitados a:
software, hardware, redes, bases de
datos, comunicaciones).
Seguridad y confidencialidad de la
información.
Considerar aspectos legales de los
sistemas de la información
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.html
http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.doc
http://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
41. 41
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Es necesario dimensionar
El tamaño del organismo a
auditar
Las características del área a
auditar
Los sistemas, organización y
equipo
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.html
http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.doc
http://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
Determinar el nivel de servicio
requerido
Requerido
para
Requerirá gestión
42. 42
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://datateca.unad.edu.co/contenidos/358020/ContLinea/leccin_30_norma_iso_19011.html
43. 43
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://datateca.unad.edu.co/contenidos/358020/ContLinea/leccin_28__procedimientos_de_auditora.html
44. 44
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Entonces se requiere un plan que contemple, como mínimo
Fuente: http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm
http://s3.amazonaws.com/ppt-download/planeaciondelaauditoriainformatica-100218170948-phpapp01.pdf?response-content-
disposition=attachment&Signature=H61Mb%2B%2BGYAEosV0ApKjrYoU4OWk%3D&Expires=1430003671&AWSAccessKeyId=AKIAIA7Q
TBOH2LDUZRTQ
Establecer objetivos, alcance, inclusiones, exclusiones, limitaciones, restricciones, presupuestos
y cronograma (costos, responsables, H-H, hitos, calendario) del trabajo.
Obtener información de apoyo sobre las actividades que se auditarán –nivel de exposición.
Determinar los recursos necesarios para realizar la auditoría, incluidos personal, funciones,
procedimientos, técnicas y herramientas (listas de verificación, encuestas, entre otros),
sistema de evaluación.
Establecer el plan de gestión de comunicaciones.
Gestión de la calidad.
Seguimiento de acciones correctoras.
Realización del diagnóstico, análisis y evaluación de desviaciones.
Gestión de riesgos.
Realizar, en la forma más apropiada, una inspección física para familiarizarse con las actividades
y controles a auditar, así como identificación de las áreas en las que se deberá hacer énfasis al
realizar la auditoría y promover comentarios y la promoción de los auditados.
Preparar por escrito el programa de auditoría –el plan de gestión.
Obtener la aprobación del plan de trabajo de la auditoría –acta de constitución.
¡Un plan de gestión
de proyecto!
¡6W-2H!
45. 45
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext
¿Diferencias
entre la
evidencia
documental
en papel con
aquella en
formato
electrónico?
Evidencia en papel versus evidencia electrónica (Canadian Institute of
Chartered Accountants -CICA, 2003)
46. 46
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext
¿Diferencias
entre la
evidencia de
auditoría
tradicional y el
soporte
electrónico?
Atributos evidencia versus criterios de confiabilidad de la información
(CICA, 2003)
47. 47
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext
Competencias
específicas de los
auditores internos
de la población
definida para
obtener, en términos
razonables,
evidencia electrónica
confiable y de
calidad
Competencias requeridas para obtener evidencia electrónica de auditoría
48. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com