Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas
Agenda Introduccin

Auditora de Sistemas
Jaime E. Daz Snchez Ing. Sistemas C.I.P. 73304 jdiazunt@yahoo.com

Perfil de Auditor reas de inters del Auditor de TI Tipos de Auditoras de TI

Universidad Nacional de Trujillo

Auditora de Sistemas Agenda
Introduccin Concepto de Auditora Clasificacin de las Auditoras Objetivos de las Auditoras Auditora de Sistemas de Informacin Auditora de Tecnologa de Informacin Razones para realizar Auditoras El Perfil del Auditor
3

Universidad Nacional de Trujillo

Auditora de Sistemas Evolucin de la Tecnologa
Desde los 90 hasta hoy
Internet E-Commerce Rpida difusin de la informacin

Rompe paradigmas
Nuevo estndar Internet compatible Prdida de intimidad Seguridad la mayor preocupacin Redes sociales
4

Universidad Nacional de Trujillo

Auditora de Sistemas La Informacin Segn la ISO/IEC 17799:2005: Es un activo, que tal como otros importantes activos del negocio, tiene valor para la compaa y consecuentemente requiere ser protegida

Universidad Nacional de Trujillo

Auditora de Sistemas Donde encontramos informacin?

adecuadamente. Tiene valor estratgico, econmico, legal, etc. para la organizacin.

5 6

Auditora de Sistemas - Pgina 1

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas
Nos espan

Universidad Nacional de Trujillo

Auditora de Sistemas
Concepto de Auditora Segn la ISO 19011:2002: Es un proceso sistmico, obtener independiente Evidencias y de

Nos acechan

Nos acosan

documentado

para

Nos atacan
y qu podemos hacer adems de aplicar defensas?

Auditora y evaluarlas de manera objetiva con el fin de determinar la extensin en que se cumplen

Elemental , mi querido Watson..

los Criterios de Auditora

Analizar la circunstancia!
7 8

Universidad Nacional de Trujillo

Auditora de Sistemas Concepto de Auditora Las Evidencias de Auditora comprenden a

Universidad Nacional de Trujillo

Auditora de Sistemas Concepto de Auditora Los Hallazgos de Auditora son los resultados de la Evidencia de Auditora recopilada frente a los Criterios de Auditora, de tal manera que pueden indicar conformidad con estos u oportunidades de mejora

registros, declaraciones de hechos o cualquier otra informacin pertinente y verificable para los Criterios de Auditora, que son un conjunto de polticas, procedimientos o requisitos.

10

Universidad Nacional de Trujillo

Auditora de Sistemas Concepto de Auditora
Actividad consistente en la emisin de una opinin
Valor hacia el negocio

Universidad Nacional de Trujillo

Auditora de Sistemas Evolucin del enfoque de auditora

profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o

Alineacin con la visin y misin empresarial Econmia, Eficiencia y Eficacia de las operaciones Finanzas y Contabilidad

cumple las condiciones que le han sido prescritas

11

Enfoque en administracin de riesgos

12

Auditora de Sistemas - Pgina 2

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas
Caractersticas
Siempre es un proceso que se realiza a posteriori, en relacin con actividades ya realizadas, sobre las que hay que emitir una opinin: Contenido
Por el Sujeto

Universidad Nacional de Trujillo

Auditora de Sistemas
Clasificacin
Auditora
Por su Contenido y Fines De Gestin Por su Amplitud Por su Frecuencia

Interna

Total

Permanente

Externa

Organizativa

Parcial

Temporal

Operacional

Condicin Justificacin Objeto Finalidad

13

Financiera

Contable

Informtica

Econmica/Socala
14

Universidad Nacional de Trujillo

Auditora de Sistemas Clasificacin
Objeto Auditable
Gestin y Planificacin Desarrollo de Software Hardware Seguridad Global

Universidad Nacional de Trujillo

Auditora de Sistemas Auditora de Sistemas Herramientas y mtodos para establecer criterios que permitan medir la eficacia, eficiencia y

Direccin

Ofimtica

Fsica

conformidad con los objetivos deseados de un

Tcnica de Sistemas Desarrollo Redes

determinado sistema (el control del control)

Calidad Mantenimiento Outsourcing Explotacin

Aplicacin

Base de Datos
15 16

Universidad Nacional de Trujillo

Auditora de Sistemas Objetivos de las Auditoras
Cumplimiento de directivas, polticas, normas,

Universidad Nacional de Trujillo

Auditora de Sistemas Objetivos de las Auditoras
Evaluar los controles establecidos para administrar la infraestructura tecnolgica (aplicaciones, servidores de datos, terminales, impresoras, comunicaciones, etc.) Comprobar la consistencia y confiabilidad de los sistemas

reglamentos y procedimientos de orden gubernamental e institucional para la adquisicin, contratacin e instalacin de bienes y servicios (para el desarrollo de la funcin informtica) Garantizar la seguridad (personas, datos, programas y los equipos) Comprobar el adecuado uso y resguardo de los recursos informticos de la entidad Verificar controles de seguridad fsica y ambiental
17

18

Auditora de Sistemas - Pgina 3

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas
Auditora de Sistemas de Informacin (ASI) Evaluacin de la eficacia, eficiencia, economa y conformidad con los objetivos del Sistema de un Informacin (SI)

Universidad Nacional de Trujillo

Auditora de Sistemas
Objetivos de Eficiencia de la ASI
Un SI efectivo alcanza sus objetivos Estos objetivos dependen de las caractersticas y

necesidades de los usuarios y de los canales y procedimientos de decisin Conocer si el SI utiliza el mnimo de recursos necesarios para obtener las salidas requeridas Medirse considerando el conjunto de procesos y los recursos disponibles
19 20

Universidad Nacional de Trujillo

Auditora de Sistemas Objetivos de Integridad de Datos de la ASI Identificar en el SI (debe tener) los mecanismos que vigilen constantemente el mantenimiento de la integridad de los datos

Universidad Nacional de Trujillo

Auditora de Sistemas Auditora de las Tecnologas de la Informacin (ATI)
Examen objetivo, crtico, sistemtico, eminentemente

posterior y selectivo de las polticas, normas, prcticas, procedimientos y procesos con el fin de emitir una opinin

respecto a la eficiencia en la utilizacin de los recursos

informticos; la confiabilidad, consistencia, integridad y oportunidad de la informacin y la efectividad de los controles en los sistemas de informacin computarizados

21

22

Universidad Nacional de Trujillo

Auditora de Sistemas Qu es la ATI? Examen de carcter objetivo (independiente),

Universidad Nacional de Trujillo

Auditora de Sistemas Razones para realizar una Auditora
Desconocimiento de la situacin informtica de la empresa Descubrimientos de fraudes efectuados con el uso del computador Falta total o parcial de seguridades lgicas y fsicas que garanticen informacin Falta de documentacin o documentacin incompleta de
23

sistemtico (normas), crtico (evidencia), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los recursos informticos

la

integridad

del

personal,

equipos

sistemas

24

Auditora de Sistemas - Pgina 4

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas
Razones para realizar una Auditora
Falta de una planificacin informtica Inadecuadas especificaciones tcnicas Falta de estndares en el anlisis, diseo y programacin Descontento general de los usuarios Nueva tecnologa no usada o usada incorrectamente

Universidad Nacional de Trujillo

Auditora de Sistemas
Para qu evaluar? Saber si los recursos tecnolgicos se utilizan en forma eficiente y en concordancia con los requerimientos del negocio Verificar si se cumple con las polticas

corporativas y con las regulaciones y normas Saber la fortaleza de los controles preventivos, detectivos y correctivos en TI
25 26

Universidad Nacional de Trujillo

Auditora de Sistemas Para qu evaluar? Establecer seguridad lgica a los sistemas Garantizar el acceso al computador slo de personas autorizadas al mismo Seguridad de los sistemas a fin de contar con informacin relevante en el momento preciso

Universidad Nacional de Trujillo

Auditora de Sistemas Para qu evaluar? Asegurar una mayor confidencialidad de la

informacin:
Con caracteres reservados Exclusiva para funcionarios autorizados Acceso de datos e informacin slo a personal autorizado Transacciones realizadas por un usuario queden registradas
27 28

Universidad Nacional de Trujillo

Auditora de Sistemas Para qu evaluar? Mejorar el funcionamiento del Sistema:
Deben ser probados con datos de prueba Deben ser desarrollados dentro de un proceso adecuadamente planificado Entrenamiento y elaboracin de manuales respectivos, que garanticen el buen uso del sistema Mejoramiento de los controles de ingreso, salida,

Universidad Nacional de Trujillo

Auditora de Sistemas Para qu evaluar? Si la informacin de la organizacin cumple con:
Integridad Confidencialidad Disponibilidad Completitud

almacenamiento y procesamiento de los datos

29 30

Auditora de Sistemas - Pgina 5