AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 7 y 8

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

1

AUDITORIA INFORMATICA

PROFESOR : Ing. Fernando Andrade

ALUMNO : Jesús Cisneros Valle

FECHA : Quito, 27 de agosto del 2012

CURSO : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 7 y 8 DEL

LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.

CAPITULO 7

DEONTOLOGIA DEL AUDITOR INFORMATICO Y CODIGOS ETICOS

Cuestiones de Repaso:

1. Principios deontológicos aplicables a los Auditores Informáticos.

• Principio de beneficio del auditado

• Principio de calidad

• Principio de cautela

• Principio de comportamiento profesional

• Principio de concentración en el trabajo

• Principio de confianza

• Principio de criterio propio

• Principio de discreción

• Principio de economía

• Principio de formación continuada

• Principio de fortalecimiento y respeto a la profesión

• Principio de independencia

• Principio de información suficiente

• Principio de integridad moral

• Principio de legalidad

• Principio de libre competencia

• Principio de no discriminación

• Principio de no injerencia

• Principio de precisión


2

• Principio de publicidad adecuada

• Principio de responsabilidad

• Principio de secreto profesional

• Principio de servicio publico

• Principio de veracidad

2. Principio de calidad

El auditor deberá realizar su trabajo acorde a las avances de la ciencia y tecnología y

usarlos con absoluta libertad bajo condiciones técnicas apropiadas para el idóneo

cumplimiento de su tarea. Si por alguna razón los medios que se han puesto a su

alcance no fueren los apropiados para realizar profesionalmente su trabajo, deberá,

negarse a realizarlo hasta que se garanticen un mínimo de condiciones para así no

comprometer la calidad de su servicio o de los dictámenes. Si el auditor durante su

trabajo creyere conveniente solicitar informes técnicos que no estén al alcance de su

capacidad cognoscitiva, para analizarlo en apropiadas condiciones deberá remitir el

mismo a un especialista en la materia o recabar dictámenes que refuercen la calidad y

fiabilidad de su auditoria.

3. Principio de Criterio Propio

El auditor al realizar su auditoria deberá actuar con criterio propio y no permitir que

este se subordine a de otros profesionales, aun de reconocido prestigio que no

coincidan con el mismo. En caso de que se presente divergencia con dichos

profesionales sobre aspectos puntuales, deberá reflejar las mismas dejando sentado su

propio criterio e indicando cuando es sustentado en metodologías o experiencias que

difieran de las corrientes profesionales mayoritariamente asumidas. Las críticas deben

ser respetadas, pero recordemos que al auditor tiene la obligación ética de actuar en

todo momento de manera que el considere la más beneficiosa para el auditado, aun

cuando terceras personas le requieran seguir líneas diferentes de actuación. El auditor

deberá discernir sobre la posibilidad de que la que la actividad que se le solicita

presuntamente para evaluar y mejora un sistema informático, tiene otra finalidad ajena

a la auditoria, cuyo caso deberá negarse a prestar esa asistencia dejando sentado las

razones de du negativa. De igual manera si el auditado se niega a adoptar sus

propuestas, deberá plantearse la continuidad de sus servicios en función de las razones

y causan que considere puedan justificar dicho proceder.

4. Qué significa el principio de Economía?

El auditor deberá proteger en la medida de sus conocimientos los derechos económicos

del auditado evitando generar gastos innecesarios en el ejercicio de su actividad.


3

Deberá evitar dilaciones innecesarias en la realización de su auditoria, lo que le

permitirá al auditado implementar lo más pronto posible solventar sus problemas o la

inmediata adecuación de métodos propuestos lo que determinará un valor añadido al

trabajo del auditor. Deberá tener en cuenta la economía de medios materiales y

humanos, para evitar el uso de aquellos que son innecesarios lo que redundará en

suprimir gastos injustificados. El auditor debe rechazar las ampliaciones al trabajo en

marcha aun a petición del auditado sobre asuntos que no atañen directamente a la

auditoria. En las recomendaciones que emita deberá eludir, incitar o proponer actos

que generen gastos superfluos al auditado.

5. Importancia de la formación continua del Auditor Informático.

Impone al auditor el deber y la obligación de estar permanentemente actualizando sus

conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda y las

exigencias de la competencia de la oferta. La progresiva especialización de sus clientes

exige de los auditores, Para poder mantener el grado de confianza que se precisa para

dejar en sus manos el análisis de las prestaciones de los sistemas informáticos, el

auditor debe seguir un continuo plan de actualización respecto a nuevas tecnologías de

la información para incluir en su trabajo estas innovaciones.

