Escolar Documentos
Profissional Documentos
Cultura Documentos
Electiva II
Facultad de Ingenieras
POLITCNICO COLOMBIANO JAIME ISAZA CADAVID
Medelln, Colombia
CONTENIDO DE LA UNIDAD
Glosario de Trminos
Auditora Informtica
Definicin Informtica.
Concepto de Auditora Informtica.
Campos de Auditora Informtica.
Auditor Informtico.
GLOSARIO DE TERMINOS
TIC Tecnologa de la Informacin y las
Comunicaciones: se encargan del estudio, desarrollo,
implementacin, almacenamiento y distribucin de la
informacin mediante la utilizacin de hardware y
software como medio de sistema informtico.
SI SSII - Sistema(s) de Informacin: es el conjunto
de personas, datos y actividades que procesan los
datos y la informacin en una determinada empresa,
incluyendo procesos manuales y automticos.
Se define como un conjunto de procesos planificados,
para dar soporte y ejecutar una actividad.
3
GLOSARIO DE TERMINOS
EFICACIA: Es la capacidad de lograr unos objetivos
deseados o esperados.
EFICIENCIA: Es la capacidad de lograr el objetivo en
cuestin con el mnimo posible de recursos.
AMENAZA: Personas o cosas vistas como posible
fuente de peligro o catstrofe.
VULNERABILIDAD: Situacin creada por la falta de
uno o varios controles, con lo que la amenaza se
pudiera materializar y afectar el entorno informtico.
4
GLOSARIO DE TERMINOS
AMENAZA:
Criminalidad y Cibercrimen.
Sucesos de Origen fsico.
Negligencia y decisiones institucionales.
VULNERABILIDAD:
Ambientales y fsicas
Econmica.
Socio-Educativa.
Institucional y Poltica.
5
GLOSARIO DE TERMINOS
RIESGO: Probabilidad de que una amenaza llegue a
suceder por una vulnerabilidad.
EXPOSICIN O IMPACTO: Es la evaluacin del efecto
del riesgo. Es muy frecuente evaluar el impacto en
trminos econmicos.
CONFIDENCIALIDAD: Es el nivel de proteccin que
tiene la informacin con el fin de que la misma no
pueda se accedida por personas no autorizadas.
GLOSARIO DE TERMINOS
INTEGRIDAD: Se refiere a que la informacin sea
exacta y completa; adems de que sta haya sido
validada apropiadamente.
DISPONIBILIDAD: Consiste en tener la informacin
actual e histrica disponible cuando la misma fuese
requerida.
CONFORMIDAD: Es garantizar que la informacin
cumple con las necesidades del negocio y con su
normativa
aplicable
(Leyes,
Reglamentos,
Regulaciones)
7
GLOSARIO DE TERMINOS
FIABILIDAD: Consiste en la provisin de la
informacin apropiada a la Administracin, para que
sta tenga el respaldo apropiado para ejercer sus
responsabilidades sobre los informes que publican y
firman.
APLICACIONES: Conjunto
manuales y automticos.
de
procedimientos
GLOSARIO DE TERMINOS
DATOS: Todo registro de operaciones, manipulaciones
y transformaciones que se hayan dado sobre los
mismos, sean stos numricos, alfanumricos,
estructurados, no estructurados y multimedia.
PERSONAL:
Comprende
las
habilidades,
conocimientos y capacidades para planificar,
organizar, adquirir, implantar, sustentar y monitorear
Sistemas de Informacin.
OBJETIVOS DE CONTROL: Son los objetivos a cumplir
en el control de procesos. Es un concepto clave en
Auditora Informtica.
9
AUDITORA INFORMTICA
Informtica: Se deriva del francs Informatique. La
palabra se forma de la conjuncin de Information y
automatique. Su creacin se da con el fin de dar una
alternativa menos tecnocrtica y mecnica del concepto
de proceso de datos.
En 1966 la Acadmica Francesa reconoce este nuevo
concepto y lo defini como:
Ciencia del tratamiento sistemtico y eficaz, realizado
especialmente mediante mquinas automticas, de la
informacin como vehculo del saber humano y de la
comunicacin en los mbitos tcnico, econmico y social.
10
AUDITORA INFORMTICA
Definicin
Ron Weber: (1988). La auditora informtica es
el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema
informtico salvaguarda los activos, mantiene
la integridad de los datos, lleva a cabo los fines
de la organizacin y utiliza eficientemente los
recursos.
