SlideShare ist ein Scribd-Unternehmen logo

Rodrigonix auditoria informatica-clases-3_4

Als PPT, PDF herunterladen
R
rodrigonix
1 von 20
Auditoría Informática Riesgos “La incertidumbre que ocurra un evento que podría tener un impacto en el logro de los objetivos”.
Auditoría Informática Riesgos Los riesgos cuando se materializan, se denominan errores, irregularidades u omisiones, los cuales pueden generar una pérdida monetaria, en la imagen de la empresa o incumplimiento de normativa externa.
Auditoría Informática Riesgos Riesgo = Impacto * Probabilidad Impacto: es el efecto o consecuencia cuando el riesgo se materializa Probabilidad: representa la posibilidad que un evento dado ocurra.
Auditoría Informática Riesgos Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la materia y/o componentes de ésta. Se entiende que una materia por su naturaleza tiene riesgos que surgen por diversas fuentes, como los errores, irregularidades o fallas que pudieran ser importantes en forma individual o en conjunto con otros riesgos. Los riesgos inherentes a la materia pueden tener o no controles elaborados por la dirección para mitigar su probabilidad o su impacto. Los riesgos inherentes a la materia bajo análisis pueden ser relativos al entorno, ambiente interno, procesos, información, etc
Auditoría Informática Riesgos Inherentes Riesgo de Crédito Riesgo Financiero Riesgo Operacional Riesgo de Tecnología de la Información Riesgo Calidad de Servicio y transparencia de la Información
Auditoría Informática Riesgos Inherentes  Riesgo de Crédito: Exposición a una pérdida real o el costo de oportunidad como consecuencia del incumplimiento de pago de una persona natural o jurídica.  Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios en la economía local o internacional que podría afectar los descalces de caja o posiciones asumidas por inversiones y su liquidez, como asimismo los descalces globales de activos.  Riesgo Operacional: Se define como el riesgo de pérdida debido a la inadecuación o fallas en los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos (fraudes, daños activos materiales, fallas en procesos,etc). Incluye riesgos legales y normativos.
Auditoría Informática Riesgos de Tecnología de la Información 1.Riesgo de Integridad de la Información; Agrupa todos los riesgos asociados con la autorización, integridad, y exactitud de las transacciones según se ingresan, se procesan, se resumen y se informan en los sistemas computacionales de una organización, manifestándose en los siguientes componentes de un sistema:  Interfaz usuaria; se refiere a si existen restricciones que hagan que los trabajadores de una organización estén autorizados a desarrollar funciones de negocio sobre necesidad del negocio y la necesidad de lograr una segregación de funciones razonable.  Procesamiento; se relacionan a la existencia de controles que aseguran que el procesamiento de datos se ha completado y realizado a tiempo.
Auditoría Informática Riesgos de Tecnología de la Información •Interfase – Los riesgos en esta área generalmente se relacionan con la existencia de controles adecuados, preventivos o de detección, que aseguren que los datos que han sido procesados y/o resumidos sean transmitidos adecuada y completamente a otro sistema de aplicación que se alimente de estos datos/información y sean procesados por dicho sistema. •Administración del Cambio – Los riesgos en esta área pueden ser generalmente considerados parte del Riesgo de Infraestructura, pero ellos impactan significativamente sobre los sistemas de aplicación. Estos riesgos están asociados con procesos inadecuados de administración del cambio incluyendo tanto la participación y entrenamiento del usuario como el proceso por el cual los cambios de cualquier aspecto del sistema de aplicación son comunicados e implementados.
Auditoría Informática Riesgos de Tecnología de la Información Error de Procesamiento; se refiere a si existen procesos adecuados que aseguren que todas las excepciones de entrada y procesamiento de datos que se capturan, son corregidas y reprocesadas en forma precisa, íntegra y oportuna.. Datos; se relacionan a la existencia de controles de administración de datos inadecuados que incluyen seguridad/integridad de los datos procesados. La integridad se puede perder por errores en la programación, errores de procesamiento, errores de administración de sistemas.
Auditoría Informática Riesgos de Tecnología de la Información 2. Riesgo de Acceso; puede ocurrir en cada uno o todos de los siguientes cinco niveles:  Red, el riesgo en esta área está generado por el riesgo de acceso inapropiado a la red a pc´s y servidores.  Ambiente de Procesamiento, el riesgo se genera con el acceso indebido al ambiente de procesamiento a los programas y datos que están almacenados en ese ambiente.  Sistemas de Aplicación, está dado por una inadecuada segregación de funciones que podría ocurrir si el acceso a los sistemas estuviese concedido a personas con necesidades de negocio sin definiciones claras.  Acceso Funcional, dentro de aplicaciones (Código fuente)  Acceso a nivel de campo o dato.
Auditoría Informática Riesgos de Tecnología de la Información Segregación de Funciones o Contraposición de Intereses Es un control preventivo que persigue evitar que una misma persona pueda tener bajo su control totalmente la información, para evitar así la comisión de fraudes o errores.
