9
Transcripción de Estándares Internacionales de Auditoria en Sistemas La Naturaleza de la Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que a borde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. Estándares Internacionales de Auditoría de Sistemas Estándares Aplicables a la Auditoría de Sistemas de Información Calidad del Producto Software y la norma ISO/IEC 25000 •Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA) •The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA) •Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO) •Los estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO). •SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA •El Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI) •Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de

Auditoria en Sistemas

Embed Size (px)

DESCRIPTION

Auditoria

Citation preview

Transcripcin de Estndares Internacionales de Auditoria en SistemasLa Naturaleza de la Auditora de Sistemas de Informacin, y las capacidades necesarias para la realizacin de dichas auditoras, requieren estndares de aplicacin especfica a la auditora de sistemas. Por lo mismo que la informacin es un activo vital para el xito y la continuidad en el mercado de cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organizacin. Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un sistema que a borde esta tarea de una forma metdica, documentada y basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la informacin de la organizacin. Estndares Internacionales de Auditora de Sistemas Estndares Aplicables a la Auditora de Sistemas de Informacin Calidad del Producto Software y la norma ISO/IEC 25000 Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA)The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA)Administracin de la inversin de tecnologa de Inversin: un marco para la evaluacin y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)Los estndares de administracin de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organizacin Internacional de Estndares (ISO).SysTrust Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociacin de Contadores Pblicos (AICPA) y el CICAEl Modelo de Evolucin de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniera de Software (SEI)Administracin de sistemas de informacin: Una herramienta de evaluacin prctica, desarrollado por la Directiva de Recursos de Tecnologa de Informacin.Gua para el cuerpo de conocimientos de administracin de proyectos, desarrollado por el comit de estndares del instituto de administracin de proyectos.Ingeniera de seguridad de sistemas Modelo de madurez de capacidades (SSE CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon.Administracin de seguridad de informacin: Aprendiendo de organizaciones lderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO) La calidad del producto junto con la calidad del proceso son los aspectos ms importantes actualmente en el desarrollo de Software. En calidad del producto recientemente ha aparecido una nueva versin de la norma ISO/IEC 9126: la norma ISO/IEC 25000. Esta proporciona una gua para el uso de las nuevas series de estndares internacionales, llamados Requisitos y Evaluacin de Calidad de Productos de Software (SQuaRE). Constituyen una serie de normas basadas en la ISO 9126 y en la ISO 14598 (Evaluacin del Software), y su objetivo principal es guiar el desarrollo de los productos de software con la especificacin y evaluacin de requisitos de calidad. Establece criterios para la especificacin de requisitos de calidad de productos software, sus mtricas y su evaluacin. The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):

Este modelo est basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles estn clasificados con base en siete grupos: administracin general, gerentes de sistemas, dueos, agentes, usuarios de sistemas de informacin, as como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Adems, hace distincin entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en trminos de objetivos, estndares y tcnicas mnimas a considerar. Alcance de los Estndares Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):

Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prcticas de auditora y control de sistemas de informacin. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnologa de informacin y establezca el enlace entre los procesos de administracin, aspectos tcnicos, la necesidad de controles y los riesgos asociados. Administracin de la inversin de tecnologa de Inversin: un marco para la evaluacin y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO):

Este modelo identifica los procesos crticos, asegurando el xito de las inversiones en tecnologa de informacin y comunicacin electrnicas. Adems los organiza en cinco niveles de madurez, similar al modelo CMM. Estndares de administracin de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organizacin Internacional de Estndares (ISO):

La coleccin ISO 9000 es un conjunto de estndares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan. SysTrust Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociacin de Contadores Pblicos (AICPA) y el CICA:Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de informacin es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado). Modelo de Evolucin de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniera de Software (SEI):

Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organizacin, con respecto al desarrollo y mantenimiento de sistemas de informacin. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluacin recomendados por COBIT, as como para algunos de los procesos de administracin de COBIT. Administracin de sistemas de informacin: Una herramienta de evaluacin prctica, desarrollado por la Directiva de Recursos de Tecnologa de Informacin (ITRB):

Este es una herramienta de evaluacin que permite a entidades gubernamentales, comprender la implementacin estratgica de tecnologa de informacin y comunicacin electrnica que puede apoyar su misin e incrementar sus productos y servicios. Gua para el cuerpo de conocimientos de administracin de proyectos, desarrollado por el comit de estndares del instituto de administracin de proyectos:

Esta gua esta enfocada en las mejores prcticas sobre administracin de proyectos. Se refiere a aspectos sobre los diferentes elementos necesarios para una administracin exitosa de proyectos de cualquier naturaleza. En forma precisa, este documento identifica y describe las prcticas generalmente aceptadas de administracin de proyectos que pueden ser implementadas en las organizaciones. Ingeniera de seguridad de sistemas Modelo de madurez de capacidades (SSE CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon:

Este modelo describe las caractersticas esenciales de una arquitectura de seguridad organizacional para tecnologa de informacin y comunicacin electrnica, de acuerdo con las prcticas generalmente aceptadas observadas en las organizaciones. Administracin de seguridad de informacin: Aprendiendo de organizaciones lderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO):

Este modelo considera ocho organizaciones privadas reconocidas como lderes respecto a seguridad en cmputo. Este trabajo hace posible la identificacin de 16 prcticas necesarias para asegurar una adecuada administracin de la seguridad de cmputo, las cules deben ser suficientes para incrementar significativamente el nivel de administracin de seguridad en tecnologa de informacin y comunicacin electrnica. Actualmente existen en el mercado normativo diversas opciones de las que destacamos:

ISO 9001 en el alcance sobre el software y sobre los procesos productivos de la organizacin. No siempre sobre el desarrollo, puede ser en la identificacin de requisitos, en el propio desarrollo y por ejemplo en la entrega y mantenimiento.

ISO/IEC 9003 Ingeniera del software. Gua de aplicacin de la ISO 9001:2000 al software (NO es CERTIFICABLE. Es una norma de buenas prcticas para definir con ms detalle los conceptos de software sobre los procesos de la organizacin).

ISO/IEC 12207 Information Technology / Software Life Cycle Processes, es el estndar para los procesos de ciclo de vida del software de la organizacin. Es la base para ISO 15504-SPICE.

ISO/IEC 15504 (conocida como SPICE - Software Process Improvement And Assurance Standards Capability Determination). Un conjunto de 7 normas para establecer y mejorar la capacidad y madurez de los procesos de las organizaciones, proporcionando los principios requeridos para realizar una evaluacin de la calidad de los procesos. La definicin de los procesos se realiza sobre ISO/IEC 12207. La familia de normas 15504 espera que la nueva ISO 29110 sea publicada para crear definitivamente el esquema internacional de certificacin, que actualmente est creado con procesos de calidad en las entidades de certificacin (realizando evaluaciones externas sobre ISO/IEC 15504-2 e ISO/IEC TR 15504-7:2008. Capability Maturity Model Integration (CMMI) CMMI se ha convertido mundialmente en un requisito para acceder a la exportacin de servicios de software. La norma provee una gua para implementar una estrategia de calidad y mejorar los procesos de una organizacin que se dedica al desarrollo y/o mantenimiento de software. Dispone de un esquema de certificacin creado sobre organismos privados. (no normas ISO)

ISO/IEC 9126. Desarrolladas entre 1991 y 2001. Software engineering Product quality consta de 4 partes. La serie de normas ISO/IEC 9126 define las caractersticas de calidad del producto de software (parte 1), las mtricas internas y externas (partes 2 y 3), y la calidad en uso, que explica cmo la calidad del producto est sujeta a las condiciones particulares de uso (parte 4).

ISO/IEC 14598. Desarrolladas entre 1999 y 2001. Software product evaluation, Evaluacin del producto de software, la familia consta de 6 partes. Directamente relacionada con ISO 9126.

ISO 25000. La familia de normas 25000 establecen un modelo de calidad para el producto software adems de definir la evaluacin de la calidad del producto. Tiene 5 partes publicadas, y se encuentra en desarrollo. Pretenden sustituir a ISO 9126 e ISO 14598 ya que desde 2001 no se publicaron nuevas versiones

SCRUM. Un mtodo sencillo y prctico para empezar a practicar calidad. Fabricar y gestiona el desarrollo en tres fases fundamentales: una breve fase de planificacin, en la cual se realizan las labores bsicas de una planificacin breve: visin general del proyecto (estimacin muy general, viabilidad del sistema) y construccin del Backlog. por un lado y por otro el desarrollo de la arquitectura al detalle; otra de desarrollo, en la cual tienen lugar los famosos Sprints, y otra final de entrega y balance de los xitos y fracasos logrados

Objetivos Generales de una Auditora de Sistemas Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PADIncrementar la satisfaccin de los usuarios de los sistemas computarizadosAsegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacinde seguridades y controles.Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

Seguridad de personal, datos, hardware, software e instalaciones.

