You are on page 1of 41

AUDITORIA INFORMATICA

Que es la auditora?
Es la revisin independiente que realiza un
auditor profesional, aplicando, tcnica, mtodos y
procedimientos especializados, a fin de evaluar
el cumplimiento de funciones, actividades,
tareas y procedimientos de una organizacin, as
como dictaminar sobre el resultado de dicha
evaluacin.

Administracin de la
Configuracin de Bases de
Datos

Justificacin

Recursos
TICs

Evidencias
1

El crecimiento del acceso a Internet y de usuarios conectados incrementa la posibilidad de concrecin de


amenazas informticas.

Crecimiento de la informacin disponible de empresas y sus empleados en redes sociales Ingeniera


Social.

Mensajes de e-mail que contienen attachments que explotan vulnerabilidades en las aplicaciones
instaladas por los usuarios.

Robo de credenciales o captura ilegal de datos.

Acceso a redes empresariales a travs de cdigos maliciosos diseados para obtener informacin
sensitiva.

En el 2012 los sectores financiero, proveedores de servicios TIC, comercios, seguros, comunidad de
Internet, empresas de telecomunicaciones y el gobierno han sido los ms vulnerables ante las amenazas
informticas.

En el 2012 Symantec identific 240 millones de programas maliciosos, un aumento del 100% con
respecto al 2008.

Fuente: Symantec (2010).

Fuente: Rodrguez (2006)

Factores que propician la Auditora Informtica


Leyes gubernamentales.
Polticas internas de la empresa.
Necesidad de controlar el uso de
equipos
computacionales.
Altos costos debido a errores.
Prdida de informacin
y de capacidades de
procesamiento de datos, aumentando as la posibilidad de
toma de decisiones incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y confidencialidad
de las transacciones de la organizacin.

Objetivos generales de la Auditora en Informtica

Asegurar la integridad, confidencialidad y


confiabilidad de la informacin.
Minimizar existencias de riesgos en el uso de
Tecnologa de informacin
Conocer la situacin actual del rea
informtica para lograr los objetivos.
Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informtico, as
como tambin seguridad del personal, los datos,
el hardware, el software y las instalaciones.

Objetivos generales de la Auditora en Informtica

Incrementar la satisfaccin de los usuarios de


los sistemas informticos.
Capacitacin y educacin sobre controles en
los Sistemas de Informacin.
Buscar una mejor relacin costo-beneficio de
los sistemas automticos y tomar decisiones en
cuanto a inversiones para la tecnologa de
informacin.

Riesgo Informtico

La probabilidad de que una amenaza se


materialice de acuerdo al nivel de
vulnerabilidad existente de un activo,
generando un impacto especfico, el cual
puede estar representado por prdidas y
daos.

Amenaza
Acciones que pueden ocasionar consecuencias negativas
en la plataforma informtica disponible: fallas, ingresos no
autorizados a las reas de computo, virus, uso inadecuado de
activos informticos, desastres ambientales (terremotos,
inundaciones), incendios, accesos ilegales a los sistemas,
fallas elctricas.
Pueden ser de tipo lgico o fsico.

Vulnerabilidad
Condiciones inherentes a los activos o
presentes en su entorno que facilitan
que las amenazas se materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento del
usuario, tecnologa inadecuada, fallas en
la transmisin, inexistencia de antivirus,
entre otros.

Impacto
Consecuencias de la ocurrencia de
las distintas amenazas: financieras
o no financieras.
Perdida de dinero, deterioro de la
imagen de la empresa, reduccin de
eficiencia, fallas operativas a corto o
largo plazo, prdida de vidas
humanas, etc.

Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el ciclo de
administracin de riesgo finaliza con la determinacin de las
acciones a seguir respecto:
Controlar el riesgo fortaleciendo los controles existentes o
agregar nuevos controles.
Eliminar el riesgo. Aplicando los correctivos necesarios.
Compartir el riesgo mediante acuerdos contractuales
traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing
de informtica).
Aceptar el riesgo, determinando el nivel de exposicin.

