Post on 15-Feb-2017
“Evaluación de la seguridad de la información en el Área de
Informática en la Municipalidad de Desamparados”
Por: Víctor Fallas Silva
Setiembre, 2015
Tema de Investigación
CONTENIDO
1- Introducción2- Marco Teórico3- Marco Metodológico4- Análisis y Resultados5- Conclusiones y Resultados6- La Propuesta
ESTRUCTURA
1. Antecedentes2. Justificación3. Formulación del Problema4. Objetivos
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
5. Variables6. Alcance7. Limitaciones
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
1. ANTECEDENTES 2. JUSTIFICACIÓN 3. FORMULACIÓN DEL PROBLEMA
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
4. OBJETIVO GENERAL:
Evaluar la seguridad de la información en la Municipalidad de Desamparados, con la finalidad de que se proponga la implementación de una metodología de Auditoría de Sistemas, bajo los parámetros de las mejores prácticas.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
5. VARIABLES:
1- Seguridad de la Información.2- Política de Seguridad.3- Gestión del Riesgo.4- Compromiso del Personal con la Seguridad.
5- Clasificación de la Seguridad.6- Administración de la Identidad del Usuario.7- Respaldo de la Información.8- Auditoría de Sistemas.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
6. ALCANCE: 7. LIMITACIÓN
Dotar a la Unidad de Auditoría Interna de la Municipalidad de Desamparados de una herramienta que provea una metodología para fiscalizar y revisar de forma razonable el Gobierno de las Tecnologías de Información.
El Tiempo de ejecución.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
MARCO INSTITUCIONAL
La Municipalidad de Desamparados, pertenece al cantón 3º de San José. Fue creada desde el 23 de diciembre de 1876. Su primer nombre era Municipalidad de los “Juanes y los Monges”. Cuenta con un presupuesto de casi los 8 mil millones de colones.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ALGUNOS TÉRMINOS
1. Seguridad de la Información:“El proceso de protección de la información, contra una amplia gama de amenazas para asegurar la continuidad del negocio, minimizar los daños al negocio y maximizar el retorno de las inversiones y las oportunidades de negocio”.
2. Auditoría de Sistemas:Consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ESTRUCTURA
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
OBSERVACIÓN
1. POLÍTICA DE SEGURIDAD - Sí política de seguridad. (Normas técnicas de la C.G.R)2. CLASIFICACIÓN DE LA SEGURIDAD - Cuarto servidores contiguo al baño sanitario. - No cámaras, no dispositivos contra incendio, no extintor. - Ingreso de computadoras personales. - Uso de llaves malla total.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
OBSERVACIÓN
3. SEGURIDAD DE LA INFORMACIÓN - Servidor de Dominios. (No hay control de claves).
4. GESTIÓN DEL RIESGO - Dependencia a funcionario de Informática.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
GESTIÓN DE LA SEGURIDAD
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
USO DE MARCO DE REFERENCIA
(N-2-2007-CO-DFOE)
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
GESTIÓN DEL RIESGO
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
EXPOSICIÓN A RIESGOS
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
IMPACTO A LOS RIESGOS
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
COMPROMISO DEL PERSONAL
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
CLASIFICACIÓN DE LA SEGURIDAD
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
DISPOSITIVOS DE SEGURIDAD
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ADMINISTRACIÓN DE LA IDENTIDAD
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
RESPALDO DE LA INFORMACIÓN
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
RESULTADO DE LA
ENTREVISTA
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
AUDITORÍA DE SISTEMAS
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
LA PROPUESTA
“Implementación de una metodología de auditoría de sistemas de las tecnologías de información en la Municipalidad de
Desamparados”
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
OBJETIVO GENERAL
Dotar a la Auditoría Interna de la Municipalidad de Desamparados, de una metodología de auditoría de sistemas para la evaluación de las tecnologías de información, conforme a las mejores prácticas basadas en el estándar internacional Cobit 4.0
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ESTRUCTURA DE LA AUDITORÍA
. El Auditor Interno.
. (2) Lic. En Contaduría.
. (1) Lic. En Derecho
. (1) Bach. En Sistemas
. (1) Secretaria
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ESTRUCTURA DE METODOLOGÍA
La metodología está compuesta de dos estructuras metodológicas:
1. Herramienta que define la Planificación del Plan de Trabajo de la Auditoría.
2. Herramienta metodológica para realizar auditorías de sistemas bajo las mejores prácticas de Cobit 4.0.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ESTRUCTURA Nº 1
Define la Planificación del Plan de Trabajo de la auditoría, mediante la definición del Universo Auditable, que compone el ciclo de vida de la auditoría, basados en la priorización de la valoración del riesgo.
