• Author / Uploaded
• Jesus Elid Cisneros

• Categories
• Contralor, auditor
• Derecho laboral
• Secreto
• Seguridad
• Software

Citation preview

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ AUDITORIA INFORMATICA PROFESOR : Ing. Fernando Andrade ALUMNO

: Jesús Cisneros Valle

FECHA

: Quito, 27 de agosto del 2012

CURSO

: 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 7 y 8 DEL LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.

CAPITULO 7 DEONTOLOGIA DEL AUDITOR INFORMATICO Y CODIGOS ETICOS Cuestiones de Repaso: 1. Principios deontológicos aplicables a los Auditores Informáticos. • Principio de beneficio del auditado • Principio de calidad • Principio de cautela • Principio de comportamiento profesional • Principio de concentración en el trabajo • Principio de confianza • Principio de criterio propio • Principio de discreción • Principio de economía • Principio de formación continuada • Principio de fortalecimiento y respeto a la profesión • Principio de independencia • Principio de información suficiente • Principio de integridad moral • Principio de legalidad • Principio de libre competencia • Principio de no discriminación • Principio de no injerencia • Principio de precisión

1

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ • • • • •

Principio de publicidad adecuada Principio de responsabilidad Principio de secreto profesional Principio de servicio publico Principio de veracidad

2. Principio de calidad El auditor deberá realizar su trabajo acorde a las avances de la ciencia y tecnología y usarlos con absoluta libertad bajo condiciones técnicas apropiadas para el idóneo cumplimiento de su tarea. Si por alguna razón los medios que se han puesto a su alcance no fueren los apropiados para realizar profesionalmente su trabajo, deberá, negarse a realizarlo hasta que se garanticen un mínimo de condiciones para así no comprometer la calidad de su servicio o de los dictámenes. Si el auditor durante su trabajo creyere conveniente solicitar informes técnicos que no estén al alcance de su capacidad cognoscitiva, para analizarlo en apropiadas condiciones deberá remitir el mismo a un especialista en la materia o recabar dictámenes que refuercen la calidad y fiabilidad de su auditoria. 3. Principio de Criterio Propio El auditor al realizar su auditoria deberá actuar con criterio propio y no permitir que este se subordine a de otros profesionales, aun de reconocido prestigio que no coincidan con el mismo. En caso de que se presente divergencia con dichos profesionales sobre aspectos puntuales, deberá reflejar las mismas dejando sentado su propio criterio e indicando cuando es sustentado en metodologías o experiencias que difieran de las corrientes profesionales mayoritariamente asumidas. Las críticas deben ser respetadas, pero recordemos que al auditor tiene la obligación ética de actuar en todo momento de manera que el considere la más beneficiosa para el auditado, aun cuando terceras personas le requieran seguir líneas diferentes de actuación. El auditor deberá discernir sobre la posibilidad de que la que la actividad que se le solicita presuntamente para evaluar y mejora un sistema informático, tiene otra finalidad ajena a la auditoria, cuyo caso deberá negarse a prestar esa asistencia dejando sentado las razones de du negativa. De igual manera si el auditado se niega a adoptar sus propuestas, deberá plantearse la continuidad de sus servicios en función de las razones y causan que considere puedan justificar dicho proceder. 4. Qué significa el principio de Economía? El auditor deberá proteger en la medida de sus conocimientos los derechos económicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad.

2

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ Deberá evitar dilaciones innecesarias en la realización de su auditoria, lo que le permitirá al auditado implementar lo más pronto posible solventar sus problemas o la inmediata adecuación de métodos propuestos lo que determinará un valor añadido al trabajo del auditor. Deberá tener en cuenta la economía de medios materiales y humanos, para evitar el uso de aquellos que son innecesarios lo que redundará en suprimir gastos injustificados. El auditor debe rechazar las ampliaciones al trabajo en marcha aun a petición del auditado sobre asuntos que no atañen directamente a la auditoria. En las recomendaciones que emita deberá eludir, incitar o proponer actos que generen gastos superfluos al auditado. 5. Importancia de la formación continua del Auditor Informático. Impone al auditor el deber y la obligación de estar permanentemente actualizando sus conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda y las exigencias de la competencia de la oferta. La progresiva especialización de sus clientes exige de los auditores, Para poder mantener el grado de confianza que se precisa para dejar en sus manos el análisis de las prestaciones de los sistemas informáticos, el auditor debe seguir un continuo plan de actualización respecto a nuevas tecnologías de la información para incluir en su trabajo estas innovaciones. 6. Grado de independencia del Auditor Informático. Principio relacionado con el principio de criterio propio, obliga al auditor tanto si actúa como profesional externo o con independencia laboral respecto de la empresa en donde realiza la auditoria informática, a exigir total autonomía e independencia en su trabajo, condición imprescindible para actuar libremente según su leal saber y entender. La independencia del auditor constituye, en su esencia la garantía de que los intereses del auditado serán asumidos con objetividad, no debe permitir ningún condicionamiento a la cabal realización de su trabajo. Esta independencia implica rechazo a criterios con los cuales no esté totalmente de acuerdo, debiendo reflejar en su informe final solo los que considere pertinentes. El auditor deberá preservar su derecho y obligación de decir y poner de manifiesto todo aquello que según sus conocimientos y conciencia considere necesario, evitado emitir criterios o métodos que perjudiquen al auditado, aun en el caso que este lo solicite. No deberá enrolarse laboralmente con firmas que no le permitan trabajar con total libertad. 7. Qué es el principio de legalidad? En todo momento el auditor deberá evitar utilizar sus conocimientos para facilitar a los auditados o terceras personas la violación de la ley. En ningún caso consentirá o colaborara en la desactivación o eliminación de dispositivos de seguridad, ni intentara obtener los códigos o claves de acceso a sectores restringidos de información 3

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ generados para proteger los derechos, obligaciones o intereses de terceros (Derecho a la intimidad, propiedad intelectual, secreto profesional..) Los auditores deberán abstenerse de intervenir líneas de comunicación o controlar actividades que puedan vulnerar los derechos personales o empresariales dignos de protección. El auditor deberá estar atento y rechazar todo intento del auditado o terceras personas a realizar actos tendientes a infringir cualquier precepto integrado en el derecho. 8. Responsabilidad del auditor Informático. El auditor deberá como principio de todo comportamiento profesional, responsabilizarse de todo lo que haga, diga o aconseje, sirviendo esta forma de actuar como obstáculo de injerencias extra profesionales. SI bien este principio resulta especialmente gravoso en auditoria de gran complejidad como las auditorias informáticas, es preciso tenerlo en cuenta a fin de poder garantizar su responsabilidad en los casos en que debido a errores humanos durante la ejecución de la auditoria, se produzcan daños a su cliente que le pudieran ser imputados. Por ello es conveniente la suscripción de contratos de seguros adaptados a las peculiaridades de su actividad profesional, que cubran la responsabilidad civil de los auditores a fin de acrecentar la confianza y solvencia de su actividad profesional. La responsabilidad del autor conlleva la obligación de resarcimientos de los daños y perjuicios que puedan derivarse de una actuación negligente o culposa. 9. A que obliga el secreto profesional? La confidencia y la confianza son características esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligación de guardar el secreto los hechos o informaciones que conozca en el ejercicio de su actividad profesional. Solamente por disposición legal podrá deponer esta obligación. El auditor está obligado a no difundir a terceras personas ningún dato que haya visto, oído o deducido durante el desarrollo de su trabajo y que pudiera perjudicar a su cliente, siendo nulo cualquier pacto contractual que pretenda excluir dicha obligación. El mantenimiento del secreto profesional se extiende a todas las personas que hayan colaborado con el auditor en la auditoria, si por el contrario uno de estos colaboradores divulgasen los datos de la auditoria, recaerá sobre él la responsabilidad de resarcimiento de los daños y perjuicios materiales o morales y será extensivo al auditor en virtud de la responsabilidad in eligendo o in vigilando que asume por los actos de sus colaboradores. El deber de secreto impone al auditor garantizar al auditado que toda la información de la auditoria estará protegida bajo mecanismos de seguridad y será almacenada en entornos o soportes que impidan su acceso por terceras personas, el auditor solo

4

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ permitirá el acceso a esa información a profesionales que estén bajo su dependencia organizativa y que guarden el secreto profesional. No se considerara vulneración de la divulgación de los datos cuando estos sean entregados a otros profesionales bajo estricta autorización y conocimiento del auditado, siempre y cuando la información guarde un rango de seguridad adecuado. El auditor debe mantener el secreto profesional sobre sobre todo tipo de información, de la empresa donde presta sus servicios. 10. Facetas que configuran el régimen de responsabilidad frente a terceros. Primera Faceta: Corresponde a la aplicación de sus conocimientos técnicos con la finalidad de determinar en base a los mismos, las condiciones de seguridad, fiabilidad y calidad de los medios, elementos o productos que conforman el sistema informático auditado y recomendar las medidas que se estimen convenientes para su mejora o adaptación a los objetivos para los que fue diseñado. A tenor de la coyuntura actual y previsible a mediano plazo constituyan su perspectiva de futuro. Segunda Faceta: Debe poner en manifiesto la aplicación de los fundamentos humanísticos que como persona y profesional le son éticamente exigibles, para en función de los mismos, coadyuvar al desarrollo integral de la sociedad en la prestación de sus servicios y de la cual ha tomado, para la formación de sus conocimientos y desarrollo de su propia personalidad.

CAPITULO 8 LA AUDITORIA FISICA Cuestiones de Repaso: 1. Diferencie entre seguridad lógica, seguridad física y seguridad de las comunicaciones, poniendo varios ejemplos de cada tipo. No existe una diferencia clara entre seguridad física, lógica y de las comunicaciones, lo más practico seria unirlas como una seguridad integral es decir en una sola. Ejemplos: Mientras que la seguridad física, trata de salvaguardar la parte física de un ordenador, como el procesador, intrínsecamente al hacerlo está protegiendo el software que este incluye y procesa (Seguridad lógica), y por ende al hacerlo y mantenerlo conectado al

5

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ resto de la Tarjeta madre, protege la circuitería como buses físicos que se comunican con el Northbridge, el Bios, la Ram, etc. Si la seguridad física fuese en el disco duro, de igual manera se vería envuelta las seguridad de los datos (seguridad lógica) y de comunicación (los buses de datos). 2. Explique el concepto de “Nivel adecuado de seguridad física”. O también llamado grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo, o en su caso aminorar las consecuencias que de él se pueden derivar. Es un concepto aplicable a cualquier actividad, no solo informática, en la que las personas hagan uso particular o profesional de entornos físicos. 3. Cómo definiría lo que constituye un desastre? Es cualquier evento que, cuando ocurre tiene la capacidad de interrumpir el normal proceso de una empresa. 4. Que tipos de seguros existen? • Centros de proceso y equipamiento • Reconstrucción de medios software • Gastos extras • Interrupción del negocio • Documentos y registros valiosos • Errores y omisiones • Cobertura de fidelidad • Transporte de medios • Contrato con proveedores y mantenimiento 5. Que medios de extinción de fuego conoce? Agua, extintores, espuma. 6. Porqué es importante la existencia de un sistema de control de entradas y salidas? Para tener un control de acceso de las visitas o personal, en las areas perimetral, interna y restringida. 7. Que técnicas cree que son las más adecuadas para la auditoria física? Técnicas: • Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos. 6

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ •

• •

Revisión analítica de: Documentos sobre construcción y preinstalaciones, Documentación sobre guías de seguridad, Políticas y normas de actividad de sala, Normas y procedimientos de seguridad física de datos, Contratos de seguro y de mantenimiento. Entrevistas con directivos y personal, fijo o temporal Consultas a técnicos y peritos que formen parte de la plantilla o independientes contratados.

8. Cuales suelen ser las responsabilidades del auditor informático interno respecto a la auditoria física? • Revisar los controles relativos a seguridad física • Revisar el cumplimiento de los procedimientos • Revisar riesgos • Participar con independencia en: Selección, adquisición e implantación de equipos y materiales, Planes de seguridad y de contingencia, seguimiento, actualización, mantenimiento y pruebas de los mismos. • Revisión y cumplimiento de las políticas y normas sobre seguridad física, así como las funciones de responsables y administradores de seguridad. • Efectuar auditorias programadas e imprevistas • Emitir informes y efectuar el seguimiento de las recomendaciones. 9. Que aspectos considera más importantes a la hora de auditar el plan de contingencia desde el punto de vista de la auditoria física? • • • •

Acuerdo de la empresa para el plan de contingencia Acuerdo de un proceso alternativo Protección de datos Manual de plan de contingencia

10. Que riesgos habría que controlar en el centro de proceso alternativo? • Esta el acuerdo obligado e impuesto legalmente cuando se produce un desastre? • Es compatible el equipamiento del proceso de datos en el centro alternativo con el equipamiento en el CPD? • Proporciona el centro alternativo suficiente capacidad? • Cuando fue la última vez que se probo el centro alternativo? • Cuáles fueron los objetivos y el alcance de la prueba? • Cuáles fueron los resultados de la prueba? Quedaron los resultados bien documentados? 7

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ • • •

Han sido implementados acciones correctivas o están previstas para una futura implementación? Esta prevista una próxima prueba de uso del centro alternativo? Utiliza la empresa algún equipamiento de proceso que pueda no estar soportado por el centro alternativo?

8