Professional Documents
Culture Documents
Consideraciones
Consideraciones
Consideraciones
Criterio personal 30% Completitud contenido 30%
!
Universidad Internacional del Ecuador
Legislacin Informtica
Unidad II: Planeacin de la auditora informtica
Agenda
!! Personal Participante Auditoria Informtica
!! Organizacin del rea AI !! Quienes intervienen !! Roles y responsabilidades
13
Auditor
!! Persona con atribuciones y facultades para auditar todas las operaciones.
!! Alto grado conocimiento tcnico !! Alto grado conocimiento auditora financiera. !! Conocimientos sobre Calidad Total. !! Conocimientos sobre gestin empresarial.
!! Pueden ser parte de la organizacin o personal externo contratado exclusivamente para la auditoria.
(David Mills, 1995)
14
Cliente
!! Persona u organizacin que solicita la auditoria (ISO 10 011 Parte 1).
Auditado
!! Organizacin o rea que se audita
Ejemplo 1.
!! Gerente general solicita una Auditora Informtica, a una empresa AudInf.sa, debido a que los clientes han mostrado gran descontento con el servicio de facturacin de la empresa.
!! Cliente: !! Auditor: !! Auditado:
16
Ejemplo 2.
!! Como parte del plan estratgico de la empresa, el Gerente General solicita al departamento de auditoria de la empresa una auditora al rea de informtica para evaluar si el crecimiento tecnolgico sigue un plan estratgico, tctico y operacional, planteado por la organizacin.
17
Personal Responsable
!! Responsable de realizar el proceso auditor.
!! Equipo Auditor Engloba a quienes, trabajando bajo el control del auditor principal, llevan a cabo el proceso auditor(David Mills, 1995)
18
Equipo Auditor
!! Responsabilidades
!! Recolectar informacin. !! Recolectar y validar evidencias. !! Anlisis de datos. !! Elaboracin y comunicacin del informe (conclusiones) !! Resultado de acuerdo a los lmites establecidos
19
Equipo Auditor
!! Personal involucrado en la auditora
!! !! !! !! !! !! !! !! Cliente Auditado El auditor El auditor principal Direccin del programa de auditora Observadores Auditores en prctica Representantes de la direccin
20
21
Auditora interna
Gerente o supervisor de AI
Especialista en telecomunicaciones
Auditoria en SI
Especialista operativa
22
Auditor principal
Especialista en telecomunicaciones
Auditoria en SI
Especialista operativa
Equipo Auditor
23
Auditora en solitario
!! Reducido tamao !! Contenido Sencillo y corta duracin !! Se requiere niveles de experiencia y conocimientos altos.
Auditora en solitario
!! Desventajas:
!! Presin a un solo auditor. !! Tienen sus opiniones preconsebidas.
No es recomendable
Auditora en Parejas
!! Mejor configuracin de los auditores. !! Se complementa (tcnicas y capacidad) !! Mientras uno pregunta el segundo observa. !! Recomendable en tareas de auditora
Auditora en equipo
!! Ms de 2 personas !! A mayor nmero de personas ! menos complemento !! Ms auditores en una activdad ! es menos eficaz !! Por le general se forman grupos pequeos dentro del equipo.
29
31
Investigacin preliminar AI
!! Toma de contacto !! Reunin inicial !! Alcance (lmite) !! Revisin preliminar
33
34
35
Lmites de la AI
!! Garantiza que el cliente sabe lo que desea obtener de la AI. !! Ayuda a una correcta planificacin. !! Determinar el personal idneo para la AI !! Mejores soluciones. !! Es responsabilidad del cliente.
36
Lmites a definirse
!! El objetivo de la auditora. !! Sistemas o elementos del sistema que han de ser revisados. !! Funciones y actividades que sern cubiertas. !! Localizaciones implicadas !! Recursos que se utilizaran.
37
38
!! Lo puede realizar solo el cliente !! Beneficioso discutirlo con el auditor principal y al auditado
40
La medida en que estas reas son revisados y la profundidad a la que se examinan variar
41
42
44
Pre-Planificacin de AI
Los recursos necesarios para cualquier auditora dependern del tamao del rea que ha de ser auditada y del grado de detalle con que se realice. (David Mills, 1995) !! Los recursos a considerar son: !! Tiempo !! Personal !! Instalaciones !! Nivel de especializacin
45
Pre-Planificacin de AI
!! Tiempo:
!! Nivel de competencia del equipo auditor !! Tamao del rea auditar !! Nivel de informacin requerida !! Clase de auditora.
46
Pre-Planificacin de AI
!! Personal: Mano de obra que se necesita
!! Relacin directa entre el personal y el tiempo para la AI !! Equipo Auditor !! Especialistas
47
Pre-Planificacin de AI
!! Instalaciones: Estas deben ser provistas por parte del cliente.
