You are on page 1of 128

CIS – UNL Ingeniería de sistemas

Auditoría Informática
Capítulo IV: Metodología auditoría informática

Profesor: Jenny María Cuenca.
jmcuenca@unl.edu.ec VIII “A” 20-21, mayo 2013. VIII “B” 20,23, mayo 2013
1

Capítulos restantes
¤  Capítulo V: Metodología y herramientas de la Auditoria informática ¤  Capítulo VI: Informe de Auditoría Informática ¤  Capítulo VII: Principales Área de auditoría informática

Método de trabajo
¤  Revisión material según el tema del trabajo ¤  Inicio de clases se tomará control de lectura ¤  Exposición grupal del tema a tratar
¤  Tiempo de exposición 30 min ¤  Presentar informe del tema tratado

¤  Trabajo práctico grupal

21 mayo BàJueves.Agenda ¤  Metodología para la auditoría informática ¤  Planeación de la auditoria (Grupo 1) ¤  ¤  ¤  ¤  ¤  Toma de contacto Revisión preliminar Establecer objetivos Determinar punto a evaluar Elaborar plan de auditoría ¤  ¤  ¤  ¤  ¤  ¤  ¤  Elaborar instrumentos Asignación de recursos y sistemas Desarrollo de la auditoría (Grupo 2) Fase de diagnóstico Realizar acciones programadas Aplicación de instrumentos Integración de papeles de trabajo AàMartes.23 de mayo 4 .

Agenda ¤  Herramientas de control. ¤  ISO 19011:2011 (grupo 3) ¤  ISO 17799 (grupo 4) ¤  ISO 27000 (grupo 5) ¤  COBIT (grupo 6) ¤  ITIL (grupo 7) ¤  ISACA (grupo 8) Lunes. 27 mayo Definición Características Importancia Aplicación 5 .

2001 Capítulo III Lunes. 21 de mayo ¤  Piattini Mario. Emilio del Peso Navarro. 27 de mayo www.com/ http://www.org http://www. ¤  Martes.Revisión Bibliográfica. “Auditoría Informática un enfoque práctico”.itil-officialsite.iso. Segunda Edición.isaca.org/ 6 .

28 de mayo – AIB Jueves. Zagreb Escoger el marco referencial para la implementación de la ciberseguridad Pag 46-52 7 . 30 de mayo ¤  ¤  Enrique Hernandez Hernandez. 3 de junio ¤  ¤  iso_9000_selection_and_use-2009 Título: Ciberseguridad en 9 pasos ¤  ¤  ¤  ¤  Subtítulo: El manual sobre seguridad de la información para el gerente Autor: Dejan Kosutic Publicado por: EPPS Services Ltd. ¤  AIA Martes. Capitulo 5: Metodología para el Desarrollo e Implantación de la Auditoría de Informática ¤  AIA Lunes. 3 de junio – AIB Lunes. "Auditoria informática un enfoque metodológico.Revisión Bibliográfica.

3 de junio – AIB Lunes. 13 de junio ¤  ¤  Enrique Hernandez Hernandez. Zagreb Escoger el marco referencial para la implementación de la ciberseguridad Pag 46-52 8 . 3 de junio iso_9000_selection_and_use-2009 Título: Ciberseguridad en 9 pasos Subtítulo: El manual sobre seguridad de la información para el gerente Autor: Dejan Kosutic Publicado por: EPPS Services Ltd.Revisión Bibliográfica. 11 de junio – AIB Jueves. ¤  AIA Martes. "Auditoria informática un enfoque metodológico. Capitulo 6 y 7 AIA Lunes.

Método Modo de decir o hacer con orden una cosa Metodología Conjunto de métodos que se siguen en la investigación científica o en una exposición doctrina 9 .

10 . ¤  La metodología obliga a la planeación detallada de cada proyecto bajo criterios estándares.Metodología ¤  Usada por un profesional dice mucho de su conocimiento sobre el trabajo que realiza ¤  Esta directamente relacionada con la experiencia obtenida con el tiempo (acierto – error) ¤  Es necesaria para que un grupo de profesionales alcancen un resultado homogeneo.

¿Determine al menos 3 puntos sobre Importancia de usar metodologías? 11 .

12 .Importancia ¤  Se elimina el proceso informal de trabajo ¤  Trabajo con características y requisitos comunes para todos los responsables ¤  Orientan sus esfuerzos a la obtención de productos de calidad ¤  Las tareas y productos terminados definidos y formalizados en un documento al alcance de todos los Auditores de Informática ¤  Se facilita en un alto grado la administración y seguimiento de los proyectos ¤  Trabaja sobre tareas y productos terminados perfectamente definidos.

Áreas que da soporte AI ¤  Alta Dirección ¤  Seguimiento a proyectos relacionados con la Tecnología de Informática ¤  Verificación y Aseguramiento en el cumplimiento de Políticas inherentes a la Tecnología de Informática ¤  Otros aspectos de Interés para la Alta Dirección 13 .

de Créditos. Etc.) ¤  Planes de capacitación en el uso y entendimiento de : ¤  Software de Auditoría ¤  Herramientas de Productividad (Hojas Electrónicas.Áreas que da soporte AI ¤  Auditoria ¤  Apoyo en la Definición.) ¤  ¤  ¤  ¤  Bases de Datos (Consulta de Información por ejemplo) Equipos de Cómputo (Micros. Diagramadores. etc. Procesadores de Palabras. Fiscal. Equipos de Cómputo. Comunicaciones. portátiles. etc. Graficadores. Implantación y Seguimiento en : ¤  Políticas. Operativa. etc. Relacionadas directa o Indirectamente con la Tecnología de Informática (Sistemas de Información.) Otros de Interés para los Auditores Otros de Interés para el desarrollo eficiente de los auditores cuando evalúan áreas del negocio que se apoyan en Informática. Controles y Procedimientos de Auditoría Financiera. terminales. 14 .

Sistemas Estratégicos. 15 . CASE. Telecomunicaciones. procedimientos y Estándares relativos a : ¤  Organización y Administración de Informática ¤  Proceso de Planeación de Informática ¤  Evaluación y Adquisición de nueva Tecnología ¤  Evaluación y Adquisición de Servicios ¤  Desarrollo e Implantación de Soluciones (EDI. etc. Implantación y Seguimiento en : ¤  Políticas. controles.Áreas que da soporte AI ¤  Informática: ¤  Apoyo en la Definición. Base de Datos. Multimedia.

Ejemplos Planificación .

.

Ejemplos Planificación .

19 . Auditoría y Auditoría de Informática de manera conjunta.Plan maestro de Auditoría Informática 1.  Crear o formalizar un comité de control y seguimiento integrado por: ¤  Alta Dirección ¤  Responsable directo de Auditoría ¤  Responsable directo de Informática ¤  Responsable directo de Auditoría de Informática 2. Informática. 3.  Establecer fechas de reuniones formales e informales para dar seguimiento a los planes de compromiso conjunto.  Analizar los proyectos de Negocio. ¤  Relación o impacto que tienen entre si y facilitarse de manera formal los compromisos que aseguren el cumplimiento de los mismos.

Tareas básicas del proceso de planeación de AI Actividad Determinación de las áreas a auditar en el negocio Responsable de ejecución Líder auditoría informática Responsable del seguimiento Líder auditoría informática Comentarios Diagnóstico actual (punto de vista del negocio). área de riesgo o debilidades Fechas y periodos en que se auditaran las áreas Recomendable hacerlo al inicio Elaboración del plan de AI Presentación del plan a la alta dirección Ejecución del plan de auditoría informática Líder auditoría informática Líder auditoría informática Auditores Líder auditoría informática Alta dirección Líder auditoría informática Auditor supervisor .

Diagnostico preliminar 21 .

.

¿Enumere 5 items que debe conocer el Auditor sobre el negocio? 23 .

.

Proveedores. por ejemplo) ¤  Políticas referentes a Informática ¤  Documentación de acuerdo a las características propias del proyecto .Conocimiento del negocio ¤  Aspectos relevantes que debe solicitar el Auditor para su análisis preliminar: ¤  Misión del Negocio ¤  Áreas o Proceso del negocio ¤  Organigrama del Negocio ( Detectar ubicación de Informática) ¤  Relación entre las diversas áreas del negocio ¤  Relación del Negocio con áreas externas (Clientes.

Usuarios o Informática) . Táctico y Operativos del Negocio ¤  Imagen de Informática que tiene la Alta Dirección y Responsables de cada área del Negocio ¤  Grado de Satisfacción que existe por cada servicio prestado por la Función de Informática ¤  Expectativas que tiene el negocio por Informática ¤  Fortalezas de Informática y debilidades de Informática ¤  Áreas de Oportunidad (Propuestas ya sea por la Alta Dirección.Apoyo al negocio ¤  Involucración de la Función de Informática en los proyectos claves del negocio ¤  Difusión de las Políticas y Planes de Informática en los niveles Estratégico.

¿Enumere 5 items que debe conocer el Auditor del área informática? 27 .

Conocimiento de informática ¤  Conocimientos de la función informática ¤  La estructura interna de Informática ¤  Funciones ¤  Objetivos ¤  Estratégias ¤  Planes ¤  Políticas ¤  De manera general la Tecnología de Software y Hardware en que se apoya para llevar a cabo su Función dentro del negocio. .

¿Qué servicios presta el área de informática a la empresa? 29 .

Instalación y Reemplazo de : ¤  Equipo de Computo ¤  Paquetes de Software (Procesadores de palabras.Conocimiento de informática ¤  Servicios ¤  Implantación de Soluciones de Información : ¤  Desarrollo de Sistemas de Información : No integrados Integrales – Estratégicos ¤  Compra y adecuación de Aplicaciones hechas por externos ¤  Bases de Datos : Centralizadas – Descentralizadas ¤  Evaluación. etc. Hojas de Cálculo. Adquisición.) ¤  Equipos de Telecomunicaciones ¤  Lenguajes de Programación .

Conocimiento de informática ¤  Mantenimiento: ¤  Sistemas de Información ¤  Base de Datos ¤  Equipos de Computo y de Telecomunicaciones ¤  Redes Locales ¤  Soporte a Usuarios ¤  Capacitación y Asesoría ¤  Investigación : ¤  Tecnología (Equipos de Computo. etc. CASE. EDI. Comunicaciones.) .

Evaluación de Desempeño ¤  Políticas y Procedimientos para el Desarrollo e Implantación de Sistemas ¤  Políticas y Procedimientos de Evaluación de Hardware y Software ¤  Políticas y Procedimientos de Seguridad ¤  Políticas y Procedimientos de Mantenimiento: Preventivo Detectivo – Correctivo ¤  Plan de Contingencias .Conocimiento de informática ¤  Aspectos de control ¤  Políticas y Procedimientos de Organización de la Función de Informática : ¤  Descripción de Puestos y Funciones .

33 .Metodología para la AI ¤  Planeación de la auditoria ¤  Toma de contacto ¤  Reunión inicial ¤  Alcance ¤  Revisión preliminar ¤  Listado de principales sistemas de información (In house – comercial) ¤  Usuarios principales ¤  Determinar volúmenes de transacciones promedios ¤  Fallas y/o regularidades más comunes ¤  Informes de desempeño por parte de analistas o personal.

Etapa de justificación 34 .

Productos de la etapa justificación ¤  Matriz de Riesgos ¤  Plan General de Auditoría de Informática ¤  Visto Bueno por escrito .

Productos de la etapa justificación ¤  Matriz de Riesgos ¤  Plan General de Auditoría de Informática ¤  Visto Bueno por escrito .

no por componente. .Productos de la etapa justificación ¤  Matriz de Riesgos ¤  Estimar el tiempo que le llevará el auditar cada área determinada en la Matriz de Riesgos ¤  Analizar y definir cuales serán los aspectos o componentes más relevantes a evaluar ¤  Asignar prioridades a cada área a evaluar o revisar en conjunto con los principales involucrados en el proyecto ¤  Definir fechas estimadas de Inicio y Terminación por área de Revisión.

. no por componente.Productos de la etapa justificación ¤  Matriz de Riesgos ¤  Plan General de Auditoría de Informática ¤  Estimar el tiempo que le llevará el auditar cada área determinada en la Matriz de Riesgos ¤  Analizar y definir cuales serán los aspectos o componentes más relevantes a evaluar ¤  Asignar prioridades a cada área a evaluar o revisar en conjunto con los principales involucrados en el proyecto ¤  Definir fechas estimadas de Inicio y Terminación por área de Revisión.

.

Etapa de Desarrollo 40 .

41 .

Diagnostico preliminar .

Qué produce su empresa y cómo lo produce? .

instalada metas Parámetros de satisfacción incidencia 11-1 .Visión sistémica OBJETIVOS P R OC E S O S INSUMOS PRODUCTOS METAS USUARIOS ENTORNO • COMUNIDAD • AMBIENTE Materiales Ordenes Recursos Dinero Tareas Resultados Rechazos Desperdicios productos Tiempos c.

¿Cuáles son los factores que afectan a su empresa? .

Factores del entorno próximo y remoto de la organización Gobierno Sociedad Entorno Próximo Competidores Leyes Proveedores Entidad Clientes Entorno Remoto Tecnología Economía Política .

Determine los factores de entorno próximo y remoto de la empresa . Determine la visión sistémica de la empresa 2.Trabajo grupal: 1.

