ÍNDICE AUDITORÍA DE SISTEMAS DE INFORMACIÓN 1.- INTRODUCCIÓN 2.- OBJETIVOS DE LA ASI 3.- CONTROL INTERNO 4.- METODOLOGÍAS DE ASI 5.- ÁREAS DE REVISIÓN

ÍNDICEAUDITORÍA DE SISTEMAS DE INFORMACIÓN

1.- INTRODUCCIÓN

2.- OBJETIVOS DE LA ASI

3.- CONTROL INTERNO

4.- METODOLOGÍAS DE ASI

5.- ÁREAS DE REVISIÓN

6.- NORMAS Y REGULACIONES

CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN

INFORME COSOINFORME COSO

Control Objectives for related Control Objectives for related Information Technology - COBITInformation Technology - COBIT

GMITS (ISO/IEC 13335-x),GMITS (ISO/IEC 13335-x),

Common Criteria (ISO 15408)Common Criteria (ISO 15408)

ASOCIACIONES PROFESIONALES, ASOCIACIONES PROFESIONALES, USUARIOS, FABRICANTESUSUARIOS, FABRICANTES

ISO 17799ISO 17799


MODELO DE RIESGOMODELO DE RIESGO (*)(*)

RIESGOSRIESGOS

VULNERABILIDADVULNERABILIDAD IMPACTO IMPACTO

(*) Basado en el modelo "Infosec"(ref. 92/242/ECC)(*) Basado en el modelo "Infosec"(ref. 92/242/ECC)(**) Incluye los conceptos de control y auditoría de sistemas de información(**) Incluye los conceptos de control y auditoría de sistemas de información

PROTECCION PROTECCION (**)(**)


RIESGORIESGO

La probabilidad de que La probabilidad de que se dé un error, se dé un error, falle un proceso, falle un proceso, o tenga lugar un hecho o tenga lugar un hecho negativonegativo

para la empresa u organización, para la empresa u organización, incluyendo la posibilidad deincluyendo la posibilidad de

fraudesfraudes


el MECANISMO o el MECANISMO o

PROCEDIMIENTO PROCEDIMIENTO

queque EVITA EVITA o o

PREVIENEPREVIENE un RIESGOun RIESGO

CCOONNTTRROOLL


““el sistema de control interno en TI está el sistema de control interno en TI está constituido porconstituido por

las políticas, las políticas, procedimientos, procedimientos, prácticas y estructuras organizativasprácticas y estructuras organizativas

diseñadas para proveer diseñadas para proveer una seguridad razonable una seguridad razonable

que los objetivos empresariales o de que los objetivos empresariales o de negocio serán alcanzados o logrados y negocio serán alcanzados o logrados y

que los sucesos indeseados serán que los sucesos indeseados serán detectados, prevenidos y corregidos”detectados, prevenidos y corregidos”

COBIT COBIT (Governance, control and Audit for Information and Related Technology)(Governance, control and Audit for Information and Related Technology)


Riesgos y controles Riesgos y controles en procesos operativosen procesos operativos

MANUALESMANUALES

Riesgos y controles Riesgos y controles en procesos operativosen procesos operativos

AUTOMATIZADOSAUTOMATIZADOS


CONTROLESCONTROLESCOMPLEMENTARIOS

COMPLEMENTARIOS

e e

INTERDEPENDIENTES

INTERDEPENDIENTES


CONTROL INTERNOCONTROL INTERNO

Revisión periódica de Revisión periódica de procedimientos de controles procedimientos de controles establecidosestablecidos

Detección de riesgosDetección de riesgos

Seguimiento de errores o irregularidadesSeguimiento de errores o irregularidades


dificultad para implantar unadificultad para implantar unaadecuada segregación de adecuada segregación de funcionesfunciones

obtención de evidencias o pistasobtención de evidencias o pistasde auditoría relevantes, fiables de auditoría relevantes, fiables y eficientesy eficientes

complejidad tecnológicacomplejidad tecnológica


SEGREGACIÓN de SEGREGACIÓN de FUNCIONESFUNCIONES

Establecer una división de Establecer una división de roles y responsabilidades roles y responsabilidades

que excluyan la posibilidadque excluyan la posibilidad

que unaque una SOLA PERSONA SOLA PERSONA

PUEDA DOMINAR un PUEDA DOMINAR un

PROCESO CRÍTICOPROCESO CRÍTICO

DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN

¿Cuál de las siguientes tareas pueden ser realizadas por la misma persona en un centro de cómputo de procesamiento de información bien controlado?

1. Administración de seguridad y admón. de cambios

2. Operaciones de cómputo y desarrollo de sistemas

3. Desarrollo de sistemas y admón. de cambios

4. Desarrollo de sistemas y mantenimiento de sistemas


¿Cuál de las siguientes controles es el más crítico sobre la administración de bases de datos?

1.Aprobación de las actividades del DBA

2.Segregación de funciones

3.Revisión de los registros de acceso y actividades

4.Revisión del uso de las herramientas de bases de datos


¿Cuál de las siguientes funciones es más probable que sea realizada por el administrador de seguridad?

