METODOLOGIA DE

AUDITORIA INFORMTICA
INTEGRANTES:

COSTANTE DIEGO

OCHOA ALEXIS
SALAZAR NICK
 INTRODUCCIN
incluidos los
procedimientos no
automticos
De todos los aspectos relacionados con
de los sistemas ellos y las interfaces
automticos de correspondientes.
La auditora de los procesamiento de la
sistemas de informacin,
informacin se define
como cualquier
auditora que abarca
la revisin y
evaluacin
 AUDITORA
La palabra de esta proviene pero debe estar
auditora viene del auditor, que tiene la encaminado a un
latn auditorius y virtud de or y objetivo
revisar cuentas,

TIPOS DE AUDITORA
AREAS ESPECIFICAS AREAS GENERALES

EXPLOTACIN INTERNA

DESARROLLO DIRECCIN

SISTEMAS USUARIO

COMUNICACIN SEGURIDAD
 METODOLOGA DE
AUDITORA INFORMTICA
Una metodologa de auditora es un conjunto de
procedimientos documentados de auditora, diseados para
alcanzar los objetivos de la auditora.

La metodologa de la auditora debe ser aprobada por la

gerencia de auditora, y debe ser comunicada a todo el
personal de auditora.
ESTA COMPUESTA POR:
Alcance y objetivos

Estudio inicial del entorno auditable

Determinacin de los recursos

Elaborar plan y programa de trabajo

Actividades de auditora

Informe final

Carta de presentacin del informe

 HERRAMIENTAS PARA
AUDITORA INFORMTICA
Cuestionarios

Entrevistas

Check List

Trazas

Software de interrogacin
 CONSIDERACIONES PARA
EL ANLISIS CRTICO
ESTUDIAR HECHOS Y NO OPINIONES (NO SE TOMAN EN CUENTA LOS
RUMORES NI LA INFORMACIN SIN FUNDAMENTO)

INVESTIGAR LAS CAUSAS, NO LOS EFECTOS.

ATENDER RAZONES, NO EXCUSAS.

NO CONFIAR EN LA MEMORIA, PREGUNTAR CONSTANTEMENTE.

CRITICAR OBJETIVAMENTE Y A FONDO TODOS LOS INFORMES Y LOS DATOS

RECABADOS.
INVESTIGACIN PRELIMINAR
No se usa.
No tiene y se necesita. Es incompleta.
No se tiene y no se No est actualizada.
necesita. No es la adecuada.
Se tiene la informacin Se usa, est actualizada,
pero: es la adecuada y est
completa
 INFORME
Despus de realizar los pasos anteriores y
de acuerdo a los resultados obtenidos, el
auditor realizar un informe resultante con
observaciones y/o aclaraciones para llevar
a cabo dentro de las reas involucradas
para el mejor funcionamiento del sistema.
 AUDITORA DE DATOS
La auditora de
datos habilita a una Su presencia debe
organizacin la La sola existencia de ser parte integral de
identificacin de auditora de datos las operaciones de
quien crea, modifica, tiene un efecto los servicios
elimina y accede los disuasivo en los informticos en una
datos, cuando y intrusos de los datos. organizacin en el
como son accedidos. da a da.
O bien, la estructura
de los datos.
Auditora Responsabilidad segregada
de
datos: El equipo responsable de auditar un
Mejores sistema debe ser distinto a aquel que
prcticas lo administra y lo utiliza
Mantener el Sistema de Auditora de
Datos Independiente
Nada ni nadie debe ser capaz de
alterar un log de auditora
La plataforma de auditora de datos
debe acomodarse al crecimiento y la
adicin de nuevas fuentes de datos
 Hacerla Flexible
Los requerimientos de auditora
cambiarn; asegrese que se
pueda responder rpida y
fcilmente a esos cambios
Auditora de desplegando un marco de auditora
flexible
datos: Gestin Centralizada
Una plataforma de auditora de
Mejores datos debe ser capaz de auditar
mltiples bases de datos en
prcticas mltiples servidores fsicos
 Auditora de datos:
Mejores prcticas
Asegurar la Plataforma de auditora de Datos
La plataforma de auditora por si misma no
debe tener puertas traseras de acceso a sus
propios datos ni permitir el acceso por dichas
puertas traseras a los datos de cualquiera de
las bases de datos que monitorea.
Identificacin de los Datos
Se debe establecer y mantener un inventario
de todos los datos, incluyendo aquellos
provenientes de fuentes externas
 Anlisis de los Datos