¿Cuál es el propósito de su organización? .

no necesariamente permite obtener ventajas competitivas o diferenciar 49 .Propósito ¤ Todo sistema organizacional tiene un Propósito ¤  El propósito de la organización guía o inspira.

el deber ser. independientemente del éxito o fracaso” 50 .Misión ¤  El propósito del sistema organizacional lo expresa su MISION “Es la razón de ser.

Misión ¤  La misión debe responder a la pregunta ¿por qué existimos en la comunidad? 51 .

y hasta que las condiciones competitivas obliguen a ajustar la razón de ser de la organización.Características de la Misión ¤  La declaración de Misión debe ser: ¤  Amplia ¤  Fundamental y duradera ¤  Estable durante muchos años Sin importar quiénes gestionan la organización. 52 .

53 .Características de la Misión ¤  Corta ¤  Fácil de entender ¤  Sin palabras técnicas .

54 .Características de la Misión ¤  Corta ¤  Memorable ¤  Fácil de recordar .

Características de la Misión ¤  Corta ¤  Memorable ¤  Inspiradora ¤  Clientes internos. externos y proveedores 55 .

56 .Características de la Misión ¤  ¤  ¤  ¤  Corta Memorable Inspiradora Hable de nuestra empresa ¤  Personalizada ¤  Determinar cual es mi valor agregado ¤  ¿Por qué soy diferente? ¤  ¿Por qué tienen que escogerme a mi? .

Características de la Misión ¤  ¤  ¤  ¤  ¤  Corta Memorable Inspiradora Hable de nuestra empresa Hable al mercado ¤  ¿Cómo yo le agrego valor a mi cliente? 57 .

58 .  La oferta que hace a los Clientes 3.  Las características distintivas de su oferta.  La finalidad de la organización ( PARA QUE EXISTE) 2.Estructura de la Misión La Misión de una Organización debe señalar: 1.

relajado Características dist y refinado 59 .Ejemplos de la Misión a) Empresa de capacitación online en gestión Nuestra Misión es Mejorar el desempeño de los equipos de trabajo optimizando su capacidad de gestión utilizando tecnologías de punta Finalidad Oferta Características distintivas b) Hotel Nuestra Misión es infundir bienestar y reanimar los sentidos de nuestros huéspedes Finalidad proporcionándoles un servicio personal fino y las mejores instalaciones Oferta para que disfruten de un ambiente cálido.

mediante procesos de enseñanza aprendizaje bilingües. participativos y en contacto con la comunidad Finalidad Oferta Características distintivas 60 .Ejemplos de la Misión c) Colegio Nuestra Misión es educar a nuestros alumnos para que desempeñen eficazmente en el mundo social. laboral y académico y colaboren al desarrollo de una sociedad democrática en continuo proceso de cambios e interdependencia global.

T Nuestra Misión es generar valor al negocio de nuestros Clientes. optimizando la calidad de atención. la productividad y los resultados Finalidad Oferta mediante servicios de tecnología de información y comunicaciones Características Ejecutados con estándares de clase mundial.Ejemplos de la Misión d) Empresa de servicios I. distintivas .

Plantee la misión de la empresa sobre la cual va a trabajar y proponga una nueva basada en lo visto en clases .Trabajo grupal: 3.

¿Hacia donde se dirige su empresa? .

Visión “Es un sueño realizable o alcanzable a largo plazo” Es una declaración que define los propósitos de la organización de mediano y largo plazo (3 a 10 años 64 .

Características de la Visión ¤  Futurista ¤  Señalar las percepciones que la empresa desea que el mundo tenga de ella ¿cuál es la imagen futura que queremos proyectar de nuestra empresa? ¿cuáles son nuestros deseos o aspiraciones? ¿hacia dónde nos dirigimos? ¿hacia dónde queremos llegar? 65 .

Características de la Visión ¤  Futurista ¤  Audaz ¤  Expresarse en términos atractivos y visionarios 66 .

Características de la Visión ¤  Futurista ¤  Audaz ¤  Expresarse en términos atractivos y visionarios ¤  Clara y visible ¤  Orientarse al mercado 67 .

Tipos de Visión ¤  Cualitativas 68 .

Tipos de Visión ¤  Cualitativas ¤  Competitivas 69 .

Tipos de Visión ¤  Cualitativas ¤  Competitivas ¤  Superlativas 70 .

” 71 .Ejemplos de la Visión “Ser el mayor distribuidor a nivel nacional de teléfonos celulares.

guiada por la integridad. el trabajo en equipo y la innovación de nuestra gente”. Ser el mejor significa proveer calidad excepcional. McDonald’s: “Ser el mejor restaurante de comida rápida en el mundo. higiene y valor. servicio. 72 . de manera tal que hagamos que cada cliente en cada restaurante sonría”. Nosotros lograremos el entusiasmo de nuestros clientes a través de la mejora continua de nuestros productos.Ejemplos de la Visión General Motors: “Ser el líder mundial en productos y servicios relacionados al transporte.

