Académique Documents
Professionnel Documents
Culture Documents
ndice
Introduccin ................................................................................................................................................. 3
Previniendo los conflictos ticos .............................................................................................................. 5
Entender el propsito de una auditora ................................................................................................... 5
Clasificacin de los tipos de auditoras ................................................................................................... 5
Diferencias entre el auditor y los roles de auditora .............................................................................. 6
Planificacin de la estrategia de control de la organizacin ................................................................ 6
Usando COBIT ........................................................................................................................................... 7
Descripcin del programa de auditora ................................................................................................... 7
Gestin de los programas. Los programas son una serie de acciones............................................. 7
Auditora objetivos y el alcance del programa ....................................................................................... 7
Aplicacin de un enfoque sistemtico para la planificacin ................................................................ 8
Empleando el software como servicio (SaaS) ....................................................................................... 8
Cloud computing......................................................................................................................................... 9
Desarrollo de software de gestin ........................................................................................................... 9
Sistemas de apoyo para la toma de decisiones .................................................................................. 10
Presentar datos de apoyo a la toma de decisiones ............................................................................ 11
Utilizando inteligencia artificial ............................................................................................................... 11
Proteccin administrativa ........................................................................................................................ 11
Atribuciones en la administracin de la seguridad de la informacin .............................................. 11
La gobernanza de la seguridad de IT ................................................................................................... 12
Tipos de clasificacin............................................................................................................................... 12
Funciones de las autoridades de los datos .......................................................................................... 13
Gestin de problemas ............................................................................................................................. 14
Tratamiento de incidencias ..................................................................................................................... 14
Reconocer tipos de amenazas y delitos informticos ........................................................................ 15
Conocer mtodos de ataque .................................................................................................................. 15
Definir recuperacin de desastres ......................................................................................................... 17
Comprender el inters del auditor en los planes de BC/ DR............................................................. 17
Conclusiones............................................................................................................................................. 18
Recomendaciones ................................................................................................................................... 19
Bibliografa ................................................................................................................................................ 20
Introduccin
Durante mucho tiempo, el control predominante en una organizacin ha sido la
auditora financiera. No obstante el robo y el fraude han existido siempre, la expectativa
general es que casi en todas las organizaciones se pueden confiar sin tener algn tipo
de regulaciones. El mundo moderno tiene ahora un nmero progresivo de reglamentos
que son bastante intrusivos. La cultura empresarial moderna se est desplazando
rpidamente a tener menos confianza con ms pruebas a fin de reducir las
posibilidades de corrupcin. Se ha observado que la codicia es un gran motivador para
muchos empleados con posicin de autoridad.
Es imperativo poseer dos elementos bsicos:
Se entiende que los activos son todos aquellos bienes tangibles e intangibles que son
bien valorados y de inters para los objetivos de negocio, es decir, se incluyen las
marcas, patentes, recetas secretas, bienes duraderos, archivos de datos, personal
competente, y los clientes. A pesar de que los empleados no se incluyen como activos
de la empresa, la prdida de personas clave es una autntica amenaza empresarial. Es
importante definir a una amenaza como un evento negativo que podra provocar una
prdida si se hubiera producido. El camino que permite a una amenaza hacerse
realidad se le conoce como vulnerabilidad. El trabajo del auditor de sistemas de
informacin es la de verificar que los activos, amenazas, vulnerabilidades estn
debidamente identificados y poder as reducir el riesgo.
La gobernabilidad est presente si el derecho de autoridad identifica el problema, y si
adems efecta una decisin inteligente y toma las medidas oportunas. Gobernabilidad
es sinnimo de liderazgo proactivo. Uno de las metodologas admisibles para la
mayora es a travs de declaracin de polticas, con compatibilidad con los estndares
y directrices. Los resultados se deberan evidenciar a travs de auditoras.
Muchas administraciones eficientes utilizan la documentacin como medio para
especificar detalles operativos y de control. Las organizaciones suelen tener cuatro
tipos de documentos:
Las polticas. Una poltica es una disposicin ejecutiva para identificar una cuestin de
riesgo para evitar o prevenir. Las polticas son documentos de alto nivel firmados por
una persona de gran parte de la autoridad con el poder de forzar la cooperacin. La
poltica es un documento que indica que un objetivo de control a alto nivel es
importante para el xito de la organizacin.
El nivel ms alto de autoridad son las personas que ocupan posiciones de alta
direccin. Los emisores de las polticas que reciben un amplio apoyo son funcionarios
electos, los directores de los organismos, los miembros de la junta directiva de las
empresas, directores ejecutivos, funcionarios de finanzas, operaciones, vicepresidente
etc.
