1. UNIVERSIDAD AUSTRAL DE CHILE
Facultad De Ciencias Económicas Y Administrativas
Instituto De Administración
Escuela De Auditoría
Auditoría y Seguridad
Informática.
Nombre: Martín Miranda V.
Asignatura: Sistema de Información Administrativa (ADMI 274).
Docente: Cristian Salazar C.
09 de julio de 2014
2. 2
INTRODUCCION.
Las organizaciones informáticas forman parte de lo que se ha denominado el management o
gestión de la empresa y debido a esto y a su importancia en el funcionamiento existe la Auditoria
Informática, la cual garantiza a cada una de las entidades la confidencialidad, disponibilidad e
integridad de la información. Del mismo modo, esta información debe encontrarse protegida ya
que constituye uno de los activos más valiosos de la empresa y siempre tiene que estar ajena a
distintos peligros o amenazas, tales como robo, plagio, manipulación indebida y alteración de la
misma.
Cabe destacar que no cualquier profesional puede realizar una auditoría de seguridad
informática, ya que deben ser profesionales certificados por medio de la ISACA, la cual establece
como prerrequisito tener el Título de Contador Auditor o Ingeniero Informático.
Finalmente, es necesario como futuro profesional insertado en el área de los negocios,
conocer, entender y manejar qué es ISACA y cuáles son las certificaciones que como auditor
podemos llegar a manejar.
3. 3
ÍNDICE
Página (s)
Seguridad Informática. 4
Auditoría Informática. 4
Metodología de una Auditoría Informática:
a) Planificación. 5
b) Ejecución. 5
c) Conclusiones. 5
ISACA: Asociación de Auditoría y control de sistemas de información:
a) Certified Information Systems Auditor (CISA) 6
b) Certified information Security Manager (CISM) 6
c) Certified in the Governance of Enterprise IT (CGEIT) 6
d) Certified in Risk and Information Systems Control (CRISC) 6
Principales Estándares de Seguridad Informática Nacionales. 7
Principales Estándares de Seguridad Informática Internacionales. 7
Relación entre Auditoría informática y el COBIT. 8
Conclusiones. 9
4. 4
SEGURIDAD INFORMÁTICA:
La Seguridad Informática se refiere a las características y condiciones de sistemas de
procesamiento de datos y su almacenamiento, para garantizar su
confidencialidad, integridad y disponibilidad.
Considerar aspectos de seguridad significa:
a) conocer el peligro,
b) clasificarlo y
c) protegerse de los impactos o daños de la mejor manera posible.
Esto significa que solamente cuando estamos conscientes de las potenciales amenazas,
agresores y sus intenciones dañinas (directas o indirectas)en contra de nosotros, podemos tomar
medidas de protección adecuadas, para que no se pierda o dañe nuestros recursos valiosos.
En resumen, La seguridad informática la podríamos definir como el conjunto de hardware,
software y procedimientos establecidos para asegurar que:
a) Personas no autorizadas no accedan a lo que no deberían ver.
b) Personas autorizadas no ponen en peligro el sistema y los datos.
AUDITORÍA INFORMATICA:
Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar
si un sistema informatizado lleva a cabo eficazmente los fines de la organización y
utiliza eficientemente los recursos. Este proceso es llevado a cabo especialmente por
profesionales altamente capacitados y certificados por ISACA en temas sistemas de información.
Este proceso consiste en:
a) El análisis de la eficiencia de los Sistemas Informáticos.
b) La verificación del cumplimiento de la Normativa en este ámbito.
c) La revisión de la eficaz gestión de los recursos informáticos.
El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el
diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información
suministrada.
5. 5
METODOLOGIA DE UNA AUDITORÍA INFORMÁTICA
Dentro de las etapas en la cual se desarrolla una auditoría informática, podemos distinguir 3
fases importantes:
a) Planificación: comprende desde el conocimiento y comprensión de la organización
hasta la formulación y aprobación del plan de auditoría.
b) Ejecución: aquí se obtiene y analiza toda la información del proceso que se audita,
con la finalidad de obtener evidencia suficiente, competente y relevante, es decir,
contar con todos los elementos que le aseguren al auditor el establecimiento de
conclusiones fundadas en el informe acerca de las situaciones analizadas en terreno,
que entre otras incluyan: el nivel efectivo de exposición al riesgo; las causas que lo
originan; los efectos o impactos que se podrían ocasionar al materializarse un riesgo
y, en base a estos análisis, generar y fundamentar las recomendaciones que debería
acoger la Administración.
c) Conclusiones: Es la etapa en la que se dan a conocer los resultados obtenidos en el
proceso de la auditoria.
