Normas:
Contienen los requisitos obligatorios tanto para una auditoria como para sus
reportes
Lineamientos: Determina como se aplicara cada una de las normas
Procedimientos: Son documentos que contienen información sobre la
forma de cumplir con las normas al momento de estar realizando un encargo de
auditoría.
El
cumplimiento del auditor respecto a las normas en base a la guía que es
proporcionada por los lineamientos, y los procedimientos también conocidos como
técnicas.
Código ISACA: Se
clasifica en siete aspectos:
Apoyar
la implementación y fomentar el cumplimiento de las normas y los controles
apropiados en SI.
v
Ejecutar
sus labores con objetividad, diligencia y cuidado profesional.
v
Servir en
el interés de las partes de forma legal y honesta.
v
Mantener
la confidencialidad y privacidad de la información obtenida.
v
Mantener
competencia en sus respectivos campos.
v
Informar a
las personas adecuadas los resultados del trabajo realizado.
v
Apoyar la
información profesional de las partes interesadas para mejorar su comprensión y
seguridad en SI.
Estándar
de auditoría y aseguramiento de SI.
Los
estándares de auditoría y aseguramiento de SI definen los requerimientos
obligatorios para la auditoría, el reporte informe de SI:
Estándares generales (serie 1000): Los principios de orientación según los cuales operan
los profesionales de auditoría y
aseguramiento de SI. Se refieren a la realización de todas las asignaciones y
se ocupan de la ética, independencia,
objetividad, debido cuidado, conocimiento, competencia y habilidad de los
profesionales de auditoría y
aseguramiento de SI.
Los estándares de auditoría son los siguientes:
Estándares de desempeño (serie 1200): Se refieren a la realización de la asignación; es
decir, planificación y supervisión,
alcance, riesgo e importancia, movilización de recursos, gestión de supervisión
y asignaciones, evidencia de
auditoría y aseguramiento, y la puesta en práctica del juicio profesional y
debido cuidado.
Estándares de reportes (serie 1400): Se refieren a los tipos de reportes, medios de
comunicación y a la información
comunicada.
Lineamientos
o directrices: que
respaldan los estándares y también están clasificados en:
v
Lineamientos
generales
v
Lineamientos
de desempeño
v
Lineamientos
de reportes
v
Entre los
lineamientos encontramos
v
Uso del
trabajo de otros auditores
v
Requerimiento
de evidencia de auditoria
v
Uso de
técnicas de auditoría asistidas por computadora
Contratación
de servicios externos de actividades de SI, para otras organizaciones.
v
Debido
cuidado profesional
v
Documentación
de la auditoria
v
Consideraciones
de auditoría para casos específicos
v
Efectos de
los controles generales de SI
v
Relación
organizacional e independencia
v
Planificación
revisada
v
Etc.
Herramientas y técnicas, que brindan orientación adicional para los
profesionales de auditoría y aseguramiento de SI; por ejemplo, libros blancos,
programas de auditoría/aseguramiento de SI, la familia de productos de COBI
Entre
las técnicas se encuentran las siguientes:
v
Evaluación
de riesgos
v
Firmas
digitales
v
Detección
de intrusos
v
Autoevaluación
de control interno
v
Evaluación
de la seguridad
v
Evaluación
de los controles de gestión
v
Transferencias
electrónicas de datos.
Organización
internacional de estándares ISO
El
ISO que son iniciales de su nombre en español, Organización Internacional de
Estándares, es una organización para la creación principalmente de un conjunto
de directrices internacionales compuesta por diferentes organizaciones
nacionales de estandarización, que apoyan a diferentes organizaciones a
implementar sistemas de calidad efectivos para el tipo de trabajo que ellos
realizan.
Fue
fundada en 1947, actualmente su sede está en Ginebra, Suiza y al menos para
2015, trabaja con 196 países.
ISO
en materia de Sistemas de Información, cuenta con estándares más específicos,
entre ellos podemos nombrar:
ISO 27001
Esta
norma contiene los requisitos del sistema de gestión de seguridad de la
información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a
la cual se certifican por auditores externos los SGSI de las organizaciones.
Enumera en forma de resumen los objetivos de control y controles que desarrolla
la ISO 27002. Esta norma internacional (27001) especifica los requisitos para
establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y
mejorar un SGSI documentado dentro del contexto global de los riesgos de
negocio de la organización. Especifica los requisitos para la implantación de
los controles de seguridad hechos a medida de las necesidades de organizaciones
individuales o partes de las mismas.
ISO 15504
(Spice)
Sistema
de calidad de productos software, combina ideas de CMM e ISO 9000. Sus
derivados: ISO 15504-2, modelo de madurez ISO 15504-3, requisitos para
evaluación de procesos ISO 15504-6, competencia, formación, etc. Propósito Evaluación del proceso de
Ingeniería Mejora de proceso de ingeniería Determinación de capacidades
(madurez) Dirigida a: Adquiridores
Suministradores Evaluadores Permite la evaluación de procesos software en
organizaciones que realicen alguna de las actividades del ciclo de vida del
software.
ISO 12207
Este
estándar "establece un marco de referencia común para los procesos del
ciclo de vida software, con una terminología bien definida, que puede ser
referenciada por la industria del software” Tiene como objetivo principal
proporcionar una estructura común para que compradores, proveedores,
desarrolladores, personal de mantenimiento, operadores, gestores y técnicos
involucrados en el desarrollo de software usen un lenguaje común. Contiene
procesos, actividades y tareas para aplicar durante la adquisición de un
sistema que contiene software, un producto software puro o un servicio
software, y durante el suministro, desarrollo, operación y mantenimiento de
productos software.
