CIS UNL Ingeniera de sistemas

Auditora Informtica
Captulo IV: Metodologa auditora informtica

Profesor: Jenny Mara Cuenca.

jmcuenca@unl.edu.ec VIII A 20-21, mayo 2013. VIII B 20,23, mayo 2013
1

Captulos restantes
Captulo V: Metodologa y herramientas de la Auditoria informtica Captulo VI: Informe de Auditora Informtica Captulo VII: Principales rea de auditora informtica

Mtodo de trabajo
Revisin material segn el tema del trabajo Inicio de clases se tomar control de lectura Exposicin grupal del tema a tratar
Tiempo de exposicin 30 min Presentar informe del tema tratado

Trabajo prctico grupal

Agenda
Metodologa para la auditora informtica
Planeacin de la auditoria (Grupo 1) Toma de contacto Revisin preliminar Establecer objetivos Determinar punto a evaluar Elaborar plan de auditora Elaborar instrumentos Asignacin de recursos y sistemas

Desarrollo de la auditora (Grupo 2) Fase de diagnstico Realizar acciones programadas Aplicacin de instrumentos Integracin de papeles de trabajo

AMartes, 21 mayo BJueves,23 de mayo

4

Agenda
Herramientas de control.
ISO 19011:2011 (grupo 3) ISO 17799 (grupo 4) ISO 27000 (grupo 5) COBIT (grupo 6) ITIL (grupo 7) ISACA (grupo 8) Lunes, 27 mayo Definicin Caractersticas Importancia Aplicacin

Revisin Bibliogrfica.
Martes, 21 de mayo Piattini Mario, Emilio del Peso Navarro, Auditora Informtica un enfoque prctico; Segunda Edicin, 2001 Captulo III Lunes, 27 de mayo
www.isaca.org http://www.itil-officialsite.com/ http://www.iso.org/

Revisin Bibliogrfica.
AIA Martes, 28 de mayo AIB Jueves, 30 de mayo
Enrique Hernandez Hernandez, "Auditoria informtica un enfoque metodolgico. Capitulo 5: Metodologa para el Desarrollo e Implantacin de la Auditora de Informtica

AIA Lunes, 3 de junio AIB Lunes, 3 de junio

iso_9000_selection_and_use-2009 Ttulo: Ciberseguridad en 9 pasos Subttulo: El manual sobre seguridad de la informacin para el gerente Autor: Dejan Kosutic Publicado por: EPPS Services Ltd, Zagreb Escoger el marco referencial para la implementacin de la ciberseguridad Pag 46-52

Revisin Bibliogrfica.
AIA Martes, 11 de junio AIB Jueves, 13 de junio
Enrique Hernandez Hernandez, "Auditoria informtica un enfoque metodolgico. Capitulo 6 y 7

AIA Lunes, 3 de junio AIB Lunes, 3 de junio

iso_9000_selection_and_use-2009 Ttulo: Ciberseguridad en 9 pasos Subttulo: El manual sobre seguridad de la informacin para el gerente Autor: Dejan Kosutic Publicado por: EPPS Services Ltd, Zagreb Escoger el marco referencial para la implementacin de la ciberseguridad Pag 46-52

Mtodo
Modo de decir o hacer con orden una cosa

Metodologa
Conjunto de mtodos que se siguen en la investigacin cientfica o en una exposicin doctrina

Metodologa
Usada por un profesional dice mucho de su conocimiento sobre el trabajo que realiza Esta directamente relacionada con la experiencia obtenida con el tiempo (acierto error) Es necesaria para que un grupo de profesionales alcancen un resultado homogeneo. La metodologa obliga a la planeacin detallada de cada proyecto bajo criterios estndares.
10

Determine al menos 3 puntos sobre Importancia de usar metodologas?

11

Importancia
Se elimina el proceso informal de trabajo Trabajo con caractersticas y requisitos comunes para todos los responsables Orientan sus esfuerzos a la obtencin de productos de calidad Las tareas y productos terminados definidos y formalizados en un documento al alcance de todos los Auditores de Informtica Se facilita en un alto grado la administracin y seguimiento de los proyectos Trabaja sobre tareas y productos terminados perfectamente definidos.

12

reas que da soporte AI

Alta Direccin
Seguimiento a proyectos relacionados con la Tecnologa de Informtica Verificacin y Aseguramiento en el cumplimiento de Polticas inherentes a la Tecnologa de Informtica Otros aspectos de Inters para la Alta Direccin

13

reas que da soporte AI

Auditoria
Apoyo en la Definicin, Implantacin y Seguimiento en : Polticas, Controles y Procedimientos de Auditora Financiera, Operativa, de Crditos, Fiscal, etc. Relacionadas directa o Indirectamente con la Tecnologa de Informtica (Sistemas de Informacin, Equipos de Cmputo, Comunicaciones, Etc.) Planes de capacitacin en el uso y entendimiento de : Software de Auditora Herramientas de Productividad (Hojas Electrnicas, Procesadores de Palabras, Graficadores, Diagramadores, etc.) Bases de Datos (Consulta de Informacin por ejemplo) Equipos de Cmputo (Micros, terminales, porttiles, etc.) Otros de Inters para los Auditores Otros de Inters para el desarrollo eficiente de los auditores cuando evalan reas del negocio que se apoyan en Informtica.
14

reas que da soporte AI

Informtica:
Apoyo en la Definicin, Implantacin y Seguimiento en : Polticas, controles, procedimientos y Estndares relativos a : Organizacin y Administracin de Informtica Proceso de Planeacin de Informtica Evaluacin y Adquisicin de nueva Tecnologa Evaluacin y Adquisicin de Servicios Desarrollo e Implantacin de Soluciones (EDI, CASE, Base de Datos, Telecomunicaciones, Sistemas Estratgicos, Multimedia, etc.

15

Ejemplos Planificacin

Ejemplos Planificacin

Plan maestro de Auditora Informtica

1. Crear o formalizar un comit de control y seguimiento integrado por: Alta Direccin Responsable directo de Auditora Responsable directo de Informtica Responsable directo de Auditora de Informtica 2. Analizar los proyectos de Negocio, Informtica, Auditora y Auditora de Informtica de manera conjunta,
Relacin o impacto que tienen entre si y facilitarse de manera formal los compromisos que aseguren el cumplimiento de los mismos.

3. Establecer fechas de reuniones formales e informales para dar seguimiento a los planes de compromiso conjunto.
19

Tareas bsicas del proceso de planeacin de AI

Actividad
Determinacin de las reas a auditar en el negocio

Responsable de ejecucin
Lder auditora informtica

Responsable del seguimiento

Lder auditora informtica

Comentarios
Diagnstico actual (punto de vista del negocio), rea de riesgo o debilidades Fechas y periodos en que se auditaran las reas Recomendable hacerlo al inicio

Elaboracin del plan de AI Presentacin del plan a la alta direccin Ejecucin del plan de auditora informtica

Lder auditora informtica Lder auditora informtica Auditores

Lder auditora informtica Alta direccin

Lder auditora informtica Auditor supervisor

Diagnostico preliminar

21

Enumere 5 items que debe conocer el Auditor sobre el negocio?

23

Conocimiento del negocio

Aspectos relevantes que debe solicitar el Auditor para su anlisis preliminar:
Misin del Negocio reas o Proceso del negocio Organigrama del Negocio ( Detectar ubicacin de Informtica) Relacin entre las diversas reas del negocio Relacin del Negocio con reas externas (Clientes, Proveedores, por ejemplo) Polticas referentes a Informtica Documentacin de acuerdo a las caractersticas propias del proyecto

Apoyo al negocio
Involucracin de la Funcin de Informtica en los proyectos claves del negocio Difusin de las Polticas y Planes de Informtica en los niveles Estratgico, Tctico y Operativos del Negocio Imagen de Informtica que tiene la Alta Direccin y Responsables de cada rea del Negocio Grado de Satisfaccin que existe por cada servicio prestado por la Funcin de Informtica Expectativas que tiene el negocio por Informtica Fortalezas de Informtica y debilidades de Informtica reas de Oportunidad (Propuestas ya sea por la Alta Direccin, Usuarios o Informtica)

Enumere 5 items que debe conocer el Auditor del rea informtica?

