Bienvenido a nuestro Blog!

Seguridad en Computación e Informática

Auditoria de Sistemas

Ing. Oscar Mujica Ruiz

Colaboradores:

Alumnos B 5-5

UNFV-FIIS-2011

lunes, 19 de diciembre de 2011

Auditoria de Sistemas a la Empresa MSC


Descripción de la Auditoría de Sistemas realizada a la empresa MSC


I.- DATOS DE LA INSTITUCIÓN:

NOMBRE: MEDITERRANEAN SHIPPING COMPANY DEL PERU
RUBRO: NAVIERA
SERVICIOS QUE BRINDA: TRANSPORTE MARITIMO,
VOLUMENES DE VENTA: MAS DE 100000 TEUS.
VOLUMENES DE VENTA, BALANCES, ORGANIGRAMA, FODA, CADENA DE VALOR: CONFIDENCIAL.
PRINCIPALES CLIENTES: SODIMAC, TOTTUS, SAGA FALABELLA, GLORIA, KIMBERLY CLARK, MAERSK, CCAV.  
 PRINCIPALES COMPETIDORES: QUIMICA NAVA, SOUTHERN PERU, MINSUR.
INSTITUCIÓN

Logo:


Dirección:

“Mediterranean Shipping Company del  Perú  SAC” sus principales  oficinas se encuentran  ubicadas en Lima Av. Alvarez Calderón  N°185-piso 5, San Isidro.  Esta sede se encuentra Departamento comercial y el puerto de Callao Av. Nestor Gambetta  N° 358 se encuntra el departamento de Operaciones y Administrativas con dos agentes más  en Paita  e Ilo.

Reseña Histórica:
MSC Perú es una empresa de línea naviera y agencia marítima de transporte de carga contenerizada.
MSC es una compañía privada, fundada en 1970 y una de las compañías líderes en el sector naviero internacional.

MSC Perú comenzó actividades en 1994 ofreciendo el servicio de/a la Costa Este de Estados Unidos de Norte América al/del puerto del Callao.




miércoles, 30 de noviembre de 2011

Observaciones de Auditoria III- Ejemplos

Observación Comisión 1 (Descargar)
Observación Comisión 3 (Descargar)
Observación Comisión 4 (Descargar)
Observación Comisión 5 (Descargar)
Observación Comisión 6 (Descargar)
Observación Comisión 7 (Descargar)
Observación Comisión 8 (Descargar)
Observación Comisión 9 (Descargar)

miércoles, 23 de noviembre de 2011

Observaciones de Auditoria II- Ejemplos

Observación Comisión 1 (Descargar)
Observación Comisión 2 (Descargar)
Observación Comisión 3 (Descargar)
Observación Comisión 4 (Descargar)
Observación Comisión 5 (Descargar)
Observación Comisión 6 (Descargar)
Observación Comisión 7 (Descargar)
Observación Comisión 8 (Descargar)
Observación Comisión 9 (Descargar)

martes, 8 de noviembre de 2011

domingo, 30 de octubre de 2011

Controles & Auditoría (VII)

CONTROLES PREVENTIVOS:
·         Son más rentables.
·         Deben quedar incorporados en los sistemas.
·         Evitan costos de corrección o reproces.
CONTROLES DETECTIVOS
·         Son más costosos que los preventivos.
·         Miden la efectividad de los preventivos.
·         Algunos errores no pueden ser evitados en la etapa preventiva.
·         Incluyen revisiones y comparaciones (registro de desempeño).
·         Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones.
·         Límites de transacciones, passwords, edición de reportes.
CONTROLES CORRECTIVOS
·         Acciones y procedimientos de corrección (la recurrencia).
·         Documentación y reportes  que informan a la Gerencia, supervisando los asuntos hasta que son corregido o solucionados.
Los controles correctivos permiten el reestablecimiento de la actividad después de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia. Estos controles se establecen cuando los anteriores no operan y permiten mejorar las deficiencias; por lo general, actúan con los controles detectivos, implican reprocesos y son más costosos porque actúan cuando ya se han presentado los hechos que implican pérdidas para la organización. La mayoría son de tipo administrativo y requieren políticas o procedimientos para su ejecución.
REPROCESOS:
El deseo de cambio surge cuando se advierte que existe un espacio lo que se hace y lo que se desea hacer en materia de: Productividad, calidad y satisfacción de los participantes.
·         Insatisfacción – Crisis – Problemas-
·         Reconocimiento de la necesidad de Cambiar.
Acción tomada sobre un producto no conforme para que cumpla con los requisitos, una corrección puede ser por ejemplo un reproceso.
Diferencias entre reproceso y reparación:
Ambas, reproceso y reparación se dan sobre un producto, es decir algo que ya es el resultado final de un proceso, ambas en el momento de la reparación o reproceso son productos no conformes, la diferencia radica en que el reproceso generalmente se da a un producto no conforme que generalmente no ha llegado al cliente y lo único que se le puede hacer es reprocesarlo, recordemos que el prefijo re significa repetición, es decir ese producto no conforme va a pasar de nuevo por el proceso que paso previamente para que se genere de manera conforme (ejemplo: partes de acero que no cumplen especificaciones se vuelven a fundir para hacerlas a modo que cumplan). Por otro lado la reparación puede o no darse a un producto que llego al cliente, y que puede o no haya sido conforme alguna vez, entre ellos como la norma lo menciona esta el mantenimiento, (por ejemplo un coche sale de la fabrica conforme pero con el tiempo y desgaste comienza a fallar y se manda a darle mantenimiento y a veces reparar, ya sea la transmisión, embrague u otra parte). 
Deseas saber más?
DESCARGAR
       

Controles & Auditoría (VI)

CONTROL.
Es el uso o establecimiento de todos los medios en un negocio para promover, dirigir, restringir, gobernar y verificar varias actividades con el fin de ver que los objetivos son alcanzados. Esos medios incluyen, pero no se limitan, la forma de organizarse, políticas, procedimientos, sistemas, instrucciones, normas, comités, catálogos de cuentas, pronósticos, presupuestos, programas, reportes, registros, métodos, mecanismos y auditoría interna.


Actualmente Control es…

… cualquier acción tomada por la Gerencia para mejorar la probabilidad de que los objetivos establecidos sean alcanzados.

… Sistema de Control es la integración (o el conjunto) de los componentes o actividades que son usados por la organización para alcanzar sus objetivos y metas.

Se diseñan para cumplir varias funciones.

Preventivos: Anticipan eventos no deseados antes de que sucedan
Son más rentables
Deben quedar incorporados en los sistemas
Evitan costos de corrección o reproceso

Son más costosos que los preventivos
Miden la efectividad de los preventivos
Algunos errores no pueden ser evitados en la etapa preventiva
Incluyen revisiones y comparaciones (registro de desempeño)

Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones y  técnicas automatizadas.
Límites de transacciones, passwords, edición de reportes y auditoría interna.

Acciones y procedimientos de corrección (la recurrencia)
Documentación y reportes que informan a la Gerencia, supervisando los asuntos hasta que son corregidos o solucionados…
Deseas saber más?
DESCARGAR
       


Controles & Auditoría (V)

CONTROLES DE PREVENCION

Prevención de la filtración a la información
Sin las medidas preventivas adecuadas, las aplicaciones son vulnerables a varios tipos de ataques de seguridad. Un tipo particular a pesar de ser una de las vulnerabilidades mas documentadas, hoy en día es el denominado SQL injection.
Utilizando este método, un hacker puede pasar cadenas de entrada a una aplicación con la esperanza de conseguir acceso no autorizado a la base de datos.

¿Qué es SQL Injection?
Una inyección SQL sucede cuando se inserta o inyecta un código SQL invasor dentro de otro código SQL para alterar su funcionamiento normal y hacer que se ejecute maliciosamente el código invasor en la base de datos.
Consulta: “select * from usuario where user=’$user’ ”;
Correcto Funcionamiento: “select * from usuario whereuser=’marco’ ”;
SQL malicioso: “select * from usuario where user= ’’ or ‘1’ =’1’ ”;
Aunque existen diversas técnicas de proteger servidores y siguen encontrándose hoy en día a parte de las buenas prácticas de programación, es necesario utilizar software/módulos de apoyo que nos ayuden a tener nuestros servidores web más seguros frente a inyecciones SQL.
Por ejemplo tenemos la herramienta GreenSQL, que es un firewall de aplicación, que se interpone a modo de proxy entre el servidor de MySQL y la aplicación web. Es capaz de filtrar las sentencias y proteger las bases de datos de ataques de tipo SQL injection.