Apoyo de funcin informtica a las metas y objetivos de la organizacin.

Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico.

Minimizar existencias de riesgos en el uso de Tecnologa de informacin.

Decisiones de inversin y gastos innecesarios.

Capacitacin y educacin sobre controles en los Sistemas de Informacin.

Perfil de auditor de Sistemas-Profesional en sistemas de informacinConocimiento Gral. De auditoriaConocimiento Gral. De gestin de empresasConocimientos especficosDesarrollo de sistemasGestin de TIAnlisis de riesgo de TI

Telecomunicaciones y redesBase de datos

Seguridad fsica aplicada a centro de procesamiento de datos

Seguridad lgicaMejores prcticas de continuidad de sistemasE Commerce-El Auditor de Sistemas debe Evalar la estructura de control interno de laempresa. Estudia los controles organizativos definidos dentro del rea de TI,realiza el anlisis de aplicativos en desarrollo, produccin y mantenimiento,realiza auditoria sobre datos y redes. 3 aspectos: confidencialidad, integridad ydisponibilidad (CIA).

METODOLOGA DE UNA AUDITORA DE SISTEMAS Existen algunas metodologas de Auditoras de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estndar analizaremos las cuatro fases bsicas de un proceso de revisin: Estudio preliminar Revisin y evaluacin de controles y seguridades Examen detallado de reas criticas Comunicacin de resultados Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios del PAD. Revisin y evaluacin de controles y seguridades.- Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas crticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades. Examen detallado de reas crticas.-Con las fases anteriores el auditor descubre las reas crticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usar, definir la metodologa de trabajo, la duracin de la auditora, Presentar el plan de trabajo y analizar detalladamente cada problema encontrado con todo lo anteriormente analizado. Comunicacin de resultados.- Se elaborar el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentar esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditora. El informe debe contener lo siguiente: Motivos de la Auditora Objetivos Alcance Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditora


Auditoria Sistemas

Auditoria Sistemas

Documents
Procesos en La Auditoria de Sistemas

Procesos en La Auditoria de Sistemas

Documents
Analisis Sistemas en Auditoria

Analisis Sistemas en Auditoria

Documents
Libro auditoria en sistemas computacionales

Libro auditoria en sistemas computacionales

Law
Auditoria en sistemas computacionales

Auditoria en sistemas computacionales

Documents
Auditoria sistemas estudiar

Auditoria sistemas estudiar

Documents
AUDITORIA DE SISTEMAS INFORMATICOS - cotana.informatica…cotana.informatica.edu.bo/downloads/normas de auditoria de sistemas... · AUDITORIA DE SISTEMAS INFORMATICOS ... 3 Para la

AUDITORIA DE SISTEMAS INFORMATICOS - cotana.informatica…cotana.informatica.edu.bo/downloads/normas de auditoria de sistemas... · AUDITORIA DE SISTEMAS INFORMATICOS ... 3 Para la

Documents
Auditoria de-sistemas

Auditoria de-sistemas

Education
AUDITORIA DE SISTEMAS AUDITORIA EN INFORMATICA. I. ANTECEDENTES

AUDITORIA DE SISTEMAS AUDITORIA EN INFORMATICA. I. ANTECEDENTES

Documents
Auditoria en Sistemas

Auditoria en Sistemas

Education
Auditoria de Sistemas Auditoria Centro de Computo

Auditoria de Sistemas Auditoria Centro de Computo

Documents
Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

Documents
Auditoria de sistemas

Auditoria de sistemas

Education
Auditoria en Sistemas Computacionales_1ed_muñoz

Auditoria en Sistemas Computacionales_1ed_muñoz

Documents
Estándares de Auditoria en sistemas

Estándares de Auditoria en sistemas

Technology
AUDITORIA DE SISTEMAS INFORMATICOS - …cotana.informatica.edu.bo/downloads/4. normas de auditoria de... · AUDITORIA DE SISTEMAS INFORMATICOS 4. Normas de Auditoria de Sistemas 1

AUDITORIA DE SISTEMAS INFORMATICOS - …cotana.informatica.edu.bo/downloads/4. normas de auditoria de... · AUDITORIA DE SISTEMAS INFORMATICOS 4. Normas de Auditoria de Sistemas 1

Documents