Tarea de SIA 17.05.2012
1
UNIVERSIDAD AUSTRAL DE CHILE FACULTAD DE CIENCIAS ECONOMICAS Y ADMINISTRATIVAS ESCUELA DE AUDITORIA
SISTEMA DE INFORMACIÓN ADMINISTRATIVA Primer Informe
PROFESOR Cristian Salazar Concha
INTEGRENTES José Luis Alvarado Olivera Álvaro Javier Burgos Navarro Franco Ángelo Michel Osses Ríos Camilo Esteban Ruiz Stuardo 2
1. Que es la Auditoria Informática
?
La auditoría informática representa el análisis y evaluación de un firme de sistema de información para detectar y rectificar bloqueos, la duplicación y la pérdida de información. Los objetivos de esta auditoría son mejorar la precisión, la pertinencia, la seguridad y oportunidad de la información registrada.1
1
The Informatics Audit – A Collaborative Process, Disponible en: http://revistaie.ase.ro/content/53/12%20Ciurea.pdf pag 2 Business Dictionary, Disponible en: http://www.businessdictionary.com/definition/informationaudit.html, 2010.
3
4
2. Que abarca la auditoria informática
?
2
La auditoría en informática es diferente y más compleja que la auditoría en la contabilidad, ya que necesitan los auditores especializados en campo de las TI. Cuando aplicaciones y sistemas que se auditan, los auditores debe comprobar que las normas y procedimientos fueron respetado en relación con el desarrollo y la utilización de de estos productos de software.
3. Quiénes pueden realizar auditoria informática
?
3
El proceso de auditoría puede ser llevada a cabo por un equipo con los siguientes mínimos miembros:
-Un auditor jefe de certificación de la información Auditor de Sistemas (CISA emitido por ISACA); 2
The Informatics Audit – A Collaborative Process, Disponible en: http://revistaie.ase.ro/content/53/12%20Ciurea.pdf pag 2
3
The Informatics Audit – A Collaborative Process, Disponible en: http://revistaie.ase.ro/content/53/12%20Ciurea.pdf pag 2-3 OM 389/2007, Disponible en: http://www.mcsi.ro/Minister/Domenii-deactivitate-ale-MCSI/TehnologiaInformatiei/Serviciielectronice/internetbanking
5
-Un experto en pruebas de penetración, la certificación Pruebas de penetración con licencia (LPT) emitido por la Comisión Europea Consejo.
4. Qué software existen de auditoría informática
?
4
Entre otros existen el Meycor cobIT, que sirve para diagnosticar el estado de la organización respecto de:
-Nivel de Seguridad -Nivel de Calidad -Nivel de Eficacia en TI -Nivel de Eficiencia en TI
4
Mayor información Disponible en http://www.slideshare.net/meme694/software-para-auditora-informtica
6
5. Cuál o Cuáles de la(s) consultora(s) pertenecientes a las Big Four realizan auditorias informáticas
?
Dentro de los servicios que esta consultora realiza se encuentra los de: 5 • • • •
•
Auditoría de sistemas informáticos Seguridad y controles de sistemas de información Auditoría de contenidos y transacciones de comercio electrónico Seguridad y controles en Internet
Asesoría en la efectividad del uso de la tecnología de la información, ayudando a las empresas a planificar, organizar e implementar el uso de la tecnología para apoyar de mejor forma los requerimientos y necesidades del negocio (Ej. estrategia de TI, selección de sistemas, arquitectura tecnológica, gestión e implementación de soluciones tecnológicas).6
5
http://www.deloitte.com/view/es_CL/cl/servicios/audit/index.htm
6
http://www.eychile.cl/?page_id=26
7
7
• asesoramos tecnológicamente a sus clientes con el fin de propiciar una pertinente toma de decisiones, dentro del escenario estratégico a mediano y largo plazo. Por ello los acompañamos implantando soluciones integrales y a escala, que van de la mano con el crecimiento de cada compañía.
• Las tecnologías de la información (IT) deben ir siempre un paso adelante en el crecimiento de las empresas y es por ello que nuestro equipo de expertos alinea la visión con un plan estratégico de IT, apoyados en un profundo conocimiento de cada industria y sus cadenas de valor.
• Ofrece Gestión de los riesgos derivados del uso de la tecnología para la consecución de sus objetivos estratégicos de negocio. Desde IRM revisamos el entorno de control de la función informática y 7
http://www.pwc.com/cl/es/eficiencia-de-tecnologias-de-informacion/index.jhtml
8
ayudamos a identificar y gestionar los riesgos relacionados con la seguridad de la informaci贸n. 8
Tu publicidad puede estar aqu铆!!! No olvides ser un Follower de :
@JoseAlvarado_O @CERS27
8
http://www.kpmg.com/cl/es/whatwedo/audit01/information/Paginas/default.aspx
9
10
6. Qué es la seguridad informática
?
9
Asegurar los recursos informáticos (Información, Programas) de una persona o grupo de personas, para que estos no sean comprometidos de una forma peligrosa para el dueño de los recursos y de una forma ventajosa para la persona que busca beneficios de la obtención de dichos recursos.
7. Que abarca la seguridad informática
?
10
Estos son los alcances de la seguridad informática:
Integridad •
Proteger la información de modificaciones no autorizadas.
Confidencialidad •
Proteger la información de divulgaciones no autorizadas.
9
http://www.formacionyeducacion.com/programa-estudio.cfm?id=3292&tipo=2 Nota: La información proporcionada respecto de la pregunta numero 5 corresponde a los servicios que ofrece en Chile cada una de las Big Four, detallando este en sus sitios web. 10 http://www.formacionyeducacion.com/programa-estudio.cfm?id=3292&tipo=2
11
Disponibilidad •
Asegurar que el sistema este siempre disponible cada vez que se le requiera
•
El usuario no puede negar la acción o acciones que realizo.
No repudio
8. Cuáles son los estándares internacionales para auditar los sistemas de información
?
11
Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA): Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos 11
www.adacsi.org.ar/files/es/content/146/Standards.doc Nota: La información referenciada con los números 9 y 10 se obtuvieron de la una presentación Power Point descargada del sitio web www.formacionyeducacion.com
12
relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.
Estándares Habituales en las auditorias informáticas en el sector público y privado. • • • • • • • • • •
Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA) The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA) Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO) Los estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO). SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA El Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI) Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información. Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado por el comité de estándares del instituto de administración de proyectos. Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon. Administración de seguridad de información: Aprendiendo de organizaciones líderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)
Tu publicidad puede estar aquí!!! No olvides ser un Follower de :
@JoseAlvarado_O @CERS27
13
14
15