Auditoria de tecnologías de la información y telecomunicaciones PDF
| Title | Auditoria de tecnologías de la información y telecomunicaciones |
|---|---|
| Author | Mauricio S. |
| Course | Auditoria Informatica |
| Institution | Universidad Mayor de San Andrés |
| Pages | 20 |
| File Size | 313.4 KB |
| File Type | |
| Total Downloads | 36 |
| Total Views | 144 |
Summary
definición de riesgo en los ambientes de tecnología y de comunicación, enfoque COSO y COBIT...
Description
1
AUDITORIA DE TECNOGLOGIA DE LA INFORMACION Y TELECOMUNICACIONES
ÍNDICE Introducción.................................................................................................................................3 AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES..........................4 Definición de auditoria.............................................................................................................4 Auditoria de tecnología de la información y telecomunicaciones............................................4 Definición de riesgo..................................................................................................................4 Riesgos en los departamentos de tecnología...........................................................................5 Riesgos en los departamentos de tecnología.......................................................................5 Riesgo de administración de datos.......................................................................................5 Riesgo de operaciones de tecnología...................................................................................5 Asociaciones con contrapartes.............................................................................................6 Subcontratación de servicios................................................................................................6 Tecnologías disruptivas.........................................................................................................6 AMBIENTES CON TECNOLOGÍAS DE LA INFORMACIÓN................................................................6 Ambiente inteligente................................................................................................................6 Tecnologías de la información..................................................................................................6 AMBIENTES DE COMUNICACIONES..............................................................................................7 Ambiente de comunicaciones..................................................................................................7 Tecnologías de la comunicación...............................................................................................7 Enfoque a las Comunicaciones y Redes:...................................................................................8 NORMAS DE AUDITORÍA DE SISTEMAS........................................................................................9 Definición...........................................................................................................................10 Objetivo..............................................................................................................................10 El auditor informático.........................................................................................................10 Normas principales de la ISACA:.............................................................................................11 Normas según la CGR.............................................................................................................11 EVALUACION ESTANDARES COSO Y COBIT..................................................................................12 COSO......................................................................................................................................12 Definición...........................................................................................................................12 Objetivo..............................................................................................................................12 Estructura COSO I...................................................................................................................13
2 Ambiente de control...........................................................................................................13 Valoración de riesgos..........................................................................................................13 Actividades de control........................................................................................................13 Información y comunicación..............................................................................................13 Monitoreo..........................................................................................................................13 Estructura COSO II..................................................................................................................13 Ambiente interno...............................................................................................................13 Establecimiento de objetivos..............................................................................................13 Identificación de acontecimientos......................................................................................13 Evaluación de riesgos.........................................................................................................14 Respuesta a los riesgos...........................................................................................................14 Actividades de control........................................................................................................14 Información y comunicación..................................................................................................14 Supervisión.........................................................................................................................14 COBIT......................................................................................................................................15 Definición...........................................................................................................................15 Objetivo..............................................................................................................................15 Clasificación........................................................................................................................15 ISO 15504...............................................................................................................................17 CONCLUSIONES..........................................................................................................................18
3
Introducción. Hoy en día en un mundo tan globalizado y a su vez computarizado, la cantidad de información que manejan las empresas es bastante en cuantía y en importancia, es por ello que el manejo y comunicación de dicha información es de vital importancia para que una Empresa desarrolle correctamente sus actividades y amerita un control adecuado. Las TICs, o Tecnologías de la Información y la Comunicación, son el conjunto de herramientas accesibles desde diferentes dispositivos que nos permiten hacer llegar y compartir información de todo tipo con quien deseemos. “En líneas generales podríamos decir que las nuevas tecnologías de la información y telecomunicación son las que giran en torno a tres medios básicos: la informática, la microelectrónica y las telecomunicaciones; pero giran, no sólo de forma aislada, sino lo que es más significativo de manera interactiva e interconexionadas, lo que permite conseguir nuevas realidades comunicativas”. (Cabero, 1998).
AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES Definición de auditoria Se puede definir también como: “El examen metodológico, sistemático, objetivo de evidencias realizado por el auditor independiente, con el propósito de emitir un criterio de razonabilidad con la que se presenta la situación financiera, los resultados de operaciones y los cambios en los flujos de efectivo de conformidad con normas de información financiera.”