6. Grado de independencia del Auditor Informático.

Principio relacionado con el principio de criterio propio, obliga al auditor tanto si actúa

como profesional externo o con independencia laboral respecto de la empresa en donde

realiza la auditoria informática, a exigir total autonomía e independencia en su trabajo,

condición imprescindible para actuar libremente según su leal saber y entender. La

independencia del auditor constituye, en su esencia la garantía de que los intereses del

auditado serán asumidos con objetividad, no debe permitir ningún condicionamiento a

la cabal realización de su trabajo. Esta independencia implica rechazo a criterios con

los cuales no esté totalmente de acuerdo, debiendo reflejar en su informe final solo los

que considere pertinentes. El auditor deberá preservar su derecho y obligación de decir

y poner de manifiesto todo aquello que según sus conocimientos y conciencia

considere necesario, evitado emitir criterios o métodos que perjudiquen al auditado,

aun en el caso que este lo solicite. No deberá enrolarse laboralmente con firmas que no

le permitan trabajar con total libertad.

7. Qué es el principio de legalidad?

En todo momento el auditor deberá evitar utilizar sus conocimientos para facilitar a los

auditados o terceras personas la violación de la ley. En ningún caso consentirá o

colaborara en la desactivación o eliminación de dispositivos de seguridad, ni intentara

obtener los códigos o claves de acceso a sectores restringidos de información


4

generados para proteger los derechos, obligaciones o intereses de terceros (Derecho a

la intimidad, propiedad intelectual, secreto profesional..) Los auditores deberán

abstenerse de intervenir líneas de comunicación o controlar actividades que puedan

vulnerar los derechos personales o empresariales dignos de protección. El auditor

deberá estar atento y rechazar todo intento del auditado o terceras personas a realizar

actos tendientes a infringir cualquier precepto integrado en el derecho.

8. Responsabilidad del auditor Informático.

El auditor deberá como principio de todo comportamiento profesional,

responsabilizarse de todo lo que haga, diga o aconseje, sirviendo esta forma de actuar

como obstáculo de injerencias extra profesionales. SI bien este principio resulta

especialmente gravoso en auditoria de gran complejidad como las auditorias

informáticas, es preciso tenerlo en cuenta a fin de poder garantizar su responsabilidad

en los casos en que debido a errores humanos durante la ejecución de la auditoria, se

produzcan daños a su cliente que le pudieran ser imputados.

Por ello es conveniente la suscripción de contratos de seguros adaptados a las

peculiaridades de su actividad profesional, que cubran la responsabilidad civil de los

auditores a fin de acrecentar la confianza y solvencia de su actividad profesional.

La responsabilidad del autor conlleva la obligación de resarcimientos de los daños y

perjuicios que puedan derivarse de una actuación negligente o culposa.

9. A que obliga el secreto profesional?

La confidencia y la confianza son características esenciales de las relaciones entre el

auditor y el auditado e imponen al primero la obligación de guardar el secreto los

hechos o informaciones que conozca en el ejercicio de su actividad profesional.

Solamente por disposición legal podrá deponer esta obligación. El auditor está

obligado a no difundir a terceras personas ningún dato que haya visto, oído o deducido

durante el desarrollo de su trabajo y que pudiera perjudicar a su cliente, siendo nulo

cualquier pacto contractual que pretenda excluir dicha obligación.

El mantenimiento del secreto profesional se extiende a todas las personas que hayan

colaborado con el auditor en la auditoria, si por el contrario uno de estos colaboradores

divulgasen los datos de la auditoria, recaerá sobre él la responsabilidad de

resarcimiento de los daños y perjuicios materiales o morales y será extensivo al auditor

en virtud de la responsabilidad in eligendo o in vigilando que asume por los actos de

sus colaboradores.

El deber de secreto impone al auditor garantizar al auditado que toda la información de

la auditoria estará protegida bajo mecanismos de seguridad y será almacenada en

entornos o soportes que impidan su acceso por terceras personas, el auditor solo


5

permitirá el acceso a esa información a profesionales que estén bajo su dependencia

organizativa y que guarden el secreto profesional.

No se considerara vulneración de la divulgación de los datos cuando estos sean

entregados a otros profesionales bajo estricta autorización y conocimiento del

auditado, siempre y cuando la información guarde un rango de seguridad adecuado.

El auditor debe mantener el secreto profesional sobre sobre todo tipo de información,

de la empresa donde presta sus servicios.

10. Facetas que configuran el régimen de responsabilidad frente a terceros.

Primera Faceta: Corresponde a la aplicación de sus conocimientos técnicos con la

finalidad de determinar en base a los mismos, las condiciones de seguridad, fiabilidad

y calidad de los medios, elementos o productos que conforman el sistema informático

auditado y recomendar las medidas que se estimen convenientes para su mejora o

adaptación a los objetivos para los que fue diseñado. A tenor de la coyuntura actual y

previsible a mediano plazo constituyan su perspectiva de futuro.

Segunda Faceta: Debe poner en manifiesto la aplicación de los fundamentos

humanísticos que como persona y profesional le son éticamente exigibles, para en

función de los mismos, coadyuvar al desarrollo integral de la sociedad en la prestación

de sus servicios y de la cual ha tomado, para la formación de sus conocimientos y

desarrollo de su propia personalidad.

CAPITULO 8

LA AUDITORIA FISICA

Cuestiones de Repaso:

1. Diferencie entre seguridad lógica, seguridad física y seguridad de las

comunicaciones, poniendo varios ejemplos de cada tipo.

No existe una diferencia clara entre seguridad física, lógica y de las comunicaciones, lo

más practico seria unirlas como una seguridad integral es decir en una sola.

Ejemplos:

Mientras que la seguridad física, trata de salvaguardar la parte física de un ordenador,

como el procesador, intrínsecamente al hacerlo está protegiendo el software que este

incluye y procesa (Seguridad lógica), y por ende al hacerlo y mantenerlo conectado al


6

resto de la Tarjeta madre, protege la circuitería como buses físicos que se comunican

con el Northbridge, el Bios, la Ram, etc.

Si la seguridad física fuese en el disco duro, de igual manera se vería envuelta las

seguridad de los datos (seguridad lógica) y de comunicación (los buses de datos).

2. Explique el concepto de “Nivel adecuado de seguridad física”.

O también llamado grado de seguridad, es un conjunto de acciones utilizadas para

evitar el fallo, o en su caso aminorar las consecuencias que de él se pueden derivar. Es

un concepto aplicable a cualquier actividad, no solo informática, en la que las personas

hagan uso particular o profesional de entornos físicos.

3. Cómo definiría lo que constituye un desastre?

Es cualquier evento que, cuando ocurre tiene la capacidad de interrumpir el normal

proceso de una empresa.

4. Que tipos de seguros existen?

• Centros de proceso y equipamiento

• Reconstrucción de medios software

• Gastos extras

• Interrupción del negocio

• Documentos y registros valiosos

• Errores y omisiones

• Cobertura de fidelidad

• Transporte de medios

• Contrato con proveedores y mantenimiento

5. Que medios de extinción de fuego conoce?

Agua, extintores, espuma.

6. Porqué es importante la existencia de un sistema de control de entradas y salidas?

Para tener un control de acceso de las visitas o personal, en las areas perimetral, interna

y restringida.

7. Que técnicas cree que son las más adecuadas para la auditoria física?

Técnicas:

• Observación de las instalaciones, sistemas, cumplimiento de normas y

procedimientos.


7

• Revisión analítica de: Documentos sobre construcción y preinstalaciones,

Documentación sobre guías de seguridad, Políticas y normas de actividad de sala,

Normas y procedimientos de seguridad física de datos, Contratos de seguro y de

mantenimiento.

• Entrevistas con directivos y personal, fijo o temporal

• Consultas a técnicos y peritos que formen parte de la plantilla o independientes

contratados.

8. Cuales suelen ser las responsabilidades del auditor informático interno respecto a

la auditoria física?

• Revisar los controles relativos a seguridad física

• Revisar el cumplimiento de los procedimientos

• Revisar riesgos

• Participar con independencia en: Selección, adquisición e implantación de equipos

y materiales, Planes de seguridad y de contingencia, seguimiento, actualización,

mantenimiento y pruebas de los mismos.

• Revisión y cumplimiento de las políticas y normas sobre seguridad física, así como

las funciones de responsables y administradores de seguridad.

• Efectuar auditorias programadas e imprevistas

• Emitir informes y efectuar el seguimiento de las recomendaciones.

9. Que aspectos considera más importantes a la hora de auditar el plan de

contingencia desde el punto de vista de la auditoria física?

• Acuerdo de la empresa para el plan de contingencia

• Acuerdo de un proceso alternativo

• Protección de datos

• Manual de plan de contingencia

10. Que riesgos habría que controlar en el centro de proceso alternativo?

• Esta el acuerdo obligado e impuesto legalmente cuando se produce un desastre?

• Es compatible el equipamiento del proceso de datos en el centro alternativo con el

equipamiento en el CPD?

• Proporciona el centro alternativo suficiente capacidad?

• Cuando fue la última vez que se probo el centro alternativo?

• Cuáles fueron los objetivos y el alcance de la prueba?

• Cuáles fueron los resultados de la prueba? Quedaron los resultados bien

documentados?


8

• Han sido implementados acciones correctivas o están previstas para una futura

implementación?

• Esta prevista una próxima prueba de uso del centro alternativo?

• Utiliza la empresa algún equipamiento de proceso que pueda no estar soportado por

el centro alternativo?

AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 7 y 8

Documents

Transcript of AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 7 y 8