Diplomado en Auditoría de Sistemas y Seguridad de la Información

Modulo VII: Introducción a la Auditoria de Sistemas Sistemas.

LOGO

AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN

Agenda
Modulo VII: Introducción a la Auditoría de Sistemas 1) Deontología - Compromiso Ético 2) Importancia y Objetivos de la Auditoria. 3) Motivos para efectuar una auditoria de Sistemas. 4) Alcance de la Auditoria de Sistemas ) 5) Perfil del Auditor de TI y sus áreas de Interés. 6) Proceso de la Auditoria: Planeación, Ejecución, Informe, Seguimiento.

UNIVERSIDAD NACIONAL DE PIURA

C D t l í Compromiso Éti i Ético UNIVERSIDAD NACIONAL DE PIURA .AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN Deontología .

Principio de Confianza. 2. Principio de Criterio Propio.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN PRINCIPIOS DEONTOLOGICOS 1. 1 Principio de beneficio del auditado auditado. p 8. 4. UNIVERSIDAD NACIONAL DE PIURA . 7. 5. Principio de Calidad. Principio de Capacidad. Principio de Cautela. Principio de Comportamiento Profesional. 6. Principio de Concentración en el Trabajo. 3.

UNIVERSIDAD NACIONAL DE PIURA . Principio de Formación Continuada. 11. 16. Principio de Fortalecimiento y respecto a la profesión. 10. Principio de Economía. p p p 13. Principio de Legalidad. Principio de Información suficiente.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN PRINCIPIOS DEONTOLOGICOS 9. Principio de Independencia. 12. Principio de Integridad Moral. 9 Principio de Discreción Discreción. 15. 14.

22. 18. 19. Principio de Precisión. Principio de No Injerencia. … 25 P i i i d V id d UNIVERSIDAD NACIONAL DE PIURA . p 21. 24. Principio de Publicidad Adecuada. Principio de No Discriminación. Principio de Servicio Público. 25. 20. 23. Principio de Responsabilidad. Principio de Veracidad.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN PRINCIPIOS DEONTOLOGICOS 17. Principio de Secreto Profesional. 17 Principio de Libre Competencia Competencia.

AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN IMPORTANCIA Y OBJETIVOS DE LA AUDITORIA DE SISTEMAS UNIVERSIDAD NACIONAL DE PIURA .

que tiene la virtud de oir y revisar. ES EL EXAMEN MEDIANTE EL CUAL SE REVISA QUE SE CUMPLA CON LO PREESTABLECIDO. PREESTABLECIDO UNIVERSIDAD NACIONAL DE PIURA .AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN ¿QUE ES LA AUDITORIA? La l b L palabra auditoria viene d l l tí “ dit i ” y d esta dit i i del latín “auditorius” de t proviene la palabra “auditor”.

b) La confiabilidad. normas prácticas. consistencia. integridad y oportunidad de la información. prácticas procedimientos y procesos con el fin de emitir una opinión respecto a: a) La eficiencia en la utilización de las tecnologías de información. p ). UNIVERSIDAD NACIONAL DE PIURA . crítico (evidencia).AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN ¿QUE ES LA AUDITORIA DE SISTEMAS? Examen objetivo j ( (independiente). políticas normas. sistemático (normas). eminentemente posterior y selectivo (muestras) de las políticas. y c) La efectividad de los controles en los sistemas de información computarizados.

i t Evaluar los procesos del Área de Sistemas (Informática. UNIVERSIDAD NACIONAL DE PIURA . Verificar y juzgar la utilidad y oportunidad de la información que se gestiona a través de los sistemas. eficacia y economía de las tecnologías de información información.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN ¿POR QUE ES IMPORTANTE LA AUDITORIA DE SISTEMAS? Verificar la implementación de controles. Evaluando su efectividad y presentando recomendaciones a la Gerencia. así como el grado de eficiencia. Tecnologías de Información).

Salvaguardar activos de la Destrucción. Uso de recursos eficientemente en el procesamiento de la información. UNIVERSIDAD NACIONAL DE PIURA . Contribución de la función del área de sistemas a las metas organizacionales. Uso no autorizado de recursos (Información y equipos). Confiabilidad de la información. Oportunidad de los datos. Mantener integridad de la Información (Precisión de los datos). Robo de información.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN ¿POR QUE ES IMPORTANTE LA AUDITORIA DE SISTEMAS? Proceso de recolección y evaluación de evidencia: Daños internos y/o externos.

AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN OBJETIVOS DE LA AUDITORIA DE SISTEMAS Verificar el cumplimiento de políticas. contratación e instalación de servicios para el desarrollo de la función informática). Sistemas UNIVERSIDAD NACIONAL DE PIURA . Determinar el Grado de confiabilidad y privacidad del ambiente con el que cuenta el área de Sistemas. ) Comprobar el adecuado uso y resguardo de los recursos que se utilizan en l l tili los sistemas d l i t de la entidad. normas y procedimientos (adquisición.

g ambiental. Evaluar l controles establecidos para administrar E l los t l t bl id d i i t la infraestructura tecnológica (servidores de datos. redes de comunicación.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN OBJETIVOS DE LA AUDITORIA DE SISTEMAS Verificar el grado de implementación de controles relacionados a la seguridad de: personas. impresoras. información. comunicaciones. Verificar que los Sistemas de información correspondan a los objetivos y necesidades de la entidad. datos. etc. software.). aplicaciones. terminales. hardware. UNIVERSIDAD NACIONAL DE PIURA . así como de la seguridad física y .

