AUDITORA DE SISTEMAS INFORMTICOS

Universidad Tecnolgica del Per

Expositor: Ing. Martn Blas Rivera, MA

mblas@esan.org.pe

Sesin 4

Introduccin a los controles Control Interno

Expositor: Ing. Martn Blas Rivera, MA

mblas@esan.org.pe

CONTROL INTERNO

AUDITORA DE SISTEMAS DE INFORMACIN

Control Objectives for related Information Technology - COBIT

INFORME COSO
GMITS (ISO/IEC 13335-x), ISO 17799 Common Criteria (ISO 15408) Asociaciones profesionales, usuarios, fabricantes

Ing. Martn Blas Rivera, MA

MODELO DE RIESGO

CONTROL INTERNO
(*)

RIESGOS
VULNERABILIDAD IMPACTO

PROTECCION

(**)

(*) Basado en el modelo "Infosec"(ref. 92/242/ECC) (**) Incluye los conceptos de control y auditora de sistemas de informacin
Ing. Martn Blas Rivera, MA

RIESGO

CONTROL INTERNO

La probabilidad de que

para la empresa u organizacin, incluyendo la posibilidad de

Ing. Martn Blas Rivera, MA

se d un error, falle un proceso, o tenga lugar un hecho negativo

fraudes

C el MECANISMO o O N PROCEDIMIENTO T que EVITA o R PREVIENE un RIESGO O L

Ing. Martn Blas Rivera, MA

CONTROL INTERNO

CONTROL INTERNO
el sistema de control interno en TI est constituido por las polticas, procedimientos, prcticas y estructuras organizativas diseadas para proveer una seguridad razonable que los objetivos empresariales o de negocio sern alcanzados o logrados y que los sucesos indeseados sern detectados, prevenidos y corregidos
COBIT (Governance, control and Audit for Information and Related Technology)
Ing. Martn Blas Rivera, MA

CONTROL INTERNO
Riesgos y controles en procesos operativos

MANUALES

Riesgos y controles en procesos operativos

AUTOMATIZADOS

Ing. Martn Blas Rivera, MA

CONTROL INTERNO

CONTROLES

Ing. Martn Blas Rivera, MA

CONTROL INTERNO
Revisin peridica de procedimientos de controles establecidos Deteccin de riesgos Seguimiento de errores o irregularidades
Ing. Martn Blas Rivera, MA

CONTROL INTERNO
dificultad para implantar una adecuada segregacin de funciones obtencin de evidencias o pistas de auditora relevantes, fiables y eficientes complejidad tecnolgica

Ing. Martn Blas Rivera, MA

CONTROL INTERNO
SEGREGACIN de FUNCIONES
Establecer una divisin de roles y responsabilidades que excluyan la posibilidad que una SOLA PERSONA

PUEDA DOMINAR un PROCESO CRTICO

Ing. Martn Blas Rivera, MA

DEBATE

Cul de las siguientes tareas pueden ser realizadas por la misma persona en un centro de cmputo de procesamiento de informacin bien controlado?
1. Administracin de seguridad y administracin de cambios

2. Operaciones de cmputo y desarrollo de sistemas

3. Desarrollo de sistemas y administracin de cambios 4. Desarrollo de sistemas y mantenimiento de sistemas Ing. Martn Blas Rivera, MA

DEBATE

Cul de las siguientes controles es el ms crtico sobre la administracin de bases de datos?

1. Aprobacin de las actividades del DBA 2. Segregacin de funciones 3. Revisin de los registros de acceso y actividades 4. Revisin del uso de las herramientas de bases de datos
Ing. Martn Blas Rivera, MA

DEBATE

Cul de las siguientes funciones es ms probable que sea realizada por el administrador de seguridad?
1. Aprobar la poltica de seguridad

2. Probar el software de aplicacin 3. Asegurar la integridad de los datos 4. Mantener las reglas de acceso

Ing. Martn Blas Rivera, MA

CONTROL INTERNO
VOLATILIDAD Y FACILIDAD de MANIPULACIN de las EVIDENCIAS, los REGISTROS y los PROCESOS
Ing. Martn Blas Rivera, MA

CONTROL INTERNO
Las caractersticas estructurales de los controles estn evolucionando a la misma velocidad y en la misma forma de cambio acelerado, que estn experimentando las tecnologas

Ing. Martn Blas Rivera, MA

POLITICAS
Provienen de la Direccin
Generalmente abarcan objetivos, las metas, filosofas, cdigos ticos, y los esquemas de responsabilidades No admiten desviaciones
Ing. Martn Blas Rivera, MA

AUDITORA DE SISTEMAS DE INFORMACIN

PROCEDIMIENTOS
Brindan los pasos especficos necesarios para lograr las metas Son las medidas o dispositivos necesarias para lograr las directrices de las polticas Evolucionan con la tecnologa, la estructura organizativa, y se componen de medidas organizativas y tcnicas
Ing. Martn Blas Rivera, MA

En la definicin de los controles

OBJETIVO DEFINIDO de cada MECANISMO DE CONTROL

Interdependencia y conexin con otros controles

EVIDENCIAS
Ing. Martn Blas Rivera, MA

En los aspectos organizativos

SEGREGACIN de FUNCIONES

IDENTIFICACIN de RESPONSABILIDAD
INDEPENDENCIA de la SUPERVISIN
Ing. Martn Blas Rivera, MA

CONTROL INTERNO

La Direccin deber decidir

sobre el nivel de riesgo equilibrar

el

que est dispuesta a aceptar, ello implica

riesgo

y el

costo

Los usuarios de los servicios de T.I. tienen una necesidad creciente de disponer de una

SEGURIDAD RAZONABLE

Ing. Martn Blas Rivera, MA

CONTROLES versus COSTE/BENEFICIO

de los CONTROLES

Todo control y medida preventiva implica un coste monetario para su IMPLANTACIN y MANTENIMIENTO Desembolso que puede evitar prdidas mayores en el futuro, y por lo tanto puede dar lugar a la RECUPERACIN de la INVERSIN

NO siempre es fcil IDENTIFICAR y CUANTIFICAR qu riesgos pueden provocar dao

o fraude, y que prdidas concretas
Ing. Martn Blas Rivera, MA

AUDITORA DE SISTEMAS DE INFORMACIN

ESQUEMA BSICO MATERIALIDAD RIESGOS

de los

CONTROLES NECESARIOS
COMPARACION de CONTROL versus COSTE

DEFINICIN de los CONTROLES

Ing. Martn Blas Rivera, MA

DEBATE

Un auditor de SI est auditando los controles relativos al despido/retiro de empleados. Cul de los siguientes aspectos es el ms importante que debe ser revisado?
1. El personal relacionado de la compaa es notificado sobre el despido/retiro 2. El usuario y las contraseas del empleado han sido eliminadas 3. Los detalles del empleado han sido eliminados de los archivos activos de la nmina 4. Los bienes de la compaa provistos al empleado han sido devueltos
Ing. Martn Blas Rivera, MA

DEBATE

Cuando se revisa un acuerdo de nivel de servicio para un centro de cmputo contratado con terceros (outsourcing), un auditor de SI debera PRIMERO determinar que
1. El coste propuesto para los servicios es razonable 2. Los mecanismos de seguridad est especificados en el contrato 3. Los servicios contratados estn basados en un anlisis de las necesidades del negocio 4. El acceso de la auditora al centro de cmputo est permitido conforme al contrato
Ing. Martn Blas Rivera, MA

DEBATE

Un auditor de SI que hace una auditora de procedimiento de monitoreo de hardware debe revisar:
1. reportes de disponibilidad del sistema 2. reportes coste-beneficio 3. reportes de tiempo de respuesta 4. reportes de utilizacin de bases de datos

Ing. Martn Blas Rivera, MA

AUDITORA DE SISTEMAS DE INFORMACIN

DEBATE

Un auditor de SI cuando revisa una red utilizada para las comunicaciones de Internet, examinar primero
1. la validez de los casos en que se hayan efectuado cambios de contrasea 2. la arquitectura de la aplicacin cliente/servidor

3. la arquitectura y el diseo de la red

4. la proteccin de firewall y los servidores proxy

Ing. Martn Blas Rivera, MA

Auditora de Sistemas Informticos

Gracias por su atencin

Expositor: Ing. Martn Blas Rivera, MA
mblas@esan.org.pe