Unidad III. Metodologías de control interno, seguridad y auditoria de informática AILYN LOPEZ...

Unidad III. Metodologías de control interno, seguridad y auditoria de informática

AILYN LOPEZ PITTY

LEDA SEQUEIRA PICADO

KEVIN BARQUERO IROLA

Metodologías de auditoria informática

Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informáticos, se pueden agrupar en dos grandes familias:

Cuantitativas: Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos.

Cualitativas: Están basadas en métodos estadísticos y lógica. Precisan de la colaboración de un profesional experimentado, pero requieren menos recursos humanos/tiempo que las metodologías cuantitativas.


Metodologías de auditoria informática

Las dos metodologías que comúnmente se utilizan más en Auditoria Informática son:

► Auditorías de Controles Generales: Dan una opinión sobre la habilidad de los datos del computador para la Auditoria financiera.

► Auditorías Internas: Está formada por recomendaciones de Plan de trabajo; deberá realizar cuestionarios y definir cuantas pruebas estime oportunas; además debe crear sus metodologías necesarias para auditar áreas o aspectos que defina en el plan auditor.


Etapas de la Metodología

El método de trabajo del auditor pasa por las siguientes etapas:

Alcance y objetivos de la auditoria informática

Estudio inicial del entorno auditable

Determinación de los recursos necesarios para realizar la auditoria

Elaboración del plan y de los programas de trabajo

Actividades propiamente dichas de la auditoria

Confección y redacción del informe final

Redacción de la carta de introducción o carta de presentación del informe final


Control interno informático. Sus métodos y procedimientos

El control informático es el componente de la actuación segura entre los usuarios, la informática y control interno, todos ellos auditados por auditoría informática.

Algunos objetivos del Control Interno Informático, podemos indicar los siguientes:

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas al grupo.


Métodos y procedimientos del Control Interno Informático

Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control, y por lo tanto deben estar documentados y aprobados por la Dirección.


La Función de Control

La tendencia generalizada es contemplar al lado de la figura del auditor informático, la de control interno informático. I.S.A.C.A. (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION).

La función de Control Informático Independiente debería ser en primer lugar independiente de él. La seguridad de sistemas abarca un campo mucho mayor de lo que es la seguridad lógica.


La Función de Control

Algunas de las funciones del control informático son las siguientes: Administración de la seguridad lógica.

Definir los procedimientos de control.

Controles de soportes físicos.

Las diferencias entre las funciones del control interno informático y las de la auditoría informática son:

El área informática monta los procesos informáticos seguros.

El control interno monta los controles.

La auditoría informática evalúa el grado de control.


Metodología de clasificación de la información

Identificar contramedidas: para distintas identidades de información con el fin de optimizar la eficiencia de las contramedidas y reducir los costos.

Entidad de información: proteger el entorno informático.

Metodología del tipo cualitativo/subjetivo y preservación:

Estratégica (muy confidencial, muy restringida)

Restringida (a los propietarios de la información)

De uso interno (a todos los empleados)

De uso general (sin restricción)


Identificación de la información

Inventario de entidades de información residente y operativa

Identificación de propietarios

Definición de jerarquías de información

Definición de la matriz de clasificación

Confección de la matriz de clasificación

Realización del plan de acciones

Implantación y mantenimiento

Metodología de clasificación de la información


Metodología de obtención de los procedimientos de control

Fase 1: Definición de objetivos de control: Tarea 1: Análisis de la empresa

Tarea 2: Recopilación de estándares

Tarea 3: Definición de los objetivos de control

Fase 2: Definición de los controles: Tarea 1: Definición de los controles

Tarea 2: Definición de necesidades tecnológicas

Tarea 3: Definición de los procedimientos de control

Tarea 4: Definición de las necesidades de recursos humanos


Fase 3: Implantación de los controles: Procedimientos propios de control de la actividad informática

Procedimiento de distintas áreas usuarias de la informática, mejorados

Procedimientos de áreas informáticas mejorados

Procedimiento de control dual entre control interno informática y el área informática, los usuarios informáticos y el área de control no informático.

Metodología de obtención de los procedimientos de control


Las herramientas del Control

Las herramientas de control son elementos software que por sus características funcionales permiten vertebrar un control de una manera más actual y más automatizada.

Las herramientas de control (software) más comunes son:

Seguridad lógica del sistema.

Control de copias.

Gestión de soportes magnéticos.

Control de proyectos.

Control de cambios


Unidad III. Metodologías de control interno, seguridad y auditoria de informática AILYN LOPEZ...

Documents

Transcript of Unidad III. Metodologías de control interno, seguridad y auditoria de informática AILYN LOPEZ...