Upload
hsbc1234
View
227
Download
0
Embed Size (px)
Citation preview
7/30/2019 Sesion No. 6 Muy Buena
1/46
AUDITORIA INFORMATICA
Informtica II
Semana No. 18Perodo 2010-II
Dra. Aymara Hernndez Arias
7/30/2019 Sesion No. 6 Muy Buena
2/46
Contenido
Conceptos Bsicos de AuditoraInformtica
Justificacin
Objetivos
Ejemplos
7/30/2019 Sesion No. 6 Muy Buena
3/46
Primero: Que es la auditora?
Es la revisin independiente querealiza un auditor profesional,aplicando tcnicas, mtodos y
procedimientos especializados, a finde evaluar el cumplimiento defunciones, actividades, tareas yprocedimientos de una organizacin,as como dictaminar sobre el
resultado de dicha evaluacin.
Muoz (2002,34)
7/30/2019 Sesion No. 6 Muy Buena
4/46
Administracin de laConfiguracin deBases de Datos
7/30/2019 Sesion No. 6 Muy Buena
5/46
Justificacin
Aumento de lavulnerabilidad
Beneficiospara alcanzarlos objetivos
Informacincomo recurso
estratgico
Magnitud delos costos einversiones
TIC
Aumento de laproductividad
Automatizacinde los procesos y
prestacin deservicios
RecursosTICs
Fuente: Rodrguez (2006)
7/30/2019 Sesion No. 6 Muy Buena
6/46
La productividad de cualquier organizacin depende del funcionamiento
ininterrumpido de los sistemas TIC, transformando a todo el entorno en
un proceso crtico adicional (Rodrguez, 2006:3).
7/30/2019 Sesion No. 6 Muy Buena
7/46
Evidencias
1 El crecimiento del acceso a Internet y de usuarios conectadosincrementa la posibilidad de concrecin de amenazas informticas.
2 Crecimiento de la informacin disponible de empresas y susempleados en redes sociales Ingeniera Social.
3 Mensajes de e-mail que contienen attachments que explotanvulnerabilidades en las aplicaciones instaladas por los usuarios.
4 Robo de credenciales o captura ilegal de datos.
5 Acceso a redes empresariales a travs de cdigos maliciososdiseados para obtenerinformacin sensitiva.
6 En el 2009 los sectores financiero, proveedores de servicios TIC,comercios, seguros, comunidad de Internet, empresas detelecomunicaciones y el gobierno han sido los ms vulnerables antelas amenazas informticas.
7 En el 2009 Symantec identific 240 millones de programas maliciosos,un aumento del 100% con respecto al 2008.
Fuente: Symantec (2010).
7/30/2019 Sesion No. 6 Muy Buena
8/46
Evidencias
8 En el 2010 hubo 286 millones de nuevas ciberamenazas.
9 Junto con las redes sociales otra rea de peligro en el espacio mvil
(Smartphones).10 Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el
mundo, como Estados Unidos, UK o Espaa, han mostrado lapreocupacin que tienen ante ataques que puedan afectar a laeconoma del pas o incluso a otras reas, tales como lasdenominadas infraestructuras crticas. Tambin este ao 2009 vimos
un ataque lanzado a diferentes pginas web de Estados Unidos yCorea del Sur.
Previsin de tendencias de amenazas informticas para 2010 Fuente: www.cxo-community.com
11 Cuidar a las empresas en esos momentos no es labor fcil. Los
ataques son incesantes (al menos 10,000 amenazas circulan en la redcada minuto), y cada ao causan prdidas por ms de 650,000millones de dlares, dice el grupo Crime-Research.org.
El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com
Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..
http://www.cxo-community.com/http://www.cxo-community.com/http://www.cxo-community.com/http://www.cxo-community.com/http://www.cxo-community.com/http://www.cxo-community.com/http://www.cxo-community.com/http://www.cxo-community.com/http://www.cxo-community.com/7/30/2019 Sesion No. 6 Muy Buena
9/46
7/30/2019 Sesion No. 6 Muy Buena
10/46
Supervisin de los CONTROLES IMPLEMENTADOSy determinacin de su eficiencia
Rol Bsico de la Funcin de Auditora Informtica
Se requiere contar con una efectiva administracin delos RIESGOS asociados con las TIC
Fuente: Rodrguez (2006)
7/30/2019 Sesion No. 6 Muy Buena
11/46
Factores que propician la AuditoraInformtica
Leyes gubernamentales.Polticas internas de la empresa.Necesidad de controlar el uso de equiposcomputacionales.Altos costos debido a errores.Prdida de informacin yde capacidadesde procesamiento de datos, aumentando as laposibilidad de toma de decisiones
incorrectas.Valordel hardware, software y personal.Necesidad de mantener la privacidad yconfidencialidad de las transacciones de laorganizacin.
