Documente Academic
Documente Profesional
Documente Cultură
(SYC-32813)
Ingeniera de Sistemas
CONTENIDO
Elementos de la Auditora de Sistemas.
Mtodos de Auditora.
Proceso de Auditora.
Estndares de Documentos.
Auditora en Centros de Cmputos.
UNIDAD 1
ASPECTOS CONCEPTUALES DE LA
AUDITORA DE SISTEMAS
ASPECTOS CONCEPTUALES
AUDITORA
La auditora puede definirse como el examen comprensivo y
constructivo de la estructura organizativa de una empresa,
institucin o departamento y de sus mtodos de control, medios
de operacin y empleo que d a sus recursos humanos y
materiales.
(Leonard, 2004)
TIPOS DE AUDITORA
Por el origen de quin hace su aplicacin:
TIPOS DE AUDITORA
Por el rea en donde se hacen:
TIPOS DE AUDITORA
Por el rea de especialidad:
OBJETIVOS GENERALES DE LA
AUDITORA DE SISTEMAS
en la que desarrolla su
en la que desarrolla su
y objetivos, estructura y
y objetivos, estructura y
Manejo
con
profesional para
para lalaprctica
prcticadede
Manejo
consoltura
solturadel
del marco
marco profesional
la la
auditora:
modelos
y principios
de auditora,
y estndares
auditora:
modelos
y principios
de normas
auditora,
normas yque
regulan
la organizacin,
entre
otros.
estndares
que regulan
la organizacin,
entre otros.
Conocimientos
slidos
en materia
de tecnologas
de la informacin
Conocimientos
slidos
en materia
de tecnologas
de la y
de informacin
las comunicaciones:
infraestructura, desarrollo
e implementacin
y de las comunicaciones:
infraestructura,
desarrollo
de e sistemas
de informacin,
seguridad
de seguridad
los sistemas
implementacin
de sistemas de
informacin,
de los de
informacin
sistemas.de informacin.
PLANEACIN DE LA AUDITORA DE
SISTEMAS
ACTIVIDADES DE LA INVESTIGACIN
PRELIMINAR
* RECURSOS MATERIALES Y TECNICOS:
Solicitar documentos sobre los equipos, nmero de ellos, localizacin y
caractersticas:
- Estudios de viabilidad.
- Nmero de equipos, localizacin y las caractersticas (de los equipos
instalados y por instalar y programados)
- Fechas de instalacin de los equipos y planes de instalacin.
- Contratos vigentes de compra, alquiler y servicio de mantenimiento.
- Contratos de seguros.
- Convenios que se tienen con otras instalaciones.
- Configuracin de los equipos y capacidades actuales y mximas.
- Planes de expansin.
- Ubicacin general de los equipos.
- Polticas de operacin.
- Polticas de uso de los equipos.
ACTIVIDADES DE LA INVESTIGACIN
PRELIMINAR
* SISTEMAS:
ACTIVIDADES DE LA INVESTIGACIN
PRELIMINAR
UNIDAD 2
MTODOS DE AUDITORA
ESTUDIO PRELIMINAR
REVISIN Y EVALUACIN DE
CONTROLES Y SEGURIDADES
COMUNICACIN DE RESULTADOS
DESARROLLO DE UN PROGRAMA DE
AUDITORA
Un programa de auditora es un conjunto documentado de
procedimientos diseados para alcanzar los objetivos de
auditora planificados. El esquema tpico de un programa de
auditora incluye lo siguiente:
Tema de auditora: Donde se identifica el rea a ser auditada.
DESARROLLO DE UN PROGRAMA DE
AUDITORA
*
- Recopilacin de datos.
- Identificacin de lista de personas a entrevistar.
- Identificacin y seleccin del enfoque del trabajo
- Identificacin y obtencin de polticas, normas y directivas.
- Desarrollo de herramientas y metodologa para probar y verificar los
controles existentes.
- Procedimientos para evaluar los resultados de las pruebas y
revisiones.
- Procedimientos de comunicacin con la gerencia.
- Procedimientos de seguimiento.
DESARROLLO DE UN PROGRAMA DE
AUDITORA
* Informe:
En esta etapa el Auditor se dedica a formalizar en un documento los resultados
a los cuales llegaron los auditores en la Auditora ejecutada y dems
verificaciones vinculadas con el trabajo realizado.
El informe parte de los resmenes de los temas y de las Actas de Notificacin
de los Resultados de Auditora (parciales) que se vayan elaborando y
analizando con los auditados, respectivamente, en el transcurso de la Auditora.
La elaboracin del informe final de Auditora es una de las fases ms
importante y compleja de la Auditora, por lo que requiere de extremo cuidado
en su confeccin.
