Auditoria Informatica Sesion1

Auditora Informtica
MDTI
Profesora: Rosala Murciano Casino
rmurciano@salleurl.edu
Auditora Informtica
Agenda
La Funcin de Auditora TIC
El rol del Director TIC y su equipo
Metodologas, estndares y herramientas
Panorama de proveedores
MDTI
Auditora Informtica
Pg.2
Qu es la Auditoria TIC
Diagnstico independiente sobre los controles que, aplicados a los sistemas de

informacin, facilitan que stos produzcan resultados dentro de parmetros aceptables
para el negocio y se eviten o mitiguen los riesgos inherentes a la tecnologa
Permite juzgar con independencia si el negocio puede confiar en los sistemas de

informacin para lograr sus objetivos
MDTI
Auditora Informtica
Pg.3
Por qu y para qu la Auditora TIC
NEGOCIO
TIC
Globalizacin: Incremento
sofisticacin de los negocios
Dependencia de SI cada vez ms
AUDITORIATIC
complejos
los activos de informacin
Aumento inversionesTIC en las
organizaciones
Escndalos
Las TIC como va para robos, espionaje

industrial, fraudes financieros
Papel de lasTICen la calidad de

controles internos de lasempresas
empresariales:
Aumentan flancos de vulnerabilidad en
La Auditoria proporciona confianza

de los negocios en las tecnologas
regulaciones sobre
transparencia
Coyuntura econmicay
globalizacin de
Recursos TIC
recursos:M&Ay
Centralizacin de activos y
* Control y conocimiento delos

Activos TIC
Integracin de activos y recursos TIC
concentracin de recursos
MDTI
Auditora Informtica
Pg.4
Objetivo de la Auditoria TIC
Asegurar quela alta dependencia de la tecnologa por parte del negocio no

conllevar la aparicin de vulnerabilidades en procesos crticos
(seguridad, fiabilidad, integridad de datos,etc.)
y por tanto amenazas relevantes para su rentabilidad,posicin competitiva,

cumplimiento de compromisos o, incluso, para su propia supervivencia
(fugas de informacin, indisponibilidades, sanciones,tomas
de decisiones incorrectas, prdidas econmicas,etc.)
.
MDTI
Auditora Informtica
Pg.5
Qu hay que auditar
RRHH
Activos (equipos, aplicaciones, infraestructuras,datos)
Polticas, procesos y procedimientos
Operacin TI
Gestin de Proyectos
Seguridad y Continuidad del Negocio
Servicios
Cumplimiento de normativas y estndares
Aspectos Organizativos
Presupuesto TI (CAPEX y OPEX)
Financiacin
MDTI
Auditora Informtica
Pg.6
IT Governance
Procesos orientados a asegurar un uso eficiente y efectivo de las TIC para

