El documento trata sobre la auditoría de sistemas de información. Explica los objetivos, metodologías y áreas de revisión de una auditoría de SI. También describe conceptos clave como riesgo, control interno, segregación de funciones y el balance entre controles y costos.

1. ÍNDICE AUDITORÍA DE SISTEMAS DE INFORMACIÓN 1.- INTRODUCCIÓN 2.- OBJETIVOS DE LA ASI 3.- CONTROL INTERNO 4.- METODOLOGÍAS DE ASI 5.- ÁREAS DE REVISIÓN 6.- NORMAS Y REGULACIONES

2. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN INFORME COSO Control Objectives for related Information Technology - COBIT GMITS (ISO/IEC 13335-x), Common Criteria (ISO 15408) ASOCIACIONES PROFESIONALES, USUARIOS, FABRICANTES ISO 17799

3. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN MODELO DE RIESGO (*) RIESGOS VULNERABILIDAD IMPACTO (*) Basado en el modelo "Infosec"(ref. 92/242/ECC) (**) Incluye los conceptos de control y auditoría de sistemas de información PROTECCION (**)

4. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN RIESGO La probabilidad de que se dé un error, falle un proceso, o tenga lugar un hecho negativo para la empresa u organización, incluyendo la posibilidad de fraudes

5. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN el MECANISMO o PROCEDIMIENTO que EVITA o PREVIENE un RIESGO CONTROL

6. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN “ el sistema de control interno en TI está constituido por las políticas, procedimientos, prácticas y estructuras organizativas diseñadas para proveer una seguridad razonable que los objetivos empresariales o de negocio serán alcanzados o logrados y que los sucesos indeseados serán detectados, prevenidos y corregidos” COBIT (Governance, control and Audit for Information and Related Technology)

7. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN Riesgos y controles en procesos operativos MANUALES Riesgos y controles en procesos operativos AUTOMATIZADOS

8. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN CONTROLES COMPLEMENTARIOS e INTERDEPENDIENTES

9. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN CONTROL INTERNO Revisión periódica de procedimientos de controles establecidos Detección de riesgos Seguimiento de errores o irregularidades

10. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN dificultad para implantar una adecuada segregación de funciones obtención de evidencias o pistas de auditoría relevantes, fiables y eficientes complejidad tecnológica

11. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN SEGREGACIÓN de FUNCIONES Establecer una división de roles y responsabilidades que excluyan la posibilidad que una SOLA PERSONA PUEDA DOMINAR un PROCESO CRÍTICO

12. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN ¿Cuál de las siguientes tareas pueden ser realizadas por la misma persona en un centro de cómputo de procesamiento de información bien controlado? Administración de seguridad y admón. de cambios Operaciones de cómputo y desarrollo de sistemas Desarrollo de sistemas y admón. de cambios Desarrollo de sistemas y mantenimiento de sistemas

13. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN ¿Cuál de las siguientes controles es el más crítico sobre la administración de bases de datos? Aprobación de las actividades del DBA Segregación de funciones Revisión de los registros de acceso y actividades Revisión del uso de las herramientas de bases de datos

14. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN ¿Cuál de las siguientes funciones es más probable que sea realizada por el administrador de seguridad? Aprobar la política de seguridad Probar el software de aplicación Asegurar la integridad de los datos Mantener las reglas de acceso

15. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN VOLATILIDAD Y FACILIDAD de MANIPULACIÓN de las EVIDENCIAS , los REGISTROS y los PROCESOS

16. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN Las características estructurales de los controles están evolucionando a la misma velocidad y en la misma forma de cambio acelerado, que están experimentando las tecnologías Ejercicio continuado de investigación aplicada a los controles en TI

17. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN No admiten desviaciones Provienen de la Dirección POLITICAS Generalmente abarcan objetivos, las metas, filosofías, códigos éticos, y los esquemas de responsabilidades

18. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN PROCEDIMIENTOS Brindan los pasos específicos necesarios para lograr las metas Son las medidas o dispositivos necesarias para lograr las directrices de las políticas Evolucionan con la tecnología, la estructura organizativa, y se componen de medidas organizativas y técnicas

19. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN En la definición de los controles EVIDENCIAS OBJETIVO DEFINIDO de cada MECANISMO DE CONTROL Interdependencia y conexión con otros controles

20. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN SEGREGACIÓN de FUNCIONES IDENTIFICACIÓN de RESPONSABILIDAD INDEPENDENCIA de la SUPERVISIÓN En los aspectos organizativos

21. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN La Dirección deberá decidir s obre el nivel de riesgo que está dispuesta a aceptar, ello implica equilibrar el riesgo y el costo Los usuarios de los servicios de T.I. tienen una necesidad creciente de disponer de una SEGURIDAD RAZONABLE

22. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN CONTROLES versus COSTE/BENEFICIO de los CONTROLES Todo control y medida preventiva implica un coste monetario para su IMPLANTACIÓN y MANTENIMIENTO NO siempre es fácil IDENTIFICAR y CUANTIFICAR que riesgos pueden provocar daño o fraude, y que pérdidas concretas Desembolso que puede evitar pérdidas mayores en el futuro, y por lo tanto puede dar lugar a la RECUPERACIÓN de la INVERSIÓN

23. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN ESQUEMA BÁSICO MATERIALIDAD de los RIESGOS CONTROLES NECESARIOS COMPARACION de CONTROL versus COSTE DEFINICIÓN de los CONTROLES

24. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN Un auditor de SI está auditando los controles relativos al despido/retiro de empleados. ¿Cuál de los siguientes aspectos es el más importante que debe ser revisado? El personal relacionado de la compañía es notificado sobre el despido/retiro El usuario y las contraseñas del empleado han sido eliminadas Los detalles del empleado han sido eliminados de los archivos activos de la nómina Los bienes de la compañía provistos al empleado han sido devueltos

25. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN Cuando se revisa un acuerdo de nivel de servicio para un centro de cómputo contratado con terceros ( outsourcing ), un auditor de SI debería PRIMERO determinar que El coste propuesto para los servicios es razonable Los mecanismos de seguridad está especificados en el contrato Los servicios contratados están basados en un análisis de las necesidades del negocio El acceso de la auditoría al centro de cómputo esté permitido conforme al contrato

26. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN Un auditor de SI que hace una auditoría de procedimiento de monitoreo de hardware debe revisar: reportes de disponibilidad del sistema reportes coste-beneficio reportes de tiempo de respuesta reportes de utilización de bases de datos

27. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN Un auditor de SI cuando revisa una red utilizada para las comunicaciones de Internet, examinará primero la validez de los casos en que se hayan efectuado cambios de contraseña la arquitectura de la aplicación cliente/servidor la arquitectura y el diseño de la red la protección de firewall y los servidores proxy