UNIVERSIDAD AUTONOMA DE QUITO UNAQ

AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade ALUMNO FECHA CURSO : Jess Cisneros Valle : Quito, 27 de agosto del 2012 : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 7 y 8 DEL LIBRO AUDITORIA INFORMATICA Un enfoque prctico.

CAPITULO 7
DEONTOLOGIA DEL AUDITOR INFORMATICO Y CODIGOS ETICOS Cuestiones de Repaso: 1. Principios deontolgicos aplicables a los Auditores Informticos. Principio de beneficio del auditado Principio de calidad Principio de cautela Principio de comportamiento profesional Principio de concentracin en el trabajo Principio de confianza Principio de criterio propio Principio de discrecin Principio de economa Principio de formacin continuada Principio de fortalecimiento y respeto a la profesin Principio de independencia Principio de informacin suficiente Principio de integridad moral Principio de legalidad Principio de libre competencia Principio de no discriminacin Principio de no injerencia Principio de precisin

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Principio de publicidad adecuada Principio de responsabilidad Principio de secreto profesional Principio de servicio publico Principio de veracidad

2. Principio de calidad El auditor deber realizar su trabajo acorde a las avances de la ciencia y tecnologa y usarlos con absoluta libertad bajo condiciones tcnicas apropiadas para el idneo cumplimiento de su tarea. Si por alguna razn los medios que se han puesto a su alcance no fueren los apropiados para realizar profesionalmente su trabajo, deber, negarse a realizarlo hasta que se garanticen un mnimo de condiciones para as no comprometer la calidad de su servicio o de los dictmenes. Si el auditor durante su trabajo creyere conveniente solicitar informes tcnicos que no estn al alcance de su capacidad cognoscitiva, para analizarlo en apropiadas condiciones deber remitir el mismo a un especialista en la materia o recabar dictmenes que refuercen la calidad y fiabilidad de su auditoria. 3. Principio de Criterio Propio El auditor al realizar su auditoria deber actuar con criterio propio y no permitir que este se subordine a de otros profesionales, aun de reconocido prestigio que no coincidan con el mismo. En caso de que se presente divergencia con dichos profesionales sobre aspectos puntuales, deber reflejar las mismas dejando sentado su propio criterio e indicando cuando es sustentado en metodologas o experiencias que difieran de las corrientes profesionales mayoritariamente asumidas. Las crticas deben ser respetadas, pero recordemos que al auditor tiene la obligacin tica de actuar en todo momento de manera que el considere la ms beneficiosa para el auditado, aun cuando terceras personas le requieran seguir lneas diferentes de actuacin. El auditor deber discernir sobre la posibilidad de que la que la actividad que se le solicita presuntamente para evaluar y mejora un sistema informtico, tiene otra finalidad ajena a la auditoria, cuyo caso deber negarse a prestar esa asistencia dejando sentado las razones de du negativa. De igual manera si el auditado se niega a adoptar sus propuestas, deber plantearse la continuidad de sus servicios en funcin de las razones y causan que considere puedan justificar dicho proceder. 4. Qu significa el principio de Economa? El auditor deber proteger en la medida de sus conocimientos los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Deber evitar dilaciones innecesarias en la realizacin de su auditoria, lo que le permitir al auditado implementar lo ms pronto posible solventar sus problemas o la inmediata adecuacin de mtodos propuestos lo que determinar un valor aadido al trabajo del auditor. Deber tener en cuenta la economa de medios materiales y humanos, para evitar el uso de aquellos que son innecesarios lo que redundar en suprimir gastos injustificados. El auditor debe rechazar las ampliaciones al trabajo en marcha aun a peticin del auditado sobre asuntos que no ataen directamente a la auditoria. En las recomendaciones que emita deber eludir, incitar o proponer actos que generen gastos superfluos al auditado. 5. Importancia de la formacin continua del Auditor Informtico. Impone al auditor el deber y la obligacin de estar permanentemente actualizando sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y las exigencias de la competencia de la oferta. La progresiva especializacin de sus clientes exige de los auditores, Para poder mantener el grado de confianza que se precisa para dejar en sus manos el anlisis de las prestaciones de los sistemas informticos, el auditor debe seguir un continuo plan de actualizacin respecto a nuevas tecnologas de la informacin para incluir en su trabajo estas innovaciones. 6. Grado de independencia del Auditor Informtico. Principio relacionado con el principio de criterio propio, obliga al auditor tanto si acta como profesional externo o con independencia laboral respecto de la empresa en donde realiza la auditoria informtica, a exigir total autonoma e independencia en su trabajo, condicin imprescindible para actuar libremente segn su leal saber y entender. La independencia del auditor constituye, en su esencia la garanta de que los intereses del auditado sern asumidos con objetividad, no debe permitir ningn condicionamiento a la cabal realizacin de su trabajo. Esta independencia implica rechazo a criterios con los cuales no est totalmente de acuerdo, debiendo reflejar en su informe final solo los que considere pertinentes. El auditor deber preservar su derecho y obligacin de decir y poner de manifiesto todo aquello que segn sus conocimientos y conciencia considere necesario, evitado emitir criterios o mtodos que perjudiquen al auditado, aun en el caso que este lo solicite. No deber enrolarse laboralmente con firmas que no le permitan trabajar con total libertad. 7. Qu es el principio de legalidad? En todo momento el auditor deber evitar utilizar sus conocimientos para facilitar a los auditados o terceras personas la violacin de la ley. En ningn caso consentir o colaborara en la desactivacin o eliminacin de dispositivos de seguridad, ni intentara obtener los cdigos o claves de acceso a sectores restringidos de informacin
3