En el anlisis no se deben contemplar
nicamente los aspectos tcnicos, sino tambin
los aspectos de gestin y planificacin.
11
AUDITORA INFORMTICA
Definicin
Mair William: (1978). Es la verificacin de
controles en las siguientes tres reas de la
organizacin (Informtica):
Aplicaciones (Programas de Produccin).
Desarrollo de Sistemas.
Instalaciones del Centro de Cmputo.
12
AUDITORA INFORMTICA
Definicin
Segn Piattini & Del Peso (2001), es el proceso
de recoger, agrupar y evaluar evidencias para
determinar si un sistema informtico
salvaguarda los activos, mantiene la integridad
de los datos, lleva a cabo eficazmente los fines
de la organizacin y utiliza eficientemente los
recursos.
13
AUDITORA INFORMTICA
La auditora informtica sustenta y confirma la
consecucin de los objetivos tradicionales de la
Auditora:
AUDITORA INFORMTICA
Principales Objetivos
Salvaguardar los Activos: Proteccin de HW,
SW y Recursos Humanos.
Integridad de los datos: Consistencia y no
duplicidad.
Efectividad de los sistemas: Cumplimiento de
los objetivos Organizacionales.
Eficiencia de los sistemas: Cumplir con los
objetivos con los menores recursos.
Seguridad y confidencialidad.
15
18
19
AUDITORA INFORMTICA
Auditor Informtico
Persona con conocimientos en:
Informtica
Normas, procedimientos y tcnicas
auditora.
Tcnicas de comunicacin.
Legislacin Informtica.
Gerencia de Proyectos.
Seguridad Fsica y Lgica de SI.
Administracin de Bases de Datos.
Metodologas de desarrollo de software.
de
21
AUDITORA INFORMTICA
Auditor Informtico
El objetivo del auditor es evaluar y comprobar en
determinados momentos del tiempo los controles
y procedimientos informticos ms complejos, los
cuales son objeto del anlisis, desarrollando y
aplicando metodologas de auditora.
Actualmente no es posible verificar manualmente
procedimientos informatizados que resumen,
calculan, clasifican datos, por lo que se deber
emplear software de auditora CAATS .
22
AUDITORA INFORMTICA
Auditor Informtico
El auditor es responsable de revisar e informar a
la Direccin de la Organizacin sobre el diseo y
funcionamiento de los controles implantados, as
como la fiabilidad de la informacin suministrada.
23
AUDITORA INFORMTICA
Funciones del Auditor Informtico
1. Participar en las revisiones durante y despus del
diseo, realizacin, implantacin y explotacin de
aplicaciones informticas, as como en las fases
anlogas de realizacin de cambios importantes.
2. Revisar y analizar los controles implantados en los
sistemas de informacin para verificar su
adecuacin de acuerdo a las directrices de la
Direccin, requisitos legales, proteccin de
confidencialidad y cobertura ante errores y fraudes.
24
AUDITORA INFORMTICA
Funciones del Auditor Informtico
3. Revisar y analizar el nivel de eficacia, utilidad,
fiabilidad y seguridad de los equipos y sistemas
informticos en general.
Es importante aclarar que stos son los 3 grandes
grupos de funciones y cada uno de ellos es
conformado por otras sub-funciones, segn el alcance
de la auditora.
25
AUDITORA INFORMTICA
Diferencias Control Interno y Auditora
Informtica
La auditora informtica es la revisin independiente del control interno
informtico
CONTROL INTERNO INFORMATICO
AUDITORA INFORMTICA
Semejanzas
Diferencias
26
AUDITORA INFORMTICA
Contramedidas:
Tambin conocidos como Controles. En trminos
generales, son un conjunto de acciones y medidas
destinadas a proteger y preservar la informacin y los
medios de procesos de una organizacin (Piattini &
Del Peso, 2001).
El nivel de seguridad de una organizacin est
relacionado de forma directa con la eficacia y calidad
de los controles implantados.
27
AUDITORA INFORMTICA
Elementos que conforman una Contramedida
AUDITORA INFORMTICA
Contramedidas: Elementos
LAS NORMATIVAS: Definen de forma clara y precisa
lo que debe existir y ser cumplido desde el punto
vista conceptual como prctico. Permiten ir de lo
general a lo particular. Se inspira en estndares,
polticas, marco jurdico, normas corporativas,
experiencias y prcticas profesionales.
