SlideShare una empresa de Scribd logo

Seguridad informática

Xavier Gracia Cervantes
Xavier Gracia Cervantes

Introducción a los sistemas de información y su auditoría.

Ingeniería
1 de 25
Descargar para leer sin conexión
Introducción a los sistemas de información y su auditoría [1.1] ¿Cómo estudiar este tema? [1.2] Introducción a los sistemas de información y el rol de la auditoría informática [1.3] Definiciones de «auditoría informática» y de «control interno informático» [1.4] Funciones y objetivos de la auditoría informática [1.5] Diferencias entre control interno y auditoría informática TEMA
Auditoría de la Seguridad TEMA 1 – Esquema © Universidad Internacional de La Rioja (UNIR) Esquema IntroducciónalosSistemasdeInformaciónysuauditoría Glosario Roldela auditoría Reseñas históricas Auditoríainformática vs. ControlInternoInformático Funcionesyobjetosde laauditoríainformática 2
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Ideas clave 1.1. ¿Cómo estudiar este tema? Para estudiar este tema lee las Ideas clave que encontrarás a continuación y presta especial atención a los diferentes libros, vídeos y páginas web recomendados en los respectivos apartados incluidos al final de este tema. Este tema presenta una Introducción a los sistemas de información y el rol de la auditoría informática, diferenciándolo del Control Interno Informático. 1.2. Introducción a los sistemas de información y el rol de la auditoría informática Este capítulo introductorio realiza un recorrido, a través de sus apartados, por algunos aspectos que el alumno debe conocer para entender qué es un sistema de información, la función de la auditoría informática en las organizaciones y su decisiva contribución a las TIC. Un sistema de información es el conjunto de procesos, personas, datos y actividades que procesan la información en una determinada empresa. Los procesos pueden ser manuales y/o automáticos Los activos de Sistemas de Información Según International Standard Organization (ISO): «Algo que tiene valor para la organización» (ISO/IEC 13335-1:2004). Un activo de sistemas de información (SI) sería todo aquello que una entidad considera valioso por contener, procesar o generar información necesaria para el negocio de la misma. Todo sistema de información utilizado por la organización (en régimen de propiedad, subcontratación o pago por uso) deberá: » Salvaguardar la propiedad de la información. Los activos de SI asegurarán que la propiedad de los datos sea siempre de la organización. 3
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) » Mantener la integridad de los datos (información). Los activos de SI deben garantizar la integridad de la información, es decir, que la información no ha sido alterada por terceros (físicos o humanos). » Asegurar la confidencialidad de la información. La información solo es accesible y entendible por quien tiene derechos. » Garantizar la disponibilidad de la información. La organización puede disponer de la información en el momento en que la precise. » Llevar a cabo los fines de la organización y utilizar eficientemente los recursos. El último punto indica que los Sistemas de Información (SI) han de ser eficientes (cumplir con los objetivos de la organización), eficaces (deben ser útiles para la mejor utilización por parte de los usuarios) y económicos (es decir, al menor coste posible) en recursos y unidades monetarias. De manera que todo sistema de información eficaz y eficiente se basa en: » Planificación: un sistema de información no es un elemento aislado, sino que convive de forma colaborativa con otros sistemas de información con los que interactuará en la consecución de los objetivos de negocio. Las personas se interrelacionan y trabajan con otras personas y departamentos, de igual modo los datos se estructuran y agregan otros datos, las aplicaciones interactúan entre sí y los elementos hardware son parte de una infraestructura TIC interrelacionada sobre la que se ejecutan los aplicativos. Por tanto, tras asumir el punto anterior como cierto, el diseño, ejecución o adquisición de un sistema de información no debe ser una decisión aislada sino formar parte de una plan. Es decir, todo sistema de información, si se desea que sea eficaz y eficiente, deberá estar adecuadamente planificado. » Controles: más adelante desarrollaremos ampliamente la definición y tipología de los controles. Baste decir que un sistema de información eficaz y eficiente deberá estar controlado; es decir, deberán existir mecanismos para medir y asegurar que el activo de información lleva a cabo su cometido de una forma eficaz y eficiente. » Procedimientos: el uso de los sistemas de información por parte de la organización deberá estar descrito para asegurar su efectividad y eficacia y basarse en un marco de 4
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) procesos y procedimientos definido por la propia organización como sustento necesario para la gestión, posibilitadora del adecuado gobierno. » Estándares: el marco de gestión indicado en el punto anterior deberá basarse en los estándares internacionales reconocidos para asegurar la interoperabilidad de la organización con otras organizaciones y con el libre mercado. » Sistemas de seguridad: todo sistema de información organizativo debe desenvolverse en el contexto de un marco de gestión de la seguridad que conduzca a asegurar la integridad, confidencialidad y disponibilidad de la información generada, tratada o accedida por dicho sistema de información La ausencia de alguno de los elementos anteriores como base de un sistema de información, especialmente en un entorno informático, puede dar lugar a diversos riesgos con impacto en la organización. Las TIC como apoyo al plan estratégico de las empresas El plan TIC debe dar respuesta a las necesidades del negocio expuestas en el plan estratégico de la organización y ser coherente con este. El alineamiento del plan estratégico y del plan de las TIC tiene una doble dirección en la medida en que el negocio conforma las necesidades de sistemas de información y la tecnología posibilita medios cada vez más eficaces y eficientes para cubrir los objetivos de negocio, por lo que ambos planes han de retroalimentarse y estar alienados para asegurar el adecuado gobierno de las TIC. Si bien es necesario el alineamiento e integración entre el plan estratégico y el plan de TICs, así como una adecuada coordinación entre el CIO (Chief Information Officer) y el CEO (Chief Executive Officer) se habrá de tener siempre en cuenta que la tecnología está al servicio del negocio, de manera que los avances tecnológicos han de ser entendidos y digeridos por la organización a través de su plan TIC para extraer de ellos todo su potencial y contribución al negocio, pero sin condicionar este o hacerlo dependiente de la tecnología (esto que parece obvio evitar, acontece en buena parte de los casos). Reseña histórica y el rol del auditor informático. El crecimiento de las organizaciones y el avance tecnológico confluyen a mediados del siglo XX, de manera que a partir de 1950 y durante la década de los 60, con la aparición 5
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) de ordenadores más potentes, pequeños y económicos, la informática se convierte en una herramienta muy importante en las labores de auditoría financiera, ya que permite realizar de forma rápida y precisa operaciones complejas que manualmente llevarían mucho consumo de tiempo y personas. Así, se transforma en un medio decisivo para el análisis y procesamiento de la información y en la preparación y presentación de los resultados de auditoría. Se desarrolla la denominada auditoría con el ordenador, a la que no se le considera auditoría informática —y no debe confundirse con ella— ya que se trata únicamente de una auditoría en la que se utiliza el ordenador como herramienta del auditor financiero. Pero es el evolucionar tecnológico lo que altera el soporte y medio de generación, tratamiento y procesamiento de la información. Es decir, si al inicio de la función auditora los auditores trabajaban con información escrita, a medida que las TIC penetran en la organización como un medio de desarrollo estratégico del negocio, el soporte de la información se vuelve electrónico y la información es generada, tratada, almacenada y procesada a través de medios informáticos, en algunos casos de forma automática y en otros manual. La búsqueda de la exactitud y veracidad de la información nos lleva a plantearnos si a lo largo de su ciclo de vida la información ha podido verse alterada por intervención humana o por un error de procesamiento; es decir, el auditor financiero empieza a plantearse si la información que les daban los sistemas (Mainframes) eran correctos o estaban manipulados. La Ilustración 1 muestra un esquema del tratamiento informático de la información: Procesamiento informático de la información Entrada Salida (Información) Proceso MAINFRAME 6
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Es decir, las organizaciones han diseñado e implementado o adquirido procesos informáticos (aplicativos) capaces de generar información de salida a partir de unos datos de entrada: elaborar un balance contable cruzando información de distintas fuentes, generar un informe contable basado en los estados de cuentas de las distintas unidades, etc. Por tanto, las organizaciones necesitan poner en marcha controles para asegurar la integridad y exactitud de la información, pero también necesitarán de una auditoría independiente capaz de entender las interioridades de los procesos informáticos y revisar el correcto funcionamiento de los controles existentes. Surge entonces la figura del auditor informático que entendía lo que sucedía en el proceso de información dentro de aquellos mainframes. Inicialmente, el auditor informático es un perfil técnico (analistas-programadores) independiente que extraía información del sistema informático auditado, dando soporte a las necesidades que pudiera tener el auditor financiero, quien era el verdadero conductor y responsable de la auditoría. Pero pronto el auditor informático va asumiendo nuevas funciones y responsabilidades, pasando de ser un mero soporte técnico al servicio del auditor financiero para cubrir los aspectos tecnológicos de la auditoría a realizar funciones de una marcada importancia para las organizaciones, entre las que podríamos destacar: » Analista programador para el auditor financiero. » Revisión de controles internos informáticos generales » Revisión de controles por área o departamento » Revisión de controles por aplicaciones » Revisión de controles de producto informático (por ejemplo Oracle, IBM- DB2, CISCO PIX, SAP, etc.). » Revisión de controles de sistemas de gestión de TICs (por ejemplos estándares ISO, NIST, etc.) » Revisión de aspectos legales (en España y otros países existe la Ley Orgánica de Protección de Datos–LOPD) La Auditoría Informática se desarrolla principalmente en Estados Unidos, Reino Unido y Australia a finales de los años 60. Concretamente, la profesión de auditoría y control 7
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) interno de las Tecnologías de la Información y las Comunicaciones se constituye con la creación en 1969 de la EDPAA (Electronic Data Processing Auditors Association). En 1993, el nombre de la asociación EDPAA cambia a ISACA (Information Systems Audit and Control Association, www.isaca.org). En 1998, ISACA funda el ITGI (IT Governance Institute), encargado de desarrollar y divulgar conocimientos sobre el gobierno de los sistemas de información. 1.3. Definición de «auditoría informática» y «control interno informático» Este apartado define los conceptos de auditoría, de auditoría informática y de control interno informático y presenta algunos tipos de auditoría. Definición de Auditoría Lawrence B. Sawyer (1985) (Sawyer’s Internal Auditing: The Practice of Modern Internal Auditing) en (Sawyer’s Internal Auditing: The Practice of Modern Internal Auditing) define la auditoría como: «Una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos eficientemente y si se han alcanzado los objetivos de la organización». La auditoría evalúa ajustándose a un sistema con el objetivo de determinar de forma objetiva, basada en evidencias, el uso eficiente de los sistemas de información, la conformidad a una norma, etc. Los resultados de una auditoría han de estar basados en evidencias El auditor debe obtener evidencia suficiente y completa, mediante la aplicación de procedimientos de inspección y procedimientos analíticos, para fundamentar en ella las conclusiones de la auditoría. 8
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Por tanto, la evidencia del auditor ha de ser suficiente y completa: » La suficiencia mide la cantidad de la evidencia; es decir, si sustenta las conclusiones o hay un margen de incertidumbre. Está asociada a la característica de relevancia de la evidencia. » La completitud mide la calidad de la evidencia y el grado en que está basada en hechos demostrables. Está asociada a las características de neutralidad, autenticidad y verificabilidad de la evidencia. Algunos métodos de obtención de evidencias por parte del auditor son: » Inspecciones (documentales o físicas). » Observación. » Entrevistas. » Procedimientos analíticos. Las evidencias pueden ser: » Físicas: obtenidas a través de las inspecciones y la observación. » Testimoniales: obtenidas en las entrevistas. » Documentales: obtenidas en inspecciones y en las entrevistas. » Analíticas: obtenida a través de cálculos, comparaciones, tendencias, etc. Tipos de auditoría Tradicionalmente han existido diversas clases de auditoría en función de su contenido, objeto y finalidad: » De Cumplimiento: tiene como objetivo verificar e informar sobre el cumplimiento de las disposiciones, normativas y leyes laborales, civiles, estatutarias, tributarias, comerciales, de seguridad social e industrial, medio ambiente, etc. » Financiera: es la revisión de los controles y los registros de contabilidad de una empresa, cuya conclusión es un dictamen acerca de la corrección de los estados financieros de la misma. » De Gestión: su objetivo es evaluar el grado de eficacia en el logro de los objetivos previstos por la organización y la eficiencia en el uso de los recursos. 9
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) » Informática (o de sistemas de información): su objetivo es evaluar el alineamiento de las TIC con la estrategia organizativa, la eficacia de los sistemas de información y el uso eficiente de los recursos. Desde otro enfoque, podríamos clasificar las auditorías como: » Interna: realizada por personal vinculado laboralmente a la institución pero independiente al ámbito auditado, con el fin de garantizar los principios de independencia y objetividad. » Externas: realizada por personal no vinculada a la empresa auditada. Todas los tipos de auditoría se basan en los principios de independencia, sistematicidad y objetividad. Definición de control interno informático El control interno informático es el conjunto de medidas (controles) que la organización implementa para asegurar en el día a día el adecuado alineamiento de las TIC a los objetivos de negocio sin perder la eficacia, eficiencia y economía. Los objetivos del control interno informático son: » Garantizar diariamente que todas las actividades de SI sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática, así como los requerimientos legales. » El grado de eficacia de los SI, es decir, la medida en que los sistemas de información cubren los objetivos de negocio para los que fueron diseñados. » El uso eficiente de los recursos por parte de los SI: la misión del Control Interno Informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. 10
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Definición de Auditoría Informática Ron Weber (1988) ha definido la auditoria informática como el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático: » salvaguarda los activos » mantiene la integridad de los datos » lleva a cabo los fines de la organización » utiliza eficientemente los recursos Es importante mencionar que el proceso de auditoría informática no debe contemplar únicamente los aspectos técnicos, sino también los de planificación, gestión y organizativos. 1.4. Funciones y objetivos de la auditoría informática El objetivo principal del auditor es el de evaluar y comprobar en determinados momentos del tiempo los controles y procedimientos informáticos más complejos, objeto del análisis, desarrollando y aplicando metodologías de auditoría. La auditoría informática emplea las mismas técnicas descritas de inspección y observación, entrevistas, documentación y procedimientos analíticos propios de cualquier tipo de auditoría, si bien: » En la auditoría informática, las técnicas de inspección harán un mayor uso de software de inspección capaz de automatizar la verificación de los sistemas de información que en el caso del resto de tipos de auditoría. » La auditoría informática no se denomina de ese modo por este mayor uso de medios informáticos sino porque el objeto auditado son los sistemas de información, las TIC. Es decir, actualmente no es posible verificar manualmente procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deberá emplear software de auditoría–CAATS (Computer Assisted Audit Techniques). 11
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) El auditor es responsable de: » Llevar a cabo la auditoría, lo cual implica: o Planificar la auditoría. o Llevar a cabo las distintas tareas definidas en las fases de la auditoría. o Escuchar y observar (recordemos el origen latino del término: aquel que tiene la capacidad de oír). o Gestionar las desviaciones y riesgos que pudieran producirse durante la auditoría. » De informar a la Dirección de la Organización acerca de: o El diseño y funcionamiento de los controles implantados. o La fiabilidad de la información suministrada (su competencia). o La suficiencia de las evidencias, o la medida en que sustentan las conclusiones de auditoría El auditor presentará a la dirección de la organización un informe de auditoría que contendrá, entre otros puntos: » Las conclusiones de la auditoría. » Las no conformidades: o Menores y mayores o Evidencias relacionadas » Las observaciones: o Evidencias relacionadas » Una descripción de la auditoría: o Objetivo. o Alcance. o Fases y fechas. o Técnicas empleadas. o Áreas auditadas. o Entrevistados. 12
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) » La relación de evidencias detectadas y por cada una: o Su competencia. o Su suficiencia. 1.5. Diferencias entre control interno y auditoría informática La auditoría informática es la revisión independiente, sistemática y objetiva del control interno informático. La Ilustración 2 esquematiza las diferencias entre control interno informático y auditoría informática: La principal diferencia entre ambos radica en que: » el control interno informático realiza su verificación en el día a día, asegurando la eficacia y eficiencia de los controles. » la auditoría informática lleva a cabo un análisis con una frecuencia puntual, en un momento determinado y con un propósito muy concreto. Es como una «foto» en un momento concreto. CONTROL INTERNO INFORMÁTICO AUDITOR INFORMÁTICO Semejanzas • Personal interno. Conocimiento especializados en TIC • Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por Dirección Informática y la Dirección general para los SI Diferencias • Análisis de los controles en el día a día • Informa a la Dirección del Departamento de Informática • Son personal interno • El alcance de sus funciones es únicamente sobre el Departamento de Informática • Análisis de un momento informático determinado • Informa a la dirección General de la Organización • Personal interno y/o externo • Tiene cobertura sobre todos los componentes de los Sistemas de Información de la Organización 13
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Gobierno corporativo y gobierno de TI El gobierno corporativo se define como un comportamiento empresarial ético por parte de la Dirección y Gerencia para la creación y entrega de los beneficios para todas las partes interesadas (Stakeholders). Según IT Governance Institute (ITGI) —cuya misión es asistir a los líderes empresariales en su responsabilidad de asegurar que las TIC están alineadas con el negocio y generan valor, medir su rendimiento y comprobar que sus recursos son adecuadamente administrados y sus riesgos gestionados y mitigados — el gobierno de TI es una parte integral del gobierno corporativo. Y consiste en liderar y definir las estructuras y procesos organizativos que aseguran que las Tecnologías de la Información y Comunicaciones (TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organización, siendo la responsabilidad del comité de dirección y gerencia. De ambos conceptos podemos extraer los siguientes planteamientos: » El gobierno de TI es el alineamiento estratégico de las TI con la organización, de tal forma que se consigue el máximo valor de negocio por medio del desarrollo y mantenimiento de un control y responsabilidad efectivos, la gestión de la eficiencia y la eficacia (desempeño), así como la gestión de riesgos de TI. » El plan informático (plan TICs) se tiene que corresponder con el plan estratégico de la empresa, en el que el primero es un Control General de más alto nivel tal, y como veremos más adelante. Es necesario que cada organización administre sus recursos de TI a través de un conjunto estructurado de controles para asegurar la integridad, exactitud, confidencialidad y disponibilidad que requiere para su negocio. La ISACA (Information System Audit and Control Association) y el ITGI han desarrollado un Marco de Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) que viene a ser una guía —en su actual versión es COBIT 5— de mejores prácticas dirigida a la gestión de tecnología de la información (TI). 14
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Directrices del gobierno de TI El gobierno no solo persigue el logro de los objetivos del negocio (para lo cual será necesaria la gestión) sino que además estos objetivos habrán de lograrse asegurando la sostenibilidad de la organización o entidad, en equilibrio y cumplimiento de unos principios de responsabilidad, ética y conducta. Ver la siguiente ilustración. Estructura Gobierno de TI según ISO 38500. Fuente: ISO Estos principios vertebran las directrices del buen gobierno mencionadas por el estándar internacional ISO 38500; en concreto: » Responsabilidad: todo el mundo debe comprender y asumir sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización. » Estrategia: la estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TI. Los planes estratégicos de TI satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio. » Adquisición: las adquisiciones de TI se hacen por razones válidas, basándose en un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo. Existe una planificación. 15
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) » Rendimiento: la TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. Es decir, existe una gestión de la capacidad y continuidad de la TI para que sea resiliente, asegurando la sostenibilidad del negocio. » Conformidad: la función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas. » Conducta humana: las políticas de TI, prácticas y decisiones demuestran respecto por la conducta humana, incluyendo las necesidades actuales y emergentes de todas las partes involucradas. El rol de la auditoría en el gobierno de TI La auditoría informática —o de sistemas de información— es una pieza clave en la medición de la eficacia de los controles puestos en marcha por la organización para asegurar el cumplimiento de los objetivos del negocio, ya que es la que está mejor posicionada para: » Recomendar prácticas a la alta dirección, con el fin de mejorar la calidad y efectividad de las iniciativas y controles de gobierno de TI implantados. » Asegurar el cumplimiento de las iniciativas de gobierno de TI. La auditoría informática necesitará evaluar los siguientes aspectos relacionados con el gobierno de TI: » El alineamiento de la función de TI con la misión, la visión, los valores, los objetivos y las estrategias de la organización. » El logro por parte de la función de TI de los objetivos de eficiencia y eficacia establecidos por el negocio. » Los requisitos legales, de seguridad y los propios de la empresa. » El entorno de control diseñado y puesto en marcha por la organización. » Los riesgos intrínsecos dentro de TI, su probabilidad de ocurrencia y su grado de impacto en el negocio. 16
Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Es importante destacar que recomendar e informar a la alta dirección por parte del auditor implica: » Definir el alcance de la auditoría, incluyendo áreas y aspectos funcionales a cubrir. » Establecer el nivel de dirección al que se entregará el informe de auditoría. » Garantizar el derecho de acceso a la información por parte del auditor, poniendo a su disposición el conjunto de información necesario y la colaboración por parte de todos los departamentos de la empresa, así como de los terceros relacionados. 17
Auditoría de la Seguridad TEMA 1 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR) Lo + recomendado No dejes de leer… Auditoría de los estándares ISO en las TIC: una herramienta de la dirección Fernández, C. M. (2010). Auditoría de los estándares ISO en las TIC: una herramienta de la Dirección. Revista red de seguridad, 45. Este artículo elaborado por D. Carlos Manuel Fernández, Gerente de TICs de AENOR, presenta el modelo de ISO en las TIC y el papel de la auditoría interna y externa como herramienta para la dirección. Accede al artículo desde el aula virtual o a través de la siguiente dirección web: http://www.redseguridad.com/opinion/articulos/auditoria-de-los-estandares-iso-en- las-tic-una-herramienta-de-la-direccion No dejes de ver… Auditoría informática y modelo COBIT Este vídeo presenta los aspectos introductorios de los sistemas de información y el concepto de la auditoría informática. Accede al vídeo desde el aula virtual o a través de la siguiente dirección web: http://www.youtube.com/watch?v=va8RRPmMaac 18
Auditoría de la Seguridad TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR) + Información A fondo The IS Audit process Anantha Sayana, S., CISA, y CIA (2002). The IS Audit process. ISACA Journal, 1. Este excelente artículo concentra en su corta extensión los aspectos clave de la auditoría de sistemas de información con tanta completitud como concreción y brevedad en su exposición. Accede al artículo desde el aula virtual o a través de la siguiente dirección web: https://isaudit101.wordpress.com/chapter_i/ Enlaces relacionados ISACA Página web de la Asociación de Auditoría y Control de Sistemas de Información. En ella también encontrarás información sobre el ITGI, el IT Governance Institute. Accede a la página desde el aula virtual o a través de la siguiente dirección web: http://www.isaca.org 19
Auditoría de la Seguridad TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR) ISO Página web de ISO (International Standards Organization). Accede a la página desde el aula virtual o a través de la siguiente dirección web: http://www.iso.org Bibliografía Fernandez, C.M., Piattini, M., Pino, F. (2014). Modelo de madure de ingeniería del software. AENOR Ediciones. Fernández, C.M., Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las normas ISO. AENOR Ediciones. Gómez, L., Fernández P.P. (2015). Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014 y su aplicación en el Esquema Nacional de Seguridad. AENOR Ediciones. Guide to Using International Standards on Auditing in the Audits of Small- and Mediumsized Entities. NY, 2007. ISO 20000-1 para PYMES. Como implantar un sistema de gestión de servicios de tecnologías de la información. Nextel y AENOR Ediciones. ICAC (2003). Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados. BOICAC nº 54. INTOSAI: Guía para las normas de control interno del sector público. (INTOSAI GOV 9100). Lynne, M. y Daniel, R. TIC y cambios organizativos. 20
Auditoría de la Seguridad TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR) Marco para la auditoría de los sistemas de información. 2009 ISACA Capítulo Madrid. NIST SP 800-100, Information Security Handbook. Piattini, M., Del Peso, E. (2000). Auditoría Informática: Un enfoque práctico. Editorial Ra-MA. Piattini, M., Del Peso, E. y Fernández, C.M. (Coautor). (2008). Auditoría de Tecnologías y Sistemas de Información, RA-MA. Piattini, M., Hervada, F. (2007). Gobierno de las tecnologías y los sistemas de información. RA-MA. The Institute of Internal Auditors (2007). The GAIT Principles. Altamonte Springs. GTAG 1: Information Technology Controls. VV.AA. (2009). Marco para la auditoria de los sistemas de información. ISACA Madrid. Weber, R. (1998). EDP Auditing: Conceptual Foundations and Practice. Ed. McGraw Hill. 21
Auditoría de la Seguridad TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR) Test 1. A principios de la segunda mitad del siglo XX la informática se convierte en una herramienta muy importante para la auditoría financiera. En este ámbito, marque la verdadera: A. La auditoría informática es sinónima de la auditoría financiera con el ordenador. B. La auditoría con el ordenador, como apoyo al auditor financiero, no es auditoría informática. C. La auditoría informática es la realización de auditorías de cualquier tipo con un ordenador. D. El auditor financiero y el auditor informático no colaboran entre sí. 2. En los años 60, el auditor informático: A. No se le tiene en cuenta para ninguna actividad. B. Es un analista financiero que aprende de las arquitecturas de sistemas de la época y realiza él mismo las auditorías. C. Es inicialmente un analista programador que forma parte de los mainframes que audita. D. Es inicialmente un analista programador independiente que presta ayuda al auditor financiero. 3. ¿Cuál de las siguientes afirmaciones no es cierta? A. Una función del auditor informático puede ser realizar revisiones del control interno de una empresa. B. Una función del auditor informático puede ser revisar aspectos legales directamente relacionados con la tecnología. C. Una función del auditor informático puede ser revisar el balance contable de una empresa. D. Una función del auditor informático puede ser revisar la instalación de un producto software de acuerdo a unas especificaciones. 22
Auditoría de la Seguridad TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR) 4. El Gobierno de TI se puede definir como: A. El alineamiento estratégico de las TI con la organización de tal forma que se consigue el máximo valor de negocio por medio del desarrollo y mantenimiento de un control y responsabilidad efectivas, gestión de la eficiencia y la eficacia. B. El alineamiento estratégico de las TI con la organización de tal forma que se consigue el máximo valor de negocio por medio del desarrollo y mantenimiento de un control y responsabilidad efectivas, gestión de la eficiencia y la eficacia, así como la gestión de riesgos de TI. C. Consiste en liderar y definir las estructuras y procesos organizativos que aseguran que las Tecnologías de la Información y Comunicaciones (TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organización, manteniéndose de forma autónoma al comité de dirección y gerencia. D. Ninguna de las anteriores. 5. Es función del gobierno de TI: A. Gestión de eficacia y eficiencia así como gestión de riesgos, entre otros. B. Políticas y procedimientos, gestión de riesgos entre otros. C. Exclusivamente gestión de eficacia y eficiencia. D. Control y responsabilidad así como gestión de riesgos entre otros. 6. ¿Cuál de las siguientes afirmaciones es cierta? A. El plan estratégico de la empresa se tiene que corresponder con el plan informático de TI. El primero se diseña en función del segundo. B. Las organizaciones con consideración a las TI, tienen menor retorno de inversión que aquellas que no lo consideran ante los mismos objetivos estratégicos, de tal forma que con la madurez tecnológica se llegue a un estado de mayor retorno. C. El plan informático de TI no se tiene que corresponder con el plan estratégico de la empresa. D. Ninguna afirmación es cierta. 23
Auditoría de la Seguridad TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR) 7. El rol de la Auditoría en el Gobierno de TI consiste en: A. Implantar prácticas a la alta dirección, con el fin de mejorar la calidad y efectividad de las iniciativas del gobierno de TI implantadas y asegura el cumplimiento de las iniciativas de gobierno de TI. B. Asumir responsabilidades de Dirección detectando necesidades e implantándolas como función de control interno dentro del departamento de TI. C. Realizar evaluaciones y únicamente asegurar el cumplimiento de las iniciativas de gobierno de TI. D. Recomendar prácticas a la alta dirección, con el fin de mejorar la calidad y efectividad de las iniciativas del gobierno de TI implantadas y asegura el cumplimiento de las iniciativas de gobierno de TI. 8. El Comité de informática: A. Se encarga de hacer de interfaz entre los usuarios y los informáticos. Está compuesto por expertos en una materia y conocen muy bien el negocio/modelo de datos que manejan. B. Diseña el plan estratégico de la compañía. C. Elabora el Plan Director de Informática, que se corresponde con el Plan Estratégico. Puede ser a un año o a dos. D. Ninguna de las anteriores. 9. Señala la correcta en relación a objetivos y funciones del auditor informático: A. Participar en las revisiones e implantaciones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas. B. Revisar y analizar los controles implantados en los sistemas de información para verificar su adecuación de acuerdo a las directrices de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. C. Revisar, analizar y en su caso corregir indicando acciones a realizar, el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos y sistemas informáticos en general. D. Revisar y analizar los controles implantados en los sistemas de información para verificar su adecuación de acuerdo a las directrices de la Dirección, estableciendo y dirigiendo las desviaciones detectadas aplicando acciones de mejora. 24
Auditoría de la Seguridad TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR) 10. El CII (Control Interno Informático) se diferencia del auditor informático en: A. No tiene cobertura sobre todos los componentes del sistema de información de la organización. B. Son personal interno o externo. C. Realizan un análisis del control interno informático diariamente. D. Informan a la Dirección General en tiempo real. 25