!! Deben estar ubicadas dentro de las instalaciones de la organizacin. !! Independiente de las otras reas !! Servicios telecomunicaciones !! Equipos de computacin !! Si es necesario anlisis de ubicaciones espordicas en sucursales
48
49
50
Revisin preliminar
51
52
53
54
55
Apoyo al negocio
!! Involucracin de la Funcin de Informtica en los proyectos claves del negocio !! Difusin de las Polticas y Planes de Informtica en los niveles Estratgico, Tctico y Operativos del Negocio !! Imagen de Informtica que tiene la Alta Direccin y Responsables de cada rea del Negocio !! Grado de Satisfaccin que existe por cada servicio prestado por la Funcin de Informtica !! Expectativas que tiene el negocio por Informtica !! Fortalezas de Informtica y debilidades de Informtica !! reas de Oportunidad (Propuestas ya sea por la Alta Direccin, Usuarios o Informtica)
56
57
Conocimiento de informtica
!! Conocimientos de la funcin informtica !! La estructura interna de Informtica !! Funciones !! Objetivos !! Estratgias !! Planes !! Polticas !! De manera general la Tecnologa de Software y Hardware en que se apoya para llevar a cabo su Funcin dentro del negocio.
58
59
Conocimiento de informtica
!! Servicios !! Implantacin de Soluciones de Informacin : !! Desarrollo de Sistemas de Informacin : No integrados Integrales Estratgicos !! Compra y adecuacin de Aplicaciones hechas por externos !! Bases de Datos : Centralizadas Descentralizadas !! Evaluacin, Adquisicin, Instalacin y Reemplazo de : !! Equipo de Computo !! Paquetes de Software (Procesadores de palabras, Hojas de Clculo, etc.) !! Equipos de Telecomunicaciones !! Lenguajes de Programacin
60
Conocimiento de informtica
!! Mantenimiento: !! Sistemas de Informacin !! Base de Datos !! Equipos de Computo y de Telecomunicaciones !! Redes Locales !! Soporte a Usuarios !! Capacitacin y Asesora !! Investigacin : !! Tecnologa (Equipos de Computo, Comunicaciones, CASE, EDI, etc.)
61
Conocimiento de informtica
!! Aspectos de control !! Polticas y Procedimientos de Organizacin de la Funcin de Informtica : !! Descripcin de Puestos y Funciones - Evaluacin de Desempeo !! Polticas y Procedimientos para el Desarrollo e Implantacin de Sistemas !! Polticas y Procedimientos de Evaluacin de Hardware y Software !! Polticas y Procedimientos de Seguridad !! Polticas y Procedimientos de Mantenimiento: Preventivo Detectivo Correctivo !! Plan de Contingencias
62
Investigacin preliminar AI
!! Toma de contacto !! Reunin inicial !! Alcance (lmite) !! Revisin preliminar !! Listado de principales sistemas de informacin (In house comercial) !! Usuarios principales !! Determinar volmenes de transacciones promedios !! Fallas y/o regularidades ms comunes !! Informes de desempeo por parte de analistas o personal.
63
64
Error
Equivocacin u omisiones no intencionales que afecta la informacin o las operaciones. Pueden referirse a equivocaciones en la obtencin o procesamiento de datos (SAS 47 (AU 312))
65
Delito
Un acto deliberado realizado con la intencin especfica de perjudicar a una persona u organizacin y, a veces, proporcionar un beneficio ilegtimo a quien lo realiza
(E. Manero, 1995:44)
66
Delito informtico
Esta relacionado directamente o indirectamente con un medio informtico(Hardware, software y a los datos que se generan o se almacenan).
(E. Manero, 1995:44)
67
Fraude
Se relaciona con actos intencionales que causan perjuicio a personas u organizaciones. Fraude, equivale a engao, que consiste en cualquier falta de verdad debida a simulacin entre lo que se piensa o se dice o se hace creer, instigando o induciendo a otra persona a actuar en la forma que le interesa, o en la falta de verdad en lo que se dice o se hace (Diccionario Espasa, 2000: 434)
68
Fraude informtico
!! Delito informtico realizado con la intencin de engaar o perjudicar a una persona u organizacin y proporcionar un beneficio ilegtimo a quien lo realiza (E. Manero, 1995:44)
69
4.De los ejemplos dados valide si se consideran: Error, Delito, Delito informtico, Fraude, Fraude Informtico?
70
72
Origen de Fraude
!! Interno
!! Colusin
!! Externo
73
Tipos de Fraude
Dinero o documento
Mercancas
De valores negociables
Servicios
Software
Informacin
74
Tipos de Fraude
Tcnica utilizada
Ingeniera Social
Phishing
Data leakage
Piggybacking
Wiretapping
75
76
77
78
Riesgos
La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existente de un activo, generndole perdidas o daos (ISO, Gua para la gestin de la seguridad de TI/TEC TR 13335-1, 1996)
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http:// www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Impacto
79
Amenazas
Siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. !! Fallas !! Ingresos no autorizados a las reas de computo !! Uso inadecuado de activos informticos !! Accesos no autorizados Pueden ser de tipo lgico o fsico.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http:// www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
80
Activos
Relacionados con los sistemas de informacin !! Datos !! Hardware o software !! Servicio !! Documentos !! Edificios !! Recursos humanos
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http:// www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
81
Impacto
Consecuencias de la ocurrencia de las distintas amenazas son siempre negativas (financieras o no financieras; corto o largo plazo) !! Perdida de dinero !! Deterioro de la imagen de la empresa !! Reduccin de eficiencia !! Prdida de vidas humanas.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http:// www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
82
Vulnerabilidad
Son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen, lo que lleve a los activos a ser vulnerables. !! Falta de conocimiento del usuario !! Tecnologa inadecuada !! Fallas en la transmisin !! Inexistencia de antivirus
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http:// www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
83
Probabilidad
Representa la posibilidad que un evento dado ocurra. Esta puede ser de manera cualitativa o cuantitativa
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http:// www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
84
86
Riesgo de control
Riesgo Inherente
Es la posibilidad de un error material en una afirmacin antes de examinar el control interno del cliente(Whittington Pany, 2004). Se entiende que una por su naturaleza tiene riesgos que pueden ser:
!! Relativos al entorno !! Ambiente interno !! Procesos !! Informacin
Pueden tener o no controles elaborados por la direccin para mitigar su probabilidad o su impacto.
88
!! Riesgo de Crdito !! Riesgo Financiero !! Riesgo Operacional !! Riesgo de Tecnologa de la Informacin !! Riesgo Calidad de Servicio y transparencia de la Informacin
89
Riesgo inherente
Riesgo de deteccin
Riesgo de auditora
Riesgo de control
90
Interfaz usuario
Procesamiento
Interfaz
Administracin de cambio
Error procesamiento
Datos
La integridad se puede perder por errores en la programacin, errores de procesamiento, errores de administracin de sistemas.
91
Red
Ambiente procesamiento
Sistemas de aplicacin
Acceso funcional
92
desastres
La capacidad de la empresa para continuar con sus operaciones y procesos crticos puede depender en gran medida de la disponibilidad de determinados sistemas de informacin.
93
Planificacin organizacinal
Definicin y despliegue SI
Seguridad Lgica
Admin BD
El riesgo de que una organizacin no tenga una infraestructura eficaz de informacin tecnolgica (HW, SW, personas y procesos) para apoyar eficazmente las necesidades del negocio de una forma eficiente y eficaz en trminos de costos y controles.
94
95
96
Administracin de riesgo
Aceptacin o rechazo del riesgo residual se realiza la determinacin de las acciones a seguir respecto: !! Controlar el riesgo.- fortaleciendo los controles existentes o agregar nuevos controles. !! Eliminar el riesgo.- Se elimina el activo relacionado !! Compartir el riesgo.- mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informtica). !! Aceptar el riesgo, determinando el nivel de exposicin.
97
Administracin de riesgo
La gestin de riesgo debe considerar los siguientes aspectos:
!! Identificacin del Sistema o Proceso !! Identificacin de la Amenazas !! Identificacin de las Vulnerabilidades !! Controles !! Determinar la Probabilidad de ocurrencia !! Anlisis de Impacto !! Determinacin del Riesgo !! Recomendacin de Controles !! Documentar los Resultados
98
Trabajo en grupo 1.
!! Para el ejercicio 1. identifique:
!! Tipos de fraude (1 por miembro del equipo) !! Tipos de riesgo (1 por miembro del equipo) !! Tipos de riesgo TI (1 por miembro del equipo) !! Ciclo de administracin de riesgo
99
Tarea 2. LI_TA#
!! Deontologa del auditor
!! Definicin del principio (mnimo 10) !! Caractersticas o puntos clave !! En el caso prctico (falta del principio o cumplimiento del principio)
!! Formato entrega
!! 2 hojas !! Fecha de entrega Informe : Martes, 24 de septiembre 2013, hasta 23:59 !! Arial 11, espaciado simple !! Cinco hojas !! 5 referencias bibliogrficas - IEEE
100
Tarea 2.
!! WorldCom
!! Breve descripcin de la empresa (dueos, rubro, entorno, competencia, marco regulador, principales fuentes de ingresos, empresa auditoras que intervinieron). !! Explique brevemente lo ocurrido en el fraude !! Quines intervinieron y que rol cumplan. !! Cules fueron las consecuencias !! Qu principio deontolgicos se cumplen o se incumplen, los auditores internos auditor externo !! Estn de acuerdo con la decisin de las auditoras
101
Tarea Grupal 1.
!! Investigar: Determinar una empresa local para aplicar Auditora Informtica
!! Breve descripcin de la empresa !! Tipo de empresa !! Competencia !! Marco regulador !! Principales fuentes de ingreso
!! Formato entrega
!! Fecha lmite de entrega: jueves 24 de septiembre 2013 23:59 !! Arial 10, espaciado simple !! Dos hojas !! 5 referencias bibliogrficas IEEE !! ASUNTO: LI_TGA#
102