GABINETE DE AUDITORIA DE SISTEMAS

Documentos relacionados
República de Panamá Superintendencia de Bancos

Este dominio consta de 13 procesos que se describen a continuación.

AUDITORIA INFORMATICA. Carlos A Jara

GABINETE DE AUDITORIA DE SISTEMAS

AUDITORIA INTERNAS DE CALIDAD SIDECOMEX

EL PRESUPUESTO Y EL CONTROL COMO HERRAMIENTA DE GESTION CPCC CESAR LARA GARAY MBA

Introducción a la Norma ISO 9001:2008

CAPÍTULO 9. SEGURIDAD DE LA INFORMACIÓN CÓDIGO SEP

LISTA DE VERIFICACIÓN PARA AUDITORÍA DE LA NORMA ISO 14001:2015

AUDITORIA INFORMÁTICA

AUDITORÍA DE SISTEMAS

SEGURIDAD INFORMATICA. Vulnerabilidades

NORMAS DE AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN

AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

AUDITORIA EN SISTEMAS NORMA DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA

Dirección y Gerencia

Manual de Funciones: Tecnologías de Información y Comunicación - CZS5. ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores

Capítulo 4. Lineamientos de Seguridad para lograr la Confiabilidad y Calidad del Software basado en Internet.

Normativas relacionadas con Seguridad Informática

PROCEDIMIENTO GENERAL DE CALIDAD

MAPA DE PUESTO DEPARTAMENTO DE TALENTO HUMANO

RESULTADO INFORME EJECUTIVO ANUAL DAFP EVALUACIÓN SGC

POLITICA DE SEGURIDAD DE LA INFORMACION

DESCRIPCIÓN Y PERFIL DEL PUESTO

Dirección de Tecnologías de la Información

Plan Informático II. APLICACIÓN

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

Qué es la seguridad informática?

AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

Base7Germany GmbH. Anexo 1 Medidas técnicas y organizativas

REVISIÓN DOCUMENTAL DE LA INFRAESTRUCTURA TECNOLÓGICA

Sistemas de Información para la Gestión

SEGURIDAD EN COMUNICACIONES

MANUAL DE ORGANIZACIÓN Y FUNCIONES OFICINA DE INFORMATICA Y DESARROLLO DE SISTEMAS

Interpretación Resultados Evaluación MECI Vigencia 2014

Los niveles de acceso que trata el literal b) son:

No conformidad - revisión y cierre

CONTENIDO. Elementos Conceptuales, Legales y Metodológicos Relativos a la Auditoría de Gestión

Auditoría» ISO/IEC 27001» Requerimientos

Normas de Auditoría de Tecnologías de la Información y la Comunicación Instrumentos Normativos Externos

Sistemas de Gestión de Calidad- Requisitos

No. Revisión 03. II. ALCANCE Este procedimiento es aplicable para todo el Sistema de Gestión de la Calidad y Ambiental del ITST.

Norma IRAM-ISO/IEC 27001

MANUAL DE GESTIÓN DE LA CALIDAD SECCIÓN 2. Sistema de Gestión de la Calidad SECCIÓN 2

Subdirector de Infraestructura. Sustantiva Órgano Interno de Control. Director de Infraestructura. Dirección de Infraestructura

AUDITORÍA Y REVISIÓN POR LA ALTA DIRECCIÓN

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

Elaborar y documentar el Plan de trabajo anual que la Unidad de Auditoría Interna desarrollará durante un período fiscal.

PROCEDIMIENTO DE ACCIONES CORRECTIVAS CONTROL DE EMISIÓN

Todos los derechos reservados

INSTITUTO FONACOT. Instituto del Fondo Nacional para el Consumo de los Trabajadores (INFONACOT)

PROPUESTA REESTRUCTURACIÓN ORGANIZATIVA DE LA DIVISIÓN DE INFORMÁTICA

PLAN DE COMUNICACIÓN Y CONSULTA DEL PROCESO DE GESTIÓN DE RIESGOS ABRIL DE 2017 SUBSECRETARÍA DE EVALUACIÓN SOCIAL 1. INTRODUCCIÓN

Ministerio de Fomento, Industria y Comercio MIFIC. Evaluación de la Guía del Premio Nacional de la Calidad. Capacitación a empresas.

