AUDITORIA INFORMATICA

26
AUDITORIA A LOS SISTEMAS INFORMATICOS Conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, eficacia, seguridad , control y adecuación del servicio

description

infor

Transcript of AUDITORIA INFORMATICA

  • AUDITORIA A LOS SISTEMAS INFORMATICOSConjunto de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin, eficacia, seguridad , control y adecuacin del servicio informtico en la empresa

  • REQUISITOS PARA LA AUDITORIA INFORMATICADebe seguir una metodologa preestablecidaSe realiza en una fecha precisa y fijaSe realiza con personal extrao al servicio de informatica

  • OBJETIVOSRevisar el organigrama del Dpto. y el general de la empresaComprobar la estructura actual con la definidaComprobar los medios de seguridad con que se va a dotar al sistemaEvaluar el rendimiento de un sistema en marcha

  • OBJETIVOSComprobar la existencia de normas escritas para el personal que utiliza el sistemaVerificar los planes de mantenimiento preventivo de las instalacinDeterminar si el hardware se utiliza eficientementeRevisar el inventario de hardware

  • OBJETIVOS

    Examinar los controles de acceso fsicoDeterminar que el proceso para usuarios esta sujeto a controles adecuadosRevisar los procedimientos de planificacin y mantenimiento del software del sistemaComprobar la seguridad e integridad de la base de datos

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINMODELO DE RIESGO (*)RIESGOS

    VULNERABILIDAD IMPACTOPROTECCION (**)

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINRIESGOLa probabilidad de que se d un error, falle un proceso, o tenga lugar un hecho negativo para la empresa u organizacin, incluyendo la posibilidad de fraudes

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINel MECANISMO o PROCEDIMIENTO que EVITA o PREVIENE un RIESGOCONTROL

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINel sistema de control interno en TI est constituido por las polticas, procedimientos, prcticas y estructuras organizativas diseadas para proveer una seguridad razonable que los objetivos empresariales o de negocio sern alcanzados o logrados y que los sucesos indeseados sern detectados, prevenidos y corregidos COBIT (Governance, control and Audit for Information and Related Technology)

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINRiesgos y controles en procesos operativos MANUALESRiesgos y controles en procesos operativos AUTOMATIZADOS

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACIN

    CONTROLES

    COMPLEMENTARIOS e INTERDEPENDIENTES

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINCONTROL INTERNORevisin peridica de procedimientos de controles establecidosDeteccin de riesgosSeguimiento de errores o irregularidades

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACIN dificultad para implantar unaadecuada segregacin de funciones obtencin de evidencias o pistasde auditora relevantes, fiables y eficientes complejidad tecnolgica

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINSEGREGACIN de FUNCIONES

    Establecer una divisin de roles y responsabilidades que excluyan la posibilidad que una SOLA PERSONA PUEDA DOMINAR un PROCESO CRTICO

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINVOLATILIDAD Y FACILIDAD de MANIPULACIN de

    las EVIDENCIAS, los REGISTROS y los PROCESOS

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINLas caractersticas estructurales de los controles estn evolucionando a la misma velocidad y en la misma forma de cambio acelerado, que estn experimentando las tecnologasEjercicio continuado de investigacin aplicada a los controles en TI

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINNo admiten desviacionesProvienen de la DireccinPOLITICASGeneralmente abarcanobjetivos, las metas, filosofas, cdigos ticos, y los esquemas de responsabilidades

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINPROCEDIMIENTOS Brindan los pasos especficosnecesarios para lograr las metas Son las medidas o dispositivosnecesarias para lograr las directrices de las polticasEvolucionan con la tecnologa, la estructura organizativa, y se componen de medidas organizativas y tcnicas

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINSEGREGACIN de FUNCIONESIDENTIFICACIN de RESPONSABILIDADINDEPENDENCIA de la SUPERVISINEn los aspectos organizativos

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACIN

    La Direccin deber decidirsobre el nivel de riesgo que est dispuesta a aceptar, ello implica equilibrar el riesgo y el costo Los usuarios de los servicios deT.I. tienen una necesidad creciente de disponer de una SEGURIDAD RAZONABLE

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINCONTROLES versus COSTE/BENEFICIO de los CONTROLESTodo control y medida preventiva implica un coste monetario para su IMPLANTACIN y MANTENIMIENTO

    NO siempre es fcil IDENTIFICAR yCUANTIFICAR que riesgos pueden provocar dao o fraude, y que prdidas concretasDesembolso que puede evitar prdidas mayores en el futuro, y por lo tanto puede dar lugar a la RECUPERACIN de la INVERSIN

  • CONTROL INTERNO AUDITORA DE SISTEMAS DE INFORMACINESQUEMA BSICOMATERIALIDAD de los RIESGOSCONTROLES NECESARIOSCOMPARACION de CONTROL versus COSTEDEFINICIN de los CONTROLES

  • DEBATE AUDITORA DE SISTEMAS DE INFORMACINUn auditor de SI est auditando los controles relativos al despido/retiro de empleados. Cul de los siguientes aspectos es el ms importante que debe ser revisado?

    El personal relacionado de la compaa es notificado sobre el despido/retiroEl usuario y las contraseas del empleado han sido eliminadasLos detalles del empleado han sido eliminados de los archivos activos de la nminaLos bienes de la compaa provistos al empleado han sido devueltos

  • DEBATE AUDITORA DE SISTEMAS DE INFORMACINCuando se revisa un acuerdo de nivel de servicio para un centro de cmputo contratado con terceros (outsourcing), un auditor de SI debera PRIMERO determinar que

    El coste propuesto para los servicios es razonableLos mecanismos de seguridad est especificados en el contratoLos servicios contratados estn basados en un anlisis de las necesidades del negocioEl acceso de la auditora al centro de cmputo est permitido conforme al contrato

  • DEBATE AUDITORA DE SISTEMAS DE INFORMACINUn auditor de SI que hace una auditora de procedimiento de monitoreo de hardware debe revisar:

    reportes de disponibilidad del sistemareportes coste-beneficioreportes de tiempo de respuestareportes de utilizacin de bases de datos

  • DEBATE AUDITORA DE SISTEMAS DE INFORMACINUn auditor de SI cuando revisa una red utilizada para las comunicaciones de Internet, examinar primero

    la validez de los casos en que se hayan efectuado cambios de contraseala arquitectura de la aplicacin cliente/servidorla arquitectura y el diseo de la redla proteccin de firewall y los servidores proxy


Auditoria informatica

Auditoria informatica

AUDITORIA INFORMATICA,

AUDITORIA INFORMATICA,

auditoria informatica

auditoria informatica

Auditoria informatica

Auditoria informatica