Recomendados

Tipos de sistemas de información
Tipos de sistemas de información Tipos de sistemas de información
Tipos de sistemas de información jesusmarquina
 
Informática Contable I
Informática Contable IInformática Contable I
Informática Contable ITeach for All
 
Lixy barrios 30274265 ing. de sistemas
Lixy barrios 30274265 ing. de sistemasLixy barrios 30274265 ing. de sistemas
Lixy barrios 30274265 ing. de sistemasRafaelVillafaez
 
Once sistemas de informacion
Once sistemas de informacionOnce sistemas de informacion
Once sistemas de informacionzehuf
 
Word auditoria informatica
Word auditoria informaticaWord auditoria informatica
Word auditoria informaticaJaime
 
Informatica contable
Informatica contableInformatica contable
Informatica contablerapaloz
 
Taller 1 sistemas de informacion gerencial
Taller 1 sistemas de informacion gerencialTaller 1 sistemas de informacion gerencial
Taller 1 sistemas de informacion gerencialViviana
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacionArgimiro Dominguez
 

Recomendados

Tipos de sistemas de información
Tipos de sistemas de información Tipos de sistemas de información
Tipos de sistemas de información jesusmarquina
 
Informática Contable I
Informática Contable IInformática Contable I
Informática Contable ITeach for All
 
Lixy barrios 30274265 ing. de sistemas
Lixy barrios 30274265 ing. de sistemasLixy barrios 30274265 ing. de sistemas
Lixy barrios 30274265 ing. de sistemasRafaelVillafaez
 
Once sistemas de informacion
Once sistemas de informacionOnce sistemas de informacion
Once sistemas de informacionzehuf
 
Word auditoria informatica
Word auditoria informaticaWord auditoria informatica
Word auditoria informaticaJaime
 
Informatica contable
Informatica contableInformatica contable
Informatica contablerapaloz
 
Taller 1 sistemas de informacion gerencial
Taller 1 sistemas de informacion gerencialTaller 1 sistemas de informacion gerencial
Taller 1 sistemas de informacion gerencialViviana
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacionArgimiro Dominguez
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3NitaFernandez
 
sistema de informacion
sistema de informacionsistema de informacion
sistema de informacionjonathanayona
 
Trabajo sistemas de informacion
Trabajo sistemas de informacionTrabajo sistemas de informacion
Trabajo sistemas de informacionjenifer tuiran
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3carlos89999
 
1. sistemas informáticos
1. sistemas informáticos1. sistemas informáticos
1. sistemas informáticosRamiro Estigarribia Canese
 
Resumén auditoria by Mizael
Resumén auditoria by MizaelResumén auditoria by Mizael
Resumén auditoria by MizaelMizael Cano Ortiz
 
Sistemas de informacion gerencial
Sistemas de informacion gerencialSistemas de informacion gerencial
Sistemas de informacion gerencialallisonvelasquez
 
Tema 1
Tema 1Tema 1
Tema 1Carmelo Branimir España Villegas
 
Sistemas
SistemasSistemas
SistemasMattPalacios2
 
Presentacion de Sistemas de informacion
Presentacion de Sistemas de informacionPresentacion de Sistemas de informacion
Presentacion de Sistemas de informacionEROL
 
Taller de sistemas de informacion
Taller de sistemas de informacionTaller de sistemas de informacion
Taller de sistemas de informacionJuan Camilo Villalobos
 
Sistema de informacion gerencial
Sistema de informacion gerencialSistema de informacion gerencial
Sistema de informacion gerencialyennifer
 
5.redes auditoria de sistemas
5.redes auditoria de sistemas5.redes auditoria de sistemas
5.redes auditoria de sistemasRamiro Estigarribia Canese
 
Dialnet los sistemasdeinformacion-793097
Dialnet los sistemasdeinformacion-793097Dialnet los sistemasdeinformacion-793097
Dialnet los sistemasdeinformacion-793097raquel rosales
 
Definición y Caracteristicas de los diferentes tipos de SI
Definición y Caracteristicas de los diferentes tipos de SIDefinición y Caracteristicas de los diferentes tipos de SI
Definición y Caracteristicas de los diferentes tipos de SIRafael Brito
 
Clase 1 sistemas de información
Clase 1 sistemas de informaciónClase 1 sistemas de información
Clase 1 sistemas de informaciónEmilio Flores
 
Control interno ester fermin
Control interno ester ferminControl interno ester fermin
Control interno ester ferminestfermin
 
SISTEMAS DE INFORMACIÓN
SISTEMAS DE INFORMACIÓNSISTEMAS DE INFORMACIÓN
SISTEMAS DE INFORMACIÓNJose Martinez
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaJuan Prieto
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Modulo
ModuloModulo
Modulolazgema
 
Instituto universitario tecnológico
Instituto universitario tecnológicoInstituto universitario tecnológico
Instituto universitario tecnológicoJesus Parra
 

Más contenido relacionado

La actualidad más candente

sistema de informacion
sistema de informacionsistema de informacion
sistema de informacionjonathanayona
 
Trabajo sistemas de informacion
Trabajo sistemas de informacionTrabajo sistemas de informacion
Trabajo sistemas de informacionjenifer tuiran
 
Resumén auditoria by Mizael
Resumén auditoria by MizaelResumén auditoria by Mizael
Resumén auditoria by MizaelMizael Cano Ortiz
 
Sistemas de informacion gerencial
Sistemas de informacion gerencialSistemas de informacion gerencial
Sistemas de informacion gerencialallisonvelasquez
 
Presentacion de Sistemas de informacion
Presentacion de Sistemas de informacionPresentacion de Sistemas de informacion
Presentacion de Sistemas de informacionEROL
 
Sistema de informacion gerencial
Sistema de informacion gerencialSistema de informacion gerencial
Sistema de informacion gerencialyennifer
 
Dialnet los sistemasdeinformacion-793097
Dialnet los sistemasdeinformacion-793097Dialnet los sistemasdeinformacion-793097
Dialnet los sistemasdeinformacion-793097raquel rosales
 
Definición y Caracteristicas de los diferentes tipos de SI
Definición y Caracteristicas de los diferentes tipos de SIDefinición y Caracteristicas de los diferentes tipos de SI
Definición y Caracteristicas de los diferentes tipos de SIRafael Brito
 
Clase 1 sistemas de información
Clase 1 sistemas de informaciónClase 1 sistemas de información
Clase 1 sistemas de informaciónEmilio Flores
 
Control interno ester fermin
Control interno ester ferminControl interno ester fermin
Control interno ester ferminestfermin
 
SISTEMAS DE INFORMACIÓN
SISTEMAS DE INFORMACIÓNSISTEMAS DE INFORMACIÓN
SISTEMAS DE INFORMACIÓNJose Martinez
 

La actualidad más candente (18)

Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
sistema de informacion
sistema de informacionsistema de informacion
sistema de informacion
 
Trabajo sistemas de informacion
Trabajo sistemas de informacionTrabajo sistemas de informacion
Trabajo sistemas de informacion
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
1. sistemas informáticos
1. sistemas informáticos1. sistemas informáticos
1. sistemas informáticos
 
Resumén auditoria by Mizael
Resumén auditoria by MizaelResumén auditoria by Mizael
Resumén auditoria by Mizael
 
Sistemas de informacion gerencial
Sistemas de informacion gerencialSistemas de informacion gerencial
Sistemas de informacion gerencial
 
Tema 1
Tema 1Tema 1
Tema 1
 
Sistemas
SistemasSistemas
Sistemas
 
Presentacion de Sistemas de informacion
Presentacion de Sistemas de informacionPresentacion de Sistemas de informacion
Presentacion de Sistemas de informacion
 
Taller de sistemas de informacion
Taller de sistemas de informacionTaller de sistemas de informacion
Taller de sistemas de informacion
 