Y...Qu es el control interno?


Es un proceso, mediante el cual la administracin, los
directivos y/o la alta gerencia le proporcionan a sus
actividades, un grado razonable de confianza, que le
garantice la consecucin de sus objetivos, tomando en
cuenta: la eficacia y eficiencia de las operaciones,
fiabilidad de la informacin financiera y cumplimiento de
las leyes y normas aplicables, con la finalidad de dotar a
la organizacin medidas preventivas, deteccin y
correccin de errores, fallos y fraudes o sabotajes

CONTROL INTERNO. DEFINICIN Y TIPOS

Cualquier actividad o accin realizada


manual
y/o
automticamente
para
prevenir, corregir errores o irregularidades
que puedan afectar el funcionamiento de
un sistema para conseguir sus objetivos.

La tipologa tradicional de los controles informticos es:

Bajo Nivel de Vulnerabilidad?

Dao a los equipos, datos o


informacin

Concrecin de la
Amenaza

Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daos intencionales o no)

Causa Fsica
(Natural o no)

Prdida de
Dinero
Clientes
Imagen de la Empresa

Confidencialidad
Integridad
Disponibilidad

Objetivos: Desafo, ganancia


financiera/poltica, dao

Tratar de
deevitar
evitarel
el
Tratar
Cuando
fallan
los
Cuando
fallan los
hecho
hecho
preventivospara
paratratar
tratar
preventivos

deconocer
conocercuanto
cuantoantes
antes
de
evento
elelevento
Disuasivos

Preventivos
Amenaza o
Riesgo

PlataformaInformtica
Informtica
Plataforma

Vueltaaalalanormalidad
normalidad
Vuelta
cuandose
sehan
han
cuando
producidoincidencias
incidencias
producido
Detectivo

Operatividad

Tmin
Correctivo

Normas de Auditora Informtica disponibles

Guade
deauditoria
auditoriadel
delsistema
sistemade
de
Gua
gestinde
deseguridad
seguridadde
delala
gestin
informacinpara
parasu
suproteccin.
proteccin.
informacin
COSO (Committee of Sponsoring Organizations of the
Treadway Commission, EEUU 1992).
ITIL (Information Technology Infrastructure Library,
Inglaterra 1990).
ISO/IEC 17799:2000 (International Organization for
Standardization/International Electrotechnical Commission,
Inglaterra 2000).
COBIT (Control Objectives for Information and Related
Technology IT, EEUU 1998).

Modelode
deevaluacin
evaluacindel
delcontrol
controlinterno
interno
Modelo
enlos
lossistemas,
sistemas,funciones,
funciones,procesos
procesosoo
en
actividades
en
forma
ntegra.
actividades en forma ntegra.

Marcoreferencial
referencialque
queevala
evalaelelproceso
procesode
de
Marco
gestinde
delos
losServicios
Serviciosde
detecnologa
tecnologade
de
gestin
informacin
y
de
la
infraestructura
informacin y de la infraestructura
tecnologa.
tecnologa.

Las mejores prcticas de TI se han vuelto significativas debido a un nmero de factores:


Directores de negocio y consejos directivos que demandan un mayor retorno de la
inversin en TI.
Preocupacin por el creciente nivel de gasto en TI.
La necesidad de satisfacer requerimientos regulatorios para controles de TI en reas
como privacidad y reportes financieros y en sectores especficos como el financiero,
farmacutico y de atencin a la salud.

La seleccin de proveedores de servicio y el manejo de Outsourcing y de


Adquisicin de servicios
Riesgos crecientemente complejos de la TI como la seguridad de redes
Iniciativas de gobierno de TI que incluyen la adopcin de marcos de
referencia de control y de mejores prcticas para ayudar a monitorear y
mejorar las actividades crticas de TI, aumentar el valor del negocio y reducir los
riesgos de ste.

