Professional Documents
Culture Documents
UPC 2010 02
UPC 2010 02
El Capital de Informacin
Infraestructura
Tecnolgica
Bases de datos
UPC 2010 02
Amenzas de
origen social
Divulgacin no autorizada
de informacin confidencial
Alteracin no autorizada de
informacin.
Bases de datos
Infraestructura
Tecnolgica
Violacin de derechos de
propiedad
Gestin deficiente de la
tecnologa
Amenazas de
origen tecnolgico
Inoperatividad de tecnologa
Virus, worms, spyware
Ataques de hackers.
Saturacin de servicios
Spam
Sistemas de
Informacin
Amenazas de
origen natural
UPC 2010 02
Terremotos
Inundaciones
Incendios
Nivel de Madurez
Calidad:
Continuo control de la calidad y consolidacin
Alineacin
del Negocio TI
P
D
Mejoras
de calidad
efectivas
Definicin de Auditora
Mejoras continuas
paso a paso
UPC 2010 02
Auditoria de
Sistemas /
Control Interno
Contenido
Una opinin
Condicin
Profesional
Justificacin
Objeto
Finalidad
Escala de Tiempo
UPC 2010 02
UPC 2010 02
Clases de Auditora
Clases de Auditora
Algunos ejemplos:
Contenido
Objeto
Finalidad
Financiera
Opinin
Cuentas anuales
Presentan realidad
Informtica o
de Sistemas
Opinin
Sistemas de informacin,
recursos informticos, planes
de contingencia, etc.
Operatividad eficiente y
segn normas establecidas
Gestin
Opinin
Direccin
Eficacia, eficiencia.
Cumplimiento
Opinin
Normas establecidas
Ejemplo
Financiera
Informtica o
de Sistemas
Gestin
Cumplimiento
UPC 2010 02
Procedimientos de Auditora
10
Definicin de Consultora
UPC 2010 02
UPC 2010 02
11
Condicin
De carcter especializado
Justificacin
Objeto
Finalidad
UPC 2010 02
12
La Auditora de Sistemas
Y la auditora de Sistemas?.
UPC 2010 02
13
UPC 2010 02
Mala toma de
decisiones
Uso indebido de la
tecnologa
Proteccin de la
inversin en
tecnologa y personal
Errores en
procesamiento de la
informacin
Confidencialidad y
privacidad
Factores que influencian hacia el control y auditora del uso de las computadoras
Costos por
prdida de
datos
Costos por
Costos por
mala toma de mal uso de
decisiones
tecnologa
Valor de
hardware,
software y
personal
ORGANIZACIONES
Auditora y control de
sistemas de Informacin
UPC 2010 02
14
15
UPC 2010 02
16
Proteccin
de activos
Integridad
de datos
Efectividad
de sistemas
Eficiencia de
Sistemas
ORGANIZACIONES
Proteccin de
activos
Asegurar integridad
de datos
Mejorar efectividad
de sistemas
Mejorar eficiencia
de sistemas
UPC 2010 02
17
UPC 2010 02
18
ISACA
UPC 2010 02
19
UPC 2010 02
20
Riesgos de Tecnologa
Amenzas de
origen social
Divulgacin no autorizada
de informacin confidencial
Alteracin no autorizada de
informacin.
Infraestructura
Tecnolgica
Bases de datos
Amenazas de
origen tecnolgico
Violacin de derechos de
propiedad
Sistemas de
Informacin
Sabotaje / Terrorismo
Amenazas de
origen natural
Terremotos
Inundaciones
Incendios
Inoperatividad de tecnologa
Virus, worms, spyware
Ataques de hackers.
Saturacin de servicios
Spam
UPC 2010 02
21
Costos por
prdida de
datos
Costos por
Costos por
mala toma de mal uso de
decisiones
tecnologa
22
Tipos de Controles
UPC 2010 02
ORGANIZACIONES
Auditora y control de
sistemas de Informacin
23
UPC 2010 02
24
Control activities
Information &
communication
Risk assessment
Control
environment
UPC 2010 02
25
UPC 2010 02
Controles Generales de IT
Controles de aplicacin:
Se requieren para asegurar un procesamiento confiable de la informacin y
se aplican sobre transacciones individuales. Estos controles aseguran que
las transacciones sean vlidas, autorizadas y se registren apropiadamente.
UPC 2010 02
26
27
UPC 2010 02
28
Controles de Aplicacin
Controles sobre
Controles sobre
Controles sobre
Controles sobre
UPC 2010 02
29
UPC 2010 02
Standing Data
30
El Proceso de Auditora
UPC 2010 02
31
UPC 2010 02
32
Planeamiento de la Auditora
Planeamiento de la Auditora
33
Planeamiento de la Auditora
Fuentes de informacin:
informe y papeles de trabajo de auditoras anteriores
observacin de las instalaciones
entrevistas con personal de TI
documentos del cliente (plan estratgico de TI, plan del negocio,
documentacin de sistemas, etc.)
Necesidad de otros especialistas como ayuda a la auditora:
en caso de riesgos significativos detectados (sistemas, equipamiento,
procedimientos, seguridad de informacin, etc.),
por solicitud expresa del cliente
cuando existe considerable desarrollo interno de sistemas
en caso de existir planes de cambios importantes en infraestructura o
aplicativos.
UPC 2010 02
34
Planeamiento de la Auditora
UPC 2010 02
35
UPC 2010 02
36
El Proceso de Auditora
PLANNING
EVALUATION OF
INTERNAL CONTROLS
No: No reliance on
controls
Substantive testing
Report
UPC 2010 02
37
UPC 2010 02
38
UPC 2010 02
39
UPC 2010 02
40
10
UPC 2010 02
41
UPC 2010 02
42
La carta de presentacin.