6. 6
ASOCIACION DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACION, ISACA.
ISACA apoya y patrocina el desarrollo de metodologías y certificaciones para la realización
de actividades de Gobierno de las Tecnologías de Información, Auditoría, Riesgos, Controles y
Seguridad de Sistemas de Información.
Actualmente cuenta con más de 110.000 miembros en todo el mundo y con presencia en
alrededor de 80 países.
Entre las certificaciones internacionales podemos encontrar:
a) Certified Information Systems Auditor (CISA): La designación CISA es una certificación
reconocida globalmente para profesionales en auditoría, control, aseguramiento y
seguridad en SI.
b) Certified information Security Manager (CISM): Lacertificación CISMestá enfocada en
la gestión, además promueve prácticas internaciones de seguridad y reconoce a la
persona que administra, diseña, supervisa y evalúa la seguridad de la información de
una empresa.
c) Certified in the Governance of Enterprise IT (CGEIT): Acredita una amplia variedad de
profesionales por su conocimiento y aplicación de prácticas y principios de gobierno
de TI de la empresa.
d) Certified in Risk and Information Systems Control (CRISC): La certificación CRISC está
diseñada para aquellas personas expertas en gestión de riesgo de tecnología y
negocio, así como el diseño, la implementación, el monitoreo y el mantenimiento del
control de SI.
7. 7
PRINCIPALES ESTANDARES DE SEGURIDAD INFORMATICA NACIONAL
Ley N°19.223, sobre delitos informáticos.
PRINCIPALES ESTANDARES DE SEGURIDAD INFORMATICA INTERNACIONAL
ISO/IEC 27000: Son estándares de seguridad publicados por la Organización Internacional para
la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La mayoría de estas
normas se encuentran en preparación, e incluyen:
a) ISO/IEC 27001: es la Norma que permite el aseguramiento, la confidencialidad e
integridad de los datos y de la información, así como de los sistemas que la procesan.
La gestión de la seguridad en la información se complementa con las buenas prácticas
o controles establecidos en ISO 27002.
b) ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control
y controles recomendables en cuanto a seguridad de la información. No es
certificable. Este estándar internacional va orientado a la seguridad de la información
en las empresas u organizaciones, de modo que las probabilidades de ser afectados
por robo, daño o pérdida de información se minimicen al máximo.
8. 8
RELACION ENTRE AUDITORÍA INFORMATICA Y EL COBIT.
Objetivos de Control para Información y Tecnologías Relacionadas (COBIT) es una guía de
mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de
lainformación (TI). Mantenido por y el IT Governance Institute (ITGI), tiene una serie de recursos
que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen
ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su
implementación y principalmente, una guía de técnicas de gestión.
Es un modelo de evaluación y monitoreo que seenfoca en elcontrol de negocios y laseguridad
de las TI, y que abarca controles específicos de TI desde una perspectiva de negocios.
Su misión es investigar, desarrollar, publicar y promocionar un conjunto de objetivos de
control generalmente aceptados de las tecnologías de información que sean autorizados,
actualizados e internacionales para el uso de los gestores de un negocio y los auditores.
Entre sus características más importantes encontramos que está orientado al negocio, está
alineado con estándares y regulaciones de facto, además está basada en una revisión crítica y
analítica de las tareas y actividades en TI, y finalmente que se encuentra alineado con estándares
de control y auditoría.
9. 9
CONCLUSIONES.
Se puede deducir que la Auditoría Informática es un elemento clave para que una empresa
cuide uno de los activos más valiosos, la información; realizando para ello, distintos tipos de
pruebas de auditoría que en conjunto se pueda concluir cómo está operando actualmente los
sistemas y cuáles son sus riesgos existentes y potenciales.
Para poder realizar todo esto y llevar a cabo una auditoría de manera efectiva es necesaria la
capacitación, ya que hace que el profesional sea mucho más competente y se encuentre a la
vanguardia de las Tecnologías de Información. Cabe mencionar la importancia de los Auditores y
de los ingenieros informáticos en este tema, y de sus habilidades propias de su profesión, sin
embargo es imprescindible avanzar aún más y capacitarse en ISACA y así poder llevar a cabo una
auditoría de sistemas de información de manera efectiva.
Finalmente, hay que destacar el COBIT como modelo guía en éstas prácticas, ya que nos
entrega un estándar que entre sus características más importantes está el hecho de orientarse al
negocio, está alineado con estándares y regulaciones de facto, además está basada en una
revisión críticay analíticade las tareas y actividades en TI, y finalmente que se encuentra alineado
con estándares de control y auditoría.