27

Conocimiento de informtica
Conocimientos de la funcin informtica La estructura interna de Informtica Funciones Objetivos Estratgias Planes Polticas De manera general la Tecnologa de Software y Hardware en que se apoya para llevar a cabo su Funcin dentro del negocio.

Qu servicios presta el rea de informtica a la empresa?

29

Conocimiento de informtica
Servicios Implantacin de Soluciones de Informacin : Desarrollo de Sistemas de Informacin : No integrados Integrales Estratgicos Compra y adecuacin de Aplicaciones hechas por externos Bases de Datos : Centralizadas Descentralizadas Evaluacin, Adquisicin, Instalacin y Reemplazo de : Equipo de Computo Paquetes de Software (Procesadores de palabras, Hojas de Clculo, etc.) Equipos de Telecomunicaciones Lenguajes de Programacin

Conocimiento de informtica
Mantenimiento: Sistemas de Informacin Base de Datos Equipos de Computo y de Telecomunicaciones Redes Locales Soporte a Usuarios Capacitacin y Asesora Investigacin : Tecnologa (Equipos de Computo, Comunicaciones, CASE, EDI, etc.)

Conocimiento de informtica
Aspectos de control Polticas y Procedimientos de Organizacin de la Funcin de Informtica : Descripcin de Puestos y Funciones - Evaluacin de Desempeo Polticas y Procedimientos para el Desarrollo e Implantacin de Sistemas Polticas y Procedimientos de Evaluacin de Hardware y Software Polticas y Procedimientos de Seguridad Polticas y Procedimientos de Mantenimiento: Preventivo Detectivo Correctivo Plan de Contingencias

Metodologa para la AI
Planeacin de la auditoria Toma de contacto Reunin inicial Alcance Revisin preliminar Listado de principales sistemas de informacin (In house comercial) Usuarios principales Determinar volmenes de transacciones promedios Fallas y/o regularidades ms comunes Informes de desempeo por parte de analistas o personal.

33

Etapa de justificacin

34

Productos de la etapa justificacin

Matriz de Riesgos Plan General de Auditora de Informtica Visto Bueno por escrito

Productos de la etapa justificacin

Matriz de Riesgos Plan General de Auditora de Informtica Visto Bueno por escrito

Productos de la etapa justificacin

Matriz de Riesgos
Estimar el tiempo que le llevar el auditar cada rea determinada en la Matriz de Riesgos Analizar y definir cuales sern los aspectos o componentes ms relevantes a evaluar Asignar prioridades a cada rea a evaluar o revisar en conjunto con los principales involucrados en el proyecto Definir fechas estimadas de Inicio y Terminacin por rea de Revisin, no por componente.

Productos de la etapa justificacin

Matriz de Riesgos Plan General de Auditora de Informtica
Estimar el tiempo que le llevar el auditar cada rea determinada en la Matriz de Riesgos Analizar y definir cuales sern los aspectos o componentes ms relevantes a evaluar Asignar prioridades a cada rea a evaluar o revisar en conjunto con los principales involucrados en el proyecto Definir fechas estimadas de Inicio y Terminacin por rea de Revisin, no por componente.

Etapa de Desarrollo

40

41

Diagnostico preliminar

Qu produce su empresa y cmo lo produce?

Visin sistmica
OBJETIVOS
P R OC E S O S

INSUMOS

PRODUCTOS

METAS

USUARIOS

ENTORNO

COMUNIDAD AMBIENTE

Materiales Ordenes Recursos Dinero

Tareas Resultados Rechazos Desperdicios productos Tiempos c. instalada

metas

Parmetros de satisfaccin

incidencia

11-1

Cules son los factores que afectan a su empresa?

Factores del entorno prximo y remoto de la organizacin

Gobierno Sociedad
Entorno Prximo Competidores

Leyes

Proveedores

Entidad

Clientes

Entorno Remoto

Tecnologa

Economa

Poltica

Trabajo grupal: 1. Determine la visin sistmica de la empresa 2. Determine los factores de entorno prximo y remoto de la empresa

Cul es el propsito de su organizacin?

Propsito
Todo sistema organizacional tiene un Propsito
El propsito de la organizacin gua o inspira, no necesariamente permite obtener ventajas competitivas o diferenciar

49

Misin
El propsito del sistema organizacional lo expresa su MISION

Es la razn de ser, el deber ser, independientemente del xito o fracaso

50

Misin
La misin debe responder a la pregunta por qu existimos en la comunidad?

51

Caractersticas de la Misin
La declaracin de Misin debe ser: Amplia Fundamental y duradera Estable durante muchos aos Sin importar quines gestionan la organizacin, y hasta que las condiciones competitivas obliguen a ajustar la razn de ser de la organizacin.
52

Caractersticas de la Misin
Corta Fcil de entender Sin palabras tcnicas .

53

Caractersticas de la Misin
Corta Memorable Fcil de recordar .

54

Caractersticas de la Misin
Corta Memorable Inspiradora Clientes internos, externos y proveedores

55

Caractersticas de la Misin
Corta Memorable Inspiradora Hable de nuestra empresa Personalizada Determinar cual es mi valor agregado Por qu soy diferente? Por qu tienen que escogerme a mi?

.
56

Caractersticas de la Misin
Corta Memorable Inspiradora Hable de nuestra empresa Hable al mercado Cmo yo le agrego valor a mi cliente?

57

Estructura de la Misin
La Misin de una Organizacin debe sealar: 1. La finalidad de la organizacin ( PARA QUE EXISTE) 2. La oferta que hace a los Clientes 3. Las caractersticas distintivas de su oferta.

58

Ejemplos de la Misin
a) Empresa de capacitacin online en gestin
Nuestra Misin es Mejorar el desempeo de los equipos de trabajo optimizando su capacidad de gestin utilizando tecnologas de punta Finalidad Oferta Caractersticas distintivas

b) Hotel

Nuestra Misin es infundir bienestar y reanimar los sentidos de nuestros huspedes Finalidad proporcionndoles un servicio personal fino y las mejores instalaciones Oferta para que disfruten de un ambiente clido, relajado Caractersticas dist y refinado
59

Ejemplos de la Misin
c) Colegio

Nuestra Misin es educar a nuestros alumnos para que desempeen eficazmente en el mundo social, laboral y acadmico y colaboren al desarrollo de una sociedad democrtica en continuo proceso de cambios e interdependencia global, mediante procesos de enseanza aprendizaje bilinges, participativos y en contacto con la comunidad

Finalidad Oferta Caractersticas distintivas

60

Ejemplos de la Misin
d) Empresa de servicios I.T

Nuestra Misin es generar valor al negocio de nuestros Clientes, optimizando la calidad de atencin, la productividad y los resultados

Finalidad Oferta

mediante servicios de tecnologa de informacin y comunicaciones Caractersticas Ejecutados con estndares de clase mundial.
distintivas

Trabajo grupal: 3. Plantee la misin de la empresa sobre la cual va a trabajar y proponga una nueva basada en lo visto en clases

Hacia donde se dirige su empresa?

Visin
Es un sueo realizable o alcanzable a largo plazo

Es una declaracin que define los propsitos de la organizacin de mediano y largo plazo (3 a 10 aos

64

Caractersticas de la Visin
Futurista Sealar las percepciones que la empresa desea que el mundo tenga de ella
cul es la imagen futura que queremos proyectar de nuestra empresa? cules son nuestros deseos o aspiraciones? hacia dnde nos dirigimos? hacia dnde queremos llegar?
65

Caractersticas de la Visin
Futurista Audaz Expresarse en trminos atractivos y visionarios

66

Caractersticas de la Visin
Futurista Audaz Expresarse en trminos atractivos y visionarios Clara y visible Orientarse al mercado

67

Tipos de Visin
Cualitativas

68

Tipos de Visin
Cualitativas Competitivas

69

Tipos de Visin
Cualitativas Competitivas Superlativas

70

Ejemplos de la Visin

Ser el mayor distribuidor a nivel nacional de telfonos celulares.

71

Ejemplos de la Visin
General Motors: Ser el lder mundial en productos y servicios relacionados al transporte. Nosotros lograremos el entusiasmo de nuestros clientes a travs de la mejora continua de nuestros productos, guiada por la integridad, el trabajo en equipo y la innovacin de nuestra gente. McDonalds: Ser el mejor restaurante de comida rpida en el mundo. Ser el mejor significa proveer calidad excepcional, servicio, higiene y valor, de manera tal que hagamos que cada cliente en cada restaurante sonra.

72

Ejemplos de la Visin
Samsung: Liderar la revolucin de la convergencia digital. Wal-Mart: Ser el ms eficiente operador multiformato de bajo costo, ofreciendo a los clientes el mejor valor por su dinero.

73

Trabajo grupal: 4. Plantee la visin de la empresa sobre la cual va a trabajar y proponga una nueva basada en lo visto en clases

Cmo trabaja su empresa?

Valores
Principios bsicos de comportamiento esperado de las personas de una organizacin

Expresan Cmo debe ser manejada la organizacin

76

Caractersticas de los Valores

Manera distintiva de actuar Propsito obtener la identidad organizacional Trasciende a cada uno de los integrantes de la organizacin

77

Trabajo grupal: 5. Plantee los valores de la empresa sobre la cual va a trabajar y proponga nuevos basado en lo visto en clases

Qu es FODA, DAFO o WSOT

Qu debe hacer la empresa con las Fortalezas?

Fortalezas
Lo que hacemos bien que nos brinda una ventaja competitiva con respecto a los demas.

Representan los principales puntos a favor con los que cuenta la empresa o institucin.

81

Qu debe hacer la empresa con las Debilidades?

Debilidades
Problemas internos que bajan el rendimiento competitivo con respecto a los demas.

Provocan una posicin desfavorable frente a la competencia en cuanto a limitaciones relacionadas con potencial humano, capacidad de procesos o finanzas

83

Qu debe hacer la empresa con las Oportunidades?

Oportunidades
Condiciones en el ambiente externo que pueden ser favorables

Son eventos o circunstancias que se espera que ocurran o puedan inducirse a que ocurran en el mundo exterior y que podran tener un impacto positivo en el futuro de la empresa,

85

Qu debe hacer la empresa con las Amenazas?

Amenazas
Condiciones en el ambiente externo que pueden ser desfavorables.

Son eventos o circunstancias que pueden ocurrir en el mundo exterior y que pudieran tener un impacto negativo en el futuro de la empresa, aparecen en las mismas categoras que las oportunidades.

87

Tarea . AI(Paralelo) _TA#

Tema:
Buscar 3 misiones y visiones que se aplique lo visto en clase Anlisis FODA En base al texto dado.
Realizar un resumen del mismo Realizar FODA para la organizacin

Entrega: Fecha de entrega: lunes, 10 de junio 2013 17:00 Arial 11, espaciado simple Tres hojas Referencia bibliogrfica http://manuelgross.bligoo.com/comohacer-un-analisis-foda

88

Qu es una matriz de riesgo?

Matriz de riesgo
Herramienta de control y de gestin Utilizada para identificar:
Las actividades relevantes de la empresa El tipo y nivel de riesgos inherentes de las actividades Los factores exgenos y endgenos relacionados con los riesgos.

Permite evaluar la efectividad de una adecuada gestin y administracin de los riesgos La forma en que impactan a los resultados y por ende al logro de los objetivos de una organizacin.
90

Objetivo de matriz de riesgo

Detectar las reas de mayor riesgo que existen en relacin a Informtica y que requieren una revisin de manera formal y oportuna.

91

Caractersticas de matriz de riesgo

Herramienta flexible que documenta los procesos. Evala de manera integral el riesgo de una institucin Realiza un diagnstico objetivo de la situacin global de riesgo de una entidad. Permite hacer comparaciones objetivas entre proyectos, reas, productos, procesos o actividades.

92

Fases de matriz de riesgo

Identificacin objetivos estratgicos del negocio
Analizar los objetivos estratgicos del negocio Identificar las procesos que se relacionan con los objetivos

93

Pasos para realizar Objetivos

Siete pasos
1. El objetivo debe ser expresado en positivo Qu es lo que quieres? Qu quieres en lugar de lo que tienes? Qu preferiras tener? 2. El objetivo tiene que ser especfico y medible Qu es exactamente lo que vers, oirs o sentirs cuando alcances tu objetivo? Cunto tiempo necesitars para alcanzarlo? Cundo quieres alcanzarlo?
95

Siete pasos
3. Decide cmo y cundo medirs el avance en el cumplimiento Cmo medirs tu progreso hacia el objetivo? Con cunta frecuencia medirs tu progreso? Cmo sabrs que has logrado el objetivo? Cmo verificars que ests en el camino correcto hacia el objetivo?

96

Siete pasos
4. Organiza los recursos que necesitars durante la travesa hacia el logro del objetivo Qu recursos (objetos, personas, tiempo, modelos, cualidades) vas a necesitar para alcanzar tu objetivo? De cuales dispones ya? Dnde encontrars los otros?

97

Siete pasos
5. Se proactiva/o
Hasta qu punto controlas el cumplimiento de ese objetivo? Qu hars para alcanzarlo? Qu puedes ofrecer a los dems de tal modo que se interesen por ayudarte?

98

Siete pasos
6. Presta atencin al impacto de las consecuencias ms all de ti misma/o Cules son las consecuencias para otras personas importantes? Puedes mirar su impacto en ellas ponindote en su lugar? Cul es el costo en tiempo, dinero y oportunidad? A qu podras tener que renunciar? Cmo quedar afectado el equilibrio entre los diferentes aspectos de tu vida cuando alcances ese objetivo o durante su consecucin?
99

Siete pasos
7. Elabora un Plan de Accin Un objetivo, sobre todo si es a largo plazo, puede parecer intimidador. El Plan de Accin fracciona el objetivo en pasos pequeos, cada uno de ellos claramente tangibles, alcanzables. Es el mapa de tu viaje. Tu GPS que te indica claramente tu posicin en el viaje.

100

Fases de matriz de riesgo

Identificacin objetivos estratgicos del negocio.
Clasificacin de Nivel Alto Medio Bajo Nulo Descripcin de nivel de contribucin Valor

El Proceso aporta de manera fundamental en el cumplimiento del objetivo estratgico El Proceso aporta de manera importante en el cumplimiento del objetivo estratgico. El Proceso aporta de manera menor en el cumplimiento del objetivo estratgico. No aporta en el cumplimiento del objetivo estratgico.

3 2 1 0

Escala para medir el nivel de contribucin que afecta el cumplimiento del objetivo estratgico.
101

Fases de matriz de riesgo

Identificacin objetivos estratgicos del negocio.
Objetivos Procesos institucionales Proceso 1 Proceso 2 Proceso 3 Proceso n Objetivo Estratgico 1 Objetivo Estratgico 2 Objetivo Estratgico 3 Objetivo Estratgico n Nivel de contribucin promedio del proceso al cumplimiento de los objetivos Promedio aritmtico Proceso 1 Promedio aritmtico Proceso 3 Proceso seleccionado (2,0 3,0)

Alto (3), Medio (2), Bajo (1), Nulo (0) Alto (3), Medio (2), Bajo (1), Nulo (0)

Alto (3), Medio (2), Bajo (1), Nulo (0) Alto (3), Medio (2), Bajo (1), Nulo (0)

Alto (3), Medio (2), Bajo (1), Nulo (0) Alto (3), Medio (2), Bajo (1), Nulo (0)

Alto (3), Medio (2), Bajo (1), Nulo (0) Alto (3), Medio (2), Bajo (1), Nulo (0)

X Y

Alto (3), Medio (2), Bajo (1), Nulo (0)

..
Alto (3), Medio (2), Bajo (1), Nulo (0)

Alto (3), Medio (2), Bajo (1), Nulo (0)

.
Alto (3), Medio (2), Bajo (1), Nulo (0)

Promedio aritmtico Proceso n

Esquema de relacin y priorizacin de procesos relevantes en la institucin en relacin a los objetivos estratgico
102

Fases de matriz de riesgo

Identificacin objetivos estratgicos del negocio Identificar riesgos
Se debe seguir el ciclo de administracin de riesgo

103

Riesgo - Oportunidad Administracin de Riesgo

Administracin de riesgo
Aceptacin o rechazo del riesgo residual se realiza la determinacin de las acciones a seguir respecto: Controlar el riesgo.- fortaleciendo los controles existentes o agregar nuevos controles. Eliminar el riesgo.- Se elimina el activo relacionado Compartir el riesgo.- mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informtica). Aceptar el riesgo, determinando el nivel de exposicin.

105

Fases de matriz de riesgo

Identificacin objetivos estratgicos del negocio Identificar riesgos Valorizar riesgo

106

Fases de matriz de riesgo

Insignificante Baja Media Moderada Alta

1 2 3 4 5
107

Fases de matriz de riesgo

Identificacin objetivos estratgicos del negocio Identificar riesgos Valorizar riesgo Identificar y valorizar controles

108

Clasificacin del Control

Periodicidad en la accin del control (PD):

Clasificacin Permanente (Pe) Peridico (Pd) Ocasional (Oc)

Descripcin Controles claves aplicados durante todo el proceso, es decir, en cada operacin. Controles claves aplicados en forma constante slo cuando ha transcurrido un peridico especfico de tiempo Controles claves que se aplican slo en forma ocasional en un proceso.

Clasificacin del Control

Oportunidad de la accin del control (O)
Clasificacin Preventivo (Pv) Correctivo (Cr) Detectivo (Dt) Descripcin Controles claves que actan antes o al inicio de un proceso. Controles claves que actan durante el proceso y que permiten corregir las deficiencias. Controles claves que slo actan una vez que el proceso ha terminado.

Clasificacin del Control

Automatizacin en la aplicacin del control (A):

Clasificacin 100% automatizado (At) Descripcin Controles claves incorporados en el proceso, cuya aplicacin es completamente informatizada. Estn incorporados en los sistemas informatizados Controles claves incorporados en el proceso, cuya aplicacin es parcialmente aplicada mediante sistemas informatizados. Controles claves incorporados en el proceso, cuya aplicacin no considera uso de sistemas informatizados

Semi automatizado (Sa) Manual (Ma)

Fases de matriz de riesgo

Objetivos Procesos institucionales Control 1 Objetivo Estratgico 1 Objetivo Estratgico 2 Objetivo Estratgico 3 Objetivo Estratgico n Nivel de efectividad promedio del control al cumplimiento de los objetivos Promedio aritmtico control 1 Promedio aritmtico control 2
Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0) Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0) Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0) Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0) Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0) Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0) Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0) Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0)

Control 2

Control 3 Control n

Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0)

..
Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0)

Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0)

.
Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0)

Promedio aritmtico Control n

Ninguno Bajo Medio Alto Destacado

0 2 3 4 5
112

Fases de matriz de riesgo

Identificacin objetivos estratgicos del negocio Identificar riesgos Valorizar riesgo Identificar y valorizar controles Calcular riesgo residual

113

Fases de matriz de riesgo

114

Preguntas revisin bibliogrfica

Revisin Bibliogrfica 1.
1. Basado en la lectura Defina segn sus palabras lo que es mtodo 2. Sobre la pirmide de Contramedida defina Normativa y organizacin 3. LOPD 4. Plan de contingencia 5. Metodologas propuestas cuales son? 6. Diferencias entre las metodologas 7. Basado en la lectura Defina segn sus palabras lo que es metodologa 8. Sobre la pirmide de Contramedida defina que son herramientas 9. Describa la metodologa PRIMA 10. Segn el autor cual es la mejor recomendacin en lo que respecta a metodologa

116

Revisin Bibliogrfica 2.
1. Cules seran las actividades a realizar en la etapa de desarrollo? 2. Cules seran las actividades principales en Concertar fechas de entrevistas, visitas y de Aplicacin Cuestionarios? 3. Cules seran las actividades principales en Efectuar visitas de verificacin? 4. Cules seran las tareas principales en Revisin del informe preliminar?

117

Revisin Bibliogrfica 3a.

1. De que dependen los resultados pobres o exitosos de los auditores informticos segn el autor? 2. Qu nos garantiza usar un mtodo? 3. Enumere 3de los aspectos complementarios que son la base para el xito de una auditora 4. Analice el por que del grado de importancia en el anlisis preliminar, de la siguiente tabla

118

Revisin Bibliogrfica 3b.

1. Para el desarrollo exitoso AI depende de un conjunto de factores enumere 4? 2. Enumere los productos terminados de la etapa de Justificacin? 3. Enumere 4 ventajas de usar un proceso metodolgico 4. Analice el por que del grado de importancia en el anlisis preliminar, de la siguiente tabla

119

Revisin Bibliogrfica 4a.

1. Qu Marco referencial serviria de apoyo a la ISO 27001 2. Segn el autor implementar la Ciberseguridad sin un marco referencial seria: 3. A qu se deben los beneficios obtenidos por ISO 4. Se pueden incluir otras normas ISO del sistema de gestin, por qu <.

120

Revisin Bibliogrfica 4b.

1. Enumere y describa al cuatro marcos referenciales mas conocidos, propuestos por el autor? 2. Si se busca garantizar la disponibilidad del servicio que marco es recomendable 3. Cul es el futuro para la ISO 9000 4. Por que son importantes los estandares internacionales ISO para las organizaciones

121

Revisin Bibliogrfica 5a. 6-7

1. Qu debe conocer el auditor informtico del negocio? 2. Qu reas o entidades apoya el area informatica 3. Por qu es importante determinar los servicios que presta el rea informatica 4. A que se refiere con conocer los aspectos de control 5. Cual es la finalidad de realizar un estudio de la etapa preliminar 6. Cuales son los productos terminados del area de justificacin 7. Que es una matriz de riesgo 8. Cuales serian las principales actividades que se deben realizar en un plan de auditoria.

122

Tarea . AI(Paralelo) _TA#

Tema:
Que es una auditora de primer orden Qu Es una auditora de segundo orden Que es una auditora de tercer orden Todas las normas ISO son certificables? cules Entrega: Fecha de entrega: lunes, 3 de Junio 2013 17:00 Arial 11, espaciado simple Dos hojas mximo 5 referencias bibliogrficas

123

Tarea . AI(Paralelo) _TA#

Tema:
Metodologas de desarrollo de software (mnimo 4)
Definicin Caractersticas Limitaciones Analizar diferencias entre ellas

Entrega: Fecha de entrega: lunes, 27 de mayo 2013 17:00 Arial 11, espaciado simple Dos hojas 5 referencias bibliogrficas

124

Tarea Grupal 3. AI(Paralelo) _TA#

Tema:
Elaborar 2 preguntas del opcin mltiple sobre tema expuesto Entrega: Fecha de entrega: Jueves, 13 de junio 2013 17:00 Arial 11, espaciado simple

125

Tarea Grupal Aplicacin auditora Inf. AI(Paralelo) _TG#

Tema:
Avance 1
Etapa de diagnstico preliminar Etapa de justificacin

Entrega: Fecha de entrega: jueves, 20 de junio 2013 17:00 Arial 11, espaciado simple

126

Contenido Avance 1
Elementos estratgicos de la organizacin
Misin Visin Valores Conocimiento del negocio Visin sistmica

Elementos referidos a las leyes, reglamentos, normas y dictmenes

Entorno Remoto

Elementos sobre el entorno

Relacin entre las diversas reas del negocio Entorno prximo FODA

Contenido Avance 1
Elementos referidos al diseo organizacional
FODA

Elementos referidos a los Recursos humanos

Visin sistmica (procesos) Clientes internos

Elementos de sistema de informacin

Diagnstico informtica conocimiento informtica

Elementos ambiente de control y gestin de riesgo

Matriz de riesgo

Elementos referentes a los recursos financieros (estados financieros)