Las peticiones llegan a nuestra aplicación web, se envían al puerto por el que escucha GreenSQL, que las analiza y las reenvía al servidor MSQL. GreenSQL puede instalarse en el mismo sistema donde reside la base de datos o en otro diferente.
Deseas saber más?
DESCARGAR
       

Controles & Auditoría (IV)

Control

Verificar la identidad del personal de sistemas para el acceso al área de sistemas mediante un tarjeta de identificación
Objetivos del control: Permitir el acceso sólo al personal autorizado a las instalaciones
 
Descripción:
Una persona debe poseer su tarjeta de identificación y su número de identificación personal que deberá ser utilizado en la puerta de ingreso al área. Con una base de datos del personal y el correcto número de identificación se permitirá el acceso  a las personas

La base de datos debe contener los datos de las personas autorizadas, estos datos incluirán lo siguiente:

·         Nombre, posición, número de identificación
·         Tipos de acceso ( permanente, temporal)
·         Hora de ingreso y egreso
·         Razones de la visita
·         Nombre de la compañía
 Controles detectivos

Control:
·         Registrar todas las operaciones y errores ocurridos en el sistema en un archivo de registro (log)


Descripción ( ejemplo 1)

Los alert log son los registros que contienen la información de mensajes de errores obtenidos por las diversas actividades de la base de datos . Estas actividades están almacenados cronológicamente del más antiguo al más reciente
  En Oracle 11g se generán log files de todas las operaciones en la base de datos, así como los errores que se originan en tales operaciones. Con la lectura de este archivo, un administrador de base de datos puede detectar el problema y proceder a la solución. Además puede servir para los auditores para medir el rendimiento de la base de datos y poder optimizar el sistema
 Estos archivos contienen los siguientes tipos de información:
 ·         Errores críticos ( incidentes)
·         Operaciones administrativas, como inicialización  o  detención de la base de datos , recuperación de la base de datos, creación y eliminación de tablespaces

 Descripción ( ejemplo 2 )
Las versiones de Windows mantienen tres registros de auditoría para controlar las actividades del sistema y del usuario. Es posible ver esos registros mediante la utilidad Visor de sucesos
·         Aplicación: Muestra los mensajes, la información de estado y los sucesos informados desde aplicaciones y servicios no esenciales del sistema Windows.
El registro de aplicación contiene eventos registrados por los programas. Por ejemplo, un programa de base de datos puede grabar un error de archivo en el registro de aplicación. Los desarrolladores del programa de software determinan los eventos que se escriben en el registro de aplicación.
·         Sistema : Registra los errores, advertencias y sucesos informativos generados por el sistema operativo y relacionados con los servicios esenciales del sistema
Por ejemplo, si un controlador no se carga durante el inicio, se grabará un evento en el registro del sistema. Windows XP determina previamente los eventos registrados por los componentes del sistema.

·         Seguridad: Muestra los registros de éxito y fracaso de los servicios auditados. Cuando se activa la auditoría y se configuran políticas especificas en Windows, éste es el registro en el que se aparecerán estos elementos
Por ejemplo, cuando la auditoría del inicio de sesión está habilitada, se graba un evento en el registro de seguridad cada vez que un usuario intenta iniciar sesión en el equipo
Esta clase de registro es especialmente importante para los auditores. Estos podrán auditar :
Auditar cambios de directivas
Como su nombre indica, esta auditoría registra los cambios producidos en la aplicación de directivas de asignación de derechos de usuarios o de auditoría, registrándose un evento en el visor de sucesos cada vez que se cambie una de estas directivas de forma correcta o sin éxito, según habilitemos las diferentes opciones para habilitar o bien los aciertos o bien los errores.