El informe de Auditora debe tener un formato uniforme y estar dividido por
secciones para facilitar al lector una rpida ubicacin del contenido de cada una
de ellas.
DESARROLLO DE UN PROGRAMA DE
AUDITORA
* El informe de auditora debe cumplir con los principios siguientes:
Que se emita por el jefe de grupo de los auditores actuantes.
Por escrito.
Oportuno.
Que sea completo, exacto, objetivo y convincente, as como claro, conciso y
fcil de entender.
Que todo lo que se consigna est reflejado en los papeles de trabajo y que
responden a hallazgos relevantes con evidencias suficientes y competentes.
DESARROLLO DE UN PROGRAMA DE
AUDITORA
* Seguimiento:
UNIDAD 3
PROCESOS DE AUDITORA
RIESGOS Y CONTINGENCIAS MS
COMUNES
* RIESGO:
Situacin que puede propiciar la comisin de un delito, por ejemplo:
Avaricia.
Problemas financieros (deudas, enfermedades familiares, educacin, vivir por encima de los
propios medios, entre otros.)
Autogratificacin del ego (por el hecho de hacerlo)
Caridad o Sndrome de Robn Hood.
Omisiones o errores en los sistemas.
Mentalidad turbada.
Venganza por insatisfaccin personal (sub-empleo, ascensos negados, envidia, falta de
reconocimiento)
RIESGOS Y CONTINGENCIAS MS
COMUNES
* FRAUDE:
RIESGOS Y CONTINGENCIAS MS
COMUNES
Factores que han permitido el incremento de
delitos por computador:
*
UNIDAD 4
ESTNDARES DE DOCUMENTOS
CAPTACIN DE LA INFORMACIN EN LA
AUDITORA
La informacin es la materia prima con la que trabaja el
auditor, esto da origen a preguntarse:
CAPTACIN DE LA INFORMACIN EN LA
AUDITORA
El auditor, antes de iniciar la recopilacin de informacin
necesita:
* Etapa de Anlisis:
Identificar inexactitudes,
especificaciones.
ambigedades
* Etapa de Diseo:
Descubrir errores, debilidades,
codificacin.
omisiones
* Etapa de Programacin:
Buscar la claridad modularidad.
Verificar con base en las especificaciones.
omisiones
antes
de
en
las
iniciar
la
CONTROLES DE LA AUDITORA
Control de los Datos fuentes y manejo de cifras de control:
Alterar datos.
Duplicar procesos.
CONTROLES DE LA AUDITORA
Control de Operacin:
La eficiencia y el costo de la operacin de un
sistema de computo se ven fuertemente afectados por
la calidad e integridad de la documentacin requerida
para el proceso en la computadora, es por ello que se
debe considerar el control para:
Datos de Entrada
Datos de Salida
CONTROLES DE LA AUDITORA
Control de Medios de Almacenamiento Masivo:
Una direccin de informtica bien administrada debe tener
perfectamente protegidos los dispositivos de almacenamiento,
adems de mantener registros sistemticos de la utilizacin de
estos archivos, de modo que sirvan de base a los programas de
limpieza (borrado de informacin), principalmente en el caso
de las cintas.
UNIDAD 5
AUDITORA DE CENTROS DE CMPUTO
CONTROLES DE SEGURIDAD DE UN
CENTRO DE CMPUTO
Los Controles son las medidas, normas y procedimientos que se
disponen para proteger los recursos contra las amenazas a que estn
expuestos y contra los riesgos que stas podran generar, sobre todo en
los Centros de Cmputos.
* Controles preventivos: para tratar de evitar el hecho, como un
software de seguridad que impida los accesos no autorizados al
sistema.
* Controles detectives: cuando fallan los preventivos, para tratar de
conocer cuanto antes el evento. Por ejemplo, el registro de intentos de
acceso no autorizados, el registro de la actividad diaria para detectar
errores u omisiones, etc.
* Controles correctivos: facilitan la vuelta a la normalidad cuando se
han producido incidencias. Por ejemplo, la recuperacin de un archivo
daado a partir de las copias de seguridad.
CONTROLES DE SEGURIDAD DE UN
CENTRO DE CMPUTO
Se evaluar la existencia y la aplicacin correcta de las polticas
de seguridad, emergencia y disaster recovery del centro de computo.
Se har una revisin de los manuales de poltica del centro de
computo, para verificar que los procedimientos de los mismos se
encuentren actualizados y que sean claros y que el personal los
entienda.
Debe existir un programa de seguridad, para la evaluacin de
los riesgos que puedan existir, respecto a la seguridad del
mantenimiento de los equipos, programas y datos.