LA ORGANIZACIN: Conformada por personas con
funciones especificas, actuaciones concretas y
procedimientos definidos y aprobados por la
Direccin de la Organizacin. Es el aspecto ms
importante para la creacin de controles.
29
AUDITORA INFORMTICA
Contramedidas: Elementos
LAS
METODOLOGAS:
Fundamentales
para
desarrollar cualquier proyecto de forma ordenada y
eficaz.
LOS OBJETIVOS DE CONTROL: Es lo que debe cumplir
(lograr) el control de procesos. Es el elemento ms
importante despus de la LA ORGANIZACIN.
LOS PROCEDIMIENTOS DE CONTROL: Procedimientos
operativos de las distintas reas de la organizacin.
Permiten la consecucin de uno o varios Objetivos
de Control. Deben ser documentados y aprobados
por la Direccin de la Organizacin.
30
AUDITORA INFORMTICA
Contramedidas: Elementos
TECNOLOGA DE SEGURIDAD: Conformadas por
elementos de HW y SW que ayudan a controlar y
mitigar un determinado riesgo informtico.
LAS HERRAMIENTAS DE CONTROL: Elementos
software que ayudan a definir uno o varios
procedimientos de control para cumplir con una
normativa (interna o externa) y un objetivo de
control.
31
AUDITORA INFORMTICA
Organizacin interna de la Seguridad Informtica
METODOLOGAS DE EVALUACIN DE
SISTEMAS
33
METODOLOGAS DE EVALUACIN DE
SISTEMAS
MTODO: Modo de decir o hacer con orden una cosa
(Diccionario de la Lengua de la Real Acadmica
Espaola).
METODOLOGA: Conjunto de mtodos que se siguen
en una investigacin cientfica o una exposicin
doctrinal (Diccionario de la Lengua de la Real
Acadmica Espaola).
SEGURIDAD DE LOS SISTEMAS DE INFORMACIN:
Doctrina que trata de los riesgos informticos o
creados por la informtica.
34
METODOLOGAS DE EVALUACIN DE
SISTEMAS
RIESGO: Probabilidad de que una amenaza llegue a
suceder por una vulnerabilidad. Los riesgos se
pueden:
Evitar: Ej: No construir un centro de datos
donde hay peligro constante de inundacin.
Transferir: Ej: Uso de un centro de cmputo
contratado.
Reducir: Ej: Sistemas de deteccin y extincin
de incendios.
Asumir: Es lo que se hace sino se controla el
riesgo en absoluto.
35
METODOLOGAS DE EVALUACIN DE
SISTEMAS
Las dos metodologas de evaluacin de sistemas ms
relevantes son:
Anlisis de Riesgo: Facilita la evaluacin de los
riesgos y recomienda acciones con base en el
costo-beneficio de las misma.
Auditora Informtica: Identifica el nivel de
exposicin por la falta de controles.
36
METODOLOGAS DE EVALUACIN DE
SISTEMAS
Tipos de Metodologas
Cuantitativas: Basadas en modelos matemticos
que ayudan a la realizacin del trabajo.
Cualitativas: Basadas en el criterio y raciocinio
humano, el cual es capaz de definir un proceso de
trabajo teniendo en cuenta la experiencia
acumulada.
37
METODOLOGAS DE EVALUACIN DE
SISTEMAS
Metodologas Cuantitativas
Sirven para producir una lista de riesgos que
pueden compararse entre si, porque tienen
asignados unos valores numricos.
Dichos valores son datos de probabilidad de
ocurrencia (riesgo) de evento basadas en modelos
matemticos que ayudan a la realizacin del
trabajo.
Algunos coeficientes utilizados en estas
metodologas son: A.L.E.
(Anualized Loss
Expectancy) y el R.O.I (Return of Investment).
38
METODOLOGAS DE EVALUACIN DE
SISTEMAS
Metodologas Cualitativas/Subjetivas
Se basan en mtodos estadsticos y lgica borrosa
(fuzzy logic).
Para su aplicacin requieren de un profesional
experimentado.
Consumen menos recurso humano y tiempo
respecto las metodologas cuantitativas.
