Beruflich Dokumente
Kultur Dokumente
Informática II
Semana No. 18
Período 2010-II
Dra. Aymara Hernández Arias
Contenido
• Conceptos Básicos de Auditoría
Informática
• Justificación
• Objetivos
• Ejemplos
Primero: ¿Que es la auditoría?
Es la revisión independiente que
realiza un auditor profesional,
aplicando técnicas, métodos y
procedimientos especializados, a fin
de evaluar el cumplimiento de
funciones, actividades, tareas y
procedimientos de una organización,
así como dictaminar sobre el
resultado de dicha evaluación.
Muñoz (2002,34)
Administración de la
Configuración de
Bases de Datos
Justificación
Aumento de la
vulnerabilidad
Automatización
Beneficios
de los procesos y
para alcanzar
prestación de
los objetivos
servicios
Recursos
TIC´s
Información
Aumento de la
como recurso
productividad
estratégico
Magnitud de
los costos e
inversiones
TIC
La Organización Internacional de
Normalización (ISO) define riesgo
tecnológico (Guías para la
Gestión de la Seguridad) como:
La probabilidad de que una
amenaza se materialice de
acuerdo al nivel de vulnerabilidad
existente de un activo, generando
un impacto específico, el cual
puede estar representado por
pérdidas y daños.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la
Computación. Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Amenaza
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informática disponible: fallas,
ingresos no autorizados a las áreas de
computo, virus, uso inadecuado de
activos informáticos, desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas eléctricas.
Pueden ser de tipo lógico o físico.
SENA, LEONARDO Y SIMÓN M. TENZER. 2004. Introducción al Riesgo Informático. Cátedra de Introducción a la Computación.
Facultad de Ciencias Económicas y Administración. Universidad de la República de Uruguay. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Y...¿Qué es el control interno?
Es un proceso, mediante el cual la
administración, los directivos y/o la alta
gerencia le proporcionan a sus
actividades, un grado razonable de
confianza, que le garantice la consecución
de sus objetivos, tomando en cuenta: la
eficacia y eficiencia de las operaciones,
fiabilidad de la información financiera y
cumplimiento de las leyes y normas
aplicables, con la finalidad de dotar a la
organización medidas preventivas,
detección y corrección de errores, fallos y
fraudes o sabotajes
CONTROL INTERNO. DEFINICIÓN Y TIPOS
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
Confidencialidad
(Daños intencionales o no)
Integridad
Objetivos: Desafío, Disponibilidad
ganancia financiera/política,
daño Pérdida de
•Dinero
Causa Física (Natural o no)
•Clientes
•Imagen de la Empresa
Tratar de evitar el
Cuando fallan los
hecho
preventivos para
tratar de conocer
Disuasivos Preventivos cuanto antes el
evento
Amenaza o
Riesgo
Vuelta a la Tmin
normalidad cuando
se han producido Detectivo Correctivo
incidencias
Normas de Auditoría Informática
disponibles Guía de auditoria del
sistema de gestión de
• COSO (Committee of Sponsoring
seguridad de la información
Organizations of the Treadway
para su protección.
Commission, EEUU 1992).
• ITIL (Information Technology
Infrastructure Library, Inglaterra 1990).
• ISO/IEC 17799:2000 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000).
• COBIT
Modelo de evaluación del Objectives for
(ControlMarco referencial que evalúa
control interno en los
Information and elRelated
procesoTechnology
de gestión deIT,
los
sistemas, funciones,
EEUU 1998). Servicios de tecnología de
procesos o actividades en
información y de la
forma íntegra.
infraestructura tecnología.
Referencia Bibliográfica
IT GOVERNANCE
INSTITUTE. 2006. COBIT
4.0. Fuente: www.isaca.org
Indicadores
de Indicadores Metas de Directrices Prácticas de
Desempeño Meta Actividades de Control
Auditoría
Modelo de Madurez
Traducción Implementación
Las mejores prácticas de TI se han vuelto
significativas debido a un número de factores:
• 0 • 1 • 2 • 3 • 4 • 5