U7 - 1 - Auditoría de Sistemas

Vista previa del material en texto

San Miguel de Tucumán –2014
Universidad Tecnológica Nacional – Fac. Regional Tucumán
Concepto de Auditoría
Principales Actividades de Auditoría de Sistemas
Marco Normativo Herramientas de Auditoría
Auditoría interna es una actividad independiente, de aseguramiento objetivo, y consultoría diseñada para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático, disciplinado para evaluar y mejorar la efectividad de la administración del riesgo, el control y los procesos de conducción.
· Cambio de las pistas de auditoría
· Adecuación de las normas de auditoría a entorno computadorizado.
· Pericia técnica del auditor
· Delito informático
· Privacidad
· Auditoría de la dirección (Plan Estratégico de Sistemas)
· Auditoría del Desarrollo (Gestión de proyecto)
· Auditoría de la Adquisición
· Auditoría de la Seguridad (Seguridad Física – Plan de Contingencias, evaluación de riesgos, seguridad lógica)
· Auditoría de la Explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios de programas)
· Aplicaciones Estratégicas y alto potencial: fuerte orientación al negocio. Adecuado establecimiento de los tiempos del proyecto.
· Aplicaciones claves: enfoque hacia la calidad de aplicaciones (disminución de riesgos y errores.
· Aplicaciones de apoyo: Control de recursos destinados a estos proyectos. Evaluación costo-beneficio.
· Falta de definición de políticas
· Falta de alineación con el plan del negocio
· Errores en la priorización de proyectos
· Inestabilidad de la empresa
· Tasa de cambio de la organización
· Falta de coordinación entre las partes afectadas por el proyecto
· Factor de complejidad tecnológico, económico o funcional no medido adecuadamente
Externas: Clientes y
Proveedores
De Transición:
· Nuevos Procedimientos
Actividades
Especificación “del negocio”
· 
Beneficios para la Empresa
· Instalación Física
Internas:
· Papeles y Responsabilidades
· Personas y Habilidades
· Entorno, Cultura y Estilo
Empresa en Marcha
del
Negocio
Inicio del Proyecto
Análisis de las
Necesidades
Revisiones
Pruebas de
Validez
Entrega del Sistema
Especificación
Trabajos Técnicos
Sistema Actividades
“del sistema”
· 
Diseño técnico
· Construcción del Sistema
· Integración y verificación
Probado
Técnicas
Esbozar Especificaciones
Especificac.
Detalladas
Inicio del
Proyecto
Informe de
viabilidad
Análisisde
Necesidades
Especific. del Usuario
Diseño Técnico
Beneficios Esperados
Plan de Prueba de validez
Plan de Prueba del Sistema
Entrega del
Sistema
Sistema
Aceptado
Prueba de Validez
Sistema Verificado
Prueba Integración
Especif. del sistema
Construcción del Sistema
Módulos
· No cumplimiento de las necesidades y expectativas de los usuarios
· No cumplimiento de los requerimientos
del negocio
· Sub-utilización
· Fallas en el procesamiento
Revisión del
requerimiento
Revisión de la
especificación
Revisión Proceso selección
Revisión Proceso de customización
Revisión de
 (
Revisión
 
de la
Entrega
)pruebas
e instalación
· Similares a los de desarrollo en cuanto a no cumplir expectativas de los usuarios.
· Problemas en la selección del producto.
· Problemas con la instalación o el servicio.
· Problemas con la parametrización del producto.
· Falta de recursos humanos capacitados para administrar el producto
· Problemas contractuales.
· Inadecuada separación de funciones dentro del departamento de Sistemas.
· Inadecuada ubicación del área de Seguridad Informática
· Inadecuado esquema de seguridad lógica – perfiles de usuario.
· Problemas con la puesta en funcionamiento de nuevas versiones
· Falta de controles de edición y validación (tipos de campos, campos faltantes, limites y validación)
· Inadecuada codificación.
· Procesamiento de datos duplicados.
· Controles por lote.
· Inexistencia del aviso del rechazo
· Identificación inadecuada de los datos rechazado
· No se realiza el seguimiento y esclarecimiento de items rechazados o en suspenso.
· Inexistencia de registros especiales para este tipo de movimientos.
· Duplicación del procesamiento.
· Falta de controles durante el procesamiento.
· Falta de informes de problemas en procesamiento.
· Problemas de reprocesamiento.
· Problemas de reenganche de procesos.
· Problemas en la administración de procesos
Seguridad
Auditoría De la Seguridad
Auditoría
0	10	20	30	40	50	60
Virus Desconocidos
Pérdida de integridad del sistema /dato
Manipulación de software de aplicación
Robo de datos, comercio de información confidencial, etc.
Caballos de Troya
Otros tipos de incidencias
0	5	10	15	20	25	30	35	40	45
Usuarios/Empleados autorizados
Desconocidos Usuarios no autorizados
Hackers Ex empleados Contratistas/Consultores
Proveedores
Clientes Competidores
Grupos de Interés Público Gobiernos extranjeros
Otros
· Qué se necesita proteger
· De quién protegerlo
· Cómo protegerlo
· No continuidad del Negocio
· el acceso indebido a los datos (a veces a través de redes),
· la cesión no autorizada de soportes magnéticos con información crítica (algunos dicen "sensible"),
· los daños por fuego, por agua (del exterior como puede ser una inundación, o por una tubería interior),
· la variación no autorizada de programas, su copia indebida, y tantos otros, persiguiendo el propio beneficio o causar un daño, a veces por venganza.
· (
Disminuirlos
Transferirlos
Asumir
 
los
 
Riesgos
)Eliminarlos
· Controles de Detección
· Controles Preventivos
· Controles Disuasivos
· Controles Recuperación
· Administración de Recursos Humanos
· Políticas de administración de Usuarios.
· Asignación de la contraseña. Longitud, vigencia, repetición,etc
· No cesión de clave – uso individual
 
COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías
relacionadas.
· Herramientas de escritorio. Base de datos, Planillas de Cálculo, Procesador de Texto, Proyect, etc.
· Herramientas que requieren conocimiento técnico específico: SQL, programación.
· Herramientas de análisis de datos: IDEA
,ACL
· Herramientas que ayudan en todo el proceso CAAT´s (Computer Assisted Audit Techniques)