Auditora y Seguridad en Sistemas

Preguntas y Respuestas
Docente: Diego Esteve

Auditora y Seguridad en Sistemas

1. Concepto de Empresa, sus recursos, objetivos / finalidad, componentes, etc. Se entiende por empresa al organismo social integrado por elementos humanos, tcnicos y materiales cuyo objetivo natural y principal es la obtencin de utilidades, o bien, la prestacin de servicios a la comunidad, coordinados por un administrador que toma decisiones en forma oportuna para la consecucin de los objetivos para los que fueron creadas. Para cumplir con este objetivo la empresa combina naturaleza y capital. Una empresa combina tres factores que son: Factores activos: empleados, propietarios, sindicatos, bancos, ... Factores pasivos: materias primas, Transporte, tecnologa, conocimiento, contratos financieros... Organizacin: coordinacin y orden entre todos los factores y las reas. Factores activos Personas fsicas y/o jurdicas (otras entidades mercantiles, Cooperativa, fundaciones, etc.) constituyen una empresa realizando, entre otras, aportacin de capital (sea puramente dinerario, sea de tipo intelectual, patentes, etc.). Estas "personas" se convierten en accionistas de la empresa. Factores pasivos Todos los que son usados por los elementos activos y ayudan a conseguir los objetivos de la empresa. Como la tecnologa, las materias primas utilizadas, los contratos financieros de los que dispone, etc. 2. Clasificacin de las empresas, por ej.: segn su actividad econmica, su forma jurdica, etc. Dar ejemplos en cada uno de los casos. Existen numerosas diferencias entre unas empresas y otras. Sin embargo, segn en qu aspecto nos fijemos, podemos clasificarlas de varias formas. Segn la actividad econmica que desarrolla: Del sector primario, que crea la utilidad de los bienes al obtener los recursos de la naturaleza (agrcolas, ganaderas, pesqueras, mineras, etc.). Del sector secundario, que centra su actividad productiva al transformar fsicamente unos bienes en otros ms tiles para su uso. En este grupo se encuentran las empresas industriales y de construccin. Del sector terciario (servicios y comercio), con actividades de diversa naturaleza, como comerciales, transporte, turismo, asesora, etc. Segn la forma jurdica, es decir, atendiendo a la titularidad de la empresa y la responsabilidad legal de sus propietarios. Podemos distinguir: Empresas individuales: Si solo pertenece a una persona. Esta responde frente a terceros con todos sus bienes, tiene responsabilidad ilimitada. Es la forma ms sencilla de establecer un negocio y suelen ser empresas pequeas o de carcter familiar. Empresas societarias o sociedades: Generalmente constituidas por varias personas. Dentro de esta clasificacin estn: la sociedad annima, la sociedad colectiva, la sociedad comanditaria y la sociedad de responsabilidad limitada y las sociedades de economa social, como la cooperativa. Segn su dimensin. No hay unanimidad entre los economistas a la hora de establecer qu es una empresa grande o pequea, puesto que no existe un criterio nico para medir el tamao de la empresa. Los principales indicadores son: el volumen de ventas, el capital propio, nmero de trabajadores, beneficios, etc. El

Auditora y Seguridad en Sistemas

ms utilizado suele ser segn el nmero de trabajadores. Este criterio delimita la magnitud de las empresas de esta forma: Microempresa : si posee menos de 10 trabajadores. Pequea empresa: si tiene menos de 50 trabajadores. Mediana empresa: si tiene un nmero entre 50 y 250 trabajadores. Gran empresa: si posee ms de 250 trabajadores. Segn su mbito de actuacin. En funcin del mbito geogrfico en el que las empresas realizan su actividad, se pueden distinguir Empresas locales Regionales Nacionales Multinacionales Globales Segn la titularidad del capital, pueden ser: Empresa privada: si el capital est en manos de particulares Empresa pblica: si el capital y el control est en manos del Estado Empresa mixta: si la propiedad es compartida Empresa de autogestin : si el capital est en manos de los trabajadores 3. Para qu sirve la organizacin de tareas o el principio de separacin de funciones en las empresas, distintos tipos de organizacin. Por ejemplo: lineal, staff, matricial, etc. Comente para cada una de ellas sus ventajas y desventajas. La organizacin de tareas o separacin de funciones en las empresas sirve para tener mayor control y adems para alcanzar los objetivos deseados. Las estructuras ms comunes son: Organizacin lineal: un nico mando con comunicacin lineal. Un unico jefe. El nivel superior siempre toma las decisiones. Ventajas: no hay conflicto de autoridad. Rapidez en la accion. Apto para empresas chicas Desventajas: todas las decisiones las toma una persona. Es poco flexible. Propicia para la arbitrariedad. Organizacin lineal-Staff: Staff es un rea de asesoramiento que ayuda al nivel de lnea. Como por ejemplo: legales, auditoria y seguridad, riesgos. Ventajas: la empresa cuenta con asesora especializada. Desventajas: conflicto de intereses. Organizacin matricial: se caracteriza por abandonar el concepto de unidad de mando. La empresa est coordinada por ms de un criterio. Ventajas: mejora de los procesos. Mayor conocimiento de la empresa Desventajas: rompe con la unidad de mando. Puede haber ambigedad y conflicto. Burocracia. Organizacin funcional: rene en un departamento a todos los que se dedican a una actividad o a varias relacionadas que se denominan funciones. Ventajas: mxima especializacin. Comunicacin directa ms rpida. Desventajas: perdida de la autoridad en el mando. Subordinacin mltiple. Organizacin por Comit: Consiste en asignar los diversos asuntos administrativos a un cuerpo de personas que se renen para discutirlos y tomar una decisin en

