Professional Documents
Culture Documents
CONTABLES
Contenido
Conceptos Bsicos de Auditora
Informtica
Justificacin
Objetivos
Ejemplos
Administracin de la
Configuracin de
Bases de Datos
Justificacin
Recursos
TICs
Evidencias
1
Evidencias
8
Junto con las redes sociales otra rea de peligro en el espacio mvil
(Smartphones).
10
11
de
amenazas
informticas
para
2010
Fuente:
Riesgo Informtico
La Organizacin Internacional de
Normalizacin (ISO) define riesgo
tecnolgico (Guas para la
Gestin de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto especfico, el cual
puede estar representado por
prdidas y daos.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la
Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Amenaza
Acciones
que
pueden
ocasionar
consecuencias
negativas
en
la
plataforma informtica disponible: fallas,
ingresos no autorizados a las reas de
computo, virus, uso inadecuado de
activos
informticos,
desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas elctricas.
Pueden ser de tipo lgico o fsico.
Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas
se materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del
usuario,
tecnologa
inadecuada,
fallas
en
la
transmisin,
inexistencia
de
antivirus, entre otros.
Impacto
Consecuencias
de
la
ocurrencia de las distintas
amenazas: financieras o no
financieras.
Perdida de dinero, deterioro
de la imagen de la empresa,
reduccin de eficiencia, fallas
operativas a corto o largo
plazo, prdida de vidas
humanas, etc.
Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el
ciclo de administracin de riesgo finaliza con la
determinacin de las acciones a seguir respecto:
Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
Eliminar el riesgo.
Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informtica).
Aceptar el riesgo, determinando el nivel de
exposicin.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin.
Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay.
Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Bajo Nivel de
Vulnerabilidad?
Dao a los
equipos, datos
o informacin
Concrecin
de la
Amenaza
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daos intencionales o no)
Objetivos: Desafo,
ganancia financiera/poltica,
dao
Causa Fsica (Natural o no)
Confidencialidad
Integridad
Disponibilidad
Prdida de
Dinero
Clientes
Imagen de la Empresa
Tratar de
deevitar
evitarel
el
Tratar
Cuandofallan
fallanlos
los
Cuando
hecho
hecho para
preventivos
Disuasivos
preventivos para
tratarde
deconocer
conocer
tratar
cuantoantes
antesel
el
cuanto
evento
evento
Preventivos
Amenaza o
Riesgo
PlataformaInformtica
Informtica
Plataforma
Vueltaaala
la
Vuelta
normalidadcuando
cuando
normalidad
sehan
hanproducido
producido Detectivo
se
incidencias
incidencias
Operatividad
Tmin
Correctivo
sistemade
degestin
gestinde
de
sistema
seguridadde
delalainformacin
informacin
seguridad
COSO (Committee of Sponsoring
parasu
suproteccin.
proteccin.
para
Organizations of the Treadway
COBIT
(Control
Objectives
for que
Marco
referencial
control
interno
en
los
control interno en los el proceso de gestin de los
procesoTechnology
de gestin de
Information
and elRelated
IT,los
sistemas,
funciones,
sistemas,
funciones,
Serviciosde
detecnologa
tecnologade
de
procesos
actividades
enServicios
EEUU
1998). en
procesos
ooactividades
informacin y de la
formantegra.
ntegra.
forma
informacin y de la
infraestructuratecnologa.
tecnologa.
infraestructura
Referencia Bibliogrfica
IT GOVERNANCE
INSTITUTE. 2006. COBIT
4.0. Fuente: www.isaca.org
Information Systems Audit and Control Association
Fundada en 1969, ISACA patrocina conferencias
internacionales, publica la revista ISACA Journal y
desarrolla estndares internacionales en control y auditoria
de sistemas de informacin. Tambin administra la respetada
certificacin a nivel mundial como Auditor de Sistemas de
Informacin.
NEGOCIO
Los
Objetivos
de
Control
COBIT
Herramientas
para
ayudar
a brindan
asignar
Requerimientos
Informacin
buenas
prcticas a medir
travs de
marco de
responsabilidades,
el un
desempeo,
trabajo
dominios
y procesos,
ydirectrices
presenta
TICS
Vs.Las
PROCESOS
llevar a de
cabo
benchmarks
()
las
actividades
en respuestas
una estructura
manejabledey
ayudan
a brindar
a preguntas
lgica.
RepresentanQu
el consenso
de podemos
expertos.
la administracin:
tan lejos
Enfocadas
en el
control
y menos
llegar parafuertemente
controlar la
TI?,
y el
costo
Medidos
en
la ejecucin.
AyudanCules
a optimizar
justifica
el beneficio?
son las
los
por
inversiones
facilitadas
por la TI, asegurarn
indicadores de
un buen desempeo?
Cules
Auditados
la
entrega
del
servicio
y
brindarn
una
son las prcticas administrativas clave
a
a travs
medida
cual otros?
juzgar cuando
cosas
aplicar? contra
Qu la
hacen
Cmo las
medimos
de
no
vayan bien (IT
y comparamos?
(IT Governance
Governance Instituye,
Institute,
Ejecutados a
2006).
travs de
Indicadores
de
Desempeo
Indicadores
Meta
Modelo de Madurez
Metas de
Actividades
Controlados
por
Objetivos de
Control
Directrices
de
Auditora
Prcticas de
Control
Traduccin
Implementacin
las
operaciones
Modelo de Madurez
Escala de medicin creciente a partir de 0 (No existente) hasta 5
(Optimizado) para la evaluacin de los procesos a partir de los objetivos
de control (IT Governance Institute, 2006).
Promedio de la Industria
Objetivo de la empresa
Norma COBIT
COBIT es la fusin entre prcticas de
informtica (ITIL, ISO/IEC 17799) y prcticas
de control (COSO), las cuales plantean tres
tipos de requerimientos de negocio para la
informacin:
De calidad (calidad, costo y entrega de
servicio).
Fiduciarios (efectividad y eficiencia de
operaciones, confiabilidad de la informacin y
cumplimiento de las leyes y regulaciones).
De Seguridad (confidencialidad, integridad y
disponibilidad).
Terminologa COBIT
Efectividad: Se refiere a que la informacin
relevante sea pertinente para el proceso del
negocio, as como la entrega oportuna sea
correcta, consistente y de manera utilizable ante
terceros, para poder cumplir con parte del
requerimiento fiduciario.
Eficiencia: Siguiendo los requerimientos del
negocio de la informacin, en cuanto a calidadcosto, la eficiencia viene dada a travs de la
utilizacin ptima (ms productiva y econmica)
de recursos.
Terminologa COBIT
Confidencialidad: Se refiere a la proteccin de
informacin sensible contra divulgacin no
autorizada. Cumple con el principio de calidad.
Integridad: Para el requerimiento de seguridad,
la integridad es la precisin y suficiencia de la
informacin, as como a su validez de acuerdo
con los valores y expectativas del negocio.
Disponibilidad: Se trata de la oportunidad de
entrega de la informacin cuando sta sea
requerida por el proceso de negocio ahora y en
el futuro. Tambin se refiere a la salvaguarda de
los recursos necesarios y capacidades
asociadas.
Terminologa COBIT
Cumplimiento: Se refiere al cumplimiento de
aquellas leyes, regulaciones y acuerdos
contractuales a los que el proceso de negocios
est sujeto, por ejemplo, criterios de negocio
impuestos externamente.
Confiabilidad de la informacin: Es la
provisin de informacin apropiada para la
administracin con el fin de operar la entidad y
para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.