Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 17 vistas

    Untitled

    Cargado por

    Johana Gonzalez
    El documento define la auditoría informática como la revisión de la informática y su entorno, incluyendo actividades como análisis de riesgos, planes de contingencia, desarrollo de aplicaciones y asesoramiento en seguridad. El objetivo de la auditoría informática es evaluar si un sistema salvaguarda los activos, mantiene la integridad de los datos, cumple los objetivos de la organización y usa los recursos de manera eficiente. La auditoría informática también controla que todas las actividades informáticas se realicen siguiendo los procedimientos y norm

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado

    Untitled

    Cargado por

    Johana Gonzalez
    17 vistas27 páginas
    El documento define la auditoría informática como la revisión de la informática y su entorno, incluyendo actividades como análisis de riesgos, planes de contingencia, desarrollo de aplicaciones y asesoramiento en seguridad. El objetivo de la auditoría informática es evaluar si un sistema salvaguarda los activos, mantiene la integridad de los datos, cumple los objetivos de la organización y usa los recursos de manera eficiente. La auditoría informática también controla que todas las actividades informáticas se realicen siguiendo los procedimientos y norm

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento define la auditoría informática como la revisión de la informática y su entorno, incluyendo actividades como análisis de riesgos, planes de contingencia, desarrollo de aplicaciones y asesoramiento en seguridad. El objetivo de la auditoría informática es evaluar si un sistema salvaguarda los activos, mantiene la integridad de los datos, cumple los objetivos de la organización y usa los recursos de manera eficiente. La auditoría informática también controla que todas las actividades informáticas se realicen siguiendo los procedimientos y norm

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    Descargar como pdf o txt
    17 vistas27 páginas

    Untitled

    Cargado por

    Johana Gonzalez
    El documento define la auditoría informática como la revisión de la informática y su entorno, incluyendo actividades como análisis de riesgos, planes de contingencia, desarrollo de aplicaciones y asesoramiento en seguridad. El objetivo de la auditoría informática es evaluar si un sistema salvaguarda los activos, mantiene la integridad de los datos, cumple los objetivos de la organización y usa los recursos de manera eficiente. La auditoría informática también controla que todas las actividades informáticas se realicen siguiendo los procedimientos y norm

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    Descargar como pdf o txt
    de 27

    Definiciones

    “Es la revisión de la propia informática y de su entorno“

    Incluye actividades como:


    - Análisis de Riesgos
    - Planes de contingencia
    - Desarrollo de aplicaciones
    - Asesoramiento en paquetes de seguridad.
    - Revisión de controles y cumplimiento de los mismos, así como de las
    normas legales aplicables
    - Evaluación de la gestión de los recursos informáticos
    Definiciones

    El cometido de la auditoría informática se puede dividir en:


    - Un estudio del sistema y un análisis de los controles organizativos y
    operativos de] departamento de informática
    - Una investigación y análisis de los sistemas de aplicación que se estén
    desarrollando o que ya estén implantado
    - La realización de auditorías de datos reales y de resultados de los sistemas
    que se estén utilizando
    - La realización de auditorías de eficiencia y eficacia
    Definiciones

    "Un conjunto de procedimientos y técnicas para evaluar y controlar total o


    parcialmente un Sistema Informático, con el fin de proteger sus activos y
    recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo
    con la normativa informática y general existente en cada empresa y para
    conseguir la eficacia exigida en el marco de la organización correspondiente".
    Definiciones

    Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un


    sistema informatizado salvaguarda los activos, mantiene la integridad de los
    datos, lleva a cabo eficazmente los fines de la organización y utiliza
    eficientemente los recursos
    Definiciones

    Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas
    fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

    • Asesorar sobre el conocimiento de las normas.

    Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas
    al Grupo.

    Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los


    grados adecuados del servicio informática
    Definiciones

    Controlar diariamente que todas las actividades de sistemas de


    información sean realizadas cumpliendo lo procedimientos ,estándares
    y normas fijados por la Dirección de la Organización y/o la Dirección
    de Informática, así como los requerimientos legales.
    Definiciones
    Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC's, etc.)
    y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes
    actividades operativas sobre:
    • El cumplimiento de procedimiento, normas y controles dictados. Merece resaltarse la vigilancia sobre el control de cambios y
    versiones del software.
    • Controles sobre la producción diaria.
    • Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informática.
    • Controles en las redes de comunicaciones
    • Controles sobre el software de base
    • Controles en los sistemas microinformáticos
    • La seguridad informática (su responsabilidad puede estar asignada a control interno o bien puede asignársele la responsabilidad de
    control dual de la misma cuando está encargada a otro órgano):
    - Usuarios, responsables y perfiles de uso de archivos y bases de datos.
    - Normas de seguridad.
    - Control de información clasificada.
    - Control dual de la seguridad informática
    • Licencias y relaciones contractuales con terceros.
    • Asesorar y transmitir cultura sobre el riesgo informático.
    Definicione
    s Se pueden establecer tres grupos de funciones a realizar por un auditor informático:

    • Participar en las revisiones durante y después del diseño, realización, implantación y


    explotación de aplicaciones informativas, así como en las fases análogas de realización de
    cambios importantes.
    • Revisar y juzgar los controles implantados en los sistemas informativos para verificar su
    adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de
    confidencialidad y cobertura ante errores y fraudes
    • Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e
    información.
    Controles preventivos: para tratar de evitar el hecho, como un software de
    seguridad que impida los accesos no autorizados al sistema.

    Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto
    antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el
    registro de la actividad diaria para detectar errores u omisiones, etc.

    Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido


    incidencias. Por ejemplo, la recuperación de un archivo dañado a partir de las
    copias de seguridad.
    Implantación
    Se debe conocer bien la configuración del sistema

    Entorno de red: esquema de la red, descripción de la configuración hardware


    de comunicaciones, descripción del software que se utiliza como acceso a las
    telecomunicaciones, control de red, situación general de los computadores de
    entornos de base que soportan aplicaciones críticas y consideraciones relativas
    a la seguridad de la red.

    Configuración del computador base: configuración del soporte físico, entorno del
    sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de
    programas y conjunto de datos.
    Implantación

    Entorno de aplicaciones: procesos de transacciones, sistemas de


    gestión de bases de datos y entornos de procesos distribuidos

    Seguridad del computador Productos y herramientas: software para


    base: identificar y verificar desarrollo de programas, software de gestión
    usuarios, control de acceso, de bibliotecas y para operaciones
    registro e información, automáticas.
    integridad del sistema, Gestión de sistemas de información:
    controles de supervisión, etc. políticas, pautas y normas técnicas que
    sirvan de base para el diseño y la
    implantación de los sistemas de
    información y de los controles
    correspondientes.
    Implantación

    Administración de sistemas: controles sobre la' actividad de los centros. de


    datos y otras funciones de apoyo al sistema, incluyendo la administración de
    las redes.

    Seguridad: incluye las tres clases de controles fundamentales implantados en


    el software del sistema, integridad del sistema, confidencialidad (control de
    acceso) y disponibilidad.

    Gestión del cambio: separación de las pruebas y la producción a nivel de


    software y controles de procedimientos para la migración de programas
    software aprobados y probados
    CONTROLES INTERNOS
    CONTROLES INTERNOS Controles Generales Organizativos

    Algunos controles que Control Interno Informático y Auditoría Informática deberían verificar para
    determinar su cumplimiento y validez:

    • Políticas: deberán servir de base para la planificación, control y evaluación por la Dirección de las
    actividades del Departamento de Informática

    • Planificación:
    - Plan Estratégico de Información donde se definen los procesos corporativos y se considera el uso de
    las diversas tecnologías de información así como las amenazas y oportunidades de su uso o de su
    ausencia.
    - Plan Informático determina los caminos precisos para cubrir las necesidades de la Empresa
    plasmándolas en proyectos informáticos
    - Plan General de Seguridad (física y lógica), que garantice la confidencialidad, integridad y
    disponibilidad de la información
    - Plan de emergencia ante desastres, que garantice la disponibilidad de los sistemas ante eventos.
    • Estándares: que regulen la adquisición de recursos, el diseño, desarrollo y modificación y explotación
    de sistemas.
    CONTROLES INTERNOS
    Controles Generales Organizativos

    • Procedimientos: que describan la forma y las responsabilidades de ejecutoria para regular las
    relaciones entre el Departamento de Informática y los departamentos usuarios

    • Asegurar que existe una política de clasificación de la información para saber dentro de la
    Organización qué personas están autorizadas y a qué información.

    • Descripción de las funciones y responsabilidades dentro del Departamento con una clara separación
    de las mismas.

    • Asegurar que la Dirección revisa todos los informes de control y resuelve las excepciones que
    ocurran.
    CONTROLES INTERNOS Controles de desarrollo, adquisición y
    mantenimiento de sistemas de información

    Para que permitan alcanzar la eficacia del sistema, economía y eficiencia, integridad
    de los datos. protección de los recursos y cumplimiento con las leyes y regulaciones.
    • Metodología del ciclo de vida del desarrollo de sistemas: su empleo podrá garantizar a
    la alta Dirección que se alcanzarán los objetivos definidos para el sistema.
    Éstos son algunos controles que deben existir en la metodología:

    Las especificaciones del nuevo sistema deben ser definidas por los usuarios y
    quedar escritas y aprobadas antes de que comience el proceso de desarrollo.

    Plan de validación, verificación y pruebas.

    Deberán prepararse manuales de operación y mantenimiento como parte de todo


    proyecto de desarrollo o modificación de sistemas de información, así como
    manuales de usuario.
    CONTROL INTERNO INFORMÁTICO
    OBJETIVOS ESPECÍFICOS

    • Establecer como prioridad la seguridad y protección de la información, del sistema computacional


    y de los recursos informáticos de la empresa.

    • Promover la confiabilidad, oportunidad y veracidad de la captación de datos, su procesamiento en


    el sistema y la emisión de informes en la empresa.

    • Implementar los métodos, técnicas y procedimientos necesarios para coadyuvar al eficiente


    desarrollo de las funciones, actividades y tareas de los servicios computacionales, para satisfacer
    los requerimientos de sistemas en la empresa.

    • Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de
    sistematización de la empresa.

    • Establecer las acciones necesarias para el adecuado diseño e implementación de sistemas


    computarizados, a fin de que permitan proporcionar eficientemente los servicios de procesamiento
    de información en la empresa.
    CONTROL INTERNO INFORMÁTICO
    EN LAS ÁREAS DE SISTEMAS

    • Controles internos sobre:


    • La organización del área de informática.
    • El análisis, desarrollo e implementación de sistemas.
    • La operación del sistema.
    • Los procedimientos de entrada de datos, el procesamiento
    de información y la emisión de resultados.
    • La seguridad del área de sistemas.
    CONTROLES INTERNOS SOBRE LA ORGANIZACIÓN
    DEL ÁREA DE INFORMÁTICA

    • Dirección
    • División del trabajo
    • Asignación de responsabilidad y autoridad
    • Establecimiento de estándares y métodos
    • Perfiles de puestos
    CONTROLES INTERNOS SOBRE EL ANÁLISIS, DESARROLLO
    E IMPLEMENTACIÓN DE SISTEMAS

    • Estandarización de metodologías para el desarrollo de proyectos


    • Asegurar que el beneficio de los sistemas sea el óptimo
    • Elaborar estudios de factibilidad del sistema
    • Garantizar la eficiencia y eficacia en el análisis y diseño de
    sistemas
    • Vigilar la efectividad y eficiencia en la implementación y
    mantenimiento del sistema
    • Optimizar el uso del sistema por medio de su documentación
    CONTROLES INTERNOS
    SOBRE LA OPERACIÓN DEL SISTEMA

    • Prevenir y corregir los errores de operación


    • Prevenir y evitar la manipulación fraudulenta de la
    información
    • Implementar y mantener la seguridad en la operación
    • Mantener la confiabilidad, oportunidad, veracidad y
    suficiencia en el procesamiento de la información de la
    institución
    CONTROLES INTERNOS
    SOBRE LOS PROCEDIMIENTOS DE ENTRADA DE DATOS, EL PROCESAMIENTO DE
    INFORMACIÓN Y LA EMISIÓN DE RESULTADOS

    • Verificar la existencia y funcionamiento de los procedimientos de


    captura de datos
    • Comprobar que todos los datos sean debidamente procesados
    • Verificar la confiabilidad, veracidad y exactitud del procesamiento de
    datos
    • Comprobar la oportunidad, confiabilidad y veracidad en la emisión de
    los resultados del procesamiento de información
    CONTROLES INTERNOS
    SOBRE LA SEGURIDAD DEL ÁREA DE SISTEMAS

    • Controles para prevenir y evitar las amenazas, riesgos y


    contingencias que inciden en las áreas de sistematización

    • Controles sobre la seguridad:


     física del área de sistemas
     lógica de los sistemas
     de las bases de datos
     la operación de los sistemas computacionales
     del personal de informática
     de la telecomunicación de datos
     de redes y sistemas multiusuarios.

    También podría gustarte