la comunicación como la evidencia más significativa a la hora de tomar decisiones… profesor:...
TRANSCRIPT
La comunicación como la evidencia más significativa a la hora de tomar decisiones…
Profesor:Franz Troche Araujo Magister en TelecomunicacionesEspecialista en Redes y Telemática
Asignatura:Asignatura:
Nuestra intención es enriquecer la experiencia de aprender con ayuda de las TICs.
www.AuditoriaInformatica.ecaths.comwww.AuditoriaInformatica.ecaths.com
• ISACF (2006). "COBIT: Control Objectives for Information and Related Technology". The Information System Audit and Control Foundation, Illinois, EEUU.
• PIATTINI, M. (ed.) (2000).“Auditing Information Systems”. EEUU, Idea Group Publishing.
• PIATTINI, M. y DEL PESO, E. (2001). “Auditoría informática: Un enfoque práctico”. 2ª ed. Madrid, Ra-Ma.
• SOLER, P., PIATTINI, M. y COEIC (2006). “Contratación y gestión informática”. Barcelona, Ed. Aranzadi.
UNIVERSIDAD DE CASTILLA-LA MANCHA - ESCUELA SUPERIOR DE INFORMÁTICA – CASOS - Documentos propiedad de Dr. Mario Piattini V., Dr. Ignacio García R.
Compilado de MSc.Lorena Moreno Jiménez
Sitios web: www.isaca.org, www.asia.org
METODOLOGIA TRADICIONAL: CUESTIONARIO
El auditor revisa los controles con la ayuda de una lista de control que consta de una serie de preguntas o cuestiones a verificar
La evaluación consiste en identificar la existencia de
unos controles establecidos o estandarizados
El auditor realiza una evaluación del RIESGO POTENCIAL EXISTENTE Como consecuencia de la ausencia de controles o bien por ser un sistema deficiente, estos riesgos deben ser
cuantificados y valorados
de tal forma que permita determinar el nivel de fiabilidad que brinda el sistema
sobre la exactitud, integridad y procesamiento de la información
METODOLOGIA basada en la EVALUACIÓN de RIESGOS
ELEMENTOS PRINCIPALES
OBJETIVOS de CONTROL
EVALUACIÓN de RIESGOS
TECNICAS de CONTROL
PRUEBAS INDEPENDIENTES
CONCLUSIONES SUSTENTADAS
OBJETIVO de CONTROL
El objetivo de todo control es la
REDUCCIÓN del RIESGO
(Políticas y Procedimientos)
Por cada objetivo de control/riesgo potencial
se deben identificar las técnicas de control existentes que
deben minimizar el riesgo,logrando cumplir así, el objetivo de
control
TECNICAS de CONTROL
ENTORNO GENERAL de CONTROL
CONTROLES en determinadas APLICACIONES
Procesos de negocio automatizados
CONTROLES de APLICACIÓN
ENTRADA PROCESO
SALIDA
CONTROLES PREVENTIVOS
CONTROLES DETECTIVOS
CONTROLES CORRECTIVOS
PRUEBAS
Permiten obtener evidencia yverificar la consistencia de los controles
existentes ytambién medir el riesgo por deficiencia
de estos o por su ausencia
PRUEBAS
de CUMPLIMIENTO
SUSTANTIVAS
TÉCNICAS GENERALES1.ENTREVISTAS
2.REVISIONES de DOCUMENTOS
3.EVALUACION de RIESGOS y CONTROLES
4.MUESTREO ESTADISTICO
5.VERIFICACIONES de CALCULOS
6.PRUEBAS de CUMPLIMIENTO y SUSTANTIVAS
7.HERRAMIENTAS de AUDITORIA y SOFTWARE ESPECIFICO
Son productos de software que permiten al auditor
OBTENER INFORMACIÓN de los sistemas automatizados como evidencias de las pruebas
que diseñen
TÉCNICAS ESPECÍFICAS
HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL
1.Software de auditoría o de revisión de productos determinados o plataformas
Permiten obtener una diagnosis de la situación de parámetros y otros aspectos y
su relación con respecto a la seguridad y protección del software y de la información
2.Software de auditoría que permiten extraer información para su revisión, comparación, etc.
