Modelos Control Utilizados en Auditoria Informatica

Agosto 23, 2013

Explicación del descriptor

Concepto de auditoria

Auditor informático

Concepto de auditores (control)

à recolección de información, análisis de EVIDENCIAS (fuertes o débiles) à opinar à recomendar

Auditar

Consiste en estudiar los mecanismos de control que están implementados en una empresa u organización para determinar si los mismos son adecuados y cumplen unos objetivos o estrategias, estableciendo los cambios que se deberían establecer para la consecución de los mismos considerando la evaluación de las evidencias de los riesgos y los controles.

Auditoria

Informática

El contenido es una opinión, el objeto son los sistemas de información, planes, proyectos, etc; y la finalidad es la operatividad (que esté funcionando correctamente)

Auditoria de Gestión

El contenido es una opinión, el objeto es la dirección (gerencia), y la finalidad es la eficacia, la eficiencia y la economicidad

Auditoria  de Cumplimiento

El contenido es una opinión, el objeto son las normas establecidas y la finalidad es verificar si se opera de acuerdo a ciertas normas

Otras auditorias

Auditorias Totales

Auditorias Parciales

Auditorias permanentes (las poseen los bancos)

Auditorias verificativas (para verificar una normativa constantemente)

Auditorias técnicas (se encuentran varias auditorias)

Concepto de consultoría

La consultoría consiste en dar asesoramiento o consejo sobre lo que se ha de hacer, o como llevar a cabo adecuadamente una determinada actividad para obtener los fines deseados. Las diferencias con la auditoria son evidentes.

Auditoria = opinión de cómo se está haciendo (el que)

Consultoría =  opinión de cómo se debe hacer (el cómo)

Clases de consultoría

Consultoría financiera

El contenido es el asesoramiento; el objeto son planes de cuenta, procedimientos, etc; y la finalidad es el diseño, la implementación y procedimientos administrativos

Consultoría informática

El contenido es el asesoramiento; el objeto son aplicaciones, son planes, etc; y la finalidad es el desarrollo, implementación de planes, etc.

Definición de la auditoria informática

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información o proceso informático salvaguarda los “activos empresariales informáticos”, mantiene la integridad de los datos y lleva a cabo eficazmente los fines de la organización utilizando eficientemente los recursos.

Activos:

Equipos Sistemas Información (preocuparse por la integridad de los datos) Personal Infraestructura Certificaciones Documentación

Objetivos de la auditoria informática

Control de la función informática, Controlar las áreas críticas del negocio (Los procesos críticos son los que están relacionados directamente con los objetivos del negocio) La operatividad (que los sistemas estén arriba y funcionando correctamente dependiendo de lo establecido por la organización) Seguridad física y seguridad lógica (con el control de acceso, seguros, vías de escape, plan de contingencia, redes, etc) Identificación de las áreas de mejora (donde el control se puede mejorar) Atenuación de los riesgos (disminuir en base a planes e identificación del control que se puede mejorar) Análisis de la eficiencia y eficacia de los sistemas informáticos (a los sistemas que están funcionando mal se le busca una solución en base al análisis) Verificación del cumplimiento de la normativa (que normas se están cumpliendo) La revisión de la gestión de los recursos informáticos La protección de los activos y La integridad de los datos

Aportes de la auditoria informática al mejoramiento de la organización

La eficiencia, la eficacia, la calidad, la rentabilidad, la seguridad, la pro actividad y la estandarización, a la economicidad

Tipos de auditorias informáticas

Existen auditorias informáticas internas y externas

La auditoría interna es la realizada con recursos materiales y personal que pertenece a la organización auditada.

Razones para una auditoria externa (existiendo una interna)

Agosto 30, 2013

Razones para una auditoria externa (existiendo una interna)

Existen 3 tipos de auditorías externas:

Necesidad de auditar una materia de gran especialización para lo cual los auditores internos no están suficientemente capacitados. Servir como mecanismo protector de posibles auditorias informáticas externas decretadas por la misma empresa.Aunque pueden aparecer como sugerencias para eliminar las debilidades ante dichas, estas sugerencias son plasmadas en el informe de la auditoria que recibe el nombre de “recomendaciones”

Causas que justifican auditorias informáticas

Síntomas de descoordinación y desorganización del departamento de informática. Cuando no coinciden los objetivos de la informática con los objetivos del negocio (desalineamiento)  Cuando los estándares de reutilidad se desvían sensiblemente de los promedios habitualmente conseguidos cuando ocurre un cambio en la reubicación del personal. Síntomas de inseguridad (tiene que ver con la seguridad física y lógica) Problemas relacionados con la confidencialidad, la integridad y con la disponibilidad de la información (seguridad informática).(Controles de acceso, sistemas para prevenir incendio)

La calidad en el producto de software

Queremos un software fácil de aprender y usar, de rápida ejecución, que tiene la funcionalidad apropiada, que no contiene ningún error, a prueba de intrusos, que funciona en todos los computadores, que es fácil de modificar frente a nuevas necesidades De todas las anteriores, ¿Qué es lo que más importa para este proyecto en particular?El que tiene convenio en chile es la universidad de chile en el área de auditoria. CISM: certificación para administradores experimentados de seguridad informática.Al mismo tiempo esta idea supone cumplir con reglas importantes y cumplimientos a fin de que se tengan los resultados esperados y aprobados para la actividad en cuestión.

Dentro de estas normas una parte importante son las normas relacionadas con la informática.

Informe COSO

El coso es como el abecedario de como es el control

CMMI

Modelo de madurez, son 5 niveles que va del 0 al 5 y que certifican fundamentalmente a la empresa u organización.

Empresas certificadoras ISO

AENOR CHILE S.A. DET NORSKE VERITAS CHILE LLOYT REGISTRER

Áreas de Desarrollo de la auditoria informática según ISACA

Se desarrolla en:

Gobierno de TI (no tiene más de 5 años y el COBIT 5.0 está orientado a este tipo de gobierno) Ciclo de vida de los sistemas (tiene que ver completamente con el desarrollo) Servicios de entrega y soporte (es la entrega del servicio dentro de los servidores y el apoyo a la gestión es el soporte) Seguridad y protección Planes de continuidad y recuperación de desastres.

HtmlImg.png

Septiembre 6, 2013

 

HtmlImg2.pngHtmlImg3.pngHtmlImg4.pngHtmlImg5.pngHerramientas para obtener evidencias (antes hay que estudiar el tema)

Áreas de la auditoria informática

Auditoria de la explotación Auditoria del desarrollo Auditoria de sistemas Auditoria de redes

Auditoria de seguridad Auditoria de la ofimática Auditoria de la dirección Auditoria de mantenimiento Auditoria de la base de datos Auditoria de la calidad Auditoria de proyecto

Cuestionario: generara preguntas para preguntar

Entrevista: elegir a las personas a entrevistar y formular sobre que materias se va a preguntar

Cheq_list: encuestas que se realizan constantemente

Observación: de como se hace ejemplo el respaldo que tiene que tener procedimientos administrativos

Software de auditoria: hay varios software y varias versiones, el más importante es el acl

HtmlImg7.pngHtmlImg8.png

Áreas de la auditoria informática


Auditoria de explotación u operación

Es la fábrica de datos donde se encuentran los servidores, requiere que en ellas trabajen mucha gente y de distintas especialidades.

Sistemas Planificación Producción Soporte: Entrega de datos Planificación de operaciones Control y seguimiento de trabajos Batch Tiempo Real Nivel de servicio Almacenamiento Respaldo Necesidad de impresión etc Operación sala de ordenadores Control de la red Help desk (mesa de ayuda)

La explotación u operaciones es la parte más importante de la informática

Auditoria del Desarrollo

La función de desarrollo o ciclo de vida engloba muchas áreas, tantas como sectores informatizarles tenga la empresa.