7/30/2019 Sesion No. 6 Muy Buena
12/46
Objetivos generales de la Auditora enInformtica Asegurar la integridad, confidencialidad
y confiabilidad de la informacin.
Minimizar existencias de riesgos en eluso de Tecnologa de informacin
Conocer la situacin actual del reainformtica para lograr los objetivos.
Seguridad, utilidad, confianza,privacidad y disponibilidad en elambiente informtico, as como tambin
seguridad del personal, los datos, elhardware, el software y las instalaciones.
Auditoria de Sistemas de Barcelona (2004)
7/30/2019 Sesion No. 6 Muy Buena
13/46
Incrementar la satisfaccin de losusuarios de los sistemas informticos.
Capacitacin y educacin sobre
controles en los Sistemas deInformacin.
Buscar una mejorrelacin costo-beneficio de los sistemas automticos ytomar decisiones en cuanto ainversiones para la tecnologa deinformacin.
Auditoria de Sistemas de Barcelona (2004)
Objetivos generales de la Auditora enInformtica
7/30/2019 Sesion No. 6 Muy Buena
14/46
Riesgo Informtico
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la
Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
La Organizacin Internacional deNormalizacin (ISO) define riesgotecnolgico (Guas para laGestin de la Seguridad) como:
La probabilidad de que unaamenaza se materialice deacuerdo al nivel de vulnerabilidadexistente de un activo, generando
un impacto especfico, el cualpuede estar representado porprdidas y daos.
7/30/2019 Sesion No. 6 Muy Buena
15/46
Amenaza
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al RiesgoInformtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias
Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Acciones que pueden ocasionar
consecuencias negativas en laplataforma informtica disponible: fallas,ingresos no autorizados a las reas decomputo, virus, uso inadecuado de
activos informticos, desastresambientales (terremotos, inundaciones),incendios, accesos ilegales a lossistemas, fallas elctricas.
Pueden ser de tipo lgico o fsico.
7/30/2019 Sesion No. 6 Muy Buena
16/46
Vulnerabilidad
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al RiesgoInformtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias
Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Condiciones inherentes a los
activos o presentes en su entornoque facilitan que las amenazasse materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimientodel usuario, tecnologainadecuada, fallas en latransmisin, inexistencia de
antivirus, entre otros.
7/30/2019 Sesion No. 6 Muy Buena
17/46
Impacto
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al RiesgoInformtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias
Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Consecuencias de la
ocurrencia de las distintasamenazas: financieras o nofinancieras.
Perdida de dinero, deterioro
de la imagen de la empresa,reduccin de eficiencia, fallasoperativas a corto o largoplazo, prdida de vidas
humanas, etc.
7/30/2019 Sesion No. 6 Muy Buena
18/46
Administracin de Riesgos
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin.Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente:http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Luego de efectuar el anlisis de riesgo-impacto, el
ciclo de administracin de riesgo finaliza con ladeterminacin de las acciones a seguir respecto:
Controlar el riesgo fortaleciendo los controlesexistentes o agregar nuevos controles.
Eliminar el riesgo.
Compartir el riesgo mediante acuerdoscontractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informtica).Aceptar el riesgo, determinando el nivel deexposicin.
7/30/2019 Sesion No. 6 Muy Buena
19/46
Y...Qu es el control interno?Es un proceso, mediante el cual laadministracin, los directivos y/o la altagerencia le proporcionan a susactividades, un grado razonable deconfianza, que le garantice la consecucin
de sus objetivos, tomando en cuenta: laeficacia y eficiencia de las operaciones,fiabilidad de la informacin financiera ycumplimiento de las leyes y normas
aplicables, con la finalidad de dotar a laorganizacin medidas preventivas,deteccin y correccin de errores, fallos yfraudes o sabotajes
7/30/2019 Sesion No. 6 Muy Buena
20/46
CONTROL INTERNO. DEFINICIN Y TIPOS
Cualquier actividad o accin realizadamanual y/o automticamente paraprevenir, corregir errores o irregularidadesque puedan afectar el funcionamiento deun sistema para conseguir sus objetivos.