39
METODOLOGAS DE EVALUACIN DE
SISTEMAS
Las metodologas ms comunes son:
Anlisis de Riesgos.
Plan de Contingencia.
40
METODOLOGAS DE EVALUACIN DE
SISTEMAS
Anlisis de Riesgo
Son desarrolladas para la identificacin de la falta
de controles y el establecimiento de un plan de
contra medidas (Plan de seguridad).
Pueden ser cuantitativas y cualitativas, la cuales
se diferencia en la utilizacin del modelo
matemtico y el sistema de simulacin.
41
Etapa 1
Etapa 2
Calcular el Impacto
Etapa 3
Etapa 4
Simulaciones
Etapa 5
Etapa 6
METODOLOGAS DE EVALUACIN DE
SISTEMAS
Plan de Contingencias
Es una estrategia planificada constituida por:
Conjunto de recursos de respaldo.
Organizacin de Emergencia.
Procedimientos
de
actuacin
para
conseguir una restauracin progresiva y
gil de los servicios del negocio
Tambin es conocidos como Plan de Recuperacin
del Negocio.
43
METODOLOGAS DE EVALUACIN DE
SISTEMAS
Plan de Contingencias
Se debe diferenciar del plan de restauracin
interno, lo cual no afecta gravemente la
continuidad del negocio.
Los conceptos a considerar son La Continuidad
y El Negocio.
Estudia todo lo que puede paralizar la actividad y
producir prdidas.
44
METODOLOGAS DE EVALUACIN DE
SISTEMAS
Plan de Contingencias: Segn Piattini & Del Peso,
(2001), Sus fases son:
Fase 1: Anlisis y diseo
Fase 2: Desarrollo del Plan
Fase 3: Pruebas y Mantenimiento
45
PLAN DE CONTINGENCIA
Fase 1: Anlisis y Diseo
Se estudia la problemtica, las necesidades de
recursos, las alternativas de respaldo y los costos
beneficios de las mismas.
Es la fase ms importante, porque permite
concluir si es viable o es muy costoso el
seguimiento del plan.
Se pueden utilizar dos metodologas:
Risk Analysis
Business Impact Analysis (BIA)
46
PLAN DE CONTINGENCIA
Fase 1: Anlisis y Diseo
Risk Analysis: Comprende las siguientes tareas:
1. Identificacin de Amenazas.
2. Anlisis de la probabilidad de materializacin
de las amenazas.
3. Seleccin de amenazas.
4. Identificacin de entornos amenazados.
5. Identificacin de servicios afectados.
47
PLAN DE CONTINGENCIA
6. Estimacin del impacto econmico
paralizacin de cada servicio.
por
de
alternativas
para
los
PLAN DE CONTINGENCIA
Fase 1: Anlisis y Diseo
Business Impact
siguientes tareas:
Analysis:
Comprende
las
49
PLAN DE CONTINGENCIA
5. Identificacin de alternativas para entornos.
6. Seleccin de alternativas.
7. Diseo de estrategias globales de respaldo.
8. Seleccin de las estrategia global de respaldo.
Nota: El BIA permite determinar los Recovery
Time Objective (RTO) y Recovery Point
Objective (RPO).
50
PLAN DE CONTINGENCIA
Fase 2: Desarrollo del Plan
Se desarrolla la estrategia seleccionada,
implantndose todas la acciones proyectadas.
Se definen las distintas organizaciones de
emergencia.
51
PLAN DE CONTINGENCIA
Fase 2: Desarrollo del Plan
Se desarrollan los procedimiento de actuacin, lo
cual permite generar la documentacin del plan.
Fase en la cual se analiza la vuelta a la
normalidad, ya que pasar de la situacin normal a
la alternativa debe concluirse con la
reconstruccin de la situacin inicial antes de la
contingencia.
52
PLAN DE CONTINGENCIA
Fase 3: Pruebas y Mantenimiento
Se definen las pruebas, sus caractersticas y sus
ciclos.
Se realiza la primera prueba como comprobacin
de todo el trabajo realizado.
Se mentaliza al persona implicado.
Se define la estrategia de mantenimiento, su
normativa y procedimientos.
53
METODOLOGAS DE AUDITORA
INFORMTICA
54
METODOLOGAS DE AUDITORA
INFORMTICA
Existen tres tipos de Metodologas:
Evaluacion de Riesgos (EDR): Risk Oriented
Approach (ROA), la cual fue diseada por Arthur
Andersen.
