Este documento presenta un resumen de un trabajo de investigación sobre auditoría de sistemas informáticos realizado por estudiantes de la Facultad de Ciencias Administrativas y Económicas de la Universidad Técnica de Manabí en Ecuador. El trabajo incluye preguntas y respuestas sobre conceptos clave de la auditoría de sistemas como sus objetivos, la importancia de la independencia del departamento de auditoría, y certificaciones como CISM, CGEIT y CRISC. Finalmente, menciona que en Ecuador existe un capítulo de ISACA en Quito
Servicios de Intrusión Avanzada.
El servicio Red Team se perfila como la única vía posible para comprobar y mantener la seguridad integral de las organizaciones.
Un Red Team rompe con los esquemas tradicionales que se han venido usando hasta ahora, por los que las empresas deciden limitar los servicios ofrecidos por el Red Team, eligiendo contratar el servicio Red Team de forma modular. El grupo SIA siempre recomienda adoptar posturas globales, pero entiende que toda medida innovadora requiere un proceso de adaptación por parte de las organizaciones.
Los ataques a organizaciones privadas y públicas a través de la red son cada vez más frecuentes y cualquier organización conectada a Internet puede ser víctima de ellos. Los términos ciberseguridad y ciberataques son cada vez más comunes y no deben ser ajenos a ninguna organización con presencia en Internet. Cuando sumamos la creciente complejidad y dependencia de los sistemas de información conectados, la continua evolución y crecimiento de las ciberamenazas y la
facilidad de acceso a herramientas que posibilitan la ejecución de ataques dirigidos o distribuidos, se hace imprescindible tener un control absoluto sobre lo que sucede en nuestras infraestructuras tecnológicas.
SIA aborda el asunto “Prevención de Fugas de Información” desde los puntos de vista de las personas, los procesos y la tecnología y sobre la información sensible de la organización en cualquiera que sea su estado: en uso, en transmisión o almacenada.
En la actualidad está cobrando una especial relevancia la ejecución de actividades ilícitas empleando como medio,
u objetivo del delito en sí, una infraestructura telemática o informática. De ahí, la importancia de desarrollar y especializar metodologías de investigación y respuesta ante incidentes, que aporte una elevada capacidad de reacción
ante esta emergente tendencia criminalística.
Protección de las Infraestructuras CríticasSIA Group
La Ley 8/2011, de 28 de Abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y su reglamento de desarrollo, aprobado mediante el Real Decreto 704/2011, de 20 de mayo, está suponiendo un importante reto para los responsables de muchas de estas infraestructuras, tanto en empresas privadas como en el sector público.
Servicios de Intrusión Avanzada.
El servicio Red Team se perfila como la única vía posible para comprobar y mantener la seguridad integral de las organizaciones.
Un Red Team rompe con los esquemas tradicionales que se han venido usando hasta ahora, por los que las empresas deciden limitar los servicios ofrecidos por el Red Team, eligiendo contratar el servicio Red Team de forma modular. El grupo SIA siempre recomienda adoptar posturas globales, pero entiende que toda medida innovadora requiere un proceso de adaptación por parte de las organizaciones.
Los ataques a organizaciones privadas y públicas a través de la red son cada vez más frecuentes y cualquier organización conectada a Internet puede ser víctima de ellos. Los términos ciberseguridad y ciberataques son cada vez más comunes y no deben ser ajenos a ninguna organización con presencia en Internet. Cuando sumamos la creciente complejidad y dependencia de los sistemas de información conectados, la continua evolución y crecimiento de las ciberamenazas y la
facilidad de acceso a herramientas que posibilitan la ejecución de ataques dirigidos o distribuidos, se hace imprescindible tener un control absoluto sobre lo que sucede en nuestras infraestructuras tecnológicas.
SIA aborda el asunto “Prevención de Fugas de Información” desde los puntos de vista de las personas, los procesos y la tecnología y sobre la información sensible de la organización en cualquiera que sea su estado: en uso, en transmisión o almacenada.
En la actualidad está cobrando una especial relevancia la ejecución de actividades ilícitas empleando como medio,
u objetivo del delito en sí, una infraestructura telemática o informática. De ahí, la importancia de desarrollar y especializar metodologías de investigación y respuesta ante incidentes, que aporte una elevada capacidad de reacción
ante esta emergente tendencia criminalística.
Protección de las Infraestructuras CríticasSIA Group
La Ley 8/2011, de 28 de Abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y su reglamento de desarrollo, aprobado mediante el Real Decreto 704/2011, de 20 de mayo, está suponiendo un importante reto para los responsables de muchas de estas infraestructuras, tanto en empresas privadas como en el sector público.
1. UNIVERSIDAD TÉCNICA DE MANABÍ
FACULTAD DE CIENCIAS ADMINISTRATIVAS
Y ECONÓMICAS
ESCUELA DE AUDITORIA
TRABAJO DE INVESTIGACIÓN DE:
AUDITORIA DE SISTEMAS INFORMATICOS
DOCENTE:
ING. KEVIN MERO
INTEGRANTES:
INTRIAGO ZAMBRNAO VIVIANA LISBET
MOREIRA MOREIRA ROSALBA PENÉLOPE
SANTANA DELGADO ZORAIDA AZUCENA
SUÁREZ VÉLEZ CAROLINA JULIANA
URDÁNIGO INTRIAGO GEMA JINELA
VERA MEDINA FERNANDA
SEMESTRE: 8VO. “M”
PERIODO LECTIVO
SEPTIEMBRE 2011 – FEBRERO 2012
2. TALLER #3
PREGUNTAS DEL APORTE #1 (DE LOS DOS GRUPOS)
1.- ¿Qué es la auditoría de sistemas informáticos?
La auditoría informática es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial
2.- ¿Describa los objetivos de la auditoría informática?
• Salvaguardar los activos "Hardwaare,Software yRecursos Humanos"
• Integridad de datos
• Efectividad de los sistemas informáticos
• Eficiencia de los sistemas informáticos
• Confidencialidad y Seguridad
3.- ¿Hable sobre la ubicación de recursos humanos del departamento de
auditoría de sistemas informáticos?
La ubicación del recurso humano del departamento de auditoría de sistemas, debe ser de
total independencia del resto de unidades, y tener autoridad para ejercer su labor. Además
debe contar con recurso suficiente tanto humano, técnico y económico, finalmente debe
contar con un estatuto legal o normativa que de autoridad e independencia a este
departamento.
4.- ¿Por qué es importante la auditoría de sistemas informáticos?
• La alta sistematización de las organizaciones
• Nuevas Tecnologías
• Integración de la información
• Importancia de información de la información para la toma de decisiones
• Automatización de la Auditoria
5.- ¿Qué es la certificación CGEIT (Certificado en Administración de
Gobierno, tecnología e información?
Surge como respuesta de la demanda de profesionales que tiene un rol significativo en las
organizaciones y la gerencia, la asesoría o el aseguramiento del Gobierno de Tecnología de
la información. La certificación promueve el desarrollo de profesionales que desean ser
reconocidos por su experiencia, competencia y habilidades en el Gobierno de Tecnología.
3. 1.- ¿Qué es la auditoría de sistemas informáticos?
La auditoría informática es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial
2.- ¿Escriba los objetivos de la auditoría informática?
• Salvaguardar los activos "Hardware, Software y Recursos Humanos"
• Integridad de datos
• Efectividad de los sistemas informáticos
• Eficiencia de los sistemas informáticos
• Confidencialidad y Seguridad
3.- ¿Cuál es la misión y responsabilidad del departamento de auditoría y
sistemas informáticos?
Proveer a los órganos de gobierno y a los de gestión de una organización de una seguridad
razonable que los sistemas de control interno de los recursos de información de dicha
organización están bien definidos y efectivamente administrados, y que apoyan y ayudan a
la creación de valor de la organización.
4.- ¿Por qué es importante la auditoría de sistemas informáticos?
• La alta sistematización de las organizaciones
• Nuevas Tecnologías
• Integración de la información
• Importancia de información de la información para la toma de decisiones
• Automatización de la Auditoria
5.- ¿Qué es la certificación CISM (Certificación de Seguridad en Sistemas e
Información)
Está dirigida específicamente a profesionales experimentados en la seguridad de la
información, orientada a la gerencia, seguridad, diseño y manejo de aspectos técnicos de
la información.
4. 1.- ¿Qué es la certificación CRISC?
Certified in Risk and Information Systems Control, está diseñada para reconocer a
un amplio rango de profesionales por su conocimiento del riesgo empresarial, y su
capacidad para diseñar, implementar, monitorizar y mantener controles de Sistemas de
Información para mitigar tal riesgo.
2.- ¿En qué se diferencia la certificación CISA, CISM, CGEIT y CRISC?
Se diferencia en que cada una certifica una actividad distinta, la CISA es la única
certificación existente para la formación o capacidad del profesional para ejecutar trabajos
de auditoría de sistemas; CISM gestión centrada en una certificación única para las
personas que diseñan, construyen y gestionar los programas de seguridad de la
información de la empresa; CGEIT está diseñado para profesionales que tienen una
importante gestión, asesoramiento o función de garantía en relación con la gobernanza de
la TI; y CRISC que está diseñada para reconocer a un amplio rango de profesionales por su
conocimiento del riesgo empresarial, y su capacidad para diseñar, implementar,
monitorizar y mantener controles de Sistemas de Información para mitigar tal riesgo.
3.- ¿Cuál es el objetivo de la Organización ISACA?
Su objetivo principal es la promoción de la capacitación profesional para el desarrollo y la
optimización del conocimiento y las habilidades relacionadas con la auditoria y la
seguridad en el campo de las Tecnologías de la Información y las Comunicaciones (TICs).
4.- ¿En Ecuador existe un capítulo de ISACA, en qué lugar? ¿Qué actividades
realizan, estos profesionales al reunirse?
Se encuentran en Quito, es una asociación de profesionales y universitarios, miembros de
ISACA, que se dedican a la práctica y al estudio de la auditoría, el control y la seguridad
informática.
BIBLIOGRAFIA
http://www.isaca.org/Certification/CISM
http://www.isacamadrid.es/uploads/doc/OBTENCI%C3%93N%20Y%20MANTENIMIEN
TO%20CGEIT.pdf