UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE...

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008

1Lcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC

Septiembre del 2012

Normas de Auditoria

AUDITORIA DE SISTEMAS

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


Riesgos-Definición

• Es el potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasione pérdida o daño a los activos

• Es la posibilidad que un evento, o su ausencia, afecte negativamente la habilidad de la organización para lograr sus objetivos

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008

3

AMENAZAS:

Password cracking

ExploitsEscalamiento de privilegios

Keylogging

Puertos vulnerables abiertos

Violación de la privacidad de los empleadosFraudes informáticos

Destrucción de equipamiento

Spamming

Robo o extravío de notebooks, palms

Robo de informaciónMails anónimos con agresionesMails anónimos con agresiones

Ingeniería social

Acceso indebido a documentos

Destrucción de soportes documentalesVirusAcceso clandestino a redes

Falsificación de información para terceros

VULNERABILIDADES:Inadecuado compromiso por la dirección Personal no capacitado y concientizado

Inadecuada asignación de responsabilidades

Ausencia de controlesAusencia de reportes de incidentes y vulnerabilidades

Servicios de log inexistentes o que no son chequeadosLcda. Laura Alexandra Ureta Arreaga, MSIG.DOCENTE UNIVERSIDAD ECOTEC

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


Eval. del proceso de adm. de riesgo

• El Proceso• Identificar a los activos de

información• Analizar las vulnerabilidades de los

activos• Identificar y evaluar los controles

propuestos.

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


Identificar y evaluar controles

• Identificando controles• Identificar los controles existente.• Evaluar controles adicionales o compensatorios• Categorizar los controles: efectividad eficiencia.

• Selección de medidas preventivas• El costo del control en comparación con el

beneficio de reducir el riesgo• Predisposición de aceptar riesgos de la Gerencia• Métodos de reducción de riesgos (aceptar,

reducir, transferir, eliminar)

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


Identificando elementos de riesgo

• Activos• Amenazas• Vulnerabilidades• Impactos• Riesgo global• Riesgo inherente• Riesgo residual

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


CONTROLES

• “Las políticas, prácticas y las estructuras organizativas diseñadas para brindar garantía adicional de que se lograrán los objetivos del negocio y se impedirán o detectarán o corregirán los acontecimientos no deseados”.

• Un objetivo de control es una declaración del resultado o del propósito que se desea alcanzar mediante la implementación de controles en una actividad partícular.

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


CONTROLES

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


CONTROLES

• Objetivos de control interno (COSO)• Objetivos de control de los sistemas de información

(COBIT)• Procedimientos de control de los sistemas de

información• Son controles que aplican a todas las funciones

dentro de una organización (controles generales)• Clasificación del control

• Preventivos• Detectivos• Correctivos

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


CONTROLES - PREVENTIVOS

• FUNCION• Descartar problemas antes de que surjan• Monitorear tanto las operaciones como el ingreso de datos• Tratar de predecir los problemas antes de que estos ocurran y

hacer ajustes• Impedir que ocurra un error, una omisión o un acto malicioso

• EJEMPLOS• Emplear solo personal calificado• Segregar las tareas (factor disuasivo)• Controlar el acceso a las instalaciones físicas• Uso de documentos bien diseñados (evitar errores)• Establecer procedimientos adecuados para autorizar

transacciones• Uso de software de control de accesos

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


CONTROLES - DETECTIVOS

• FUNCION• Controles que detectan que ha ocurrido un error, una omisión o

un acto malicioso y lo reportan

• EJEMPLOS• Totales o subtotales de control • Puntos de verificación en las tareas de producción• Controles de interrupción en las telecomunicaciones• Mensajes de error • Doble verificación en los cálculos• Revisión periódica de reportes con variación• Reporte de cuentas vencida• Función de auditoria interna de TI

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


CONTROLES - CORRECTIVOS

• FUNCION• Minimizar el impacto de una amenaza• Remediar problemas descubiertos por los controles de

detección• Identificar la causa de un problema• Modificar el o los sistemas de procesamiento para minimizar

que el problema ocurra en el futuro

• EJEMPLOS• Planificación de contingencias• Procedimientos de copias de seguridad• Procedimientos de nueva ejecución de programas

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


CONTROLES – OTROS TIPOS

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


EJEMPLOS DE CONTROLES

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008



UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


MATRIZ DE CONTROLES

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


Elementos de evaluación de controles

• El control debe ser evaluado en:

• DISEÑO:- Análisis conceptual de oportunidad y orientación a minimizar un riesgo relevante.

• EFICACIA OPERATIVA:- Pruebas y evidencia de funcionamiento efectivo del control.

