Modelos Control Utilizados en Auditoria Informática

Entrada publicada en Economía y etiquetada Auditoria de sistemas informáticos ejemplos Ejemplo auditoria informática Ejemplo de una auditoria informática en una empresa Ejemplo informe auditoria informática Informe auditoria informática ejemplo Informe de auditoria informática Modelo de informe de auditoria informática Pistas de auditoria informática el por .

 COBIT como herramienta de Gobierno de TI: COBIT es una herramienta de gobierno de TI, se aplica a los sistemas de información de toda la empresa, vinculando tecnología informática y prácticas De control.

1- COBIT CONTRIBUYE A ESTO DE LA SIGUIENTE MANERA:

1. Identificando los principales Recursos de TI a ser utilizados

2. Organizando las actividades De TI en un modelo de procesos generalmente aceptado

3. Estableciendo un víncculo con Los requerimientos del negocio

4. Definiendo los objetivos de Control gerenciales a ser considerados

EL OBJETIVO DE COBIT ES


Brindar buenas prácticas a Través de un marco de trabajo de dominios y procesos, y

• Presentar las actividades de Una manera manejable y lógica.

BENEFICIOS

• Mantener información de Alta calidad para apoyar la toma de decisiones.

• Lograr la excelencia Operativa a través de una aplicación fiable, eficiente de la tecnología.

• Mantener los riesgos relacionados Con TI a un nivel aceptable.

Optimizar servicios y Recursos de TI.

USUARIOS DEL COBIT

La Gerencia:
Para Apoyar la toma de decisiones y control sobre el rendimiento de Las mismas.

Los usuarios finales:
Para obtener garantía sobre la seguridad y el control de Los productos que adquieran.

Los auditores:
Para dar soporte a sus opiniones sobre los controles de los proyectos de TI.

Los Responsables de TI:
Para identificar los controles que requieren en sus áreas.

REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO

1-Requerimientos de Calidad Calidad, Costo y Entrega

2-Requerimientos Fiduciarios


Efectividad: Proporcionar en forma oportuna, correcta, consistente y utilizable. Eficiencia: debe proveer información mediante el empleo óptimo de los Recursos Confiabilidad: proveer la información apropiada para que la Administración tome las decisiones adecuadas. Cumplimiento

3-Requerimientos de Seguridad

Confidencialidad: Protección de la información. Integridad: Refiere a lo exacto y completo de la información. Disponibilidad: Accesibilidad a la información cuando sea requerida por los procesos del

RECURSOS DE TI

• Datos: Todos los objetos de Información. Considera información interna y externa, estructurada o no, Gráficas, sonidos, etc.

• Aplicaciones: entendido como Los sistemas de información, que integran procedimientos manuales y Sistematizados.

• Tecnología: incluye hardware y Software básico, sistemas operativos, sistemas de administración de bases de Datos, de redes, telecomunicaciones, multimedia, etc.

• Instalaciones: Incluye los Recursos necesarios para alojar y dar soporte a los sistemas de información.

• Recurso Humano: Por la Habilidad, conciencia y productividad del personal para planear, adquirir, Prestar servicios, dar soporte y monitorear los SI.

NIVELES DE COBIT

Dominios:
Agrupación Natural de procesos, normalmente corresponden a un dominio o una Responsabilidad organizacional

Procesos:
Conjuntos o Series de actividades unidas con delimitación o cortes de control.

Actividades:
Acciones Requeridas para lograr un resultado medible.

DOMINIOS DEL COBIT

• Planear y Organizar (PO) Cubre Estrategias y las tácticas del área TI.

• Adquirir e Implementar (AI) Cubre la necesidad de ser identificadas, desarrolladas o adquiridas.

• Dar soporte y Entrega (DS) Cubre la entrega en sí de servicios requeridos

• Monitorear y Evaluar (ME) Evaluar de forma regular en el tiempo, cuanto a su calidad y cumplimiento de Los requerimientos de control

SEGURIDAD INFORMÁTICA

Consiste en asegurar que los Recursos del sistema de información (material informático o programas) de una Organización sean utilizados de la manera que se decidíó, y que el acceso a la Información allí contenida así como su modificación sólo sea posible a las Personas que se encuentren autorizadas y dentro de los límites de su Autorización.

TÉRMINOS RELACIONADOS CON LA SEGURIDAD INFORMÁTICA

Amenaza


Es un evento Que pueden desencadenar un incidente en la organización, produciendo daños Materiales o pérdidas inmateriales en sus activos.

Vulnerabilidad


Es una Debilidad que puede ser utilizada para causar un daño.

Ataque


Evento, exitoso O no, que atenta sobre el buen funcionamiento del sistema.

Contingencia


Interrupción de la capacidad de acceso a información y procesamiento de la Misma a través de computadoras necesarias para la operación normal de un Negocio.

OBJETIVOS DE SEGURIDAD PARA SATISFACER NECESIDADES DEL NEGOCIO

 Asegurar la disponibilidad de Los sistemas de información

 Asegurar la integridad de La información en sus sistemas informáticos (almacenada y en tránsito)

 Preservar la confidencialidad de los datos sensibles mientras están almacenados y en transito

 Asegurar el cumplimiento de Leyes, regulaciones y estándares aplicables

 Asegurar que todos los datos Sensibles estén protegidos cuando se almacenan y cuando están en tránsito, En función a los requerimientos del negocio

ELEMENTOS CLAVES DE LA GESTIÓN DE LA SEGURIDAD

Compromiso y respaldo, * Políticas y procedimientos, * Concienciación y formación para la seguridad, * Monitoreo y cumplimento, * Tratamiento y respuesta a incidentes.

POLÍTICAS DE SEGURIDAD INFORMÁTICA:


Se refleja en una serie de normas, reglamentos y Protocolos a seguir, donde se definen las distintas medidas a tomar para lograr La seguridad del sistema. Las políticas son establecidas por la gerencia Y aprobadas por la alta dirección.

CarácterÍSTICAS DE LA SEGURIDAD DE LA INFORMACIÓN

Integridad: La información sólo Puede ser modificada por quien está autorizado.

Confidencialidad: La información Sólo debe ser legible para los autorizados.

Disponibilidad: Debe estar Disponible cuando se necesita.

Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autoría.

LA PÉRDIDA DE CONFIDENCIALIDAD PUEDE OCURRIR DE VARIAS MANERAS TAL COMO:


1-La revelación Intencional de información privada de la organización o

2- Por medio de la mala aplicación de derechos Sobre la red informática

CLASIFICACIÓN DE ACTIVOS

– Quien es el propietario?

– Quien tiene derechos de Acceso (necesita saber)

– Nivel de acceso otorgado


Responsable de Determinar sus derechos y nivel de acceso


Aprobaciones que se Requieren para su acceso?

– Grado de controles de Seguridad a aplicar

TIPOS DE ACTIVOS

• Información: Bases de datos y Archivos de datos- Contratos y acuerdos– Documentación impresa o en línea – Información de investigación – Manuales y material de entrenamiento – Procedimientos – Pistas de Auditoría

• Software – Software de Aplicación – Software de base – Herramientas y utilitarios de desarrollo

 Hardware – Equipos de Computación – Equipos de comunicaciones – Medios de almacenamiento – Centros de Cableados

 Servicios: – Servicios de Computación y comunicaciones

– Servicios de soporte (electricidad, aire acondicionado, iluminación, calefacción, etc.)

 Personas, junto con – su Experiencia, – capacidades y – competencias

CLASIFICACIÓN DE LA INFORMACIÓN

 Demostrar el compromiso de La organización hacia la protección de los datos.

 Ayuda a identificar cual Información es la más sensible o vital para la organización.

Soportar los principios de confidencialidad, integridad y disponibilidad en lo pertinente a los Datos.

 Ayuda a identificar qué Tipo de protección es aplicable a qué tipo de información.

Cumplir posibles requerimientos legales o regulatorio

LOS NIVELES BÁSICOS DE CLASIFICACIÓN DE LA INFORMACIÓN SON:


Pública cualquier Información que no necesita ser protegida contra su revelación, pero Debe ser protegida contra alteración, destrucción o pérdida debido a su Valor, utilidad, costo de reposición, o susceptibilidad al fraude, destrucción.

Confidencial información Que, si revelada en forma no autorizada, puede ocasionar un daño a la Seguridad y reputación de la organización.

ESQUEMA SENCILLO DE CLASIFICACIÓN DE LA INFORMACIÓN

Uso Público


Información que es segura de revelar públicamente

Uso Interno Solamente:


Información que es segura de revelar en forma interna pero no externamente

Confidencial


La información Más confidencial de la organización.

Propietario:


un propietario de información podrá ser un ejecutivo / Gerente responsables de usar información para ejecutar y Controlar el negocio.

ROLES DE CLASIFICACIÓN

Custodio:


se le delega La responsabilidad de protección de los datos de parte del Propietario.

 Realizar backups periódicos Y probar la restauración de los datos respaldados.

Restaurar los datos del backup cuando sea necesario.

Usuarios:


un usuario Final es considerado aquel que utiliza la información del sistema en Forma rutinaria como parte de su puesto de trabajo en la organización.

TIPOS DE CONTROLES QUE SE PUEDEN ESTABLECER, ESTOS INCLUYEN:


 Control de las condiciones Medioambientales (temperatura, humedad, polvo, etc…)

 Vigilancia (cámaras, guardias, Etc.)