facilitar e impulsar la consecucin porparte de las organizaciones de sus
objetivos de negocio.
MDTI
Auditora Informtica
Pg.7
ITGovernance
Fuente:Gartner
MDTI
Auditora Informtica
Pg.8
Prioridades estratgicas delCIO
Prioridad
2008
2009
2010
Mejora de los procesos denegocio
Mejorar modelo degobierno
Reducircostes
Definir unmodelode provisinglobal
Definir unaorganizacinglobal
Mejorar la gestin deproveedores
Apoyar elcrecimiento
Mejorarposicionamiento
Mejorar eficienciadelivery
10
Gestin del talento y elequipo
10
10
Fuente:Penteo
MDTI
Auditora Informtica
Pg.9
Proyectosprioritarios para elCIO
Prioridad
2009
2010
Evolucin
BusinessIntelligence
BusinessIntelligence
Desktop
Seguridad
RenovarInfraest
GobiernoTIC
++
Seguridad
Desktop
Consolidar
CRM
++
GobiernoTIC
Consolidar
ActualizarERP
RenovarInfraest
--
Colaboracin
Reorganizacin
++
CRM
Softwarelibre
10
Softwarelibre
Colaboracin
-Fuente:Penteo
MDTI5
AuditoraInformtica
Sesin1/4
Pg.10
Ciclo demejoracontinua en el GobiernoTIC
Fuente:Penteo
MDTI5
AuditoraInformtica
Sesin1/4
Pg.11
Controles Generales Conocimientos Bsicos
Riesgo: una situacin de peligro no deseada por parte de una Organizacin en su operativa diaria. Entre
algunos de los ejemplos de riesgos podran clasificarse la posibilidad de sustraccin de cheques, el peligro de
desaparicin de equipos o de incendio de las instalaciones,etc.
Riesgo de Auditora: aqul en el que los registros contables de una Organizacin pueden contener errores
materiales u omisiones que un equipo de Auditora no detecta. Ejemplo: una proteccin incorrecta de las
Bases de Datos de Contabilidad si todo el personal puede escribir sobre las mismas, puede provocar el
riesgo de que los estados contables podran no ser correctos.
Riesgo de Negocio: a condiciones que podran tener impacto en la continuidad del negocio de la
Organizacin. Ejemplo: falta de un BCP.
Riesgo Informtico: el peligro de que alguno de los componentes de una instalacin informtica
(HW,SW o datos)sufra alguna prdida, omisin o situacin anmala.
MDTI
Auditora Informtica
Pg.12
Controles Generales Conocimientos Bsicos
Control: es una medida establecida para tratar de impedir, detectar o corregir una situacin no deseada,
anmala, incorrecta,y en definitiva, un riesgo.
Ejemplo: para impedir la sustraccin de equipos se pueden implantar controles consistentes en mantenerlos
todos en salas de acceso protegido.
Control Informtico: aquellos controles que intentan asegurar que el
desarrollo, puesta en marcha,
operacin y mantenimiento de un SI se comporten de manera planificada y controlada.
Ejemplos:
Autorizaciones para pasar programas de entorno desarrollo a productivo mediante firma de papel escrito.
Control para impedir el acceso simultneo a unfichero en modo lectura/escritura
MDTI
Auditora Informtica
Pg.13
Controles Generales Tipos de Controles
En base a su Alcance
Generales:afectan a toda la instalacin y dan idea de como se protege el centro informtico y la

informacin que a travs de l se maneja
De aplicacin: referidos a la entrada, proceso y salida de los datos que
Maneja la instalacin a travs de sus aplicaciones informticas
En base a su Ejecucin en el tiempo
Preventivos.Ej.: prohibir acceso a CPD en horario no laborable
Detectivos.Ej.: solicitar validacin de un nmero secreto si se introduce y no es correcto
Correctivos.Ej.:solicitar retransmisin de datos si se reciben incorrectos
Pg.14
ControlesGeneralesControlesGenerales
Direccin
Y
Gestin
Explotacin
Aplicaciones
Controles
Generales
Seguridad
Microinformtica
Comunicaciones
MDTI
Auditora Informtica
BBDD
Pg.15
Controles Generales Controles Generales
De Direccin y Gestin
Estructura y Organizacin del rea TIC
Estrategia del rea TIC
Rol del rea TIC en la estrategia corporativa
Desarrollo y mantenimiento de aplicaciones
Proceso de aprobacin y prueba del desarrollo de nuevas aplicaciones
Mantenimiento de aplicaciones existentes
Proceso de traspaso de aplicaciones a entornos de test y produccin
rea de Explotacin
Calendario y revisin del sistema de produccin
Supervisin del rea de produccin
Restricciones del acceso fsico a instalaciones
MDTI
Auditora Informtica
Pg.16
Controles Generales Controles Generales
Seguridad
Comunicacin y esfuerzo en el desarrollo de polticas de seguridad.
Procedimientos de administracin de las bases de datos de seguridad.
Seguimiento de las pistas de auditora.
Restricciones de acceso lgico a los recursos informticos
Microinformtica
Salvaguarda fsica.
Acceso lgico a sus recursos.
Protecciones antivirus.
Conexiones en redes o con ordenadores centrales
MDTI
Auditora Informtica
Pg.17
Controles Generales Controles de Aplicacin
Foco en datos y procesos
Relacionados con:
La captura, entrada, y registro de datos;
Proceso, salida y distribucin de informacin.
MDTI
Auditora Informtica
Pg.18
Controles Generales La Revisin de Controles Generales
El objetivo fundamental por el que realiza la revisiones de controles en los
entornos informticos es
garantizar al equipo de Auditora que el ambiente de controles informticos no supone un riesgo de

