1

OBJETIVO
Comprender la importancia de la Auditoría Informática en el entorno tecnológico actual de las organizaciones y las oportunidades de desarrollo profesional para los conocedores de las tecnologías de la información.

2

OBJETIVOS ESPECIFICOS
 Entender los conceptos básicos

 Conocer el ISACA como un organismo referente en el ámbito de la Auditoría Informática a nivel mundial.
 Ver la importancia que tiene la seguridad de la información con un enfoque basado en la norma ISO 17799.

 Comprender la relación entre el control interno y la auditoría informática.

3

OBJETIVOS ESPECIFICOS
 Conocer e implementar la metodología de Auditoría Informática  Elaborar y presentar un informe de Auditoría Informática.

 Conocer el modelo COBIT
 Conocer los principales tipos de delitos informátcos y la legislación vigente en el Ecuador para sancionarlos.

4

BIBLIOGRAFIA
 PIATINNI Mario G. y DEL PESO Emilio, Auditoría Informática, un enfoque práctico.  COBIT (Control Objectives for Information Technologies)

 Norma ISO 17799: Seguridad de la Información
 MANTILLA Samuel, Control Interno – Informe COSO

5

INTRODUCCIÓN
Las tecnologías de la información son vitales para una Organización, no obstante, todos los beneficios que de esto se deriva se ven amenazados por numerosos riesgos que deben ser controlados para garantizar la eficiencia del soporte a los procesos. Por tanto se requiere de un sistema de control interno eficaz, eficiente y una labor periódica de supervisión o de auditoría informática.
6

Para asegurar que las
 TI proporcionan valor
 Coste, tiempo, funcionalidad esperados

 TI no proporcionan sorpresas
 Riesgos mitigados

 TI contribuyen al negocio
 Nuevas oportunidades e innovaciones en productos, procesos y servicios

la dirección necesita tener las TI bajo control

8

Auditoria
El origen etimológico de la palabra es el verbo latino "Audire", que significa "oír", que a su vez tiene su origen en que los primeros auditores ejercían su función juzgando la verdad o falsedad de lo que les era sometido a su verificación principalmente oyendo.

9

La Auditoria puede referirse a:
 Auditoría contable, la realizada por un profesional, experto en

contabilidad, sobre los estados contables de una entidad.
 Auditoría energética, una inspección, estudio y análisis de los flujos de energía en un edificio, proceso o sistema con el objetivo de

comprender la energía dinámica del sistema bajo estudio.
 Auditoría jurídica, profesional de derecho, con capacidad y

experiencia en derecho civil que realiza la revisión, examen y evaluación de los resultados de una gestión especifica o general de una institución, con el propósito de informar o dictaminar acerca de ellas, realizando las observaciones y recomendaciones pertinentes para mejorar su eficacia y eficiencia en su desempeño.
10

 Auditoría informática, proceso de recoger, agrupar y evaluar

evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
 Auditoría medioambiental, cuantificación de los logros y la posición

medioambiental de una organización.
 Auditoría social, proceso que una empresa u organización realiza, con

ánimo de presentar balance de su acción social y su comportamiento ético.  Auditoría de seguridad de sistemas de información, análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

11

 Auditoría de innovación, proceso de obtención

información sobre la situación actual de la empresa frente a la innovación.  Auditoría política, revisión sistemática de los procesos y actividades, orientadas ideológicamente, de toma de decisiones de un grupo para la consecución de unos objetivos, en beneficio de todos.  Auditoría de accesibilidad, revisión de la accesibilidad de un sitio web por parte de un experto. Auditoría de marca, metodología para medir el valor de una marca.  Auditoría de código de aplicaciones, proceso de revisar el código de una aplicación para encontrar errores en tiempo de diseño.
12

Auditoría Informática
 Proceso metodológico que tiene el propósito principal de evaluar todos los recursos (humanos, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opera con criterio de integración y desempeño de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organización.

13

 Es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
 Estudia los mecanismos de control que están implantados en

una empresa u organización, determinando si los mismos son adecuados y cumplen con determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.