1.Aprobar la política de seguridad

2.Probar el software de aplicación

3.Asegurar la integridad de los datos

4.Mantener las reglas de acceso


VOLATILIDAD Y VOLATILIDAD Y FACILIDAD de FACILIDAD de

MANIPULACIÓNMANIPULACIÓN dede

laslas EVIDENCIASEVIDENCIAS,,

loslos REGISTROSREGISTROS yy

los los PROCESOSPROCESOS


Las características estructurales Las características estructurales de losde los controles están evolucionandocontroles están evolucionando a la misma velocidad y en la misma forma a la misma velocidad y en la misma forma de cambio acelerado, que están de cambio acelerado, que están experimentando las tecnologíasexperimentando las tecnologías

Ejercicio continuado deEjercicio continuado de investigación investigación aplicada a los controlesaplicada a los controles enen TITI


No admiten desviacionesNo admiten desviaciones

Provienen de la DirecciónProvienen de la Dirección

POLITICASPOLITICAS

Generalmente abarcanGeneralmente abarcanobjetivos, las metas, filosofías, objetivos, las metas, filosofías, códigos éticos, y los esquemas códigos éticos, y los esquemas de responsabilidadesde responsabilidades


PROCEDIMIENTOSPROCEDIMIENTOS

• Brindan los pasos específicosBrindan los pasos específicosnecesarios para lograr las metasnecesarios para lograr las metas

• Son las medidas o dispositivosSon las medidas o dispositivosnecesarias para lograr las directrices necesarias para lograr las directrices de las políticasde las políticas

Evolucionan con la tecnología, la Evolucionan con la tecnología, la estructura organizativa, y se estructura organizativa, y se

componen de medidas organizativas y componen de medidas organizativas y técnicastécnicas


En la definición de los controlesEn la definición de los controles

EVIDENCIASEVIDENCIAS

OBJETIVO DEFINIDO de cada OBJETIVO DEFINIDO de cada MECANISMO DE CONTROLMECANISMO DE CONTROL

Interdependencia Interdependencia y conexión con y conexión con otros controlesotros controles


SEGREGACIÓN de SEGREGACIÓN de FUNCIONESFUNCIONES

IDENTIFICACIÓN de IDENTIFICACIÓN de RESPONSABILIDADRESPONSABILIDAD

INDEPENDENCIA de la INDEPENDENCIA de la SUPERVISIÓNSUPERVISIÓN

En los aspectos organizativosEn los aspectos organizativos


La La DirecciónDirección deberá decidirdeberá decidir

ssobreobre el nivel de riesgoel nivel de riesgo que que está dispuesta a aceptar, elloestá dispuesta a aceptar, ello implicaimplica equilibrarequilibrar elel riesgo riesgo y ely el costocosto

Los usuarios de los servicios deLos usuarios de los servicios deT.I. tienen una necesidad creciente T.I. tienen una necesidad creciente de disponer de unade disponer de una

SEGURIDAD RAZONABLESEGURIDAD RAZONABLE


CONTROLES CONTROLES versusversus COSTE/BENEFICIOCOSTE/BENEFICIO de de los CONTROLESlos CONTROLES

Todo control y medida preventiva implica un coste Todo control y medida preventiva implica un coste monetario para sumonetario para su

IMPLANTACIÓNIMPLANTACIÓN yy MANTENIMIENTOMANTENIMIENTO

NO NO siempre essiempre es fácilfácil IDENTIFICARIDENTIFICAR yyCUANTIFICARCUANTIFICAR que riesgos pueden provocar daño que riesgos pueden provocar daño o fraude, y que pérdidas concretaso fraude, y que pérdidas concretas

Desembolso que puede evitar pérdidas Desembolso que puede evitar pérdidas mayores en el futuro, y por lo tanto puede dar mayores en el futuro, y por lo tanto puede dar lugar a lalugar a la

RECUPERACIÓNRECUPERACIÓN de lade la INVERSIÓNINVERSIÓN


ESQUEMA BÁSICOESQUEMA BÁSICO

MATERIALIDAD MATERIALIDAD de losde los RIESGOS RIESGOS

CONTROLES NECESARIOSCONTROLES NECESARIOS

COMPARACIONCOMPARACION de de CONTROLCONTROL versus versus COSTECOSTE

DEFINICIÓN de los CONTROLESDEFINICIÓN de los CONTROLES


Un auditor de SI está auditando los controles relativos al despido/retiro de empleados. ¿Cuál de los siguientes aspectos es el más importante que debe ser revisado?

1. El personal relacionado de la compañía es notificado sobre el despido/retiro

2. El usuario y las contraseñas del empleado han sido eliminadas

3. Los detalles del empleado han sido eliminados de los archivos activos de la nómina

4. Los bienes de la compañía provistos al empleado han sido devueltos


Cuando se revisa un acuerdo de nivel de servicio para un centro de cómputo contratado con terceros (outsourcing), un auditor de SI debería PRIMERO determinar que

1. El coste propuesto para los servicios es razonable2. Los mecanismos de seguridad está especificados

en el contrato3. Los servicios contratados están basados en un

análisis de las necesidades del negocio4. El acceso de la auditoría al centro de cómputo

esté permitido conforme al contrato


Un auditor de SI que hace una auditoría de procedimiento de monitoreo de hardware debe revisar:

1. reportes de disponibilidad del sistema

2. reportes coste-beneficio

3. reportes de tiempo de respuesta

4. reportes de utilización de bases de datos


Un auditor de SI cuando revisa una red utilizada para las comunicaciones de Internet, examinará primero

1. la validez de los casos en que se hayan efectuado cambios de contraseña

2. la arquitectura de la aplicación cliente/servidor

3. la arquitectura y el diseño de la red

4. la protección de firewall y los servidores proxy

Documents

ÍNDICE AUDITORÍA DE SISTEMAS DE INFORMACIÓN 1.- INTRODUCCIÓN 2.- OBJETIVOS DE LA ASI 3.- CONTROL INTERNO 4.- METODOLOGÍAS DE ASI 5.- ÁREAS DE REVISIÓN