Manual de auditoría y seguridad informática / Carlos Augusto Gros.

CONTENIDO
UNIDAD I: GENERALIDADES
CAPITULO 1: CONCEPTOS GENERALES 7
Control interno 9
Auditoria 14
Sistemas informáticos 19
La visión actual de la auditoria de sistemas 20
UNIDAD II - ANALISIS DE RIESGO
Sinopsis de la unidad 25
CAPITULO 2: ANALISIS MACRO Y MICRO 27
Concepto 29
Componentes del riesgo de auditoria 29
Evaluación y categorización del riesgo 31
Análisis de riesgos a nivel MACRO 33
Enfoque de evaluación y categorización del riesgo por medio de "Areas y/o Sistemas Clave 33
Desarrollo del enfoque 34
1. Identificación de los factores de riesgo 34
2. Definición del peso o importancia de los factores 36
3. Determinación de la puntuación de cada uno de los factores y parámetros 39
4. Cálculo y evaluación del riesgo 41
5. Determinación de prioridades en base a los riesgos 41
Análisis de Riesgos a nivel MICRO 42
Enfoque de la evaluación y categorización del riesgo a nivel micro 42
Etapa 1, Identificación de amenazas, zonas y puntos de control 43
Etapa 2, Determinación de la frecuencia del riesgo 55
Etapa 3, Estimación de la exposición o pérdida 57
Etapa 4, Definición del objetivo de control 59
Etapa 5, Selección de controles o salvaguardas 62
Etapa 6, Justificación de los controles 71
APENDICES UNIDAD II
II.a Análisis de riesgos - Marion 79
II.b Ejemplos de procedimientos de análisis de riesgo (macro) 85
UNIDAD III: REVISIONES DE AUDITORIA
CAPITULO 3: AUDITORIA DE DESARROLLO DE SISTEMAS 103
Método de revisiones de auditoria 107
El criterio 1; Evaluación de características comunes 109
Ejemplo de aplicación 110
El criterio 2; Evaluación de las amenazas en las zonas y puntos de control 118
CAPITULO 4: AUDITORIA DE PROCESAMIENTO DE SISTEMAS DE INFORMACION (Aspectos Generales) 131
Aspectos generales de la organización 137
Características y apreciaciones orientativas 137
Política gerencial 138
Separación de funciones 141
Separación de funciones en la Gerencia de Sistemas de Información 142
Separación de funciones entre GSI y las áreas usuarias 147
Política de personal 149
Política presupuestaria y costos 152
Política de seguridad y confiabilidad 152
Encaminamiento de las revisiones de auditoria de sistemas - Aspectos generales 155
Políticas y procedimientos generales en la organización 155
Políticas de seguridad y confiabilidad 163
CAPITULO 5: AUDITORIA DE PROCESAMIENTO DE SISTEMAS DE INFORMACION (Aspectos particulares - Procesamiento centralizado) 171
Consideraciones generales 173
Procesamiento centralizado 174
Tipificación de casos de procesamiento centralizado 175
Procesamiento por lotes 175
Procesamiento y base de datos centralizado y en línea 176
Características sobre captura de datos y consulta en línea y proceso por lotes en línea 176
Características sobre procesamiento en tiempo real 178
Configuración de equipos y recursos 180
Programa de auditoria 181
Criterio de prelación 186
CAPITULO 6: AUDITORIA DE PROCESAMIENTO DE SISTEMAS DE INFORMACION (Aspectos Particulares - Distribuido, Redes, Cliente/Servidor) 193
Consideraciones generales 195
Principales características funcionales y emergentes del procesamiento y datos distribuidos 197
Riesgos, amenazas en el ambiente cliente/servidor 198
Zonas y puntos de control (C/S) 199
Programa de auditoria 201
Entorno multiplataforma 206
CAPITULO 7: AUDITORIA DE MANTENIMIENTO DE SISTEMAS DE INFORMACION (MSI) 209
Mantenimiento de sistemas de información (MSI) 211
Programa de auditoria 218
CAPITULO 8: AUDITORIA DE SISTEMAS DE INFORMACION EN REGIMEN (SIR) 221
Sistemas de información en régimen 223
Programa de auditoria 229
CAPITULO 9: AUDITORIA DE PROCESAMIENTO DE SISTEMAS DE INFORMACION (Computación Orientada al Usuario - COU) (Centro de Información - CI) 239
Auditoria de procesamiento de sistemas de información (COU) 241
Auditoria de procesamiento de sistemas de información (CI) 244
CAPITULO 10: AUDITORIA DEL PLAN DE CONTINUIDAD OPERATIVA (PCO) 251
Consideraciones previas 253
Lineamientos generales 253
CAPITULO 11: RESUMEN DE ANALISIS DE RIESGOS 265
Aspectos y apreciaciones que sustentan el método 267
Sistematización del método 269
APENDICES UNIDAD III
III.a Método De evaluación y cuantificación 275
III.b Modelo de estructura orgánica de una gerencia de Sistemas de Información 285
III.c Programa de auditoria 287
III.d Ejemplo de separación de funciones 295
III.e Enfoque de auditoria sobre redes 299
III.f Conceptos, características y problemática del intercambio electrónico de datos (EDI) 305
III.g Riesgos y amenazas del entorno cliente/servidor 313
III.h Objetivo general de control en sistemas Cliente/Servidor 321
UNIDAD IV: HALLAZGOS Y EVIDENCIAS
CAPITULO 12: RECOPILACION DE EVIDENCIAS 329
Relación entre las evidencias y los riesgos 332
Técnicas de recopilación de evidencias 334
Determinación de la muestra 336
Tipos de muestreos 337
Técnicas de auditoria asistidas por computador (CAAT) 339
Proceso final 342
UNIDAD V: EL INFORME DE AUDITORIA
CAPITULO 13: LINEAMIENTOS GENERALES DEL INFORME DE AUDITORIA 347
Estructura del informe de auditoria 349
Pautas para desarrollar el informe de auditoria 352
Recomendaciones 354
Seguimiento de los informes de auditoria 354
UNIDAD VI: LA AUDITORIA DE SISTEMAS EN EL CONTEXTO GUBERNAMENTAL
CAPITULO 14: COMPLEMENTACION FUNCIONAL 359
La auditoria de sistemas en el contexto gubernamental 359
Pautas desarrolladas por la Sindicatura General de la Nación 364
Método expuesto en el presente manual 365
Bibliografía 367