La tipologa tradicional de los controles informticos es:
Bajo Nivel de
7/30/2019 Sesion No. 6 Muy Buena
21/46
Agente Amenazante
HackerCracker
Espionaje IndustrialCriminales Profesionales
Usuarios(Daos intencionales o no)
Objetivos: Desafo,ganancia financiera/poltica,
dao
Causa Fsica (Natural o no)
Concrecinde la
Amenaza
Bajo Nivel deVulnerabilidad?
Dao a losequipos, datoso informacin
Confidencialidad
IntegridadDisponibilidad
Prdida deDineroClientesImagen de la Empresa
http://www.google.co.ve/imgres?imgurl=http://www.compuchannel.net/wp-content/archivos/2009/07/jul13-gartner-actualidad.jpg&imgrefurl=http://www.compuchannel.net/2009/07/13/disminucion-gasto-ti&usg=__OtQSCiJdAMIduduosltdUvkHnG4=&h=300&w=400&sz=40&hl=es&start=1&itbs=1&tbnid=Rca-eFkXGka57M:&tbnh=93&tbnw=124&prev=/images%3Fq%3Ddisminuci%25C3%25B3n%26hl%3Des%26gbv%3D2%26tbs%3Disch:17/30/2019 Sesion No. 6 Muy Buena
22/46
Correctivo
Disuasivos Preventivos
Detectivo
Tmin
Plataforma Informtica Operatividad
Amenaza oRiesgo
Tratar de evitar elhechoCuando fallan los
preventivos paratratar de conocercuanto antes el
evento
Vuelta a lanormalidad cuando
se han producidoincidencias
7/30/2019 Sesion No. 6 Muy Buena
23/46
Normas de Auditora Informticadisponibles
COSO (Committee of SponsoringOrganizations of the TreadwayCommission, EEUU 1992).
ITIL (Information Technology
Infrastructure Library, Inglaterra 1990). ISO/IEC 17799:2000 (International
Organization forStandardization/InternationalElectrotechnical Commission, Inglaterra
2000). COBIT (Control Objectives forInformation and Related Technology IT,EEUU 1998).
Modelo de evaluacin delcontrol interno en lossistemas, funciones,
procesos o actividades enforma ntegra.
Marco referencial que evalael proceso de gestin de losServicios de tecnologa de
informacin y de lainfraestructura tecnologa.
Gua de auditoria del
sistema de gestin deseguridad de la informacin
para su proteccin.
7/30/2019 Sesion No. 6 Muy Buena
24/46
Referencia Bibliogrfica
IT GOVERNANCEINSTITUTE. 2006. COBIT4.0. Fuente: www.isaca.org
Information Systems Audit and Control Association
Fundada en 1969, ISACA patrocina conferencias
internacionales, publica la revista ISACA Journal ydesarrolla estndares internacionales en control y auditoriade sistemas de informacin. Tambin administra la respetadacertificacin a nivel mundial como Auditor de Sistemas de
Informacin.
7/30/2019 Sesion No. 6 Muy Buena
25/46
Para que la TI tenga xito en satisfacer los requerimientosdel negocio, la direccin debe implantar un sistema decontrol interno o un marco de trabajo.
El marco de trabajo de control COBIT contribuye a estas
necesidades de la siguiente manera:Estableciendo un vnculo con los requerimientos delnegocio.
Organizando las actividades de TI en un modelo deprocesos generalmente aceptado.
Identificando los principales recursos de TI utilizados.
Definiendo los objetivos de control gerencial a ser
considerados.
Marco de Trabajo de Control COBIT
7/30/2019 Sesion No. 6 Muy Buena
26/46
NEGOCIO
TICS Vs. PROCESOS
Requerimientos Informacin
Indicadoresde
DesempeoIndicadores
Meta
Modelo de Madurez
Medidospor
Metas deActividades
Prcticas deControl
Directricesde
Auditora
Ejecutados atravs de
Auditadosa travs
de
Objetivos deControl
Controladospor
Traduccin Implementacin
Los Objetivos de Control COBIT brindanbuenas prcticas a travs de un marco detrabajo de dominios y procesos, y presenta lasactividades en una estructura manejable ylgica. Representan el consenso de expertos.Enfocadas fuertemente en el control y menosen la ejecucin. Ayudan a optimizar las
inversiones facilitadas por la TI, asegurarn laentrega del servicio y brindarn una medidacontra la cual juzgar cuando las cosas novayan bien (IT Governance Instituye, 2006).
Herramientas para ayudar a asignar
responsabilidades, medir el desempeo, llevara cabo benchmarks () Las directricesayudan a brindar respuestas a preguntas de laadministracin: Qu tan lejos podemos llegarpara controlar la TI?, y el costo justifica elbeneficio? Cules son los indicadores de unbuen desempeo? Cules son las prcticasadministrativas clave a aplicar? Qu hacenotros? Cmo medimos y comparamos? (ITGovernance Institute, 2006).
7/30/2019 Sesion No. 6 Muy Buena
27/46
Las mejores prcticas de TI se han vueltosignificativas debido a un nmero de factores:
Directores de negocio y consejos directivos que demandan unmayor retorno de la inversin en TI.
Preocupacin por el creciente nivel de gasto en TI.
La necesidad de satisfacer requerimientos regulatoriospara controles de TI en reas como privacidad y reportesfinancieros y en sectores especficos como el financiero,farmacutico y de atencin a la salud.
http://images.google.co.ve/imgres?imgurl=http://weblogs.clarin.com/management-y-negocios/archives/firma.jpg&imgrefurl=http://weblogs.clarin.com/management-y-negocios/archives/2007/01/cuanto_vale_su_firma_1.html&usg=__pmnvY-aPJZ_IP6OiVtSURKfCxXI=&h=630&w=945&sz=181&hl=es&start=11&tbnid=-yu9hktolHyYuM:&tbnh=99&tbnw=148&prev=/images%3Fq%3Dfirma%26gbv%3D2%26hl%3Des7/30/2019 Sesion No. 6 Muy Buena
28/46
Las mejores prcticas de TI se han vueltosignificativas debido a un nmero de factores:
La seleccin de proveedores de servicio y el manejo deOutsourcing y de Adquisicin de servicios
Riesgos crecientemente complejos de la TI como laseguridad de redes
Iniciativas de gobierno de TI que incluyen la adopcin demarcos de referencia de control y de mejores prcticaspara ayudar a monitorear y mejorar las actividades crticasde TI, aumentar el valor del negocio y reducir los riesgos de
ste.
7/30/2019 Sesion No. 6 Muy Buena
29/46
Las mejores prcticas de TI se hanvuelto significativas debido a unnmero de factores:
La necesidad de optimizar costos siguiendo,siempre que sea posible, un enfoqueestandarizado en lugar de enfoquesdesarrollados especialmente.
La madurez creciente y la consecuenteaceptacin de marcos de trabajo respetadostales como COBIT, ITIL, ISO 17799, ISO 9001,
entre otros.La necesidad de las empresas de valorar sudesempeo en comparacin con estndaresgeneralmente aceptados y con respecto a su
competencia (Benchmarking)
7/30/2019 Sesion No. 6 Muy Buena
30/46
Para gobernar efectivamente TI, es importantedeterminar las actividades y los riesgos querequieren ser administrados. DOMINIO 1
PLANEAR Y ORGANIZAR
Estrategias y tcticas.Identificar la manera en que TI
pueda contribuir de la mejormanera al logro de los objetivosdel negocio.
La visin estratgica requiere ser
planeada, comunicada yadministrada.
Implementar una estructuraorganizacional y una estructura
tecnolgica apropiada.
7/30/2019 Sesion No. 6 Muy Buena
31/46
Para gobernar efectivamente TI, esimportante determinar las actividadesy los riesgos que requieren seradministrados.
PLANEAR Y ORGANIZAR
Cubre los siguientes cuestionamientos tpicos de
la gerencia: Estn alineadas las estrategiasde TI y del negocio?
La empresa est alcanzando un uso ptimode sus recursos?
Entienden todas las personas dentro de laorganizacin los objetivos de TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TIpara las necesidades del negocio?
7/30/2019 Sesion No. 6 Muy Buena
32/46
Para gobernar efectivamente TI, esimportante determinar las actividadesy los riesgos que requieren seradministrados. DOMINIO 2
ADQUIRIR E IMPLEMENTAR
Para llevar a cabo la estrategia de TI, las soluciones de TI
necesitan la implementacin e integracin en losprocesos del negocio.
7/30/2019 Sesion No. 6 Muy Buena
33/46
Para gobernar efectivamente TI, esimportante determinar las actividadesy los riesgos que requieren seradministrados.
ADQUIRIR E IMPLEMENTAR
Adems para garantizar que las soluciones
sigan cubre los siguientes cuestionamientos dela gerencia:
Los nuevos proyectos generan solucionesque satisfagan las necesidades?
Los nuevos proyectos son entregados atiempo y dentro del presupuesto?
Trabajarn adecuadamente los nuevossistemas una vez sean implementados?
Los cambios afectarn las operaciones
actuales del negocio?
7/30/2019 Sesion No. 6 Muy Buena
34/46
Para gobernar efectivamente TI, esimportante determinar las actividadesy los riesgos que requieren seradministrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE
Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio, laadministracin de la seguridad y de la continuidad, elsoporte del servicio a los usuarios, la administracin de losdatos y de las instalaciones operacionales.
7/30/2019 Sesion No. 6 Muy Buena
35/46
Para gobernar efectivamente TI, esimportante determinar las actividadesy los riesgos que requieren seradministrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE
Aclara las siguientes preguntas de la
gerencia: Se estn entregando losservicios de TI de acuerdo con lasprioridades del negocio? Estnoptimizados los costos de TI? Es
capaz la fuerza de trabajo de utilizar lossistemas de TI de manera productiva ysegura? Estn implantadas de formaadecuada la confidencialidad, laintegridad y la disponibilidad?
7/30/2019 Sesion No. 6 Muy Buena
36/46
Para gobernar efectivamente TI, esimportante determinar las actividadesy los riesgos que requieren seradministrados. DOMINIO 4
MONITOREAR Y EVALUAR
Todos los procesos de TI deben
evaluarse de forma regular en eltiempo en cuanto a su calidad ycumplimiento de los requerimientosde control.
Este dominio abarca la administracindel desempeo, el monitoreo delcontrol interno, el cumplimientoregulatorio y la aplicacin del gobierno.
7/30/2019 Sesion No. 6 Muy Buena
37/46
Para gobernar efectivamente TI, esimportante determinar las actividadesy los riesgos que requieren seradministrados.
MONITOREAR Y EVALUAR
Abarca las siguientes preguntas de la
gerencia: Se mide el desempeo de TIpara detectar los problemas antes de quesea demasiado tarde? La Gerenciagarantiza que los controles internos son
efectivos y eficientes? Puede vincularseel desempeo de lo que TI ha realizadocon las metas del negocio? Se mideny reportan los riesgos, el control, elcumplimiento y el desempeo?
7/30/2019 Sesion No. 6 Muy Buena
38/46
Procedimientosde Seleccin del
Software
Evaluacin del cumplimientode los objetivos de control
basados en la Norma COBIT
DOMINIO?
Objetivos deControl
(PO) Planear yOrganizar
(ME) Monitoreary Evaluar
(ES) Entregar y
dar soporte
(AI) Adquirir eImplementar
Establecimientoinadecuado de los
requerimientosfuncionales
Se detectan fallasen la puesta en
marcha del sistemaautomatizado
Debido a las fallaslos usuarios se
resisten a utilizar elsistema
(AI1) Identificarsoluciones
automatizadas
(AI2)Adquirir ymantener software
(AI3)Adquirir ymantener
infraestructura TIC
(AI4) Facilitaroperacin y uso
Ejemplo: Supongamos la siguiente situacin
http://www.google.co.ve/imgres?imgurl=http://www.alintu.com/EQUIS.JPG&imgrefurl=http://www.alintu.com/segmano.htm&usg=__FStT9BjvwfEm_yyBSJBMudlWDNk=&h=44&w=47&sz=2&hl=es&start=92&itbs=1&tbnid=8GsyOdYY__DquM:&tbnh=44&tbnw=47&prev=/images%3Fq%3Dequis%26start%3D80%26hl%3Des%26sa%3DN%26gbv%3D2%26ndsp%3D20%26tbs%3Disch:1http://www.google.co.ve/imgres?imgurl=http://www.alintu.com/EQUIS.JPG&imgrefurl=http://www.alintu.com/segmano.htm&usg=__FStT9BjvwfEm_yyBSJBMudlWDNk=&h=44&w=47&sz=2&hl=es&start=92&itbs=1&tbnid=8GsyOdYY__DquM:&tbnh=44&tbnw=47&prev=/images%3Fq%3Dequis%26start%3D80%26hl%3Des%26sa%3DN%26gbv%3D2%26ndsp%3D20%26tbs%3Disch:1http://www.google.co.ve/imgres?imgurl=http://www.alintu.com/EQUIS.JPG&imgrefurl=http://www.alintu.com/segmano.htm&usg=__FStT9BjvwfEm_yyBSJBMudlWDNk=&h=44&w=47&sz=2&hl=es&start=92&itbs=1&tbnid=8GsyOdYY__DquM:&tbnh=44&tbnw=47&prev=/images%3Fq%3Dequis%26start%3D80%26hl%3Des%26sa%3DN%26gbv%3D2%26ndsp%3D20%26tbs%3Disch:17/30/2019 Sesion No. 6 Muy Buena
39/46
AI1 Identificar soluciones automatizadas
AI1.1 Definicin y mantenimiento de los requerimientos tcnicos yfuncionales del negocio.
Identificar, dar prioridades, especificar y acordar los requer imientos d e negoc iofuncion ales y tcn icos.
Definir los criterios de aceptacin de los requerimientos. Estas iniciativas debenincluir todos los cambios requer idosdada la naturaleza del negocio, de losprocesos, de las apt i tudes y habi l idades del personal, su estructuraorganizacionaly la tecno lo gade apoyo.
Establecerproc esos para garant izar y admin istrar la integr idad, exact i tud y
la val idez de los requ er imientos d el negocio, como base para el control de laadquisicin y el desarrollo continuo de sistemas.
7/30/2019 Sesion No. 6 Muy Buena
40/46
AI1.2 Reporte de anlisis de riesgos
Identificar, documentar y analizar los riesgos asociados con los procesos delnegocio como parte de los procesos organizacionales para el desarrollo de losrequerimientos. Los riesgos incluyen las amenazas a la integr id ad, segu r idad,disp on ibi l idad y pr ivacidad de los datos, as com o el cum plim iento d e las
leyes y reglamento s.
AI1.3 Estudio de factibilidad y formulacin de cursos de accinalternativosDesarrollar un estudio de factibilidad que examine la pos ib i l idad de implantarlos requer imientos.
AI1.4 Requerimientos, decisin de factibilidad y aprobacin.El patrocinador del negocio aprueba y autoriza los requisitos de negocio, tantofuncionales como tcnicos, y los reportes del estudio de factibilidad en las etapasclave predeterminadas. Cada autorizacin va despus de la terminacin de lasrevisiones de calidad.
Modelo de Madurez
7/30/2019 Sesion No. 6 Muy Buena
41/46
Modelo de MadurezEscala de medicin creciente a partir de 0 (No existente) hasta 5(Optimizado) para la evaluacin de los procesos a partir de los objetivos
de control (IT Governance Institute, 2006).
No Existente
0
Inicial
1
Repetible
2
Definido
3
Administrado
4
Optimizado
5
Estado Actual de la empresa
Promedio de la Industria
Objetivo de la empresa
0 No se aplican procesos administrativos en lo absoluto
1 Los procesos son ad-hoc y desorganizados
2 Los procesos siguen un patrn regular
3 Los procesos se documentan y se comunican
4 Los procesos se monitorean y se miden
5 Las buenas prcticas se siguen y se automatizan
7/30/2019 Sesion No. 6 Muy Buena
42/46
Norma COBIT
COBIT es la fusin entre prcticas deinformtica (ITIL, ISO/IEC 17799) y prcticasde control (COSO), las cuales plantean trestipos de requerimientos de negocio para lainformacin:
De calidad (calidad, costo y entrega deservicio).
Fiduciarios (efectividad y eficiencia de
operaciones, confiabilidad de la informacin ycumplimiento de las leyes y regulaciones).
