1. Auditoria y Evaluación de Sistemas
Ing. Marjorie Chalén Troya
BIBLIOGRAFIA
ISACA
Joaquín Rodríguez Valencia, Como utilizar y elaborar manuales administrativos 2003 España.
2. Introducción
• Hoy en día la información representa un activo
importante dentro de las organizaciones, puede existir
de distintas maneras y ser almacenada o distribuida
mediante sistemas de información.
• La seguridad de la protección de la información de una
variedad de amenazas de manera que se asegure la
continuidad del negocio, se minimice el riesgo de
negocio, y se maximice el retorno de las inversiones y las
oportunidades de negocio.
• De acuerdo al estándar internacional ISO/IEC 17799:2005
3. Definiciones
• Política.- Planificación escrita de alcanzar objetivos
de la organización bajo un procedimiento mediante
directrices generales y debe ser conocida por todas
las áreas de una organización.
• Procedimiento.- Es la acción, modo de proceder o
el método de ejecutar ciertas cosas o tareas. Una
serie de pasos definidos, que permiten realizar un
trabajo de forma correcta.
4. Ejemplos de Políticas
• Política Administrativa
• Política Ambiental
• Política de la Calidad
• Política de Seguridad de la Información.- Es un
documento de alto nivel que denota el compromiso de la
gerencia con la seguridad de la información. Establecen
un canal formal de actuación del personal, en relación
con los recursos y servicios informáticos de la
organización
• Notas:
• Cada política se deberá basar en un objetivo.
5. Definiciones
• Criterios de Auditoria.- Conjunto de políticas,
procedimientos o requisitos.
• Evidencia.- registros, declaraciones de hechos o
cualquier otra información que son pertinentes para
los criterios de auditoría y que son verificables.
• Hallazgo de Auditoria.- resultados de la evaluación
de la evidencia de la auditoría recopilada frente a los
criterios de auditoría.
6. Auditoria
• Inspección formal y verificación para evaluar el seguimiento de un
estándar o conjunto de directrices, exactitud de documentación, o si se
identifican practicas de eficiencia y efectividad.
• Auditoria de Sistemas.- Es el proceso de reunir y evaluar la evidencia para
determinar si los sistemas de información y los recursos relacionados
protegen adecuadamente los activos, mantienen la integridad y
disponibilidad de los datos y del sistema, proveen información relevante y
confiable, logran de forma efectiva las metas de la organización, usan
eficientemente los recursos y tienen en efecto controles internos que
proveen una certeza razonable que los objetivos de negocio,
operacionales y de control serán alcanzados y que los eventos no
deseados serán prevenidos o detectados y corregidos de forma oportuna.
Concepto de acuerdo a la Asociación de Auditoria y Control de Sistemas de
información, ISACA
7. Objetivos de Auditoria
Son las metas especificas a cumplirse por parte de la
auditoria. Una auditoria, puede tener varios objetivos de
auditoria.
Un objetivo de auditoria debe incluir asegurar el
cumplimiento de los requisitos legales y regulatorios,
integridad, confiabilidad y disponibilidad de los recursos
de información y de TI.
Objetivo básico en auditoria de sistemas: identificar lo
objetivos de control y sus controles relacionados.
8. Seguridad de la Información
• Confiabilidad.- acceso a la información solo a aquellas personas
autorizadas.
• Integridad.- salvaguardar la exactitud y totalidad de la información
y métodos de procesamiento.
• Disponibilidad.- garantiza que los usuarios autorizados tengan
acceso a la información cuando la requieran.
Opuesto a disponibilidad: Denegación de Servicio
Ejemplo: Ataque DDoS a MasterCard
Los ataques, fueron preparados por la organización ciberactivista
internacional Anonymous a través de canales de IRC y de Twitter y
llegaron tras los ataques a PayPal básicamente en ‘venganza’ por los
mismos motivos: deshabilitar la cuenta de Wikileaks en un intento de
bloqueo a base de cerrar el grifo financiero y de subvenciones de
Wikileaks.
9. Quienes pueden realizar una auditoria?
Auditor.- Persona con la competencia para llevar a cabo una
auditoria. Ver Estandar S4.
Dependiendo el tipo de SI, si es simple, medio complejo o
complejo, los SI pueden ser o no evaluados por especialistas de IT.
Un SI simple puede ser evaluado por un auditor general, no
especializado en IT, ya que sin necesidad de una evaluación de
control interno de un SI, estos sistemas muy simples son sujeto de
gran riesgo.
Un SI medio complejo puede ser evaluado por un auditor general,
que pueden solicitar ayuda en temas particulares a los auditores
especializados de IT. Para esa evaluación se puede hacer uso de un
cuestionario, que contenga preguntas estándares.
Un SI complejo debe ser evaluado por un auditor especializado en
IT.
10. Conocimientos para realizar una auditoria
Conocimiento de Estándares, directrices, procedimientos de
auditoría de SI y del código de ética.
Conocimiento de prácticas y técnicas de auditoría.
Conocimiento de técnicas de recopilación de información y
preservar la evidencia.
Conocimiento del ciclo de vida de la evidencia.
Conocimiento de los objetivos de control y de los controles
relacionados con SI.
Conocimiento de evaluación de riesgos de auditoría.
Conocimiento de técnicas de planeación y de administración de la
auditoria.
Conocimiento de técnicas de reporte y comunicación.
Conocimiento de Autoevaluación de control.
Conocimiento de técnicas de auditoría continúa.