Auditora y Seguridad en Sistemas

conjunto. Ventajas: Las soluciones son ms objetivas, ya que representan la conjuncin de varios criterios. Se comparte la responsabilidad entre todos los que integran el comit, no recayendo aquella sobre una sola persona. Permite que las ideas se fundamenten y se critiquen. Se aprovecha al mximo los conocimientos especializados. Desventajas: Las decisiones son lentas, ya que las deliberaciones son tardas. Una vez constituido el comit, es difcil disolverlo. En ocasiones los gerentes se desligan de su responsabilidad y se valen del comit para que se haga responsable de sus propias actuaciones. Organizacin divisional: En esta forma de organizacin, bajo la direccin superior se agrupan puestos segn reas relativamente autnomas (reas de negocios, divisiones). Ventajas: Elimina economas de escala en los departamentos funcionales. Conduce a una mala coordinacin entre las lneas de productos. Elimina la competencia a profundidad y especializacin tcnica. Dificulta la integracin y estandarizacin entre todas las lneas de productos Desventajas: Adecuada para cambios rpidos en un ambiente inestable. Lleva a la satisfaccin del cliente porque la responsabilidad del producto y puntos de contacto son claros. Significa una gran coordinacin entre las funciones. Permite que las unidades se adapten a diferencias en productos, regiones, clientes. Es mejor en grandes organizaciones con varios productos. Descentraliza la toma de decisiones 4. Concepto de Gobierno Empresarial, su objetivo y elementos bsicos a travs del cual las empresas lo practican. Forma de gestionar la empresa en la que se pueda controlar a aquellos que deben tomar las decisiones ms importantes (el consejo de administracin) y se protejan al mismo tiempo los intereses de los accionistas minoritarios. Su objetivo es generar confianza ante los accionistas, los empleados y la sociedad en gral. Sus seis (6) elementos bsicos son : Transparencia informativa (publicacin de balances) Informes de auditoria Cdigo de tica Gestin de riesgos Medidas de proteccin de patrimonio Planificacin estratgica Deben contemplarse El buen gobierno El buen gobierno El buen gobierno El buen gobierno El buen gobierno como integrantes: de los recursos humanos de la Calidad de los Sistemas de informacin y las comunicaciones medioambiental de la tecnologa

El Gobierno corporativo busca brindar transparencia en la ejecucin de sus aplicaciones. Se plasma a travs de un informe COSO de control interno. Le define un mbito de control y le da una gua para que los pueda medir. 5. SOX, qu es?, cundo se inici a aplicar dicha reglamentacin?, principales aspectos planteados en dicha reglamentacin, a qu empresas aplican?