Propsito de la auditora y eventuales salvedades (disclaimers)
Qu sistemas fueron revisados
Contenido del informe detallado
Con quin se revis el informe
Opinin de la auditora realizada.
Indicacin de las observaciones includas en el informe detallado.
Agradecimiento a la empresa.
43
UPC 2010 02
44
11
UPC 2010 02
45
UPC 2010 02
46
UPC 2010 02
47
UPC 2010 02
48
12
Infraestructura Tcnica de TI
Procesamiento
Minicomputadoras /
Mainframes
Servidores Intel: de torre, de
rack, blades
Almacenamiento
SAN
NAS
Unidades externas de disco
Almacenamiento interno
Seguridad
Firewalls
IDSs
VPNs
Tokens
Unidades de respaldo de
datos
Antivirus
SW de backup
Filtros de contenido
Antispam
Computo Personal
Software de Base
PCs
Notebooks
PDAs
Impresoras personales y
departamentales
Sistemas Operativos:
Windows 2003 Server, AIX,
Linux, etc.
Base de datos: Oracle, DB2,
SQL Server, Sybase, etc.
Correo electrnico:
Exchange, Notes.
Servidores de aplicaciones.
Servidores Web
UPC 2010 02
49
50
UPC 2010 02
UPC 2010 02
51
UPC 2010 02
52
13
UPC 2010 02
53
54
55
UPC 2010 02
56
14
UPC 2010 02
57
UPC 2010 02
58
59
UPC 2010 02
60
15
UPC 2010 02
61
UPC 2010 02
62
UPC 2010 02
63
UPC 2010 02
64
16
UPC 2010 02
65
UPC 2010 02
66
UPC 2010 02
67
UPC 2010 02
adecuadamente
los
68
17
69
UPC 2010 02
70
71
UPC 2010 02
72
18
Recoleccin de evidencias
Entrevistas
Se utilizan para adquirir conocimiento de la organizacin, sus
aplicaciones, estructura organizativa, niveles de riesgo de sus sistemas
y nivel de confiabilidad de los controles existentes.
Su puede recopilar informacin cualitativa y cuantitativa
La calidad de las respuestas depende de la seleccin adecuada del
entrevistado y de la percepcin que el entrevistado tenga sobre los
objetivos de la misma. En la medida que estos coincidan con los suyos
propios, el resultado ser mejor.
Debe manejarse el nivel de stress y duracin de las entrevistas.
La entrevista requiere ser preparada con anterioridad, conducida y
registrada adecuadamente y luego procesada la informacin a la
brevedad posible.
Hoja de clculo de
Microsoft Excel
C:\Documents and
Settings\Ronald\Mis doc
UPC 2010 02
73
UPC 2010 02
74
Recoleccin de evidencias
Cuestionarios
Se utilizan para recabar informacin de hechos concretos. Por ejemplo,
si un control existe en determinado sistema.
Deben disearse cuidadosamente: preguntas, escala de respuestas,
estructura y verificar su validez y confiabilidad.
Las preguntas deben ser concretas y motivar respuestas objetivas.
Los resultados deben interpretarse cuidadosamente para llegar a
conclusiones objetivas.
Pueden utilizarse como apoyo para una entrevista. Tambin para
recolectar informacin de ubicaciones fsicamente dispersas.
Hoja de clculo de
Microsoft Excel
UPC 2010 02
75
UPC 2010 02
76
19
UPC 2010 02
77
UPC 2010 02
UPC 2010 02
78
79
UPC 2010 02
80
20
UPC 2010 02
81
UPC 2010 02
82
El Plan de TI debe estar alineado con las estrategias del negocio. (no
con los deseos del staff tcnico)
TI es visto como un generador importante de gastos. Mayores
inversiones/gastos en TI deben hacerse slo cuando pueda
demostrarse un slido caso de negocios.
El plan de TI debe difundirse al personal de Sistemas.
El Plan de TI debe ser aprobado por la Gerencia General
El esfuerzo desplegado en la funcin del planeamiento de TI,
depender del tipo de organizacin, el tamao y de la situacin de la
misma: empresas en un ambiente voltil y operaciones altamente
dependientes de TI requerirn alta concentracin en el planeamiento
para mantener su posicin competitiva en el mercado.
Segn sea el caso, el Auditor debe prestar el debido nivel de
importancia a la revisin de la funcin de planeamiento.
UPC 2010 02
83
UPC 2010 02
84
21
85
UPC 2010 02
86
87
Estructura Organizativa
Comprende la definicin de las unidades de servicio en las cuales se
organiza la funcin de TI para cumplir sus objetivos y la descripcin
formal de roles y responsabilidades de los puestos de trabajo.
La organizacin de TI normalmente se presenta en funcin de las
actividades desarrolladas: desarrollo de sistemas, produccin de
sistemas, comunicaciones, base de datos, etc.
Sin embargo, esta organizacin puede variar grandemente
dependiendo de las particularidades de la empresa: tamao,
descentralizacin de la funcin de sistemas, etc.
El auditor debe evaluar dos aspectos principales: primero, deben
existir definiciones formales y claras de las responsabilidades de cada
puesto; adicionalmente, el personal debe conocerlas y comprenderlas
cabalmente. Segundo, la definicin de puestos de trabajo debe
preservar en lo posible la separacin de funciones. Ej: un
programador no puede administrar la base de datos, esto originara
inevitablemente modificaciones no autorizadas de programas.
Evidencia: Organigrama, Manual de organizacin y funciones, etc.
UPC 2010 02
88
22
UPC 2010 02
89
UPC 2010 02
90
UPC 2010 02
91
UPC 2010 02
92
23
UPC 2010 02
93
24