FASES:1. Ámbito de acción.2. Identificación del Universo Auditable.3. Análisis del riesgo.4. Determinación de días por estudio.5. Ciclo de auditoría.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ESTRUCTURA Nº 1
1. ÁMBITO DE ACCIÓN: 2. IDENTIFICACIÓN UNIVERSO AUDITABLE
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ESTRUCTURA Nº 1
3. ANÁLISIS DE RIESGOS:
a. Determinación del universo auditable. b. Definición y Valoración de los elementos de la valoración del riesgo.c. Niveles de valoración de los elementos de riesgo.d. Resultados y priorización según valoración del riesgo.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ESTRUCTURA Nº 1
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ESTRUCTURA Nº 1
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
RESULTADO DE LA PRIORIZACIÓN
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ESTRUCTURA Nº 1
4. DETERMINACIÓN DE DÍAS x ESTUDIO.5. CICLO DE AUDITORÍA.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
ESTRUCTURA Nº 2
METODOLOGÍA DE AUDITORÍA DE SISTEMAS
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
PLANIFICACIÓN DE AUDITORÍA (A)
GUÍA DE AUDITORÍA (A)1. Objetivos y alcance de la auditoría.
ADMINISTRACIÓN DE LA AUDITORÍA (A1)1. Plan General.2. Perfil del proyecto.3. Oficio asignación del estudio.4. Oficio inicio del estudio.5. Declaración Jurada.6. Cronograma de actividades.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
PLANIFICACIÓN DE AUDITORÍA (A)
COMPRENSIÓN ORGANIZACIONAL (A2)1. Programa revisión preliminar.
- Revisión archivo permanente.- Revisión archivo corriente.- Visita Preliminar- Ident. Actividades sustantivas.- Medios de evaluación.
2. Ficha técnica de los sistemas.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
PLANIFICACIÓN DE AUDITORÍA (A)
DEFINICIÓN DEL PROGRAMA Y ALCANCE DE LA AUDITORÍA (A3)
1. Lista con la definición y análisis de los objetivos de control.2. Programa de auditoría con objetivos detallados.3. Cronograma de la auditoría.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
PLANIFICACIÓN DE AUDITORÍA (A)
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
EJECUCIÓN DE LA AUDITORÍA (B)
EVALUACIÓN DE CONTROL INTERNO (B1)1. Lista de controles existentes.
- Levantamiento de controles por procesos.- Criterios para evaluar la protección que ofrecen los
controles.2. Observaciones de control interno.
DISEÑO DE PRUEBAS (B2)- Identificación de controles claves que serán verificados
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
EJECUCIÓN DE LA AUDITORÍA (B)
EJECUCIÓN DE PRUEBAS (B3)1. Técnicas y herramientas de auditoría
- Técnicas para probar los controles en los sistemas- Técnicas para analizar sistemas.- Técnicas para verificar datos.- Técnicas para seleccionar y monitorear transacciones
4. ANÁLISIS DEL RESULTADO DE LAS PRUEBAS DE AUDITORÍA (B4)
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
COMUNICACIÓN DE RESULTADOS (C)
ESTRUCTURA Y CONTENIDO (Informe Preliminar)
1. Objetivos y alcance de la auditoría.2. Antecedentes generales.3. Observaciones o comentarios de la auditoría.
OBSERVACIONES DE LA ADMINISTRACIÓN (Informe Final)ORGANIZAR Y CERRAR LA CARPETA CON ARCHIVOS DE TRABAJO
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
COMUNICACIÓN DE RESULTADOS (C)
SEGUIMIENTO A LAS RECOMENDACIONES DE LA AUDITORÍA 1. Alimentar herramienta de seguimiento de recomendaciones.2. Introducir la información que suministra la Administración y valorarla.3. Elaborar informe de seguimiento.
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
COMUNICACIÓN DE RESULTADOS (C)
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
IMPACTO DE LA PROPUESTA
A través de la metodología propuesta se puede determinar un impacto realmente significativo a nivel social, profesional y económico
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
COSTO DE LA
PROPUESTA
COSTO DE LA PROPUESTA
Nº DESCRIPCIÓN COSTO EN COLONES COSTO EN
DÓLARES 1. Horas profesionales 2.434.500 4.500 2. Suministros de oficina 94.500 175 3. Transporte 30.000 55 4. Alimentación 7.000 13 5. Servic ios 55.000 102 6. Gastos Tesis 60.000 111
TOTAL INVERSIÓN ¢ 2.681.000 4.956 Fuente: Fallas Silva, Víctor. 2015. 541 Tipo de cambio de venta del 01/09/2015 del Banco Central de Costa Rica: ¢541
INTRODUCCIÓN MARCO TEÓRICO MARCO METODOLÓGICO
ANÁLISIS Y RESULTADOS
CONCLUSIÓN Y RECOMENDACIÓN LA PROPUESTA
FODA OTROS ESTUDIOS DERIVADOS
1- Automatizar la metodología.2- Estandarizar metodologías entre municipalidades.3- Elaborar planes estratégicos más reales.
Por: Víctor Fallas Silva
Piensa bien ... Sé un MAGISTER