Auditora y Seguridad en Sistemas

La Ley Sarbanes-Oxley nace en Estados Unidos en el ao 2002 y es tambin conocida

como el Acta de Reforma de la Contabilidad Pblica de Empresas y de Proteccin al Inversionista. Surge en respuesta a los escndalos financieros de algunas grandes corporaciones, entre los que se incluyen los casos que afecta a Enron, Tyco International, WorldCom y Peregrine Systems. Estos escndalos hicieron caer la confianza de la opinin pblica en los sistemas de contabilidad y auditora. Dentro de sus puntos ms importantes podemos mencionar: La creacin del Public Company Accounting Oversight Board (Comisin encargada de supervisar las auditoras de las compaas que cotizan en bolsa). El requerimiento de que las compaas que cotizan en la bolsa de EEUU garanticen la veracidad de las evaluaciones de sus controles internos en el informe financiero, as como que los auditores independientes de estas compaas constaten esta transparencia y veracidad. Certificacin de los informes financieros, por parte del comit ejecutivo y financiero de la empresa. Independencia de la empresa auditora. El requerimiento de que las compaas que cotizan en bolsa tengan un comit de auditores completamente independientes, que supervisen la relacin entre la compaa y su auditora. Este comit de auditores pertenece a la compaa, no obstante los miembros que lo forman son completamente independientes a la misma. Esto implica que sobre los miembros, que forman el comit de auditores, recae la responsabilidad confirmar la independencia. Prohibicin de prstamos personales a directores y ejecutivos. Transparencia de la informacin de acciones y opciones, de la compaa en cuestin, que puedan tener los directivos, ejecutivos y empleados claves de la compaa y consorcios, en el caso de que posean ms de un 10% de acciones de la compaa. Asimismo estos datos deben estar reflejados en los informes de las compaas. Endurecimiento de la responsabilidad civil as como las penas, ante el incumplimiento de la Ley. Se alargan las penas de prisin, as como las multas a los altos ejecutivos que incumplen y/o permiten el incumplimiento de las exigencias en lo referente al informe financiero. Protecciones a los empleados caso de fraude corporativo. La OSHA (Oficina de Empleo y Salud) se encargar en menos de 90 das, reinsertar al trabajador, se establece una indemnizacin por daos, la devolucin del dinero defraudado, los gastos en pleitos legales y otros costos.

6. Informe COSO, qu es?, cul es su aplicacin en las empresas? , Cules son sus principales componentes? Es un informe que define una gua para la elaboracin de informes pblicos de control interno. Estandariza el control interno en organizaciones para informes. Sus principales componentes son: 1 Aspectos vinculados al ambiente de control (estilo operativo de gerencia, prcticas de hh, estructura organizacional, atencin y compromiso de directorio) 2 Evaluacin de riesgo (ISO17750/Basilea) 3 Actividades de control (marco normativo, revisiones de control interno de la org) 4 Informacin y comunicacin (roles y responsabilidades) 5 Actividades de monitoreo (salidas de controles log reportes de deficiencias)

Auditora y Seguridad en Sistemas

7. COBIT, qu significa la sigla?, cul es su objetivos, por quienes puede ser utilizado este Estndar?, cules son los recursos alcanzados en el estndar?, cmo se agrupan las actividades de control?, Desarrolle un de los dominios, por ej.: Delivery and Support La sigla COBIT significa Control Objectives for Information and related Technology. Son una serie de documentos que definen una estructura de control y seguridad a aplicar en todas las reas de TI. Agrupa los controles en 4 areas o dominios: Planeamiento y organizacin de TI Adquisicion e implementacin de SW Entrega y soporte (de servicios que provee sistemas) Monitoreo: (actividad de monitoreo de procesos de TI) Todos los controles se aplican sobre los siguientes recursos de TI: Datos Sistemas Tecnologa (infraestructura) Instalaciones Gente

Auditora y Seguridad en Sistemas

Desarrollo de Entrega y Soporte La Entrega y el dominio de Apoyo enfocan en los aspectos de entrega de la tecnologa de informacin. Esto cubre reas como la ejecucin de los usos dentro del sistema TI y sus resultados, as como, los procesos de apoyo que permiten la ejecucin eficaz y eficiente de estos sistemas TI. Estos procesos de apoyo incluyen cuestiones de seguridad y educacin (entrenamiento). La mesa siguiente cataloga los objetivos de control nivel altos para el dominio de Apoyo y la Entrega. DS1 DS2 DS3 DS4 DS5 DS6 DS7 Definen y Manejan Niveles de Servicio Manejan Servicios de Tercero Manejan Funcionamiento y Capacidad Aseguran Servicio Continuo Aseguran Seguridad de Sistemas Identifican y Asignan Gastos Educan y Entrenan a Usuarios

Auditora y Seguridad en Sistemas

DS8 Manejan Escritorio de Servicio e Incidentes DS9 Manejan la Configuracin DS10 Manejan Problemas DS11 Manejan Datos DS12 Manejan el Ambiente Fsico DS13 Manejan Operaciones

8. Modelo de Madurez dentro del estndar COBIT?, para que puede ser utilizado por las Empresas El modelo brinda una gua de alto nivel para ayudar a los usuarios de COBIT a apreciar lo que se requiere para un control interno efectivo en TI y ayudar a posicionar a su empresa en la escala de madurez, permite poder escoger el grado o nivel de madurez al que se desea llegar, es decir, despus de realizada la evaluacin a cada proceso de tecnologa de la empresa, este puede ser ubicado en un determinado nivel de madurez. 9. ITIL, qu es y para qu sirve?, cmo es aplicado en las empresas? Marco de trabajo de las mejores prcticas destinadas a facilitar la entrega de servicios de tecnologas de la informacin (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de gua para que abarque toda infraestructura, desarrollo y operaciones de TI. 10. CMM, qu es y para qu sirve?, en qu tipo de empresas es comnmente aplicado. Cules son los distintos tipos de niveles que plantea el estndar Es un modelo de evaluacin de los procesos de una organizacin. Fue desarrollado inicialmente para los procesos relativos al software por la Universidad CarnegieMellon para el SEI (Software Engineering Institute). Este modelo establece un conjunto de prcticas o procesos clave agrupadas en reas Clave de Proceso. A su vez estas reas de Proceso se agrupan en cinco "niveles de madurez", de modo que una organizacin que tenga institucionalizadas todas las prcticas incluidas en un nivel y sus inferiores, se considera que ha alcanzado ese nivel de madurez. Proceso de capacidad y madurez aplicada a desarrollo de software. Define 5 niveles de madurez: 1 Inicial: No se dispone de ambiente estable de desarrollo y prueba. Falta planificacin. Resultados dependen de personas. Sobrecostos. 2 Repetible: Existen practicas institucionalizadas de gestin de proyectos. Metricas bsicas de seguridad de la calidad. Gestion sistematica con clientes y subcontratistas. 3 Definida: Buena gestin de proyectos. Coordinacion entre grupos de trabajo. Metricas a nivel de proceso. Adecuada formacin del personal. 4 Gestionado. Metricas significativas de calidad y productividad. Existe definido un modo sistematico en toma de desiciones y gestin de riesgos. 5 Optimizado: apunta a mejora continua de los procesos.

Auditora y Seguridad en Sistemas

11. Herramientas de uso estratgico en las empresas, cite las herramientas tratadas en clase y comente las principales caractersticas de cada una de ellas. Por ej.: FODA, Fuerzas de Porter, Uso de escenarios, etc. Herramientas de uso estratgico en las empresas: Anlisis Externo Fuerzas de porter Analisis de los escenarios Anlisis Interno FODA Cadena de Valor El Anlisis FODA (en ingls, SWOT - Strengths, Weaknesses, Opportunities, Threats) es una metodologa de estudio de la situacin competitiva de una empresa en su mercado (situacin externa) y de las caractersticas internas (situacin interna) de la misma, a efectos de determinar sus Fuerzas, Oportunidades, Debilidades y Amenazas. La situacin interna se compone de dos factores controlables: fortalezas y debilidades, mientras que la situacin externa se compone de dos factores no controlables: oportunidades y amenazas. Es la herramienta estratgica por excelencia ms utilizada para conocer la situacin real en que se encuentra la organizacin. Las 5 Fuerzas o el Diamante de Porter es un modelo que permite analizar cualquier industria en trminos de rentabilidad.

12. En qu casos usara este tipo de herramientas?, cmo pueden colaborar en la tarea del auditor informtico? 13. Concepto de Auditora, desarrollar los sus conceptos relacionados, por ejemplo: emisin de opinin profesional, sustentada en procedimientos, etc. (Este punto debe ser desarrollado en profundidad) Actividad de emitir una opinin profesional independiente sobre si un objeto en anlisis representa adecuadamente la realidad que pretende reflejar o cumple las condiciones que le fueron establecidas.

Auditora y Seguridad en Sistemas

14. La auditora es un trabajo que se realiza, en qu momento?....segn el cambio de rol del auditor.cmo cambi? La auditoria es un trabajo que se realiza a posteriori. Segn el cambio de rol del auditor, el trabajo fue cambiando a realizarse durante el desarrollo. La primera fase arranc en los aos 50 cuando haba slo auditora financiera y la auditora de sistemas slo serva de soporte a otras auditoras y que slo le extraa informacin. En la fase 2 se comenz a hacer auditora en forma independiente y en la fase 3 el rea de auditora ya tena su propio plan, presupuesta y trabajaba en forma independiente. En la fase 4 hay un rea de auditora totalmente independiente. 15. Clasifique los distintos tipos de auditora que pueden existir en la empresa, Cul sera la dependencia ideal de este grupo de trabajo? Por qu? Auditoria Interna: Controlar el cumplimiento de controles internos. Staff interno propio de la empresa. Contable y financiera Operativa Auditoria Administrativa Auditoria de Sistemas Auditoria Externa: Verificar estados contables de la empresa. Certificacin. Auditoria Certificacin: verifica el cumplimiento de ciertas y especificas normativas. 16. Qu es una CAATs?, para qu se utilizan?, cules son sus principales caractersticas?, Cules son sus limitaciones? Una CAAT es una herramienta de auditoria asociada a computadora. Se utiliza para que los auditores renan informacin de manera independiente. Proveen un medio para ganar acceso y analizar los datos para un objetivo de auditoria determinado previamente y para reportar los hallazgos con nfasis en la fiabilidad de los registros producidos y mantenidos en el sistema.

Auditora y Seguridad en Sistemas

17. Concepto de Consultora, desarrollar los sus conceptos relacionados, por ejemplo: asesoramiento especializado en distintos temas, en qu momento acta un consultor, etc. Asesoramiento sobre lo que debe hacerse o como llevar a cabo una tarea para lograr los objetivos. Gran especializacin. A diferencia de la auditoria, el trabajo de consultor se realiza a priori y durante los proyectos. 18. Auditora de Sistemas: principales funciones o reas de trabajo, cmo fueron sus inicios y cmo cambi su rol hasta nuestros das? Evolucin de auditora de sistemas: 4 etapas 1 Soporte a auditor operativo 2 Auditor inicial de sistemas automatizados en auditorias operativas 3 Separacin de auditor de sistemas del auditor operativo. Propio plan de trabajo. 4 Rol de control interno informtico. 19. Organizacin de un sector de auditora de sistemas, cul sera la dependencia de este grupo de trabajo? , justifique su respuesta. Cules son los principales roles existentes y funciones a desarrollar por cada uno de ellos? Jefe: Realiza el plan operativo y la descripcin del plan de trabajo. Tiene visin completa del grupo. Supervisor: Colabora en armado de evaluacin de riesgos. Supervisa auditores. Forma auditores. Hace devolucin de informes Auditores: Ejecuta el trabajo. Obtiene informacin a travs de pruebas, documenta y realiza informes. Saca conclusiones. 20. Funciones del auditor informtico, comente las reas de conocimientos generales y los conocimientos tcnicos que debe poseer. Profesional en sistemas de la informacin Conocimiento general de auditorias Conocimiento general de gestin de empresas Conocimientos especficos: o Desarrollo de sistemas o Gestin de TI o Anlisis de riesgo de TI o Telecomunicaciones y redes o Base de datos o Seguridad fsica aplicada a centro de procesamiento de datos o Seguridad lgica o Mejores practicas de continuidad en sistemas o E-Commerce

21. SAS 70, qu es?, comente: cules son sus distintos tipos y son sus principales diferencias? En qu caso conviene realizar una auditora del Tipo SAS 70? SAS 70 es un acrnimo de Declaracin de Auditora Norma 70, que fue desarrollado y es mantenido por el AICPA (Instituto Americano de Contadores Pblicos). Se

Auditora y Seguridad en Sistemas

utiliza para ser la revisin de empresas que prestan servicios de procesamiento de datos. Hay dos tipos de informes: T1: Describe controles de TI dentro de la empresa y constata la idoneidad. T2: Verifica el cumplimiento de los controles definidos. 22. CISA y CIA, qu son?, qu diferencia existe entre cada una de ellas? Ambas son certificaciones. CISA: Cerfificacion en auditoria informtica CIA: Certificacion auditoria operativa 23. Plan de trabajo de auditora: cules son las principales caractersticas del plan de trabajo de un auditor informtico, cite las principales etapas de dicho proceso y comente resumidamente las tareas incluidas en cada una de ella. Entender negocio y los procesos core de la empresa. (anlisis estratgico, marcos regulatorios de la actividad de la empresa, etc.). Anlisis de riesgo: - identificar los objetivos de negocio; - identifico los sistemas que dan soporte a ese negocio; - identifico infraestructura de soporte; - evalo los riesgos; - ver sobre esos riesgos q controles ya estn definidos; - identifico riesgo residual y tomar una decisin, asumirlo y minimizarlo, transferirlo o evitarlo. Revisin del control interno de la empresa: Desarrollo un entorno interno para suministrar con certeza verificable que se alcanzaran los objetivos de negocio y se minimizaran los riesgos. Ejecucin de la auditoria: Proceso sistemtico a travs del cual un auditor independiente evala objetivamente evidencias a fin de detectar el grado de cumplimiento de los controles.

