Professional Documents
Culture Documents
Auditoria
Auditoria, en su significado mas amplio significa verificar que la informacin financiera, operacional y administrativa que se presenta es confiable, veras y oportuna.
Auditoria gubernamental Auditoria operacional. Auditoria administrativa. Auditoria integral. Auditoria fiscal. Auditoria contable ( de estados financieros ) Auditoria administrativa. Auditoria integral. Auditoria interna. Auditoria externa.
Auditoria de Sistemas
La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el Procesamiento automtico de datos.
Incrementar la satisfaccin de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
Evaluar la fiabilidad (probabilidad de buen funcionamiento de algo".) Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad. Revisar la seguridad de los entornos y sistemas.
Analizar los controles y procedimientos tanto organizativos como operativos. Verificar el cumplimiento de la normativa y legislacin vigentes Elaborar un informe externo independiente. Utilizacin de estndares ISACA, OSSTMM, ISO/IEC 17799 y CIS
Tipos de Auditorias
Metodologa es una secuencia de pasos lgica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologas para llevar a cabo una auditoria informtica.
Etapas de la Metodologa
Alcance y Objetivos de la Auditora Informtica Estudio inicial del entorno auditable Determinacin de los recursos necesarios para realizar la auditora Elaboracin del plan y de los Programas de Trabajo Actividades propiamente dichas de la auditora Confeccin y redaccin del Informe Final Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final
Etapas de la Metodologa
Alcance y Objetivos de la Auditora Informtica
Estudio inicial del entorno auditable Determinacin de los recursos necesarios para realizar la auditora Elaboracin del plan y de los Programas de Trabajo
Documento a Entregar
De la metodologa de Auditoria solo el punto 1) y 2) 1) Alcance y Objetivos de la Auditora Informtica Estudio inicial del entorno auditable
El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los efectos de acotar el trabajo y lograr los objetivos declarar cuales materias, funciones u organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final. Las personas que realizan la auditora han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos generales y comunes de a toda auditora Informtica: La operatividad de los Sistemas y los Controles Generales de Gestin Informtica.
1) Organigrama: Si no existe el rea o departamento se anotara en el informe de auditoria. 2) Departamentos: Departamento los que siguen inmediatamente a la Direccin. El auditor describir brevemente las funciones de cada uno de ellos.
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin: El auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes. 4) Flujos de Informacin: Corrientes verticales o intradepartamentales. siempre y cuando tales corrientes no distorsionen el propio organigrama.
5) Nmero de Puestos de trabajo El auditor comprobar que los nombres de los Puestos corresponden a las funciones correspondientes o funciones operativas redundantes. 6) Nmero de personas por Puesto de Trabajo La inadecuacin del personal determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organizacin.
Entrega de documento
II) Documento que explique en detalle las actividades o procesos que se realizan del rea a auditar. ( Entrevista ) 70% >>>> propuestas >>>>
Eleccin Procesos o procedimientos a Conocer : . Con la informacin recolectada redactar de manera clara y organizada el rea o proceso entrevistado.( personal )
Entregar antes de fecha de examen : Metodologa de investigacin Pasos 1) y 2) - Descripcin detallada de la informacin redactada en la recopilacin de informacin.
Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos especficos Necesidad de auditar una materia de gran especializacin Contrastar algn informe interno con el que resulte del externo Evaluacin del funcionamiento de reas informticas en undeterminado departamento Aumentos de seguridad y fiabilidad Aumento de calidad Disminucin de costss o plazos Objetivos generales (comunes a toda A.I.) Operatividad de los S.I. Controles Generales de la
Operatividad Funcionamiento, aunque sea mnimo, de la organizacin y susmquinas (PCs, mainframes) Conseguida a escala general y parcial (p.e. cajero y lneas) Conseguida a travs de:Controles Tcnicos Generales (p.e. CPD diferentes) Sistema operativo y software de base funcionansimultneamente con aplicaciones Hw y Sw compatiblesControles Tcnicos Especficos Espacio en disco Perodo de utilizacin de BD comunes
Controles Generales de la Gestin Informtica Verificar normas del Departamento de Informtica y observar su consistencia con las del resto de la empresa -Normas Generales de la Instalacin Informtica - Procedimientos Generales y Especficos del Departamento de Informtica (p.e. una aplicacin o paquete no pasa a ser usado sin su correspondiente Documentacin y pruebas ) Comprobar que no existen contradicciones con normas y procedimientos generales de la empresa Interlocutores Personas con poder de decisin y validacin dentro de la empresa
BLOQUE II
2.1 Conceptos de seguridad en un centro de cmputo. 2.2 Realizacin de los instrumentos que se van a aplicar en la auditora. 2.3 Ejecucin de la auditora 2.4 Elaboracin de las desviaciones y someterlas a discusin
Definicin de Riesgo : Es aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado.