ISO/IEC
17799 (también conocido como ISO 27002)
Es
un estándar para la seguridad de la información. Este estándar internacional de
alto nivel para la administración de la seguridad de la información, fue
publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco
de seguridad sobre el cual trabajen las organizaciones. Se define como una guía
en la implementación del sistema de administración de la seguridad de la
información, se orienta a preservar los siguientes principios de la seguridad
informática: Confidencialidad. Asegurar que únicamente personal autorizado
tenga acceso a la información. Integridad. Garantizar que la información no
será alterada, eliminada o destruida por entidades no autorizadas.
Cisa
- Certified Information Systems Auditor.
CISA,
es una certificación de auditores de sistemas de información, para el 2012 se
contaba con el dato de tener 90,000 profesionales certificados.
Esta
certificación fue creada para cumplir con ciertos objetivos como proveer una
herramienta motivacional para los auditores de sistemas de información para
mantener sus habilidades y monitorizar la efectividad de los programas de
mantenimiento; también, proveer criterios de ayuda y gestión en la selección de
personal y desarrolladores
Para
Certificar a un Auditor es necesario que este cumpla con ciertos requisitos,
por ejemplo:
v
Contar con
un mínimo de un año de experiencia en sistemas de información o un año de
experiencia en auditorias operacionales.
v
Cumplir
con ciertas horas de estudios profesionales que pueden ser sustituidas si se
cuentas con dos años de experiencia en sistemas de información.
v
Aprobar el
examen elaborado por la asociación.
Cobit
COBIT
es una lección creada originalmente como material didáctico del proyecto de
aprendizaje Dirección y Gestión de Proyectos y Sistemas Informáticos.
Esta
lección es una introducción a COBIT (Control Objectives for Information and
Related Technology) que es un marco de gestión o gobierno del área de
tecnologías de información de una empresa. Aborda las fases de desarrollo,
implementando, monitorización y mejor continua.
COBIT
ha sufrido 5 versiones desde su inicio, a continuación breve resumen de sus
versiones:
COBIT 1,
versión publicada y creada en 1996, su centro es la Auditoria de Sistemas
Informáticos.
COBIT 2, fue publicada dos años después, esta versión se
centra en el Control.
COBIT 3,
esta versión pasó 12 años después de la última, su principal atención lo hace
en la Administración.
COBIT 4,
fue durante 2005 y 2007 que sale esta versión, enfoca su atención en el
Gobierno de Informática, es considerado el VAL IT y el RIESGO IT (2009).
La
versión más reciente (2012) ES COBIT 5, en este material, nos centraremos más
en esta versión, misma que proporciona un marco integral que ayuda a las
Organizaciones a lograr sus metas y entregar valor mediante un gobierno y una
administración efectiva del ámbito Informático de la Organización y también
profundiza sobre el riesgo y como minimizarlo.
A
continuación una ilustración de las diferentes versiones que nos ha compartido
COBIT para ampliar la información.
COBIT 5
une cinco principios que permiten a la Organización construir un marco efectivo
de Gobierno y Administración basado en una serie de siete habilitadores, que
optimizan la inversión en tecnología e información así como su uso en beneficio
de las partes interesadas.
Principios
COBIT
v
Satisfacer
las necesidades de las Partes Interesadas
v
Cubrir la
Compañía de Forma Integral
v
Aplicar un
solo Marco Integrado
v
Habilitar
un Enfoque Holístico
v
Separar el
Gobierno de la Administración
Definición y características de la auditoria
Auditoria: Consiste
en el análisis y revisión de la
información financiero y/ contable de una empresa, organización o
entidad de determinado periodo contable, se realiza con el objetivo de brindar
una seguridad razonable sobre la razonabilidad de los estados financieros.
Características:
v
La
importancia de la información financiera radica en la seguridad de su sistema.
v
Se consideran
un activo real de la empresa.
v
Los
cambios estructurales permiten organizar
las funciones.
Tipos
de auditoría: Entre los tipos de auditoría encontramos
Auditoria de seguridad de
la información: Consiste en el nivel de resguardo que posee nuestra
información.
Auditoria informática de
sistemas: Se encarga de analizar las técnicas de sistema en todas sus fases
como lo son los sistemas operativos, el software básico, software de
teleproceso, la administración de base de datos.
Herramientas y técnicas para la auditoria de informática: Entre las principales herramientas se encuentran los
cuestionarios, las entrevistas, los checklis, trazas o huellas (verificación de
programas),
Auditoria de informática de
comunicaciones y redes: Es una
revisión de la metodología de red como también de los análisis para una mejora.
Auditoria de explotación
informativa: Consiste en
establecer controles para evaluar la integridad y calidad de la información
contenida en la base de datos.
Auditoria de informática de desarrollo de
proyectos: Se realiza mediante una
revisión de proyectos. Los aspectos para analizar son los siguientes:
v
Revisión
de las metodologías utilizadas
v
Control
interno en las aplicaciones
v
Satisfacción
de usuarios
v
Control de
procesos y ejecuciones de programas
No hay comentarios.:
Publicar un comentario