Auditora. En otras
palabras, que los listados e informacin que manejan,se obtienen de un
entorno
informtico razonablemente seguro.
Una revisin de controles generales permitir conocer,por ejemplo,si el traspaso de programas del entorno de
desarrollo al de produccin est adecuadamente controlado, pero no si se estn aplicando adecuadamente
polticas del cliente. Para ello habra que realizar pruebas especficas mediante herramientas TIC dedicadas a
este tipo de tareas.
MDTI
Auditora Informtica
Pg.19
Controles Generales Pasos a Seguir
Seleccionar reas de riesgo para la auditora
Cuestionarios
Entrevistas
Pruebas
Documentacin
Conclusiones
Informe Final
Opinin y Discusin
Recomendaciones
MDTI
Auditora Informtica
Pg.20
Controles Generales
Ejemplo de Cuestionario
MDTI
Auditora Informtica
Pg.21
Controles Generales
MDTI
Auditora Informtica
Pg.22
Controles Generales
MDTI
Auditora Informtica
Pg.23
El proceso de AuditoraTIC
MDTI
Auditora Informtica
Pg.24
La jerarqua de controles en lasTIC
MDTI
Auditora Informtica
Pg.25

Auditoria Informatica Sesion1

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Auditoria Informatica Sesion1

Diunggah oleh

Hak Cipta:

Format Tersedia

Auditora Informtica

La Funcin de Auditora TIC

El rol del Director TIC y su equipo

Metodologas, estndares y herramientas

Diagnstico independiente sobre los controles que, aplicados a los sistemas de

Permite juzgar con independencia si el negocio puede confiar en los sistemas de

Por qu y para qu la Auditora TIC

sofisticacin de los negocios

Dependencia de SI cada vez ms

los activos de informacin

Aumento inversionesTIC en las

Las TIC como va para robos, espionaje

Papel de lasTICen la calidad de

Aumentan flancos de vulnerabilidad en

La Auditoria proporciona confianza

* Control y conocimiento delos

Integracin de activos y recursos TIC

Objetivo de la Auditoria TIC

Asegurar quela alta dependencia de la tecnologa por parte del negocio no

y por tanto amenazas relevantes para su rentabilidad,posicin competitiva,

Qu hay que auditar

Activos (equipos, aplicaciones, infraestructuras,datos)

Polticas, procesos y procedimientos

Seguridad y Continuidad del Negocio

Cumplimiento de normativas y estndares

Presupuesto TI (CAPEX y OPEX)

Procesos orientados a asegurar un uso eficiente y efectivo de las TIC para

Prioridades estratgicas delCIO

Mejora de los procesos denegocio

Mejorar modelo degobierno

Definir unmodelode provisinglobal

Mejorar la gestin deproveedores

Gestin del talento y elequipo

Proyectosprioritarios para elCIO

Ciclo demejoracontinua en el GobiernoTIC

Controles Generales Conocimientos Bsicos

Controles Generales Conocimientos Bsicos

Control Informtico: aquellos controles que intentan asegurar que el

desarrollo, puesta en marcha,

operacin y mantenimiento de un SI se comporten de manera planificada y controlada.

Control para impedir el acceso simultneo a unfichero en modo lectura/escritura

Controles Generales Tipos de Controles

Generales:afectan a toda la instalacin y dan idea de como se protege el centro informtico y la

De aplicacin: referidos a la entrada, proceso y salida de los datos que

Maneja la instalacin a travs de sus aplicaciones informticas

En base a su Ejecucin en el tiempo

Preventivos.Ej.: prohibir acceso a CPD en horario no laborable

Detectivos.Ej.: solicitar validacin de un nmero secreto si se introduce y no es correcto

Correctivos.Ej.:solicitar retransmisin de datos si se reciben incorrectos

Controles Generales Controles Generales

Estructura y Organizacin del rea TIC

Estrategia del rea TIC

Rol del rea TIC en la estrategia corporativa

Desarrollo y mantenimiento de aplicaciones

Proceso de aprobacin y prueba del desarrollo de nuevas aplicaciones

Mantenimiento de aplicaciones existentes

Proceso de traspaso de aplicaciones a entornos de test y produccin

Calendario y revisin del sistema de produccin

Supervisin del rea de produccin

Restricciones del acceso fsico a instalaciones

Controles Generales Controles Generales

Comunicacin y esfuerzo en el desarrollo de polticas de seguridad.

Procedimientos de administracin de las bases de datos de seguridad.