24. Control Interno: defina este concepto y desarrolle los principales tipos de controles que pueden definirse dentro de las empresas. De un ejemplo de cada uno de ellos y justifiqu. El control interno es un proceso llevado a cabo por las personas de una organizacin, diseado con el fin de proporcionar un grado de seguridad "razonable" para la consecucin de sus objetivos, dentro de las siguientes categoras: Eficiencia y eficacia de la operatoria. Fiabilidad de la informacin financiera. Cumplimiento de las leyes y normas aplicables.

Por lo mencionado precedentemente podemos entonces definir ciertos conceptos fundamentales del control interno: El control interno es un proceso, es un medio para alcanzar un fin. Al control interno lo realizan las personas, no son slo polticas y procedimientos.

Auditora y Seguridad en Sistemas

El control interno slo brinda un grado de seguridad razonable, no es la seguridad total. El control interno tiene como fin facilitar el alcance de los objetivos de una organizacin.

Tipos de controles dentro de la organizacin Preventivos: Buscan detectar errores de manera temprana o antes de que ocurran. Trabaja a priori: normas y procedimientos trabajan a nivel preventivo. (consultoria Detectivos: Se busca reportar existencia de errores o incidentes. Informes de gestin, contabilidad. Tareas PMO (Auditoria) Correctivos: Minimizan el impacto de un incidente y reducen problemas futuros Disuasivos: Controles asociados con aspectos de seguridad fsica. Uso de cmaras, perros, etc. Inhiben que se cometa algn tipo de ilcito.

25. Ejecucin del proceso de auditora, comente sus principales fases. Por ej.: Definicin del sujeto, definicin del objetivo, alcance, procedimientos de pruebas, etc. 1) Definir el sujeto de la auditoria 2) Definir el objetivo de la auditoria 3) Definir un alcance 4) Definir aspectos de preauditoria 5) Definicion de procedimientos de prueba 6) Recopilacion de resultados de prueba 7) Comunicacin a la gerencia o sector involucrado 8) Elaboracion de informe 9) Comunicacin de los resultados 10)Segimiento 11)Resguardo de la evidencia. 26. Riesgo general de Auditora; cmo est compuesto?, desarrolle cada uno de sus componentes, cul es el riesgo propio del auditor?, porqu? El riesgo general de auditoria esta compuesto por 3 grandes riesgos: 1) Riesgo de control: el sistema de control definido sobre el objeto falla. 2) Riesgo inherente o propio de la actividad que estoy auditando. 3) Riesgo de deteccin: A travs de pruebas de auditor no se detecta la falla. El riesgo propio del auditor es el riesgo de deteccin. 27. Durante la auditora, qu tipos de pruebas puede llevar adelante el auditor, de un ejemplo de cada una de ellas Existen dos tipos de pruebas: de cumplimiento y sustantivas. - Pruebas de cumplimiento: permiten determinar que los controles existen, estn siendo aplicados y otorgan al auditor un grado de certeza razonable de que el control funciona. Ejemplo:

- Pruebas sustantivas: Fundamentan la integridad en el procesamiento de las

operaciones. Otorgan validez e integridad a los saldos. Ejemplo:

Auditora y Seguridad en Sistemas

28. Evidencias: qu son?, cules son las principales caractersticas que deben cumplir? La evidencia es informacin que puede ser usada por el auditor para determinar que los datos que estn siendo auditados cumplen con los objetivos establecidos. Caracteristicas: - Confiable - Independiente (del proveedor que la suministra) - Disponible (al auditor) - Relevante (tiene relacin lgica con los objetivos de la auditoria) - Suficiente - Adecuada (en cuanto a la calidad. No afecte la opinin del auditor) 29. Cules son las principales tcnicas de recopilacin de evidencias que puede llevar adelante un auditor? Las principales tcnicas de recopilacin de evidencia son: - Revisin de estructura organizacional - Revisin de normas - Revisin de estndares de configuracin de TI - Revisin de documentacin de auditorias anteriores - Revisin de segregacin de funciones aplicadas al personal - Observacin de los procesos y desempeo de los empleados (es la tcnica mas importante y recomendada porque permite determinar funciones reales de los empleados) 30. Informe de Auditora: Par que sirve? O Cul es su objetivo principal?, comente brevemente como armara un informe de auditora. El informe de auditora es la manera formal mediante la cual un auditor informtico comunica los resultados y conclusiones de su trabajo. Los principales campos del informe son: Identificacin del informe: fecha y numeracin del informe Identificacin del cliente: nombre de la entidad auditada, los destinatarios, etc. Objetivos de la auditora Normativas aplicadas: COSO, COBIT, ISO 27001, etc. Alcance de la auditora: se describe el trabajo que se va a realizar, en qu reas, en qu perodo. Se debe definir qu se va a realizar y lo que no se va a hacer tambin. Conclusin general o resumen ejecutivo: se comentan los resultados del informe en forma general dando una opinin imparcial e independiente de lo observado durante el trabajo. Permite definir la posicin del auditor respecto de lo auditado. Detalle de las observaciones: se indican las observaciones, recomendaciones, comentarios para el auditado, fechas tentativa de la regularizacin. Comentarios de informes previos Identificacin y firma del auditor Lista de distribucin 31. Qu tipos de opiniones puede emitir un auditor en su informe?, qu diferencia existe entre una opinin desfavorable y una denegada?, justifique el por qu Hay tipo de opiniones:

Auditora y Seguridad en Sistemas

Favorable o sin observaciones: cuando no se tuvo ningn tipo de problemas en el acceso a la informacin. No hubo incertidumbre o no se observ ningn incumplimiento normativo. Favorable con observaciones: cuando me encuentro limitado respecto a lo que se va a auditar. Existe algn tipo de incumplimiento normativo o legal menor. Se presentan irregularidades menores Desfavorable o adverso: cuando Se identifican irregularidades graves para la empresa Existe algn tipo de incumplimiento normativo Se encuentra altamente acotado respecto al alcance de la auditoria Opinin denegada: cuando no se tuvo acceso a la informacin.No se pudo hacer la auditoria

32. Normas ISO 27000: son documentos que se refieren a. Qu diferencia existe entre la normativa 27001 y la 27002?, quin debera usar cada una de estar normas y porqu? Las normas ISO 27000 se refieren a la Seguridad de la informacin. La ISO27001 especifica los requisitos para implementar un Sistema de Gestin de Seguridad de Informacin (SGSI) mientras que la ISO27002 define un esquema de mejores prcticas respecto de la gestin de la seguridad. 33. Respecto de la norma 27001: comente brevemente su contenido Resumidamente de que hablan sus captulos, por ej.: Seguridad del personal o cumplimiento. 34. Cuando en el contexto informtico ambientes, de qu estamos hablando? hablamos de separacin de

Se refiere a la implementacin de distintos ambientes de procesamiento para el area de desarrollo de sistemas, testing y produccin. 35. Con que conceptos de relaciona la sigla CIA? Con los objetivos de la seguridad de la informacin: confidencialidad, integridad y disponibilidad. 36. Qu es PDCA? El ciclo PDCA, tambin conocido como "Crculo de Deming", es una estrategia de mejora continua de la calidad en cuatro pasos. Las siglas PDCA son el acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). 37. Comente las actividades que generalmente son desarrolladas por un Sector de Seguridad de la Informacin y cules son los principales sectores con los que se relaciona dentro de una organizacin. Actividades: 1. Definir arquitectura de seguridad 2. Definir procesos que garanticen control interno (CIA) 3. Administrar acceso a informacin y a los recursos informaticos 4. Desarrollar marco normativo vinculado a seguridad de la informacin 5. Realizar evaluaciones de riesgo sobre el entorno de la tecnologa informatica 6. Realizar evaluaciones de impacto

Auditora y Seguridad en Sistemas

7. Brindar asesoramiento y soporte tecnico 8. Establecer tcnicas de control y evaluacin de incidentes 9. Realizar investigacin de incidentes 10. Participar en equipo de contingencia informtica o de continuidad del negocio 11. Establecer planes de capacitacin sobre medidas de seguridad 12. Planificar y presupuestar inversiones respecto a seguridad informtica. Principales interacciones con la organizacin: toda la organizacin, reingeniera de procesos, area de sistemas, auditorias internas y externas, recursos humanos. 38. Cmo agrupara dichas tareas en el sector de Seguridad de la Informacin?. Proponga un organigrama modelo. 39. Desarrolle los conceptos de Seguridad por Capas tambin conocido como Layered Security el de Work Factor Work factor es el nivel de dificultad que tiene un hacker para ingresar a sistema. A mayor seguridad, mayor work factor. 40. Qu es un BCP? Y un DRP?, cules son sus diferencias? Deberan ambos planes estar alineados entre s?, por qu? Las organizaciones desarrollan e implemente un Business continuity planning (BCP) con el objetivo de mantener la funcionalidad de una organizacin, a un nivel mnimo aceptable durante una contingencia. Un BCP debe contemplar todas las medidas preventivas y de recuperacin para cuando se produzca una contingencia que afecte al negocio. Un DRP (Disaster Recovery Plan) es un proceso de recuperacin que cubre los datos, el hardware y el software crtico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos. Esto tambin debera incluir proyectos para enfrentarse a la prdida inesperada o repentina de personal clave, aunque esto no sea cubierto en este artculo, el propsito es la proteccin de datos. 41. Qu es BIA? Bussines impact Analisis. Busca identificar que eventos pueden impactar negativamente en la continuidad de las operaciones. Una vez identificado el evento, cuales son las operaciones criticas en las que puede impactar y luego cuales son los recursos crticos (redes, sistemas, aplicaciones) 42. Cules son las principales alternativas de recuperacin de un sistema frente a un desastre?, Qu ventajas y desventajas tiene la realizacin de un acuerdo recproco? Hot Sites: Suministran configuracin idntica y total al sitio de procesamiento primario. Por lo general poseen equipos, software, comunicaciones y espacio disponible. Son sumamente costosos. Warm Sites: Parcialmente configurados los aspectos perifricos menos el procesamiento dentral. Equipos con menor capacidad. La cantidad de tiempo en la que opero es mayor. Cold sites: espacio fsico preparado para dar soporte en contigencia. Estructura edilicia, energa elctrica y montaje para cableado.

Auditora y Seguridad en Sistemas

Sitios alternos: espacios dedicados por las empresas para hacer frente a una interrupcin para que se respalden las operaciones criticas. Resguardo de datos, seguridad y control. Acuerdos reciprocos: Realizacion de contratos que permiten compartir recursos con otras empresas que tengan similar equipamiento y procesos. Ventajas: costo reducido. Puede ser la nica opcin. Desventajas: diferencia en configuracin de equipos, cambios no notificados, contratos. Se puede perder confidencialidad de la informacin.

Auditora y Seguridad en Sistemas

43. Comente brevemente las etapas de la Norma ISO 17550 y grafique las mismas.

Comunicar y Consultar

Establecer el Contexto

Identificar los Riesgos Evaluacin de Riesgos Evaluacin de Riesgos

Analizar los Riesgos

Evaluar los Riesgos

Tratar los Riesgos

Comunicar y Consultar

Auditora y Seguridad en Sistemas

44. Cuando hablamos de un Sistema de Gestin de Riesgos, estamos hablando de un proceso definido que posee caractersticas particulares, las puede comentar? Siempre que hablamos de gestion (de riesgos), estamos hablando de un proceso: - Iterativo - Sistematizado ... para identificar, analizar, evaluar, monitorear y comunicar riesgos asociados con las actividades y procesos de la empresa. La gestion cumple con un ciclo de Deming (PDCA) 45. Tipos de anlisis de riesgo, qu caractersticas particulares tiene cada una de ellas? Clasifique cada uno de ellos en funcin de su complejidad.

1. Cualitativo. Busca realizar una descripcion a traves de palabras de la

2.

3.

probabilidad de ocurrencia un evento (Frecuente, poco frecuente, nada frecuente, etc) y su impacto (Alto, muy alto, medio, bajo, etc). Por complejidad es el analisis mas simple. Tener en cuenta que necesita de un EXPERTO TEMATICO (esto es un requisito). Semi-Cuantitativo. A las escalas nominales (del analisis cualitativo) (alta, baja, poco probable, etc) le asigna valores estimativos con el fin de obtener una priorizacion mas detallada de los riesgos (ejemplo, Media=0,5, baja=0,25... etc) Cuantitativo. Utiliza valores numericos para calcular el impacto y la probabilidad de ocurrencia de un evento. Para llevarlo adelante requiero de datos del pasado. Se basa en analisis de sensibilidad estatisticos.

46. Comente las distintas alternativas para el tratamiento de los riesgos en la empresa a. Evitar el riesgo (No llevar adelante el proyecto) b. Reduzco, mitigo (Achicar probabilidad o impacto) c. Transferencia (Contrato de seguros, acuerdo de alianza) implica el pago de una prima y cambiar un riesgo por otro (el seguro podria no responder). d. Retener o asumir (No hago nada respecto al riesgo). 47. Anlisis de riesgo: cite normativas / metodologas relacionadas a este tema ISO 17750 Basilea