Auditoría Informática Riesgos de Tecnología de la Información 3. Riesgo de Disponibilidad  Riesgos asociados con la interrupción de los sistemas a corto plazo donde las técnicas de restitución/recuperación se pueden utilizar para minimizar el alcance de la interrupción.  Riesgos asociados con desastres que causan interrupciones en el procesamiento de la información a largo plazo y que se centran en controles como backups y planes de contingencia. La capacidad de la empresa para continuar con sus operaciones y procesos críticos puede depender en gran medida de la disponibilidad de determinados sistemas de información.
Auditoría Informática Riesgos de Tecnología de la Información 3. Riesgo de Disponibilidad (continuación…) La capacidad de la empresa para continuar con sus operaciones y procesos críticos puede depender en gran medida de la disponibilidad de determinados sistemas de información. Si no se dispusiera de sistemas críticos o importantes por un período importante, la compañía podría experimentar dificultades para continuar con sus operaciones. Sistemas de información críticos e importantes que no están disponibles para dar soporte a determinadas operaciones pueden provocar pérdidas de ingresos, flujos de cajas y rentabilidad, pérdidas de ventajas competitivas, insatisfacción de clientes y pérdida de participación de mercado, problemas de imagen, incremento de costos e incluso multas y sanciones.
Auditoría Informática Riesgos de Tecnología de la Información 4. Riesgo de Infraestructura El riesgo de que una organización no tenga una infraestructura eficaz de información tecnológica (HW, SW, personas y procesos) para apoyar eficazmente las necesidades actuales y futuras del negocio de una forma eficiente y eficaz en términos de costos y controles. Principalmente están relacionados con:  Planificación organizacional; el riesgo de que los planes de información tecnológica no estén integrados con los planes del negocio presentes y futuros, afectando el proceso de toma de decisiones y planificaciones inadecuadas.  Definición y despliegue de sistemas de aplicación; el riesgo de que las definiciones y necesidades de los usuarios para nuevas soluciones de sistemas provoquen diseños ineficaces o incompletos. Los esfuerzos de desarrollo no siguen un enfoque consistente para confirmar la satisfacción del usuario y del negocio. Los esfuerzos de implantación no consideran adecuadamente el entrenamiento usuario.
Auditoría Informática Riesgos de Tecnología de la Información 4. Riesgo de Infraestructura (Continuación….)  Seguridad Lógica y Administración de Seguridad; el riesgo de acceso inadecuado a los sistemas, datos o transacciones críticos, tanto por personal de la compañía como externos, resultando en pérdida de la integridad de los datos/información y la exposición o mal uso de información confidencial..  Operaciones con computador y red; es el riesgo que los computadores y/o redes no sean eficientemente administrados derivando en problemas de desempeño o de capacidad de los usuarios.  Administración de Bases de Datos; es el riesgo de que los datos o bases carezcan de la integridad necesaria para dar apoyo a las decisiones de negocio.  Recuperación del centro de proceso de datos; es el riesgo de que los sistemas, procesos y datos/información no puedan ser restablecidos luego de una interrupción del servicio de manera oportuna para las necesidades del negocio.
Auditoría Informática Riesgos de Tecnología de la Información 5 Riesgo de Externalización de Servicios Generar e implementar una Metodología de Análisis de Riesgo que permita evaluar en forma sistemática los procesos y recursos, sus vulnerabilidades y las amenazas para los procesos que la organización externaliza. Incorporar un proceso sistemático por el cual el administrador de la empresa con el servicio externalizado, evalúa y reduce la exposición al riesgo identificado a un nivel aceptable por la organización.
Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar en la gestión del riesgo. La gestión de riesgo debe considerar los siguientes aspectos:  Identificación del Sistema o Proceso  Identificación de la Amenazas  Identificación de las Vulnerabilidades  Controles  Determinar la Probabilidad de ocurrencia  Análisis de Impacto  Determinación del Riesgo  Recomendación de Controles  Documentar los Resultados
Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar en la Gestión del Riesgo. Mitigar los Riesgos La metodología a implementar debe considerar opciones de mitigación de los riesgos:  Prevención: Implementación de Controles, Tecnológicos, administrativos y operacionales  Transferencia de los riesgos: seguros  Eludir: Cambiando la forma de hacer las cosas  Aceptar: Vivir con el riesgo
Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar en la Seguridad de Información. Desde el punto de vista de los servidores: •Análisis de Vulnerabilidad de los servidores que darán el servicio •Antivirus instalado y actualizado en los servidores que darán el servicio •Parches de seguridad evaluados e instalados según corresponda en los servidores que darán el servicio Desde el punto de vista de la transferencia de información: •Encriptación de la comunicación entre la organización y la empresa prestadora de servicios Desde el punto de la continuidad operacional: Servidores de respaldo •Máquina especializadas de respaldo •Site de respaldo •Pruebas de contingencia
Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar: Encriptación: Es una tecnología que permite la transmisión segura de información, al codificar los datos transmitidos usando una fórmula matemática que “desmenuza” los datos. La encriptación utiliza una llave pública para encriptar datos, y una llave privada para descifrar o desencriptar la información. Sin el decodificador o llave para desencriptar, el contenido enviado se ve como un conjunto de caracteres extraños, sin ningún sentido y lógica de lectura.

Empfohlen

Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióN
guest75288c
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?
Meztli Valeriano Orozco
 
Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos
Edgar Oswaldo Caballero Montes
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos Informáticos
VernicaQuinteroJimne
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformatica
Elizabeth Sanchez
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
alejenny
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
Florencio Lara
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
Financieros2008
 

Empfohlen

Seguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióNSeguridad Y Control De Los Sistemas De InformacióN
Seguridad Y Control De Los Sistemas De InformacióN
guest75288c
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?
Meztli Valeriano Orozco
 
Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos
Edgar Oswaldo Caballero Montes
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos Informáticos
VernicaQuinteroJimne
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformatica
Elizabeth Sanchez
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
alejenny
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
Florencio Lara
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
Financieros2008
 
Vulnerabilidad en los sistemas
Vulnerabilidad en los sistemasVulnerabilidad en los sistemas
Vulnerabilidad en los sistemas
Alberth ibañez Fauched
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
Financieros2008
 
Control informatico
Control informaticoControl informatico
Control informatico
Vita1985
 
Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informatica
rgabrielnaranjo
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
David Thomas
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacion
Carlos Jara
 
Sig
SigSig
Sig
Luzdari Ibarra
 
Semana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaSemana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad física
edithua
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
Maria Haidy Ortiz Quimbaya
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informática
Jaider Quintero
 
Calidad y estandarizacion
Calidad y estandarizacionCalidad y estandarizacion
Calidad y estandarizacion
Yosel97
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
Vidal Oved
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencial
guestfb90a7
 
Autoría de sistemas
Autoría de sistemasAutoría de sistemas
Autoría de sistemas
Doris Suquilanda
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutable
Bella Loor
 
Comercio electronico
Comercio electronicoComercio electronico
Comercio electronico
SenobioQuispeMollo2
 
Auditoria de sistemas
Auditoria de sistemas Auditoria de sistemas
Auditoria de sistemas
andrea_sanchez_UCE
 
Teoria de sistemas ii
Teoria de sistemas iiTeoria de sistemas ii
Teoria de sistemas ii
azuajesimon
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
Auditoria informatica clases-1-2
Auditoria informatica clases-1-2Auditoria informatica clases-1-2
Auditoria informatica clases-1-2
rodrigonix
 
6. diseño de redes de área local y documentación
6. diseño de redes de área local y documentación6. diseño de redes de área local y documentación
6. diseño de redes de área local y documentación
Dianix Sann
 

Weitere ähnliche Inhalte

Was ist angesagt?

SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
Financieros2008
 
Control informatico
Control informaticoControl informatico
Control informatico
Vita1985
 
Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informatica
rgabrielnaranjo
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informática
Jaider Quintero
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencial
guestfb90a7
 
Teoria de sistemas ii
Teoria de sistemas iiTeoria de sistemas ii
Teoria de sistemas ii
azuajesimon
 

Was ist angesagt? (19)

Vulnerabilidad en los sistemas
Vulnerabilidad en los sistemasVulnerabilidad en los sistemas
Vulnerabilidad en los sistemas
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
 
Control informatico
Control informaticoControl informatico
Control informatico
 
Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informatica
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacion
 
Sig
SigSig
Sig
 
Semana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaSemana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad física
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informática
 
Calidad y estandarizacion
Calidad y estandarizacionCalidad y estandarizacion
Calidad y estandarizacion
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencial
 
Autoría de sistemas
Autoría de sistemasAutoría de sistemas
Autoría de sistemas
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutable
 
Comercio electronico
Comercio electronicoComercio electronico
Comercio electronico
 
Auditoria de sistemas
Auditoria de sistemas Auditoria de sistemas
Auditoria de sistemas
 
Teoria de sistemas ii
Teoria de sistemas iiTeoria de sistemas ii
Teoria de sistemas ii
 

Andere mochten auch

Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
Auditoria informatica clases-1-2
Auditoria informatica clases-1-2Auditoria informatica clases-1-2
Auditoria informatica clases-1-2
rodrigonix
 
6. diseño de redes de área local y documentación
6. diseño de redes de área local y documentación6. diseño de redes de área local y documentación
6. diseño de redes de área local y documentación
Dianix Sann
 
Gestion De Seguridad De La Red
Gestion De Seguridad De La RedGestion De Seguridad De La Red
Gestion De Seguridad De La Red
Randolph Avendaño
 
Guia metodologia mapa de riesgos
Guia metodologia mapa de riesgosGuia metodologia mapa de riesgos
Guia metodologia mapa de riesgos
adrianammb
 
Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)
Arsys
 
Auditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivosAuditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivos
Hernán Sánchez
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
Wil Vin
 

Andere mochten auch (17)

Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Auditoria informatica clases-1-2
Auditoria informatica clases-1-2Auditoria informatica clases-1-2
Auditoria informatica clases-1-2
 
6. diseño de redes de área local y documentación
6. diseño de redes de área local y documentación6. diseño de redes de área local y documentación
6. diseño de redes de área local y documentación
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cf
 
Mapa de-riesgos
Mapa de-riesgosMapa de-riesgos
Mapa de-riesgos
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
 
Presentacion auditoria informatica
Presentacion auditoria informaticaPresentacion auditoria informatica
Presentacion auditoria informatica
 
2010061739 pry mp 22_i-v1 auditoria por procesos
2010061739 pry mp 22_i-v1 auditoria por procesos2010061739 pry mp 22_i-v1 auditoria por procesos
2010061739 pry mp 22_i-v1 auditoria por procesos
 
Gestion De Seguridad De La Red
Gestion De Seguridad De La RedGestion De Seguridad De La Red
Gestion De Seguridad De La Red
 
METODOLOGÍA PARA LA EVALUACIÓN DE RIESGOS DE INTEGRIDAD 25.AGO.2014
METODOLOGÍA PARA LA EVALUACIÓN DE RIESGOS DE INTEGRIDAD 25.AGO.2014METODOLOGÍA PARA LA EVALUACIÓN DE RIESGOS DE INTEGRIDAD 25.AGO.2014
METODOLOGÍA PARA LA EVALUACIÓN DE RIESGOS DE INTEGRIDAD 25.AGO.2014
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Guia metodologia mapa de riesgos
Guia metodologia mapa de riesgosGuia metodologia mapa de riesgos
Guia metodologia mapa de riesgos
 
Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)Webinar: Planes de Recuperación de Desastres (DRP)
Webinar: Planes de Recuperación de Desastres (DRP)
 
Auditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivosAuditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivos
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
Diseño De Central De Computo I
Diseño De Central De Computo IDiseño De Central De Computo I
Diseño De Central De Computo I
 

Ähnlich wie Rodrigonix auditoria informatica-clases-3_4

Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
alejenny
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
Anita's Mendez
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
daysiGallegos
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
Anita's Mendez
 
Presentación auditoría de sistemas
Presentación auditoría de sistemasPresentación auditoría de sistemas
Presentación auditoría de sistemas
Jose Madrid
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
Edna Lasso
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
carloscv
 
Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridad
Rosaly Mendoza
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Eli Castro
 

Ähnlich wie Rodrigonix auditoria informatica-clases-3_4 (20)

Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
3 elementos del control intern
3 elementos del control intern3 elementos del control intern
3 elementos del control intern
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
 
Presentación auditoría de sistemas
Presentación auditoría de sistemasPresentación auditoría de sistemas
Presentación auditoría de sistemas
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
 
Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridad
 
Modulo
ModuloModulo
Modulo
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Plan de seguridad
Plan de seguridadPlan de seguridad
Plan de seguridad
 
COMPUTACION CUANTICA
COMPUTACION CUANTICACOMPUTACION CUANTICA
COMPUTACION CUANTICA
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicos
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicos
 
Material 2do Examen.
Material 2do Examen.Material 2do Examen.
Material 2do Examen.
 