Wal-Mart: “Ser el más eficiente operador multiformato de bajo costo.Ejemplos de la Visión Samsung: “Liderar la revolución de la convergencia digital”. 73 . ofreciendo a los clientes el mejor valor por su dinero”.

Plantee la visión de la empresa sobre la cual va a trabajar y proponga una nueva basada en lo visto en clases .Trabajo grupal: 4.

¿Cómo trabaja su empresa? .

Valores “Principios básicos de comportamiento esperado de las personas de una organización” Expresan Cómo debe ser manejada la organización 76 .

Características de los Valores ¤  Manera distintiva de actuar ¤  Propósito obtener la identidad organizacional ¤  Trasciende a cada uno de los integrantes de la organización 77 .

Trabajo grupal: 5. Plantee los valores de la empresa sobre la cual va a trabajar y proponga nuevos basado en lo visto en clases .

DAFO o WSOT .Qué es FODA.

¿Qué debe hacer la empresa con las Fortalezas? .

Fortalezas “Lo que hacemos bien que nos brinda una ventaja competitiva con respecto a los demas”. Representan los principales puntos a favor con los que cuenta la empresa o institución. 81 .

¿Qué debe hacer la empresa con las Debilidades? .

Provocan una posición desfavorable frente a la competencia en cuanto a limitaciones relacionadas con potencial humano.Debilidades “Problemas internos que bajan el rendimiento competitivo con respecto a los demas”. capacidad de procesos o finanzas 83 .

¿Qué debe hacer la empresa con las Oportunidades? .

85 .Oportunidades “Condiciones en el ambiente externo que pueden ser favorables” Son eventos o circunstancias que se espera que ocurran o puedan inducirse a que ocurran en el mundo exterior y que podrían tener un impacto positivo en el futuro de la empresa.

¿Qué debe hacer la empresa con las Amenazas?

Amenazas
Condiciones en el ambiente externo que pueden ser desfavorables.

Son eventos o circunstancias que pueden ocurrir en el mundo exterior y que pudieran tener un impacto negativo en el futuro de la empresa, aparecen en las mismas categorías que las oportunidades.

87

Tarea . AI(Paralelo) _TA#
¤  Tema:
¤  Buscar 3 misiones y visiones que se aplique lo visto en clase ¤  Análisis FODA ¤  En base al texto dado.
¤  ¤  Realizar un resumen del mismo Realizar FODA para la organización

¤  Entrega: ¤  Fecha de entrega: lunes, 10 de junio 2013 – 17:00 ¤  Arial 11, espaciado simple ¤  Tres hojas Referencia bibliográfica http://manuelgross.bligoo.com/comohacer-un-analisis-foda

88

¿Qué es una matriz de riesgo?

¤  Permite evaluar la efectividad de una adecuada gestión y administración de los riesgos ¤  La forma en que impactan a los resultados y por ende al logro de los objetivos de una organización. 90 .Matriz de riesgo ¤  Herramienta de control y de gestión ¤  Utilizada para identificar: ¤  Las actividades relevantes de la empresa ¤  El tipo y nivel de riesgos inherentes de las actividades ¤  Los factores exógenos y endógenos relacionados con los riesgos.

Objetivo de matriz de riesgo ¤  Detectar las áreas de mayor riesgo que existen en relación a Informática y que requieren una revisión de manera formal y oportuna. 91 .

áreas.Características de matriz de riesgo ¤  Herramienta flexible que documenta los procesos. procesos o actividades. productos. ¤  Permite hacer comparaciones objetivas entre proyectos. 92 . ¤  Evalúa de manera integral el riesgo de una institución ¤  Realiza un diagnóstico objetivo de la situación global de riesgo de una entidad.

Fases de matriz de riesgo ¤  Identificación objetivos estratégicos del negocio ¤  Analizar los objetivos estratégicos del negocio ¤  Identificar las procesos que se relacionan con los objetivos 93 .

Pasos para realizar Objetivos .

oirás o sentirás cuando alcances tu objetivo? ¤  ¿Cuánto tiempo necesitarás para alcanzarlo? ¤  ¿Cuándo quieres alcanzarlo? 95 . El objetivo debe ser expresado en positivo ¤  ¿Qué es lo que quieres? ¤  ¿Qué quieres en lugar de lo que tienes? ¤  ¿Qué preferirías tener? 2.Siete pasos 1. El objetivo tiene que ser específico y medible ¤  ¿Qué es exactamente lo que verás.

