1

OBJETIVO
Comprender la importancia de la Auditora Informtica en el entorno tecnolgico actual de las organizaciones y las oportunidades de desarrollo profesional para los conocedores de las tecnologas de la informacin.

OBJETIVOS ESPECIFICOS
Entender los conceptos bsicos

Conocer el ISACA como un organismo referente en el mbito de la Auditora Informtica a nivel mundial.
Ver la importancia que tiene la seguridad de la informacin con un enfoque basado en la norma ISO 17799.

Comprender la relacin entre el control interno y la auditora informtica.

OBJETIVOS ESPECIFICOS
Conocer e implementar la metodologa de Auditora Informtica Elaborar y presentar un informe de Auditora Informtica.

Conocer el modelo COBIT

Conocer los principales tipos de delitos informtcos y la legislacin vigente en el Ecuador para sancionarlos.

BIBLIOGRAFIA
PIATINNI Mario G. y DEL PESO Emilio, Auditora Informtica, un enfoque prctico. COBIT (Control Objectives for Information Technologies)

Norma ISO 17799: Seguridad de la Informacin

MANTILLA Samuel, Control Interno Informe COSO

INTRODUCCIN
Las tecnologas de la informacin son vitales para una Organizacin, no obstante, todos los beneficios que de esto se deriva se ven amenazados por numerosos riesgos que deben ser controlados para garantizar la eficiencia del soporte a los procesos. Por tanto se requiere de un sistema de control interno eficaz, eficiente y una labor peridica de supervisin o de auditora informtica.
6

Para asegurar que las

TI proporcionan valor
Coste, tiempo, funcionalidad esperados

TI no proporcionan sorpresas
Riesgos mitigados

TI contribuyen al negocio
Nuevas oportunidades e innovaciones en productos, procesos y servicios

la direccin necesita tener las TI bajo control

Auditoria
El origen etimolgico de la palabra es el verbo latino "Audire", que significa "or", que a su vez tiene su origen en que los primeros auditores ejercan su funcin juzgando la verdad o falsedad de lo que les era sometido a su verificacin principalmente oyendo.

La Auditoria puede referirse a:

Auditora contable, la realizada por un profesional, experto en

contabilidad, sobre los estados contables de una entidad.

Auditora energtica, una inspeccin, estudio y anlisis de los flujos de energa en un edificio, proceso o sistema con el objetivo de

comprender la energa dinmica del sistema bajo estudio.

Auditora jurdica, profesional de derecho, con capacidad y

experiencia en derecho civil que realiza la revisin, examen y evaluacin de los resultados de una gestin especifica o general de una institucin, con el propsito de informar o dictaminar acerca de ellas, realizando las observaciones y recomendaciones pertinentes para mejorar su eficacia y eficiencia en su desempeo.
10

 Auditora informtica, proceso de recoger, agrupar y evaluar

evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.
Auditora medioambiental, cuantificacin de los logros y la posicin

medioambiental de una organizacin.

Auditora social, proceso que una empresa u organizacin realiza, con

nimo de presentar balance de su accin social y su comportamiento tico. Auditora de seguridad de sistemas de informacin, anlisis y gestin de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

11

 Auditora de innovacin, proceso de obtencin

informacin sobre la situacin actual de la empresa frente a la innovacin. Auditora poltica, revisin sistemtica de los procesos y actividades, orientadas ideolgicamente, de toma de decisiones de un grupo para la consecucin de unos objetivos, en beneficio de todos. Auditora de accesibilidad, revisin de la accesibilidad de un sitio web por parte de un experto. Auditora de marca, metodologa para medir el valor de una marca. Auditora de cdigo de aplicaciones, proceso de revisar el cdigo de una aplicacin para encontrar errores en tiempo de diseo.
12

Auditora Informtica
Proceso metodolgico que tiene el propsito principal de evaluar todos los recursos (humanos, financieros, tecnolgicos, etc.) relacionados con la funcin de informtica para garantizar al negocio que dicho conjunto opera con criterio de integracin y desempeo de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organizacin.

13

 Es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
Estudia los mecanismos de control que estn implantados en

una empresa u organizacin, determinando si los mismos son adecuados y cumplen con determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos.

14

 Exmen de las demostraciones y registros administrativos. (Holmes) Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos No es una evaluacin para detectar errores y sealar fallas Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organizacin

SEGURIDAD DE LA INFORMACION
PREMISAS No existe la verdad absoluta en Seguridad Informtica. No es posible eliminar todos los riesgos. La Direccin est convencida de que la Seguridad Informtica no hace al negocio de la compaa. Cada vez los riesgos y el impacto en los negocios son mayores.

16

SEGURIDAD DE LA INFORMACION
REALIDADES En mi empresa ya tenemos seguridad porque ... ... implementamos un firewall. ... contratamos una persona para el rea. ... en la ltima auditora de sistemas no me sacaron observaciones importantes. ... ya escrib las polticas. ... hice un penetration testing y ya arreglamos todo.

17

SEGURIDAD DE LA INFORMACION
QUE DEBO PROTEGER Impresa. Escrita en papel. Almacenada electrnicamente. Transmitida por correo o utilizando medios electrnicos. Presentada en imgenes. Expuesta en una conversacin. En el conocimiento de las personas.
18

SEGURIDAD DE LA INFORMACION

No se puede hacer una buena defensa si no se conoce lo que se defiende

19

SEGURIDAD DE LA INFORMACION
CONCEPTO

Son todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.
20

SEGURIDAD DE LA INFORMACION
PRINCIPIOS
CONFIDENCIALIDAD: Medidas enfocadas a garantizar que la informacin est disponible para aquellos que estn autorizados conocerla. Es crtica cuando los datos proporcionan ventaja competitiva en fabricacin o confianza del consumidor
21

SEGURIDAD DE LA INFORMACION
INTEGRIDAD:
Garantizar que la informacin es fiable y que no se ha modificado. Es crtica cuando se trata de datos que sern utilizados en anlisis estadsticos, o clculos matemticos

22

SEGURIDAD DE LA INFORMACION
DISPONIBILIDAD:

Garantizar que los datos son accesibles el momento que se los necesita. Es crtica cuando se tiene que acceder a datos en tiempo real.
23

Objetivos de la AI
Control de la funcin informtica

El anlisis de la eficiencia de los sistemas informticos Verificacin de la normativa general de la empresa en el mbito informtico Revisin de la eficaz gestin de los recursos materiales y humanos informticos

OBJETIVO DE LA AI
EFECTIVIDAD.- Es el logro de las metas establecidas despus de considerar las alternativas. EFICIENCIA.- Es el logro de las metas con el menor costo posible. Los costos se expresan en trminos de recursos. ECONOMA.- Consiste en eliminar todo desperdicio, extravagancia y duplicacin.

25

xito de la AI
Estudiar hechos no opiniones

Investigar las causas no los efectos Atender razones no excusas

No confiar en la memoria, preguntar constantemente

Criticar objetivamente y a fondo todos los informes y datos recabados

Registrar TODO

Sntomas de necesidad
Descoordinacin y desorganizacin
Concordancia con los objetivos
Desvos importantes del plan operativo anual Alta rotacin de personal Cambios grandes

Mala imagen Insatisfaccin de los usuarios

Software Hardware

Plazos de entregas

Sntomas de necesidad Debilidades econmicas-financieras

Incremento de costos

Justificacin de inversiones informticas

Desviaciones presupuestarias

Costos y plazos de nuevos proyectos

Inseguridad
Lgica

Fsica
Confidencialidad

Carencia de planes de contingencias

Ventajas de la AI
Determinar el tamao de la organizacin
Niveles de confiabilidad

Buen Ambiente organizacional Buen manejo del Presupuesto

Activos informticos auditables

Alcances de la AI
Tener el claro el objetivo Conocer el ambiente Limites del sistema Control de integridad de registros
Para aplicaciones de registros comunes

Control de validacin de errores

Detectar y corregir errores

Informe final

Estudio INICIAL de una AI

Constitucin legal - Antecedentes

Organigrama Departamentos
Relaciones jerrquicas y funcionales

Flujos de informacin Planos

Tipos de AI
Interna
Los recursos y personas pertenecen a la empresa

auditada Es remunerada La organizacin la controla

Externa
Los recursos y personas no pertenecen a la empresa

auditada Es remunerada Distancia entre auditores y auditados: mayor objetividad

33