Professional Documents
Culture Documents
Que es la auditora?
Es la revisin independiente que realiza un
auditor profesional, aplicando, tcnica, mtodos y
procedimientos especializados, a fin de evaluar
el cumplimiento de funciones, actividades,
tareas y procedimientos de una organizacin, as
como dictaminar sobre el resultado de dicha
evaluacin.
Administracin de la
Configuracin de Bases de
Datos
Justificacin
Recursos
TICs
Evidencias
1
Mensajes de e-mail que contienen attachments que explotan vulnerabilidades en las aplicaciones
instaladas por los usuarios.
Acceso a redes empresariales a travs de cdigos maliciosos diseados para obtener informacin
sensitiva.
En el 2012 los sectores financiero, proveedores de servicios TIC, comercios, seguros, comunidad de
Internet, empresas de telecomunicaciones y el gobierno han sido los ms vulnerables ante las amenazas
informticas.
En el 2012 Symantec identific 240 millones de programas maliciosos, un aumento del 100% con
respecto al 2008.
Riesgo Informtico
Amenaza
Acciones que pueden ocasionar consecuencias negativas
en la plataforma informtica disponible: fallas, ingresos no
autorizados a las reas de computo, virus, uso inadecuado de
activos informticos, desastres ambientales (terremotos,
inundaciones), incendios, accesos ilegales a los sistemas,
fallas elctricas.
Pueden ser de tipo lgico o fsico.
Vulnerabilidad
Condiciones inherentes a los activos o
presentes en su entorno que facilitan
que las amenazas se materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento del
usuario, tecnologa inadecuada, fallas en
la transmisin, inexistencia de antivirus,
entre otros.
Impacto
Consecuencias de la ocurrencia de
las distintas amenazas: financieras
o no financieras.
Perdida de dinero, deterioro de la
imagen de la empresa, reduccin de
eficiencia, fallas operativas a corto o
largo plazo, prdida de vidas
humanas, etc.
Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el ciclo de
administracin de riesgo finaliza con la determinacin de las
acciones a seguir respecto:
Controlar el riesgo fortaleciendo los controles existentes o
agregar nuevos controles.
Eliminar el riesgo. Aplicando los correctivos necesarios.
Compartir el riesgo mediante acuerdos contractuales
traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing
de informtica).
Aceptar el riesgo, determinando el nivel de exposicin.
Concrecin de la
Amenaza
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daos intencionales o no)
Causa Fsica
(Natural o no)
Prdida de
Dinero
Clientes
Imagen de la Empresa
Confidencialidad
Integridad
Disponibilidad
Tratar de
deevitar
evitarel
el
Tratar
Cuando
fallan
los
Cuando
fallan los
hecho
hecho
preventivospara
paratratar
tratar
preventivos
deconocer
conocercuanto
cuantoantes
antes
de
evento
elelevento
Disuasivos
Preventivos
Amenaza o
Riesgo
PlataformaInformtica
Informtica
Plataforma
Vueltaaalalanormalidad
normalidad
Vuelta
cuandose
sehan
han
cuando
producidoincidencias
incidencias
producido
Detectivo
Operatividad
Tmin
Correctivo
Guade
deauditoria
auditoriadel
delsistema
sistemade
de
Gua
gestinde
deseguridad
seguridadde
delala
gestin
informacinpara
parasu
suproteccin.
proteccin.
informacin
COSO (Committee of Sponsoring Organizations of the
Treadway Commission, EEUU 1992).
ITIL (Information Technology Infrastructure Library,
Inglaterra 1990).
ISO/IEC 17799:2000 (International Organization for
Standardization/International Electrotechnical Commission,
Inglaterra 2000).
COBIT (Control Objectives for Information and Related
Technology IT, EEUU 1998).
Modelode
deevaluacin
evaluacindel
delcontrol
controlinterno
interno
Modelo
enlos
lossistemas,
sistemas,funciones,
funciones,procesos
procesosoo
en
actividades
en
forma
ntegra.
actividades en forma ntegra.
Marcoreferencial
referencialque
queevala
evalaelelproceso
procesode
de
Marco
gestinde
delos
losServicios
Serviciosde
detecnologa
tecnologade
de
gestin
informacin
y
de
la
infraestructura
informacin y de la infraestructura
tecnologa.
tecnologa.