 Sistemas de contingencia (extintores, fuentes de alimentación ininterrumpida, estabilizadores de Corriente, fuentes de ventilación alternativa, etc.)

 Sistemas de recuperación (copias de seguridad, servidor redundante, sistemas alternativos Geográficamente separados y protegidos, etc.)

CONSIDERACIONES DE SOFTWARE

 Tener instalado en la Máquina únicamente el software necesario reduce riesgos.

 Tener controlado el Software asegura la calidad de la procedencia del mismo (el software pirata O sin garantías aumenta los riesgos).

 Un inventario de software proporciona Un método correcto de asegurar la reinstalación en caso de desastre.

CONSIDERACIONES DE UNA RED

 Mantener al máximo el número De recursos de red sólo en modo lectura,

Controlar y monitorizar el Acceso a Internet puede detectar, en fases de recuperación, cómo se ha Introducido el virus.

Phishing es utilizado por delincuentes cibernéticos para estafar Y obtener información confidencial de forma fraudulenta

ATAQUES COMUNES

Ataque de alteración: Modificación NO autorizada de datos o código, afectan la integridad de Datos

Ataque fuerza bruta:
ataque por Un intruso, utilizando muchas herramientas de decodificación de contraseñas Encriptadas para obtener acceso no autorizado a una red o a sistemas basados en Un host

Virus: Un virus informático o virus computacional es Un malware que tiene por objetivo alterar el normal funcionamiento del Ordenador, sin el permiso o el conocimiento del usuario.

CONTROLES INTERNOS:


Es un proceso, Mediante el cual la administración, los directivos y/o la alta gerencia le Proporcionan a sus actividades, un grado razonable de confianza, que le garantice la consecución de sus objetivos, tomando en cuenta: la eficacia y Eficiencia de las operaciones, Fiabilidad de la información financiera y cumplimiento de las leyes y normas Aplicables,  con la finalidad de dotar A  la organización medidas Preventivas, detección y corrección de Errores, fallos y fraudes o sabotajes

OBJETIVOS DE CONTROL INTERNO Informático

vVer que todo se hace según los procedimientos Internos y normas legales: se debe controlar que todas las actividades se realizan cumpliendo con los procedimientos y normas fijados, evaluar su bondad y asegurarse del Cumplimiento de las normas legales.

vAsesorar sobre el conocimiento de las normas al Resto de la organización.

vColaborar Y apoyar al trabajo de la Auditoría Informática, así como de las auditorías externas al Grupo.

vDefinir, implantar y ejecutar mecanismos y controles para comprobar el logro De los grados adecuados del servicio informático.

CLASIFICACIÓN DE LOS CONTROLES:


Los controles sirven para prevenir, detectar o Corregir eventos ilícitos.

CONTROLES PREVENTIVOS

Son aquellos que reducen la Frecuencia con que ocurren las causas de riesgo o evitan que ocurran errores.

vFunción:

ØDetectar problemas antes que surjan, realizar Ajustes

ØMonitorear tanto las operaciones como las entradas De datos

ØImpedir que ocurra un error, una omisión o un acto Malicioso

CONTROLES DETECTIVOS

Son Aquellos que no evitan que ocurran las causas del riesgo sino que los detecta Luego de ocurridos. En cierta forma sirven para evaluar la eficiencia de los Controles preventivos.

Función:


Usar Controles que detecten y reporten que ha ocurrido un error, una omisión o un Acto malicioso

CONTROLES CORRECTIVOS

    Ayudan a La investigación y corrección de las causas del riesgo.

vFunción:

ØMinimizar el impacto de una amenaza

ØRemediar problemas descubiertos por controles Detectivos

ØIdentificar la causa de un problema

ØCorregir errores resultantes de un problema

PRINCIPALES CONTROLES FÍSICOS Y LÓGICOS

vAutenticidad.-   Permiten Verificar la identidad.: Passwords, Firmas digitales

vExactitud-   Aseguran La coherencia de los datos: Validación De campos, Validación de excesos O casos de borde

vTotalidad.-   Evitan La omisión de registros así como garantizan la conclusión de un proceso de Envío

vConteo De registros, cifras de control.

vRedundancia.-   Evitan La duplicidad de datos: Cancelación de lotes o proceso batch, Verificación de secuencias

vPrivacidad.-   Aseguran La protección de los datos: Compactación, Encriptación.

vProtección De Activos.- Destrucción o corrupción de Información o del hardware: Extintores, Passwords.

vEfectividad.-   Aseguran El logro de los objetivos: Encuestas de satisfacción, Medición de niveles de servicio.

vEficiencia.-   Aseguran El uso óptimo   de los recursos: Análisis Costo-beneficio

SOFTWARE

   El software de un sistema informático es el Conjunto de elementos lógicos necesarios para realizar las tareas encomendadas Al mismo.