El riesgo conlleva : Perdidas. Definicin OSI : La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o grupo de activos, generndole perdidas o daos.
Vulnerabilidades
Amenaza
Impactos
Activos
Amenazas .- Son aquellas acciones que pueden ocasionar consecuencias negativas a la empresa. Ingresos no autorizados , virus , desastres ambientales , terremotos , inundaciones. ( Fsicas o Lgicas ) Vulnerabilidad .- Condiciones inherentes a los activos o en su entorno. Falta de conocimiento, tecnologa o sistemas no probados.
Hardware , Software , Recursos humanos.
Impacto .- Consecuencia de la ocurrencia de las distintas amenazas. Financieras , no financieras , corto o mediano plazo.
Costos que supondra la ocurrencia de una amenaza : Valor de reposicin Valor de reconstruccin Horas perdidas de trabajo Daos y perjuicios No slo importa lo que cuesta sino para qu /por lo que vale.
Para un estudio comparativo basta alguna escala sencilla 0, 1, 2, ..., 10 Para un estudio de costes se requiere una estimacin.
Seguridad informtica es el conjunto de procedimientos, estrategias y herramientas que permitan garantizar la integridad, la disponibilidad y la confidencialidad de la informacin de una entidad. ( oficina , empresa etc. )
Gestin de Riesgos
Anlisis de riesgos. Proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una organizacin.
Evaluacin de los riesgos proceso en el que se coteja el riesgo estimado contra los criterios de la organizacin para determinar la importancia del riesgo.
Tratamiento de riesgos, seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados
El problema es la complejidad
Activos
Amenazas
Medidas
Aproximacin Metdica
Demasiados activos, amenazas, contra medidas, ... La solucin : una aproximacin metdica De lo General a lo particular. De mayor amenaza a menor amenaza
Valoracin Cuantitativa
Criterios homogneos que permitan Comparar dimensiones Compartir / combinar anlisis realizados por separado
Aspectos de valoracin
Seguridad de las personas Informacin de carcter personal
Valoracin
http://www.publicsafety.gc.ca/prg/em/gds/bcpeng.aspx ( 1.- Gabriel ) http://www.disasterrecoveryworld.com/ ( 2.- Hugo ) Como Escribir un BCP .- PDF ( 3.- Nayeli)
Cuestionarios
Las auditoras informticas se materializan recabando informacin y documentacin de todo tipo. Los cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidadosos en su fondo y su forma.
Cuestionarios
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la auditora.
NOTA : Esta fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos preimpresos hubieran proporcionado.
Entrevistas
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.
El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible.
El auditado conteste sencillamente a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular.
El auditor debe ser un cuidadoso Escucha. El Auditor debe leer e interpretar tonos y entonaciones de voz del Auditado El Auditor debe poder interpretar Lenguaje corporal del auditado : posicin de las manos, movimiento de ojos..
Ya que podra en cierto punto estar ocultando informacin o puntos dbiles de su rea auditada. Lo cual podra llegar a profundizar mas puntos de debilidad o incumplimientos con algn procedimiento o estndar del rea auditada.
Checklist
Es el conjunto de preguntas orientadas a buscar debilidades o anomalas en el proceso auditado. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma. .
Checklists
Hay opiniones que descalifican el uso de los Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Un checklist contiene listas de preguntas muy sistematizadas, coherentes y clasificadas por materias.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. La preguntas pueden ser de pariencia distinta, el auditor formular preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes.
El auditor deber analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones Checklist de rango Checklist binario
Colour scheme
Background
Shadows
Title Text
Fills
Accent
Followed Hyperlink
Picture slide
Bullet 1 Bullet 2
Example of a table
Title
Data
Title
Data
Note: PowerPoint does not allow you to have nice default tables but you can cut and paste this one
Bullets go in here
Text and lines are like this Hyperlinks like this Visited hyperlinks like this
Table
Text box
Use of templates
You are free to use these templates for your personal and business presentations.
We have put a lot of work into developing all these templates and retain the copyright in them. They are not Open Source templates. You can use them freely providing that you do not redistribute or sell them.
Do
Dont
Use these templates for your Resell or distribute these templates presentations Put these templates on a website for Display your presentation on a web download. This includes uploading site provided that it is not for the them onto file sharing networks like purpose of downloading the template. Slideshare, Myspace, Facebook, bit If you like these templates, we would torrent etc always appreciate a link back to our Pass off any of our created content as website. Many thanks. your own work
You can find many more free templates on the Presentation Magazine website www.presentationmagazine.com
Cobit viene del ingls Control Objectives for Information and related Technology, que significa Objetivos de Control para la informacin y Tecnologas relacionadas. Se trata de un conjunto de buenas prcticas para el manejo de informacin que ha sido creado por la Asociacin para la Auditora y Control de Sistemas de Informacin,(ISACA, en ingls: Information Systems Audit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT Governance Institute) en 1992.