La necesidad de optimizar costos siguiendo, siempre que sea posible,


un enfoque estandarizado en lugar de enfoques desarrollados
especialmente.
La madurez creciente y la consecuente aceptacin de marcos de
trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, entre
otros.
La necesidad de las empresas de valorar su desempeo en
comparacin con estndares generalmente aceptados y con respecto a
su competencia (Benchmarking)

Para gobernar efectivamente TI, es importante determinar las


actividades y los riesgos que requieren ser administrados.

PLANEAR Y ORGANIZAR
Estrategias y tcticas. Identificar la manera
en que TI pueda contribuir de la mejor
manera al logro de los objetivos del negocio.
La visin estratgica requiere ser planeada,
comunicada y administrada.
Implementar una estructura organizacional y
una estructura tecnolgica apropiada.

Continuacin

PLANEAR Y ORGANIZAR
Cubre los siguientes cuestionamientos tpicos de la
gerencia: Estn alineadas las estrategias de TI y del
negocio?
La empresa est alcanzando un uso ptimo de sus
recursos?
Entienden todas las personas dentro de la organizacin los
objetivos de TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?

ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan la implementacin e integracin en los
procesos del negocio.

Adems para garantizar que las soluciones sigan


cubre los siguientes cuestionamientos de la gerencia:
Los nuevos proyectos generan soluciones que
satisfagan las necesidades?
Los nuevos proyectos son entregados a tiempo y
dentro del presupuesto?
Trabajarn adecuadamente los nuevos sistemas
una vez sean implementados?
Los cambios afectarn las operaciones actuales
del negocio?

ENTREGAR Y DAR SOPORTE


Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio, la
administracin de la seguridad y de la continuidad, el
soporte del servicio a los usuarios, la administracin de los
datos y de las instalaciones operacionales.

Aclara las siguientes preguntas de la gerencia:


Se estn entregando los servicios de TI de
acuerdo con las prioridades del negocio?
Estn optimizados los costos de TI? Es
capaz la fuerza de trabajo de utilizar los
sistemas de TI de manera productiva y
segura? Estn implantadas de forma
adecuada la confidencialidad, la integridad y
la disponibilidad?

MONITOREAR Y EVALUAR
Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su
calidad
y
cumplimiento
de
los
requerimientos de control.
Este dominio abarca la administracin del
desempeo, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicacin del
gobierno.

MONITOREAR Y EVALUAR
Abarca las siguientes preguntas de la gerencia:
Se mide el desempeo de TI para detectar los
problemas antes de que sea demasiado tarde?
La Gerencia garantiza que los controles
internos son efectivos y eficientes? Puede
vincularse el desempeo de lo que TI ha realizado
con las metas del negocio? Se miden y
reportan los riesgos, el control, el cumplimiento y
el desempeo?

Ejemplo: Supongamos la siguiente situacin

AI1 Identificar soluciones automatizadas


AI1.1 Definicin y mantenimiento de los requerimientos tcnicos y funcionales del
negocio.
Identificar, dar prioridades, especificar y acordar los requerimientos de negocio
funcionales y tcnicos.
Definir los criterios de aceptacin de los requerimientos. Estas iniciativas deben incluir
todos los cambios requeridos dada la naturaleza del negocio, de los procesos, de las
aptitudes y habilidades del personal, su estructura organizacional y la tecnologa de
apoyo.
Establecer procesos para garantizar y administrar la integridad, exactitud y la validez
de los requerimientos del negocio, como base para el control de la adquisicin y el
desarrollo continuo de sistemas.

AI1.2 Reporte de anlisis de riesgos


Identificar, documentar y analizar los riesgos asociados con los procesos del negocio como
parte de los procesos organizacionales para el desarrollo de los requerimientos. Los riesgos
incluyen las amenazas a la integridad, seguridad, disponibilidad y privacidad de los
datos, as como el cumplimiento de las leyes y reglamentos.
AI1.3 Estudio de factibilidad y formulacin de cursos de accin alternativos
Desarrollar un estudio de factibilidad que examine la posibilidad de implantar los
requerimientos.
AI1.4 Requerimientos, decisin de factibilidad y aprobacin.
El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tanto funcionales
como tcnicos, y los reportes del estudio de factibilidad en las etapas clave
predeterminadas. Cada autorizacin va despus de la terminacin de las revisiones de
calidad.