Siete pasos 3. Decide cómo y cuándo medirás el avance en el cumplimiento ¤  ¿Cómo medirás tu progreso hacia el objetivo? ¤  ¿Con cuánta frecuencia medirás tu progreso? ¤  ¿Cómo sabrás que has logrado el objetivo? ¤  ¿Cómo verificarás que estás en el camino correcto hacia el objetivo? 96 .

Organiza los recursos que necesitarás durante la travesía hacia el logro del objetivo ¤  ¿Qué recursos (objetos. modelos. cualidades) vas a necesitar para alcanzar tu objetivo? ¤  ¿De cuales dispones ya? ¤  ¿Dónde encontrarás los otros? 97 . personas. tiempo.Siete pasos 4.

Siete pasos 5. Se proactiva/o ¤  ¿Hasta qué punto controlas el cumplimiento de ese objetivo? ¤  ¿Qué harás para alcanzarlo? ¤  ¿Qué puedes ofrecer a los demás de tal modo que se interesen por ayudarte? 98 .

dinero y oportunidad? ¤  ¿A qué podrías tener que renunciar? ¤  ¿Cómo quedará afectado el equilibrio entre los diferentes aspectos de tu vida cuando alcances ese objetivo o durante su consecución? 99 . Presta atención al impacto de las consecuencias más allá de ti misma/o ¤  ¿Cuáles son las consecuencias para otras personas importantes? ¤  ¿Puedes mirar su impacto en ellas poniéndote en su lugar? ¤  ¿Cuál es el costo en tiempo.Siete pasos 6.

sobre todo si es a largo plazo. alcanzables. Elabora un Plan de Acción ¤  Un objetivo. puede parecer intimidador. cada uno de ellos claramente tangibles. 100 .Siete pasos 7. Tu GPS que te indica claramente tu posición en el viaje. Es el mapa de tu viaje. El Plan de Acción fracciona el objetivo en pasos pequeños.

3 2 1 0 Escala para medir el nivel de contribución que afecta el cumplimiento del objetivo estratégico. 101 . No aporta en el cumplimiento del objetivo estratégico.Fases de matriz de riesgo ¤  Identificación objetivos estratégicos del negocio. El Proceso aporta de manera menor en el cumplimiento del objetivo estratégico. Clasificación de Nivel Alto Medio Bajo Nulo Descripción de nivel de contribución Valor El Proceso aporta de manera fundamental en el cumplimiento del objetivo estratégico El Proceso aporta de manera importante en el cumplimiento del objetivo estratégico.

Medio (2). Bajo (1). Bajo (1). Nulo (0) Alto (3). Medio (2). Medio (2). Nulo (0) …………. Nulo (0) Promedio aritmético Proceso n z Esquema de relación y priorización de procesos relevantes en la institución en relación a los objetivos estratégico 102 . Bajo (1). Bajo (1). Nulo (0) X Y …………… Alto (3). Bajo (1). Nulo (0) Alto (3). Bajo (1). Nulo (0) Alto (3).0) Alto (3). Nulo (0) Alto (3). Medio (2). Medio (2). Medio (2). Medio (2). Alto (3). Bajo (1).. Medio (2). Medio (2). Nulo (0) Alto (3). Bajo (1). Medio (2). Alto (3).0 – 3.Fases de matriz de riesgo ¤  Identificación objetivos estratégicos del negocio. Objetivos Procesos institucionales Proceso 1 Proceso 2 Proceso 3 Proceso n… Objetivo Estratégico 1 Objetivo Estratégico 2 Objetivo Estratégico 3 Objetivo Estratégico n Nivel de contribución promedio del proceso al cumplimiento de los objetivos Promedio aritmético Proceso 1 Promedio aritmético Proceso 3 Proceso seleccionado (2. Nulo (0) Alto (3). Medio (2). Medio (2). Nulo (0) Alto (3). Bajo (1). Bajo (1). Nulo (0) ………. Bajo (1). Bajo (1). Nulo (0) ………… Alto (3).

Fases de matriz de riesgo ¤  Identificación objetivos estratégicos del negocio ¤  Identificar riesgos ¤  Se debe seguir el ciclo de administración de riesgo 103 .

Riesgo .Oportunidad Administración de Riesgo .

Administración de riesgo
Aceptación o rechazo del riesgo residual se realiza la determinación de las acciones a seguir respecto: ¤  Controlar el riesgo.- fortaleciendo los controles existentes o agregar nuevos controles. ¤  Eliminar el riesgo.- Se elimina el activo relacionado ¤  Compartir el riesgo.- mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informática). ¤  Aceptar el riesgo, determinando el nivel de exposición.

