Professional Documents
Culture Documents
AUDITORIA DE SISTEMAS
CONTABLES
AUDITORIA DE TECNOLOGAS DE
INFORMACIN
ORIENTACIONES
Auditora Gerencia de
tradicional sistemas
Auditora de
sistemas
Ciencia del
Ciencias de la comportamiento
Computacin
Ingeniero
de sistemas
Auditora TI
Objetivos de la Auditora de TI
Organizaciones
Confiabilidad:
Integridad de Uso de recursos
los datos con eficiencia
Preservar la
Mejorar la confidencialidad Mejorar la
salvaguarda de los datos efectividad de
de los activos los Procesos
Retos del auditor
Conocimiento del negocio.
Conocimientos de TI.
Conocimiento sobre como actan las TI en
el proceso del negocio.
Conocimiento de Riesgos y Procesos.
Confianza y respeto de los auditados.
Conocimiento del impacto de sus
recomendaciones.
Contraparte vlida y asesor en controles y
autocontrol para el auditado.
Roles y funciones del
Auditor TI
Preparacin
Post Gestin de de Soluciones
Implantacin Proyectos TI
Organizacin y
Gestin de
Cambios
Desarrollo y
Mantenimiento
Proceso del Ciclo de Desarrollo Metodologa
Requerimientos Usuario. Estndares
Revisin de Diseo
Especificaciones funcionales:
Requerimientos de transacciones,
clculos, flujos de control, etc.
Diseo Funcional
Diseo de Interfaces con usuarios (E/S)
Diseo de Procesos
Diseo de Bases de Datos
Auditoria de Aplicaciones
Desarrollo de pruebas
Diseo de datos de pruebas
Caja Negra: Pruebas de especificaciones funcionales
Caja Blanca: Cobertura completa, a nivel de Instrucciones,
Rutas de lgica
Valores Lmite: con datos para probar la ejecucin de lmites
mayores, menores e iguales a lo indicado en el programa.
Pruebas de esfuerzo operativo y tcnico.
Pruebas de conformidad: procedimientos, reglas de negocio,
etc.
Pruebas sustantivas o de validacin: detectar errores o
irregularidades en procesos, actividades o transacciones
Pruebas de Intrusin: Recomendaciones
Auditora de Explotacin
Comunicaciones y Redes.
Sistemas Operativos.
Administracin de
Bases de Datos.
Auditora de Comunicaciones
Gestin de Riesgos
Metodologa usada
Activos significativos identificados, con
evaluacin de riesgos y controles que lo
mitigan
Plan de Seguridad de Informacin
Basado en las mejores prcticas:
ISO 27001 SGSI
Conocidos y aprobados por dueo del negocio
y de acuerdo en los riesgos y controles
Publicacin, documentacin, revisin y
mantenimiento.
Auditora de Seguridad
Seguridad Fsica
Procedimiento de accesos a instalaciones
Implementacin de instalaciones tecnolgicas
Consideraciones ergonmicas: Diseo de
productos y puestos
Ambiente de Control
Verificar nivel de concientizacin del personal y
responsabilidad de los controles de seguridad
Cumplimiento de las polticas y de la normativa
relacionada.
Cumplimiento y valoracin de los controles
Auditora de Seguridad
Control de Accesos
Procesos de Negocio y Operativos
Accesos a Infraestructura Tecnolgica: Servidores,
Entornos, etc.
Mtodos y Herramientas: Acceso biomtrico
Evaluar procedimientos de registro y validacin.
Nivel de aceptacin usuarios
Existencia de plan de contingencia
Infraestructura
Prevencin de fuga de informacin
Proteccin de Datos
Auditora de Seguridad
Seguridad Perimetral
Segmentacin: separacin en redes lgicas para
aislar a los usuarios e infraestructura de intrusos
Arquitectura: proveer autenticacin, autorizacin,
auditora y deteccin de intrusos
Pruebas de acceso a redes y/o servidores segn
perfiles
Tests de intrusin
Auditora de Seguridad
Continuidad de Negocios
Existencia de un Plan de Continuidad de Negocios:
Servicios crticos
Organizacin y Procedimientos
Pruebas de los Planes de Contingencia:
Sistema de recuperacion
Infraestructura alternativa
Atencin de servicios
Retorno a la Normalidad
Estndares de Auditora