Las Normas. Estas son documentos de nivel medio que contienen puntos de
control para certificar una ejecucin uniforme en apoyo de una poltica. Luego de que la
administracin identifica lo que es imperativo proteger, mediante la declaracin de una
poltica, el paso siguiente es especificar un estndar que contiene una lista de puntos
de medicin para obtener el cumplimiento. Los exmenes de la gestin, las pruebas y
auditoras se manejan para comparar un objeto de la norma con el propsito de
legitimar un nivel mnimo de cumplimiento. Se hace la aclaracin que las normas no
contienen el flujo de trabajo para el cumplimiento, pero si identifican puntos especficos
de control necesarios para el cumplimiento.
El trabajo de la direccin es manejar cada uno de los puntos de cada estndar para
establecer procedimientos en un flujo de trabajo con el objetivo de conseguir el
cumplimiento dentro de la organizacin. Un estndar se implementa con diferentes
niveles de influencia. El nivel de autoridad de la persona que ordena una poltica tendr
un efecto profundo sobre la aplicacin y la autoridad hace una diferencia en el espacio
de aplicacin que incluye el nivel de esfuerzo.
Las normas se pueden agrupar en cuatro categoras bsicas:
Estndar regulatorio. Se trata de un control regulatorio, cuando es emitido por una ley
del gobierno para proteger la economa, la sociedad o el medio ambiente.
Estndar industrial. Un rpido progreso en el desarrollo de nuevas tecnologas, siempre
supera estndares oficiales.
Estndar organizacional. La administracin ejecutiva de las organizaciones establece
sus propias normas para ayudar a conseguir sus objetivos. La organizacin puede ser
una asociacin, organismo cooperativo, organizacin sin fines de lucro, o con fines de
lucro. CISA es un estndar profesional establecido por la organizacin ISACA.
Estndar personal. Una norma personal interna regir la vida diaria. Estas normas no
oficiales pueden cambiar con la edad, la educacin, o las experiencias de la vida.
Directrices. Estas tienen por objeto suministrar orientacin de cmo los objetivos
organizacionales se pueden obtener en la ausencia de una norma. La intencin es
suministrar la informacin que le ayude en la toma de decisiones sobre objetivos, es
decir, que debera hacer, alternativas tiles (que podra hacer), y de las acciones que
no crean problemas.
Los procedimientos. Estas son las frmulas que proveen un flujo de trabajo de tareas
concretas para lograr un mnimo cumplimiento de una norma. Las referencias estn
escritos en formato paso a paso desde el principio hasta el final.
Previniendo los conflictos ticos
Los auditores son hostigados por parte de algunas personas que tratan de convencer
de desviarse del correcto camino de honestidad. No se debe permitir a que participen
en situaciones que pudieran empaar la imagen de un auditor.
Algunos ejemplos de tica o conducta criminal que se deben evitar:
Una intervencin como sea necesario para eliminar, modificar o corregir todos
los errores que se producen, es decir, implementar las medidas correctivas
correspondientes.
Ventajas
Desventajas
ser sustituido por una versin ms reciente, la versin antigua ser retirada. Esto es lo
que se conoce como el ciclo de vida.
Se dice que el 85 por ciento de las funciones de una empresa estn relacionados con
las tareas de administracin. Las funciones administrativas son generalmente
automatizadas por software disponible comercialmente. Las empresas no necesitan
desarrollar software para el procesamiento de textos y hojas de clculo. Estas
funciones bsicas se pueden abordar mediante software tradicional que se puede
comprar en el mercado abierto. Este tipo de software de productos requiere poca
personalizacin. Las ventajas financieras sern pequea pero tiles. El 15 por ciento
restante de las funciones de negocios puede ser nico o requieren un alto nivel de
personalizacin. El desafo es asegurar que el software cumple con los objetivos
estratgicos de la organizacin.
Sistemas de apoyo para la toma de decisiones
Los progresos en tecnologa de programacin informtica y bases de datos han llevado
a la creacin de sistemas de soporte de decisiones. Un sistema de soporte de
decisiones (DSS) es una base de datos que puede representar informacin oportuna
para ayudar a los usuarios a tomar una decisin. Existen tres tipos bsicos de sistemas
de soporte a la decisin:
Referencia de contexto. Este tipo de fuentes sistema de apoyo para la toma de
decisiones del usuario con respuestas sobre la base de un nivel estimado de
relevancia.
Colega o Asociado, Nivel. Este proporciona apoyo para los ms molestos clculos,
pero deja las decisiones reales para el usuario.
Nivel de expertos. El sistema experto es generalmente escrito para capturar datos
especializados de una persona que ha estado realizando el trabajo deseado durante 20
o 30 aos.
Cada sistema de apoyo para la toma de decisiones se basa en una base de datos. Los
datos en la base de datos se recuperan para el uso de las reglas del programa,
tambin conocido como heurstica, para ordenar a travs de la base de conocimientos
utilizando tcnicas de razonamiento deductivo y bsqueda de respuestas posibles. Esto
es conocido como el motor de inferencia. Las reglas del programa heurstico pueden
estar basadas en una lgica difusa mediante estimacin, medios, y los promedios para
calcular un resultado probable.
Minera de datos. Despus que la base de datos y las reglas se crean, el siguiente paso
en la operacin de un sistema de apoyo para la toma de decisiones es ir hacia abajo a
travs de los datos y de las correlaciones donde se pueden representar las respuestas.
La bsqueda de las correlaciones se conoce como minera de datos.
10
11
Gestin de problemas
El personal de las operaciones de TI debe tener un proceso de gestin de problemas.
Una eficaz gestin de problemas proporciona una respuesta oportuna mediante
procedimientos predefinidos que incluyen un mtodo de escalado de problemas.
Situaciones que requieren gestin de problemas incluyen los siguientes:
Los procedimientos vs trabajo actual. Los procedimientos utilizados en la operacin de
los sistemas de tecnologa de la informacin deben reflejar el trabajo real realizado. El
objetivo de un procedimiento tiene por objeto garantizar la coherencia con el resultado
deseado. Trabajo actual que no coincide con el procedimiento indica un error de control
de gestin.
Controles ineficaces e ineficientes. Un proceso de examen de la gestin debera existir
para hacer frente con controles ineficaces e ineficientes. No se deben revisar los
controles por mrito e impacto potencial. Un control compensador puede aplicarse para
superar un control ineficaz.
Violacin de poltica de uso aceptable. Esta podra incluir el uso indebido de los
recursos empresariales o la presencia de materiales indebidos. El descubrimiento de la
violacin debe activar el proceso de gestin de incidentes y la notificacin a Recursos
Humanos.
Contabilidad de los trabajos. Los procesos de cmputo siempre estn sujetos a los
problemas. Las condiciones de trabajo son las terminaciones anormales y el
tratamiento de excepciones. Otros problemas pueden incluir los trabajos que se
ejecutan demasiado rpido o demasiado lento por el volumen de trabajo. Los trabajos
que terminar demasiado rpido pueden indicar que una parte de los trmites se omite,
por citar un ejemplo.
Los programas de capacitacin de los usuarios y el personal es una buena respuesta
para impedir la repeticin de un problema. Deben existir planes de formacin, de
orientacin, capacitacin de los usuarios, y otras actividades de formacin para los
nuevos empleados contratados.
Tratamiento de incidencias
Algunos sucesos deben ser analizados personas competentes con la formacin
adecuada. Toda organizacin necesita un equipo disponible para dar respuesta a
incidentes. Cada vez que alguien descubre o sospecha que se ha producido un
incidente, este equipo es llamado a la accin. Uno o ms miembros del equipo inician
la investigacin de analizar los datos disponibles para determinar el posible impacto. El
objetivo es limitar el dao.
14
15
Los clientes esperan que la empresa tenga el conocimiento de los diferentes mtodos
de atacar a los computadores. Los ataques informticos pueden ser ejecutados con
una computadora o contra la computadora. Hay bsicamente dos tipos de ataques:
pasivo y activo.
Los ataques pasivos
Los ataques pasivos se caracterizan por las tcnicas de observacin. La intencin de
un ataque pasivo es para obtener informacin adicional antes de lanzar un ataque
activo. Tres ejemplos de ataques pasivos son anlisis de red, anlisis de trfico y
escuchas.
Ataques activos
Los ataques pasivos tienden a ser relativamente invisible, mientras que ataques activos
son los ms fciles de detectar. El atacante proceder a ejecutar un ataque activo
despus de obtener suficientes antecedentes. El ataque activo est diseado para
ejecutar un acto de robo o provocar un trastorno de procesamiento del ordenador
normal. Siguiente es una lista de ataques activos:
Del mito a la realidad
Una cruda realidad para muchos profesionales es que los elementos ms importantes
que proteger son las personas con el conocimiento adecuado y con el acceso a los
registros. Un profesional experto de TI que no tiene lealtad a un proveedor determinado
y en su lugar se centra en la adaptacin a los requisitos de flujo de la unidad de
negocio, mejora el valor de la organizacin.
Comprensin de las cinco disciplinas llamado Continuidad de Negocio
En funcin de su sector, nivel de autoridad, los objetivos, la continuidad de negocio es
un trmino demasiado usado que representan cinco disciplinas contradictorias.
Continuidad de ingresos del negocio. Esta es la definicin ms precisa de un de inters
ejecutivo tanto en el mundo de los negocios y agencias del gobierno. Una organizacin
sera incapaz de sobrevivir sin ingresos o la financiacin. El dinero compra tiempo y
proporciona opciones.
Continuidad de las operaciones. El objetivo es continuar las operaciones
ininterrumpidas con o sin financiacin. Esto es a menudo el objetivo de los servicios
sociales esenciales para la vida o de los proveedores de servicios pblicos.
Gestin de situaciones de emergencia. Asistencia de rescate puede utilizar estrategia
ofensiva (lucha) o defensiva (proteger) con ayuda mdica. Gestin de situaciones de
emergencia se basa en detener las operaciones normales y apagar dispositivos
mientras se evacan personas con la esperanza de salvar vidas. Su objetivo es detener
16
toda la actividad cuando algo va mal. El objetivo principal es rescatar a los que no
podan salir por sus propios medios.
Continuidad del gobierno. Esta disciplina permite el uso o apropiacin de todos los
recursos disponibles para evitar el fracaso o cada de la gobernanza.
Recuperacin ante desastres. Este es el proceso de reconstruccin.
Definir recuperacin de desastres
Durante el decenio de 1980, el trmino recuperacin ante desastres se hizo popular
como una definicin para la reconstruccin y recuperacin despus de un desastre
natural. Todo el enfoque de la recuperacin de desastres se podra resumir con una
sola palabra: reconstruir.
Comprender el inters del auditor en los planes de BC/ DR
El auditor puede utilizar los siguientes puntos de la evaluacin:
17
Conclusiones
Una auditora proporciona niveles apropiados y correctos de asistencia para conseguir
la efectividad de los procesos de control. Conseguir un aseguramiento total es muy
difcil de conseguir debido a factores como la necesidad de anlisis, utilizacin de
pruebas, tambin existe ciertas limitaciones sujetas al control interno y mucha de la
evidencia utilizable por el auditor de sistemas de informacin es persuasiva ms que
concluyente.
Cualquier revisin brinda un nivel intermedio de aseguramiento para conseguir el efecto
deseado de los procesos de control. El nivel de aseguramiento provisto por una
auditora, tiene un alcance muy aceptable porque el trabajo de anlisis es bastante
extensivo, y los objetivos, la duracin y alcance de los procedimientos realizados
proporcionan suficiente evidencia para permitir al auditor de sistemas de informacin a
que formule una opinin objetiva.
El objetivo de la auditora, es permitir al auditor concluir si, en base a los
procedimientos algo ha llevado al auditor a creer que los procedimientos de control no
fueron fundamentados en criterios reconocidos. El dictamen de un auditor est basado
en los procedimientos que se han definido como obligatorios para la recoleccin de
evidencia necesaria y conveniente.
Los sistemas de gobernanza, los hbitos y la cultura empresarial pueden impedir
anomalas en los procesos de gestin, pero no son mtodos que no fallen en algn
momento. Un contexto seguro de control puede ayudar a atenuar la posibilidad de que
estas anomalas ocurran. Un contexto de control ineficaz puede dificultar la efectividad
de los procedimientos de control en la estructura del control interno.
En resumen, la seguridad de los datos se fundamenta en un conjunto de controles que
intentan conservar la integridad, la confidencialidad y la disponibilidad de la
informacin. Los controles de acceso a los recursos de informacin, se disean para
proteger contra el acceso no autorizado a los mismos. La integridad, la confidencialidad
y disponibilidad son objetivos principales de la poltica de seguridad de los sistemas de
informacin.
18
Recomendaciones
El proceso de administracin de la seguridad de la informacin est catalogado como
un proceso constante y de mejora continua en las distintas metodolgicas. En este
contexto, es vital y que los expertos que trabajan en seguridad de TI no se estanquen y
continen el proceso de actualizacin de conocimientos.
Es importante tambin que las corporaciones capaciten a sus empleados en ese
sentido. Adems si las condiciones econmicas lo permiten deberan invertir en
auditora de TI competente que utilicen normas ISO 27001, COBIT, ITIL y estndares y
mtodos de buenas prcticas equivalentes como referencias de comparacin.
Es preciso contratar a auditores que tengan conocimiento amplio sobre tecnologas de
informacin, posean seriedad, capacidad, minuciosidad y responsabilidad; las
consecuencias de contar con equipo deficiente llevar a realizar una auditora mal
hecha que puede conducir a tener resultados nocivos, especialmente econmicas.
19
Bibliografa
Certified Information Systems Auditor, Study Guide, Third Edition
20