AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 7 y 8
-
Upload
jesus-elid-cisneros -
Category
Documents
-
view
159 -
download
0
Transcript of AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 7 y 8
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
1
AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade
ALUMNO : Jesús Cisneros Valle
FECHA : Quito, 27 de agosto del 2012
CURSO : 10ASM
RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 7 y 8 DEL
LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.
CAPITULO 7
DEONTOLOGIA DEL AUDITOR INFORMATICO Y CODIGOS ETICOS
Cuestiones de Repaso:
1. Principios deontológicos aplicables a los Auditores Informáticos.
• Principio de beneficio del auditado
• Principio de calidad
• Principio de cautela
• Principio de comportamiento profesional
• Principio de concentración en el trabajo
• Principio de confianza
• Principio de criterio propio
• Principio de discreción
• Principio de economía
• Principio de formación continuada
• Principio de fortalecimiento y respeto a la profesión
• Principio de independencia
• Principio de información suficiente
• Principio de integridad moral
• Principio de legalidad
• Principio de libre competencia
• Principio de no discriminación
• Principio de no injerencia
• Principio de precisión
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
2
• Principio de publicidad adecuada
• Principio de responsabilidad
• Principio de secreto profesional
• Principio de servicio publico
• Principio de veracidad
2. Principio de calidad
El auditor deberá realizar su trabajo acorde a las avances de la ciencia y tecnología y
usarlos con absoluta libertad bajo condiciones técnicas apropiadas para el idóneo
cumplimiento de su tarea. Si por alguna razón los medios que se han puesto a su
alcance no fueren los apropiados para realizar profesionalmente su trabajo, deberá,
negarse a realizarlo hasta que se garanticen un mínimo de condiciones para así no
comprometer la calidad de su servicio o de los dictámenes. Si el auditor durante su
trabajo creyere conveniente solicitar informes técnicos que no estén al alcance de su
capacidad cognoscitiva, para analizarlo en apropiadas condiciones deberá remitir el
mismo a un especialista en la materia o recabar dictámenes que refuercen la calidad y
fiabilidad de su auditoria.
3. Principio de Criterio Propio
El auditor al realizar su auditoria deberá actuar con criterio propio y no permitir que
este se subordine a de otros profesionales, aun de reconocido prestigio que no
coincidan con el mismo. En caso de que se presente divergencia con dichos
profesionales sobre aspectos puntuales, deberá reflejar las mismas dejando sentado su
propio criterio e indicando cuando es sustentado en metodologías o experiencias que
difieran de las corrientes profesionales mayoritariamente asumidas. Las críticas deben
ser respetadas, pero recordemos que al auditor tiene la obligación ética de actuar en
todo momento de manera que el considere la más beneficiosa para el auditado, aun
cuando terceras personas le requieran seguir líneas diferentes de actuación. El auditor
deberá discernir sobre la posibilidad de que la que la actividad que se le solicita
presuntamente para evaluar y mejora un sistema informático, tiene otra finalidad ajena
a la auditoria, cuyo caso deberá negarse a prestar esa asistencia dejando sentado las
razones de du negativa. De igual manera si el auditado se niega a adoptar sus
propuestas, deberá plantearse la continuidad de sus servicios en función de las razones
y causan que considere puedan justificar dicho proceder.
4. Qué significa el principio de Economía?
El auditor deberá proteger en la medida de sus conocimientos los derechos económicos
del auditado evitando generar gastos innecesarios en el ejercicio de su actividad.
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
3
Deberá evitar dilaciones innecesarias en la realización de su auditoria, lo que le
permitirá al auditado implementar lo más pronto posible solventar sus problemas o la
inmediata adecuación de métodos propuestos lo que determinará un valor añadido al
trabajo del auditor. Deberá tener en cuenta la economía de medios materiales y
humanos, para evitar el uso de aquellos que son innecesarios lo que redundará en
suprimir gastos injustificados. El auditor debe rechazar las ampliaciones al trabajo en
marcha aun a petición del auditado sobre asuntos que no atañen directamente a la
auditoria. En las recomendaciones que emita deberá eludir, incitar o proponer actos
que generen gastos superfluos al auditado.
5. Importancia de la formación continua del Auditor Informático.
Impone al auditor el deber y la obligación de estar permanentemente actualizando sus
conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda y las
exigencias de la competencia de la oferta. La progresiva especialización de sus clientes
exige de los auditores, Para poder mantener el grado de confianza que se precisa para
dejar en sus manos el análisis de las prestaciones de los sistemas informáticos, el
auditor debe seguir un continuo plan de actualización respecto a nuevas tecnologías de
la información para incluir en su trabajo estas innovaciones.
6. Grado de independencia del Auditor Informático.
Principio relacionado con el principio de criterio propio, obliga al auditor tanto si actúa
como profesional externo o con independencia laboral respecto de la empresa en donde
realiza la auditoria informática, a exigir total autonomía e independencia en su trabajo,
condición imprescindible para actuar libremente según su leal saber y entender. La
independencia del auditor constituye, en su esencia la garantía de que los intereses del
auditado serán asumidos con objetividad, no debe permitir ningún condicionamiento a
la cabal realización de su trabajo. Esta independencia implica rechazo a criterios con
los cuales no esté totalmente de acuerdo, debiendo reflejar en su informe final solo los
que considere pertinentes. El auditor deberá preservar su derecho y obligación de decir
y poner de manifiesto todo aquello que según sus conocimientos y conciencia
considere necesario, evitado emitir criterios o métodos que perjudiquen al auditado,
aun en el caso que este lo solicite. No deberá enrolarse laboralmente con firmas que no
le permitan trabajar con total libertad.
7. Qué es el principio de legalidad?
En todo momento el auditor deberá evitar utilizar sus conocimientos para facilitar a los
auditados o terceras personas la violación de la ley. En ningún caso consentirá o
colaborara en la desactivación o eliminación de dispositivos de seguridad, ni intentara
obtener los códigos o claves de acceso a sectores restringidos de información
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
4
generados para proteger los derechos, obligaciones o intereses de terceros (Derecho a
la intimidad, propiedad intelectual, secreto profesional..) Los auditores deberán
abstenerse de intervenir líneas de comunicación o controlar actividades que puedan
vulnerar los derechos personales o empresariales dignos de protección. El auditor
deberá estar atento y rechazar todo intento del auditado o terceras personas a realizar
actos tendientes a infringir cualquier precepto integrado en el derecho.
8. Responsabilidad del auditor Informático.
El auditor deberá como principio de todo comportamiento profesional,
responsabilizarse de todo lo que haga, diga o aconseje, sirviendo esta forma de actuar
como obstáculo de injerencias extra profesionales. SI bien este principio resulta
especialmente gravoso en auditoria de gran complejidad como las auditorias
informáticas, es preciso tenerlo en cuenta a fin de poder garantizar su responsabilidad
en los casos en que debido a errores humanos durante la ejecución de la auditoria, se
produzcan daños a su cliente que le pudieran ser imputados.
Por ello es conveniente la suscripción de contratos de seguros adaptados a las
peculiaridades de su actividad profesional, que cubran la responsabilidad civil de los
auditores a fin de acrecentar la confianza y solvencia de su actividad profesional.
La responsabilidad del autor conlleva la obligación de resarcimientos de los daños y
perjuicios que puedan derivarse de una actuación negligente o culposa.
9. A que obliga el secreto profesional?
La confidencia y la confianza son características esenciales de las relaciones entre el
auditor y el auditado e imponen al primero la obligación de guardar el secreto los
hechos o informaciones que conozca en el ejercicio de su actividad profesional.
Solamente por disposición legal podrá deponer esta obligación. El auditor está
obligado a no difundir a terceras personas ningún dato que haya visto, oído o deducido
durante el desarrollo de su trabajo y que pudiera perjudicar a su cliente, siendo nulo
cualquier pacto contractual que pretenda excluir dicha obligación.
El mantenimiento del secreto profesional se extiende a todas las personas que hayan
colaborado con el auditor en la auditoria, si por el contrario uno de estos colaboradores
divulgasen los datos de la auditoria, recaerá sobre él la responsabilidad de
resarcimiento de los daños y perjuicios materiales o morales y será extensivo al auditor
en virtud de la responsabilidad in eligendo o in vigilando que asume por los actos de
sus colaboradores.
El deber de secreto impone al auditor garantizar al auditado que toda la información de
la auditoria estará protegida bajo mecanismos de seguridad y será almacenada en
entornos o soportes que impidan su acceso por terceras personas, el auditor solo
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
5
permitirá el acceso a esa información a profesionales que estén bajo su dependencia
organizativa y que guarden el secreto profesional.
No se considerara vulneración de la divulgación de los datos cuando estos sean
entregados a otros profesionales bajo estricta autorización y conocimiento del
auditado, siempre y cuando la información guarde un rango de seguridad adecuado.
El auditor debe mantener el secreto profesional sobre sobre todo tipo de información,
de la empresa donde presta sus servicios.
10. Facetas que configuran el régimen de responsabilidad frente a terceros.
Primera Faceta: Corresponde a la aplicación de sus conocimientos técnicos con la
finalidad de determinar en base a los mismos, las condiciones de seguridad, fiabilidad
y calidad de los medios, elementos o productos que conforman el sistema informático
auditado y recomendar las medidas que se estimen convenientes para su mejora o
adaptación a los objetivos para los que fue diseñado. A tenor de la coyuntura actual y
previsible a mediano plazo constituyan su perspectiva de futuro.
Segunda Faceta: Debe poner en manifiesto la aplicación de los fundamentos
humanísticos que como persona y profesional le son éticamente exigibles, para en
función de los mismos, coadyuvar al desarrollo integral de la sociedad en la prestación
de sus servicios y de la cual ha tomado, para la formación de sus conocimientos y
desarrollo de su propia personalidad.
CAPITULO 8
LA AUDITORIA FISICA
Cuestiones de Repaso:
1. Diferencie entre seguridad lógica, seguridad física y seguridad de las
comunicaciones, poniendo varios ejemplos de cada tipo.
No existe una diferencia clara entre seguridad física, lógica y de las comunicaciones, lo
más practico seria unirlas como una seguridad integral es decir en una sola.
Ejemplos:
Mientras que la seguridad física, trata de salvaguardar la parte física de un ordenador,
como el procesador, intrínsecamente al hacerlo está protegiendo el software que este
incluye y procesa (Seguridad lógica), y por ende al hacerlo y mantenerlo conectado al
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
6
resto de la Tarjeta madre, protege la circuitería como buses físicos que se comunican
con el Northbridge, el Bios, la Ram, etc.
Si la seguridad física fuese en el disco duro, de igual manera se vería envuelta las
seguridad de los datos (seguridad lógica) y de comunicación (los buses de datos).
2. Explique el concepto de “Nivel adecuado de seguridad física”.
O también llamado grado de seguridad, es un conjunto de acciones utilizadas para
evitar el fallo, o en su caso aminorar las consecuencias que de él se pueden derivar. Es
un concepto aplicable a cualquier actividad, no solo informática, en la que las personas
hagan uso particular o profesional de entornos físicos.
3. Cómo definiría lo que constituye un desastre?
Es cualquier evento que, cuando ocurre tiene la capacidad de interrumpir el normal
proceso de una empresa.
4. Que tipos de seguros existen?
• Centros de proceso y equipamiento
• Reconstrucción de medios software
• Gastos extras
• Interrupción del negocio
• Documentos y registros valiosos
• Errores y omisiones
• Cobertura de fidelidad
• Transporte de medios
• Contrato con proveedores y mantenimiento
5. Que medios de extinción de fuego conoce?
Agua, extintores, espuma.
6. Porqué es importante la existencia de un sistema de control de entradas y salidas?
Para tener un control de acceso de las visitas o personal, en las areas perimetral, interna
y restringida.
7. Que técnicas cree que son las más adecuadas para la auditoria física?
Técnicas:
• Observación de las instalaciones, sistemas, cumplimiento de normas y
procedimientos.
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
7
• Revisión analítica de: Documentos sobre construcción y preinstalaciones,
Documentación sobre guías de seguridad, Políticas y normas de actividad de sala,
Normas y procedimientos de seguridad física de datos, Contratos de seguro y de
mantenimiento.
• Entrevistas con directivos y personal, fijo o temporal
• Consultas a técnicos y peritos que formen parte de la plantilla o independientes
contratados.
8. Cuales suelen ser las responsabilidades del auditor informático interno respecto a
la auditoria física?
• Revisar los controles relativos a seguridad física
• Revisar el cumplimiento de los procedimientos
• Revisar riesgos
• Participar con independencia en: Selección, adquisición e implantación de equipos
y materiales, Planes de seguridad y de contingencia, seguimiento, actualización,
mantenimiento y pruebas de los mismos.
• Revisión y cumplimiento de las políticas y normas sobre seguridad física, así como
las funciones de responsables y administradores de seguridad.
• Efectuar auditorias programadas e imprevistas
• Emitir informes y efectuar el seguimiento de las recomendaciones.
9. Que aspectos considera más importantes a la hora de auditar el plan de
contingencia desde el punto de vista de la auditoria física?
• Acuerdo de la empresa para el plan de contingencia
• Acuerdo de un proceso alternativo
• Protección de datos
• Manual de plan de contingencia
10. Que riesgos habría que controlar en el centro de proceso alternativo?
• Esta el acuerdo obligado e impuesto legalmente cuando se produce un desastre?
• Es compatible el equipamiento del proceso de datos en el centro alternativo con el
equipamiento en el CPD?
• Proporciona el centro alternativo suficiente capacidad?
• Cuando fue la última vez que se probo el centro alternativo?
• Cuáles fueron los objetivos y el alcance de la prueba?
• Cuáles fueron los resultados de la prueba? Quedaron los resultados bien
documentados?
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
8
• Han sido implementados acciones correctivas o están previstas para una futura
implementación?
• Esta prevista una próxima prueba de uso del centro alternativo?
• Utiliza la empresa algún equipamiento de proceso que pueda no estar soportado por
el centro alternativo?