Professional Documents
Culture Documents
Tipos de Computadoras
Microcomputadores Minicomputadores Puesto de Trabajo Mainframe Configuracin/Plataforma Redes LAN, WAN
Tipos de Computadoras
IBM S/390 AS/400 HP 9000
SUN
Compaq Prolaint Intel - NT Server PC
Configuracin
Dispositivos de Entrada
Terminales Discos Cintas Discos Opticos Scanners Etc.
Dispositivos de Almacenamiento
Discos Cintas Discos Opticos CD-ROM Etc.
Dispositivos de Salida
Impresoras Discos Terminales Cintas Magnticas Otras Computadoras Etc.
Consola
Software
Sistema Operativo Seguridad
Software de administracin de red
Software de administracin de BD
Programas Utilitarios
administracin de: - archivos - programas - bibliotecas
Sueldos
Bs. de Uso
Compras
Contabilidad General
Qu es un Sistema de Informacin?
Es la recoleccin, procesamiento, transmisin y diseminacin organizada de informacin de acuerdo a procedmientos definidos No es solamente computadoras! Comprende: tecnologa, software, datos, instalaciones y personas
Sistemas de Informacin
Porqu son importantes?
Para satisfacer necesidades de negocio Necesidades de negocio son las actividades fundamentales que una organizacin debe llevar a cabo para alcanzar su objetivos institucionales y requerimientos operacionales
Un concepto gerencial que considera los datos, la informacin, los recursos de TI (tecnologa, programas, instalaciones, redes y personal) como recursos valiosos de la organizacin que debern manejarse de manera eficiente, econmica y eficaz Es preciso administrar los recursos de informacin por medio de procesos de TI a fin de garantizar la obtencin de la informacin que la organizacin necesita para lograr sus objetivos de negocio
Riesgos y preocupaciones
Rendicin de cuentas por la responsabilidad asignada Vulnerabilidad a las alteraciones Fcil duplicacin Fcil de acceder en forma remota Procesamiento invisible
Pistas de auditora Datos distribuidos Clientes que usan proveedorres externos de servicios de TI Registros computadorizados como evidencia
Cdigos de identificacin nicos Registros de actividad del sistema (logs) Identificacin de usuarios y autenticacin de contraseas Firma digital y rtulos sobre transacciones
Almacenamiento binario de datos Almacenamiento invisible a los ojos Adulteraciones de datos y programas Falsa autorizacin de modificaciones Los controles incluyen:
Controles de acceso fsico y lgico Autenticar transacciones con firmas o el uso de tcnicas de encripcin
Fcil duplicacin
Las transacciones pueden verse exactamente igual Las computadoras no tienen la sensacin de que algo est mal o que ellas estn procesando un duplicado Especialmente importante cuando se usa T.E.F. Los controles incluyen: Secuencia numrica de transacciones Comprobar totales de control Sub-programa de control de duplicados Controles manuales
Uso de redes LANs y WANs Conexin a Internet Aumento en computadores porttiles y mdems Incremento del riesgo de intrusos, virus y gusanos Necesita slidos controles de acceso lgico Uso de firewalls
Procesamiento invisible
Enfoque de caja negra No hay garanta de que las compuatoras estn haciendo lo que deben hacer Incorporacin de programas no autorizados Cambios no autorizados a programas Los controles para reducir el riesgo incluyen:
Prdida de la pista en papel Aumento del uso de IDE (Intercambio Electrnico de Datos) e Internet Almacenamiento de datos Los controles para reducir el riesgo incluyen:
Datos distribuidos
Los datos para auditoras financieras o de gestin pueden estar diseminados entre varios sitios del cliente Efecto sobre los recursos de auditora requeridos Diferentes ambientes de control
Aumento del uso de tercerizacin de instalaciones y administracin Derechos de acceso e inspeccin Garanta de cmo controlan las terceras partes Dependencia del trabajo de otros auditores Controles de las terceras partes (ANS)
Conocimiento del rea a auditar Establecer los objetivos de auditora Determinar la evidencia requerida Decidir que procedimientos de auditora utilizar Recopilar y analizar evidencia de auditora Desarrollar hallazgos de auditora y conlusiones Infome de Auditora
Naturaleza de la Auditora de SI
Elementos:
revisin objetiva afirmaciones verificables independencia profesional criterio estndar/mejores prcticas emisin de una opinin tcnica
Evaluar:
la confiabilidad e integridad de la informacin. la seguridad y proteccin de los activos del S.I. de la organizacin.
