Unidad III. Metodologías de control interno, seguridad y auditoria de informática AILYN LOPEZ...
-
Upload
tonio-ines -
Category
Documents
-
view
221 -
download
1
Transcript of Unidad III. Metodologías de control interno, seguridad y auditoria de informática AILYN LOPEZ...
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
AILYN LOPEZ PITTY
LEDA SEQUEIRA PICADO
KEVIN BARQUERO IROLA
Metodologías de auditoria informática
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informáticos, se pueden agrupar en dos grandes familias:
Cuantitativas: Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos.
Cualitativas: Están basadas en métodos estadísticos y lógica. Precisan de la colaboración de un profesional experimentado, pero requieren menos recursos humanos/tiempo que las metodologías cuantitativas.
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
Metodologías de auditoria informática
Las dos metodologías que comúnmente se utilizan más en Auditoria Informática son:
► Auditorías de Controles Generales: Dan una opinión sobre la habilidad de los datos del computador para la Auditoria financiera.
► Auditorías Internas: Está formada por recomendaciones de Plan de trabajo; deberá realizar cuestionarios y definir cuantas pruebas estime oportunas; además debe crear sus metodologías necesarias para auditar áreas o aspectos que defina en el plan auditor.
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
Etapas de la Metodología
El método de trabajo del auditor pasa por las siguientes etapas:
Alcance y objetivos de la auditoria informática
Estudio inicial del entorno auditable
Determinación de los recursos necesarios para realizar la auditoria
Elaboración del plan y de los programas de trabajo
Actividades propiamente dichas de la auditoria
Confección y redacción del informe final
Redacción de la carta de introducción o carta de presentación del informe final
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
Control interno informático. Sus métodos y procedimientos
El control informático es el componente de la actuación segura entre los usuarios, la informática y control interno, todos ellos auditados por auditoría informática.
Algunos objetivos del Control Interno Informático, podemos indicar los siguientes:
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas al grupo.
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
Métodos y procedimientos del Control Interno Informático
Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control, y por lo tanto deben estar documentados y aprobados por la Dirección.
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
La Función de Control
La tendencia generalizada es contemplar al lado de la figura del auditor informático, la de control interno informático. I.S.A.C.A. (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION).
La función de Control Informático Independiente debería ser en primer lugar independiente de él. La seguridad de sistemas abarca un campo mucho mayor de lo que es la seguridad lógica.
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
La Función de Control
Algunas de las funciones del control informático son las siguientes: Administración de la seguridad lógica.
Definir los procedimientos de control.
Controles de soportes físicos.
Las diferencias entre las funciones del control interno informático y las de la auditoría informática son:
El área informática monta los procesos informáticos seguros.
El control interno monta los controles.
La auditoría informática evalúa el grado de control.
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
Metodología de clasificación de la información
Identificar contramedidas: para distintas identidades de información con el fin de optimizar la eficiencia de las contramedidas y reducir los costos.
Entidad de información: proteger el entorno informático.
Metodología del tipo cualitativo/subjetivo y preservación:
Estratégica (muy confidencial, muy restringida)
Restringida (a los propietarios de la información)
De uso interno (a todos los empleados)
De uso general (sin restricción)
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
Identificación de la información
Inventario de entidades de información residente y operativa
Identificación de propietarios
Definición de jerarquías de información
Definición de la matriz de clasificación
Confección de la matriz de clasificación
Realización del plan de acciones
Implantación y mantenimiento
Metodología de clasificación de la información
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
Metodología de obtención de los procedimientos de control
Fase 1: Definición de objetivos de control: Tarea 1: Análisis de la empresa
Tarea 2: Recopilación de estándares
Tarea 3: Definición de los objetivos de control
Fase 2: Definición de los controles: Tarea 1: Definición de los controles
Tarea 2: Definición de necesidades tecnológicas
Tarea 3: Definición de los procedimientos de control
Tarea 4: Definición de las necesidades de recursos humanos
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
Fase 3: Implantación de los controles: Procedimientos propios de control de la actividad informática
Procedimiento de distintas áreas usuarias de la informática, mejorados
Procedimientos de áreas informáticas mejorados
Procedimiento de control dual entre control interno informática y el área informática, los usuarios informáticos y el área de control no informático.
Metodología de obtención de los procedimientos de control
Unidad III. Metodologías de control interno, seguridad y auditoria de informática
Las herramientas del Control
Las herramientas de control son elementos software que por sus características funcionales permiten vertebrar un control de una manera más actual y más automatizada.
Las herramientas de control (software) más comunes son:
Seguridad lógica del sistema.
Control de copias.
Gestión de soportes magnéticos.
Control de proyectos.
Control de cambios
Unidad III. Metodologías de control interno, seguridad y auditoria de informática