Auditoria
de
tecnología
de
la
información
y
telecomunicaciones Es el examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con políticas, prácticas, procesos y procedimientos en materia de Tecnologías de la Información y la Comunicación, para expresar una opinión independiente respecto:
4
i) A la confidencialidad, integridad, disponibilidad y confiabilidad de la información. ii) Al uso eficaz de los recursos tecnológicos. iii) A la efectividad del sistema de control interno asociado a las Tecnologías de la Información y la Comunicación.
Definición de riesgo El riesgo es la exposición a una situación donde hay una posibilidad de sufrir un daño o de estar en peligro. Es la vulnerabilidad o amenaza a que ocurra un evento y sus efectos sean negativos y que alguien o algo puedan verse afectados por él. Cuando se dice que un sujeto está en riesgo, es porque se considera se encuentra en desventaja frente a algo más, bien sea por su ubicación o posición; además de ser susceptible a recibir una amenaza sin importar cuál sea su índole. Martínez, Aurora. (Edición: 19 de marzo del 2021). Definición de Riesgo. El diccionario de la Real Academia Española (2001), define el riesgo como: “contingencia o proximidad de un daño; en donde contingencia se define como: la posibilidad de que algo suceda o no suceda, especialmente un problema que se plantea de manera no prevista.” ¨El peligro proviene como consecuencia de una decisión racional, sugiriendo que esté en función de la decisión y exposición que está presente en el entorno¨. Nikklas Luhumann (1927-1998).
Riesgos en los departamentos de tecnología La tecnología es el gran facilitador, pero también presenta riesgo generalizado, potencialmente de impacto alto. El riesgo cibernético en la forma de robo de datos, cuentas comprometidas, archivos destruidos, sistemas deshabilitados o degradados en estos día está en “la parte superior del pensamiento.” Sin embargo, ese no es el único riesgo de TI por el cual la junta y la administración deben estar preocupados. En un mundo rápidamente cambiante, el riesgo que emana de una estrategia inefectiva de TI se encuentra entre las principales amenazas que una institución financiera enfrenta.
5
Riesgos en los departamentos de tecnología. Manejo de Tecnología de Información Interno. El tener toda la estructura de TI internamente, sin subcontrataciones, puede dar una acumulación de problemas difíciles de manejar para una sola organización Infraestructura ascendente. Actualmente hay sociedades y economías que son sustentadas por infraestructuras informáticas, ya sean sus sistemas de electricidad o telecomunicaciones, que de sufrir alteraciones, como una potencial regulación de internet, crearían riesgos para cualquier organización. Riesgo de administración de datos. La administración inefectiva de los datos en una institución financiera puede abrir la puerta al fraude financiero, a problemas de presentación de reportes de contabilidad y regulatorios, y a pérdida de la confianza de los stakeholders. Las agencias reguladoras están expresando fuerte interés en las capacidades de administración de datos, dado que la administración del riesgo y del capital dependen de datos confiables, exactos, y oportunos. Riesgo de operaciones de tecnología. La administración debe asegurar que estén en funcionamiento procesos operacionales rigurosos para proteger la integridad del entorno de la tecnología. La TI necesita entregar los servicios en los niveles acordados con el negocio, administrar la capacidad, entender y administrar sus activos, cumplir con los acuerdos de licencia de software, y administrar de manera efectiva los incidentes y los problemas. Asociaciones con contrapartes. Al trabajar en un proyecto conjunto con una organización externa, ya sea un competidor o socio, pueden existir riesgos de una interconexión directa entre ambas partes y que compartan información. Subcontratación de servicios. Se tiene que tomar precauciones al tener proveedores externos de servicios, como Recursos Humanos, Legal o de TI; hay que revisar que no se compartan datos demás entre las dos partes.
6
Tecnologías disruptivas. Las nuevas tecnologías, como las redes inteligentes, traen consigo nuevos efectos inadvertidos, que todavía no están en la mira de los profesionales de informática.
AMBIENTES CON TECNOLOGÍAS DE LA INFORMACIÓN Ambiente inteligente Los ambientes inteligentes describen y manejan entornos físicos en los cuales las tecnologías de la información y la comunicación así como los sistemas de sensores, pasan mayoritariamente desapercibidos para los usuarios, puesto que se hallan discretamente integrados a objetos físicos, a infraestructuras, y al entorno cotidiano en el cual vivimos, viajamos, y trabajamos. El objetivo con estos sistemas, es el de permitir que ordenadores y sensores participen en actividades y resultados en los que nunca antes habían estado involucrados, posibilitando a la gente (a los usuarios) interactuar con los distintos dispositivos vía gestos, voz, movimientos, o simple información de contexto. "Los ambientes inteligentes son sistemas en los que la computación es usada para introducir mejoras imperceptibles o superficiales en las actividades comunes".(Alan Stevenson y Steve Wright).
Tecnologías de la información Se considera que las Tecnologías de la Información (TI) es un subconjunto de la Tecnología de Información y Comunicación (TIC), en ese sentido las Tecnología de la Información (TI) es el uso de computadoras para almacenar, recuperar, transmitir y manipular datos o información, a menudo en el contexto de un negocio o empresa. Hoy en día se ha vuelto imposible existir sin las computadoras que asistan o funcionen en lugar de las operaciones manuales y decir “siempre tenemos la opción de poder hacerlo de manera manual” es una falacia. Es por tal motivo que las TI se encuentran presentes es toda la organización siendo un pilar fundamental para el ciclo de la información. Cuando las tecnologías de computación y comunicación se combinan, el resultado es la Tecnología de la Información o ¨infotech¨. La Tecnología de la Información (IT) es un
7
término general que describe cualquier tecnología que ayuda a producir, manipular, almacenar, comunicar, y/o esparcir información. Es importante contar con este tipo de herramientas para alcanzar metas financieras y poder comunicarnos mejor con clientes y colaboradores. La tecnología va desde la implementación de correos electrónicos, creación de páginas web para el negocio y sistemas de administración de negocios. Para muchos la palabra ‘tecnología‘ puede sonar como algo costoso, pero hacer uso de ella es una manera de ahorrar dinero, debido a que contribuye a la disminución de costos, evita procesos manuales y generan mayor productividad. Un buen ejemplo de tecnología para su negocio es ADM, un Sistema de Administración Móvil que ayuda a las micro, pequeñas y medianas empresas, así como a emprendedores a gestionar las principales operaciones de compra-venta desde la nube permite: elaborar cotizaciones, facturas y registro de compras; conocer el inventario de productos y costos; dar seguimiento de gastos e ingresos; manejar catálogos de clientes, servicios y productos; tener el estado de cuentas disponible en todo momento.
AMBIENTES DE COMUNICACIONES Ambiente de comunicaciones Se define como los medios en los que ocurre la comunicación y se comparte un comunicado, son las diversas circunstancias y condiciones en el que se da un intercambio de información.
Tecnologías de la comunicación La auditoría de comunicación se ha definido, según Downs y Hamilton (1988; 1987, citado en Varona, 2005:90), como “un proceso de diagnóstico que tiene como propósito examinar y mejorar los sistemas y prácticas de comunicación interna y externa de una organización en todos sus niveles”. Partiendo de lo anterior, la auditoría de comunicación contribuye a proporcionar una radiografía del estado que guardan las organizaciones respecto a sus prácticas, flujos, usos, procesos y acciones de comunicación interna y externa, para la detección oportuna de situaciones que interfieran o impidan el logro de los objetivos y metas organizacionales.
8
El auditor de las tecnologías de información y comunicaciones, deberá de tener conocimientos de los diferentes estándares que ayudan al control, operación y administración de los recursos tecnológicos, control de inversiones en tecnología de información y comunicaciones a nivel físico y lógico y procesos documentados de tecnología de información y comunicaciones. Dichos estándares inciden en el proceso de la auditoria, ya que las entidades de gobierno los implementan según sus necesidades de resguardo, uso y protección de la información, que es un activo importante dentro de la organización para asegurarse que la información se encuentre disponible, oportuna y utilizada por los funcionarios autorizados.
Enfoque a las Comunicaciones y Redes: Consiste en evaluar la confiabilidad y desempeño del sistema de comunicación para mantener la disponibilidad de la información. Para una adecuada comprensión de las normas de auditoría de Tecnologías de la Información y la Comunicación se definen los siguientes conceptos: -
Datos: Son objetos de información en su sentido más amplio, los cuales pueden ser externos o internos, estructurados y no estructurados del tipo gráfico, sonido, imágenes, números, palabras y de otra índole, etc.
-
Información: Datos que han sido organizados, sistematizados y presentados de manera que los patrones subyacentes resulten claros.
-
Tecnología: Es un conjunto ordenado de instrumentos, conocimientos, procedimientos y métodos aplicados a las áreas.
-
Tecnologías de la Información y la Comunicación (TIC): Se refiere al conjunto de tecnologías que permiten la adquisición, producción, almacenamiento, tratamiento, comunicación, registro y presentación de la información.
-
Sistema de Información (SI): Se refiere a un conjunto de procesos y recursos de información organizados con el objetivo de proveer la información necesaria (pasada, presente, futura) en forma precisa y oportuna para apoyar la toma de decisiones en una entidad.
-
Software de Aplicación: Se refiere a un elemento de los Sistemas de Información, es un conjunto de programas de computador diseñados y escritos
9
para realizar tareas específicas del negocio y que permiten la interacción entre el usuario y el computador. -
Sistemas de comunicación: Se refiere a la tecnología que se emplea para el intercambio de información.
-
Confidencialidad de la información: Se refiere a la protección de la información crítica contra su divulgación no autorizada.
-
Integridad de la información: Se vincula con la exactitud y la totalidad de la información, así como también con su validez de acuerdo con los valores y las expectativas de la entidad.
-
Confiabilidad de la información: Se vincula con la provisión de la información adecuada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de presentación de reportes financieros y de cumplimiento.
-
Disponibilidad de la información: Se vincula con el hecho de que la información se encuentre disponible cuando el proceso la requiera.
NORMAS DE AUDITORÍA DE SISTEMAS La auditoría informática es un elemento que, aunque sea o parezca poco importante es esencial para determinar vulnerabilidades y deficiencias existentes en los sistemas de información en la actualidad. Básicamente consiste en recoger, agrupar y evaluar las evidencias para ver si un sistema de información cumple con ciertos niveles de seguridad como la salvaguarda de documentación, controlar que los usos de recursos se gestionen correctamente y el mantenimiento de la integridad de los datos. Gracias a la auditoría, podemos explorar a fondo todo el funcionamiento de nuestros s...
Similar Free PDFs
Contrato DE LA Auditoria
- 3 Pages
Ejecucion de la Auditoria
- 24 Pages
Clases y tipos de auditoria
- 6 Pages
PLAN Y Programa DE Auditoria
- 9 Pages
las cedulas de la auditoria
- 60 Pages
AUDITORIA DE LA MEMORIA EOAF
- 10 Pages
Fases de la auditoria de gestion
- 8 Pages
Popular Institutions
- Tinajero National High School - Annex
- Politeknik Caltex Riau
- Yokohama City University
- SGT University
- University of Al-Qadisiyah
- Divine Word College of Vigan
- Techniek College Rotterdam
- Universidade de Santiago
- Universiti Teknologi MARA Cawangan Johor Kampus Pasir Gudang
- Poltekkes Kemenkes Yogyakarta
- Baguio City National High School
- Colegio san marcos
- preparatoria uno
- Centro de Bachillerato Tecnológico Industrial y de Servicios No. 107
- Dalian Maritime University
- Quang Trung Secondary School
- Colegio Tecnológico en Informática
- Corporación Regional de Educación Superior
- Grupo CEDVA
- Dar Al Uloom University
- Centro de Estudios Preuniversitarios de la Universidad Nacional de Ingeniería
- 上智大学
- Aakash International School, Nuna Majara
- San Felipe Neri Catholic School
- Kang Chiao International School - New Taipei City
- Misamis Occidental National High School
- Institución Educativa Escuela Normal Juan Ladrilleros
- Kolehiyo ng Pantukan
- Batanes State College
- Instituto Continental
- Sekolah Menengah Kejuruan Kesehatan Kaltara (Tarakan)
- Colegio de La Inmaculada Concepcion - Cebu