juan.herrera@leveltech.com.ec
Clase 1
ISACA Control de sistemas (Auditoría, Riesgos, Seguridad)CISA es una certificación
Visión: Confiar en los sistemas
Misión: Liderazgo en IT
190 capítulos.
Orientado a educación
Investigación:
COBIT
ValIT 2.0
ITAF
RiskIT
-Los auditores deben ser CISA
Eventos:
CIO Forum
Miembros: Beneficios, Estudiantes 30$
4 certificaciones
CISA: Certified Information Systems Auditor - Auditor de sistemas certificados actualmente. (5 Capítulos) - Existen 39. (3 años de Experiencia en Auditoría) 3500$
CISM: Certified Information Security Manager - Seguridad de la Información. Existen 9. (8 años)
CGEIT: Certified in the Governance of Enterprise IT. Gobierno en la empresa a nivel TI - Gerenciamiento de Sistemas. Existen
5 (13 años)
CRISC: Certified in Risk and Information System Control - Manejo de Riesgos - Existen 13
Ver Grafico!!!
CERTIFICACIONES (ccna $500, microsoft en redes, linux)
Auditor Tradicional: Pedir información al cliente (Contraloría)
Auditor CISA: Enfoque asesor, se encuentran las debilidades y se asesora y busca cambiarlo.
WWW.ISACA.ORG
Membresía Anual Estudiantil.
-------------
4 certificaciones
CISA: Certified Information Systems Auditor - Auditor de sistemas certificados actualmente. (5 Capítulos) - Existen 39. (3
años de Experiencia en Auditoría, Examen, Ingeniería, XXXX) 3500$ - Normativas Financieras - Enfocado en Redes (Redes, Web,
móviles, internet, intranets, proyectos, desarrollo, bd, store procedures, triggers, Active Directory, web service,
certificados digitales, leer contratos, legislaciones).
- Open Source
- Móviles
- ITIL
CISM: Certified Information Security Manager - Seguridad de la Información. Existen 9. (8 años)
CGEIT: Certified in the Governance of Enterprise IT. Gobierno en la empresa a nivel TI - Gerenciamiento de Sistemas. Existen
5 (13 años)
CRISC: Certified in Risk and Information System Control - Manejo de Riesgos - Existen 13
Ver Grafico!!!
Auditor Tradicional: Pedir información al cliente (Contraloría)
Auditor CISA: Enfoque asesor, se encuentran las debilidades y se asesora y busca cambiarlo.
WWW.ISACA.ORG
Membresía Anual Estudiantil.
Tesis, Certificaciones, (los phd son académicos)
ISO 27000 (1).
Clase 2
Tecnologías de la Información: HW + SWSistema de negocio:
Soluciones en Software que abarcan un conjunto de procesos herramientas de apoyo que automatizan los procesos clave, el core de la empresa (core bussines) [Ej. el core busines de pronaca es el procesador de alimentos.] permitiéndole hacer el trabajo del día a día.
Por ejemplo el software que gestiona los procesos del negocio de la fibeca, en un hospital el gesitonador de pacientes, doctores. en un banco es el sofware que maneja la info de ahorro de créditos, ahorro, cuentas pendientes, etc.
Auditor CISA
Debe tener conocimientos necesarios para proporcionar servicios de auditoría de sistemas de información (SI) en conformidad con los estándares, directrices y mejores prácticas para apoyar a la organización a validar que su tecnología de información y sus sitemas de negocios estén protegidos y controlados ->(Riesgos)
Objetivos:
Estrategias de auditorías, estándares, reportar riesgos, Ver la lámina.
Organización
Ayudan a la toma de decisiones y ayudan a la gerencia.
ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA DE SI
- Realizar el ESTATUTO DE AUDITORÍA “Engagement letter”
- responsabilidades y objetivos de administración y delegación de autoridad.
- autoridad y alcance de las funciones.
- Aprobación del Estatuto de Auditoría, lo firma el gerente de compromiso
- Cambios en el EA
PLANEACIÓN DE AUDITORÍA
- Planeación a Corto Plazo
- P a L P
- Aspectos a considerar por el Gerente de Compromiso.
- nuevas características del mercado
- Cambios tecnológicos (RFI, lectores de códigos de barras, etc...)
- Cambios en los procesos de negocio (agregar nuevas funcionalidades)
- Técnicas mejoradas de evaluación
- P individual de auditoría:
- Comprensión general del ambiente (Entender a qué se dedica: Visión, Misión, Planes de negocio, Plan estratégico, portafolio de servicio, de productos, número de empleados, productos más vendidos, número de empleados, organigrama, mapa de procesos):
- Prácticas del negocio y funciones relativas.
- Sistemas de información y tecnología (El auditor debe hacer un organigrama, el detalle del flujo de los procesos para comprender la cadena de valor empresarial. es una destreza a desarrollar) (Identificar qué sistemas son los que soportan el core de negocio, por lo que se identifica un ERP, base de datos DB2 sobre AS400, (por ejemplo verificar la integridad de la base de datos, que los saldos y facturas no hayan sido modificados, por lo que se requiere ver cómo los usuarios se conectan y acceden a los datos por ejemplo por ssh a través de putty, o por un web service se muestra al usuario final la info y se hacen las proformas, muchas PYMES tienen sistemas realizados en VISUAL FOX, por lo que entra en punto crisis porque el sistema ya no soporta los nuevos requisitos y/o la demanda, autentificación por check point, verificar la identidad en agencias remotas) Para auditar, el cliente solicita que el auditor debe saber más que él.
- PASOS DE LA PLANEACIÓN DE AUDITORÍA
- Entender la M, O, propósitos, Proc del negocio.
- Identificar el estado de contenidos específicos (políticas, estándares, directrices procedimientos y estruc orga)
- Evaluar el análisis de riesgos y el análisis de impacto a la privacidad. DEBER: Análisis de comparación de metodologías de evaluación de riesgos. Usando la NIST 800-30, OCTAVE, RISK IT. - FORTALEZA Y DEBILIDADES, COMPARACIÓN, RELACIONES, RECOMENDACIONES, CONCLUSIONES. Diapositivas en 15 días la presentación. 11 de febrero de 2012.
El riesgo es la probabilidad de que una amenaza ocurra. (Amenaza: ladrones, Riesgo: la probabilidad de que le roben, Para que no le roben se ponen controles).Control: sirve para mitigar riesgos. Impacto: Ocurrencia de un riesgo.
- Desarrollar un análisis de riesgos.
- Conducir la revisión de control interno - Acciones que toma la gerencia para mitigar los riesgos (los dueños de la organización son los que están más al tanto de los riesgos). El auditor evalúa el trabajo de los Gerentes, los controles que tiene, como identifica o verifica la integridad de las ventas.
- Establecer el alcance y los objetivos de la auditoría. (Cuando se hace una auditoría (interna es más puntual y externa es anual ) se define hasta donde evaluar, un auditor cisa siempre cada año prueba la seguridad de la información obligatoriamente).
- Desarrollar el enfoque o la estrategia de auditoría.
- Planificar y asignar los recursos de personal para la auditoría y dirigir la logística de trabajo de auditoría. (Las horas de producción son las que se efectiviza en una auditoría, por lo que se verifica un checklist de todo lo que debe hacer y/o realizar el equipo de sistemas cliente)
- Requerimients regulatorios
- Establecimiento
- organización
- Responsabilidades
- Correlación con las funciones de auditoría financiera, operacional y de TI (Super Intendencia de Companía, Financiera, IEPI, BSA Bussines Software Area, etc todas las org que lo regulen).
- Pasos para determinar el cumplimiento con los requerimientos externos (Las empresas que cotizan en la bolsa se deben a leyes extranjeras):
Es una guía de conducta profesional y personal para los miembros de la Asociación y/o poseedores de las designaciones CISA y CISM
- Conducta Professional:
- Conducta Personal:
- Independencia a todo nivel (que los mismos auditores sean familia, invitar a comer, parrilladas, farras, salidas, amiguis, etc.) Por lo que de entrada hay que cortar cualquier tipo de relación por más pequeña que sea. Sería como un antisocial por naturaleza para evitar cualquier dependencia. Puede perder credibilidad, se pueden perder focos de riesgos. Respetando el código de ética profesional el trabajo de un auditor es reconocido (un trabajo bien realizado se multiplica por 7 y uno que haga mal por 49).
Clase 3
No hay comentarios:
Publicar un comentario