Basada en Cuestionarios (Check list).
De Productos Informticos.
Las tres se basan en la minimizacin del riesgo, lo
cual se conseguir en funcin de la existencia de
controles y de que estos funcionen (Piattini & Del
Peso, 2001)
55
METODOLOGAS DE AUDITORA
INFORMTICA
Cada Organizacin que ofrezca servicios de
Auditores
(Deloitte,
Ernst
&
Young,
Pricewaterhouse, KPMG, e.t.c) o cada empresa
puede desarrollar una metodologa propia.
La ms difundida es la basada en Evaluacin de
Riesgos (EDR) recomendada por ISACA.
56
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR):
El Auditor Interno realiza una evaluacin del
riesgo potencial existente sobre los Sistemas de
Informacin de la Organizacin.
Como consecuencia de la ausencia de controles o
bien por ser deficientes, estos riesgos deben ser
cuantificados y valorados, con el fin de
determinar el nivel de fiabilidad que brinda el
sistema sobre la exactitud, integridad y
procesamiento de la informacin.
57
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Objetivos de Control:
Es la reduccin del Riesgo.
La cuantificacin
de los riesgos
potenciales, conocidos o no, es la base para
establecer los objetivos de control.
Los objetivos de control pueden ser
definidos previamente por el equipo de
Auditora o bien establecerse durante la
planificacin de la Auditora.
58
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Tcnicas de Control:
Tambin conocidos como controles.
Por cada objetivo de control / riesgo
potencial, se identifican las tcnicas de
control existentes que deben minimizar el
riesgo, logrando cumplir con el objetivo de
control.
Por ejemplo, en relacin a Seguridad de la
informacin existe una gua de controles
en la norma ISO/IEC 27002
59
METODOLOGAS DE AUDITORA
INFORMTICA
Ejemplos Guas de Controles
60
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Pruebas (Definicin): Segn (Fernndez, Riss &
Benito, 2009):
Permiten obtener evidencias y verificar la
consistencia de los controles existentes.
Permiten medir el riesgo por deficiencia de
los controles o por ausencia de ellos.
Toda opinin o evaluacin de un auditor
debe estar basada en pruebas realizadas y
en la evidencia obtenida.
61
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Pruebas de cumplimiento: Segn (Fernndez, Riss
& Benito, 2009)
Se utilizan para probar y verificar el
cumplimiento de una tcnica de control
(controles).
Renen evidencias de auditora para
indicar si un control funciona de forma
efectiva y logra sus objetivos.
62
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Pruebas de cumplimiento:
El diseo de las pruebas de cumplimiento,
cuyo fin es el de reunir evidencias de un
funcionamiento efectivo de los controles
internos, debe tener en cuenta:
a. Se ejecutaron los procedimientos
previstos?
b. Se ejecutaron adecuadamente?
c. Fueron ejecutados por alguien que
cumple los requisitos de segregacin de
funciones?
63
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Pruebas de cumplimiento: Ejemplos
Examen de Evidencia: Revisar documentos,
registros y procedimientos relacionados
con controles.
Reprocesos: Consiste en repetir los
procedimientos de control que se estn
auditando.
Observacin: Se fundamenta en observar
actividades relacionadas con el control
auditado.
64
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Pruebas Sustantivas:
Se utilizan cuando las pruebas de
cumplimiento no han satisfecho los
objetivos del Auditor.
Permiten comprobar la fiabilidad y
consistencia de los controles existentes e
identificar la magnitud y el impacto de los
errores e incidencias, as como saber si se
estn aplicando en la intensidad adecuada.
Su objetivo es la obtencin de evidencias.
65
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Pruebas Sustantivas: Ejemplos (Echenique, 2001).
Pruebas para identificar errores en el
procesamiento de datos en los SI.
Pruebas para asegurar la calidad de los
datos.
Pruebas para identificar la inconsistencia
de los datos.
Pruebas para revisar la seguridad de la red
y Sistemas de informacin.
66
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Pruebas Sustantivas: Ejemplos (Echenique, 2001).
Confrontacin
externas.
de
datos
con
fuentes
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Metodos para obtener evidencias:
Inspeccin.
Observacin.
