Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

AUDITORÍA Y SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN.

No description
by

Omar García

on 2 September 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of AUDITORÍA Y SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN.

Unidad 1
Riesgo y Control
Estándares generales de la I.S.A.C.F. para
auditoría de tecnología de información
(TI)
Código de ética profesional de la
fundación de auditoría y control de
tecnología de información ISACF.
ESTÁNDARES DE AUDITORÍA, CONTROL Y SEGURIDAD DE TECNOLOGÍA DE
INFORMACIÓN (TI)Y PRÁCTICAS DE CONTROLES.

La ISACA determina que la naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.

Objetivos
Los objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el Código de Ética Profesional y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesión con respecto al trabajo de aquellos que la ejercen.
1. Titulo de auditoría

Responsabilidad, autoridad y rendimiento de cuentas

La responsabilidad, la autoridad y el rendimiento de cuentas abarcados por la función de auditoría de los sistemas de información se documentarán de la manera apropiada en un título de auditoría o carta de contratación.
2. Independencia

Independencia Profesional
En todas las cuestiones relacionadas con la auditoría, el auditor de sistemas de información deberá ser independiente de la organización auditada tanto en actitud como en apariencia.

Relación organizativa
La función de auditoría de los sistemas de información deberá ser lo suficientemente independiente del área que se está auditando para permitir completar de manera objetiva la auditoría.
3. Ética y normas profesionales

Código de Ética Profesional
El auditor de sistemas de información deberá acatar el Código de Ética Profesional de la Asociación de Auditoría y Control de Sistemas de Información.

Atención profesional correspondiente
En todos los aspectos del trabajo del auditor se sistemas de información, se deberá ejercer la atención profesional correspondiente y el cumplimiento de las normas aplicables de auditoría profesional.
4. Idoneidad

Habilidades y conocimientos
El auditor de sistemas de información debe ser técnicamente idóneo, y tener las habilidades y los conocimientos necesarios para realizar el trabajo como auditor.

Educación Profesional Continua
El auditor de sistemas de información deberá mantener la idoneidad técnica por medio de la educación profesional continua correspondiente.
5. Planificación

Planificación de la auditoría
El auditor de sistemas de información deberá planificar el trabajo de auditoría de los sistemas de información para satisfacer los objetivos de la auditoría y para cumplir con las normas aplicables de auditoría profesional.
6. Ejecución del trabajo de auditoría

Supervisión
El personal de auditoría de los sistemas de información debe recibir la supervisión apropiada para proporcionar la garantía de que se cumpla con los objetivos de la auditoría y que se satisfagan las normas aplicables de auditoría profesional.

Evidencia
Durante el transcurso de una auditoría, el auditor de sistemas de información deberá obtener evidencia suficiente, confiable, relevante y útil para lograr de manera eficaz los objetivos de la auditoría. Los hallazgos y conclusiones de la auditoría se deberán apoyar por medio de un análisis e interpretación apropiados de dicha evidencia.
7. Informes

Contenido y formato de los informes
En el momento de completar el trabajo de auditoría, el auditor de sistemas de información deberá proporcionar un informe, de formato apropiado, a los destinatarios en cuestión. El informe de auditoría deberá enunciar el alcance, los objetivos, el periodo de cobertura y la naturaleza y amplitud del trabajo de auditoría realizado. El informe deberá identificar la organización, los destinatarios en cuestión y cualquier restricción con respecto a su circulación. El informe deberá enunciar los hallazgos, las conclusiones y las recomendaciones, y cualquier reserva o consideración que tuviera el auditor con respecto a la auditoría.
8. Actividades de seguimiento

Seguimiento
El auditor de sistemas de información deberá solicitar y evaluar la información apropiada con respecto a hallazgos, conclusiones y recomendaciones relevantes anteriores para determinar si se han implementado las acciones apropiadas de manera oportuna.
1. Apoyar el establecimiento y cumplimiento de normas, procedimientos y controles de las auditorías de sistemas de información
2. Cumplir con las Normas de Auditoría de Sistemas de Información, según las adopte la Information Systems audit and Control Foundation.
3. Actuar en interés de sus empleadores, accionistas, clientes y público en general en forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilícitas o incorrectas.
4. Mantener la confidencialidad de la información obtenida en el curso de sus deberes. La información no deberá ser utilizada en beneficio propio o divulgada a terceros no legitimados.
5. Cumplir con sus deberes en forma independiente y objetiva y evitar toda actividad que comprometa o parezca comprometer su independencia.
6. Mantener su capacidad en los campos relacionados con la auditoría y los sistemas de información mediante la participación en actividades de capacitación profesional.
7. Ejercer sumo cuidado al obtener y documentar material suficiente sobre el cual basar sus conclusiones y recomendaciones.
8. Informar a las partes involucradas del resultado de las tareas de auditoría que se hayan realizado.
9. Apoyar la entrega de conocimientos a la gerencia, clientes y al público en general para mejorar su comprensión de la auditoría y los sistemas de información.
10. Mantener altos estándares de conducta y carácter tanto en las actividades profesionales como en las privadas.
OBJETIVOS DEL CONTROL
COBIT (Governance, Control and Audit for Information and Related Tecnology)
La misión y objetivos del COBIT es investigar, desarrollar, publicitar y promocionar objetivos de control de TI internacionales, actualizados a la realidad actual para ser usado por los gerentes de negocios y auditores.

COBIT ha sido desarrollado como estándares generalmente aplicables y aceptados para mejorar las prácticas de control y seguridad de las TI que provean un marco de referencia para la administración, usuarios y auditores.
1. Resumen Ejecutivo

Consiste de una visión ejecutiva, la cual provee a la administración un entendimiento de los principios y conceptos claves de COBIT y el marco que provee a la administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total.

2. Antecedentes y Marco de Referencia

Describe en detalle los 34 objetivos de control de TI a un nivel macro, e identifica los requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo de control.

Los objetivos de control contienen declaraciones de los resultados deseados o propósitos a ser alcanzados para la implementación de 302 objetivos de control específicos a través de los 34 Procesos de TI.
3. Guías de Auditoría

Contienen los pasos de auditoría sugeridos correspondientes a cada uno de los 34 objetivos de control macro para asistir a los auditores de sistemas de información en revisar los procesos de TI junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y/o aconsejar sus mejoras.
4. Herramientas de Implementación

Contienen el Conocimiento de la administración y diagnóstico de control de TI, una guía de implementación, FAQ, casos de estudio de organizaciones actualmente usando COBIT, y presentaciones que pueden ser usadas para introducir COBIT dentro de la organización. Esta nueva herramienta es diseñada para facilitar la implementación de COBIT, relacionar sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo.
RIESGO

Definición
Es la posibilidad de que ocurra algún evento negativo para las empresas, considerando los recursos humanos, recursos materiales y recursos técnicos, involucrados en el procesamiento de la información.

Por lo tanto lo que más se arriesga es la información, equipos, disponibilidad del sistema y clientes.

Los riesgos se encuentran presentes en todas las actividades de las personas y de las empresas. A medida que aparecen tecnologías nuevas , los riesgos se van incrementando, es decir, aunque sabemos que algunos riesgos han estado presentes sin importar las consecuencias, existen otros que se generan en forma paralela al uso cada vez más grande de recursos humanos y Tecnología Informática.

Los nuevos riesgos que la informática involucra no sólo quedan cifrados en la pérdida o robo de algunos equipos, sino que la mayoría de ellos se presentan en el contenido y en la posibilidad de alteración de los registros magnéticos.
Control
El control es una de las fases del proceso administrativo y se encarga de evaluar que los resultados obtenidos durante el ejercicio se hayan cumplido de acuerdo con los planes y programas previamente determinados, a fin de retroalimentar sobre el cumplimiento adecuado de las funciones y actividades que se reportan como las desviaciones encontradas; todo ello para incrementar la eficiencia y eficacia de una institución.
OBJETIVOS DEL CONTROL

Se adopta para poder establecer estándares, medir su cumplimiento y evaluar el alcance real de los planes y programas, comparado con lo realmente alcanzado.
Con su utilización se ayuda en la protección y salvaguarda de los bienes y activos de las empresas
Con su utilización se contribuye a la planeación y evaluación correctas del cumplimiento de las funciones, actividades y operaciones de las empresas.
Ayuda permanentemente a la buena marcha de la empresa, pues retroalimenta la trayectoria de la misma.
Junto a la planeación, el control es una parte indispensable en las actividades de dirección de cualquier empresa.
DESARROLLO DEL PROGRAMA DE AUDITORÍA
Llevar a cabo una auditoría requiere una serie de acciones y procedimientos específicos y ordenados, los cuales deberán ser diseñados previamente y de manera secuencial, cronológica y ordenada, de acuerdo a las etapas, eventos y actividades que se requieran en la ejecución de la auditoría y las necesidades de la institución a auditar.
Las consultorías dedicadas a la ejecución de auditorías elaboran sus propias metodologías para poder llevar a cabo de manera ordenada y estandarizada las actividades a seguir en las instituciones auditadas, además de servir como un soporte a la misma y un medio de control de los participantes del trabajo.
Una metodología es la descripción secuencial de la manera de efectuar una operación o serie de operaciones. Las metodologías de auditoría básicamente se componen de cuatro fases:
Planeación
Ejecución
Reportes (elaboración)
Cierre
Nos referimos a tener una metodología para poder llevar a cabo los pasos a seguir en la evaluación de las áreas de sistemas y actividades elegidas, a fin de que el seguimiento, desarrollo y aplicación de las etapas sea más sencillo.
Estás fases, se integran de diferentes acciones a seguir, es indispensable que las metodologías contengan estas acciones:
PLANEACIÓN
Objetivo
Alcance
Nombramiento del líder
Estimación de la duración de la auditoría
Selección del equipo
Programa de la auditoría
EJECUCIÓN
Elaboración de la auditoría
Análisis de riesgos
REPORTES (elaboración)
Elaboración de borradores
Elaboración del informe final
CIERRE
Entrega del informe final
Evaluación de la auditoría
PLANEACION DE RECURSOS DE AUDITORIA PLANEACION DE LA AUDITORIA
Planeación

Este es el primer paso para realizar una auditoría y quizá el más importante, ya que aquí se diseñan todos los pasos para ejecutarla y de lo práctico, útil y bien hecha que esté depende el éxito y la objetividad de la auditoría.

Cómo primer paso, el responsable de la planeación deberá plantearse las siguientes interrogantes:

¿Por qué se realizará la auditoría?
¿Cuál es el objetivo que se pretende alcanzar?
Reportes (elaboración)

Es el penúltimo paso de las metodologías, en este punto se considera que se deben de seguir estos puntos:

- Elaborar el borrador del informe final
- Elaborar el informe final definitivo
Cierre
El último paso de la metodología y por lo regular al que menos atención se le presta, aquí se cubren principalmente dos puntos:

1. El informe final se entrega o distribuye a las personas y áreas interesadas. Con esto termina el trabajo de auditoría.

2. Evaluar la auditoría significa evaluar al equipo, el desempeño, los logros, el cumplimiento de los objetivos e identificar los problemas ocurridos y su solución. Esto es muy importante para el equipo de trabajo, ya que se estimula a mejorar continuamente y tratar de ser cada vez más eficientes y objetivos en la búsqueda de riesgos.
Ejecución

El siguiente paso después de la planeación de la auditoría es su ejecución, la cual estará determinada por las características concretas, los puntos y requerimientos que se estimaron en la etapa de planeación.

Debido a que esta etapa se realiza de acuerdo con la planeación, solo se indican sus puntos más importantes, dando por hecho que se realizará de acuerdo a las características específicas de la auditoría que se trate.
TÉCNICAS DE RECOPILACIÓN DE EVIDENCIAS
Tipos de evidencia de auditoría

Cuando se planifica el trabajo de auditoría de sistemas de información, el auditor debe tomar en cuenta el tipo de evidencia de auditoría a obtener y sus niveles variables de confiabilidad.
Evidencia física de auditoría
Evidencia documentada de auditoría
Representaciones
Análisis
1. Entrevistas

Podría entenderse como entrevista a la recopilación de información que se realiza en forma directa, cara a cara y a través de algún medio de captura de datos.

Para llevar a cabo una entrevista, primero debe entrevistarse usted mismo. Necesita conocer sus preferencias y la manera en que afectarán sus preferencias. Su educación, intelecto, contexto cultural y emociones sirven como filtros poderosos para lo que estará oyendo en la entrevista.
Evidencia física

Puede incluir observación de actividades, propiedad y funciones de los sistemas de información, tales como: Un inventario de medios magnéticos en una bodega externa; o Un sistema de seguridad residente en un computador que esté en operación.
2. Cuestionarios

Los cuestionarios son una técnica de recopilación de infromación que permite que los analistas de sistemas estudien actitudes, creencias, comportamientos y características de varias personas principales en la organización que pueden ser afectados por los sistemas actual y propuesto.
Evidencia documentada

Puede incluir:
1. Resultado de datos extraídos
2. Registro de transacciones
3. Programas registrados Facturas
4. Control de registro
5. Representación de aquellas auditorías que han sido o pueden ser evidencia documentada como:
a. 5.1 Políticas y procedimientos escritos
b. 5.2 Sistemas flowcharts y
c. 5.3 Declaración oral y escrita
TÉCNICAS DE RECOPILACIÓN DE EVIDENCIA

En realidad, no existen técnicas específicas para la auditoría, más bien, el auditor toma y adapta las técnicas, procedimientos y herramientas tradicionales del análisis de sistemas de información.
Al utilizar estas herramientas en la auditoría, lo que hace es sacar el mejor provecho de ellas para adecuarlas a las necesidades específicas de evaluación requeridas en el ambiente de sistemas.
Estos métodos no solo se utilizan en la evaluación del área de informática, sino también en la evaluación de cualquier área ajena al ambiente de sistemas. Es por ello que el auditor debe saber cómo utilizarlas
3. Encuestas
Es la recopilación de datos concretos sobre un tema específico, mediante el uso de cuestionarios o entrevistas diseñados con preguntas precisas para obtener las opiniones de los encuestados, las cuales permiten, después de hacer una rápida tabulación, análisis e interpretación de esa información, conocer su punto de vista y sentimientos hacia un tópico específico.
4. Observación

Una de las técnicas más populares, de mayor impacto y más utilizados para examinar los diferentes aspectos que repercuten en el funcionamiento del área de Informática o del propio sistema, es la aplicación de diversas técnicas y métodos de observación que permiten recolectar directamente la información necesaria sobre el comportamiento del sistema, del área de sistemas, de las funciones, actividades y operaciones del equipo procesador o de cualquier otro hecho, acción o fenómeno del ámbito de sistemas.
5. Inventarios

Esta forma de recopilación de información consiste en hacer un recuento físico de lo que se está auditando, a fin de saber la cantidad existente de algún producto en una fecha determinada y compararla con la que debería haber según los documentos en esa misma fecha.
6. Muestreo

El muestreo es el proceso de seleccionar sistemáticamente elementos representativos de una población. Cuando estos elementos seleccionados son examinados de cerca, se supone que el análisis revelará información útil acerca de la población como un todo.

Hay muchas razones por las que se quiere seleccionar una muestra representativa de los datos a examinar, o personas representativas a entrevistar, aplicar cuestionarios u observar. Ellas incluyen:

1. Los costos contenidos

2. La agilización de la recolección de datos

3. La mejora de la efectividad

4. La reducción de la ascendencia
EVALUACIÓN DE FORTALEZAS Y DEBILIDADES DE AUDITORIA
La Matriz DOFA es una importante herramienta de formulación de tácticas que conduce al desarrollo de cuatro tipos de estas: FO, DO, FA, DA, cuyas letras significan: F: Fortalezas Internas O: Oportunidades Externas D: Debilidades Internas A: Amenazas Externas.

La parte más importante de una matriz DOFA es la comparación de los factores internos y externos claves. Dicho proceso requiere de un buen juicio y existir una respuesta óptima.
Las estrategias FO se basan en el uso de las fortalezas internas de una firma con el objeto de aprovechar las oportunidades externas. Seria ideal para una empresa poder usar sus fortalezas y así mismo explotar sus oportunidades externas. Generalmente las organizaciones usan estrategias DO, FA o DA para llegar a una situación en la cual puedan aplicar una estrategia FO.
Las estrategias DO tienen como objetivo la mejora de las debilidades internas, valiéndose de las oportunidades externas. A veces una empresa disfruta de oportunidades externas decisivas, pero presenta debilidades internas que le impiden explotar dichas oportunidades.
Las estrategias FA se basan en la utilización de las fortalezas de una empresa para evitar o reducir el impacto de las amenazas externas. Este objetivo consiste en aprovechar las fortalezas de la empresa reduciendo a un mínimo la amenazas externas.
Las estrategias DA tiene como objetivo derrotar las debilidades internas y eludir las amenazas ambientales. Se intenta minimizar debilidades y amenazas, mediante estrategias de carácter defensivo, pues un gran número de amenazas externas y debilidades internas pueden llevar a la empresa a una posición muy inestable.
INFORME DE AUDITORIA
1. Identificación del Informe

El título del informe deberá identificarse con objeto de distinguirlo de otros informes.
5. Normativa aplicada y excepciones

Identificación de las normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el posible impacto en los resultados de la auditoria.
2. Identificación del cliente

Deberá identificarse a los destinatarios y personas que efectúen el cargo
4. Objetivos de la Auditoria Informática

Declaración de los objetivos de la auditoria para identificar su propósito, señalando los objetivos cumplidos
3. Identificación de la entidad auditada

Identificación de la entidad objeto de la Auditoria Informática
6. Alcance de la auditoria

Concretar la naturaleza y extensión del trabajo realizado: área organizativa, periodo de auditoria, sistemas de información..., señalando limitaciones al alcance y restricciones del auditado.
7. Conclusiones

Lógicamente, se ha llegado a los resultados y, sobre todo, a la esencia del dictamen, la opinión y los párrafos de salvedades y énfasis, si procede.
Full transcript