El documento proporciona una introducción a la auditoría informática. Explica que la auditoría informática evalúa si un sistema de información protege los activos de una empresa, mantiene la integridad de los datos y utiliza los recursos de manera eficiente. También identifica factores como leyes gubernamentales y costos de errores que conducen a las auditorías informáticas. Los objetivos generales de una auditoría incluyen asegurar la integridad, confidencialidad y confiabilidad de la información de una empresa.
2. ¿Qué es la Auditoria
Informática?
• La Auditoría Informática es un proceso
llevado a cabo por profesionales
especialmente capacitados para el efecto.
Consiste en recoger, agrupar y evaluar
evidencias para determinar si un
Sistema de Información:
• Salvaguarda el activo empresarial.
• Si mantiene la integridad de los datos ya que
esta lleva a cabo eficazmente los fines de la
organización,
• Si utiliza eficientemente los recursos,
• Cumple con las leyes y regulaciones
establecidas.
3. Agente Amenazante
Concreción
de la
Amenaza
¿Bajo Nivel de
Vulnerabilidad?
Daño a los
equipos, datos
o información
Confidencialidad
Integridad
Disponibilidad
Pérdida de
•Dinero
•Clientes
•Imagen de la Empresa
4.
5. Factores que propician la Auditoría
Informática
Leyes gubernamentales.
Políticas internas de la empresa.
Necesidad de controlar el uso de equipos
computacionales.
Altos costos debido a errores.
Pérdida de información y de capacidades
de procesamiento de datos, aumentando así la
posibilidad de toma de decisiones
incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de la
organización.
6. Objetivos generales de la Auditoría en
Informática
• Asegurar la integridad, confidencialidad
y confiabilidad de la información.
• Minimizar existencias de riesgos en el
uso de Tecnología de información
• Conocer la situación actual del área
informática para lograr los objetivos.
• Seguridad, utilidad, confianza,
privacidad y disponibilidad en el
ambiente informático, así como también
seguridad del personal, los datos, el
hardware, el software y las instalaciones.
Auditoria de Sistemas de Barcelona (2004)
7. • Incrementar la satisfacción de los
usuarios de los sistemas informáticos.
• Capacitación y educación sobre
controles en los Sistemas de
Información.
• Buscar una mejor relación costo-
beneficio de los sistemas automáticos y
tomar decisiones en cuanto a
inversiones para la tecnología de
información.
Auditoria de Sistemas de Barcelona (2004)
Objetivos generales de la Auditoría en
Informática
8. Riesgo Informático
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la
Gestión de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto específico, el cual
puede estar representado por
pérdidas y daños.
9. Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible: fallas,
ingresos no autorizados a las áreas de
computo, virus, uso inadecuado de
activos informáticos, desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.
10. Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas
se materialicen.
Se manifiestan como debilidades o
carencias:
•falta de conocimiento del usuario,
tecnología inadecuada, fallas en la
transmisión, inexistencia de
antivirus, entre otros.
11. Impacto
Consecuencias de la
ocurrencia de las distintas
amenazas: financieras o no
financieras.
Perdida de dinero, deterioro
de la imagen de la empresa,
reducción de eficiencia, fallas
operativas a corto o largo
plazo, pérdida de vidas
humanas, etc.
12. Administración de Riesgos
Luego de efectuar el análisis de riesgo-impacto,
el ciclo de administración de riesgo finaliza con
la determinación de las acciones a seguir
respecto:
•Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
•Eliminar el riesgo.
•Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un
tercero (Ejemplo: seguro, outsourcing de
informática).
•Aceptar el riesgo, determinando el nivel de
exposición.
13. Normas de Auditoría Informática
disponibles
• COSO (Committee of Sponsoring
Organizations of the Treadway
Commission, EEUU 1992).
• ITIL (Information Technology
Infrastructure Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000).
• COBIT (Control Objectives for
Information and Related Technology IT,
EEUU 1998).
Modelo de evaluación del
control interno en los
sistemas, funciones,
procesos o actividades en
forma íntegra.
Modelo de evaluación del
control interno en los
sistemas, funciones,
procesos o actividades en
forma íntegra.
Marco referencial que evalúa
el proceso de gestión de los
Servicios de tecnología de
información y de la
infraestructura tecnología.
Marco referencial que evalúa
el proceso de gestión de los
Servicios de tecnología de
información y de la
infraestructura tecnología.
Guía de auditoria del
sistema de gestión de
seguridad de la información
para su protección.
Guía de auditoria del
sistema de gestión de
seguridad de la información
para su protección.
14. Norma COBIT
COBIT es la fusión entre prácticas de
informática (ITIL, ISO/IEC 17799) y prácticas
de control (COSO), las cuales plantean tres
tipos de requerimientos de negocio para la
información:
•De calidad (calidad, costo y entrega de
servicio).
•Fiduciarios (efectividad y eficiencia de
operaciones, confiabilidad de la información y
cumplimiento de las leyes y regulaciones).
•De Seguridad (confidencialidad, integridad y
disponibilidad).
15. Modelo de Madurez
Escala de medición creciente a partir de 0 (No existente) hasta 5
(Optimizado) para la evaluación de los procesos a partir de los objetivos
de control (IT Governance Institute, 2006).
Estado Actual de la empresa
Promedio de la Industria
Objetivo de la empresa
0 No se aplican procesos administrativos en lo absoluto
1 Los procesos son ad-hoc y desorganizados
2 Los procesos siguen un patrón regular
3 Los procesos se documentan y se comunican
4 Los procesos se monitorean y se miden
5 Las buenas prácticas se siguen y se automatizan
FIDUCIARIO Dicho de un negocio o de un contrato: Basado principalmente en la confianza entre las partes. (www.rae.es)
Fuente Imagen: http://img181.imageshack.us/img181/4265/informatedequepuedeponevn1.jpg