Verificar los controles involucrados en la implementación de software. así como en sus procedimientos y manuales de uso. Verificar que las rutinas de cálculo ejecutadas por las aplicaciones se apliquen correctamente correctamente.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN OBJETIVOS DE LA AUDITORIA DE SISTEMAS Comprobar la consistencia y confiabilidad de los sistemas. UNIVERSIDAD NACIONAL DE PIURA .

AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN MOTIVOS PARA EFECTUAR UNA AUDITORIA DE SISTEMAS UNIVERSIDAD NACIONAL DE PIURA .

Descubrimientos de fraudes efectuados con el uso del computador.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN Motivos para efectuar una Auditoria de Sistemas Si t Aumento significativo del presupuesto del área de Sistemas. Desconocimiento de la situación del área de Sistemas en la empresa. equipos e información información. UNIVERSIDAD NACIONAL DE PIURA . Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal .

delegación de autoridad. Falta de documentación o documentación incompleta de sistemas de información. metodología. objetivos. asignación d t t id d i ió de tareas y adecuada d d administración del recurso humano. trabajando con el DIA a DIA. motivado generalmente. Organización que no funciona correctamente correctamente. normas. debido a falta de políticas. estándares. por incumplimiento de plazos y mala calidad de resultados resultados. UNIVERSIDAD NACIONAL DE PIURA . Descontento general de los usuarios.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN Motivos para efectuar una Auditoria de Sistemas Si t Falta de una planificación del área de Sistemas.

AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN Motivos para efectuar una Auditoria de Sistemas Si t Lo que Cuesta VS Lo que Genera UNIVERSIDAD NACIONAL DE PIURA .

AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN ALCANCE DE NA AUDITORIA DE SISTEMAS UNIVERSIDAD NACIONAL DE PIURA .

AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN Alcance de una Auditoria de Sistemas 1.- Evaluar los controles de entrada. sistema UNIVERSIDAD NACIONAL DE PIURA . exactitud. programas. procesamiento y salida Compatibilidad. Los datos procesados estén debidamente autorizados. Integridad en los datos procesados. verificación de seguridad para el acceso a terminales terminales. archivos. datos e información confidencial. Adecuada distribución de las salidas otorgadas por el sistema. rangos específicos.

Controles de claves de acceso.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN Alcance de una Auditoria de Sistemas 2. Controles d t C t l de transacciones mal efectuadas.- Definir los controles que deben implantarse para Garantizar la integridad y confidencialidad de la información: Controles sobre el acceso del usuario. UNIVERSIDAD NACIONAL DE PIURA . Controles de datos ingresados. entre i l f t d t otros.

t de j ) UNIVERSIDAD NACIONAL DE PIURA .- Establecer Recomendaciones a la Gerencia: Informe ( I f (propuesta d mejoras).AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN Alcance de una Auditoria de Sistemas 3.

AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN PERFIL DEL AUDITOR DE SISTEMAS Y AREAS DE INTERES UNIVERSIDAD NACIONAL DE PIURA .

aplicaciones. manejadores d á ti j d de bases de datos.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN PERFIL DEL AUDITOR DE SISTEMAS Los cambios permanentes en la tecnología obligan a que el auditor de sistemas se mantenga al día. sistemas distribuidos. UNIVERSIDAD NACIONAL DE PIURA . comunicaciones y normatividad. Una mentalidad investigativa y Conservar un alto espíritu de imparcialidad. b t d l í buenas prácticas. metodologías. Además de los conocimientos tecnológicos debe tecnológicos. tener: Una despierta curiosidad intelectual. sistemas abiertos. sistemas operativos. capacitándose en aspectos tales como estándares.

o Los estándares de documentación y desarrollo. o La Transferencia Electrónica de Documentos. o El DATA CENTER o Las aplicaciones instaladas y utilizadas en las estaciones de trabajo. o La Red de Comunicaciones y de Datos Datos. o L controles y l seguridad en general. Los t l la id d l o Los archivos maestros y de transacciones. o El acceso a Internet / Intranet / EMAIL. o Los sistemas que se utilizan en las unidades organizacionales de la empresa empresa. o Los Planes del área de Sistemas.AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN AREAS DE INTERÉS DEL AUDITOR DE SISTEMAS o La organización y el personal del área de Sistemas. o Los procesos y procedimientos UNIVERSIDAD NACIONAL DE PIURA .

AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN PROCESO DE LA AUDITORIA DE SISTEMAS UNIVERSIDAD NACIONAL DE PIURA .

AUDITORÍA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIÓN PROCESO DE LA AUDITORIA DE SISTEMAS UNIVERSIDAD NACIONAL DE PIURA .

LOGO .Diplomado en Auditoría de Sistemas y Seguridad de la Información Modulo VII: Introducción a la Auditoria de Sistemas Sistemas.