De Seguridad (confidencialidad, integridad ydisponibilidad).
http://images.google.co.ve/imgres?imgurl=http://i21.photobucket.com/albums/b298/k_milo/EL_AVANCE_DE_LA_INFORMATICA.jpg&imgrefurl=http://andrescfonseca.blogspot.com/2007/11/programacion-en-internet-porandres_9998.html&usg=__pehnQf7_XEDLyUoczbG33GiFX9U=&h=500&w=482&sz=88&hl=es&start=206&tbnid=8pjUc9zHMQnKJM:&tbnh=130&tbnw=125&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26start%3D200%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DNhttp://images.google.co.ve/imgres?imgurl=http://www.panzano.es/blog/img/auditoria.jpg&imgrefurl=http://escuelasviejas.wordpress.com/tag/usal/&usg=__XgDVJXm7p7Ut1Xup07NbMnzaDc8=&h=265&w=400&sz=40&hl=es&start=191&tbnid=KUCUI3Qszg8GQM:&tbnh=82&tbnw=124&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26start%3D180%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DNhttp://images.google.co.ve/imgres?imgurl=http://wwwdi.ujaen.es/~fconde/AI/images/AI.jpg&imgrefurl=http://wwwdi.ujaen.es/~fconde/AI/AI.html&usg=__QnR_AhkIUIpOiGTbjHlM6ETuWz8=&h=280&w=200&sz=67&hl=es&start=6&tbnid=swVl3wkKsg1s3M:&tbnh=114&tbnw=81&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26gbv%3D2%26hl%3Des7/30/2019 Sesion No. 6 Muy Buena
43/46
Terminologa COBIT
Efectividad: Se refiere a que la informacinrelevante sea pertinente para el proceso delnegocio, as como la entrega oportuna seacorrecta, consistente y de manera utilizable ante
terceros, para poder cumplir con parte delrequerimiento fiduciario.
Eficiencia: Siguiendo los requerimientos delnegocio de la informacin, en cuanto a calidad-
costo, la eficiencia viene dada a travs de lautilizacin ptima (ms productiva y econmica)de recursos.
http://images.google.co.ve/imgres?imgurl=http://i21.photobucket.com/albums/b298/k_milo/EL_AVANCE_DE_LA_INFORMATICA.jpg&imgrefurl=http://andrescfonseca.blogspot.com/2007/11/programacion-en-internet-porandres_9998.html&usg=__pehnQf7_XEDLyUoczbG33GiFX9U=&h=500&w=482&sz=88&hl=es&start=206&tbnid=8pjUc9zHMQnKJM:&tbnh=130&tbnw=125&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26start%3D200%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DNhttp://images.google.co.ve/imgres?imgurl=http://www.panzano.es/blog/img/auditoria.jpg&imgrefurl=http://escuelasviejas.wordpress.com/tag/usal/&usg=__XgDVJXm7p7Ut1Xup07NbMnzaDc8=&h=265&w=400&sz=40&hl=es&start=191&tbnid=KUCUI3Qszg8GQM:&tbnh=82&tbnw=124&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26start%3D180%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DNhttp://images.google.co.ve/imgres?imgurl=http://wwwdi.ujaen.es/~fconde/AI/images/AI.jpg&imgrefurl=http://wwwdi.ujaen.es/~fconde/AI/AI.html&usg=__QnR_AhkIUIpOiGTbjHlM6ETuWz8=&h=280&w=200&sz=67&hl=es&start=6&tbnid=swVl3wkKsg1s3M:&tbnh=114&tbnw=81&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26gbv%3D2%26hl%3Des7/30/2019 Sesion No. 6 Muy Buena
44/46
Terminologa COBIT
Confidencialidad: Se refiere a la proteccin deinformacin sensible contra divulgacin noautorizada. Cumple con el principio de calidad.
Integridad: Para el requerimiento de seguridad,
la integridad es la precisin y suficiencia de lainformacin, as como a su validez de acuerdocon los valores y expectativas del negocio.
Disponibilidad: Se trata de la oportunidad de
entrega de la informacin cuando sta searequerida por el proceso de negocio ahora y enel futuro. Tambin se refiere a la salvaguarda delos recursos necesarios y capacidades
asociadas.