Norma COBIT
COBIT es la fusin entre prcticas de informtica (ITIL,
ISO/IEC 17799) y prcticas de control (COSO), las
cuales plantean tres tipos de requerimientos de negocio
para la informacin:
De calidad (calidad, costo y entrega de servicio).
Fiduciarios (efectividad y eficiencia de operaciones,
confiabilidad de la informacin y cumplimiento de las
leyes y regulaciones).
De Seguridad
disponibilidad).

(confidencialidad,

integridad

Terminologa COBIT
Efectividad: Se refiere a que la informacin relevante sea
pertinente para el proceso del negocio, as como la
entrega oportuna sea correcta, consistente y de manera
utilizable ante terceros, para poder cumplir con parte del
requerimiento fiduciario.
Eficiencia: Siguiendo los requerimientos del negocio de
la informacin, en cuanto a calidad-costo, la eficiencia
viene dada a travs de la utilizacin ptima (ms
productiva y econmica) de recursos.

Terminologa COBIT
Confidencialidad: Se refiere a la proteccin de informacin
sensible contra divulgacin no autorizada. Cumple con el
principio de calidad.
Integridad: Para el requerimiento de seguridad, la integridad es
la precisin y suficiencia de la informacin, as como a su validez
de acuerdo con los valores y expectativas del negocio.
Disponibilidad: Se trata de la oportunidad de entrega de la
informacin cuando sta sea requerida por el proceso de
negocio ahora y en el futuro. Tambin se refiere a la salvaguarda
de los recursos necesarios y capacidades asociadas.

Terminologa COBIT
Cumplimiento: Se refiere al cumplimiento de aquellas
leyes, regulaciones y acuerdos contractuales a los que el
proceso de negocios est sujeto, por ejemplo, criterios de
negocio impuestos externamente.
Confiabilidad de la informacin: Es la provisin de
informacin apropiada para la administracin con el fin de
operar la entidad y para ejercer sus responsabilidades de
reportes financieros y de cumplimiento.

Auditoria Externa
Aplicando el concepto general, se puede decir que la auditora Externa es
el examen crtico, sistemtico y detallado de un sistema de informacin de una
unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la
misma, utilizando tcnicas determinadas y con el objeto de emitir una opinin
independiente sobre la forma como opera el sistema, el control interno del mismo y
formular sugerencias para su mejoramiento.
La Auditora Externa examina y evala cualquiera de los sistemas de
informacin de una organizacin y emite una opinin independiente sobre los
mismos, pero las empresas generalmente requieren de la evaluacin de su sistema
de informacin financiero en forma independiente para otorgarle validez ante los
usuarios del producto de este,

Auditoria Interna
La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de
informacin de una unidad econmica, realizado por un profesional con vnculos
laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir
informes y formular sugerencias para el mejoramiento de la misma.
Las auditoras internas son hechas por personal de la empresa. Un auditor interno
tiene a su cargo la evaluacin permanente del control de las transacciones y
operaciones y se preocupa en sugerir el mejoramiento de los mtodos y
procedimientos de control interno que redunden en una operacin ms eficiente y
eficaz.

Preguntas a Responder y Analizar


1) Se define Auditoria como la revisin independiente que realiza un auditor profesional, aplicando,
tcnica, mtodos y procedimientos especializados.
2) Dos elementos que pueden generar la aplicacin de una Auditoria Informtica son: Las Leyes
Gubernamentales y las Polticas Internas.
3) La Auditoria define Riesgo Informtico como: La probabilidad de que una amenaza se
materialice.
4) La Auditora Interna examina y evala cualquiera de los sistemas de informacin de una
organizacin y emite una opinin independiente sobre los mismos.

5) La efectividad basada en la tecnologa COBIT se refiere a que la informacin relevante sea


pertinente para el proceso del negocio.

You might also like