Sistema de informacion gerencial
Sistema de informacion gerencialSistema de informacion gerencial
Sistema de informacion gerencial
 
5.redes auditoria de sistemas
5.redes auditoria de sistemas5.redes auditoria de sistemas
5.redes auditoria de sistemas
 
Dialnet los sistemasdeinformacion-793097
Dialnet los sistemasdeinformacion-793097Dialnet los sistemasdeinformacion-793097
Dialnet los sistemasdeinformacion-793097
 
Definición y Caracteristicas de los diferentes tipos de SI
Definición y Caracteristicas de los diferentes tipos de SIDefinición y Caracteristicas de los diferentes tipos de SI
Definición y Caracteristicas de los diferentes tipos de SI
 
Clase 1 sistemas de información
Clase 1 sistemas de informaciónClase 1 sistemas de información
Clase 1 sistemas de información
 
Control interno ester fermin
Control interno ester ferminControl interno ester fermin
Control interno ester fermin
 
SISTEMAS DE INFORMACIÓN
SISTEMAS DE INFORMACIÓNSISTEMAS DE INFORMACIÓN
SISTEMAS DE INFORMACIÓN
 

Similar a Seguridad informática

Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaJuan Prieto
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Instituto universitario tecnológico
Instituto universitario tecnológicoInstituto universitario tecnológico
Instituto universitario tecnológicoJesus Parra
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutableBella Loor
 
Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Jose Olivera
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
los sistemasdeinfo
los sistemasdeinfolos sistemasdeinfo
los sistemasdeinfoeduardo azas
 
Dialnet-LosSistemasDeInformacion-793097.pdf
Dialnet-LosSistemasDeInformacion-793097.pdfDialnet-LosSistemasDeInformacion-793097.pdf
Dialnet-LosSistemasDeInformacion-793097.pdfLUISRENECAMPOSGUZMAN
 
Dialnet los sistemasdeinformacion-793097 (1)
Dialnet los sistemasdeinformacion-793097 (1)Dialnet los sistemasdeinformacion-793097 (1)
Dialnet los sistemasdeinformacion-793097 (1)johnny.arteaga
 
Dialnet los sistemasdeinformacion-793097 (2)
Dialnet los sistemasdeinformacion-793097 (2)Dialnet los sistemasdeinformacion-793097 (2)
Dialnet los sistemasdeinformacion-793097 (2)Laura Ocampo
 
aguateoriaesunmetodosgrafivocsodasfmd.pdf
aguateoriaesunmetodosgrafivocsodasfmd.pdfaguateoriaesunmetodosgrafivocsodasfmd.pdf
aguateoriaesunmetodosgrafivocsodasfmd.pdfmario82188
 
Dialnet-LosSistemasDeInformacion-793097.pdf
Dialnet-LosSistemasDeInformacion-793097.pdfDialnet-LosSistemasDeInformacion-793097.pdf
Dialnet-LosSistemasDeInformacion-793097.pdfGrisel32
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacionislenagarcia
 
Presentacion Sistemas de Información
Presentacion Sistemas de InformaciónPresentacion Sistemas de Información
Presentacion Sistemas de InformaciónEnrique Cabello
 
Sub
SubSub
SubBJ R
 
Ciclo de vida de los sistemas de informacion
Ciclo de vida de los sistemas de informacionCiclo de vida de los sistemas de informacion
Ciclo de vida de los sistemas de informacionYoselin R.
 
Generalidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasGeneralidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasCarlosLopez1581
 

Similar a Seguridad informática (20)

Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
 
Modulo
ModuloModulo
Modulo
 
Instituto universitario tecnológico
Instituto universitario tecnológicoInstituto universitario tecnológico
Instituto universitario tecnológico
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutable
 
Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestre
 
Alvear t
Alvear tAlvear t
Alvear t
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
los sistemasdeinfo
los sistemasdeinfolos sistemasdeinfo
los sistemasdeinfo
 
Dialnet-LosSistemasDeInformacion-793097.pdf
Dialnet-LosSistemasDeInformacion-793097.pdfDialnet-LosSistemasDeInformacion-793097.pdf
Dialnet-LosSistemasDeInformacion-793097.pdf
 
Dialnet los sistemasdeinformacion-793097 (1)
Dialnet los sistemasdeinformacion-793097 (1)Dialnet los sistemasdeinformacion-793097 (1)
Dialnet los sistemasdeinformacion-793097 (1)
 
Dialnet los sistemasdeinformacion-793097 (2)
Dialnet los sistemasdeinformacion-793097 (2)Dialnet los sistemasdeinformacion-793097 (2)
Dialnet los sistemasdeinformacion-793097 (2)
 
aguateoriaesunmetodosgrafivocsodasfmd.pdf
aguateoriaesunmetodosgrafivocsodasfmd.pdfaguateoriaesunmetodosgrafivocsodasfmd.pdf
aguateoriaesunmetodosgrafivocsodasfmd.pdf
 
Dialnet-LosSistemasDeInformacion-793097.pdf
Dialnet-LosSistemasDeInformacion-793097.pdfDialnet-LosSistemasDeInformacion-793097.pdf
Dialnet-LosSistemasDeInformacion-793097.pdf
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacion
 
Presentacion Sistemas de Información
Presentacion Sistemas de InformaciónPresentacion Sistemas de Información
Presentacion Sistemas de Información
 
Sub
SubSub
Sub
 
Ciclo de vida de los sistemas de informacion
Ciclo de vida de los sistemas de informacionCiclo de vida de los sistemas de informacion
Ciclo de vida de los sistemas de informacion
 
Generalidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasGeneralidades de la Auditoria de Sistemas
Generalidades de la Auditoria de Sistemas
 

Último

PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfalexquispenieto2
 
Controladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y VentajasControladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y Ventajasjuanprv
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfAntonioGonzalezIzqui
 
hitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docxhitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docxMarcelaArancibiaRojo
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfFernandaGarca788912
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxJuanPablo452634
 
nom-028-stps-2012-nom-028-stps-2012-.pdf
nom-028-stps-2012-nom-028-stps-2012-.pdfnom-028-stps-2012-nom-028-stps-2012-.pdf
nom-028-stps-2012-nom-028-stps-2012-.pdfDiegoMadrigal21
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfmatepura
 
Comite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxComite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxClaudiaPerez86192
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfMikkaelNicolae
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAJAMESDIAZ55
 
Residente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfResidente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfevin1703e
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfyoseka196
 
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)ssuser563c56
 
tema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdftema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdfvictoralejandroayala2
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSaulSantiago25
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxbingoscarlet
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMarceloQuisbert6
 
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolicalf1231
 

Último (20)

PPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdfPPT ELABORARACION DE ADOBES 2023 (1).pdf
PPT ELABORARACION DE ADOBES 2023 (1).pdf
 
Controladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y VentajasControladores Lógicos Programables Usos y Ventajas
Controladores Lógicos Programables Usos y Ventajas
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
 
hitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docxhitos del desarrollo psicomotor en niños.docx
hitos del desarrollo psicomotor en niños.docx
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdf
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
 
nom-028-stps-2012-nom-028-stps-2012-.pdf
nom-028-stps-2012-nom-028-stps-2012-.pdfnom-028-stps-2012-nom-028-stps-2012-.pdf
nom-028-stps-2012-nom-028-stps-2012-.pdf
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdf
 
Comite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxComite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptx
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
 
Residente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfResidente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdf
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdf
 
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
 
tema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdftema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdf
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusibles
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptx
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principios
 
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdfVALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
 
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica
 

Seguridad informática

  • 1. Introducción a los sistemas de información y su auditoría [1.1] ¿Cómo estudiar este tema? [1.2] Introducción a los sistemas de información y el rol de la auditoría informática [1.3] Definiciones de «auditoría informática» y de «control interno informático» [1.4] Funciones y objetivos de la auditoría informática [1.5] Diferencias entre control interno y auditoría informática TEMA
  • 2. Auditoría de la Seguridad TEMA 1 – Esquema © Universidad Internacional de La Rioja (UNIR) Esquema IntroducciónalosSistemasdeInformaciónysuauditoría Glosario Roldela auditoría Reseñas históricas Auditoríainformática vs. ControlInternoInformático Funcionesyobjetosde laauditoríainformática 2
  • 3. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Ideas clave 1.1. ¿Cómo estudiar este tema? Para estudiar este tema lee las Ideas clave que encontrarás a continuación y presta especial atención a los diferentes libros, vídeos y páginas web recomendados en los respectivos apartados incluidos al final de este tema. Este tema presenta una Introducción a los sistemas de información y el rol de la auditoría informática, diferenciándolo del Control Interno Informático. 1.2. Introducción a los sistemas de información y el rol de la auditoría informática Este capítulo introductorio realiza un recorrido, a través de sus apartados, por algunos aspectos que el alumno debe conocer para entender qué es un sistema de información, la función de la auditoría informática en las organizaciones y su decisiva contribución a las TIC. Un sistema de información es el conjunto de procesos, personas, datos y actividades que procesan la información en una determinada empresa. Los procesos pueden ser manuales y/o automáticos Los activos de Sistemas de Información Según International Standard Organization (ISO): «Algo que tiene valor para la organización» (ISO/IEC 13335-1:2004). Un activo de sistemas de información (SI) sería todo aquello que una entidad considera valioso por contener, procesar o generar información necesaria para el negocio de la misma. Todo sistema de información utilizado por la organización (en régimen de propiedad, subcontratación o pago por uso) deberá: » Salvaguardar la propiedad de la información. Los activos de SI asegurarán que la propiedad de los datos sea siempre de la organización. 3
  • 4. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) » Mantener la integridad de los datos (información). Los activos de SI deben garantizar la integridad de la información, es decir, que la información no ha sido alterada por terceros (físicos o humanos). » Asegurar la confidencialidad de la información. La información solo es accesible y entendible por quien tiene derechos. » Garantizar la disponibilidad de la información. La organización puede disponer de la información en el momento en que la precise. » Llevar a cabo los fines de la organización y utilizar eficientemente los recursos. El último punto indica que los Sistemas de Información (SI) han de ser eficientes (cumplir con los objetivos de la organización), eficaces (deben ser útiles para la mejor utilización por parte de los usuarios) y económicos (es decir, al menor coste posible) en recursos y unidades monetarias. De manera que todo sistema de información eficaz y eficiente se basa en: » Planificación: un sistema de información no es un elemento aislado, sino que convive de forma colaborativa con otros sistemas de información con los que interactuará en la consecución de los objetivos de negocio. Las personas se interrelacionan y trabajan con otras personas y departamentos, de igual modo los datos se estructuran y agregan otros datos, las aplicaciones interactúan entre sí y los elementos hardware son parte de una infraestructura TIC interrelacionada sobre la que se ejecutan los aplicativos. Por tanto, tras asumir el punto anterior como cierto, el diseño, ejecución o adquisición de un sistema de información no debe ser una decisión aislada sino formar parte de una plan. Es decir, todo sistema de información, si se desea que sea eficaz y eficiente, deberá estar adecuadamente planificado. » Controles: más adelante desarrollaremos ampliamente la definición y tipología de los controles. Baste decir que un sistema de información eficaz y eficiente deberá estar controlado; es decir, deberán existir mecanismos para medir y asegurar que el activo de información lleva a cabo su cometido de una forma eficaz y eficiente. » Procedimientos: el uso de los sistemas de información por parte de la organización deberá estar descrito para asegurar su efectividad y eficacia y basarse en un marco de 4
  • 5. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) procesos y procedimientos definido por la propia organización como sustento necesario para la gestión, posibilitadora del adecuado gobierno. » Estándares: el marco de gestión indicado en el punto anterior deberá basarse en los estándares internacionales reconocidos para asegurar la interoperabilidad de la organización con otras organizaciones y con el libre mercado. » Sistemas de seguridad: todo sistema de información organizativo debe desenvolverse en el contexto de un marco de gestión de la seguridad que conduzca a asegurar la integridad, confidencialidad y disponibilidad de la información generada, tratada o accedida por dicho sistema de información La ausencia de alguno de los elementos anteriores como base de un sistema de información, especialmente en un entorno informático, puede dar lugar a diversos riesgos con impacto en la organización. Las TIC como apoyo al plan estratégico de las empresas El plan TIC debe dar respuesta a las necesidades del negocio expuestas en el plan estratégico de la organización y ser coherente con este. El alineamiento del plan estratégico y del plan de las TIC tiene una doble dirección en la medida en que el negocio conforma las necesidades de sistemas de información y la tecnología posibilita medios cada vez más eficaces y eficientes para cubrir los objetivos de negocio, por lo que ambos planes han de retroalimentarse y estar alienados para asegurar el adecuado gobierno de las TIC. Si bien es necesario el alineamiento e integración entre el plan estratégico y el plan de TICs, así como una adecuada coordinación entre el CIO (Chief Information Officer) y el CEO (Chief Executive Officer) se habrá de tener siempre en cuenta que la tecnología está al servicio del negocio, de manera que los avances tecnológicos han de ser entendidos y digeridos por la organización a través de su plan TIC para extraer de ellos todo su potencial y contribución al negocio, pero sin condicionar este o hacerlo dependiente de la tecnología (esto que parece obvio evitar, acontece en buena parte de los casos). Reseña histórica y el rol del auditor informático. El crecimiento de las organizaciones y el avance tecnológico confluyen a mediados del siglo XX, de manera que a partir de 1950 y durante la década de los 60, con la aparición 5
  • 6. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) de ordenadores más potentes, pequeños y económicos, la informática se convierte en una herramienta muy importante en las labores de auditoría financiera, ya que permite realizar de forma rápida y precisa operaciones complejas que manualmente llevarían mucho consumo de tiempo y personas. Así, se transforma en un medio decisivo para el análisis y procesamiento de la información y en la preparación y presentación de los resultados de auditoría. Se desarrolla la denominada auditoría con el ordenador, a la que no se le considera auditoría informática —y no debe confundirse con ella— ya que se trata únicamente de una auditoría en la que se utiliza el ordenador como herramienta del auditor financiero. Pero es el evolucionar tecnológico lo que altera el soporte y medio de generación, tratamiento y procesamiento de la información. Es decir, si al inicio de la función auditora los auditores trabajaban con información escrita, a medida que las TIC penetran en la organización como un medio de desarrollo estratégico del negocio, el soporte de la información se vuelve electrónico y la información es generada, tratada, almacenada y procesada a través de medios informáticos, en algunos casos de forma automática y en otros manual. La búsqueda de la exactitud y veracidad de la información nos lleva a plantearnos si a lo largo de su ciclo de vida la información ha podido verse alterada por intervención humana o por un error de procesamiento; es decir, el auditor financiero empieza a plantearse si la información que les daban los sistemas (Mainframes) eran correctos o estaban manipulados. La Ilustración 1 muestra un esquema del tratamiento informático de la información: Procesamiento informático de la información Entrada Salida (Información) Proceso MAINFRAME 6
  • 7. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Es decir, las organizaciones han diseñado e implementado o adquirido procesos informáticos (aplicativos) capaces de generar información de salida a partir de unos datos de entrada: elaborar un balance contable cruzando información de distintas fuentes, generar un informe contable basado en los estados de cuentas de las distintas unidades, etc. Por tanto, las organizaciones necesitan poner en marcha controles para asegurar la integridad y exactitud de la información, pero también necesitarán de una auditoría independiente capaz de entender las interioridades de los procesos informáticos y revisar el correcto funcionamiento de los controles existentes. Surge entonces la figura del auditor informático que entendía lo que sucedía en el proceso de información dentro de aquellos mainframes. Inicialmente, el auditor informático es un perfil técnico (analistas-programadores) independiente que extraía información del sistema informático auditado, dando soporte a las necesidades que pudiera tener el auditor financiero, quien era el verdadero conductor y responsable de la auditoría. Pero pronto el auditor informático va asumiendo nuevas funciones y responsabilidades, pasando de ser un mero soporte técnico al servicio del auditor financiero para cubrir los aspectos tecnológicos de la auditoría a realizar funciones de una marcada importancia para las organizaciones, entre las que podríamos destacar: » Analista programador para el auditor financiero. » Revisión de controles internos informáticos generales » Revisión de controles por área o departamento » Revisión de controles por aplicaciones » Revisión de controles de producto informático (por ejemplo Oracle, IBM- DB2, CISCO PIX, SAP, etc.). » Revisión de controles de sistemas de gestión de TICs (por ejemplos estándares ISO, NIST, etc.) » Revisión de aspectos legales (en España y otros países existe la Ley Orgánica de Protección de Datos–LOPD) La Auditoría Informática se desarrolla principalmente en Estados Unidos, Reino Unido y Australia a finales de los años 60. Concretamente, la profesión de auditoría y control 7
  • 8. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) interno de las Tecnologías de la Información y las Comunicaciones se constituye con la creación en 1969 de la EDPAA (Electronic Data Processing Auditors Association). En 1993, el nombre de la asociación EDPAA cambia a ISACA (Information Systems Audit and Control Association, www.isaca.org). En 1998, ISACA funda el ITGI (IT Governance Institute), encargado de desarrollar y divulgar conocimientos sobre el gobierno de los sistemas de información. 1.3. Definición de «auditoría informática» y «control interno informático» Este apartado define los conceptos de auditoría, de auditoría informática y de control interno informático y presenta algunos tipos de auditoría. Definición de Auditoría Lawrence B. Sawyer (1985) (Sawyer’s Internal Auditing: The Practice of Modern Internal Auditing) en (Sawyer’s Internal Auditing: The Practice of Modern Internal Auditing) define la auditoría como: «Una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos eficientemente y si se han alcanzado los objetivos de la organización». La auditoría evalúa ajustándose a un sistema con el objetivo de determinar de forma objetiva, basada en evidencias, el uso eficiente de los sistemas de información, la conformidad a una norma, etc. Los resultados de una auditoría han de estar basados en evidencias El auditor debe obtener evidencia suficiente y completa, mediante la aplicación de procedimientos de inspección y procedimientos analíticos, para fundamentar en ella las conclusiones de la auditoría. 8
  • 9. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Por tanto, la evidencia del auditor ha de ser suficiente y completa: » La suficiencia mide la cantidad de la evidencia; es decir, si sustenta las conclusiones o hay un margen de incertidumbre. Está asociada a la característica de relevancia de la evidencia. » La completitud mide la calidad de la evidencia y el grado en que está basada en hechos demostrables. Está asociada a las características de neutralidad, autenticidad y verificabilidad de la evidencia. Algunos métodos de obtención de evidencias por parte del auditor son: » Inspecciones (documentales o físicas). » Observación. » Entrevistas. » Procedimientos analíticos. Las evidencias pueden ser: » Físicas: obtenidas a través de las inspecciones y la observación. » Testimoniales: obtenidas en las entrevistas. » Documentales: obtenidas en inspecciones y en las entrevistas. » Analíticas: obtenida a través de cálculos, comparaciones, tendencias, etc. Tipos de auditoría Tradicionalmente han existido diversas clases de auditoría en función de su contenido, objeto y finalidad: » De Cumplimiento: tiene como objetivo verificar e informar sobre el cumplimiento de las disposiciones, normativas y leyes laborales, civiles, estatutarias, tributarias, comerciales, de seguridad social e industrial, medio ambiente, etc. » Financiera: es la revisión de los controles y los registros de contabilidad de una empresa, cuya conclusión es un dictamen acerca de la corrección de los estados financieros de la misma. » De Gestión: su objetivo es evaluar el grado de eficacia en el logro de los objetivos previstos por la organización y la eficiencia en el uso de los recursos. 9
  • 10. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) » Informática (o de sistemas de información): su objetivo es evaluar el alineamiento de las TIC con la estrategia organizativa, la eficacia de los sistemas de información y el uso eficiente de los recursos. Desde otro enfoque, podríamos clasificar las auditorías como: » Interna: realizada por personal vinculado laboralmente a la institución pero independiente al ámbito auditado, con el fin de garantizar los principios de independencia y objetividad. » Externas: realizada por personal no vinculada a la empresa auditada. Todas los tipos de auditoría se basan en los principios de independencia, sistematicidad y objetividad. Definición de control interno informático El control interno informático es el conjunto de medidas (controles) que la organización implementa para asegurar en el día a día el adecuado alineamiento de las TIC a los objetivos de negocio sin perder la eficacia, eficiencia y economía. Los objetivos del control interno informático son: » Garantizar diariamente que todas las actividades de SI sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática, así como los requerimientos legales. » El grado de eficacia de los SI, es decir, la medida en que los sistemas de información cubren los objetivos de negocio para los que fueron diseñados. » El uso eficiente de los recursos por parte de los SI: la misión del Control Interno Informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. 10
  • 11. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Definición de Auditoría Informática Ron Weber (1988) ha definido la auditoria informática como el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático: » salvaguarda los activos » mantiene la integridad de los datos » lleva a cabo los fines de la organización » utiliza eficientemente los recursos Es importante mencionar que el proceso de auditoría informática no debe contemplar únicamente los aspectos técnicos, sino también los de planificación, gestión y organizativos. 1.4. Funciones y objetivos de la auditoría informática El objetivo principal del auditor es el de evaluar y comprobar en determinados momentos del tiempo los controles y procedimientos informáticos más complejos, objeto del análisis, desarrollando y aplicando metodologías de auditoría. La auditoría informática emplea las mismas técnicas descritas de inspección y observación, entrevistas, documentación y procedimientos analíticos propios de cualquier tipo de auditoría, si bien: » En la auditoría informática, las técnicas de inspección harán un mayor uso de software de inspección capaz de automatizar la verificación de los sistemas de información que en el caso del resto de tipos de auditoría. » La auditoría informática no se denomina de ese modo por este mayor uso de medios informáticos sino porque el objeto auditado son los sistemas de información, las TIC. Es decir, actualmente no es posible verificar manualmente procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deberá emplear software de auditoría–CAATS (Computer Assisted Audit Techniques). 11
  • 12. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) El auditor es responsable de: » Llevar a cabo la auditoría, lo cual implica: o Planificar la auditoría. o Llevar a cabo las distintas tareas definidas en las fases de la auditoría. o Escuchar y observar (recordemos el origen latino del término: aquel que tiene la capacidad de oír). o Gestionar las desviaciones y riesgos que pudieran producirse durante la auditoría. » De informar a la Dirección de la Organización acerca de: o El diseño y funcionamiento de los controles implantados. o La fiabilidad de la información suministrada (su competencia). o La suficiencia de las evidencias, o la medida en que sustentan las conclusiones de auditoría El auditor presentará a la dirección de la organización un informe de auditoría que contendrá, entre otros puntos: » Las conclusiones de la auditoría. » Las no conformidades: o Menores y mayores o Evidencias relacionadas » Las observaciones: o Evidencias relacionadas » Una descripción de la auditoría: o Objetivo. o Alcance. o Fases y fechas. o Técnicas empleadas. o Áreas auditadas. o Entrevistados. 12
  • 13. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) » La relación de evidencias detectadas y por cada una: o Su competencia. o Su suficiencia. 1.5. Diferencias entre control interno y auditoría informática La auditoría informática es la revisión independiente, sistemática y objetiva del control interno informático. La Ilustración 2 esquematiza las diferencias entre control interno informático y auditoría informática: La principal diferencia entre ambos radica en que: » el control interno informático realiza su verificación en el día a día, asegurando la eficacia y eficiencia de los controles. » la auditoría informática lleva a cabo un análisis con una frecuencia puntual, en un momento determinado y con un propósito muy concreto. Es como una «foto» en un momento concreto. CONTROL INTERNO INFORMÁTICO AUDITOR INFORMÁTICO Semejanzas • Personal interno. Conocimiento especializados en TIC • Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por Dirección Informática y la Dirección general para los SI Diferencias • Análisis de los controles en el día a día • Informa a la Dirección del Departamento de Informática • Son personal interno • El alcance de sus funciones es únicamente sobre el Departamento de Informática • Análisis de un momento informático determinado • Informa a la dirección General de la Organización • Personal interno y/o externo • Tiene cobertura sobre todos los componentes de los Sistemas de Información de la Organización 13
  • 14. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Gobierno corporativo y gobierno de TI El gobierno corporativo se define como un comportamiento empresarial ético por parte de la Dirección y Gerencia para la creación y entrega de los beneficios para todas las partes interesadas (Stakeholders). Según IT Governance Institute (ITGI) —cuya misión es asistir a los líderes empresariales en su responsabilidad de asegurar que las TIC están alineadas con el negocio y generan valor, medir su rendimiento y comprobar que sus recursos son adecuadamente administrados y sus riesgos gestionados y mitigados — el gobierno de TI es una parte integral del gobierno corporativo. Y consiste en liderar y definir las estructuras y procesos organizativos que aseguran que las Tecnologías de la Información y Comunicaciones (TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organización, siendo la responsabilidad del comité de dirección y gerencia. De ambos conceptos podemos extraer los siguientes planteamientos: » El gobierno de TI es el alineamiento estratégico de las TI con la organización, de tal forma que se consigue el máximo valor de negocio por medio del desarrollo y mantenimiento de un control y responsabilidad efectivos, la gestión de la eficiencia y la eficacia (desempeño), así como la gestión de riesgos de TI. » El plan informático (plan TICs) se tiene que corresponder con el plan estratégico de la empresa, en el que el primero es un Control General de más alto nivel tal, y como veremos más adelante. Es necesario que cada organización administre sus recursos de TI a través de un conjunto estructurado de controles para asegurar la integridad, exactitud, confidencialidad y disponibilidad que requiere para su negocio. La ISACA (Information System Audit and Control Association) y el ITGI han desarrollado un Marco de Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) que viene a ser una guía —en su actual versión es COBIT 5— de mejores prácticas dirigida a la gestión de tecnología de la información (TI). 14
  • 15. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Directrices del gobierno de TI El gobierno no solo persigue el logro de los objetivos del negocio (para lo cual será necesaria la gestión) sino que además estos objetivos habrán de lograrse asegurando la sostenibilidad de la organización o entidad, en equilibrio y cumplimiento de unos principios de responsabilidad, ética y conducta. Ver la siguiente ilustración. Estructura Gobierno de TI según ISO 38500. Fuente: ISO Estos principios vertebran las directrices del buen gobierno mencionadas por el estándar internacional ISO 38500; en concreto: » Responsabilidad: todo el mundo debe comprender y asumir sus responsabilidades en la oferta o demanda de TI. La responsabilidad sobre una acción lleva aparejada la autoridad para su realización. » Estrategia: la estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de las TI. Los planes estratégicos de TI satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio. » Adquisición: las adquisiciones de TI se hacen por razones válidas, basándose en un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo. Existe una planificación. 15