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

AUDITORIA DE SISTEMAS INFORMATICOS

ISO 50001:2011 SOLUCIONES EFICIENTES, RESPONSABLES Y SEGURAS

CONOCIENDO A LA ISO 9001: 2015

Normas Internacionales

AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

DIRECCIÓN DE CONTROL DEL SECTOR DE LA ECONOMÍA MINISTERIO DEL PODER POPULAR PARA LA ENERGÍA Y PETRÓLEO (MPPEP)

ANEXO B PLANTILLA PARA EJECUTAR LA EVALUACIÓN EN EL SGSI DE LAS ENTIDADES GUBERNAMENTALES

ANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J]

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

GLOSARIO DE TÉRMINOS

Análisis de riesgos y Evaluación del Control Interno

DIRECCIÓN GENERAL DE TECNOLOGÍAS

Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

capítulo 7- GRUPO DE ESTÁNDARES DE GERENCIA DE LA INFORMACIÓN

POLÍTICA CUMPLIMIENTO

GABINETE DE AUDITORIA DE SISTEMAS

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)


GABINETE DE AUDITORIA DE SISTEMAS

La Solicitud de Dictamen Técnico, deberá plasmar los siguientes puntos:

VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y EJERCICIO DE LA REVISORÍA FISCAL

Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información

Infraestructura tecnológica

Índice. 230 Normas de Auditoria Operacional. 231 Planificación. 232 Supervisión. 233 Control interno. 234 Evidencia. 235 Comunicación de resultados

PLAN OPERATIVO ANUAL UNIDAD CONTABLE FINANCIERA INSTITUTO DEL CAFÉ DE COSTA RICA. (Octubre 2014 a Setiembre 2015)

INGENIERÍA DE SISTEMAS E INFORMÁTICA

ISO GAP ANALYSIS

LINEAS EXTREMEAS DE AUTOBUSES S.L. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLITICA INSTITUCIONAL DE TECNOLOGIAS DE LA INFORMACIÓN Periodo

Calle 10 # Oficina 318 Edificio Plaza del Poblado Teléfono:

GABINETE DE AUDITORIA DE SISTEMAS

SISTEMA INTEGRADO DE GESTIÓN -SSYMA-

DC-PG 073 Categorización y Redacción de Hallazgos de Auditoría de Sistemas de Gestión Revisión 00 DIRECCIÓN DE CERTIFICACIÓN

Formación de auditores internos OHSAS 18001:2007 Parte 1

Reglamento de Gobierno Corporativo

Nombre de la Empresa LISTA DE COMPROBACIÓN ISO 9001:2008 FO-SGC Página 1 de 19 Revisión nº: 0 Fecha (dd/mm/aaaa):

Auditoría de Controles usando COBIT 5 e ISO Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales

INTENDENCIA DE VALORES. Riesgo Tecnológico, Impacto y Autoevaluación

Boletín de Consultoría Gerencial Importancia de la Auditoría Interna en las Organizaciones (1/3)

FORTALECIMIENTO DEL CONTROL INTERNO EN EL GOBIERNO REGIONAL DE PIURA RESULTADOS DEL PROYECTO EJECUTADO CON LA COOPERACIÓN ALEMANA IMPLEMENTADA POR GIZ

SISTEMA INTEGRADO DE GESTIÓN -SSYMA-

Transcripción:

UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS Carrera de Contaduría Pública GABINETE DE AUDITORIA DE SISTEMAS M. Sc. Miguel Cotaña Mier Lp, Septiembre 2018 4.6. Normas de Buenas Prácticas 1

INTRODUCCIÓN Desde un tiempo atrás, la sociedad es testigo de la existencia de publicaciones de normas y buenas prácticas sobre la gestión y la seguridad de las TIC s, algunas totalmente nuevas, otras con actualizaciones periódicas y otras simplemente remozadas. 2

En muchos de estos casos, estas normas y buenas prácticas están relacionadas con el gobierno de TI. La implantación de una norma, en un entorno de TI, no es un obstáculo para que los ASI puedan emitir un informe o dictamen independiente, basado en pruebas independientes, sobre la confianza que puede depositar en su TI, como soporte de su negocio e identificando los riesgos que TI puede implicar. 3

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la ASI ha promovido la creación y desarrollo de mejores prácticas como: 4

MEJORES PRÁCTICAS Las mejores prácticas son directrices que permiten a las empresas modelar sus procesos para que se ajusten a sus propias necesidades, proporcionan a las empresas y/o organizaciones métodos utilizados para estandarizar procesos y administrar de una mejor manera los entornos de TI. 5