105

Fases de matriz de riesgo
¤  Identificación objetivos estratégicos del negocio ¤  Identificar riesgos ¤  Valorizar riesgo

106

Fases de matriz de riesgo

Insignificante Baja Media Moderada Alta

1 2 3 4 5
107

Fases de matriz de riesgo ¤  Identificación objetivos estratégicos del negocio ¤  Identificar riesgos ¤  Valorizar riesgo ¤  Identificar y valorizar controles 108 .

Controles claves aplicados en forma constante sólo cuando ha transcurrido un periódico específico de tiempo Controles claves que se aplican sólo en forma ocasional en un proceso. en cada operación. es decir.Clasificación del Control   Periodicidad en la acción del control (PD): Clasificación Permanente (Pe) Periódico (Pd) Ocasional (Oc)   Descripción Controles claves aplicados durante todo el proceso.     .

Controles claves que actúan durante el proceso y que permiten corregir las deficiencias. Controles claves que sólo actúan una vez que el proceso ha terminado.Clasificación del Control Oportunidad de la acción del control (O)   Clasificación Preventivo (Pv) Correctivo (Cr) Detectivo (Dt)   Descripción Controles claves que actúan antes o al inicio de un proceso.   .

Están incorporados en los sistemas informatizados Controles claves incorporados en el proceso. Controles claves incorporados en el proceso. cuya aplicación es parcialmente aplicada mediante sistemas informatizados. cuya aplicación es completamente informatizada.Clasificación del Control Automatización en la aplicación del control (A):   Clasificación 100% automatizado (At)   Descripción Controles claves incorporados en el proceso. cuya aplicación no considera uso de sistemas informatizados   Semi – automatizado (Sa) Manual (Ma) .

. Alto (3). Medio (2). Medio (2). Medio (2). Ninguno (0) ………… Promedio aritmético Control n Ninguno Bajo Medio Alto Destacado 0 2 3 4 5 112 . Ninguno (0) Control 2 Control 3 Control n… …………… Destacado (4). Destacado (4). Alto (3).Fases de matriz de riesgo Objetivos Procesos institucionales Control 1 Objetivo Estratégico 1 Objetivo Estratégico 2 Objetivo Estratégico 3 Objetivo Estratégico n Nivel de efectividad promedio del control al cumplimiento de los objetivos Promedio aritmético control 1 Promedio aritmético control 2 Destacado (4). Ninguno (0) Destacado (4). Medio (2). Bajo (1). Alto (3). Ninguno (0) Destacado (4). Ninguno (0) ………. Medio (2). Ninguno (0) Destacado (4). Ninguno (0) Destacado (4). Bajo (1). Alto (3). Ninguno (0) Destacado (4). Bajo (1). Bajo (1). Alto (3). Alto (3). Bajo (1). Medio (2). Alto (3). Medio (2). Medio (2). Alto (3). Bajo (1). Bajo (1). Ninguno (0) Destacado (4). Bajo (1). Ninguno (0) Destacado (4). Medio (2). Medio (2). Medio (2). Alto (3). Bajo (1). Bajo (1). Ninguno (0) ………… Destacado (4). Alto (3). Bajo (1). Alto (3). Destacado (4). Ninguno (0) …………. Alto (3). Medio (2). Bajo (1).

Fases de matriz de riesgo ¤  Identificación objetivos estratégicos del negocio ¤  Identificar riesgos ¤  Valorizar riesgo ¤  Identificar y valorizar controles ¤  Calcular riesgo residual 113 .

Fases de matriz de riesgo 114 .

Preguntas revisión bibliográfica .

  Metodologías propuestas cuales son? 6.  Diferencias entre las metodologías 7.Revisión Bibliográfica 1.  Sobre la pirámide de Contramedida defina que son herramientas 9. 1.  Plan de contingencia 5.  Según el autor cual es la mejor recomendación en lo que respecta a metodología 116 .  LOPD 4.  Describa la metodología PRIMA 10.  Sobre la pirámide de Contramedida defina Normativa y organización 3.  Basado en la lectura Defina según sus palabras lo que es metodología 8.  Basado en la lectura Defina según sus palabras lo que es método 2.

1. visitas y de Aplicación Cuestionarios? 3.  ¿Cuáles serían las actividades principales en Concertar fechas de entrevistas.Revisión Bibliográfica 2.  ¿Cuáles serían las actividades a realizar en la etapa de desarrollo? 2.  ¿Cuáles serían las actividades principales en Efectuar visitas de verificación? 4.  ¿Cuáles serían las tareas principales en Revisión del informe preliminar? 117 .

