http://www.lifeder.

com/consecuencias-de-la-ansiedad/

FACULTAD DE
INGENIERIA
ESCUELA ACADMICA PROFESIONAL DE
INGENIERIA EMPRESARIAL

TEMA:
AUDITORIA DE SEGURIDAD DE SISTEMAS DE
INFORMACIN
ALUMNO(S):
Oyarce Hoyos Rosa
Quinde Huamn Heysner
Snchez Peralta Frank
Vsquez Ramos Carmen

DOCENTE: LUIS MANUEL SANCHEZ FERNANDEZ

CHICLAYO PER
2015 II

Auditoria de sistema de informacin

es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo
por profesionales para identificar, enumerar y posteriormente describir las
diversas vulnerabilidades que pudieran presentarse en una revisin
exhaustiva

de

las estaciones

de

trabajo, redes

de

comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los
responsables quienes debern establecer medidas preventivas de refuerzo
y/o correccin siguiendo siempre un proceso secuencial que permita a los
administradores mejorar la seguridad de sus sistemas aprendiendo de los
errores cometidos con anterioridad.
Las auditoras de seguridad de SI permiten conocer en el momento de su
realizacin cul es la situacin exacta de sus activos de informacin en
cuanto a proteccin, control y medidas de seguridad.

QUE ES AUDITORIA DE SISTEMAS?

La auditoria en informtica es la revisin y la evaluacin de los controles,
sistemas, procedimientos de informtica; de los equipos de cmputo, su
utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, a fin de que por medio del sealamiento
de cursos alternativos se logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones.
La auditoria en informtica deber comprender no slo la evaluacin de los
equipos de cmputo, de un sistema o procedimiento especfico, sino que
adems habr de evaluar los sistemas de informacin en general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtencin de
informacin.
La auditoria en informtica es de vital importancia para el buen desempeo
de los sistemas de informacin, ya que proporciona los controles necesarios
para que los sistemas sean confiables y con un buen nivel de seguridad.
Adems debe evaluar todo (informtica, organizacin de centros de
informacin, hardware y software).

SU PROPSITO

Objetivos Generales de una Auditora de Sistemas

Buscar una mejor relacin costo-beneficio de los sistemas automticos o
computarizados diseados e implantados por el PAD
Incrementar la satisfaccin de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
informacin mediante la recomendacin de seguridades y controles.

Conocer la situacin actual del rea informtica y las actividades y esfuerzos

necesarios para lograr los objetivos propuestos.

Seguridad de personal, datos, hardware, software e instalaciones.

Apoyo de funcin informtica a las metas y objetivos de la organizacin.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informtico

Minimizar existencias de riesgos en el uso de Tecnologa de informacin.

Decisiones de inversin y gastos innecesarios
Capacitacin y educacin sobre controles en los Sistemas de Informacin.

Estrategia para la Auditora de Sistemas de Informacin

Necesidad de definir una estrategia
Las TIC han acompaado la automatizacin y el crecimiento
La informacin y los recursos TIC como activos de las
organizaciones
Dependencia de las TIC
Implicacin de la Direccin

Incremento vulnerabilidad de los sistemas

Dar respuesta a la dependencia de la informacin
Importancia costes e inversiones TIC
Potencial de las TIC para introducir cambios
Desconfianza en los procedimientos automatizados

Objetivos de las Administraciones Pblicas:

Cumplimiento de la legalidad vigente, Eficacia, Eficiencia

ESQUEMA ORGANIZATIVO
Independencia
Autoridad

MANDATO PARA UNA AUDITORA INTERNA

MANDATO PARA UNA AUDITORA EXTERNA

NATURALEZA DEL TRABAJO DE AUDITORA DE SISTEMAS DE

INFORMACIN (I)
Actuaciones de apreciacin independiente para supervisar el control
establecido
Actividades bsicas
Direccin o Gobierno de las TIC (Gobernanza TIC)
Supervisar el control interno TIC
Supervisar la gestin de riesgos TIC

NATURALEZA DEL TRABAJO DE AUDITORA DE SISTEMAS DE

INFORMACIN (II)

Proteccin de datos de carcter personal

Control de accesos
Administracin Electrnica
Equipamiento informtico
Seguridad sistemas
Desarrollo y mantenimiento de aplicaciones
Explotacin de sistemas de informacin
Contratacin bienes y servicios TIC
Tcnica de sistemas
Continuidad del servicio TIC
Acreditacin de confianza

NATURALEZA DEL TRABAJO DE AUDITORA DE SISTEMAS DE

INFORMACIN (III)
B- Acciones proactivas
Participacin en el ciclo de control

Asegurar existencia de controles internos razonables y adecuados

Divulgar y fomentar las buenas prcticas
Fomentar la documentacin de los sistemas y procedimientos
Asesorar en la implementacin de pistas de auditora
Asesorar en las salvaguardas de activos
Asegurar eficiencia gestin recursos

NATURALEZA DEL TRABAJO DE AUDITORA DE SISTEMAS DE

INFORMACIN (IV)
C- Auditora forense
Desafo ante delitos informticos, garantizando la evidencia digital que se
presentase en un proceso judicial.

Recuperar informacin
Determinar cusa y origen de una situacin
Identificar autor(es) acciones ilcitas
Identificar uso inapropiado de los medios de la Organizacin

NATURALEZA DEL TRABAJO DE AUDITORA DE SISTEMAS DE

INFORMACIN (V)
D- APOYO EN AUDITORAS EXTERNAS
Supervisin de auditores externos.
E- APOYO A OTRAS REAS DE AUDITORA
Asistencia para la obtencin, estructuracin y anlisis de la informacin.

AUDITOR INFORMTICO
reas de Conocimiento (certificables)
Tcnica o metodologa de auditora informtica
Gestin, planificacin y organizacin de las TIC
Infraestructura tcnica, prcticas operativas y proteccin de activos
Recuperacin de desastres y continuidad de la actividad
Desarrollo, adquisicin, implementacin y mantenimiento de
sistemas
Evaluacin de procesos y gestin de riesgos

OTRAS CARACTERSTICAS (NO CERTIFICABLES)

Comprender procesos de gestin y normativa legal

Identificar problemas y plantear soluciones
Llenar vaco de comunicacin entre direccin, usuarios y tcnicos
Saber comunicar
Negociar situaciones de conflicto
Saber cuando solicitar asistencia

ESTNDARES Y NORMAS TCNICAS

Principios
Salvar brechas entre riesgos del proceso de gestin, necesidades de
control y aspectos tcnicos
Determinar el alcance de las actuaciones e identificar los controles
mnimos
Observar e incorporar estndares y regulaciones nacionales o
internacionales

Hechos

Adecuar tcnicas auditora tradicionales a los controles de las TIC

Generar resultados homogneos
Organizar los trabajos (tipificar tareas)
Emplear distintos referentes segn tipo de auditora
Estndares basados en buenas prcticas

1. INSTRUMENTOS DE NORMALIZACIN DE LAS

ADMINISTRACIONES PBLICAS EN ESPAA
Normas de Auditora del Sector Pblico de la IGAE: No son especficas
a la auditora de sistemas de informacin

MAGERIT Versin 2: Es la metodologa de anlisis y gestin de

riesgos de los sistemas de informacin.
Modelo EFQM de Excelencia: Es una orientacin de la Fundacin
Europea para la Gestin de la Calidad que contempla algunos
criterios que hacen referencia a las TIC
Serie Seguridad de las Tecnologas de la Informacin del Centro
Criptogrfico Nacional (CCN-STIC)

2. INSTRUMENTOS DE NORMALIZACIN DE LAS

ADMINISTRACIONES PBLICAS EN EE.UU

Government Auditing Standars (GAGAS): Son las normas de

aplicacin para el General Accountability Office (GAO) de EE.UU.
Federal Information System Controls Audit Manual (FISCAM):
Una gua metodolgica que aplica las normas del GAO y del NIST.
Serie de Publicaciones Especiales SP-800 del Instituto
Nacional de Estndares y Tecnologa (NIST)

3. PRCTICAS Y RECOMENDACIONES DE ASOCIACIONE

INTERNACIONALES (I)

Normas Internacionales para el Ejercicio Profesional de la Auditora

Interna (The Institute of Internal Auditors)
Asociacin de Auditora y Control de Sistemas de Informacin (ISACA)
Control Objetives for Information and Related Technologies
(COBIT)
IS Standars, Guidelines and Procedures for Auditing and Control
Professionals

Information Technology Infraestructure Library (ITIL)

3.1 PRCTICAS Y RECOMENDACIONES DE ASOCIACIONES

INTERNACIONALES (II)

Modelo de Madurez de las Capacidades Integrado para el Desarrollo

(CMMI) del Instituto de Ingeniera del Software (SEI)
Instituto SANS (SysAdmin, Audit, Network, Security)
Normalizacin internacional ISO:

Gestin de Servicios de las Tecnologas de la Informacin (IT

Service Management): ISO/IEC 20000:2005
Seguridad de la Informacin: Familia ISO/IEC 27000
Criterios comunes de evaluacin de la seguridad de las tecnologas de
la informacin ISO/IEC 15408:2005 (Common Criteria for Information
Technology Security Evaluation)

PLANIFICACIN DE ACTUACIONES
QU AUDITAR

Cumplimiento de requerimientos legales

Sensibilidad de la organizacin a riesgos / resultado de anlisis
Resultado de auditoras anteriores
Condicionantes de la Organizacin

CUNDO AUDITAR
Priorizar las actuaciones detectadas y ajustando el alcance a los
recursos disponibles y las demandas de la direccin
Elaborar el documento de planificacin peridica de la unidad de
auditora
Revisin peridica del plan inicial para incorporar actuaciones no
previstas
CMO AUDITAR

Proceso para planificar las actuaciones individuales

PROCESO DE AUDITORAS DE SISTEMAS DE INFORMACIN

PLANIFICACIN DE ACTIVIDADES

Identificar la informacin a recopilar

Identificar las tareas de campo
Identificar interlocutores
Recursos necesarios/disponibles
Responsabilidades de los miembros del equipo auditora
Calendario tentativo

IDENTIFICAR EL ALCANCE DE LA ACTUACIN

Que se quiere comprobar
Que se pretende demostrar
Que se va a informar
OBTENCIN DE INFORMACIN PRELIMINAR

Actividad llevada a cabo por el rea a auditar

Esquema de control interno (polticas, normas, etc.)
Estndares de referencia
Informes anteriores
Familiarizarse con el entorno tecnolgico a auditar

IDENTIFICAR OBJETIVOS DETALLADOS

 Evaluacin preliminar para identificar objetivos de control

Identificar posibles condicionantes
Grado de extensin acorde al alcance
AUDITORAS DE CUMPLIMIENTO

Modelo de control de referencia

Existencia de controles
Adecuacin y eficacia de los controles
Proporcionalidad

AUDITORAS OPERATIVAS

Modelo de control de referencia

Planificacin y gestin de controles
Aseguramiento de los controles
Oportunidad de introducir cambios

FORMALIZACIN DEL INICIO DE LA ACTUACIN

Notificacin del responsable de la unidad de auditora al responsable
del rea a auditar
Reunin del equipo auditor con el responsable de la unidad a auditar
para comunicar
Alcance de los trabajos
Necesidad/obligacin de colaboracin
Interlocutor del equipo auditor
Se debe tener presente no interferir con el trabajo realizado por el rea
auditada

Proceso de Auditoras de Sistemas de Informacin

TRABAJOS DE CAMPO
Tcnicas Recoleccin de Evidencias

Revisin de documentos
Entrevistas
Observacin del trabajo realizado
Pruebas y verificaciones
Uso de herramientas

Uso de Herramientas Informticas o Tcnicas de Auditora Asistidas

por Ordenador CAAT (I)

 Obtencin de informacin de los SI

Recoleccin de evidencias de los SI
Creacin de muestras para realizar pruebas

Ventajas
Aseguran independencia en la recoleccin de datos
Disminuyen el riesgo propio del proceso de auditora
Mayor cobertura y consistencia de la pruebas

Uso de Herramientas Informticas o Tcnicas de Auditora

Asistidas por Ordenador - CAAT (II)
Caractersticas
Productos informticos ad-hoc o herramientas de los sistemas
Acceso a distintas estructuras o formatos de datos
Aplicacin de criterios de seleccin
Reorganizacin de la informacin obtenida
Funciones estadsticas y aritmticas

Precauciones
El acceso a los datos reales por los auditores debe ser siempre
slo en modo lectura
Los datos extrados deben aislarse del entorno de produccin
para evitar que las manipulaciones alteren los originales
El empleo de herramientas que puedan causar perturbaciones
debe ser limitado
Uso de Herramientas Informticas o Tcnicas de Auditora Asistidas
por Ordenador - CAAT (III)
Ejemplos
Logs: contienen el registro de actividad
Utilidades de sistema:
contienen los parmetros que
implementan las polticas de control

 Software generalizado
de auditora:
acceso
a archivos, seleccin de datos, reorganizacin, etc.
Software especfico: herramientas
un propsito concreto

Guion para
Informacin

Auditoras

de

empleadas

con

Sistemas

de

El GUIN es la herramienta fundamental de apoyo para el auditor que

documenta el proyecto de la auditora
Identifica que tareas se deben efectuar durante la actuacin
Cuantifica los medios necesarios
Define la secuencia de los trabajos
Para que el equipo comprenda lo que debe realizar y obtenga una
visin del conjunto

ESTRUCTURA DEL GUIN

1. Punto(s) de control
En funcin del objetivo y alcance de la actuacin se habrn establecido
objetivos de control detallados => apartados del guion. Identifica lo que se
va a supervisar del sistema de control.

2. Directriz de auditora

Desarrollan los
antes o durante
Determinan los
control
Limitadas por
Organizacin

Puntos de control sealando las tareas a efectuar,

la actuacin.
medios y tcnicas necesarios para cada punto de
el desarrollo de la funcin de auditora en la

Esquema COBIT para el guin:

Secuencia de actividades

Informes de Auditoras de Sistemas de

Informacin

Contenidos del informe de auditoria:

Ejemplos de Informes de Auditoras Sistemas de Informacin

Elaboracin propia
Basado en actuaciones reales
Cumplimiento de polticas e instrucciones

Georgia Department of Audits and Accounts

Informe sistema informacin para la gestin del IVA
Informe de seguimiento

National Audit Office

Informe de calidad de la informacin Impuesto Renta
Progreso en informacin y servicios on-line

Goverment Accountabillity Office

Uso de datos adquiridos
Desafo en el uso del correo electrnico