Estos productos utilizados habitualmente por los auditores operativos o financieros,
permiten extraer datos concretos o en base a muestras estadísticas
HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL
UTILIDADES del SOFTWARE o PLATAFORMA a auditar, bajo el CONTROL
de la INSTALACIÓN AUDITADA
Utilidades provistas por el software auditado: revisión de registros lógicos de actividades, edición de parámetros, etc.
Productos específicos de rendimiento, control, calidad instalados en la plataforma
a auditar: lenguajes de interrogación, software de librerías, depuradores de
software, etc.
EVIDENCIAS, RESULTADOS y CONCLUSIONES
Los resultados de cada prueba deben VALORARSE, obtener UNA CONCLUSIÓN, siempre teniendo en cuenta los OBJETIVOS y el ALCANCE de la auditoría
EVIDENCIAS:PERTINENTES y SUFICIENTES
FEHACIENTES
VERIFICACIÓN de resultados
INTERRELACIÓN con otros resultados
Las conclusiones obtenidas deben comentarse y discutirse con los responsables directos del área afectada
POR EJEMPLO:
Puede haber limitaciones de recursos, en la realización de pruebas, en la
disponibilidad de la evidencia.........Puede haber controles alternativos que
el auditor no haya detectado..............
Deben incluir
DESCRIPCION de la situaciónRIESGO existente,DEFICIENCIA a solucionarsi corresponde, SUGERENCIA
de solución
CUANTIFICACIÓN del riesgo
CONEXIÓN con objetivo y otras deficiencias
PAPELES de TRABAJO de la Auditoría de SI
Se deben realizar de ACUERDO aNORMAS de AUDITORÍA, y deben reflejar
METODOLOGÍA utilizadaCOBERTURA del OBJETIVO de
auditoríaPRUEBAS realizadas y
CRITERIOS utilizados
RESULTADOS de las pruebas
LIMITACIONES en las tareas realizadas
DEFICIENCIAS en pruebas realizadas que puedan requerir alguna EXTENSIÓN ESPECIAL de la revisión y
FALTA de CONSISTENCIA o claridad en las conclusiones
Es necesario elaborar CONCLUSIONES GENERALES en base a los resultados obtenidos
Todo informe incluirá: ALCANCE y OBJETIVO de la auditoría, METODOLOGÍA UTILIZADA, POSIBLES LIMITACIONES yCONCLUSIONES
Es recomendable obtener junto con la presentación del borrador, una contestación o
confirmación del área auditada /cliente /organización
INFORME
Reglas en la preparación de Informes
• el vocabulario debe ser preciso,objetivo, cuidadoso, respetuoso,...
• NO incluir juicios de valor, nombres propios, abreviaturas o iniciales de productos, ......
y • frases con contenido y breves......
¿Cuál de las siguientes opciones brinda mejor control de acceso a los datos de nómina que se están procesando en un servidor local?
1. Bitácora (log) de todos los accesos a la información personal
2. Contraseña separada para las transacciones sensitivas
3. Que el software restrinja las reglas de acceso al personal autorizado
4. Acceso al sistema, restringido a horas hábiles
El control más efectivo para un antivirus es:
1. Escanear los archivos adjuntos de correo electrónico en el servidor de correo
2. Restaurar sistemas a partir de copias limpias
3. Deshabilitar las unidades de diskettes
4. Un escaneo en línea con definiciones actualizadas de virus
¿Cuál de las siguientes es una función de control de acceso al sistema operativo?
1. Registrar las actividades del usuario
2. Registrar las actividades de acceso a la comunicación de datos
3. Verificar la autorización de usuario a nivel de campo
4. Cambiar los archivos de datos
Una organización está proponiendo instalar una facilidad de clave única (single sign-on) que de acceso a todos los sistemas. La organización debe ser consciente de que:
1. sería posible un acceso máximo no autorizado si se revelara una contraseña
2. los derechos de acceso a usuario estarían restringidos por los parámetros adicionales de seguridad
3. aumentaría la carga de trabajo del administrador de seguridad
4. aumentarían los derechos de acceso del usuario