Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
San Miguel de Tucumán –2014 Universidad Tecnológica Nacional – Fac. Regional Tucumán Concepto de Auditoría Principales Actividades de Auditoría de Sistemas Marco Normativo Herramientas de Auditoría Auditoría interna es una actividad independiente, de aseguramiento objetivo, y consultoría diseñada para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático, disciplinado para evaluar y mejorar la efectividad de la administración del riesgo, el control y los procesos de conducción. · Cambio de las pistas de auditoría · Adecuación de las normas de auditoría a entorno computadorizado. · Pericia técnica del auditor · Delito informático · Privacidad · Auditoría de la dirección (Plan Estratégico de Sistemas) · Auditoría del Desarrollo (Gestión de proyecto) · Auditoría de la Adquisición · Auditoría de la Seguridad (Seguridad Física – Plan de Contingencias, evaluación de riesgos, seguridad lógica) · Auditoría de la Explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios de programas) · Aplicaciones Estratégicas y alto potencial: fuerte orientación al negocio. Adecuado establecimiento de los tiempos del proyecto. · Aplicaciones claves: enfoque hacia la calidad de aplicaciones (disminución de riesgos y errores. · Aplicaciones de apoyo: Control de recursos destinados a estos proyectos. Evaluación costo-beneficio. · Falta de definición de políticas · Falta de alineación con el plan del negocio · Errores en la priorización de proyectos · Inestabilidad de la empresa · Tasa de cambio de la organización · Falta de coordinación entre las partes afectadas por el proyecto · Factor de complejidad tecnológico, económico o funcional no medido adecuadamente Externas: Clientes y Proveedores De Transición: · Nuevos Procedimientos Actividades Especificación “del negocio” · Beneficios para la Empresa · Instalación Física Internas: · Papeles y Responsabilidades · Personas y Habilidades · Entorno, Cultura y Estilo Empresa en Marcha del Negocio Inicio del Proyecto Análisis de las Necesidades Revisiones Pruebas de Validez Entrega del Sistema Especificación Trabajos Técnicos Sistema Actividades “del sistema” · Diseño técnico · Construcción del Sistema · Integración y verificación Probado Técnicas Esbozar Especificaciones Especificac. Detalladas Inicio del Proyecto Informe de viabilidad Análisisde Necesidades Especific. del Usuario Diseño Técnico Beneficios Esperados Plan de Prueba de validez Plan de Prueba del Sistema Entrega del Sistema Sistema Aceptado Prueba de Validez Sistema Verificado Prueba Integración Especif. del sistema Construcción del Sistema Módulos · No cumplimiento de las necesidades y expectativas de los usuarios · No cumplimiento de los requerimientos del negocio · Sub-utilización · Fallas en el procesamiento Revisión del requerimiento Revisión de la especificación Revisión Proceso selección Revisión Proceso de customización Revisión de ( Revisión de la Entrega )pruebas e instalación · Similares a los de desarrollo en cuanto a no cumplir expectativas de los usuarios. · Problemas en la selección del producto. · Problemas con la instalación o el servicio. · Problemas con la parametrización del producto. · Falta de recursos humanos capacitados para administrar el producto · Problemas contractuales. · Inadecuada separación de funciones dentro del departamento de Sistemas. · Inadecuada ubicación del área de Seguridad Informática · Inadecuado esquema de seguridad lógica – perfiles de usuario. · Problemas con la puesta en funcionamiento de nuevas versiones · Falta de controles de edición y validación (tipos de campos, campos faltantes, limites y validación) · Inadecuada codificación. · Procesamiento de datos duplicados. · Controles por lote. · Inexistencia del aviso del rechazo · Identificación inadecuada de los datos rechazado · No se realiza el seguimiento y esclarecimiento de items rechazados o en suspenso. · Inexistencia de registros especiales para este tipo de movimientos. · Duplicación del procesamiento. · Falta de controles durante el procesamiento. · Falta de informes de problemas en procesamiento. · Problemas de reprocesamiento. · Problemas de reenganche de procesos. · Problemas en la administración de procesos Seguridad Auditoría De la Seguridad Auditoría 0 10 20 30 40 50 60 Virus Desconocidos Pérdida de integridad del sistema /dato Manipulación de software de aplicación Robo de datos, comercio de información confidencial, etc. Caballos de Troya Otros tipos de incidencias 0 5 10 15 20 25 30 35 40 45 Usuarios/Empleados autorizados Desconocidos Usuarios no autorizados Hackers Ex empleados Contratistas/Consultores Proveedores Clientes Competidores Grupos de Interés Público Gobiernos extranjeros Otros · Qué se necesita proteger · De quién protegerlo · Cómo protegerlo · No continuidad del Negocio · el acceso indebido a los datos (a veces a través de redes), · la cesión no autorizada de soportes magnéticos con información crítica (algunos dicen "sensible"), · los daños por fuego, por agua (del exterior como puede ser una inundación, o por una tubería interior), · la variación no autorizada de programas, su copia indebida, y tantos otros, persiguiendo el propio beneficio o causar un daño, a veces por venganza. · ( Disminuirlos Transferirlos Asumir los Riesgos )Eliminarlos · Controles de Detección · Controles Preventivos · Controles Disuasivos · Controles Recuperación · Administración de Recursos Humanos · Políticas de administración de Usuarios. · Asignación de la contraseña. Longitud, vigencia, repetición,etc · No cesión de clave – uso individual COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías relacionadas. · Herramientas de escritorio. Base de datos, Planillas de Cálculo, Procesador de Texto, Proyect, etc. · Herramientas que requieren conocimiento técnico específico: SQL, programación. · Herramientas de análisis de datos: IDEA ,ACL · Herramientas que ayudan en todo el proceso CAAT´s (Computer Assisted Audit Techniques)
Compartir