Las empresas que deseen utilizar un enfoque basado en mejores prácticas para la estandarización de estas directrices, tienen como opción varias metodologías que serán descritas a lo largo de este capítulo. A continuación se presenta un marco en el que se pueden encerrar las mejores prácticas de la auditoría, dado que todas responden al siguiente esquema: 6

Identificación: Buscan definir las necesidades de la organización que deben ser identificadas respecto de la auditoría, así como las debilidades propias, a fin de determinar el objetivo a seguir; Administración de calidad total: Incorporan conceptos de calidad total aplicada a la auditoría sobre la base de la mejora continua, con el pertinente concepto de medición y evaluación de resultados; 7

Comunicación: Buscan establecer un proceso de comunicación interna que propenda a informar lo actuado, lo planeado y las mejoras obtenidas; Tecnología: Recomiendan emplear recursos de tecnología informática al proceso de auditorías privilegiando la eficacia, eficiencia y oportunidad en los resultados de las revisiones; 8

Interrelación externa: Proponen mantener estrechas relaciones profesionales con otras gerencias de auditoría a fin de intercambiar estrategias, criterios y resultados; Agente de cambio: Proporcionan las bases para posicionar a la Auditoría como un agente de cambio a fin de implementar la auto evaluación del control; Reingeniería de auditoría: Proponen el cambio funcional. 9

ASEGURAMIENTO DE LA INFORMACIÓN Es la base sobre la que se construye la toma de decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre de que la información sobre la que sustentan sus decisiones es confiable, segura y está disponible cuando se le necesita. 10

Definimos Aseguramiento de la Información como la utilización de información y de diferentes actividades operativas, con el fin de proteger la información, los sistemas de información y las redes de forma que se preserve la disponibilidad, integridad, confidencialidad, autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a través de comunicaciones e Internet. 11

Una tarea de aseguramiento puede darse a cualquier nivel, por lo que a continuación se describe brevemente las más importantes: Aseguramiento de los Datos: Referente la información histórica o prospectiva, probabilística e indicadores de desempeño; Aseguramiento de los Procesos: Basado principalmente en controles internos y procedimientos establecidos para la protección de intereses; 12

Aseguramiento del Comportamiento: Conformidad con normas, regulaciones o mejores prácticas; Aseguramiento del Sistema de Gestión: En la que los objetivos del negocio son establecidos para proteger a todos los involucrados: directivos y empleados. 13

ASEGURAMIENTO DE LA CALIDAD La administración del aseguramiento de la calidad valida que los SI producidos por la función de sistemas de información logren las metas de calidad y que el desarrollo, implementación, operación, y mantenimiento de dichos sistemas, cumplan con un conjunto de normas de calidad. 14

En la actualidad es más común ver que los usuarios se están haciendo más exigentes en términos de la calidad del software que emplean para realizar su trabajo, por ello actualmente el aseguramiento de la calidad ha tomado mayor importancia. Las entidades se están comprometiendo en proyectos de SI que tienen requerimientos de calidad más estrictos y se preocupan cada vez más sobre sus responsabilidades legales al producir y vender software defectuoso. 15

Debido a esto, mejorar la calidad del software es parte de una tendencia universal entre las organizaciones proveedoras para mejorar la calidad de los productos y los servicios que ofrecen, agregando valor a los controles de producción, implementación, operación y mantenimiento del software. 16

Normas de TIC Vigente a partir del 1ro. de noviembre de 2012 17

Es el examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con políticas, prácticas, procesos y procedimientos en materia de tecnologías de la información y la comunicación, para expresar una opinión independiente respecto: a) A la confidencialidad, integridad, disponibilidad y confiabilidad de la información. b) Al uso eficaz de los recursos tecnológicos. c) A la eficacia del control interno asociado a los procesos de las Tecnologías de la Información y la Comunicación. 18

La auditoría de TIC está definida principalmente por sus objetivos y puede ser orientada hacia uno o varios de los siguientes enfoques: a) Enfoque a las seguridades; b) Enfoque a la información; c) Enfoque a la infraestructura tecnológica; d) Enfoque al software de aplicación; e) Enfoque a las comunicaciones y redes. 19

1ra. Norma: PLANIFICACIÓN La auditoría de tecnologías de la información y la comunicación se debe planificar en forma metodológica, para alcanzar eficientemente los objetivos de la misma. 20

2da. Norma: SUPERVISIÓN Personal competente debe supervisar sistemática y oportunamente el trabajo realizado por los profesionales que conformen el equipo de auditoría. 21

3ra. Norma: CONTROL INTERNO Debe obtenerse una comprensión del control interno relacionado con el objeto del examen. 22