Revisión Bibliográfica 3a.  Analice el por que del grado de importancia en el análisis preliminar. 1.  ¿Qué nos garantiza usar un método? 3.  Enumere 3de los aspectos complementarios que son la base para el éxito de una auditoría 4.  ¿De que dependen los resultados pobres o exitosos de los auditores informáticos según el autor? 2. de la siguiente tabla 118 .

  ¿Enumere los productos terminados de la etapa de Justificación? 3.Revisión Bibliográfica 3b. de la siguiente tabla 119 . 1.  Enumere 4 ventajas de usar un proceso metodológico 4.  ¿Para el desarrollo exitoso AI depende de un conjunto de factores enumere 4? 2.  Analice el por que del grado de importancia en el análisis preliminar.

1. por qué <.  Se pueden incluir otras normas ISO del sistema de gestión.Revisión Bibliográfica 4a.  Según el autor implementar la Ciberseguridad sin un marco referencial seria: 3. 120 .  A qué se deben los beneficios obtenidos por ISO 4.  Qué Marco referencial serviria de apoyo a la ISO 27001 2.

propuestos por el autor? 2. 1.  ¿Enumere y describa al cuatro marcos referenciales mas conocidos.  Por que son importantes los estandares internacionales ISO para las organizaciones 121 .  Cuál es el futuro para la ISO 9000 4.Revisión Bibliográfica 4b.  Si se busca garantizar la disponibilidad del servicio que marco es recomendable 3.

122 . 6-7 1.  Cuales serian las principales actividades que se deben realizar en un plan de auditoria.  ¿Qué debe conocer el auditor informático del negocio? 2.  Qué áreas o entidades apoya el area informatica 3.  Por qué es importante determinar los servicios que presta el área informatica 4.  A que se refiere con conocer los aspectos de control 5.Revisión Bibliográfica 5a.  Que es una matriz de riesgo 8.  Cual es la finalidad de realizar un estudio de la etapa preliminar 6.  Cuales son los productos terminados del area de justificación 7.

Tarea . espaciado simple ¤  Dos hojas máximo ¤  5 referencias bibliográficas 123 . 3 de Junio 2013 – 17:00 ¤  Arial 11. AI(Paralelo) _TA# ¤  Tema: ¤  Que es una auditoría de primer orden ¤  Qué Es una auditoría de segundo orden ¤  Que es una auditoría de tercer orden ¤  Todas las normas ISO son certificables? cuáles ¤  Entrega: ¤  Fecha de entrega: lunes.

AI(Paralelo) _TA# ¤  Tema: ¤  Metodologías de desarrollo de software (mínimo 4) ¤  ¤  ¤  ¤  Definición Características Limitaciones Analizar diferencias entre ellas ¤  Entrega: ¤  Fecha de entrega: lunes.Tarea . 27 de mayo 2013 – 17:00 ¤  Arial 11. espaciado simple ¤  Dos hojas ¤  5 referencias bibliográficas 124 .

13 de junio 2013 – 17:00 ¤  Arial 11. AI(Paralelo) _TA# ¤  Tema: ¤  Elaborar 2 preguntas del opción múltiple sobre tema expuesto ¤  Entrega: ¤  Fecha de entrega: Jueves.Tarea Grupal 3. espaciado simple 125 .

20 de junio 2013 – 17:00 ¤  Arial 11. AI(Paralelo) _TG# ¤  Tema: ¤  Avance 1 ¤  ¤  Etapa de diagnóstico preliminar Etapa de justificación ¤  Entrega: ¤  Fecha de entrega: jueves. espaciado simple 126 .Tarea Grupal Aplicación auditoría Inf.

Contenido Avance 1 ¤  Elementos estratégicos de la organización ¤  Misión ¤  Visión ¤  Valores ¤  Conocimiento del negocio ¤  Visión sistémica ¤  Elementos referidos a las leyes. normas y dictámenes ¤  Entorno Remoto ¤  Elementos sobre el entorno ¤  Relación entre las diversas áreas del negocio ¤  Entorno próximo ¤  FODA . reglamentos.

Contenido Avance 1 ¤  Elementos referidos al diseño organizacional ¤  FODA ¤  Elementos referidos a los Recursos humanos ¤  Visión sistémica (procesos) ¤  Clientes internos ¤  Elementos de sistema de información ¤  Diagnóstico informática – conocimiento informática ¤  Elementos ambiente de control y gestión de riesgo ¤  Matriz de riesgo ¤  Elementos referentes a los recursos financieros (estados financieros) .