auditoria de centros de computo

Auditoria de Centros de Computo

Lic. Alfonso Cruz

Example Bullet Point Slide

Auditoria

Auditoria, en su significado mas amplio significa verificar que la informacin financiera, operacional y administrativa que se presenta es confiable, veras y oportuna.

Auditoria gubernamental Auditoria operacional. Auditoria administrativa. Auditoria integral. Auditoria fiscal. Auditoria contable ( de estados financieros ) Auditoria administrativa. Auditoria integral. Auditoria interna. Auditoria externa.

.

Auditoria de Sistemas

La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

Objetivos Generales de una Auditoria

Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el Procesamiento automtico de datos. Incrementar la satisfaccin de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.


Evaluar la fiabilidad (probabilidad de buen funcionamiento de algo".) Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad. Revisar la seguridad de los entornos y sistemas.

Analizar la garanta de calidad de los Sistemas de Informacin


Analizar los controles y procedimientos tanto organizativos como operativos. Verificar el cumplimiento de la normativa y legislacin vigentes Elaborar un informe externo independiente. Utilizacin de estndares ISACA, OSSTMM, ISO/IEC 17799 y CIS

Tipos de Auditorias

Exposicin de los alumnos

Metodologa de Auditora Informtica

Metodologa es una secuencia de pasos lgica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologas para llevar a cabo una auditoria informtica.

Etapas de la Metodologa

Alcance y Objetivos de la Auditora Informtica Estudio inicial del entorno auditable Determinacin de los recursos necesarios para realizar la auditora Elaboracin del plan y de los Programas de Trabajo Actividades propiamente dichas de la auditora Confeccin y redaccin del Informe Final Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final

Etapas de la MetodologaAlcance y Objetivos de la Auditora InformticaEstudio inicial del entorno auditable Determinacin de los recursos necesarios para realizar la auditora Elaboracin del plan y de los Programas de Trabajo

Actividades propiamente dichas de la auditoraConfeccin y redaccin del Informe Final Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final

Documento a Entregar

De la metodologa de Auditoria solo el punto 1) y 2) 1) Alcance y Objetivos de la Auditora Informtica Estudio inicial del entorno auditable

Fase 1: Definicin de Alcance y Objetivos

El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los efectos de acotar el trabajo y lograr los objetivos declarar cuales materias, funciones u organizaciones no van a ser auditadas.


Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final. Las personas que realizan la auditora han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.


Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos generales y comunes de a toda auditora Informtica: La operatividad de los Sistemas y los Controles Generales de Gestin Informtica.

2.-Estudio inicial del entorno auditable

1) Organigrama: Si no existe el rea o departamento se anotara en el informe de auditoria. 2) Departamentos: Departamento los que siguen inmediatamente a la Direccin. El auditor describir brevemente las funciones de cada uno de ellos.


3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin: El auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes. 4) Flujos de Informacin: Corrientes verticales o intradepartamentales. siempre y cuando tales corrientes no distorsionen el propio organigrama.


5) Nmero de Puestos de trabajo El auditor comprobar que los nombres de los Puestos corresponden a las funciones correspondientes o funciones operativas redundantes. 6) Nmero de personas por Puesto de Trabajo La inadecuacin del personal determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organizacin.

Entrega de documento

Entregar documento con I ) punto 1) y 2) de Metodologa de auditoria :1) Alcance y Objetivos de la Auditora Informtica 15% 2) Estudio inicial del entorno auditable - 15%

II) Documento que explique en detalle las actividades o procesos que se realizan del rea a auditar. ( Entrevista ) 70% >>>> propuestas >>>>

Eleccin Procesos o procedimientos a Conocer : . Con la informacin recolectada redactar de manera clara y organizada el rea o proceso entrevistado.( personal )

Entregar antes de fecha de examen : Metodologa de investigacin Pasos 1) y 2) - Descripcin detallada de la informacin redactada en la recopilacin de informacin.

Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos especficos Necesidad de auditar una materia de gran especializacin Contrastar algn informe interno con el que resulte del externo Evaluacin del funcionamiento de reas informticas en undeterminado departamento Aumentos de seguridad y fiabilidad Aumento de calidad Disminucin de costss o plazos Objetivos generales (comunes a toda A.I.) Operatividad de los S.I. Controles Generales de la

Operatividad Funcionamiento, aunque sea mnimo, de la organizacin y susmquinas (PCs, mainframes) Conseguida a escala general y parcial (p.e. cajero y lneas) Conseguida a travs de:Controles Tcnicos Generales (p.e. CPD diferentes) Sistema operativo y software de base funcionansimultneamente con aplicaciones Hw y Sw compatiblesControles Tcnicos Especficos Espacio en disco Perodo de utilizacin de BD comunes

Controles Generales de la Gestin Informtica Verificar normas del Departamento de Informtica y observar su consistencia con las del resto de la empresa -Normas Generales de la Instalacin Informtica - Procedimientos Generales y Especficos del Departamento de Informtica (p.e. una aplicacin o paquete no pasa a ser usado sin su correspondiente Documentacin y pruebas ) Comprobar que no existen contradicciones con normas y procedimientos generales de la empresa Interlocutores Personas con poder de decisin y validacin dentro de la empresa

BLOQUE II

Conceptos de seguridad y ejecucin de Auditoria.

2.1 Conceptos de seguridad en un centro de cmputo. 2.2 Realizacin de los instrumentos que se van a aplicar en la auditora. 2.3 Ejecucin de la auditora 2.4 Elaboracin de las desviaciones y someterlas a discusin

Definicin de Riesgo : Es aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado.

El riesgo conlleva : Perdidas. Definicin OSI : La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o grupo de activos, generndole perdidas o daos.

Elementos a considerar en un Anlisis de RiesgoProbabilidad

Vulnerabilidades

Amenaza

Impactos

Activos

Probabilidad.- de ocurrencia de evento de manera cualitativa o cuantitativa

Amenazas .- Son aquellas acciones que pueden ocasionar consecuencias negativas a la empresa. Ingresos no autorizados , virus , desastres ambientales , terremotos , inundaciones. ( Fsicas o Lgicas ) Vulnerabilidad .- Condiciones inherentes a los activos o en su entorno. Falta de conocimiento, tecnologa o sistemas no probados. Hardware , Software , Recursos humanos.

Impacto .- Consecuencia de la ocurrencia de las distintas amenazas. Financieras , no financieras , corto o mediano plazo.Costos que supondra la ocurrencia de una amenaza : Valor de reposicin Valor de reconstruccin Horas perdidas de trabajo Daos y perjuicios No slo importa lo que cuesta sino para qu /por lo que vale.

Para un estudio comparativo basta alguna escala sencilla 0, 1, 2, ..., 10 Para un estudio de costes se requiere una estimacin.

Definicin de Seguridad Informtica

Seguridad informtica es el conjunto de procedimientos, estrategias y herramientas que permitan garantizar la integridad, la disponibilidad y la confidencialidad de la informacin de una entidad. ( oficina , empresa etc. )

Gestin de Riesgos

Anlisis de riesgos. Estimar la magnitud de los riesgos

Evaluacin de los riesgos . Cotejar el riesgo estimado

Tratamiento de riesgos . Prevenir, impedir, reducir o controlar los riesgos identificados

Anlisis de riesgos. Estimar la magnitud de los riesgos

Anlisis de riesgos. Proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una organizacin.

Evaluacin de los riesgos . Cotejar el riesgo estimado

Evaluacin de los riesgos proceso en el que se coteja el riesgo estimado contra los criterios de la organizacin para determinar la importancia del riesgo.

Tratamiento de riesgos . Prevenir, impedir, reducir o controlar los riesgos identificados

Tratamiento de riesgos, seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados

El problema es la complejidad

ActivosAmenazas

Medidas

Aproximacin Metdica

Demasiados activos, amenazas, contra medidas, ... La solucin : una aproximacin metdica De lo General a lo particular. De mayor amenaza a menor amenaza

Una aproximacin metdica.

Activos dependen de otros.

Aspectos a Calificar Anlisis de Riesgo

Aproximacin Metdica Relacin de activos , que dependen uno de otro.Relacin de riesgos / Clasificacin Valoracin Cualitativa ( despreciable, bajo medio etc. )Consideraciones fsicas por observar y/o verificar , recomendaciones ( por no tener accesos ).

Presentacin y aplicacin de conocimientos. Conclusiones.

Valoracin Cuantitativa Criterios homogneos que permitan Comparar dimensiones Compartir / combinar anlisis realizados por separado

Aspectos de valoracinSeguridad de las personas Informacin de carcter personal

Obligaciones derivadas de la ley, del marco regulatorio, de contratos, etc.Capacidad para la persecucin de delitos

Intereses comerciales y econmicosPrdidas financieras Interrupcin del servicio Poltica corporativa Otros valores intangibles

Valoracin

Trabajo de Plan de Contingencia & BCP

http://www.publicsafety.gc.ca/prg/em/gds/bcpeng.aspx ( 1.- Gabriel ) http://www.disasterrecoveryworld.com/ ( 2.- Hugo ) Como Escribir un BCP .- PDF ( 3.- Nayeli)

Exposicin , Plan de Contingencia & BCPConocimiento del Tema

Exposicin clara y concisa.Casos de ejemplo, tipificaciones, consecuencias, casos reales etc. Presentacin y aplicacin de conocimientos Conclusiones.

Herramientas y Tcnicas para la Auditora Informtica

- Cuestionarios - Entrevistas - CheckList

Cuestionarios

Las auditoras informticas se materializan recabando informacin y documentacin de todo tipo. Los cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidadosos en su fondo y su forma.

Cuestionarios

Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la auditora. NOTA : Esta fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos preimpresos hubieran proporcionado.

Entrevistas

El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario.

3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.

El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible.

El auditado conteste sencillamente a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular.

El auditor debe ser un cuidadoso Escucha. El Auditor debe leer e interpretar tonos y entonaciones de voz del Auditado El Auditor debe poder interpretar Lenguaje corporal del auditado : posicin de las manos, movimiento de ojos..

Ya que podra en cierto punto estar ocultando informacin o puntos dbiles de su rea auditada. Lo cual podra llegar a profundizar mas puntos de debilidad o incumplimientos con algn procedimiento o estndar del rea auditada.

Checklist

Es el conjunto de preguntas orientadas a buscar debilidades o anomalas en el proceso auditado. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma. .

Checklists

Hay opiniones que descalifican el uso de los Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Un checklist contiene listas de preguntas muy sistematizadas, coherentes y clasificadas por materias.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. La preguntas pueden ser de pariencia distinta, el auditor formular preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes.

El auditor deber analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones Checklist de rango Checklist binario

Colour scheme

Background

Text & Lines

Shadows

Title Text

Fills

Accent

Accent & Hyperlink

Followed Hyperlink

Picture slide

Bullet 1 Bullet 2

Sample Graph (3 colours)90 80 70 60 50 40 30 20 10 0 1st Qtr 2nd Qtr 3rd Qtr 4th Qtr East West North

Example of a tableTitleData

TitleData

Note: PowerPoint does not allow you to have nice default tables but you can cut and paste this one

Two column bullet points

Bullets go in here

And also in here

Examples of default styles

Text and lines are like this Hyperlinks like this Visited hyperlinks like this

Table

Text box

Text box With shadow

Use of templatesYou are free to use these templates for your personal and business presentations.We have put a lot of work into developing all these templates and retain the copyright in them. They are not Open Source templates. You can use them freely providing that you do not redistribute or sell them.

Do

Dont

Use these templates for your Resell or distribute these templates presentations Put these templates on a website for Display your presentation on a web download. This includes uploading site provided that it is not for the them onto file sharing networks like purpose of downloading the template. Slideshare, Myspace, Facebook, bit If you like these templates, we would torrent etc always appreciate a link back to our Pass off any of our created content as website. Many thanks. your own work

You can find many more free templates on the Presentation Magazine website www.presentationmagazine.com

Cobit viene del ingls Control Objectives for Information and related Technology, que significa Objetivos de Control para la informacin y Tecnologas relacionadas. Se trata de un conjunto de buenas prcticas para el manejo de informacin que ha sido creado por la Asociacin para la Auditora y Control de Sistemas de Informacin,(ISACA, en ingls: Information Systems Audit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT Governance Institute) en 1992.

auditoria de centros de computo

Documents