Preguntas.
Clculos.
Examen analtico.
Confirmacin.
68
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Clases de evidencia:
Fsica: Ej: Evidencia fsica de activos
Documental: Ej: Revisin de Documentos.
Confirmaciones: Ej: Confirmacin Bancaria
Testimonial: Eje: Reuniones y entrevistas
Analtica: Clculos matemticos y estadist.
Registral: Registro de acceso
69
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Elementos principales
Herramientas del Auditor Informtico:
Observacin.
Realizacin de cuestionarios.
Muestreo Estadstico.
Entrevista a auditados y no auditados.
Listas de chequeo.
Flujo-gramas.
Mapas conceptuales.
70
METODOLOGAS DE AUDITORA
INFORMTICA
EMPEZAR
EXISTE
CONTROL?
NO
REALIZACIN DE
PRUEBAS
SUSTANTIVAS
SI
PRUEBA DE
CUMPLIMIENTO
EXISTE
DEFICIENCIAS?
CONFIRMACIN
MEDIANTE
PRUEBAS
NO
SI
CONFORME
CON EL
CONTROL?
NO
COMENTARIO
VERBAL O
LEVE
COMENTARIO
MEDIO O GRAVE
SEGN
DEFICIENCIAS O
INCIDENCIAS
SI
FIN
(VER EL IMPACTO)
Flujograma para
Auditora
Informtica
FIN
FIN
Basado en Fernndez, Riss & Benito (2009) 71
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Ejemplo
Riesgo: Acceso no autorizado a S.I.
Objetivo de Control: El departamento de Sistemas
de Informacin debe establecer normativas de
acceso a sus datos y S.I.
Controles: Los procedimientos de acceso lgico a
los datos incluye la revisin y aprobacin de
perfiles de usuarios.
72
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Ejemplo
Pruebas:
De cumplimiento:
Realizar pruebas para
verificar el cumplimiento del procedimiento de
acceso lgico a los datos.
Prueba: comprobar que se ha implantado un
procedimiento por escrito para someter a todos
los perfiles de acceso a un proceso de
aprobaciones y medidas de seguridad, y que ste
ha sido comunicado a todas las reas
involucradas o interesadas.
73
METODOLOGAS DE AUDITORA
INFORMTICA
Evaluacin de Riesgo (EDR): Ejemplo
Pruebas:
Sustantivas: Realizar pruebas para verificar la
creacin, revisin y aprobacin de perfiles; para
lo cual se debe revisar quien aprob la creacin
del perfil y que ste cumpla con las medidas de
seguridad establecidas.
Prueba: Seleccionar una muestra de perfiles e
identificar aquellos que no se hayan creado,
revisado y aprobado adecuadamente, evaluando
el impacto/riesgo de las incidencias detectadas.
74
METODOLOGAS DE AUDITORA
INFORMTICA
Basada en Cuestionarios o Checklist:
El Auditor revisa los controles con la ayuda de
una lista de control (checklist), el cual consta de
una serie de preguntas o cuestiones a verificar.
La evaluacin consiste en identificar la existencia
de unos controles establecidos o estandarizados
por la organizacin.
Suelen utilizarse por auditores con poca
experiencia, como gua de referencia, para
asegurar que se han revisado todos los controles.
75
METODOLOGAS DE AUDITORA
INFORMTICA
Basada en Cuestionarios o Checklist:
Ejemplo checklist parcial para el rea de desarrollo.
CUESTION
SI NO N/A
76
METODOLOGAS DE AUDITORA
INFORMTICA
De Productos Informticos:
A la vista de la cantidad de productos Software /
aplicaciones existentes en el mercado, es
razonable pensar en realizar las auditoras con un
mtodo propio o diseado por la empresa
fabricante del producto.
El formato de la metodologa a nivel general
consiste en:
Descripcin: Se explica la herramienta,
utilidad, su finalidad, mbito y entorno de
funcionamiento.
77
METODOLOGAS DE AUDITORA
INFORMTICA
De Productos Informticos:
Riesgo especfico del producto: En
determinadas situaciones o escenarios,
incluso
al
interactuar
con
otras
aplicaciones. Qu puede pasar si
Controles que minimizan los riesgos: Una
vez determinados los riesgos especficos,
implantar controles que los reduzcan. Es
importante tener presente:
Riesgo vs Control vs Costo
78
METODOLOGAS DE AUDITORA
INFORMTICA
De Productos Informticos:
Pruebas de Controles: Pueden ser de
cumplimiento y/o sustantivas, para lo cual
se utilizan:
Audit Tools: son programas de utilidad que tiene el propio
producto que vamos a auditar.
