CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN INFORME COSO Control Objectives for related
Information Technology – COBIT GMITS (ISO/IEC 13335-x), Common
Criteria (ISO 15408) ASOCIACIONES PROFESIONALES, USUARIOS,
FABRICANTES ISO 17799
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN MODELO DE RIESGO (*) RIESGOS VULNERABILIDAD
IMPACTO (*) Basado en el modelo "Infosec"(ref. 92/242/ECC) (**)
Incluye los conceptos de control y auditoría de sistemas
de información PROTECCION (**)
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN RIESGO La probabilidad de que se dé un
error, falle un proceso, o tenga lugar un hecho negativo para la
empresa u organización, incluyendo la posibilidad de
fraudes
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN el MECANISMO o PROCEDIMIENTO que EVITA o
PREVIENE un RIESGO CONTROL
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN “el sistema de control interno en TI
está constituido por las políticas, procedimientos,
prácticas y estructuras organizativas diseñadas
para proveer una seguridad razonable que los objetivos
empresariales o de negocio serán alcanzados o logrados y
que los sucesos indeseados serán detectados, prevenidos y
corregidos” COBIT (Governance, control and Audit for
Information and Related Technology)
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN Riesgos y controles en procesos operativos
MANUALES Riesgos y controles en procesos operativos
AUTOMATIZADOS
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN CONTROLES COMPLEMENTARIOS e
INTERDEPENDIENTES
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN CONTROL INTERNO Revisión
periódica de procedimientos de controles establecidos
Detección de riesgos Seguimiento de errores o
irregularidades
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN dificultad para implantar una adecuada
segregación de funciones obtención de evidencias o
pistas de auditoría relevantes, fiables y eficientes
complejidad tecnológica
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN SEGREGACIÓN de FUNCIONES Establecer una
división de roles y responsabilidades que excluyan la
posibilidad que una SOLA PERSONA PUEDA DOMINAR un PROCESO
CRÍTICO
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
¿Cuál de las siguientes tareas pueden ser
realizadas por la misma persona en un centro de cómputo de
procesamiento de información bien controlado?
Administración de seguridad y admón. de cambios
Operaciones de cómputo y desarrollo de sistemas Desarrollo
de sistemas y admón. de cambios Desarrollo de sistemas y
mantenimiento de sistemas
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
¿Cuál de las siguientes controles es el más
crítico sobre la administración de bases de datos?
Aprobación de las actividades del DBA Segregación
de funciones Revisión de los registros de acceso y
actividades Revisión del uso de las herramientas de bases
de datos
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN
¿Cuál de las siguientes funciones es más
probable que sea realizada por el administrador de seguridad?
Aprobar la política de seguridad Probar el software de
aplicación Asegurar la integridad de los datos Mantener
las reglas de acceso
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN VOLATILIDAD Y FACILIDAD de MANIPULACIÓN
de las EVIDENCIAS, los REGISTROS y los PROCESOS
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN Las características estructurales de
los controles están evolucionando a la misma velocidad y
en la misma forma de cambio acelerado, que están
experimentando las tecnologías Ejercicio continuado de
investigación aplicada a los controles en TI
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN No admiten desviaciones Provienen de la
Dirección POLITICAS Generalmente abarcan objetivos, las
metas, filosofías, códigos éticos, y los
esquemas de responsabilidades
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN PROCEDIMIENTOS Brindan los pasos
específicos necesarios para lograr las metas Son las
medidas o dispositivos necesarias para lograr las directrices de
las políticas Evolucionan con la tecnología, la
estructura organizativa, y se componen de medidas organizativas y
técnicas
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN En la definición de los controles
EVIDENCIAS OBJETIVO DEFINIDO de cada MECANISMO DE CONTROL
Interdependencia y conexión con otros controles
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN SEGREGACIÓN de FUNCIONES
IDENTIFICACIÓN de RESPONSABILIDAD INDEPENDENCIA de la
SUPERVISIÓN En los aspectos organizativos
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN La Dirección deberá decidir
sobre el nivel de riesgo que está dispuesta a aceptar,
ello implica equilibrar el riesgo y el costo Los usuarios de los
servicios de T.I. tienen una necesidad creciente de disponer de
una SEGURIDAD RAZONABLE
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN CONTROLES versus COSTE/BENEFICIO de los
CONTROLES Todo control y medida preventiva implica un coste
monetario para su IMPLANTACIÓN y MANTENIMIENTO NO siempre
es fácil IDENTIFICAR y CUANTIFICAR que riesgos pueden
provocar daño o fraude, y que pérdidas concretas
Desembolso que puede evitar pérdidas mayores en el futuro,
y por lo tanto puede dar lugar a la RECUPERACIÓN de la
INVERSIÓN
CONTROL INTERNO AUDITORÍA DE SISTEMAS DE
INFORMACIÓN ESQUEMA BÁSICO MATERIALIDAD de los
RIESGOS CONTROLES NECESARIOS COMPARACION de CONTROL versus COSTE
DEFINICIÓN de los CONTROLES
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN Un
auditor de SI está auditando los controles relativos al
despido/retiro de empleados. ¿Cuál de los
siguientes aspectos es el más importante que debe ser
revisado? El personal relacionado de la compañía es
notificado sobre el despido/retiro El usuario y las
contraseñas del empleado han sido eliminadas Los detalles
del empleado han sido eliminados de los archivos activos de la
nómina Los bienes de la compañía provistos
al empleado han sido devueltos
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN Cuando
se revisa un acuerdo de nivel de servicio para un centro de
cómputo contratado con terceros (outsourcing), un auditor
de SI debería PRIMERO determinar que El coste propuesto
para los servicios es razonable Los mecanismos de seguridad
está especificados en el contrato Los servicios
contratados están basados en un análisis de las
necesidades del negocio El acceso de la auditoría al
centro de cómputo esté permitido conforme al
contrato
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN Un
auditor de SI que hace una auditoría de procedimiento de
monitoreo de hardware debe revisar: reportes de disponibilidad
del sistema reportes coste-beneficio reportes de tiempo de
respuesta reportes de utilización de bases de datos
DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN Un
auditor de SI cuando revisa una red utilizada para las
comunicaciones de Internet, examinará primero la validez
de los casos en que se hayan efectuado cambios de
contraseña la arquitectura de la aplicación
cliente/servidor la arquitectura y el diseño de la red la
protección de firewall y los servidores proxy