http://images.google.co.ve/imgres?imgurl=http://i21.photobucket.com/albums/b298/k_milo/EL_AVANCE_DE_LA_INFORMATICA.jpg&imgrefurl=http://andrescfonseca.blogspot.com/2007/11/programacion-en-internet-porandres_9998.html&usg=__pehnQf7_XEDLyUoczbG33GiFX9U=&h=500&w=482&sz=88&hl=es&start=206&tbnid=8pjUc9zHMQnKJM:&tbnh=130&tbnw=125&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26start%3D200%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DNhttp://images.google.co.ve/imgres?imgurl=http://www.panzano.es/blog/img/auditoria.jpg&imgrefurl=http://escuelasviejas.wordpress.com/tag/usal/&usg=__XgDVJXm7p7Ut1Xup07NbMnzaDc8=&h=265&w=400&sz=40&hl=es&start=191&tbnid=KUCUI3Qszg8GQM:&tbnh=82&tbnw=124&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26start%3D180%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DNhttp://images.google.co.ve/imgres?imgurl=http://wwwdi.ujaen.es/~fconde/AI/images/AI.jpg&imgrefurl=http://wwwdi.ujaen.es/~fconde/AI/AI.html&usg=__QnR_AhkIUIpOiGTbjHlM6ETuWz8=&h=280&w=200&sz=67&hl=es&start=6&tbnid=swVl3wkKsg1s3M:&tbnh=114&tbnw=81&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26gbv%3D2%26hl%3Des7/30/2019 Sesion No. 6 Muy Buena
45/46
Terminologa COBIT
Cumplimiento: Se refiere al cumplimiento deaquellas leyes, regulaciones y acuerdoscontractuales a los que el proceso de negociosest sujeto, por ejemplo, criterios de negocioimpuestos externamente.
Confiabilidad de la informacin: Es laprovisin de informacin apropiada para laadministracin con el fin de operar la entidad ypara ejercer sus responsabilidades de reportesfinancieros y de cumplimiento.
http://images.google.co.ve/imgres?imgurl=http://i21.photobucket.com/albums/b298/k_milo/EL_AVANCE_DE_LA_INFORMATICA.jpg&imgrefurl=http://andrescfonseca.blogspot.com/2007/11/programacion-en-internet-porandres_9998.html&usg=__pehnQf7_XEDLyUoczbG33GiFX9U=&h=500&w=482&sz=88&hl=es&start=206&tbnid=8pjUc9zHMQnKJM:&tbnh=130&tbnw=125&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26start%3D200%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DNhttp://images.google.co.ve/imgres?imgurl=http://www.panzano.es/blog/img/auditoria.jpg&imgrefurl=http://escuelasviejas.wordpress.com/tag/usal/&usg=__XgDVJXm7p7Ut1Xup07NbMnzaDc8=&h=265&w=400&sz=40&hl=es&start=191&tbnid=KUCUI3Qszg8GQM:&tbnh=82&tbnw=124&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26start%3D180%26gbv%3D2%26ndsp%3D20%26hl%3Des%26sa%3DNhttp://images.google.co.ve/imgres?imgurl=http://wwwdi.ujaen.es/~fconde/AI/images/AI.jpg&imgrefurl=http://wwwdi.ujaen.es/~fconde/AI/AI.html&usg=__QnR_AhkIUIpOiGTbjHlM6ETuWz8=&h=280&w=200&sz=67&hl=es&start=6&tbnid=swVl3wkKsg1s3M:&tbnh=114&tbnw=81&prev=/images%3Fq%3DAUDITORIA%2BINFORMATICA%26gbv%3D2%26hl%3Des7/30/2019 Sesion No. 6 Muy Buena
46/46
Bibliografa ReferencialAUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004).
Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com(Consulta: Noviembre 2006).
ECHENIQUE GARCA, JOS (2001). Auditora en Informtica. 2da Edicin.McGraw Hill. Mxico.
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998).COBIT, marco referencial, objetivos de control para la informacin ytecnologa afines. 2da Edicin.MUOZ RAZO, CARLOS. 2002. Auditora en Sistemas Computacionales.Pearson-Prentice Hall. Mxico.RODRGUEZ R., FERNANDO (2006). Auditora Informtica en laAdministracin: un reto para los profesionales TIC. Tecnimap. ComunicacinNo. 043. Espaa.
PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditora en Informtica. Unenfoque prctico. Editorial RAMA. Espaa.
RUIZ GONZLEZ, FRANCISCO (1999). Planificacin y Gestin de Sistemasde Informacin. 2da. Edicin. COBIT-Universidad de Castilla. Espaa.
SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet SecurityThreat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.com
VEGA, JAIME (2003). Auditora de sistemas. Seccin 9. Captulo 53.
Enciclopedia de Auditora. Editorial Ocano Centrum. Espaa.