Download   Report
  1. No category

Metodología de Control Interno, Seguridad y Auditoría Informática

Sergio fernandez salas
Paula Moreira fernandez
Katherine Camacho samudio
Metodología de Control
Interno, Seguridad y
Auditoría Informática
METODOLOGIAS
• Hacen
referencia al conjunto de procedimientos racionales
utilizados para alcanzar una gama de objetivos que rigen una
investigación científica, una exposición doctrinal o tareas que
requieran habilidades, conocimientos o cuidados específicos.
METODOLOGIAS DE EVALUACION DE
SISTEMAS
Auditoría Informática  Solo identifica el nivel de “exposición” por
falta de controles.
Análisis de Riesgos  Facilita la “evaluación” de los riesgos y
recomienda acciones en base al costo-beneficio de las mismas.
TIPOS DE METODOLOGIAS
• Cuantitativas  Basadas en un modelo matemático numérico que ayuda a
la realización del trabajo.
• Cualitativas  Basadas en un criterio y raciocinio humano capaz de definir
un proceso de trabajo, para seleccionar en base a experiencia acumulada.
Las metodologías más comunes de evaluación de sistemas
que podemos encontrar son de análisis de riesgos y de
diagnósticos de seguridad, las de plan de contingencias, y las de
auditoría de controles generales.
PASOS DE LA METODOLOGIA
►Identificación de la información.
►Inventario de entidades de información residentes y operativas.
►Identificación de Propietarios
►Definición de jerarquías de Información.
►Definición de la matriz de Clasificación.
►Confección de la matriz de Clasificación.
►Realización del plan de Acciones.
►Implantación y Mantenimiento.
CONTROL INTERNO INFORMATICO
“El control informático es el componente de la
actuación segura entre los usuarios, la informática
y control interno, todos ellos auditados por
auditoría informática”
CONTROL INTERNO INFORMATICO
•
La Función de Control
La tendencia generalizada es contemplar al lado de la figura del auditor informático, la de control
interno informático.
I.S.A.C.A. ( INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION )
La función de Control Informático Independiente debería ser en primer lugar independiente de él.
La seguridad de sistemas abarca un campo mucho mayor de lo que es la seguridad lógica,
podríamos decir que:
El área Informática monta los procesos informáticos seguros.
 El Control Interno monta los controles.
 La Auditoria Informática evalúa el grado de control.
CONTROL INTERNO INFORMATICO
•
Funciones de control dual con otros departamentos.
1. Función normativa y del cumplimiento del marco jurídico.
2. Tiene funciones propias ( Administración de la Seguridad lógica , etc.)
•
Responsable del desarrollo y actualización del plan de contingencias, manuales de procedimientos y plan
de seguridad.
1.
2.
3.
4.
5.
6.
Dictar normas de seguridad informática.
Definir los procedimientos de control.
Control de soportes físicos.
Control de información sensible o comprometida.
Control de calidad del servicio informático.
Definición de requerimientos de seguridad en proyectos nuevos.
►Control de cambios y versiones.
LOS METODOS Y PROCEDIMIENTOS DE
CONTROL
• Son los procedimientos operativos de las distintas áreas de la
empresa, obtenidos con una metodología apropiada, para la
consecución de uno o varios objetivos de control, y por lo tanto
deben estar documentados y aprobados por la Dirección.
DIFERENCIAS ENTRE AUDITORIA
INFORMATICA Y CONTROL INTERNO
1. LA AUDITORIA INFORMATICA
Tiene la función de vigilancia y evaluación mediante dictámenes y todas las
metodologías van encaminadas a esta función.
•
•
Tiene sus propios objetivos distintos a los auditores de cuentas.
Los auditores de cuentas la necesitan para utilizar la información de sus
sistemas para evaluaciones financieras y operativas.
 Evalúan eficiencia, costo y seguridad en su más amplia visión.
 Operan según el plan auditor.
•
•
•
Establecen planes con tiempos definidos y ciclos completos.
Sistemas de evaluación de repetición de auditoría por nivel de exposición del
área auditada y el resultado de la última auditoria de esta área.
Función de soporte informático de todos los auditores.
2. CONTROL INTERNO INFORMÁTICO
►Funciones de control dual con otros departamentos.
 Función normativa y del cumplimiento del marco jurídico.
 Tiene funciones propias ( Administración de la Seguridad lógica , etc.)
►Responsable del desarrollo y actualización del plan de contingencias, manuales de
procedimientos y plan de seguridad.
 Dictar normas de seguridad informática.
 Definir los procedimientos de control.
 Control de soportes físicos.
 Control de información sensible o comprometida.
 Control de calidad del servicio informático.
 Definición de requerimientos de seguridad en proyectos nuevos.
HERRAMIENTAS DE CONTROL
Las herramientas de control son elementos software que por sus características
funcionales permiten vertebrar un control de una manera más actual y más
automatizada.
Las herramientas de control mas comunes son :
o Seguridad lógica del sistema.
o Seguridad lógica complementaria al sistema
o Seguridad lógica para entornos distribuidos.
o Control de acceso físico.
o Control de Presencia.
o Control de copias
o Gestión de soportes magnéticos.
o Control de proyectos.
o Control de versiones.
o Control de cambios.
SEGURIDAD
Dentro de la tecnología de seguridad están los elementos, ya sean hardware o software,
que ayudaran a controlar un riesgo informático. (cifradores, autentificadores, equipos
“tolerantes al fallo” etc.)
►ADMINISTRACIÓN DE LA SEGURIDAD
Tenemos que considerar si los sistemas nos permiten realizar todas las actividades
normales con los criterios de seguridad física y lógica requerida por la organización.
Definir los perfiles y las comunicaciones con cada área de la empresa para llevar un
completo control sobre los miembros de la organización.
SEGURIDAD
►SEGURIDADES
Aquí se usa lo clásico en cada producto, que cada persona tenga su password con límites
de longitud para el acceso a dicho producto.
•
ADQUISICION, INSTALACIÓN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS
DE CONTROL
Con todos los pasos anteriores, lo único que queda por hacer es comprar el producto,
instalarlo e implantar su nuevo esquema de seguridad y desarrollar los procesos de
control.
ORGANIZACIÓN INTERNA DE LA
SEGURIDAD INFORMATICA
► Comité de Seguridad de la Información
 Seguridad corporativa.
 Control Interno.
 Dpto. de Informática.
 Dpto. de Usuarios.
 Dirección del Plan de Seguridad
► Control Informático
 Responsable de Ficheros
 Controles generales Informáticos
► Auditoría Informática
 Plan Auditor
 Dictámenes de Auditoria
GRACIAS!
SOCIEDAD DE AUDITORIA ESQUIVEL PEREZ Y ASOCIADOS S

SOCIEDAD DE AUDITORIA ESQUIVEL PEREZ Y ASOCIADOS S

Papeles de trabajo para la auditoria de sistemas computacionales

Papeles de trabajo para la auditoria de sistemas computacionales

PI04-SGC -SANIPES-07 / Ver. 01 Pág. 1 de 1 OBJETIVO

PI04-SGC -SANIPES-07 / Ver. 01 Pág. 1 de 1 OBJETIVO

¡ÚNETE A NUESTRO EQUIPO! CONTRATAREMOS

¡ÚNETE A NUESTRO EQUIPO! CONTRATAREMOS

PLAN DE COMPRAS XM 2015

PLAN DE COMPRAS XM 2015

Visio-Organigrama Banco 5.0.vsd

Visio-Organigrama Banco 5.0.vsd

EsDocs.com

© Copyright 2024