Definicin

El control interno informtico controla

diariamente que todas las actividades de los
SI sean realizadas cumpliendo los
procedimientos, estndares y normas fijados
por la gerencia y/o direccin informtica as
como tambin los requerimientos legales.
Evaluacin y
comprobacin
de resultados
de procesos
Globalizacin,
TICs,
Ciberempresa
Evaluacin de
riesgos y
comprobacin
de controles
ROL DEL AUDITOR
Definicin
La auditoria de sistemas informtica Es
el proceso de recoger, agrupar y evaluar
evidencias para determinar si un SI
salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo los fines
de la organizacin y utiliza eficientemente
los recursos
Proteccin de
Archivos e
integridad de
datos
Objetivos de gestin
que no solo abarcan la
proteccin de activos
sino tambin los de
eficacia y eficiencia OBJETIVOS
Otra definicin..
La auditora informtica es la revisin y la evaluacin
de los controles, sistemas, procedimientos de informtica
de los equipos de cmputo, junto con su utilizacin,
eficiencia y seguridad, de la organizacin, a fin de que
por medio del sealamiento de cursos alternativos se
logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de
decisiones.
PLANEACIN DE LA
AUDITORA INFORMTICA
La planeacin es fundamental, pues habr que hacerla desde el punto de
vista de los dos objetivos:
1. Evaluacin de los sistemas y procedimientos.
2. Evaluacin de los equipos de cmputo.
En el momento de hacer la planeacin de la auditora o bien su realizacin,
se debe evaluar que pueden presentarse las siguientes situaciones. Se
solicita la informacin y se ve que:

Se tiene la informacin pero:

No se usa No es la adecuada
Es incompleta No esta actualizada
Se usa, est actualizada, es la adecuada y est completa
No tiene y se necesita. No se tiene y no se necesita.
Perspectiva Multidisciplinar
Sistemas De
Informacin
Dimensin
Humana
Dimensin
Tecnologica
Dimensin
Organizativa
El SI se encarga de entregar la informacin oportuna y precisa, con la presentacin
y el formato adecuados, a la persona que la nesecita dentro de la empresa para
tomar una decisin realizar alguna operacin.
Interrelacin entre los componentes de un SI
ORGANIZACION
EMPRESA
Estrategias
Reglas
Procedimientos
INTERDEPENDENCIA
SOFTWARE
HARDWARE
Bases de
Datos
Telecomunic
aciones
Sistemas de
Informacin
Control interno y
Auditoria... Similitudes!
Asesora y transmisin de cultura sobre
el riesgo informtico
Conocimientos especializados en las
TICs
Verificacin del cumplimiento de
controles internos, normativa y
procedimientos establecidos por la
direccin general y/o direccin de
informtica
Control Interno y
Auditora
Diferencias...
CONTROL INTERNO:
Anlisis de los controles en el
da a da.
Informa a la direccin del
departamento de informtica.
Solo personal interno.
El alcance de las funciones es
unicamente sobre el dpto. de
informtica.
AUDITOR:
Anlisis de un momento
informtico determinado.
Informa a la direccin general de
la organizacin.
Personal interno y/o externo.
Tiene cobertura sobre todos los
componentes de los sistemas de
informacin de la organizacin.

Control interno
Control:Cualquier
actividad o accin realizada
manual y/o
automticamente, para
prevenir, corregir errores
irregularidades que puedan
afectar el funcionamiento
de un sistema.
Los controles deben ser: Simples,
fiables, completos, revisables,
adecuados y rentables (analizar el
costo-riesgo de su implantacin)
Controles
y su
evolucin
Controles Preventivos: Para tratar de evitar el
hecho. Ejm. Software de Seguridad para evitar los
accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los
preventivos para tratar de conocer cuanto antes el
evento. Por ejm. Registro de intentos de acceso no
autorizados.
Controles Correctivos: Facilitan la vuelta a la
normalidad cuando se han producido incidencias.
Por ejm.: La recuperacin de un archivo daado a
partir de su backup.

Mtodos de Control
Objetivos de control
Objetivos de Auditora
?
A medida que los SI se volvieron ms
complejos, los controles informticos
evolucionaron hasta convertirse en
procesos integrados en los que las
diferencias de stas categorias se
atenan.
Cada mtodo
ha tenido
asociado un
objetivo: Cual
sera entonces
el objetivo de
control del
mtodo
mantener la
sala de
cmputo
cerrada con
llave?
Relacin entre mtodo de
control y objetivo de control
Objetivo de control de
mantenimiento (el
mtodo se utiliza para
satisfacer el objetivo de
control):
El rea IT asegura que
las modificaciones de los
procedimientos
programados estn
adecuadamente diseadas,
probadas, aprobadas e
implantadas
Objetivo de control de
seguridad de
programas:(el mtodo se
utiliza para satisfacer el
objetivo de control): El
rea IT garantiza que no
se pueden efectuar
cambios no autorizados en
los procedimientos
programados
Anlisis de la
Arquitectura
Tecnolgica
Para llegar a conocer bien la configuracin del sistema, con el
objeto de identificar los elementos, productos y herramientas que
existen es necesario documentar los detalles de la red, as como los
distintos niveles de control (Si existen):
Entorno de Red(software de red, control de red, esquema etc.)
Configuracin del computador base(entorno del S.O, particiones,
bibliotecas de programa, conjunto de datos etc)
Entorno de aplicaciones:(procesos de transacciones, sistema de
gestin de B.D.)
Productos , Herramientas y Seguridad del computador Base
OBJETIVO: Saber donde
se puede implantar
controles e identificar
posibles riesgos
Implantacin de Una Poltica y Cultura
sobre la Seguridad
Poltica de Seguridad
Plan de Seguridad
Medidas Tecnolgicas implantadas

FORMACION Y MENTALIZACION
Normas y Procedimientos
Direccin de
Negocio
Gerencia de
Sistemas
Gerencia de
Sistemas
Control
interno
Gerencia
de Sistemas
Auditor de
Sistemas
Auditor de
Sistemas
Auditor de
Sistemas
Tenga en cuenta que.
Algunos controles en
SGBD: Activity Log
(Bitcora de actividad),
Data-changes log
(Bitcora de cambios de
datos), User activity log:
Bitcora de actividad de
usuarios, Trazas de
Auditora que son un
seguimiento de la
ejecucin de una
determinada situacin
estado de un objeto.
(Pista).



Algunos controles en
redes: inventario de todos
los activos de la red,
Control de acceso a la red,
Establecimiento de
perfiles de usuario,
Monitorizacin para medir
la eficiencia de la red,
Revisar los contratos de
mantenimiento, existencia
de procedimientos de
recuperacin y reinicio.
Tenga en cuenta que.
Algunos controles en Pc y Redes
LAN: Proteccin contra incendios,
inundaciones electricidad esttica,
Contratos de mantenimiento
(preventivo/ correctivo),
Procedimientos de seguridad fsica y
lgica, Identificacin de usuarios en
cuanto a altas, bajas, modificaciones,
cambios de password y explotacin
del log del sistema, verificar la
existencia de herramientas para la
gestin de la red.