PLANEAR Y ORGANIZAR
Estrategias y tcticas. Identificar la manera
en que TI pueda contribuir de la mejor
manera al logro de los objetivos del negocio.
La visin estratgica requiere ser planeada,
comunicada y administrada.
Implementar una estructura organizacional y
una estructura tecnolgica apropiada.
Continuacin
PLANEAR Y ORGANIZAR
Cubre los siguientes cuestionamientos tpicos de la
gerencia: Estn alineadas las estrategias de TI y del
negocio?
La empresa est alcanzando un uso ptimo de sus
recursos?
Entienden todas las personas dentro de la organizacin los
objetivos de TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?
ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan la implementacin e integracin en los
procesos del negocio.
MONITOREAR Y EVALUAR
Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su
calidad
y
cumplimiento
de
los
requerimientos de control.
Este dominio abarca la administracin del
desempeo, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicacin del
gobierno.
MONITOREAR Y EVALUAR
Abarca las siguientes preguntas de la gerencia:
Se mide el desempeo de TI para detectar los
problemas antes de que sea demasiado tarde?
La Gerencia garantiza que los controles
internos son efectivos y eficientes? Puede
vincularse el desempeo de lo que TI ha realizado
con las metas del negocio? Se miden y
reportan los riesgos, el control, el cumplimiento y
el desempeo?
Norma COBIT
COBIT es la fusin entre prcticas de informtica (ITIL,
ISO/IEC 17799) y prcticas de control (COSO), las
cuales plantean tres tipos de requerimientos de negocio
para la informacin:
De calidad (calidad, costo y entrega de servicio).
Fiduciarios (efectividad y eficiencia de operaciones,
confiabilidad de la informacin y cumplimiento de las
leyes y regulaciones).
De Seguridad
disponibilidad).
(confidencialidad,
integridad
Terminologa COBIT
Efectividad: Se refiere a que la informacin relevante sea
pertinente para el proceso del negocio, as como la
entrega oportuna sea correcta, consistente y de manera
utilizable ante terceros, para poder cumplir con parte del
requerimiento fiduciario.
Eficiencia: Siguiendo los requerimientos del negocio de
la informacin, en cuanto a calidad-costo, la eficiencia
viene dada a travs de la utilizacin ptima (ms
productiva y econmica) de recursos.
Terminologa COBIT
Confidencialidad: Se refiere a la proteccin de informacin
sensible contra divulgacin no autorizada. Cumple con el
principio de calidad.
Integridad: Para el requerimiento de seguridad, la integridad es
la precisin y suficiencia de la informacin, as como a su validez
de acuerdo con los valores y expectativas del negocio.
Disponibilidad: Se trata de la oportunidad de entrega de la
informacin cuando sta sea requerida por el proceso de
negocio ahora y en el futuro. Tambin se refiere a la salvaguarda
de los recursos necesarios y capacidades asociadas.
Terminologa COBIT
Cumplimiento: Se refiere al cumplimiento de aquellas
leyes, regulaciones y acuerdos contractuales a los que el
proceso de negocios est sujeto, por ejemplo, criterios de
negocio impuestos externamente.
Confiabilidad de la informacin: Es la provisin de
informacin apropiada para la administracin con el fin de
operar la entidad y para ejercer sus responsabilidades de
reportes financieros y de cumplimiento.
Auditoria Externa
Aplicando el concepto general, se puede decir que la auditora Externa es
el examen crtico, sistemtico y detallado de un sistema de informacin de una
unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la
misma, utilizando tcnicas determinadas y con el objeto de emitir una opinin
independiente sobre la forma como opera el sistema, el control interno del mismo y
formular sugerencias para su mejoramiento.
La Auditora Externa examina y evala cualquiera de los sistemas de
informacin de una organizacin y emite una opinin independiente sobre los
mismos, pero las empresas generalmente requieren de la evaluacin de su sistema
de informacin financiero en forma independiente para otorgarle validez ante los
usuarios del producto de este,
Auditoria Interna
La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de
informacin de una unidad econmica, realizado por un profesional con vnculos
laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir
informes y formular sugerencias para el mejoramiento de la misma.
Las auditoras internas son hechas por personal de la empresa. Un auditor interno
tiene a su cargo la evaluacin permanente del control de las transacciones y
operaciones y se preocupa en sugerir el mejoramiento de los mtodos y
procedimientos de control interno que redunden en una operacin ms eficiente y
eficaz.