Modelos Control Utilizados en Auditoria Informatica

1¿Cuáles son los tipos de auditorías que existen?


Financieras

Verificativas

Informáticas

Operativas o de Gestión

2¿De dónde pueden provenir los papeles de trabajo?


R=


Procedencia de los papeles de trabajo

Normas: Las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña y a la información que rinde como resultado de este trabajo.

PAPELES DE TRABAJO Los papeles de trabajo sirven para dejar constancia escrita del trabajo realizado por el auditor.

•Recogen las conclusiones a las que llega el auditor como resultado de su trabajo


•Recogen la evidencia obtenida por el auditor


•Soporte principal para el dictamen del auditor


•Ayudan al auditor a ejecutar y supervisar el trabajo. Los papeles de trabajo tienen valor probatorio en caso de juicio, por lo que pueden ser útiles para un auditor acusado de fraude o negligencia.

Técnicas Los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias.

3Diga que es ISACA


R=


Es una asociación internacional con sede en la ciudad de Chicago. La misión es proporcionar capacitación, estándares y desarrollo profesional a sus miembros.

4¿Qué es una norma, salvedad, papeles de trabajo, auditoría informática, control interno, control interno informático, riesgo, metodología y encriptación?

R=Normas: Las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña y a la información que rinde como resultado de este trabajo.

PAPELES DE TRABAJO Los papeles de trabajo sirven para dejar constancia escrita del trabajo realizado por el auditor.

•Recogen las conclusiones a las que llega el auditor como resultado de su trabajo


•Recogen la evidencia obtenida por el auditor


•Soporte principal para el dictamen del auditor


•Ayudan al auditor a ejecutar y supervisar el trabajo. Los papeles de trabajo tienen valor probatorio en caso de juicio, por lo que pueden ser útiles para un auditor acusado de fraude o negligencia.

Técnicas Los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias.

5Etapas de la Planeación de Auditoria Informática


R=Identificar el origen de la auditoria

Realizar una visita preliminar al área que será evaluada

Establecer los objetivos de la auditoria

Determinar los puntos que serán evaluados en la auditoria

Elaborar planes, programas y presupuestos para realizar la auditoria

Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoria

Asignar los recursos y sistemas computacionales para la auditoria

6Importancia de auditar el área de desarrollo de sistemas


R=


Los sistemas de información son herramientas importantes para lograr efectivamente los objetivos organizacionales


El objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente.

7¿Cuáles son los Objetivos de Control utilizados en las diferentes etapas del desarrollo de sistemas?


R=Etapa de Aprobación, planificación y gestión del Proyecto: OBJETIVO DE CONTROL: El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.

Etapa de análisis: OBJETIVO DE CONTROL: Los usuarios y responsables de las unidades a las que afecte el nuevo sistema establecerán de forma clara los requerimientos del mismo.

Etapa de diseño: OBJETIVO DE CONTROL: Se debe definir una arquitectura física para el sistema coherente con la especificación funcional que se tenga y con el entorno tecnológico elegido.

Etapa de construcción: OBJETIVO DE CONTROL: Los componentes o módulos deben desarrollarse usando técnicas de programación correctas.

Etapa de implantación: OBJETIVO DE CONTROL: El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotación. Esta etapa se lleva a cabo la Certificación usuaria

8¿Cuáles son los puntos que debe tener un dictamen?


R=

9Diga que es la seguridad física y diga cuáles son sus principales amenazas


10Explique que se refiere el Antes, durante y después en la seguridad física


11¿Qué debe contener el plan de contingencia?


Mencione al menos 3 fuentes de la auditoria física

R=


Políticas, normas y planes emitidos y distribuidos tanto por la Dirección de la empresa en términos generales como por el Departamento de Seguridad siguiendo un enfoque más detallado.

Auditorias anteriores, generales y parciales, referentes a la Seguridad Física o cualquier otro tipo de auditoria que, de una u otra manera, este relacionada con la Seguridad Física.