Auditar el seguimiento de procesos
La habilitación de esta auditoría nos puede generar una gran cantidad de información en el Visor de Sucesos, por lo que normalmente no la auditamos. Su habilitación provoca que se haga un seguimiento a la activación de programas, salida de procesos, y acceso indirecto a objetos.
Auditar el uso de privilegios
Audita cada ocasión en que se hagan uso de los correspondientes derechos de usuarios para realizar una acción. Aun así, hay acciones que de forma predeterminada no son auditadas, como la Restauración de archivos, y la copias de seguridad de archivos y directorios.
Auditar la administración de cuentas
Provoca que se auditen la administración de cuentas, y en concreto, cada vez que se cambie, elimine, o desactive un usuario del sistema y cada vez que se cambie la contraseña de un usuario.
Auditoria de Inicio de Sesión
Registra un suceso cada vez que un usuario inicia o cierra sesión o se hace una conexión de red.
Auditoria de Inicio de Sesión de Cuenta
Se registran un suceso por cada vez que un usuario inicia o cierra sesión desde otro equipo.
Auditoria de Sucesos del Sistema
Esta auditoría nos proporcionará una información bastante relevante, y generará un evento en el visor de sucesos cada vez que el equipo se cierre o reinicie afectando a la seguridad del sistema. No se suelen generar demasiados eventos por este motivo, y Microsoft recomienda activar esta auditoría por ser su información bastante útil y significativa.
Deseas saber más?
DESCARGAR
       

Controles & Auditoría (III)

CASOS PRÁCTICOS DE CONTROLES GENERALES DE AUDITORÍA DE SISTEMAS

CASO 1:
CONTROL CORRECTIVO
·         Disminuir el impacto de vulnerabilidades que pueden generar riesgos.
·         Subsanar las vulnerabilidades identificadas y analizadas.
Ejemplo:
En la exanimación de los scripts de un módulo de un sistema, en el cual se le reporta algunas observaciones de aplicación, por lo que el control correctivo se debe de aplicar bajo una herramienta de software como Klocwork o acunetix. Para así analizare identificar las vulnerabilidades como también corregirlas.
KLOCWORK:
Está en una herramienta de análisis estático de código en C, C++ y Java.
Beneficios de esta herramienta:
·         Verificar los cambios de los códigos locales antes de la llegada.
·         Permitir la colaboración de resolución de errores entre los desarrolladores.
·         Disponible como IDE plug-in, comando en línea o interfaz gráfica independiente.
CASO 2: CONTROLES EN UN ENTORNO 2.0
La Informática hoy, es la base en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a controles. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, se hace necesario un Sistema de Gestión de Seguridad de Información. La información en la empresa es uno de los más importantes activos que posee. Las organizaciones tienen que  desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información está sujeta a muchas amenazas tanto de índole externa como externa.
Los Objetivos de Control para la Información y las Tecnologías,  ayuda a satisfacer las múltiples necesidades de la Administración estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos técnicos. Provee buenas prácticas a través de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lógica.
Deseas saber más?
DESCARGAR
       

Controles & Auditoría (II)

CASO SUNAT
Herramienta de control PREVENTIVO
McAfee Endpoint Protection — Advanced Suite



Endpoint Protection — Advanced Suite
Monitorización por parte de la oficina de control interno y de auditoría sobre la información institucional y restringida que pretende ser copiada a dispositivos de almacenamiento externo no institucionales.

  Supervisa  y restringe  los datos copiados en dispositivos de almacenamiento y medios portátiles con el fin de evitar que estén fuera del control de la empresa
  Los archivos que sean copiados a un dispositivo portátil será encriptados y cifrados , por lo cual no se podrán abrir en una PC fuera de la red institucional.
  Se registrará la fecha, hora, usuario, y PC desde donde se intentó realizar la copia para ser enviada al administrador centralizado del End Point y posteriormente registrada en la BD de Control Interno y Auditoría


NOTIFICACIÓN de la Implementación como herramienta de CONTROL PREVENTIVO
Aprobado y Notificado por la OFICINA DE CONTROL INTERNO Y DE AUDITORÍA... 
Deseas saber más?
DESCARGAR
       

Controles & Auditoría (I)

CONTROL PREVENTIVO: LOGS DE AUIDTORÍA

Uno de los controles preventivos más importantes respecto a seguridad que pueden integrarse a un software aplicativo, es la creación de los “Logs de Auditoria”, tanto es así que la ISO 17799 nos da lineamientos generales. En este trabajo propondrán estructuras de tablas que nos podrían ayudar a generar logs mediante el aplicativo (programación) o mediante la base de datos (triggers). Al realizar el análisis indicaremos ¿qué información debemos almacenar en la base de datos para poder hacer revisiones posteriores y aportar tanto con evidencia de auditoría como evidencia para fines legales (forense)?.

Una vez implementados los Logs de Auditoría estaremos en condiciones de poder analizar los datos almacenados, por ejemplo aplicar “Técnicas de Detección de Fraudes” como la Ley de Benford, Análisis estadístico, Análisis de Patrones y Relaciones, Análisis Visual, Data Mining, Procedimientos analíticos, todas estas técnicas optimizadas mediante el uso de CAATTS “Computer Aided Audit Techniques and Tools”.
Lo primero tanto para otorgar acceso a los diferentes aplicativos como al comenzar a analizar los datos con Técnicas de Detección de Fraudes, es determinar quiénes serán/son/fueron los responsables de la creación, eliminación o modificación de los diferentes registros de la Base de Datos, para esto debemos considerar los lineamientos del domino 11 de la ISO 17799 referida al Control de Accesos.
Deseas saber más?
DESCARGAR
       


viernes, 21 de octubre de 2011

Auditoría de Sistemas & Ejemplo de control en las Organizaciones

IS-Auditing-Standars II

NORMA 1: ESTATUTO
El propósito, responsabilidad, autoridad y rendición de cuentas de la función de auditoría de sistemas de información o de las asignaciones de auditoría de sistemas de información deben documentarse de manera apropiada en un estatuto de auditoría o carta de compromiso.
El estatuto de auditoría o la carta de compromiso deben ser aceptados y aprobados en el nivel apropiado dentro de la organización.
NORMA 2: INDEPENDENCIA
Independencia profesional en todos los aspectos relacionados con la auditoría, el auditor de SI debe ser independiente del auditado, tanto en actitud como en apariencia.
Independencia organizacional La función de auditoría de SI debe ser independiente del área o actividad que se está revisando para permitir una conclusión objetiva de la tarea que se audita.
NORMA 3: ETICA Y ESTANDARES PROFESIONALES
El auditor de SI debe cumplir con el Código de Ética Profesional al realizar tareas de auditoría.
El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estándares profesionales de auditoría aplicables al realizar tareas de auditoría.
NORMA 4: COMPETENCIA PROFESIONAL
El auditor de SI debe ser profesionalmente competente y tener las destrezas y los conocimientos para realizar la tarea de auditoría.
 El auditor de SI debe mantener competencia profesional por medio de una apropiada educación y capacitación profesional continua.
NORMA 5: PLANEACION
El auditor de SI debe planear la cobertura de la auditoría de sistemas de información para cubrir los objetivos de la auditoría y cumplir con las leyes aplicables y las normas profesionales de auditoría.
El auditor de SI debe desarrollar y documentar un enfoque de auditoría basado en riesgos.
El auditor de SI debe desarrollar y documentar un plan de auditoría que detalle la naturaleza y los objetivos de la auditoría, los plazos y alcance, así como los recursos requeridos.
El auditor de SI debe desarrollar un programa y/o plan de auditoría detallando la naturaleza, los plazos y el alcance de los procedimientos requeridos para completar la auditoría.
NORMA 6: EJECUCION DE LA AUDITORIA
Supervisión—El personal de auditoría de SI debe ser supervisado para brindar una garantía razonable de que se lograrán los objetivos de la auditoría y que se cumplirán las normas profesionales de auditoría aplicables.
Evidencia—Durante el transcurso de la auditoría, el auditor de SI debe obtener evidencia suficiente, confiable y pertinente para alcanzar los objetivos de auditoría. Los hallazgos y conclusiones de la auditoría deberán ser soportados mediante un apropiado análisis e interpretación de dicha evidencia.
Documentación—El proceso de auditoría deberá documentarse, describiendo las labores de auditoría realizadas y la evidencia de auditoría que respalda los hallazgos y conclusiones del auditor de SI.
NORMA 7: REPORTE
El auditor de SI debe suministrar un informe, en un formato apropiado, al finalizar la auditoría. El informe debe identificar la organización, los destinatarios previstos y respetar cualquier restricción con respecto a su circulación.
El informe de auditoría debe indicar el alcance, los objetivos, el período de cobertura y la naturaleza, plazo y extensión de las labores de auditoría realizadas.
El informe debe indicar los hallazgos, conclusiones y recomendaciones, así como cualquier reserva, calificación o limitación que el auditor de SI tuviese en cuanto al alcance de la auditoría.
El auditor de SI debe tener evidencia de auditoría suficiente y apropiada para respaldar los resultados reportados.
Al emitirse, el informe del auditor de SI debe ser firmado, fechado y distribuido de acuerdo con los términos del estatuto de auditoría o carta de compromiso.
NORMA 8: actividades de seguimiento
Después de informar/reportar sobre los hallazgos y las recomendaciones, el auditor de SI debe solicitar y evaluar la información relevante para concluir si la gerencia tomó las acciones apropiadas de manera oportuna.
NORMA 9: IRREGULARIDADES Y ACCIONES ILEGALES
Al planificar y realizar la auditoría para reducir el riesgo de auditoría a un nivel bajo, el auditor de SI debe tener en cuenta el riesgo de irregularidades y acciones ilegales.
El auditor de SI debe documentar todas las comunicaciones, planeación, resultados, evaluaciones y conclusiones relacionadas con irregularidades materiales y acciones ilegales que han sido notificadas a la gerencia, a los responsables del gobierno corporativo, autoridades responsables de la normatividad dentro de la organización y otros.
NORMA 10: GOBERNABILIDAD DE TI
El auditor de SI debe revisar y evaluar si la función de SI está alineada con la misión, visión, valores, objetivos y estrategias de la organización.
El auditor de SI debe revisar si la función de SI tiene una declaración clara en cuanto al desempeño esperado por la empresa (eficacia y eficiencia) y evaluar su cumplimiento.
El auditor de SI debe revisar y evaluar la eficacia de los recursos de SI y el desempeño de los procesos administrativos.
El auditor de SI debe revisar y evaluar el cumplimiento de los requisitos legales, ambientales y de calidad de la información, así como de los requisitos fiduciarios y de seguridad.
El auditor de SI debe utilizar un enfoque basado en riesgos para evaluar la función de SI.
El auditor de SI debe revisar y evaluar el ambiente de control de la organización.
El auditor de SI debe revisar y evaluar los riesgos que pueden afectar de manera adversa el entorno de SI.
NORMA 11: USO DE LA EVALUACIÓN DE RIESGOS EN LA PLANEACIÓN DE AUDITORÍA
El auditor de SI debe utilizar una técnica o enfoque apropiado de evaluación de riesgos al desarrollar el plan general de auditoría de SI y al determinar prioridades para la asignación eficaz de los recursos de auditoría de SI.
 Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos relevantes al área bajo revisión.
NORMA 12: MATERIALIDAD DE LA AUDITORÍA
El auditor de SI debe considerar la materialidad de la auditoría y su relación con el riesgo de auditoría a la vez que determina la naturaleza, los plazos y el alcance de los procedimientos de auditoría.
Mientras planifica la auditoría, el auditor de SI debe considerar las posibles debilidades o la ausencia de controles, y si tales debilidades o ausencias de controles pueden ocasionar una deficiencia importante o una debilidad material en el sistema de información.
El auditor de SI debe considerar el efecto acumulativo de las deficiencias o debilidades menores de control y la ausencia de controles que pueden traducirse en una deficiencia significativa o debilidad material en el sistema de información.
El informe del auditor de SI debe divulgar los controles ineficaces o la ausencia de controles, y el significado de estas deficiencias, así como la posibilidad de que estas debilidades ocasionen una deficiencia importante o debilidad material.

NORMA 13: USO DEL TRABAJO DE OTROS EXPERTOS
El auditor de SI debe, donde resulte apropiado, considerar el uso del trabajo de otros expertos para realizar la auditoría.
El auditor de SI debe evaluar y estar satisfecho con las credenciales profesionales, competencias, experiencia relevante, recursos, independencia y procesos de control de calidad de otros expertos, antes de su contratación.
El auditor de SI debe evaluar, revisar y calificar el trabajo de otros expertos como parte de la auditoría y concluir el grado de utilidad y la fiabilidad del trabajo del experto.
El auditor de SI debe determinar y concluir si el trabajo de otros expertos resulta adecuado y suficiente para permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos actuales de la auditoría. Dicha conclusión debe documentarse claramente.
El auditor de SI debe aplicar procedimientos de prueba adicionales para lograr una evidencia de auditoría suficiente y apropiada en circunstancias en las que el trabajo de otros expertos no la proporciona.
El auditor de SI debe proporcionar una opinión de auditoría apropiada e incluir los límites
NORMA 14: EVIDENCIA DE AUDITORÍA
El auditor de SI debe obtener evidencias de auditoría suficientes y apropiadas para llegar a conclusiones razonables sobre las que basar los resultados de la auditoría.
El auditor de SI debe evaluar la suficiencia de las evidencias de auditoría obtenidas durante la misma.
NORMA 15: CONTROLES DE TI
El auditor de SI debe evaluar y supervisar los controles de TI que son parte integral del entorno de control interno de la organización.
El auditor de SI debe asistir a la gerencia proporcionando consejos con respecto al diseño, la implementación, la operación y la mejora de controles de TI.
NORMA 16: COMERCIO ELECTRÓNICO
El auditor de SI debe evaluar los controles aplicables, y cotejar los riesgos al revisar entornos de comercio electrónico, para asegurar que las transacciones de comercio electrónico están correctamente controladas.
Deseas saber más?
DESCARGAR
       

IS Auditing Standars

La naturaleza especializada de la auditoría de los sistemas de información (SI), así como las destrezas para llevar a cabo tales auditorías, requiere de estándares que aplican específicamente a la auditoría de SI. El desarrollo y difusión de los estándares de auditoría de SI son una piedra angular de la contribución de ISACA ( Information System Audit and Control Association o Asociación de Auditoría y control de Sistemas de Información). A continuación se detallan los estándares que deben ser seguidos por todo auditor de SI para realizar un trabajo de calidad

S1 E1 Estatuto de Auditoría
 El propósito de este estándar de auditoría de SI es establecer y proporcionar asesoramiento con respecto al Estatuto de Auditoría utilizado durante el proceso de auditoría
El propósito, responsabilidad, autoridad y rendición de cuentas de la función de auditoría de sistemas de información o de las asignaciones de auditoría de sistemas de información debe documentarse de manera apropiada en un estatuto de auditoría o carta de compromiso
El estatuto o la carta de compromiso deben ser aceptados y aprobados en nivel apropiado dentro de la organización

S2 Independencia

-          Estándar
-          Independencia profesional
-          En todos los aspectos relacionados con la auditoría, el auditor de SI debe ser independiente del auditado, tanto en actitud como en apariencia
-          Independencia organizacional
-          La función de auditoría de SI debe ser independiente del área o actividad que se está revisando para permitir una conclusión objetiva de la tarea que se audita

S3 Ética y Estándares Profesionales

Estándar
El auditor de SI debe cumplir con el código de ética profesional de ISACA al realizar tareas de auditoría
El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estándares profesionales de auditoría aplicables al realizar tareas de auditoría


Ejemplo , ética de ISACA:

Respaldar la implementación y promover el cumplimiento con estándares y procedimientos apropiados del gobierno y gestión efectiva de los sistemas de información y la tecnología de la empresa, incluyendo la gestión de auditoría, control, seguridad y riesgos.

Llevar a cabo sus labores con objetividad, debida diligencia y rigor/cuidado profesional, de acuerdo con estándares de la profesión.

Servir en beneficio de las partes interesadas de un modo legal y honesto y, al mismo tiempo, mantener altos niveles de conducta y carácter, y no involucrarse en actos que desacrediten a la profesión o a la Asociación …
Deseas saber más?
DESCARGAR
       

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Blogger Templates - Premium Blogger Themes