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

generados para proteger los derechos, obligaciones o intereses de terceros (Derecho a la intimidad, propiedad intelectual, secreto profesional..) Los auditores debern abstenerse de intervenir lneas de comunicacin o controlar actividades que puedan vulnerar los derechos personales o empresariales dignos de proteccin. El auditor deber estar atento y rechazar todo intento del auditado o terceras personas a realizar actos tendientes a infringir cualquier precepto integrado en el derecho. 8. Responsabilidad del auditor Informtico. El auditor deber como principio de todo comportamiento profesional, responsabilizarse de todo lo que haga, diga o aconseje, sirviendo esta forma de actuar como obstculo de injerencias extra profesionales. SI bien este principio resulta especialmente gravoso en auditoria de gran complejidad como las auditorias informticas, es preciso tenerlo en cuenta a fin de poder garantizar su responsabilidad en los casos en que debido a errores humanos durante la ejecucin de la auditoria, se produzcan daos a su cliente que le pudieran ser imputados. Por ello es conveniente la suscripcin de contratos de seguros adaptados a las peculiaridades de su actividad profesional, que cubran la responsabilidad civil de los auditores a fin de acrecentar la confianza y solvencia de su actividad profesional. La responsabilidad del autor conlleva la obligacin de resarcimientos de los daos y perjuicios que puedan derivarse de una actuacin negligente o culposa. 9. A que obliga el secreto profesional? La confidencia y la confianza son caractersticas esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligacin de guardar el secreto los hechos o informaciones que conozca en el ejercicio de su actividad profesional. Solamente por disposicin legal podr deponer esta obligacin. El auditor est obligado a no difundir a terceras personas ningn dato que haya visto, odo o deducido durante el desarrollo de su trabajo y que pudiera perjudicar a su cliente, siendo nulo cualquier pacto contractual que pretenda excluir dicha obligacin. El mantenimiento del secreto profesional se extiende a todas las personas que hayan colaborado con el auditor en la auditoria, si por el contrario uno de estos colaboradores divulgasen los datos de la auditoria, recaer sobre l la responsabilidad de resarcimiento de los daos y perjuicios materiales o morales y ser extensivo al auditor en virtud de la responsabilidad in eligendo o in vigilando que asume por los actos de sus colaboradores. El deber de secreto impone al auditor garantizar al auditado que toda la informacin de la auditoria estar protegida bajo mecanismos de seguridad y ser almacenada en entornos o soportes que impidan su acceso por terceras personas, el auditor solo

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

permitir el acceso a esa informacin a profesionales que estn bajo su dependencia organizativa y que guarden el secreto profesional. No se considerara vulneracin de la divulgacin de los datos cuando estos sean entregados a otros profesionales bajo estricta autorizacin y conocimiento del auditado, siempre y cuando la informacin guarde un rango de seguridad adecuado. El auditor debe mantener el secreto profesional sobre sobre todo tipo de informacin, de la empresa donde presta sus servicios. 10. Facetas que configuran el rgimen de responsabilidad frente a terceros. Primera Faceta: Corresponde a la aplicacin de sus conocimientos tcnicos con la finalidad de determinar en base a los mismos, las condiciones de seguridad, fiabilidad y calidad de los medios, elementos o productos que conforman el sistema informtico auditado y recomendar las medidas que se estimen convenientes para su mejora o adaptacin a los objetivos para los que fue diseado. A tenor de la coyuntura actual y previsible a mediano plazo constituyan su perspectiva de futuro. Segunda Faceta: Debe poner en manifiesto la aplicacin de los fundamentos humansticos que como persona y profesional le son ticamente exigibles, para en funcin de los mismos, coadyuvar al desarrollo integral de la sociedad en la prestacin de sus servicios y de la cual ha tomado, para la formacin de sus conocimientos y desarrollo de su propia personalidad.

CAPITULO 8
LA AUDITORIA FISICA Cuestiones de Repaso: 1. Diferencie entre seguridad lgica, seguridad fsica y seguridad de las comunicaciones, poniendo varios ejemplos de cada tipo. No existe una diferencia clara entre seguridad fsica, lgica y de las comunicaciones, lo ms practico seria unirlas como una seguridad integral es decir en una sola. Ejemplos: Mientras que la seguridad fsica, trata de salvaguardar la parte fsica de un ordenador, como el procesador, intrnsecamente al hacerlo est protegiendo el software que este incluye y procesa (Seguridad lgica), y por ende al hacerlo y mantenerlo conectado al

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

resto de la Tarjeta madre, protege la circuitera como buses fsicos que se comunican con el Northbridge, el Bios, la Ram, etc. Si la seguridad fsica fuese en el disco duro, de igual manera se vera envuelta las seguridad de los datos (seguridad lgica) y de comunicacin (los buses de datos). 2. Explique el concepto de Nivel adecuado de seguridad fsica. O tambin llamado grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo, o en su caso aminorar las consecuencias que de l se pueden derivar. Es un concepto aplicable a cualquier actividad, no solo informtica, en la que las personas hagan uso particular o profesional de entornos fsicos. 3. Cmo definira lo que constituye un desastre? Es cualquier evento que, cuando ocurre tiene la capacidad de interrumpir el normal proceso de una empresa. 4. Que tipos de seguros existen? Centros de proceso y equipamiento Reconstruccin de medios software Gastos extras Interrupcin del negocio Documentos y registros valiosos Errores y omisiones Cobertura de fidelidad Transporte de medios Contrato con proveedores y mantenimiento 5. Que medios de extincin de fuego conoce? Agua, extintores, espuma. 6. Porqu es importante la existencia de un sistema de control de entradas y salidas? Para tener un control de acceso de las visitas o personal, en las areas perimetral, interna y restringida. 7. Que tcnicas cree que son las ms adecuadas para la auditoria fsica? Tcnicas: Observacin de las instalaciones, sistemas, cumplimiento de normas y procedimientos.
6

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Revisin analtica de: Documentos sobre construccin y preinstalaciones, Documentacin sobre guas de seguridad, Polticas y normas de actividad de sala, Normas y procedimientos de seguridad fsica de datos, Contratos de seguro y de mantenimiento. Entrevistas con directivos y personal, fijo o temporal Consultas a tcnicos y peritos que formen parte de la plantilla o independientes contratados.

8. Cuales suelen ser las responsabilidades del auditor informtico interno respecto a la auditoria fsica? Revisar los controles relativos a seguridad fsica Revisar el cumplimiento de los procedimientos Revisar riesgos Participar con independencia en: Seleccin, adquisicin e implantacin de equipos y materiales, Planes de seguridad y de contingencia, seguimiento, actualizacin, mantenimiento y pruebas de los mismos. Revisin y cumplimiento de las polticas y normas sobre seguridad fsica, as como las funciones de responsables y administradores de seguridad. Efectuar auditorias programadas e imprevistas Emitir informes y efectuar el seguimiento de las recomendaciones. 9. Que aspectos considera ms importantes a la hora de auditar el plan de contingencia desde el punto de vista de la auditoria fsica? Acuerdo de la empresa para el plan de contingencia Acuerdo de un proceso alternativo Proteccin de datos Manual de plan de contingencia

10. Que riesgos habra que controlar en el centro de proceso alternativo? Esta el acuerdo obligado e impuesto legalmente cuando se produce un desastre? Es compatible el equipamiento del proceso de datos en el centro alternativo con el equipamiento en el CPD? Proporciona el centro alternativo suficiente capacidad? Cuando fue la ltima vez que se probo el centro alternativo? Cules fueron los objetivos y el alcance de la prueba? Cules fueron los resultados de la prueba? Quedaron los resultados bien documentados?
7

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Han sido implementados acciones correctivas o estn previstas para una futura implementacin? Esta prevista una prxima prueba de uso del centro alternativo? Utiliza la empresa algn equipamiento de proceso que pueda no estar soportado por el centro alternativo?