auditoriaitvf

15
INFORMÁTICA PROGRAMACIÓN

Upload: carlos-ayala

Post on 07-Jul-2015

419 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Auditoriaitvf

INFORMÁTICA PROGRAMACIÓN

Page 2: Auditoriaitvf

Objetivos:

• Comprender el significado del concepto de Control Interno.

• Comprender el concepto de Auditoría de TI.

• Comprender el concepto de Peritaje.

• Reconocer la importancia que tienen los procesos de control interno, auditoría informática y peritaje, en los análisis de estado de los departamentos de TIC en las organizaciones.

• Conocer el marco de referncia COBIT para la auditoría informática.

AUDITORÍA DE TI

Page 3: Auditoriaitvf

Auditoría de TI - Concepto

Auditoría TI

Concepto

Consiste en un conjunto de procesos orientados hacia la certificación del estado de la función informática y de las TIC en general en una empresa.

Tecnologías

Específicas

Emergentes

Cambiantes en elMercado

Difíciles de controlar

Page 4: Auditoriaitvf

Auditoría de TI - Concepto

Page 5: Auditoriaitvf

Auditoría de TI - Concepto

Control Interno

La necesidad de un control interno de las TIC, se produce tanto desde la necesidad de la dirección del departamento de Tecnologías de la Información y la Comunicación, como de la alta dirección de la compañía.

PARA

Verificar su correcta aplicación, de acuerdo al plan de TI y los proyectos en ejecución.

Y

Generar una confianza en terceros, que garantice que función informática y la gestión de las TIC, se está realizando correctamente para la empresa.

RESPONSABLE

Director de Informática

DOCUMENTOS REQUERIDOS RESULTADO

Plan estratégico de TI

Procesos y Procedimientos del Dpto. de TI

Informe de estado de los proyectos

Calidad en la oferta de los servicios de TI

Nivel de cumplimiento en las tareas del día a día

Generación de Informes para usointerno del Dpto. deInformática

Seguimiento para la alta dirección.

Page 6: Auditoriaitvf

Auditoría de TI - Concepto

Auditoría Informática

Es un análisis sobre el estado del desarrollo del departamento de TIC, que intenta evaluar su eficiencia y eficacia con respecto a su misión descrita, los objetivos indicados y los recursos disponibles.

Todo lo anterior puede encontrarse principalmente, en el plan estratégico de TIC de la empresa.

FUNCIONES

Control de la Función Informática

Análisis de la eficiencia de los sistemas informáticos

Verificación del cumplimiento de las normativas generales de la organización

Verificación del cumplimiento en la ejecución de su plan estratégico de TIC

Gestión eficaz de los recursos materiales, tecnológicos y humanos

OBJETIVO FINAL PERSEGUIDO

Protección de los recursos físicos y lógicos (Activos) de la empresa

Proteger la integridad de los datos de la compañía

Asegurar la calidad de la gestión y de los procesos con eficacia y eficiencia

Asegurar que la gestión se ajuste a la misión y objetivos planteados por la altadirección.

Page 7: Auditoriaitvf

Auditoría de TI – Por qué una auditoría

Qué motiva una Auditoría Informática

Problemas graves en los servicios que ofrece el departamento de TIC.

Necesidad de comunicar externamente una imagen de seguridad en las tareas del dpto. de TIC.

La conveniencia de disponer de una visión externa del desarrollo del plan de TIC de la empresa.

Page 8: Auditoriaitvf

Peritaje - Concepto

Peritaje

Consiste en un proceso examinador realizado sobre un proceso o recurso informático (Físico o Lógico) a causa de una problemática grave o de un incidente con consecuencias de tipo legal, laboral o en la interpretación extrema de un contrato, persiguiendo el objetivo de certificar las causas de la problemática o de la incidencia presentada.

Un peritaje puede ser extrajudicial cuando intenta utilizarse para explicar y aclarar las causas que produjeron el incidente, a personas quienes no son expertas en TIC forzando un acuerdo para la resolución del conflicto.

Así mismo puede ser judicial cuando se presenta a un juez, cuando va como prueba de algunas de las partes.

Siempre deberá ser realizado por una firma consultora o un grupo de profesionales con comprobada experiencia y reconocimiento en el tema de la problemática.

RESPONSABLE DE SU REALIZACIÓN

Alta dirección de la compañía.

DIFERENCIA ENTRE PERITAJE Y AUDITORÍA

El peritaje se centra en un problema en concreto, tratando de identificar sus causas,entre tanto la auditoría efectúa un análisis y entrega unas conclusiones de unescenario más “global” para la empresa, identificando problemas yefectuando recomendaciones.

Page 9: Auditoriaitvf

Principios de la Auditoría Informática

Principios de la Auditoría Informática

Principio Descripción

Independencia Debe ser realizada por personas totalmente independientes, quienes no se encuentren condicionadas por laparticipación en las actividades objeto de análisis.

Aceptar el planteamiento estratégico

Los planteamientos estratégicos de la dirección no se discuten, sino que se aceptan como punto base departida para estudiar el estado de las TIC en la organización.

Utilización de documentacióninterna de gestión

Documentación como el Plan estratégico de TIC, manual de procesos y procedimientos del Dpto. de TIC, entreotros, se convierten en los “guiones” que deben seguirse para verificar que las funciones de informáticasoportadas por el Dpto. de TIC, se encuentran alineadas con los intereses de la alta dirección de laorganización.

Es posible, en el documento final entregable de la auditoría sobre las recomendaciones y conclusiones, elformular propuestas de modificación a dichos documentos.

Alcance El nivel de profundidad del estudio de la auditoría, está sujeta a los objetivos que fueron establecidospara su realización en la organización. Su definición es de orden técnica, pues obedecerá al modelo de TI dela empresa, así como de gestión en las estrategias y procesos internos descritos.

Origen Puede ser a causa de motivos internos (alta dirección de la organización y/o dirección de TI) con el objetivo dereflexionar y asegurar que la planificación estratégica de las TIC se está cumpliendo correctamente. Tambiénpuede ser por motivos externos (accionistas, organismos públicos, clientes, proveedores, etc.) para verificarque la función informática en la empresa se realiza acorde con la legislación, con la planificación de TICalineada con los objetivos empresariales y sin poner en peligro los intereses de terceros.

Motivación Pude ser por una necesidad de reflexión crítica alrededor de las TIC al interior de la empresa, o por laevidencia de síntomas perceptibles de debilidad en la aplicación del plan estratégico de TIC, caso en cual esrecomendable realizar una auditoría externa.

Page 10: Auditoriaitvf

Síntomas que pueden motivar una Auditoría Informática

Principios de la Auditoría Informática

Clasificación Síntoma

Síntomas de Descoordinación y

Desorganización

No coinciden los objetivos de las TIC con los objetivos de Negocio

Se presenta una desviación importante en los estándares de productividad medios que se consiguen habitualmente.

Síntomas de malaImagen e insatisfacción

De los usuarios

No se atienden las peticiones de cambio de los usuarios

No se reparan las averías de hardware ni se resuelven las incidencias en plazos razonables. El usuario se siente abandonado yDesatendido Permanentemente.

Síntomas de debilidades financieras

Incremento desmesurado de los costos

Necesidad de justificación de inversiones informáticas

Costos y plazos de nuevos proyectos

Síntomas de Inseguridad.

Evaluación de nivel deriesgos

Continuidad del servicio

Seguridad Física

Seguridad Lógica

Confidencialidad

Departamento de TIC fuera de control

Page 11: Auditoriaitvf

Metodologías de Auditoría

Tipos de Auditoría

Tipo de Auditoría Descripción

Interna o Externa Si se realizan con la participación de personal interno de la organización seleccionado desde diferentes áreas ytipologías de usuario o externa contratada a una empresa especializada.

Actividades Internaso

Externas

Consiste en la auditoría informática de usuario o de cliente, interpretada también como auditoría de laexplotación y/o del soporte.

El control del funcionamiento del dpto. de informáticacon el usuario, siempre ha de realizarse por mediode la dirección del dpto.

Parcial según las áreas deactividad de la función

informática

Se establecen las siguientes divisiones (áreas) de auditoría más importantes: de dirección, de sistemas deinformación y de desarrollo de proyectos, de seguridad, de calidad, de explotación (sistemas ycomunicaciones) y de soporte.

Auditoria de Seguimiento Frente a la realización de auditorías periódicas, debe contarse con tareas de aseguimiento a estas, paraevaluar el grado de aplicación de las medidas correctivas que en su momento fueron establecidas, conrelación a los resultados encontrados.

Page 12: Auditoriaitvf

Herramientas con las que debe contar un Auditor

Herramientas de auditoría

Herramienta Descripción

Estándares Guías, estándares, metodologías de buenas prácticas en la gestión de TIC, genéricos y parametizables adistintos modelos de organizaciones y estructuras.

Cuestionarios Con preguntas fijas de carácter genérico que deben aplicarse por ejemplo a la dirección de TIC y a losresponsables de cada área.

Entrevistas De carácter de libre evolución con la dirección de TIC y a los responsables de cada área.

Checklist Confirmar y verificar la existencia de documentación (normas y planes) con objetivos determinados, decarácter general para la alta dirección, para el departamento de TIC y ara cada unidad organizacional y laverificación de la existencia de la documentación sobre los procesos más críticos.

Matrices de Riesgo Se generan a parti de los cuestionarios y checklist, identificando los riesgos a los cuales la organización estásometida.

Trazas y/o Huellas Inventario de las trazas o huellas de síntomas de disfunción de que se han detectado antes o durante elproceso de auditoría.

Software de Auditoría Las empresas pueden contar con sistemas de información que permitan gestionar de una manera máseficiente, los procesos de auditoría, facilitando además su seguimiento.

Page 13: Auditoriaitvf

Etapas del proceso auditor

Page 14: Auditoriaitvf

Marcos de referencia - COBIT

Marcos de Referencia

COBIT(Control Objectives for Information and Related Technology)

Consiste de un conjunto de mejores prácticas para el manejo de la información, creado por

ISACA (Information Systems Audit and Control Association) e ITGI (IT Governance Institute).

De acuerdo a COBIT, los procesos de gestión que deben documentarse son:

• Planificación y Organización

• Adquisicón e Implementación

• Entrega y Soporte

• Seguimiento y Gestión

Page 15: Auditoriaitvf

Informe de Auditoría

Contenido Informe de Auditoría

TEMA DESCRIPCIÓN

1. Situación Actual Frente a una revisión periódica en la que se analiza no

solamente la situación sino su evolución en el tiempo, se

presentará la situación prevista y la situación real.

2. Tendencias Se tratarán de determinar parámetros que permitan establecer

tendencias futuras.

3. Puntos débiles y amenazas Debe presentarse una identificación detallada de los puntos débiles

y amenazas a los cuales debe enfrentarse la empresa.

4. Recomendaciones y planes de acción Junto con el punto anterior, hacen parte del objetivo central de la

auditoría.

5. Redacción posterior de la carta de introducción o

presentación

Se anexa la carta de presentación del consultor o firma consultora

con información.