Professional Documents
Culture Documents
OBJETIVO
Comprender la importancia de la Auditora Informtica en el entorno tecnolgico actual de las organizaciones y las oportunidades de desarrollo profesional para los conocedores de las tecnologas de la informacin.
OBJETIVOS ESPECIFICOS
Entender los conceptos bsicos
Conocer el ISACA como un organismo referente en el mbito de la Auditora Informtica a nivel mundial.
Ver la importancia que tiene la seguridad de la informacin con un enfoque basado en la norma ISO 17799.
OBJETIVOS ESPECIFICOS
Conocer e implementar la metodologa de Auditora Informtica Elaborar y presentar un informe de Auditora Informtica.
BIBLIOGRAFIA
PIATINNI Mario G. y DEL PESO Emilio, Auditora Informtica, un enfoque prctico. COBIT (Control Objectives for Information Technologies)
INTRODUCCIN
Las tecnologas de la informacin son vitales para una Organizacin, no obstante, todos los beneficios que de esto se deriva se ven amenazados por numerosos riesgos que deben ser controlados para garantizar la eficiencia del soporte a los procesos. Por tanto se requiere de un sistema de control interno eficaz, eficiente y una labor peridica de supervisin o de auditora informtica.
6
TI no proporcionan sorpresas
Riesgos mitigados
TI contribuyen al negocio
Nuevas oportunidades e innovaciones en productos, procesos y servicios
Auditoria
El origen etimolgico de la palabra es el verbo latino "Audire", que significa "or", que a su vez tiene su origen en que los primeros auditores ejercan su funcin juzgando la verdad o falsedad de lo que les era sometido a su verificacin principalmente oyendo.
experiencia en derecho civil que realiza la revisin, examen y evaluacin de los resultados de una gestin especifica o general de una institucin, con el propsito de informar o dictaminar acerca de ellas, realizando las observaciones y recomendaciones pertinentes para mejorar su eficacia y eficiencia en su desempeo.
10
evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.
Auditora medioambiental, cuantificacin de los logros y la posicin
nimo de presentar balance de su accin social y su comportamiento tico. Auditora de seguridad de sistemas de informacin, anlisis y gestin de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
11
informacin sobre la situacin actual de la empresa frente a la innovacin. Auditora poltica, revisin sistemtica de los procesos y actividades, orientadas ideolgicamente, de toma de decisiones de un grupo para la consecucin de unos objetivos, en beneficio de todos. Auditora de accesibilidad, revisin de la accesibilidad de un sitio web por parte de un experto. Auditora de marca, metodologa para medir el valor de una marca. Auditora de cdigo de aplicaciones, proceso de revisar el cdigo de una aplicacin para encontrar errores en tiempo de diseo.
12
Auditora Informtica
Proceso metodolgico que tiene el propsito principal de evaluar todos los recursos (humanos, financieros, tecnolgicos, etc.) relacionados con la funcin de informtica para garantizar al negocio que dicho conjunto opera con criterio de integracin y desempeo de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organizacin.
13
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
Estudia los mecanismos de control que estn implantados en
una empresa u organizacin, determinando si los mismos son adecuados y cumplen con determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos.
14
Exmen de las demostraciones y registros administrativos. (Holmes) Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos No es una evaluacin para detectar errores y sealar fallas Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organizacin
SEGURIDAD DE LA INFORMACION
PREMISAS No existe la verdad absoluta en Seguridad Informtica. No es posible eliminar todos los riesgos. La Direccin est convencida de que la Seguridad Informtica no hace al negocio de la compaa. Cada vez los riesgos y el impacto en los negocios son mayores.
16
SEGURIDAD DE LA INFORMACION
REALIDADES En mi empresa ya tenemos seguridad porque ... ... implementamos un firewall. ... contratamos una persona para el rea. ... en la ltima auditora de sistemas no me sacaron observaciones importantes. ... ya escrib las polticas. ... hice un penetration testing y ya arreglamos todo.
17
SEGURIDAD DE LA INFORMACION
QUE DEBO PROTEGER Impresa. Escrita en papel. Almacenada electrnicamente. Transmitida por correo o utilizando medios electrnicos. Presentada en imgenes. Expuesta en una conversacin. En el conocimiento de las personas.
18
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
CONCEPTO
Son todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.
20
SEGURIDAD DE LA INFORMACION
PRINCIPIOS
CONFIDENCIALIDAD: Medidas enfocadas a garantizar que la informacin est disponible para aquellos que estn autorizados conocerla. Es crtica cuando los datos proporcionan ventaja competitiva en fabricacin o confianza del consumidor
21
SEGURIDAD DE LA INFORMACION
INTEGRIDAD:
Garantizar que la informacin es fiable y que no se ha modificado. Es crtica cuando se trata de datos que sern utilizados en anlisis estadsticos, o clculos matemticos
22
SEGURIDAD DE LA INFORMACION
DISPONIBILIDAD:
Garantizar que los datos son accesibles el momento que se los necesita. Es crtica cuando se tiene que acceder a datos en tiempo real.
23
Objetivos de la AI
Control de la funcin informtica
El anlisis de la eficiencia de los sistemas informticos Verificacin de la normativa general de la empresa en el mbito informtico Revisin de la eficaz gestin de los recursos materiales y humanos informticos
OBJETIVO DE LA AI
EFECTIVIDAD.- Es el logro de las metas establecidas despus de considerar las alternativas. EFICIENCIA.- Es el logro de las metas con el menor costo posible. Los costos se expresan en trminos de recursos. ECONOMA.- Consiste en eliminar todo desperdicio, extravagancia y duplicacin.
25
xito de la AI
Estudiar hechos no opiniones
Sntomas de necesidad
Descoordinacin y desorganizacin
Concordancia con los objetivos
Desvos importantes del plan operativo anual Alta rotacin de personal Cambios grandes
Plazos de entregas
Inseguridad
Lgica
Fsica
Confidencialidad
Ventajas de la AI
Determinar el tamao de la organizacin
Niveles de confiabilidad
Alcances de la AI
Tener el claro el objetivo Conocer el ambiente Limites del sistema Control de integridad de registros
Para aplicaciones de registros comunes
Informe final
Organigrama Departamentos
Relaciones jerrquicas y funcionales
Tipos de AI
Interna
Los recursos y personas pertenecen a la empresa
Externa
Los recursos y personas no pertenecen a la empresa
33