Rodrigonix auditoria informatica-clases-3_4

  • 1. Auditoría Informática Riesgos “La incertidumbre que ocurra un evento que podría tener un impacto en el logro de los objetivos”.
  • 2. Auditoría Informática Riesgos Los riesgos cuando se materializan, se denominan errores, irregularidades u omisiones, los cuales pueden generar una pérdida monetaria, en la imagen de la empresa o incumplimiento de normativa externa.
  • 3. Auditoría Informática Riesgos Riesgo = Impacto * Probabilidad Impacto: es el efecto o consecuencia cuando el riesgo se materializa Probabilidad: representa la posibilidad que un evento dado ocurra.
  • 4. Auditoría Informática Riesgos Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la materia y/o componentes de ésta. Se entiende que una materia por su naturaleza tiene riesgos que surgen por diversas fuentes, como los errores, irregularidades o fallas que pudieran ser importantes en forma individual o en conjunto con otros riesgos. Los riesgos inherentes a la materia pueden tener o no controles elaborados por la dirección para mitigar su probabilidad o su impacto. Los riesgos inherentes a la materia bajo análisis pueden ser relativos al entorno, ambiente interno, procesos, información, etc
  • 5. Auditoría Informática Riesgos Inherentes Riesgo de Crédito Riesgo Financiero Riesgo Operacional Riesgo de Tecnología de la Información Riesgo Calidad de Servicio y transparencia de la Información
  • 6. Auditoría Informática Riesgos Inherentes  Riesgo de Crédito: Exposición a una pérdida real o el costo de oportunidad como consecuencia del incumplimiento de pago de una persona natural o jurídica.  Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios en la economía local o internacional que podría afectar los descalces de caja o posiciones asumidas por inversiones y su liquidez, como asimismo los descalces globales de activos.  Riesgo Operacional: Se define como el riesgo de pérdida debido a la inadecuación o fallas en los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos (fraudes, daños activos materiales, fallas en procesos,etc). Incluye riesgos legales y normativos.
  • 7. Auditoría Informática Riesgos de Tecnología de la Información 1.Riesgo de Integridad de la Información; Agrupa todos los riesgos asociados con la autorización, integridad, y exactitud de las transacciones según se ingresan, se procesan, se resumen y se informan en los sistemas computacionales de una organización, manifestándose en los siguientes componentes de un sistema:  Interfaz usuaria; se refiere a si existen restricciones que hagan que los trabajadores de una organización estén autorizados a desarrollar funciones de negocio sobre necesidad del negocio y la necesidad de lograr una segregación de funciones razonable.  Procesamiento; se relacionan a la existencia de controles que aseguran que el procesamiento de datos se ha completado y realizado a tiempo.
  • 8. Auditoría Informática Riesgos de Tecnología de la Información •Interfase – Los riesgos en esta área generalmente se relacionan con la existencia de controles adecuados, preventivos o de detección, que aseguren que los datos que han sido procesados y/o resumidos sean transmitidos adecuada y completamente a otro sistema de aplicación que se alimente de estos datos/información y sean procesados por dicho sistema. •Administración del Cambio – Los riesgos en esta área pueden ser generalmente considerados parte del Riesgo de Infraestructura, pero ellos impactan significativamente sobre los sistemas de aplicación. Estos riesgos están asociados con procesos inadecuados de administración del cambio incluyendo tanto la participación y entrenamiento del usuario como el proceso por el cual los cambios de cualquier aspecto del sistema de aplicación son comunicados e implementados.
  • 9. Auditoría Informática Riesgos de Tecnología de la Información Error de Procesamiento; se refiere a si existen procesos adecuados que aseguren que todas las excepciones de entrada y procesamiento de datos que se capturan, son corregidas y reprocesadas en forma precisa, íntegra y oportuna.. Datos; se relacionan a la existencia de controles de administración de datos inadecuados que incluyen seguridad/integridad de los datos procesados. La integridad se puede perder por errores en la programación, errores de procesamiento, errores de administración de sistemas.
  • 10. Auditoría Informática Riesgos de Tecnología de la Información 2. Riesgo de Acceso; puede ocurrir en cada uno o todos de los siguientes cinco niveles:  Red, el riesgo en esta área está generado por el riesgo de acceso inapropiado a la red a pc´s y servidores.  Ambiente de Procesamiento, el riesgo se genera con el acceso indebido al ambiente de procesamiento a los programas y datos que están almacenados en ese ambiente.  Sistemas de Aplicación, está dado por una inadecuada segregación de funciones que podría ocurrir si el acceso a los sistemas estuviese concedido a personas con necesidades de negocio sin definiciones claras.  Acceso Funcional, dentro de aplicaciones (Código fuente)  Acceso a nivel de campo o dato.
  • 11. Auditoría Informática Riesgos de Tecnología de la Información Segregación de Funciones o Contraposición de Intereses Es un control preventivo que persigue evitar que una misma persona pueda tener bajo su control totalmente la información, para evitar así la comisión de fraudes o errores.
  • 12. Auditoría Informática Riesgos de Tecnología de la Información 3. Riesgo de Disponibilidad  Riesgos asociados con la interrupción de los sistemas a corto plazo donde las técnicas de restitución/recuperación se pueden utilizar para minimizar el alcance de la interrupción.  Riesgos asociados con desastres que causan interrupciones en el procesamiento de la información a largo plazo y que se centran en controles como backups y planes de contingencia. La capacidad de la empresa para continuar con sus operaciones y procesos críticos puede depender en gran medida de la disponibilidad de determinados sistemas de información.
  • 13. Auditoría Informática Riesgos de Tecnología de la Información 3. Riesgo de Disponibilidad (continuación…) La capacidad de la empresa para continuar con sus operaciones y procesos críticos puede depender en gran medida de la disponibilidad de determinados sistemas de información. Si no se dispusiera de sistemas críticos o importantes por un período importante, la compañía podría experimentar dificultades para continuar con sus operaciones. Sistemas de información críticos e importantes que no están disponibles para dar soporte a determinadas operaciones pueden provocar pérdidas de ingresos, flujos de cajas y rentabilidad, pérdidas de ventajas competitivas, insatisfacción de clientes y pérdida de participación de mercado, problemas de imagen, incremento de costos e incluso multas y sanciones.
  • 14. Auditoría Informática Riesgos de Tecnología de la Información 4. Riesgo de Infraestructura El riesgo de que una organización no tenga una infraestructura eficaz de información tecnológica (HW, SW, personas y procesos) para apoyar eficazmente las necesidades actuales y futuras del negocio de una forma eficiente y eficaz en términos de costos y controles. Principalmente están relacionados con:  Planificación organizacional; el riesgo de que los planes de información tecnológica no estén integrados con los planes del negocio presentes y futuros, afectando el proceso de toma de decisiones y planificaciones inadecuadas.  Definición y despliegue de sistemas de aplicación; el riesgo de que las definiciones y necesidades de los usuarios para nuevas soluciones de sistemas provoquen diseños ineficaces o incompletos. Los esfuerzos de desarrollo no siguen un enfoque consistente para confirmar la satisfacción del usuario y del negocio. Los esfuerzos de implantación no consideran adecuadamente el entrenamiento usuario.
  • 15. Auditoría Informática Riesgos de Tecnología de la Información 4. Riesgo de Infraestructura (Continuación….)  Seguridad Lógica y Administración de Seguridad; el riesgo de acceso inadecuado a los sistemas, datos o transacciones críticos, tanto por personal de la compañía como externos, resultando en pérdida de la integridad de los datos/información y la exposición o mal uso de información confidencial..  Operaciones con computador y red; es el riesgo que los computadores y/o redes no sean eficientemente administrados derivando en problemas de desempeño o de capacidad de los usuarios.  Administración de Bases de Datos; es el riesgo de que los datos o bases carezcan de la integridad necesaria para dar apoyo a las decisiones de negocio.  Recuperación del centro de proceso de datos; es el riesgo de que los sistemas, procesos y datos/información no puedan ser restablecidos luego de una interrupción del servicio de manera oportuna para las necesidades del negocio.
  • 16. Auditoría Informática Riesgos de Tecnología de la Información 5 Riesgo de Externalización de Servicios Generar e implementar una Metodología de Análisis de Riesgo que permita evaluar en forma sistemática los procesos y recursos, sus vulnerabilidades y las amenazas para los procesos que la organización externaliza. Incorporar un proceso sistemático por el cual el administrador de la empresa con el servicio externalizado, evalúa y reduce la exposición al riesgo identificado a un nivel aceptable por la organización.
  • 17. Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar en la gestión del riesgo. La gestión de riesgo debe considerar los siguientes aspectos:  Identificación del Sistema o Proceso  Identificación de la Amenazas  Identificación de las Vulnerabilidades  Controles  Determinar la Probabilidad de ocurrencia  Análisis de Impacto  Determinación del Riesgo  Recomendación de Controles  Documentar los Resultados
  • 18. Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar en la Gestión del Riesgo. Mitigar los Riesgos La metodología a implementar debe considerar opciones de mitigación de los riesgos:  Prevención: Implementación de Controles, Tecnológicos, administrativos y operacionales  Transferencia de los riesgos: seguros  Eludir: Cambiando la forma de hacer las cosas  Aceptar: Vivir con el riesgo
  • 19. Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar en la Seguridad de Información. Desde el punto de vista de los servidores: •Análisis de Vulnerabilidad de los servidores que darán el servicio •Antivirus instalado y actualizado en los servidores que darán el servicio •Parches de seguridad evaluados e instalados según corresponda en los servidores que darán el servicio Desde el punto de vista de la transferencia de información: •Encriptación de la comunicación entre la organización y la empresa prestadora de servicios Desde el punto de la continuidad operacional: Servidores de respaldo •Máquina especializadas de respaldo •Site de respaldo •Pruebas de contingencia
  • 20. Auditoría Informática Riesgos de Tecnología de la Información Aspectos a considerar: Encriptación: Es una tecnología que permite la transmisión segura de información, al codificar los datos transmitidos usando una fórmula matemática que “desmenuza” los datos. La encriptación utiliza una llave pública para encriptar datos, y una llave privada para descifrar o desencriptar la información. Sin el decodificador o llave para desencriptar, el contenido enviado se ve como un conjunto de caracteres extraños, sin ningún sentido y lógica de lectura.