1 / 29

Unidad 3: Proceso de Auditoría

Unidad 3: Proceso de Auditoría. Ing . Elizabeth Guerrero. Definiciones. Amenaza  una persona o cosa vista como posible fuente de peligro o catástrofe (inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.)

creola
Télécharger la présentation

Unidad 3: Proceso de Auditoría

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Unidad 3: Proceso de Auditoría Ing. Elizabeth Guerrero

  2. Definiciones Amenaza una persona o cosa vista como posible fuente de peligro o catástrofe (inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.) Vulnerabilidad la situación creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y así afectar al entorno informático (falta de control de acceso logico, de versiones, inexistencia de un control de soporte magnético, etc.).

  3. Definiciones Riesgo la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadísticos de cada evento de una base de datos de incidentes). Exposición o Impacto la evaluación del efecto del riesgo. (es frecuente evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas humanas, imágenes de la empresa, honor, etc.).

  4. Tópicosgenerales • Determinación del área a auditar. • Riesgos y • contingencias

  5. Determinación del área a auditar • Planificar el área a Auditar es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: • Evaluación de los sistemas y procedimientos. • Evaluación de los equipos de cómputo.

  6. Determinación del área a auditar • Para analizar y dimensionar la estructura por auditar se debe solicitar: • A NIVEL DEL ÁREA DE INFORMÁTICA.- Objetivos a corto y largo plazo. • RECURSOS MATERIALES Y TECNICOS.- Solicitar documentos sobre los equipos, número de ellos, localización y características. • Estudios de viabilidad. • Número de equipos, localización y las características (de los equipos instalados y por instalar y programados) • Fechas de instalación de los equipos y planes de instalación. • Contratos vigentes de compra, renta y servicio de mantenimiento. • Contratos de seguros. • Convenios que se tienen con otras instalaciones. • Configuración de los equipos y capacidades actuales y máximas. • Planes de expansión. • Ubicación general de los equipos. • Políticas de operación. • Políticas de uso de los equipos.

  7. Determinación del área a auditar • SISTEMAS • Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de • información. • Manual de formas. • Manual de procedimientos de los sistemas. • Descripción genérica. • Diagramas de entrada, archivos, salida. • Salidas. • Fecha de instalación de los sistemas. • Proyecto de instalación de nuevos sistemas.

  8. Análisis de Riesgos • El análisis de riesgo, también conocido como evaluación de riesgo, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.

  9. Análisis de Riesgos • El primer paso del análisis es identificar los activos a proteger o evaluar. • La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente. • Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.

  10. Tipos de riesgo • Riesgo inherente • Riesgo de Control • Riesgo de detección

  11. RIESGO INHERENTE Cuando un error no se puede evitar que suceda porque no existen controles compensatorios relacionados que se puedan establecer.

  12. RIESGO DE CONTROL Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno.

  13. RIESGO DE DETECCIÓN Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay.

  14. Esquemabásico de un proceso de análisis de riesgos

  15. Esquemabásico de un proceso de análisis de riesgos Se identificanvulnerabilidades y riesgos en base a cuestionarios y se evalúa el impactoparaluegoidentificarlascontramedidas y el coste. La siguienteetapaes la másimportante, mediante el juego de simulación (¿Quépasa SI…?) se analiza el efecto de lasdistintascontramedidas en la disminución de los riesgosanalizados, eligiendo de estamanera un plan de contramedidas (plan de seguridad) quecompondrá el informe final de evaluación

  16. Riesgosrelacionados con la informática • Riesgos de integridad • Interfaz de usuario • Procesamiento • Procesamiento de errores • Interfaz • Administración de cambios • Información • VerdocumentoRiesgosInformáticos y seguridad

  17. Riesgosrelacionados con la informática • Riesgos de relación • Riesgos de acceso • Procesos de negocio • Aplicación • Administración de la información • Entorno de procesamiento • Redes • NivelFísico

  18. Riesgosrelacionados con la informática • Riesgos de utilidad • Riesgos de infraestructura • Planeaciónorganizacional • Definición de lasaplicaciones • Administración de seguridad • Operaciones de red y computacionales • Administración de sistemas de bases de datos • Información / Negocio • Riesgos de seguridad general (eléctrico, incendio, nivelesinadecuados de energíaeléctrica, radiaciones, mecanicos)

  19. Plan de contigencia • Es unaestrategíaplanificadaconstituidapor: • Un conjunto de recursos de respaldo • Unaorganización de emergencia y • Unosprocedimientos de actuación • Encaminaminada a conseguirunarestauraciónprogresiva y ágil de los servicios de negocioafectadosporunaparalización total o parcial de la capacidadoperativa de la empresa

  20. Plan de Contingencia • Un Plan de contingencias contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una empresa. • Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informática o tecnologías. • Dada la importancia de las tecnologías en las organizaciones modernas, el plan de contingencias es el más relevante.

  21. Fases de un plan de contingencia

  22. Fase 1. Análisis y Diseño • Se estudia la problemática, lasnecesidades de recursos, lasalternativas de respaldo, y se analiza el coste/beneficio de lasmismas. • Familiasmetodológicas: • Análisis de Riesgo: se basan en el estudio de los posiblesriesgosdesde el punto de vista de probabilidad de que los mismossucedan. • Impacto de Negocio: se basan en el estudio del impacto (pérdidaeconómica o de imagen) queocaciona la falta de algunrecurso de los quesoporta la actividad del negocio. Permitenhacerestudioscoste/beneficioquejustificanlasinversiones con más rigor que los estudios de probabilidadque se obtienen con los análisis de riesgos

  23. Fase 2: Desarrollo del Plan • Se desarrolla la estrategiaseleccionada, implantándosehasta el final todaslasaccionesprevistas. • Se analiza la vuelta a la normalidad, dado quepasr de la situación normal a la alternativadebeconcluirse con la restitución de la situacióninicial antes de la contingencia.

  24. Fase 3. Pruebas y mantenimiento • Se definenlaspruebas, suscaracterísiticas y susciclos, y se realiza la primerapruebacomocomprobación de todo el trabajorealizado, asicomomentalizar al personal implicado • Se define la estrategia de mantenimiento, la organizacióndestinada a ello y la normativa y procedimientosnecesariosparallevarlo a cabo.

  25. Plan de ContingenciaEjemplo • Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? • Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. • Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. • En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. • Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.

  26. Plan Auditor Informático • Las partes de un plan auditor informático:

  27. Ciclos de Auditorías

  28. Nivel de exposición • El valor del nivel de exposiciónsignifica la suma de factorescomoimpacto, peso del área, situación de control en el área • En la tabla anterior se aprecia un numero del 1 al 10 definidosubjetivamente y quepermite en base a la evaluación final de la últimaauditoríarealizadadefinir la fecha de la repetición de la mismaauditoría.

  29. Plan Auditor Informático

More Related