UNIDAD 6
LA SEGURIDAD EN EL REA DE LA
INFRMATICA
CONSIDERACIONES GENERALES
Una Auditoria de Seguridad Informtica o Auditoria de
Seguridad de Sistemas de Informacin, es el estudio que
comprende el anlisis y gestin de sistemas llevado a cabo por
profesionales en Informtica para identificar, enumerar y
posteriormente describir las vulnerabilidades que pudieran
presentarse en una revisin exhaustiva de las estaciones de
trabajo, redes de comunicaciones o servidores.
Las Auditorias de Seguridad permiten conocer en el momento
de su realizacin cual es la situacin exacta de sus activos de
informacin en cuanto a proteccin, control y medidas de
seguridad.
ESTNDARES DE AUDITORA
INFORMTICA Y SEGURIDAD
Una Auditoria se realiza con base a un patrn o conjunto de
directrices o buenas practicas sugeridas.
UNIDAD 7
SEGURIDAD OPERACIONAL EN EL REA
DE INFORMTICA
SEGURIDAD OPERACIONAL
Aplicar controles operativos en un ambiente de Procesamiento de
Datos, la mxima autoridad del rea de Informtica de una empresa o
institucin debe implantar los siguientes controles que se agruparan de
la siguiente forma:
1.- Controles de Preinstalacin
2.- Controles de Organizacin y Planificacin
3.- Controles de Sistemas en Desarrollo y Produccin
4.- Controles de Procesamiento
5.- Controles de Operacin
6.- Controles de uso de Microcomputadores
CONTROLES OPERATIVOS
1.- Controles de Preinstalacin
Hacen referencia a procesos y actividades previas a la adquisicin e
instalacin de un equipo de computacin y obviamente a la automatizacin de
los sistemas existentes.
Objetivos:
Garantizar que el hardware y software se adquieran siempre y cuando tengan la
seguridad de que los sistemas computarizados proporcionaran mayores
beneficios que cualquier otra alternativa.
Garantizar la seleccin adecuada de equipos y sistemas de computacin
2.- Controles de organizacin y Planificacin
Se refiere a la definicin clara de funciones, lnea de autoridad y
responsabilidad de las diferentes unidades del rea PAD, en labores tales como:
- Disear un sistema
- Elaborar los programas
- Operar el sistema
- Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operacin.
CONTROLES OPERATIVOS
3.Controles
de
Sistema
en
Desarrollo
y
Produccin
Se debe justificar que los sistemas han sido la mejor opcin para la
empresa, bajo una relacin costo-beneficio que proporcionen oportuna y
efectiva informacin, que los sistemas se han desarrollado bajo un
proceso planificado y se encuentren debidamente documentados.
5.- Controles de Operacin
Abarcan todo el ambiente de la operacin del equipo central de
computacin y dispositivos de almacenamiento, la administracin de la
cintoteca y la operacin de terminales y equipos de comunicacin por
parte de los usuarios de sistemas on line.
CONTROLES OPERATIVOS
6.- Controles en el uso del Microcomputador
Es la tarea ms difcil pues son equipos mas vulnerables, de fcil
acceso, de fcil explotacin pero los controles que se implanten
ayudaran a garantizar la integridad y confidencialidad de la informacin.
UNIDAD 8
SEGURIDAD FSICA EN EL REA DE
INFORMTICA
SEGURIDAD FSICA
ROBOS
SABOTAJE
FRAUDES
CONTROLES DE ACCESO
UTILIZACION DE GUARDIAS
UTILIZACION DE DETECTORES DE METALES
UTILIZACION DE SISTEMAS BIOMETRICOS
VERIFICACIN DE FIRMAS
SEGURIDAD CON ANIMALES
PROTECCIN ELECTRNICA
UNIDAD 9
SEGURIDAD DE DATOS E INFORMACIN
OBJETIVOS DE LA SEGURIDAD DE
DATOS E INFORMACIN
Los objetivos que se plantean sern:
Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisin
minuciosa y no puedan modificar los programas ni los archivos
que no correspondan.
Asegurar que se estn utilizados los datos, archivos y programas
correctos en y por el procedimiento correcto.
Que la informacin transmitida sea recibida slo por el
destinatario al cual ha sido enviada y no a otro.
Que la informacin recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisin
entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la
transmisin de informacin.
ROLES
TRANSACCIONES
PROTECCIN DE DATOS
La seguridad fsica tambin incluye la proteccin
de la informacin soportada por el hardware:
la almacenada y la que se transmite entre equipos
AUDITORIA DE SISTEMAS
(SYC-32813)
Ingeniera de Sistemas