General Standards For Information Systems Auditing, June 1987. Information Systems Audit and Control Association
Definicin de ISACA:
Cualquier auditora que cubra:
Fuente:
la revisin y evaluacin de todos los aspectos (o alguna parte) de los sistemas automatizados de procesamiento de informacin, incluyendo los procesos manuales relacionados o no automatizados, y las interfases existentes entre ellos.
Misin de la Auditora de SI
El Auditor de SI debe contar con un claro mandato para el desempeo de su funcin La responsabilidad, autoridad y rendicin de cuentas de la funcin de auditora de sistemas de informacin deben ser documentadas en un mandato o en trminos de referencia Comunicacin con el auditado Proceso de garanta de calidad Los trminos de referencia de la auditora deben abordar claramente los aspectos de responsabilidad, autoridad y rendicin de cuentas
Normas Profesionales
Normas
Definen los requisitos obligatorios para la realizacin de las tareas y presentacin de informes de auditora de sistemas de informacin
Mandato de Auditora Independencia Etica y Normas Profesionales Competencia Planificacin Realizacin de las tareas de Auditora Presentacin de Informes Actividades de Seguimiento
La responsabilidad, autoridad y rendicin de cuentas de la funcin de auditora de sistemas de informacin deben estar documentadas Debe ser independiente del auditado en actitud y apariencia La funcin de Auditora de SI debe ser independiente como para permitir la realizacin objetiva de las revisiones
Independencia
Debe observar el Cdigo de Etica Profesional de ISACA Debe proceder con el debido cuidado profesional y observar las normas aplicables de auditora profesional en todos los aspectos de su trabajo
Competencia
Debe ser tcnicamente competente y contar con las habilidades y el conocimiento necesarios para llevar a cabo sus tareas Debe mantener su competencia tcnica por medio de un continuo y adecuado desarrollo profesional Debe planificar las tareas de auditora de tal manera que se aborden los objetivos pertinentes y se cumpla con las normas aplicables de auditora profesional Debe ser adecuadamente supervisado a fin de garantizar que se alcancen los objetivos de auditora y se cumpla con las normas aplicables de auditora profesional
Planificacin de la Auditora
Supervisin
Evidencia
Debe obtener evidencia suficiente, confiable, permanente y til a fin de que se alcancen los objetivos de auditora con eficacia Los hallazgos y las conclusiones de la auditora deben ser sustentados mediante el anlisis y la interpretacin adecuados de dicha evidencia Debe proporcionar a los destinatarios correspondientes un informe sobre la realizacin de las tareas de auditora. En dicho informe deben constar el campo de aplicacin, los objetivos, el perodo de aplicacin y la naturaleza y alcance de las tareas de auditora realizadas.; asimismo debe exponer los hallazgos, las conclusiones y recomendaciones y cualquier reserva o restriccin que tenga el auditor con respecto a la auditora y cualquier limitacin a su difusin.
Presentacin de Informes
Seguimiento
Debe solicitar y evaluar la informacin apropiada sobre anteriores hallazgos, conclusiones y recomendaciones para determinar si se han implementado las medidas adecuadas de manera oportuna
Normas Profesionales
Directivas
Lineamientos de Auditora de SI
Misin de la Auditora de SI Relacin dentro de la Organizacin Tercerizacin de Actividades de SI Efecto de la participacin en los procesos de desarrollo, adquisicin o implementacin en la independencia del auditor de SI Planificacin de la Auditora de SI Materialidad Requisito de evidencia de auditora Consideraciones de Auditora con Respecto a la Ocurrencia de Actos Irregulares
Lineamientos de Auditora de SI
Utilizacin del trabajo de otros auditores Gobierno Corporativo de los Sistemas de Informacin Efecto de los Controles Esenciales de SI Debido Cuidado Profesional Documentacin de Auditora Muestreo de Auditora Evaluacin de Riesgo Uso de tcnicas de auditora asistida por computadora Contenido y Estructura de Informes
Normas Profesionales
Procedimientos
Proporcionan informacin sobre la manera de cumplir con las normas al realizar tareas de auditora de sistemas de informacin, pero no establecen requisitos