  • 16. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) » Rendimiento: la TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. Es decir, existe una gestión de la capacidad y continuidad de la TI para que sea resiliente, asegurando la sostenibilidad del negocio. » Conformidad: la función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas. » Conducta humana: las políticas de TI, prácticas y decisiones demuestran respecto por la conducta humana, incluyendo las necesidades actuales y emergentes de todas las partes involucradas. El rol de la auditoría en el gobierno de TI La auditoría informática —o de sistemas de información— es una pieza clave en la medición de la eficacia de los controles puestos en marcha por la organización para asegurar el cumplimiento de los objetivos del negocio, ya que es la que está mejor posicionada para: » Recomendar prácticas a la alta dirección, con el fin de mejorar la calidad y efectividad de las iniciativas y controles de gobierno de TI implantados. » Asegurar el cumplimiento de las iniciativas de gobierno de TI. La auditoría informática necesitará evaluar los siguientes aspectos relacionados con el gobierno de TI: » El alineamiento de la función de TI con la misión, la visión, los valores, los objetivos y las estrategias de la organización. » El logro por parte de la función de TI de los objetivos de eficiencia y eficacia establecidos por el negocio. » Los requisitos legales, de seguridad y los propios de la empresa. » El entorno de control diseñado y puesto en marcha por la organización. » Los riesgos intrínsecos dentro de TI, su probabilidad de ocurrencia y su grado de impacto en el negocio. 16
  • 17. Auditoría de la Seguridad TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR) Es importante destacar que recomendar e informar a la alta dirección por parte del auditor implica: » Definir el alcance de la auditoría, incluyendo áreas y aspectos funcionales a cubrir. » Establecer el nivel de dirección al que se entregará el informe de auditoría. » Garantizar el derecho de acceso a la información por parte del auditor, poniendo a su disposición el conjunto de información necesario y la colaboración por parte de todos los departamentos de la empresa, así como de los terceros relacionados. 17
  • 18. Auditoría de la Seguridad TEMA 1 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR) Lo + recomendado No dejes de leer… Auditoría de los estándares ISO en las TIC: una herramienta de la dirección Fernández, C. M. (2010). Auditoría de los estándares ISO en las TIC: una herramienta de la Dirección. Revista red de seguridad, 45. Este artículo elaborado por D. Carlos Manuel Fernández, Gerente de TICs de AENOR, presenta el modelo de ISO en las TIC y el papel de la auditoría interna y externa como herramienta para la dirección. Accede al artículo desde el aula virtual o a través de la siguiente dirección web: http://www.redseguridad.com/opinion/articulos/auditoria-de-los-estandares-iso-en- las-tic-una-herramienta-de-la-direccion No dejes de ver… Auditoría informática y modelo COBIT Este vídeo presenta los aspectos introductorios de los sistemas de información y el concepto de la auditoría informática. Accede al vídeo desde el aula virtual o a través de la siguiente dirección web: http://www.youtube.com/watch?v=va8RRPmMaac 18
  • 19. Auditoría de la Seguridad TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR) + Información A fondo The IS Audit process Anantha Sayana, S., CISA, y CIA (2002). The IS Audit process. ISACA Journal, 1. Este excelente artículo concentra en su corta extensión los aspectos clave de la auditoría de sistemas de información con tanta completitud como concreción y brevedad en su exposición. Accede al artículo desde el aula virtual o a través de la siguiente dirección web: https://isaudit101.wordpress.com/chapter_i/ Enlaces relacionados ISACA Página web de la Asociación de Auditoría y Control de Sistemas de Información. En ella también encontrarás información sobre el ITGI, el IT Governance Institute. Accede a la página desde el aula virtual o a través de la siguiente dirección web: http://www.isaca.org 19
  • 20. Auditoría de la Seguridad TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR) ISO Página web de ISO (International Standards Organization). Accede a la página desde el aula virtual o a través de la siguiente dirección web: http://www.iso.org Bibliografía Fernandez, C.M., Piattini, M., Pino, F. (2014). Modelo de madure de ingeniería del software. AENOR Ediciones. Fernández, C.M., Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las normas ISO. AENOR Ediciones. Gómez, L., Fernández P.P. (2015). Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014 y su aplicación en el Esquema Nacional de Seguridad. AENOR Ediciones. Guide to Using International Standards on Auditing in the Audits of Small- and Mediumsized Entities. NY, 2007. ISO 20000-1 para PYMES. Como implantar un sistema de gestión de servicios de tecnologías de la información. Nextel y AENOR Ediciones. ICAC (2003). Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados. BOICAC nº 54. INTOSAI: Guía para las normas de control interno del sector público. (INTOSAI GOV 9100). Lynne, M. y Daniel, R. TIC y cambios organizativos. 20
  • 21. Auditoría de la Seguridad TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR) Marco para la auditoría de los sistemas de información. 2009 ISACA Capítulo Madrid. NIST SP 800-100, Information Security Handbook. Piattini, M., Del Peso, E. (2000). Auditoría Informática: Un enfoque práctico. Editorial Ra-MA. Piattini, M., Del Peso, E. y Fernández, C.M. (Coautor). (2008). Auditoría de Tecnologías y Sistemas de Información, RA-MA. Piattini, M., Hervada, F. (2007). Gobierno de las tecnologías y los sistemas de información. RA-MA. The Institute of Internal Auditors (2007). The GAIT Principles. Altamonte Springs. GTAG 1: Information Technology Controls. VV.AA. (2009). Marco para la auditoria de los sistemas de información. ISACA Madrid. Weber, R. (1998). EDP Auditing: Conceptual Foundations and Practice. Ed. McGraw Hill. 21
  • 22. Auditoría de la Seguridad TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR) Test 1. A principios de la segunda mitad del siglo XX la informática se convierte en una herramienta muy importante para la auditoría financiera. En este ámbito, marque la verdadera: A. La auditoría informática es sinónima de la auditoría financiera con el ordenador. B. La auditoría con el ordenador, como apoyo al auditor financiero, no es auditoría informática. C. La auditoría informática es la realización de auditorías de cualquier tipo con un ordenador. D. El auditor financiero y el auditor informático no colaboran entre sí. 2. En los años 60, el auditor informático: A. No se le tiene en cuenta para ninguna actividad. B. Es un analista financiero que aprende de las arquitecturas de sistemas de la época y realiza él mismo las auditorías. C. Es inicialmente un analista programador que forma parte de los mainframes que audita. D. Es inicialmente un analista programador independiente que presta ayuda al auditor financiero. 3. ¿Cuál de las siguientes afirmaciones no es cierta? A. Una función del auditor informático puede ser realizar revisiones del control interno de una empresa. B. Una función del auditor informático puede ser revisar aspectos legales directamente relacionados con la tecnología. C. Una función del auditor informático puede ser revisar el balance contable de una empresa. D. Una función del auditor informático puede ser revisar la instalación de un producto software de acuerdo a unas especificaciones. 22
  • 23. Auditoría de la Seguridad TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR) 4. El Gobierno de TI se puede definir como: A. El alineamiento estratégico de las TI con la organización de tal forma que se consigue el máximo valor de negocio por medio del desarrollo y mantenimiento de un control y responsabilidad efectivas, gestión de la eficiencia y la eficacia. B. El alineamiento estratégico de las TI con la organización de tal forma que se consigue el máximo valor de negocio por medio del desarrollo y mantenimiento de un control y responsabilidad efectivas, gestión de la eficiencia y la eficacia, así como la gestión de riesgos de TI. C. Consiste en liderar y definir las estructuras y procesos organizativos que aseguran que las Tecnologías de la Información y Comunicaciones (TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organización, manteniéndose de forma autónoma al comité de dirección y gerencia. D. Ninguna de las anteriores. 5. Es función del gobierno de TI: A. Gestión de eficacia y eficiencia así como gestión de riesgos, entre otros. B. Políticas y procedimientos, gestión de riesgos entre otros. C. Exclusivamente gestión de eficacia y eficiencia. D. Control y responsabilidad así como gestión de riesgos entre otros. 6. ¿Cuál de las siguientes afirmaciones es cierta? A. El plan estratégico de la empresa se tiene que corresponder con el plan informático de TI. El primero se diseña en función del segundo. B. Las organizaciones con consideración a las TI, tienen menor retorno de inversión que aquellas que no lo consideran ante los mismos objetivos estratégicos, de tal forma que con la madurez tecnológica se llegue a un estado de mayor retorno. C. El plan informático de TI no se tiene que corresponder con el plan estratégico de la empresa. D. Ninguna afirmación es cierta. 23
  • 24. Auditoría de la Seguridad TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR) 7. El rol de la Auditoría en el Gobierno de TI consiste en: A. Implantar prácticas a la alta dirección, con el fin de mejorar la calidad y efectividad de las iniciativas del gobierno de TI implantadas y asegura el cumplimiento de las iniciativas de gobierno de TI. B. Asumir responsabilidades de Dirección detectando necesidades e implantándolas como función de control interno dentro del departamento de TI. C. Realizar evaluaciones y únicamente asegurar el cumplimiento de las iniciativas de gobierno de TI. D. Recomendar prácticas a la alta dirección, con el fin de mejorar la calidad y efectividad de las iniciativas del gobierno de TI implantadas y asegura el cumplimiento de las iniciativas de gobierno de TI. 8. El Comité de informática: A. Se encarga de hacer de interfaz entre los usuarios y los informáticos. Está compuesto por expertos en una materia y conocen muy bien el negocio/modelo de datos que manejan. B. Diseña el plan estratégico de la compañía. C. Elabora el Plan Director de Informática, que se corresponde con el Plan Estratégico. Puede ser a un año o a dos. D. Ninguna de las anteriores. 9. Señala la correcta en relación a objetivos y funciones del auditor informático: A. Participar en las revisiones e implantaciones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas. B. Revisar y analizar los controles implantados en los sistemas de información para verificar su adecuación de acuerdo a las directrices de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. C. Revisar, analizar y en su caso corregir indicando acciones a realizar, el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos y sistemas informáticos en general. D. Revisar y analizar los controles implantados en los sistemas de información para verificar su adecuación de acuerdo a las directrices de la Dirección, estableciendo y dirigiendo las desviaciones detectadas aplicando acciones de mejora. 24
  • 25. Auditoría de la Seguridad TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR) 10. El CII (Control Interno Informático) se diferencia del auditor informático en: A. No tiene cobertura sobre todos los componentes del sistema de información de la organización. B. Son personal interno o externo. C. Realizan un análisis del control interno informático diariamente. D. Informan a la Dirección General en tiempo real. 25