14

 Exámen de las demostraciones y registros administrativos. (Holmes)  Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos  No es una evaluación para detectar errores y señalar fallas  Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organización

SEGURIDAD DE LA INFORMACION
PREMISAS  No existe la “verdad absoluta” en Seguridad Informática.  No es posible eliminar todos los riesgos.  La Dirección está convencida de que la Seguridad Informática no hace al negocio de la compañía.  Cada vez los riesgos y el impacto en los negocios son mayores.

16

SEGURIDAD DE LA INFORMACION
REALIDADES En mi empresa ya tenemos seguridad porque ...  ... implementamos un firewall.  ... contratamos una persona para el área.  ... en la última auditoría de sistemas no me sacaron observaciones importantes.  ... ya escribí las políticas.  ... hice un penetration testing y ya arreglamos todo.

17

SEGURIDAD DE LA INFORMACION
QUE DEBO PROTEGER  Impresa.  Escrita en papel.  Almacenada electrónicamente.  Transmitida por correo o utilizando medios electrónicos.  Presentada en imágenes.  Expuesta en una conversación.  En el conocimiento de las personas.
18

SEGURIDAD DE LA INFORMACION

No se puede hacer una buena defensa si no se conoce lo que se defiende
19

SEGURIDAD DE LA INFORMACION
CONCEPTO

Son todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.
20

SEGURIDAD DE LA INFORMACION
PRINCIPIOS
CONFIDENCIALIDAD: Medidas enfocadas a garantizar que la información está disponible para aquellos que estén autorizados conocerla. Es crítica cuando los datos proporcionan ventaja competitiva en fabricación o confianza del consumidor
21

SEGURIDAD DE LA INFORMACION
INTEGRIDAD:
Garantizar que la información es fiable y que no se ha modificado. Es crítica cuando se trata de datos que serán utilizados en análisis estadísticos, o cálculos matemáticos

22

SEGURIDAD DE LA INFORMACION
DISPONIBILIDAD:

Garantizar que los datos son accesibles el momento que se los necesita. Es crítica cuando se tiene que acceder a datos en tiempo real.
23

Objetivos de la AI
 Control de la función informática

 El análisis de la eficiencia de los sistemas informáticos  Verificación de la normativa general de la empresa en el ámbito informático  Revisión de la eficaz gestión de los recursos materiales y humanos informáticos

OBJETIVO DE LA AI
 EFECTIVIDAD.- Es el logro de las metas establecidas después de considerar las alternativas.  EFICIENCIA.- Es el logro de las metas con el menor costo posible. Los costos se expresan en términos de recursos.  ECONOMÍA.- Consiste en eliminar todo desperdicio, extravagancia y duplicación.

25

Éxito de la AI
 Estudiar hechos no opiniones

 Investigar las causas no los efectos  Atender razones no excusas
 No confiar en la memoria, preguntar constantemente

 Criticar objetivamente y a fondo todos los informes y datos recabados
 Registrar TODO

Síntomas de necesidad
 Descoordinación y desorganización
 Concordancia con los objetivos
 Desvíos importantes del plan operativo anual  Alta rotación de personal – Cambios grandes

 Mala imagen – Insatisfacción de los usuarios
 Software  Hardware

 Plazos de entregas

Síntomas de necesidad  Debilidades económicas-financieras
 Incremento de costos

 Justificación de inversiones informáticas
 Desviaciones presupuestarias

 Costos y plazos de nuevos proyectos

 Inseguridad
 Lógica

 Física
 Confidencialidad

 Carencia de planes de contingencias

Ventajas de la AI
 Determinar el tamaño de la organización
 Niveles de confiabilidad

 Buen Ambiente organizacional  Buen manejo del Presupuesto
 Activos informáticos auditables

Alcances de la AI
 Tener el claro el objetivo  Conocer el ambiente  Limites del sistema  Control de integridad de registros
 Para aplicaciones de registros comunes

 Control de validación de errores
 Detectar y corregir errores

 Informe final

Estudio INICIAL de una AI
 Constitución legal - Antecedentes

 Organigrama  Departamentos
 Relaciones jerárquicas y funcionales

 Flujos de información  Planos

Tipos de AI
 Interna
 Los recursos y personas pertenecen a la empresa

auditada  Es remunerada  La organización la controla

 Externa
 Los recursos y personas no pertenecen a la empresa

auditada  Es remunerada  Distancia entre auditores y auditados: mayor objetividad

33