4 PREGUNTAS BASICAS QUE EL

AUDITOR QUIERE AVERIGUAR

1. Se ha identificado y definido
apropiadamente el proceso?
2.
Se
han
asignado
responsabilidades?
3.
Se
han
implementado
y
mantenido los procedimientos?
4. Es el proceso eficaz para lograr
los resultados requeridos?
COMO REVISA EL AUDITOR?
1. Tcnica escrita, Se basa en:
Anlisis: clasificar, interpretar
Consolidacin: Juntar, agrupar
Tabulacin:
Matrices,
cuadros
cruzados
Confirmacin: Positiva, negativa
Calculo: Operaciones matemticas.
2. Tcnica visual
Revisin: Antecedentes, historias
Rastreo: Seguimiento, secuencia
Observacion: Movimientos, tcticas
Comparacion:
Diferencias,
semejanzas
3. Tecnica verbal
Observacion: Movimiento, tcticas
Comparacion:
Diferencias,
semejanzas
Revisin: Antecedentes, historias
4. Tecnica de Muestreo
Otras tcnicas de auditora:
- Revisin de registros
- Retroalimentacin positiva y
negativa
- Entrevista - Examen - Estudio
general
Inspeccion

Bitacoras
Declaracion
LOS
TAACS (tcnicas de
auditora con ayuda de las
computadoras)
Programas
y
datos
de
computadoras que el auditor usa
como parte de los procedimientos
de auditora, con la finalidad de
procesar datos importantes que
estn contenidos en los sistemas
de informacin.
Beneficios
-Mejoran la efectividad de los
procedimientos de auditoria.
-Mejoran el grado de anlisis de la
informacin
-Facilitan
la
bsqueda
de
evidencias.
-Reducen al mnimo el riesgo de la
auditora para que los resultados
expresen la realidad objetiva de las
deficiencias.
Utilizacin: debe ser controlado
por el auditor de sistemas de
informacin
para
asegurar
razonablemente que se cumple con
los objetivos de la auditora y las
especificaciones detalladas de los
TAACs. El auditor debe:
-Realizar una conciliacin de los
totales de control.
-Realizar
una
revisin
independiente de la lgica de los
TAACs
-Realizar una revisin de los
controles generales de los sistemas
de informacin de la organizacin
que
puedan
contribuir
a
la
integridad de los TAACs.

CONCLUSIONES
- Existe una clara falta de
conocimiento de seg
- Nadie quiere gastar dinero en
seguridad
- La seguridad se ve como un
estorbo
- Poco apoyo de la direccin
- Mal vista por parte de los usuarios
ARGUMENTOS A FAVOR DE LA
SEGURIDAD
- La seguridad es cada da ms
importante
- La seguridad no es cara ni
complicada
- Una red segura es mucho mas
eficiente
- Una red robusta es mas rentable
- Contafuegos extintor
Hacia
los
usuarios
es
concienciacin
PLAN
DE
SEGURIDAD
INFORMATICA
Conjunto de normas, polticas y
procedimientos
destinados
a
satisfacer unas necesidades de
seguridad de un entorno definido.
QUE METODOLOGIA UTILIZA:
Modular
1. Const perf. de amenazas basados
en activos
2. Identificar vulnerabilidad de
infraestructura
3. Desarrollar planes y estrategias
de segurida
SEGURIDAD INFORMATICA
Conjunto
de
mtodos
y
herramientas destinados a proteger
la informacin y por ende los
sistemas
informaticos
ante
cualquier amenaza, un proceso en
el cual participan adems personas.
No es medible, se puede desarrollar
herramientas para cuantificar.
LA SOLUCION
SERA ESTAR
DESCONECTADO?
Tendremos que aplicar polticas,
metodologas
y
tcnicas
de
proteccin de la informacin porque
la conectividad es vital.
Tener un sistema que cumpla con
los estndares de gestin de la
seguridad es sinnimo de servicio
de calidad
ACONTECIMIENTOS EN 2
ULTIMAS DECADAS
- 80: Ordenador personal empieza a
sr comn, preocupacin en
integridad de los datos
- 90: aparecen virus y gusanos,
conciencia de peligro a los usuarios
conectados a internet
- 2000, seriedad de seguridad
informtica, criptologia (cifrado,
descifrado, criptoanlisis, firma
digital, autoridades de certificacin,
comercio electrnico)
ES ATRACTIVO EL DELITO
INFORMATICO?
Parece ser buen negocio
Objeto pequeo: Informacin
almacenada en contenedores
pequeos.
Contacto fsico: Se asegura el
anonimato y la integridad fsica del
propio delincuente.