4ta. Norma: EVIDENCIA Debe obtenerse evidencia competente y suficiente como base razonable para sustentar los hallazgos y conclusiones del auditor gubernamental. 23

La acumulación de evidencia es un proceso integrado a toda la ejecución de la auditoría y debe sustentar todos los atributos de los hallazgos de auditoría: Condición: Situación deficiente encontrada. Lo que es ; Criterio: Es la norma contra la cual el auditor mide la condición. Lo que debe o debió ser ; 24

Causa: Párrafo donde el auditor detalla las razones por las cuales a su juicio, ocurrió la condición observada. Por qué ocurrió la condición ; Efecto: Es la consecuencia real o potencial, cuantitativa o cualitativa de la condición descrita. La diferencia entre lo que es y debió ser Recomendación Comentario de la entidad Conclusión. 25

Recomendaciones generales con el propósito de minimizar los riesgos y eliminar las causas detectadas que afectan a: la integridad y confiabilidad de la información gestionada en XX. COMENTARIOS Y SUGERENCIAS RESULTANTES DE LA EVALUACIÓN DE LOS SISTEMAS DE INFORMACIÓN 1 Necesidad de una Auditorías de Sistemas 2 Necesidad de actualizar e implementar normas políticas y procedimientos para la administración de las tareas relacionadas con tecnología de la información 3 Recomendaciones para la seguridad física del centro de cómputo 4 Debilidades en el proceso de desarrollo y mantenimiento de componentes y/o sistemas de información. 5 Debilidades en las copias de respaldo 6 Necesidad de implementar modificaciones y bajas automáticas en la gestión de claves. 26

3 RECOMENDACIONES PARA LA SEGURIDAD FÍSICA DEL CENTRO DE CÓMPUTO Condición Como resultado de la evaluación de seguridad física realizada al Centro de Cómputo de la Entidad, se observó que el Data Center al ser un activo informático, no se ubica en un lugar adecuado para garantizar la seguridad de los equipos donde residen los sistemas del Programa. Por otro lado, el acceso al área de sistemas ni al Centro de Cómputo es controlado, como especifica el Manual de Seguridad y Contingencias. No se aplica correctamente el Cableado Estructurado. 27

Criterio De acuerdo con la ISO 27002, en su apartado 9.2.1 "Ubicación y protección del equipamiento", los equipos deben ser ubicados y protegidos para reducir los riegos ocasionados por amenazas y peligros ambientales y oportunidades de accesos no autorizados. Asimismo, el Estándar TIA-942 se encarga de brindar los requerimientos y lineamientos necesarios para el diseño e instalación del Data Center. La aplicación de infraestructura con componentes redundantes (TIER II), infraestructura con mantenimiento simultaneo (TIER III) e infraestructura tolerante a fallos (TIER IV), control de ingreso y salida, tanto de personal autorizado y no autorizado y Cableado Estructurado, deben ser considerados a la hora de implementar un Data Center. 28

Causa Este aspecto no fue considerado con anterioridad. Efecto El no contar con infraestructura adecuada reduce las medidas de seguridad básicas de protección del equipamiento, incrementa el riesgo de que se generen accesos no autorizados a la información y que los equipos puedan sufrir amenazas físicas y ambientales las cuales deriven en la interrupción de las operaciones del programa por falta de los sistemas de información. 29

Recomendación Debería considerarse que el ambiente de procesamiento de datos cuente con las siguientes medidas como ser: Empresas que dan soporte 24/7; Servicios 24x365; Manejo térmico; Software de administración de infraestructura física diseñada como solución integral; Detección y supresión de incendios; Generadores de energía Cajas ignifugas, para el resguardo de los medios de almacenamiento removibles (tales como cintas, discos ópticos, etc.) Armarios especiales con algún tipo de dispositivo de cierre; Monitoreo y personal de seguridad 7x24; Acceso restringido a través de tarjetas de proximidad y sensores biométricos de huella, temperatura corporal y de iris; Resguardo físico por vidrios anti-balas nivel 7 y puertas de acero; Sistemas de detección de intrusos; Sistemas de análisis de seguridad de activos. 30

Comentario de la entidad: Se tomará en cuenta la presente recomendación, acorde con la propuesta de modernización de las Tecnologías de la Información presentada por la Unidad de Sistemas, evaluando la posibilidad institucional de realizar mejoras en el ambiente y otros requerimientos relacionados, si el caso amerita. 31

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback