Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ORIENTACIONES
CONTENIDOS TEMÁTICO
AUDITORIA DE
TECNOLOGÍAS DE INFORMACIÓN (TI)
“Proceso de revisión y evaluación de
todos los aspectos de los sistemas
automáticos de procesamiento de Información,
incluidos procedimientos no automáticos
relacionados con ellos y las interfaces
correspondientes”.
Fuente:
ISACA (Information Systems Audit & Control Association)
¡La universidad para todos!
AUDITORÍA TI
¡La universidad para todos!
AUDITORÍA TI
Auditoría Gerencia de
tradicional sistemas
Auditoría de
sistemas
Ciencia del
Ciencias de la comportamiento
Computación
Ingeniero
de sistemas
¡La universidad para todos!
AUDITORÍA TI
Objetivos de la Auditoría de TI
Organizaciones
Confiabilidad:
Integridad de Uso de recursos
los datos con eficiencia
Preservar la
Mejorar la confidencialidad Mejorar la
salvaguarda de los datos efectividad de
de los activos los Procesos
¡La universidad para todos!
AUDITORÍA TI
DESARROLLO Y MANTENIMIENTO
Los componentes claves de Proyectos TI,
recomendados para enfocar la auditoría
Alineación
Negocio-TI
Preparación
Post Gestión de de Soluciones
Implantación Proyectos TI
Organización y
Gestión de
Cambios
¡La universidad para todos!
DESARROLLO Y MANTENIMIENTO
DESARROLLO Y MANTENIMIENTO
Administración y Control
• Plan anual de atención
• Planificación de requerimientos
Actividades, Recursos, Esfuerzo, Cronogramas,
Hitos.
• Ejecución: Actualización y Registro.
• Cambios: Al plan, repriorizaciones
• Informe anual resultados
¡La universidad para todos!
DESARROLLO Y MANTENIMIENTO
El Auditor puede participar
•Como “miembro” del equipo de
desarrollo para identificar fallas o debilidades en
etapas tempranas.
•En revisiones de postimplementación
•En revisiones de los procesos o aplicaciones.
Mantenimiento
• Correctivos
• Incidencias
• Optimizaciones
¡La universidad para todos!
AUDITORIA DE APLICACIONES
Revisión de cobertura operativa /o negocio:
• Adecuado servicio a los requerimientos del
Negocio
• Entender el flujo de transacciones y la estructura
básica de control, incluyendo los aspectos de
procesos manuales, automatizados e interfaces
• Controles de acceso y facultades en la operativa,
para el cumplimiento de la segregación de
funciones y autorizaciones de control dual.
• Atención de incidencias
• Comprobar que la operativa se ajusta
a la normativa interna externa.
¡La universidad para todos!
AUDITORIA DE APLICACIONES
Revisión de Implementación:
• Nivel de documentación de sistemas y
programas.
• Pruebas, aprobaciones, y documentación de los
cambios a programas y procesos.
• Controlesde Acceso a librerías de
programas, documentación y archivos.
• Analizar Integridad, Calidad y Consistencia
de los datos en la Base de Datos.
• Revisar los Controles Informáticos de Entrada y
Salida de datos.
• Controlesde acceso a la base de
datos y transacciones.
¡La universidad para todos!
AUDITORIA DE APLICACIONES
Revisión de Diseño
• Especificaciones funcionales: Requerimientos
de transacciones, cálculos, flujos de control,
etc.
• Diseño Funcional
• Diseño de Interfaces con usuarios (E/S)
• Diseño de Procesos
• Diseño de Bases de Datos
¡La universidad para todos!
AUDITORIA DE APLICACIONES
Desarrollo de pruebas
• Diseño de datos de pruebas
• Caja Negra: Pruebas de especificaciones funcionales
• Caja Blanca: Cobertura completa, a nivel de
Instrucciones, Rutas de lógica
• Valores Límite: con datos para probar la ejecución de
límites mayores, menores e iguales a lo indicado en
el programa.
• Pruebas de esfuerzo operativo y técnico.
• Pruebas de conformidad: procedimientos, reglas de
negocio, etc.
• Pruebas sustantivas o de validación: detectar errores
o irregularidades en procesos, actividades o
transacciones
• Pruebas de Intrusión: Recomendaciones
¡La universidad para todos!
AUDITORÍA DE EXPLOTACIÓN
AUDITORÍA DE INFRAESTRUCTURA
DE SISTEMAS
• Comunicaciones y Redes.
• Sistemas Operativos.
• Administración de
Bases de Datos.
¡La universidad para todos!
AUDITORÍA DE COMUNICACIONES
AUDITORÍA DE COMUNICACIONES
AUDITORÍA DE SEGURIDAD
• Gestión de Riesgos
– Metodología usada
– Activos significativos identificados, con
evaluación de riesgos y controles que lo
mitigan
• Plan de Seguridad de Información
• Basado en las mejores prácticas:
• ISO 27001 SGSI
–
• Conocidos y aprobados por dueño del negocio
• –y de acuerdo en los riesgos y controles
• – Publicación, documentación, revisión y
mantenimiento.
¡La universidad para todos!
AUDITORÍA DE SEGURIDAD
• Seguridad Física
– Procedimiento de accesos a instalaciones
– Implementación de instalaciones tecnológicas
– Consideraciones ergonómicas: Diseño de
productos y puestos
• Ambiente de Control
– Verificar nivel de concientización del personal y
responsabilidad de los controles de seguridad
– Cumplimiento de las políticas y de la normativa
relacionada.
– Cumplimiento y valoración de los controles
¡La universidad para todos!
AUDITORÍA DE SEGURIDAD
• Control de Accesos
– Procesos de Negocio y Operativos
– Accesos a Infraestructura Tecnológica: Servidores,
Entornos, etc.
– Métodos y Herramientas: Acceso biométrico
• Evaluar procedimientos de registro y validación.
• Nivel de aceptación usuarios
• Existencia de plan de contingencia
• Infraestructura
– Prevención de fuga de información
– Protección de Datos
¡La universidad para todos!
AUDITORÍA DE SEGURIDAD
• Seguridad Perimetral
– Segmentación: separación en redes lógicas para
aislar a los usuarios e infraestructura de intrusos
– Arquitectura: proveer autenticación,
autorización, auditoría y detección de intrusos
– Pruebas de acceso a redes y/o servidores según
perfiles
– Tests de intrusión
¡La universidad para todos!
AUDITORÍA DE SEGURIDAD
• Continuidad de Negocios
– Existencia de un Plan de Continuidad de Negocios:
• Servicios críticos
• Organización y Procedimientos
– Pruebas de los Planes de Contingencia:
• Sistema de recuperacion
• Infraestructura alternativa
• Atención de servicios
• Retorno a la Normalidad
¡La universidad para todos!
ESTÁNDARES DE AUDITORÍA
ESTÁNDARES DE AUDITORÍA
PROGRAMAS DE CERTIFICACIÓN
CONCLUSIONES
¡Gracias!