Audit Trails: Son habitualmente los logs. Tiene evidencias de lo
que sucede en el interior del sistema. Tienen como
desventaja que consumen mayor tiempo de procesador, pues
por cada operacin anotan en el registro.
Audit Retrievals: son programas especficos, generalmente
utilizados exclusivamente por los tcnicos del producto
informtico para obtener informacin
79
80
81
83
84
EJEMPLOS
86
REPASO
Tipo Prueba
Funcin
De Cumplimiento
Verifican la existencia y
aplicacin de un control
determinado
Sustantivas
Verificacin de la fiabilidad
y consistencia de los
controles existentes
Aplicacin
Responden las siguientes
preguntas:
Estamos aplicando los
controles que decimos que
aplicamos?
Estn aplicndose
realmente esos controles?
Responden a la pregunta:
Se estn aplicando en la
intensidad adecuada?
.
87
REPASO
Tipo Control
Funcin
Ejemplos
Preventivo
Segregacin de Funciones
Validacin de inputs
Firewalls
Detectivo
Deteccin Intrusos
Auditoras
CRCs, Checksums.
Correctivo
Resolver el problema de
seguridad, una vez que
ocurra o despus
Copias de Seguridad
Reprocesos
Plan de Contingencias
Compensatorios
Antiphising
88
CONTROLES DE GESTIN
Segregacin de Funciones
Control
Objetivo de Control
(algunos)
Implantacin Control
(ejemplos)
Tipo de Control
Segregacin de Funciones
Eliminar riesgos de Colusin (Daos a 3ros)
Asegurar independencia de funciones
Organigramas, incluyendo la descripcin
funcional de cada puesto.
Cualificacin estricta de perfiles.
Direccin por Comits
Existencia de Funcin auditora
Preventivo
89
CONTROLES DE GESTIN
Segregacin de Funciones
Control
Segregacin de Funciones
Pruebas de
Cumplimiento
(ejemplos)
Pruebas Sustantivas
(ejemplos)
Tipo de Control
CONTROLES DE GESTIN
Poltica de Seguridad
Control
Polticas de Seguridad
Objetivo de Control
(algunos)
Implantacin Control
(ejemplos)
Tipo de Control
CONTROLES DE GESTIN
Poltica de Seguridad
Control
Polticas de Seguridad
Pruebas de
Cumplimiento
(ejemplos)
Pruebas Sustantivas
(ejemplos)
92
CONTROLES DE GESTIN
Planificacin de Seguridad de TI
Control
Planificacin de Seguridad / IT
Objetivo de Control
(algunos)
Implantacin Control
(ejemplos)
Tipo de Control
CONTROLES DE GESTIN
Planificacin de Seguridad de TI
Control
Planificacin de Seguridad / IT
Pruebas de
Cumplimiento
(ejemplos)
Pruebas Sustantivas
(ejemplos)
94
REFERENCIAS
Webb, P., Pollard, C. & Ridley, G. (2006) Attempting to
Define IT Governance: Wisdomor Folly. Proceedings
of the 39th Hawaii International Conference on
System Science. IEEE Computer Society.
Piattini & Del Peso. (2001). Auditoria Informtica: un
enfoque prctico. Segunda Edicin. RAMA Editorial.
Madrid Espaa.
Echenique, G. (2001). Auditoria en Informtica. Segunda
Edicin. McGraw-Hill. Mexico D.F.
95
REFERENCIAS
William, M. (1978). Computer control & audit. Institute
of Internal Auditors; Enlarged 2nd edition.
Arango, J. E. (2009). Apuntes sobre Auditoria Informtica.
Mster en Informtica con enfoque en Auditoria y
Derecho Informtico. Alcal de Henares Espaa.
Superintendencia de Bancos. (2002). Manual de Control
Interno Informtico para Entidades Financieras.
Asuncin, Paraguay.
Fernndez, C., Riss, B & Benito, M. (2009). Auditoria y
Peritaje Informtico. Universidad Alcal de Henares.
Espaa.
96