Mejores prcticas
Auditora de datos: Determine los roles, vulnerabilidades y
responsabilidades relativas a todos los
datos.
Hacerla Completa
La poltica de auditora de datos necesita
abarcar todos los datos dentro de una
organizacin, incluyendo todos los datos de
aplicacin, los datos de comunicaciones
incluyendo los registros de correos
electrnicos y mensajes instantneos,
registros de transacciones y toda la
informacin que pasa hacia o alrededor de
una organizacin tanto desde dentro como
desde afuera
 Habilitacin de Reportes y
Anlisis
Establecimiento de Patrones
Auditora de Uso Normal
Establecimiento de una

de
Poltica de Documentacin y
Revisin
La auditora de datos

datos: implementada
directamente para
satisfacer mandatos de
Mejores reguladores debe referirse
directamente a los
elementos de las
prcticas regulaciones que satisface:
(Sarbanes-Oxley, HIPAA,
GLBA, etc.).
 AUDITORA DE DATOS:
MEJORES PRCTICAS (6)
MONITOREAR, ALERTAR, REPORTAR
DEPENDIENDO DEL RIESGO, SE DEBEN ATAR LOS EVENTOS O DATOS
ANORMALES A LOS SISTEMAS DE ALERTA Y, EN ALGUNOS CASOS DISPARAR
ALARMAS EN TIEMPO REAL.
INCREMENTAR Y COMPLEMENTAR LA SEGURIDAD
LA AUDITORA DE DATOS INCREMENTA Y COMPLEMENTA LOS NIVELES DE LA
SEGURIDAD DE LOS SISTEMAS DE IT
RESPALDO Y ARCHIVO
LOS LOG DE AUDITORA, POR SI MISMAS, DEBEN SER RESPALDADAS Y LO
IDEAL, ALMACENADAS EN UNA SITIO REMOTO
 AUDITORA DE DATOS:
MEJORES PRCTICAS (7)
CREAR PROCEDIMIENTOS PARA LA OPERACIN Y PARA LA
RECUPERACIN ANTE DESASTRES
ES NECESARIO CREAR POLTICAS Y PROCEDIMIENTOS QUE GOBIERNEN
CMO SE ACCEDE A LAS PISTAS DE AUDITORA Y CMO SE RECUPERAN LOS
DATOS PERDIDOS
TODAS LAS OPERACIONES DE RECUPERACIN TAMBIN DEBEN SER
AUDITADAS.
 CONCLUSIN
EL ACCESO NO AUTORIZADO O CAMBIOS DESCONOCIDOS A LOS
DATOS DE UNA ORGANIZACIN PUEDEN DEBILITAR O ARRUINAR UNA
EMPRESA.
EL ROBO, ERROR, PRDIDA, CORRUPCIN O FRAUDE DE LOS DATOS
PUEDE COSTARLE A UNA COMPAA SU REPUTACIN, SUS GANANCIAS,
O AMBOS.
LA AUDITORA DE DATOS NO SOLAMENTE PROTEGE LOS DATOS DE UNA
ORGANIZACIN, SINO QUE ASEGURA LA RESPONSABILIDAD, LA
RECUPERACIN Y LA LONGEVIDAD DE LOS SISTEMAS QUE DEPENDEN DE
LOS DATOS.
 ESTNDARES DE SEGURIDAD DE LA
INFORMACIN

ISO/IEC 27000-SERIES
COBIT
ITIL
 ISO/IEC 27000-SERIES

LA SERIE DE NORMAS ISO/IEC 27000 SON ESTNDARES DE

SEGURIDAD PUBLICADOS POR LA ORGANIZACIN
INTERNACIONAL PARA LA ESTANDARIZACIN (ISO) Y LA
COMISIN ELECTROTCNICA INTERNACIONAL (IEC).
LA SERIE CONTIENE LAS MEJORES PRCTICAS RECOMENDADAS
EN SEGURIDAD DE LA INFORMACIN PARA DESARROLLAR,
IMPLEMENTAR Y MANTENER ESPECIFICACIONES PARA LOS
SISTEMAS DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN
(SGSI).
 COBIT
OBJETIVOS DE CONTROL PARA LA INFORMACIN Y
TECNOLOGAS RELACIONADAS (COBIT, EN INGLS:
CONTROL OBJECTIVES FOR INFORMATION AND RELATED
TECHNOLOGY)
ES UN CONJUNTO DE MEJORES PRCTICAS PARA EL
MANEJO DE INFORMACIN CREADO POR LA
ASOCIACIN PARA LA AUDITORIA Y CONTROL DE
SISTEMAS DE INFORMACIN, (ISACA, EN INGLS:
INFORMATION SYSTEMS AUDIT AND CONTROL
ASSOCIATION), Y EL INSTITUTO DE ADMINISTRACIN DE
LAS TECNOLOGAS DE LA INFORMACIN (ITGI, EN
INGLS: IT GOVERNANCE INSTITUTE) EN 1992.
 ITIL

LA INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY

("BIBLIOTECA DE INFRAESTRUCTURA DE TECNOLOGAS DE
INFORMACIN"), FRECUENTEMENTE ABREVIADA ITIL.
ES UN MARCO DE TRABAJO DE LAS MEJORES PRCTICAS
DESTINADAS A FACILITAR LA ENTREGA DE SERVICIOS DE
TECNOLOGAS DE LA INFORMACIN (TI) DE ALTA CALIDAD. ITIL
RESUME UN EXTENSO CONJUNTO DE PROCEDIMIENTOS DE
GESTIN IDEADOS PARA AYUDAR A LAS ORGANIZACIONES A
LOGRAR CALIDAD Y EFICIENCIA EN LAS OPERACIONES DE TI