Presentacin de PowerPoint

Normas de Auditora Informtica disponiblesCOSO (Committee of Sponsoring Organizations of the Treadway Commission, EEUU 1992). ITIL (Information Technology Infrastructure Library, Inglaterra 1990). ISO/IEC 17799:2000 (International Organization for Standardization/International Electrotechnical Commission, Inglaterra 2000). COBIT (Control Objectives for Information and Related Technology IT, EEUU 1998).

Modelo de evaluacin del control interno en los sistemas, funciones, procesos o actividades en forma ntegra. Marco referencial que evala el proceso de gestin de los Servicios de tecnologa de informacin y de la infraestructura tecnologa.Gua de auditoria del sistema de gestin de seguridad de la informacin para su proteccin.

2Fuente Imagen: http://www.universidadicn.edu.mx/imagenes/maest_auditoria.jpg

ISO/IEC 17799:2000

Con la aprobacin de la norma ISO/IEZAC 27001 en octubre de2005y la reserva de la numeracin 27.000 para la Seguridad de la Informacin, el estndar IGFSO/DIEC 17799:2005 pas a ser renombrado como ISO/IEC 27002 en el ao2007.

proporciona recomendaciones de las mejores prcticas en la gestin de laseguridad de la informacina todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La seguridad de la informacin se define en el estndar como"la preservacin de la confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran)".

La versin de 2013 del estndar describe los siguientes catorce dominios principales:

Organizacin de la Seguridad de la Informacin.Seguridad de los Recursos Humanos.Gestin de los Activos.Control de Accesos.Criptografa.Seguridad Fsica y Ambiental.Seguridad de las Operaciones: procedimientos y responsabilidades; proteccin contra malware; resguardo; registro de actividad y monitorizacin; control del software operativo; gestin de las vulnerabilidades tcnicas; coordinacin de la auditora de sistemas de informacin.Seguridad de las Comunicaciones: gestin de la seguridad de la red; gestin de las transferencias de informacin.

Adquisicin de sistemas, desarrollo y mantenimiento: requisitos de seguridad de los sistemas de informacin; seguridad en los procesos de desarrollo y soporte; datos para pruebas.Relaciones con los Proveedores: seguridad de la informacin en las relaciones con los proveedores; gestin de la entrega de servicios por proveedores.Gestin de Incidencias que afectan a la Seguridad de la Informacin: gestin de las incidencias que afectan a la seguridad de la informacin; mejoras.Aspectos de Seguridad de la Informacin para la Gestin de la Continuidad del Negocio: continuidad de la seguridad de la informacin; redundancias.Conformidad: conformidad con requisitos legales y contractuales; revisiones de la seguridad de la informacin.

Dentro de cada seccin, se especifican los objetivos de los distintos controles para la seguridad de la informacin. Para cada uno de los controles se indica asimismo una gua para su implantacin. El nmero total de controles suman 114 entre todas las secciones aunque cada organizacin debe considerar previamente cuntos sern realmente los aplicables segn sus propias necesidades.

2. Introduccin a los controles informticos.

2.1 Las funciones de Control Interno y Auditora Informticos.2.2 Control Interno Informtico Auditora Informtica.2.3 Sistema de Control Interno Informtico. 2.4 Definicin y tipos de controles Internos. 2.5 Implantacin de un sistema de controles Internos informticos.

2. Introduccin a los controles informticos.

Control Interno vs AuditoriaControl Interno informtico vs Auditoria Informtica.

BPE (Bussiness Process Re-engineering).TQM (Total Quality Management).Outsourcing.Descentralizacin.

2. Introduccin a los controles informticos.

Tendencias Externas:

GlobalizacinDiversificacinRamas de Negocio no RentablesNuevos ProductosAlianzas Estratgicas

A mayor rapidez de cambios actuar de forma Proactiva!

2. Introduccin a los controles informticos.

2.1 Las funciones de Control Interno y Auditora Informticos.

La Misin del Control Interno Informtico asegurar que las medidas implementadas sean correctas y validas.

Controla diariamente que todas las actividades de los SI cumplan con los estndares, procedimientos y normas fijados. La Auditoria Informtica recoge, agrupa y evalua evidencias para determinar si un SI mantiene y resguarda la integridad de los datos y utiliza eficientemente los recursos. 2. Introduccin a los controles informticos.

2.3 Sistema de Control Interno Informtico. 2.4 Definicin y tipos de controles Internos.

El Control Interno es cualquier actividad o accin realizada manual o automtica para prevenir o corregir errores o irregularidades que afecte el funcionamiento del SI; debiendo ser simples, fiable, revisables, reversibles, adecuados y rentables.

Anlisis de Costo vs Beneficio.

Preventivos Detectivos Disuasivos Correctivos.

Referencia BibliogrficaIT GOVERNANCE INSTITUTE. 2006. COBIT 4.0. Fuente: www.isaca.orgInformation Systems Audit and Control Association Fundada en 1969, ISACA patrocina conferencias internacionales, publica la revista ISACA Journal y desarrolla estndares internacionales en control y auditoria de sistemas de informacin. Tambin administra la respetada certificacin a nivel mundial como Auditor de Sistemas de Informacin. 11Para que la TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vnculo con los requerimientos del negocio. Organizando las actividades de TI en un modelo de procesos generalmente aceptado. Identificando los principales recursos de TI utilizados. Definiendo los objetivos de control gerencial a ser considerados.Marco de Trabajo de Control COBIT 12NEGOCIOTICS Vs. PROCESOSRequerimientosInformacinIndicadores de DesempeoIndicadores MetaModelo de MadurezMedidos porMetas de ActividadesPrcticas de ControlDirectrices de AuditoraEjecutados a travs deAuditados a travs deObjetivos de ControlControlados porTraduccinImplementacinLos Objetivos de Control COBIT brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Representan el consenso de expertos. Enfocadas fuertemente en el control y menos en la ejecucin. Ayudan a optimizar las inversiones facilitadas por la TI, asegurarn la entrega del servicio y brindarn una medida contra la cual juzgar cuando las cosas no vayan bien (IT Governance Instituye, 2006).Herramientas para ayudar a asignar responsabilidades, medir el desempeo, llevar a cabo benchmarks () Las directrices ayudan a brindar respuestas a preguntas de la administracin: Qu tan lejos podemos llegar para controlar la TI?, y el costo justifica el beneficio? Cules son los indicadores de un buen desempeo? Cules son las prcticas administrativas clave a aplicar? Qu hacen otros? Cmo medimos y comparamos? (IT Governance Institute, 2006).13Las mejores prcticas de TI se han vuelto significativas debido a un nmero de factores:

Directores de negocio y consejos directivos que demandan un mayor retorno de la inversin en TI.Preocupacin por el creciente nivel de gasto en TI. La necesidad de satisfacer requerimientos regulatorios para controles de TI en reas como privacidad y reportes financieros y en sectores especficos como el financiero, farmacutico y de atencin a la salud.

14Las mejores prcticas de TI se han vuelto significativas debido a un nmero de factores: La seleccin de proveedores de servicio y el manejo de Outsourcing y de Adquisicin de servicios Riesgos crecientemente complejos de la TI como la seguridad de redes Iniciativas de gobierno de TI que incluyen la adopcin de marcos de referencia de control y de mejores prcticas para ayudar a monitorear y mejorar las actividades crticas de TI, aumentar el valor del negocio y reducir los riesgos de ste.

15Las mejores prcticas de TI se han vuelto significativas debido a un nmero de factores: La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques desarrollados especialmente. La madurez creciente y la consecuente aceptacin de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, entre otros.La necesidad de las empresas de valorar su desempeo en comparacin con estndares generalmente aceptados y con respecto a su competencia (Benchmarking)

16Modelo de MadurezEscala de medicin creciente a partir de 0 (No existente) hasta 5 (Optimizado) para la evaluacin de los procesos a partir de los objetivos de control (IT Governance Institute, 2006).Estado Actual de la empresaPromedio de la IndustriaObjetivo de la empresa0 No se aplican procesos administrativos en lo absoluto1 Los procesos son ad-hoc y desorganizados2 Los procesos siguen un patrn regular3 Los procesos se documentan y se comunican4 Los procesos se monitorean y se miden5 Las buenas prcticas se siguen y se automatizan17Bibliografa ReferencialAUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004). Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com (Consulta: Noviembre 2006).ECHENIQUE GARCA, JOS (2001). Auditora en Informtica. 2da Edicin. McGraw Hill. Mxico.INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998). COBIT, marco referencial, objetivos de control para la informacin y tecnologa afines. 2da Edicin. MUOZ RAZO, CARLOS. 2002. Auditora en Sistemas Computacionales. Pearson-Prentice Hall. Mxico.RODRGUEZ R., FERNANDO (2006). Auditora Informtica en la Administracin: un reto para los profesionales TIC. Tecnimap. Comunicacin No. 043. Espaa.PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditora en Informtica. Un enfoque prctico. Editorial RAMA. Espaa.RUIZ GONZLEZ, FRANCISCO (1999). Planificacin y Gestin de Sistemas de Informacin. 2da. Edicin. COBIT-Universidad de Castilla. Espaa. SYMANTEC ENTERPRISE SECURITY (2010). Symantec Internet Security Threat Report. Trends for 2009. Vol XV. USA. Fuente: www.symantec.comVEGA, JAIME (2003). Auditora de sistemas. Seccin 9. Captulo 53. Enciclopedia de Auditora. Editorial Ocano Centrum. Espaa.

18Fuente Imagen: http://www.inta.gov.ar/ies/images/biblioteca4.JPG