Contratos de Seguros de Proveedores y de Mantenimiento


Entrevistas con el personal de seguridad, personal informático y de otras actividades, responsables de seguridad de otras empresas dentro del edificio y de la seguridad general del mismo, personal contratado para la limpieza y mantenimiento, etc.

¿Cuáles son los objetivos de seguridad del área de informática?


R=


Proteger la integridad, exactitud y confidencialidad de la información


Proteger los activos ante desastres provocados por la mano del hombre y actos        hostiles


Proteger a la organización contra situaciones externas como desastres naturales y sabotajes


En caso de desastre, contar con los planes y políticas y contingencias para lograr una pronta recuperación


Contar con los seguros necesarios que cubran las pérdidas económicas en caso de desastre


Diga cuáles son algunos motivos de delitos por computadora

R= • Beneficio personal. Obtener un beneficio, ya sea económico, político social o de poder, dentro de la organización.

• Beneficios para la organización. Se considera que el cometer algún delito en otra computadora se ayudará al desempeño de la organización en la cual se trabaja, sin evaluar sus repercusiones.

• Odio a la organización (revancha). Se considera que el departamento o la organización es deshonesta, ya que no proporcionado todos los beneficios a los que tiene derecho.

• Síndrome de Robin Hood (por beneficiar a otras personas). Se están haciendo copias ilegales por considerar que al infectar a las computadoras, o bien al alterar la información, se ayudará a otras personas.

• Fácil de desfalcar


• El individuo tiene problemas financieros


• El departamento es deshonesto


• Mentalidad turbada



¿Qué es la seguridad lógica y cuáles son los tipos de usuario que existen?


R=


La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada en una computadora.

Tipos de usuario


• Propietario: Es el dueño de la información, el responsable de ésta, y puede realizar cualquier función. Responsable de la seguridad lógica puede realizar cualquier acción y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles.

• Administrador: Solo puede actualizar o modificar el software con la debida autorización pero no puede modificar la información.

• Usuario principal: Autorizado por el propietario para hacer modificaciones, cambios, lectura y utilización de los datos, pero no puede dar autorización para que otros usuarios entren.

• Usuario de consulta: Solo puede leer la información pero no puede modificarla.

• Usuario de explotación: Puede leer la información y utilizarla para la explotación de la misma, principalmente para hacer reportes de diferente índole, los cuales, por ejemplo pueden ser contables o estadísticos.

• Usuario de auditoria: Puede utilizar la información y rastrearla dentro del sistema para fines de auditoría.

Escriba al menos 5 objetivos de las auditorías en redes y comunicaciones

R= • Gestión de la red, inventario de equipamiento y normativa de conectividad.

• Monitoreo de las comunicaciones, registro y resolución de problemas


• Revisión de costes y asignación de proveedores y servicios de transporte, balanceo de tráfico entre rutas y selección de equipamiento.

• Participación activa en la estrategia de procesos de datos, fijación de estándares a ser usados en el desarrollo de aplicaciones y evaluación de necesidades de comunicaciones.

Mencione 4 controles de auditorías en telecomunicaciones

R= • Una gerencia de comunicaciones con autoridad para establecer procedimientos y normativa.

• Procedimientos y registros de inventario y cambios


• Funciones de vigilancia del uso de la red de comunicaciones, ajustes de rendimiento, registro de incidentes y resolución de problemas.

• Procedimientos para el seguimiento del coste de las comunicaciones y su reparto a las personas o unidades apropiadas.

Diga 3 políticas para control de datos


R= •Políticas de respaldo.

•Políticas y procedimientos que rijan la administración del área de sistemas


•Políticas de revisión de bitácora (Soporte técnico)


¿Cuáles son los controles sobre la compra de equipos de cómputo?


R= • ¿Existe un comité de compra de equipo?

• ¿Quién participa en el comité?


• ¿Existen políticas de adquisición de equipos?


• ¿Cómo se determina el proveedor del equipo?


• ¿Se evalúan las opciones de compra, renta y renta con opción a compra?


• ¿Como se evalúan las propuestas de instalación, mantenimiento y entrenamiento?