DEBILIDADES DEL SISTEMA

INFORMATICO
Triangulo de Debilidades del
Sistema: HW, SW, DATOS.
HW: Errores intermitentes,
conexiones sueltas, desconexin de
tarjetas, etc
SW: Sustraccion de programas,
ejecucin errnea, modificacin,
defectos en llamadas
Datos: Alteracion de contenidos,
introduccin de datos falsos,
manipulacin.
Memoria: Introduccin de virus,
bloqueo del sistema
Usuarios: Suplantacion de
identidad, acceso no autorizado, de
datos confidenciales.
ELEMENTOS BASICOS DE LA SEG
INFORMATIC
Confidencialidad:
Componentes
del sistema accesibles por usuarios
autorizados
Integridad: Componentes pueden
ser creados y modificados por
usuarios autorizados
Disponibilidad:
Los
usuarios
deben tener disponibilidad todos los
componentes cuando lo necesiten
Privacidad: Espacio reservado y
debe
mantenerse
confidencialmente
Auditabilidad: Provee facilidad
relativa en examinar, verificar o
demostrar un sistema.
ADMINISTRACIN DE DATOS
Incluye todos los aspectos de
planificacin
de
datos,
manipulacin,
anlisis,
documentacin y almacenamiento y
toma colocar durante todas las
etapas de un estudio. Incluye:
- Planificacin de las necesidades
de datos del estudio
- Recopilacion de datos
- Introduccin de datos
- Los datos de validacin y
verificacin
- Manupulacion de datos
- Archivos de datos de copia de
seguridad
- Data documentos.
OBJETIVOS ESPECIFICOS DEL
DATA MANAGM
1. Adquisicin de datos y la
preparacin para el anlisis:
Incluye la visin general del flujo de
datos de investigacin sujetos a los
analistas de datos. Los datos deben
ser
recogidos,
revisados,
codificados,
computarizados,
verificados, comprobados.
2. Mantener el control de la
calidad & seguridad de los
datos
- Prevencin y deteccin de errores
- Evitar o eliminar inconsistencias,
falta de dat
- Evaluacin de la calidad de datos
- Evitar malas interpretacin y
descuidos.
(problemas
de
seguridad: legal, proteccin de la
seg de info, proteccin de fuentes
externas, proteccin de fuentes
internas)
3.
Solicitudes
de
apoyo,
revisin,
recontruccion
y
archivo: Preguntas y solicitudes de
instrumentos y/o datos pueden
surgir
en
cualquier
momento

Ventas de Estrategias: Comercio

electrnico,
contabilidad
digital,
nuevas formas de comercializar,
medios de pago efectivo
Intersistemas:
son
sistemas
integrados compuestos de varios
procesos,
que
cumplen
varios
objetivos.
ERP: optimiza los procesos internos
de
la
empresa,
comparte
la
informacin por todas las reas.
Mejoras de los propios ERPs:
Antes:
-Diseadas para entornos precisos.
-Los mdulos de reas procedan de
empresas diferentes.
-Dificultad para integrar mdulos.
-Dificultad para manejar.
-Uso de tecnologas especficas.
Ahora:
-Los
procesos
claves
estn
integrados.
-Los informes estn adaptados a la
legislacin de pas
-Interfaz Amigable
-Capacidad de tratamiento multi pas
y multicompaa
SEGURIDAD DE LA TICs
Cual es la informacin ms
valiosa que manejamos?
La informacin asociada a nuestras
operaciones
Vulnerabilidades Comunes
-Inadecuado
compromiso
de
la
direccin.
-Personal
inadecuadamente
capacitado y concientizado.
-Inadecuada
asignacin
de
responsabilidades.
-Ausencia
de
polticas/
procedimientos.
-Ausencia de controles
(fsicos/lgicos)
(disuasivos/preventivos/detectivos/cor
rectivos)
-Ausencia de reportes de incidentes y
vulnerabilidades.
-Inadecuado seguimiento y monitoreo
de los controles.
La seguridad de la informacin se
caracteriza
aqu
como
la
preservacin de:
Confidencialidad:
Integridad:
Disponibilidad:
Cmo establecer los requisitos?
Existen tres fuentes principales:
valoracin de los riesgos de la
Organizacin:
-Se identifican las amenazas a los
activos,
-Se evala la vulnerabilidad y la
probabilidad de su ocurrencia.
-Se estima su posible impacto.
conjunto
de
requisitos
legales,
estatutarios,
regulatorios
y
contractuales
-la Organizacin,
-sus socios comerciales,
-los contratistas
-los proveedores de servicios.
Principios, objetivos y requisitos que
la Organizacin ha desarrollado para
apoyar sus operaciones.
COBIT: Objetivos de Control para la
Informacin
y
Tecnologas
Relacionadas
Es
una buena prctica para el
control de la informacin, TI y los
riesgos que conllevan.
Mision COBIT Investigar, desarrollar,