Información:


Es el Elemento a tratar y se define como todo aquello que permite adquirir cualquier Tipo de conocimiento.  Existirá Información cuando se da a conocer algo que se desconoce

PROCESO:


   Conjunto de operaciones necesarias para Transformar los datos iniciales en los resultados que se desean obtener en un Determinado trabajo.

AUDITORIA INFORMÁTICA

Es una revisión de carácter objetivo (independiente)
, Crítico (evidencia)
, sistemático (normas)
, selectivo (muestras)
De las políticas, normas, prácticas, funciones, procesos, procedimientos e Informes relacionados con los sistemas de información computarizados, con el fin De emitir una opinión profesional (imparcial)
Con respecto a la:

üEficiencia y eficacia en la utilización de los Recursos informáticos

üSeguridad de los recursos informáticos

üEfectividad de los controles establecidos.

HALLAZGO:


Se Considera que los hallazgos en auditoria son las diferencias significativas Encontradas en el trabajo de auditoria con relación a lo normado o a lo Presentado por la gerencia.

ATRIBUTOS DEL HALLAZGO:


Condición:


la Realidad encontrada

Criterio:


cómo   debe   Ser   (la   norma,   La   ley, el reglamento, lo que Debe ser)

Causa:


qué Originó la diferencia encontrada.

Efecto:


qué Efectos puede   ocasionar la diferencia Encontrada.

PAPELES DE TRABAJO:


Son los archivos o legajos Que maneja el auditor y que   contienen Todos los documentos que sustentan su trabajo efectuado durante la auditoria y Constituyen la principal evidencia de la tarea de auditoría realizada y de las Conclusiones alcanzadas que  se reportan En el informe de auditoría.

Estos Archivos se dividen en Permanentes y Corrientes;

Archivo permanente:


conformados por Documentos que  tienen el carácter de Permanencia en la empresa, es decir, que no  Cambian y que por lo tanto se pueden volver a utilizar en  auditorias futuras; como los Estatutos de Constitución, contratos  de servicios, Informe de auditorías anteriores, etc.

Archivo Corriente:


está formado por todos los documentos que el auditor va Utilizando durante el desarrollo de su trabajo y que le permitirán emitir su Informe previo y final.

PUNTOS A TENER EN CUENTA AL REALIZAR Y DOCUMENTAR UN RELEVAMIENTO

-Visita al Centro de Cómputos.

-Verificación de la estructura organizativa Existente   en el área de tecnología Informática.

-Verificación de las tareas correspondiente a la Continuidad de procesamiento de datos.

QUE DETERMINA EL ESTUDIO DE RIESGO

Estudia La forma de administrar un Riego

Respuesta: Aceptar el riesgo. Administración de riesgos

CUÁL ES EL RIESGO ASOCIADO A LA RED

Ataque fuerza bruta

QUE ES EL ANÁLISIS DE RIESGOS DE SISTEMAS

Proceso de identificar las Vulnerabilidades y las amenazas para los recursos de TI y recomendar Contramedidas a tomar, para reducir el riesgo a un nivel aceptable.

CUAL ES EL RIESGO PRINCIPAL ASOCIADO A LA Interrupción DE SISTEMAS

Contingencia:interrupción de la capacidad de acceso a información y Procesamiento de la misma a través de computadoras necesarias para la operación Normal de un negocio

QUE RIESGO REPRESENTA LA FALTA DE Utilización DE CONTRASEÑAS ADECUADAS

Cualquier usuario no autorizado Puede obtener, robar o poner en peligro la información y las instalaciones de Procesamiento de información

COMPLETA

1.EL ÉXITO DEL TI DEPENDE del CONTROL INTERNO

2.UN ATAQUE ES UN EVENTO EXITOSO O NO, QUE ATENTA SOBRE EL BUEN FUNCIONAMIENTO DEL SISTEMA

3.LA SEGURIDAD Informática
CONSISTE EN ASEGURIAR QUE LOS RECURSOS DEL SISTEMA DE Información DE UNA ORGANIZACIÓN SEAN UTILIZADOS DE LA MANERA QUE SE Decidió Y QUE EL ACCESO A LA Información SEA POSIBLE SOLO AL PERSONAL AUTORIZADO.

4.LA Política DE SEGURIDAD INFOMATICA se Refleja en una serie de normas, Reglamentos y protocolos a seguir, donde se definen las distintas medidas a tomar para lograr la Seguridad del sistema

5.LAS Políticas GENERALMENTE SON ESTABLECIDAS POR la gerencia y aprobadas Por la alta dirección

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *