ÍNDICE

1. ÍNDICE AUDITORÍA DE SISTEMAS DE INFORMACIÓN 1.- INTRODUCCIÓN 2.- OBJETIVOS DE LA ASI 3.- CONTROL INTERNO 4.- METODOLOGÍAS DE ASI 5.- ÁREAS DE REVISIÓN 6.- NORMAS Y REGULACIONES

2. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN Control Objectives for related Information Technology - COBIT INFORME COSO GMITS (ISO/IEC 13335-x), • ISO 17799 Common Criteria (ISO 15408) ASOCIACIONES PROFESIONALES, USUARIOS, FABRICANTES

3. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN MODELO DE RIESGO(*) RIESGOS VULNERABILIDAD IMPACTO PROTECCION (**) (*) Basado en el modelo "Infosec"(ref. 92/242/ECC) (**) Incluye los conceptos de control y auditoría de sistemas de información

4. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN RIESGO • La probabilidad de que • se dé un error, • falle un proceso, • o tenga lugar un hecho negativo • para la empresa u organización, incluyendo la posibilidad defraudes

5. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN CONTROL el MECANISMO o PROCEDIMIENTO queEVITA o PREVIENEun RIESGO

6. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN • “el sistema de control interno en TI está constituido por • las políticas, • procedimientos, • prácticas y estructuras organizativas • diseñadas para proveer • una seguridad razonable • que los objetivos empresariales o de negocio serán alcanzados o logrados y que los sucesos indeseados serán detectados, prevenidos y corregidos” COBIT (Governance, control and Audit for Information and Related Technology)

7. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN Riesgos y controles en procesos operativos MANUALES Riesgos y controles en procesos operativos AUTOMATIZADOS

8. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN CONTROLES COMPLEMENTARIOS e INTERDEPENDIENTES

9. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN CONTROL INTERNO Revisión periódica de procedimientos de controles establecidos Detección de riesgos Seguimiento de errores o irregularidades

10. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN dificultad para implantar una adecuada segregación de funciones obtención de evidencias o pistas de auditoría relevantes, fiables y eficientes complejidad tecnológica

11. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN SEGREGACIÓN de FUNCIONES Establecer una división de roles y responsabilidades que excluyan la posibilidad que unaSOLA PERSONA PUEDA DOMINAR un PROCESO CRÍTICO

12. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN • ¿Cuál de las siguientes tareas pueden ser realizadas por la misma persona en un centro de cómputo de procesamiento de información bien controlado? • Administración de seguridad y admón. de cambios • Operaciones de cómputo y desarrollo de sistemas • Desarrollo de sistemas y admón. de cambios • Desarrollo de sistemas y mantenimiento de sistemas

13. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN • ¿Cuál de las siguientes controles es el más crítico sobre la administración de bases de datos? • Aprobación de las actividades del DBA • Segregación de funciones • Revisión de los registros de acceso y actividades • Revisión del uso de las herramientas de bases de datos

14. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN • ¿Cuál de las siguientes funciones es más probable que sea realizada por el administrador de seguridad? • Aprobar la política de seguridad • Probar el software de aplicación • Asegurar la integridad de los datos • Mantener las reglas de acceso

15. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN VOLATILIDAD Y FACILIDAD de MANIPULACIÓNde lasEVIDENCIAS, losREGISTROSy los PROCESOS

16. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN Las características estructurales de loscontroles están evolucionandoa la misma velocidad y en la misma forma de cambio acelerado, que están experimentando las tecnologías Ejercicio continuado deinvestigación aplicada a los controlesenTI

17. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN POLITICAS Provienen de la Dirección Generalmente abarcan objetivos, las metas, filosofías, códigos éticos, y los esquemas de responsabilidades No admiten desviaciones

18. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN PROCEDIMIENTOS • Brindan los pasos específicos • necesarios para lograr las metas • Son las medidas o dispositivos • necesarias para lograr las directrices de las políticas Evolucionan con la tecnología, la estructura organizativa, y se componen de medidas organizativas y técnicas

19. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN En la definición de los controles OBJETIVO DEFINIDO de cada MECANISMO DE CONTROL Interdependencia y conexión con otros controles EVIDENCIAS

20. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN En los aspectos organizativos SEGREGACIÓN de FUNCIONES IDENTIFICACIÓN de RESPONSABILIDAD INDEPENDENCIA de la SUPERVISIÓN

21. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN • La Direccióndeberá decidir sobreel nivel de riesgoque está dispuesta a aceptar, elloimplicaequilibrarelriesgo y elcosto • Los usuarios de los servicios de T.I. tienen una necesidad creciente de disponer de una SEGURIDAD RAZONABLE

22. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN CONTROLES versusCOSTE/BENEFICIOde los CONTROLES Todo control y medida preventiva implica un coste monetario para su IMPLANTACIÓNyMANTENIMIENTO Desembolso que puede evitar pérdidas mayores en el futuro, y por lo tanto puede dar lugar a la RECUPERACIÓNde laINVERSIÓN NO siempre esfácilIDENTIFICARy CUANTIFICARque riesgos pueden provocar daño o fraude, y que pérdidas concretas

23. CONTROL INTERNO AUDITORÍA DE SISTEMAS DE INFORMACIÓN ESQUEMA BÁSICO MATERIALIDAD de los RIESGOS CONTROLES NECESARIOS COMPARACION de CONTROLversus COSTE DEFINICIÓN de los CONTROLES

24. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN • Un auditor de SI está auditando los controles relativos al despido/retiro de empleados. ¿Cuál de los siguientes aspectos es el más importante que debe ser revisado? • El personal relacionado de la compañía es notificado sobre el despido/retiro • El usuario y las contraseñas del empleado han sido eliminadas • Los detalles del empleado han sido eliminados de los archivos activos de la nómina • Los bienes de la compañía provistos al empleado han sido devueltos

25. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN • Cuando se revisa un acuerdo de nivel de servicio para un centro de cómputo contratado con terceros (outsourcing), un auditor de SI debería PRIMERO determinar que • El coste propuesto para los servicios es razonable • Los mecanismos de seguridad está especificados en el contrato • Los servicios contratados están basados en un análisis de las necesidades del negocio • El acceso de la auditoría al centro de cómputo esté permitido conforme al contrato

26. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN • Un auditor de SI que hace una auditoría de procedimiento de monitoreo de hardware debe revisar: • reportes de disponibilidad del sistema • reportes coste-beneficio • reportes de tiempo de respuesta • reportes de utilización de bases de datos

27. DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN • Un auditor de SI cuando revisa una red utilizada para las comunicaciones de Internet, examinará primero • la validez de los casos en que se hayan efectuado cambios de contraseña • la arquitectura de la aplicación cliente/servidor • la arquitectura y el diseño de la red • la protección de firewall y los servidores proxy