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


Pruebas de cumplimiento vs sustantivas

• La recolección de evidencias con el fin de comprobar el cumplimiento de una organización con procedimientos de control

• La recolección de evidencias para evaluar la integridad de las transacciones individuales, los datos u otra información

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


Elementos de auditoria -Evidencias

• Cualquier información usada por el auditor de IT para determinar si la entidad o los datos que están siendo auditados cumplen con los criterios u objetivos de auditoria establecidos• Independencia del proveedor de la evidencia• Calificación de la persona que suministra la

información o evidencia• Objetividad de la evidencia

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008



• Independencia del proveedor de la evidencia

• La evidencia obtenida de fuentes externas es más confiable que la obtenida dentro de la organización

• Calificación de la persona que suministra la información o evidencia

• Siempre se debe considerar la calificación e idoneidad de la fuente de la información, si el auditor no tiene entendimiento del área o competencia técnica apropiada debe entender completamente la prueba

• Objetividad de la evidencia

• La evidencia objetiva es mejor que la evidencia que requiere opinión o interpretación considerable

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008



• Se debe estimas tanto la CALIDAD (Competente) como la CANTIDAD (Suficiente) de evidencias.

• La evidencia es competente cuando es tanto VÁLIDA como RELEVANTE

• Técnicas de recolección de evidencias• Revisar la estructura de Organización de IT• Revisar las normas de documentación de los SI• Entrevistar al personal apropiado• Observar los procesos y el desempeño de los

empleados

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


Elementos de auditoria - Muestreo

• Métodos Generales:• Muestreo Estadístico: método objetivo

para determinar el tamaño de la muestra y para escoger criterios.

• Muestreo no estadístico: o a criterio, se usa el criterio del auditor y están basadas en criterios subjetivos

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


Elementos de auditoria - Muestreo

• Métodos Primarios:• Muestreo de atributos: aplicado en pruebas

de cumplimiento. Es la presencia o ausencia del atributo y provee conclusiones que expresan coincidencias.

• Muestreo de variables: aplicado en situaciones de pruebas sustantivas, se ocupa de las característica de la población que varían ($) y provee conclusiones relacionadas con desviación de la norma

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


CAAT (Técnicas de auditoria asistida por computadora)

• Generadores de datos de prueba• Utilidades estándar• Paquetes de biblioteca de software• Pruebas integradas• Instantánea• Archivo de revisión del sistema de control de

auditoria• Software especializado de auditoria

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


CAAT - VENTAJAS

• Generadores de datos de prueba• Utilidades estándar• Paquetes de biblioteca de software• Pruebas integradas• Instantánea• Archivo de revisión del sistema de control de

auditoria• Software especializado de auditoria

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


Informe de Auditoria

• El informe de auditoría, es el documento final del proceso auditor, que sintetiza el resultado del cumplimiento de los objetivos definidos en el memorando de asignación de auditoría, en el plan de trabajo y el resultado de las pruebas adelantadas en la ejecución

• Objetivos del informes• Registrar los resultados de la auditoría adelantada

correspondientes al periodo auditado. • Describir de manera precisa, clara y concisa los hallazgos

determinados durante el proceso auditor. • Comunicar e informar públicamente la opinión sobre la

razonabilidad de los estados financieros y/o el concepto sobre la gestión y resultados obtenidos por el auditado.

UN

IVE

RS

IDA

D T

EC

NO

LÓ

GIC

A E

CO

TE

C. IS

O 9001:2008


Atributos del Informe de Auditoria

PrecisoDiga lo que tiene que decir. Es conveniente ser exacto (puntual) en cada frase y en el informe completo. Su redacción debe ser sencilla, clara, ordenada, coherente y en orden de importancia.

Conciso

La redacción debe ser breve pero sin omitir lo relevante, la brevedad permite mayor impacto. Se debe buscar la forma de redactar los hallazgos en forma concreta, pero sin dejar de decir lo que se tiene que decir sobre la condición (situación detectada); asimismo, se debe incluir el criterio de auditoría, la causa y el efecto, aspectos que muestren claramente el impacto que tiene la situación detectada por la CGR.

ObjetivoTodos los hallazgos deben reflejar una situación real, manejada con criterios técnicos, analíticos e imparciales.

SoportadoLas afirmaciones, conceptos, opiniones y hallazgos, deben estar respaldadas con evidencia válida, suficiente, pertinente y competente.

OportunoDebe cumplir los términos de elaboración, consolidación, entrega, comunicación y publicidad.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE...

Documents

Transcript of UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE...