Please enable JavaScript.

Coggle requires JavaScript to display documents.

TEMA 11 : AUDITORÍA INFORMÁTICA. CONCEPTO Y CONTENIDOS.ADMINISTRACIÓN,…

- - - - También se puede definir como el examen de la información por terceras partes, con la intención de establecer su suficiencia y adecuación, e informar de los resultados con objeto de mejorar
      - Tipos
        
        Según el sujeto que la realiza
        
        Interna :realizada por el personal de la propia entidad
        
        Externa :realizada por profesionales externos a la entidad
        
        Según su amplitud
        
        Total :afecta a toda la organización
        
        Parcial :se refiere solo a determinados departamentos o actividades de la organización
        
        Según su frecuencia
        
        Periódica :anual, bienal
        
        Ocasional :con el fin de diagnosticar un asunto concreto
        
        Según su contenido y fines
        
        Auditorías de cumplimiento :orientadas a verificar el cumplimiento de la normativa aplicable o emitir un juicio sobre estado financiero de la entidad (financieras o contables)*
        
        Auditorías operativas o de gestión :evalúan la eficacia en la consecución de objetivos y eficiencia de los recursos empleados para alcanzarlos
        
        Auditorías forenses :especializadas en descubrir fraudes o delitos
        
        Auditorías de los sistemas de información :examen y verificación del correcto funcionamiento y control del sistema informático de la organización
      - Fases genéricas
        
        Toma de contacto :recopilación de la información, planificación de los objetivos, alcance, personal y plan de trabajo de la auditoría
        
        Desarrollo :obtención de evidencias, observación de procedimientos, realización de pruebas específicas de cumplimiento y sustantivas
        
        Informe :donde se reflejará el diagnóstico que destaque los puntos fuertes, débiles, las posibles mejoras y se presentan las conclusiones
    - - Salvaguarda el activo empresarial
      - Mantiene la integridad de los datos
      - Lleva a cabo eficazmente los fines de la organización
      - Utiliza eficientemente los recursos
      - Cumple con las leyes y regulaciones establecidas
      - Beneficios
        
        Mejora la imagen pública
        
        Confianza de los usuarios sobre la seguridad y el control de los servicios TIC
        
        Optimiza las relaciones internas y el clima de trabajo
        
        Disminuye los costos de la mala calidad
        
        Genera un balance de los riesgos en TIC
        
        Realiza un control de la inversión en un entorno TIC
      - NO es auditoría informática
        
        La planificación informática
        
        La reorganización de los recursos humanos y la política de personal
        
        El estudios de la oportunidad de las aplicaciones
    - - Por el momento en el que actúan
        
        Preventivos
        
        Reactivos
        
        Concurrente
      - Por su frecuencia
        
        Continuos
        
        Periódicos
        
        Esporádicos
      - Por su naturaleza
        
        Generales
        
        De aplicación
      - Por su ámbito
        
        De desarrollo
        
        De proceso
        
        De continuación
      - Por sus efectos
        
        Detectivos
        
        Correctivos
- - - - Real Decreto 1720/2007 Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal
        
        Establece requisito de las auditorías para los sistemas con datos de protección a nivel medio o alto.
      - Guía de Auditoría del Esquema Nacional de Seguridad (Real Decreto 3/2010 que regula el ENS)
        
        Dos tipos de auditoría
        
        A sistemas de categoría BASICA : no necesitan una auditoría, sino una autoevaluación realizada por el personal propio o en quien éste delegue
        
        A sistema de categoría MEDIA o ALTA : requerida de forma ordinaria cada dos años y de forma extraordinaria cuando se produzcan modificaciones sustanciales en el SI.
    - - Serie de normas ISO/IEC 27000 : estándares de seguridad
      - ISO/IEC 15408:2009 : Criterios de evaluación de la seguridad de las TIC
      - ISO/IEC 18045:2008 : Metodología para la evaluación de la seguridad
    - - CoBIT (Control Objetives for Information and Related Technology): metodología que supone el marco de definición de estándares y conducta profesional para la gestión y control de los SI
        
        Creada por ISACA, la mayor asociación en Auditoría de Sistemas, en 1996
        
        Objetivos
        
        Efectividad y eficiencia de las operaciones
        
        Confidencialidad e integridad de la información
        
        Cumplimiento de las leyes y regulaciones
        
        CoBIT 5 se basa en lo siguientes elementos
        
        5 Principios
        
        Satisfacer necesidades de los interesados
        
        Cubrir la organización de principio a fin
        
        Aplicar un marco único de trabajo integrado
        
        Permitir una aproximación holística al conjunto
        
        Separar la gestión del gobierno
        
        Los facilitadores (enablers)
        
        Los procesos
        
        Procesos de gestión
        
        Procesos orientados al gobierno de las TIC
  - - - Establecer, mantener y mejorar controles efectivos
      - Contribuir al establecimiento, mantenimiento y mejora del sistema de gestión de riesgos
      - Velar por el mantenimiento de la seguridad en la organización
      - Regulación de normas de conducta
      - Ejercer como órgano de asesoría y consultoría al servicio de la dirección de la organización
    - - Independencia: no pertenencia a ningún órgano que tenga asignadas funciones operativas ni ejecutivas , ni participar en la preparación y desarrollo de procedimientos de los SI
      - Autoridad :deben tener acceso no restringido a la información, respetando el acuerdo de confidencialidad
  - - - Auditor de primera parte :es el auditor interno
      - Auditor de segunda parte :audita una organización en nombre de un cliente de la misma
      - Auditor de tercera parte :es el auditor externo, que audita una organización como una tercera parte independiente
    - - Certificación CISA (Certified Information System Auditor)) emitida por ISACA
    - - Definida por ISACA de obligado cumplimiento por sus miembros
        
        Respaldar y promover el cumplimiento con estándares y procedimientos adecuados del gobierno y gestión de los SI
        
        Objetividad, debida diligencia y rigor profesional
        
        Servir en beneficio de las partes interesadas de un modo legal y honesto
        
        Mantener la privacidad y confidencialidad de la información obtenida
        
        Mantener la aptitud en sus respectivos campos
        
        Informar los resultados del trabajo realizado a las partes interesadas
        
        Respaldar la educación y formación profesional de las partes interesadas
      - La EDPAF (Electronic Data Processing Auditors Foundation) también propone sus normas de conducta similares
- - - - Guión de la auditoria
        
        Los objetivos de la auditoría : lo que se pretende conseguir con la misma
        
        El alcance :define los límites del trabajo, su ámbito de actuación, con sus excepciones concretadas
        
        Los procedimientos :métodos y técnicas aplicados para captar, analizar e interpretar la infromación
      - Plan de trabajo detallado
        
        Los recursos :tanto materiales como humanos que han de emplearse en la auditoría
        
        El cronograma :de las actividades a realizar junto con el personal, y los conocimientos necesarios del equipo de auditoría asignado a cada tarea
      - Documentación
        
        Organigrama de las áreas afectadas, funciones y responsabilidades
        
        Descripción del SI a auditar
        
        Niveles de seguridad definidos para datos de carácter personal
        
        Política de Seguridad
        
        Política de Firma Elctrónica y Certificados
        
        Informas de análisis de riesgos y decisiones adoptadas
        
        Medidas de seguridad implantadas
        
        Registros de actividad sobre las medidas de seguridad
        
        Informes de otras auditorías
        
        Informes de seguimiento de deficiencias detectadas previamente
    - - Objetivos : obtener evidencias e identificar hallazgos que justifiquen las conclusiones
      - Evidencias: cualquier información empleada por el auditor para determinar si el proceso que se está auditando cumple los criterios y objetivos de la auditoría
        
        Competente :que sea válida y obtenida de forma consistente
        
        Relevante :si tiene relación lógica con el objeto de la actuación
        
        Suficiente :en la cantidad necesaria para que puedan soportar las conclusiones del auditor
      - Hallazgos :criterios, condiciones y efectos bajo los que se producen los hechos que dan lugar a evidencias
      - Técnicas empleadas
        
        Documentación existente en la organización
        
        Entrevistas
        
        Encuestas
        
        Información histórica propia del auditor
        
        Observación "in situ"
        
        Pruebas de cumplimiento
        
        Pruebas sustantivas
        
        Herramientas informáticas
        
        Simulaciones
        
        Ficheros de log
        
        Uso de estándares
    - - Esquema del informe
        
        Fecha de emisión
        
        Alcance, limitaciones y objetivo
        
        Identificación del sistema auditado
        
        Proceso metodológico aplicado
        
        Documentación revisada
        
        Tipología de las pruebas realizadas
        
        Fechas de comienzo y final del trabajo de campo
        
        Indicación de posibles limitaciones que impidan dar una opinión sobre determinados elementos
        
        Resumen de los aspectos más relevantes encontrados
        
        Conclusiones y recomendaciones
        
        Anexos con detalle de las pruebas y sus resultados
      - Primera versión será el borrador :se remite a dirección para hacer alegaciones y comentarios
      - Informe final :contendrá el dictamen final del auditor que determina el grado de ajuste de los controles a lo esperado
        
        Favorable : el resultado es conforme
        
        Desfavorable :en caso contrario
        
        Cumple parcialmente :cumple con salvedades
  - - - Disminución del riesgo propio del proceso de auditoría
      - Mayor independencia en el proceso recolector de datos
      - Mayor cobertura y consistencia de las muestras
      - Mayor disponibilidad
      - Ahorro de costes con el tiempo
    - - Conocimientos y experiencia del auditor en sistemas informáticos
      - Disponibilidad de los CAAT y de los SI
      - Eficiencia y efectividad de utilizar los CAAT en lugar de técnicas manuales
      - Restricciones de tiempo