AUDITORÍA.docx
-
Upload
adriana-perdomo -
Category
Documents
-
view
1.640 -
download
3
Transcript of AUDITORÍA.docx
FUNDAMENTOS DE AUDITORÍA
La auditoria informática es una disciplina que tiene diferentes fundamentos.
Deberás investigar cuales son dichos fundamentos y la importancia de cada
uno para que una auditoria informática se pueda dar.
Aspectos generales relativos a la seguridad: En el cual se debe
considerar, entre otros: la seguridad operativa de los programas, seguridad
en suministros y funciones auxiliares, seguridad contra radiaciones,
atmósferas agresivas, agresiones y posibles sabotajes, seguridad físicas de
las instalaciones, del personal informático, entre otros.
Aspectos relativos a la confidencialidad y seguridad de la
información: Estos se refieren no solo a la protección del material, el
logicial, los soportes de la información, sino también al control de acceso a
la propia información (a toda o a parte de ella, con la posibilidad de
introducir modificaciones en la misma).
Aspectos jurídicos y económicos relativos a la seguridad de la
información: Este grupo se encarga de analizar la adecuada aplicación del
sistema de información en la empresa en cuanto al derecho a la intimidad y
el derecho a la información, además de controlar los frecuentes delitos
informáticos que se cometen en la misma.
1. Realizar una búsqueda en Internet sobre diferentes cursos de auditoría
ofrecidos en cualquier parte del mundo, estos cursos pueden ser
presénciales o en línea. Puedes utilizar las ligas sugeridas en la sección
anterior o buscarlos por tu cuenta.
CURSO DE HACKING - AUDITORÍA INFORMÁTICA Y SEGURIDAD
http://www.educanet.ec/index.php?
option=com_2j_tabs&Itemid=438
Los participantes saldrán aptos en:
Ajustar la seguridad de una red de datos. Contra atacantes internos o
externos.
Configurar los dispositivos de la red para evitar delitos informáticos.
Advertir cuando la red de información está bajo ataque de un hacker.
Implementar dispositivos de manera correcta y eficiente por ejemplo
Firewalls e IPS (Intrution Prevention Sistems)
Evitar falsos positivos y negativos en alertas de intrusión en tus
equipos de seguridad informática.
Saber cómo operan los hackers para meterte en tu red.
Evitar un punto de falla en tu red y como superarlo.
Elegir el mejor equipo de seguridad para las necesidades de tu red.
Emplear estrategias para iniciar al aseguramiento de tu red
Requisitos:
Conocimientos básicos de Sistemas y/o Auditoría de Sistemas.
Información General
Fecha: 7, 8 y 9 de marzo 2012
Lugar: Hotel Courtyard Marriot Guayaquil
Horario: 8.30 am - 5.30 pm
Inversión: US$450 + IVA
Almuerzo y Coffee Break Incluido
Instructor: Mr Juan Baby
Contacto: 02- 3825592 / 02 – 3825622
Email: [email protected]
CONTROLES Y SEGURIDAD INFORMÁTICA
http://sis.senavirtual.edu.co/infocurso.php?semid=687&areaid=1
Lea detenidamente la información de este curso, si desea preinscribirse
puede hacerlo en línea utilizando el botón en la parte inferior. La gran
acogida de esta convocatoria, hace que nuestras páginas se encuentren
congestionadas, agradecemos tener un poco de paciencia o realizar la
inscripción en horas no pico.
Duración
Duración del curso: 40 horas
Generalidades
La auditoría debe de comenzar por la parte administrativa y después seguir
a la parte de aplicaciones evaluando todos los elementos relacionados con
los sistemas pero no sin antes haber analizado todo lo relacionado con
personal, compra de equipo, planeación, control, etc.
También es importante evaluar todo a lo que seguridad informática se
refiere y estar al día en el conocimiento de las diferentes formas en las
cuales la seguridad física y lógica de un sistema puede ser atacada.
Contenidos
Unidades Didácticas:
Unidad 1. Auditoria a la Administración de Sistemas de Información
Unidad 2 Controles Administrativos
Unidad 3. Controles de Aplicación
Unidad 4 Seguridad Informática
Metodología
Competencia (s) Laboral (es) y/o profesional (es) a desarrollar:
1. Evaluar los elementos que se deben controlar y auditar en la parte
administrativa de informática 2. Evaluar los elementos que se deben
controlar y auditar en las aplicaciones del negocio 3. Aplicar y evaluar la
seguridad física y lógica en las organizaciones
Requisitos de ingreso
Requerimientos técnicos: Se requiere que el estudiante AVA tenga dominio
de las condiciones básicas relacionadas con el manejo de herramientas
informáticas y de comunicación: correo electrónico, chats, Messenger,
procesadores de texto, hojas de cálculo, software para presentaciones,
Internet, navegadores y otros sistemas y herramientas tecnológicas
necesarias para la formación virtual.
CURSO SOBRE AUDITORIA DE TECNOLOGÍA INFORMÁTICA Y FRAUDE
CORPORATIVO
http://www.deloitte.com/view/es_CO/co/servicios-ofrecidos/auditoria/
auditoria-interna/index.htm?gclid=CPv37brVka0CFQ5T7AodQUtwpA
Se dicta todos los sábados de 9:30 a 13:30 horas. Pudiendo comenzar el
sábado que usted elija. Objetivos: El objetivo del presente curso es capacitar
a los interesados sobre los aspectos que hacen a la auditoria de tecnología
informática en pos de la protección del bien más preciado en la actualidad,
la información. Alcance: El alcance del presente curso será sobre las
técnicas de auditoría informática y aquellos aspectos que tiendan a impedir
la ocurrencia de fraude corporativo. Duración: Se prevé que el curso tendrá
una duración de 9 (nueve) semanas. Las clases se dictarán los sábados de
9:00 a 13:30 horas. El curso se puede comenzar cualquier sábado, porque
los módulos no son interdependientes. Metodología: La metodología del
presente curso será por medio de exposiciones, acompañadas por
presentaciones en MS PowerPoint®, videos, casos prácticos, debates;
fomentando la participación de los cursantes en todo momento. Los
módulos serán presentados en forma individual, tomando un día por módulo
para enfocar los esfuerzos y recursos de la mejor manera posible, y permitir
a los postulantes ingresar en cualquier semana del curso. Requisitos de los
Cursantes: El curso está destinado a personas que trabajen o aspiren a
trabajar en áreas vinculadas al tema en organizaciones privadas o públicas,
a graduados y/o estudiantes avanzados interesados en los temas de
seguridad informática. Contenido: A continuación se detallan algunos de los
aspectos críticos del contenido del curso, el cual se encuentra dividido en 9
módulos, a saber: El área de sistemas: Estrategia en el área de sistemas.
Alineación con la estrategia de la empresa. Dependencia funcional vs.
Lineal. Cambios de gestión o tecnología críticos para el período bajo
revisión. Personal asignado a las tareas: cantidad y funciones. Tercerización
de servicios. Existencia de documentación actualizada. Funciones de
seguridad informática. Mantenimiento de las aplicaciones: Ambientes de
desarrollo, prueba y producción: separación, acceso y necesidades.
Documentación del proceso de requerimiento de creación/modificación de
programas. Migraciones. Aprobación del usuario clave sobre los cambios.
Implementación de actualizaciones del proveedor de soluciones. Seguridad
lógica: Sistema operativo y su capacidad de implementar niveles adecuados
de seguridad. Caducidad de las contraseñas. Bloqueo de los usuarios.
Registro de intentos fallidos de ingreso. Habilitación de usuarios temporales.
Seguimiento de los eventos de seguridad. Aplicaciones con control total
sobre las carpetas donde se almacenan los datos. Manejo de excepciones.
Aplicación financiera y su capacidad de implementar niveles adecuados de
seguridad. Implementación de la segregación de funciones. Manejo de
excepciones. Continuidad del procesamiento: Plan de contingencia. Sitio
alternativo de procesamiento. Software antivirus. Procedimiento sobre
generación de copias de resguardo. Capacidad, periodicidad, rotación,
almacenamiento y destrucción de las cintas. Centro de cómputos. Medidas
mínimas de seguridad física. Presencia y custodia de los proveedores.
Manejo de excepciones. Mantenimiento de los usuarios: Procedimiento de
administración de usuarios. Gestión del alta, baja y cambio de perfil de un
usuario. Correspondencia de perfiles. Manejo de excepciones. Correlación
con datos del área de Recursos Humanos. Monitoreo y actualización:
Revisión del proceso de TI para su mejora. Manejo de excepciones.
Retroalimentación de áreas del negocio informatizadas. Certificaciones que
existen en el país y el mundo. Fraude Corporativo: Concepto de delito. Tipos
de delitos económicos. Diferencia entre fraude y estafa. Los delitos
tributarios y de seguridad social. El contrabando. El lavado de dinero y
obligaciones de la auditoria. Cibercriminalidad: Concepto de
ciberdelincuencia. Tipos de delitos que se encuentran penados. Tipos de
ciberdelitos existentes. Transnacionalidad de los ciberdelitos. Trabajo
práctico integrador grupal y exposición: Se expondrán temas propuestos por
los grupos o asignados por el titular y podrá ser por medio de
presentaciones MS PowerPoint®, videos, casos prácticos, debates; y deberá
presentarse en formato impreso y electrónico/óptico. Certificación: Se
entregará certificado de aprobación a aquellos cursantes con el 75% de
asistencia y hayan aprobado las evaluaciones. Aquellos con una asistencia
menor recibirán un certificado de asistencia. Costo / Inversión: Se cobrará
una matrícula de $200 y dos pagos mensuales de $200. Para aquellos que
sean estudiantes o graduados del Politécnico, los costos son de $150 cada
uno. La matrícula deberá estar abonada 5 días antes del comienzo del
curso. La cuota mensual se pagará del 1 al 10 del mes. Informes e
Inscripción: los interesados comunicarse telefónicamente o enviar un e-mail
al correo electrónico.
2. Lectura del caso:
ESCOGE UNO
Tú eres el administrador de auditoría interna de una compañía pequeña -
mediana que tiene bien desarrollados sus sistemas batch para todas sus
aplicaciones. Debido a todos los casos de fraude publicados en los
periódicos, la administración de la compañía te ha dado permiso para
contratar un auditor de sistemas, el primero de la compañía por quien tú
serías responsable.
Recibes sólo dos aplicaciones al puesto. Un aspirante trabaja en un staff de
auditoría interna, un graduado contratado hace 6 años por la compañía. Él
primero trabajó como contador para la compañía, pero debido a su talento
fue transferido a auditoría interna. El no tiene relación con computadoras
excepto por un curso que tomó en carrera y como usuario de la salida de los
sistemas. Sin embargo, él tiene buen conocimiento de los sistemas
contables y tú sientes que sus habilidades e inteligencia le permitirán
adquirir los conocimientos computacionales rápidamente.
El otro aspirante es de otra compañía con la que tú estás familiarizado. Ella
es analista programador. A pesar de que ha participado en el diseño e
implantación de sistemas contables, ella no tiene ningún entrenamiento
formal en contabilidad. Su grado académico es en matemáticas. Después de
que la entrevistaste e hiciste un chequeo de su historia con un amigo que
trabaja en la misma compañía con ella, podría ser una empleada muy
capaz.
Piensa en el tipo de entrenamiento que deberían de tener cada uno de los
aspirantes para poder ocupar el puesto.
Para ocupar el puesto estos son algunos de los entrenamientos que debe
tener un aspirante:
Una adecuada inducción sobre auditoría informática (los objetivos,
procesos, métodos, etc.)
Identificación de los métodos, técnicas y herramientas necesarias para
realizar una auditoría informática
Los pasos para llevar a cabo la auditoría.
Los métodos que se van a utilizar para recolectar información.
Los valores y criterios que debe tener y desarrollar un auditor
La ética y moral con la que se debe afrontar el cargo.
Puesta en marcha de lo antes descrito.
3. Indica cuál sería el aspirante que tú escogerías e incluye tu
justificación.
Cada aspirante tiene capacidades muy importantes, pero de acuerdo a los
casos el aspirante más apto para ocupar el puesto, es el graduado que
trabaja desde hace 6 años para la compañía. Porque, su currículo es muy
prominente, además que por sus méritos laborales fue ascendido de puesto,
lo que indica que sobresale en su trabajo y se adapta rápidamente a los
cambios que lo involucran. Conoce muy bien el funcionamiento de la
empresa, por lo cual sería de gran ayuda en el grupo de trabajo que se está
formando.