Transcript Presentación de PowerPoint - PAUDITORIA

La auditoria nace como un órgano de
control de algunas instituciones
estatales y privadas. Su función
inicial es estrictamente económico
financiera y buscaba optimizar los
recursos de todo el componente
informático de la organización, pero
con
los
nuevos
desarrollos
tecnológicos se ha ido especializando
y profundizando.
La auditoria de seguridad informática
analiza los procesos relacionados
únicamente con la seguridad, ésta
puede ser física, lógica y locativa pero
siempre orientada a la protección de
la información. Es este el punto de
mayor diferencia, la seguridad
informática se preocupa por la
integridad y disponibilidad de la
información mientras la auditoria de
sistemas incluye otras características
más administrativas.
• Los Checklist o listas de chequeo
Otro factor que es muy importante considerar es
el de las listas de chequeo. En una gran medida
la información sobre los problemas de seguridad
informática la tienen los propios usuarios y solo
se necesita proveer un mecanismo adecuado para
que ellos mismos definan sus deficiencias en
seguridad informática. El mecanismo mas
adecuado en este caso son las listas de chequeo,
aunque se debe tener cuidado y proveer las listas
correctas al personal adecuado e identificar en
que momento las debe desarrollar el auditor
mediante observación y no el usuario.
La seguridad en los sistemas de información y de
computo se ha convertido en uno de los problemas
más grandes desde la aparición, y más aun, desde la
globalización de Internet. Dada la potencialidad de
esta herramienta y de sus innumerables aplicaciones,
cada vez mas personas y más empresas sienten la
necesidad de conectarse a este mundo.
Reglas generales para evitar intromisiones:
•
Mínimos espacios por donde salir o
entrar.
•
Mínimos recursos accesibles desde
fuera.
•
Mínima importancia de datos con
posibilidad de robo.
•
Máximos controles entre nuestra red
y la red exterior.
NIVELES DE SEGURIDAD
De acuerdo con los estándares de seguridad en
computadoras desarrollado en el libro naranja del
Departamento de Defensa de Estados Unidos, se usan
varios niveles de seguridad para proteger de un ataque
al hardware, al software y a la información guardada.
Los Niveles son:
• D1
• C1
• C2
• B1
• B2
• B3
• A
La función de Desarrollo es una evolución del llamado Análisis y
Programación de Sistemas y Aplicaciones. A su vez, engloba muchas
áreas, tantas como sectores informatizables tiene la empresa. Muy
escuetamente, una Aplicación recorre las siguientes fases:
• Prerrequisitos del Usuario (único o plural) y del entorno
• Análisis funcional
• Diseño
• Análisis orgánico (Preprogramación y Programación)
• Pruebas
• Entrega a Explotación y alta para el Proceso.
La Auditoría Jurídica dentro de la Auditoria Informática
es la revisión independiente del uso del material, de la
información y de sus manipuladores desde la perspectiva
de la normativa legal (civil, penal, laboral…), efectuada
por un jurista experto independiente con al finalidad de
emitir un dictamen sobre su adecuación a la legalidad
vigente.
La Auditoría jurídica comprende cuatro áreas: Auditoría
del Entorno Informático, Auditoría de las personas que
manipulan la información, Auditoría de la Información,
auditoría de los archivos.
La evaluación de los requerimientos del negocio, los recursos
y procesos IT, son puntos bastante importantes para el buen
funcionamiento de una compañía y para el aseguramiento
de su supervivencia en el mercado.
El COBIT es precisamente un modelo para auditar la
gestión y control de los sistemas de información y tecnología,
orientado a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso.
Las siglas COBIT significan Objetivos de Control para
Tecnología de Información y Tecnologías relacionadas
(Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una investigación
con expertos de varios países, desarrollado por ISACA
(Information Systems Audit and Control Association).
•Ejecutar un plan de
contingencia
adecuado, el cual
realice un análisis de
riesgos de sistemas
críticos, establezca un
periodo crítico de
recuperación (del
desastre), realice un
análisis de
aplicaciones críticas,
establezca prioridades
y objetivos de
recuperación, designe
un Centro Alternativo
de Procesamiento, y
asegurar la capacidad
de las comunicaciones
y de los servicios de
back-up.
DESPUÉS
•Ubicación del edificio
•Ubicación del centro
de procesamiento
dentro del edificio
•División
•Elementos de
construcción
•Potencia eléctrica
•Sistemas contra
incendios
•Control de accesos
•Seguridad de los
medios
•Medidas de protección
•Duplicación de medios
DURANTE
ANTES
Existen tres momentos para responder ante una falla en
esta área, relacionados con la cronología de la misma
•Centro de proceso y
equipamiento
•Reconstrucción de
medios de software
•Gastos extra
•Interrupción del
negocio
•Documentos y
registros valiosos
•Errores y omisiones
•Cobertura de fidelidad
•Transporte de medios
•Contratos con
proveedores y de
mantenimiento
CAAT: Las técnicas de auditoría asistidas por
computadora son de suma importancia para el auditor de
TI cuando realiza una auditoría. CAAT (Computer Audit
Assisted Techniques) incluyen distintos tipos de
herramientas y de técnicas, las que más se utilizan son los
software de auditoría generalizado, software utilitario, los
datos de prueba y sistemas expertos de auditoría. Las
CAAT se pueden utilizar para realizar varios
procedimientos de auditoría incluyendo:
1. Prueba de los detalles de operaciones y saldos.
2. Procedimientos de revisión analíticos.
3. Pruebas de cumplimiento de los controles generales de
sistemas de información.
4. Pruebas de cumplimiento de los controles de aplicación.
COSO: El Informe COSO es un documento que contiene las
principales directivas para la implantación, gestión y control
de un sistema de Control Interno. Debido a la gran aceptación
de la que ha gozado, desde su publicación en 1992, el Informe
COSO se ha convertido en el estándar de referencia en todo lo
que concierne al Control Interno. No puede por lo tanto faltar
una sección expresamente dedicada a este documento en toda
web que pretenda dedicarse a la auditoria con profesionalidad.
Recientemente, el interés de los profesionales de la auditoria y
las finanzas por el informe COSO se ha reavivado gracias
también a las nuevas exigencias en lo que concierne al Control
Interno introducido por el Sarbanes Oxley Act.
El principal objetivo del Control Interno es garantizar que la
empresa alcance sus objetivos. En este sentido, el Control Interno
(CI) puede actuar de 2 distintas maneras:
Evitar que se produzcan desviaciones con respecto a los objetivos
establecidos;
Detectar, en un plazo mínimo, estas desviaciones.
El Informe COSO consta de 2 partes:
1. Un Resumen para la Dirección, que introduce los principales
conceptos,
2. y el Marco integrado de Referencia, donde se analizan en
detalle los 5 pilares del Control Interno: Entorno de Control,
Evaluación de los Riesgos, Actividades de Control, Información y
Comunicación, Supervisión.