Aspectos Relevantes de una Auditoria Informática

5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com

http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 1/38

Mgter. Isur E. Marín Barría

Aspectos Relevantes de una

Auditoria Informática

En una Empresa Moderna




Algunos Antecedentes

•El término de Auditoría se ha empleadoincorrectamente con frecuencia y se ha

considerado, como una evaluación cuyo único fines detectar errores y señalar fallas.

•Podríamos decir que la auditoría es un examen

crítico pero no mecánico, que no implica lapreexistencia de fallas en la entidad auditada yque persigue el fin de evaluar y mejorar la eficaciay eficiencia de una sección o de un organismo.




Algunos Antecedentes

• El auditor informático ha de velar por la correctautilización de los amplios recursos que laempresa pone en juego para disponer de un

eficiente y eficaz Sistema de Información.• Claro está, que para la realización de una

auditoría informática eficaz, se debe entender ala empresa en su más amplio sentido, ya que una

Universidad, un Ministerio o un Hospital son tanempresas como una Sociedad Anónima oempresa Pública.




Porqué Auditar los SI?

• Los SI son blancos de espionaje.

• Los SI pueden crear y difundir información

errónea.

• Un SI mal diseñado…

Estos son solo algunos de los varios

inconvenientes que puede presentar un SistemaInformático, por eso, la necesidad de la

Auditoría de Sistemas.




Algunas preguntas clave!

• Los usuarios conocen la situación actual de lainformática en la empresa?

• Se aprueban oportunamente proyectosinformáticos en la organización?

• Se evaluó el costo-beneficio del uso de los SI?

• Hay un plan estratégico de informática alineadoal negocio?

•

¿Es importante para usted la informática?• ¿Evalúa periódica y formalmente dicha función de

la informática?




Cada una de las preguntas anteriores encierra

una importancia específica para el buen

funcionamiento informático de cualquier

negocio; están interrelacionadas y la negación

de alguna es una pequeña fuga de gas que, con

el tiempo y un pequeño chispazo, puede

ocasionar graves daños a los negocios




Términos de Auditoría Informática

Hardware : se refiere a los componentes físicos

y tangibles de las computadoras, generalmente

clasificados en cuatro grandes ramas:

• computadoras personales

• Redes (locales, abiertas, etc.)

•

Minicomputadoras• Supercomputadoras (mainframes)





Software: implica la parte no física de las

computadoras. Esto significa que es la porción

intangible de los equipos de cómputo, es decir,

programas con orientaciones específicas para la

administración de la informática y el uso

eficiente de los recursos de cómputo. Su

clasificación se puede resumir en los siguientestérminos:





• Software de aplicaciones

• Software de paquetes computacionales

(paquetería)

• Software de programación

• Productos CASE (ComputerAided Software

Enaineering)

• Para Propósitos específicos





Sistemas de información: Son el conjunto de

módulos computacionales o manuales

organizados e interrelacionados de manera

formal para la administración y uso eficiente de

los recursos (humanos, materiales, financieros,

tecnológicos, etc.) de un área específica de la

empresa (manufactura, administración,dirección, etc.)





Metodología: Es un conjunto de etapas (fases omódulos) formalmente estructurados, demanera que brinden parámetros de acción en el

desarrollo de sus proyectos.Técnicas: Es el conjunto de procedimientos ypasos ordenados que se usan con el desarrollode un proyecto con el propósito de finalizar lasetapas, fases o módulos definidos en el procesometodológico.




Qué es Auditoría Informática?

• Un proceso formal ejecutado por especialistas delárea de auditoría y de informática; se orienta a laverificación y aseguramiento para que las

políticas y procedimientos en la organización serealicen de una manera oportuna y eficiente.

• El conjunto de acciones que realiza el personalespecializado en las áreas de auditoría y de

informática para el aseguramiento continuo deque los recursos de informática operen en unambiente de seguridad y control eficientes.




Importancia

La tecnología de informática, es una herramientaestratégica que brinda rentabilidad y ventajascompetitivas a los negocios frente a sus similares en elmercado, pero puede originar costos y desventajas si no

es bien administrada por el personal encargado.

Es por eso que la importancia de la auditoria informáticaradica en las evaluaciones oportunas y completas porpersonal calificado consultores externos, auditores en

informática o evaluaciones periódicas realizadas por elmismo personal de informática, entre otras estrategias.




Formas de Auditar

La auditoría interna es la realizada con recursosmateriales y personas que pertenecen a la empresaauditada. Los empleados que realizan esta tarea puedenser remunerados económicamente. La auditoría interna

existe por expresa decisión de la empresa, o sea, quepuede optar por su disolución en cualquier momento.

Por otro lado, la auditoría externa es realizada porpersonas afines a la empresa auditada; es siempre

remunerada. Se presupone una mayor objetividad que enla auditoría Interna, debido al mayor distanciamientoentre auditores y auditados.




Síntomas de necesidad de una A I

Síntomas de descoordinación y

desorganización:

• No coinciden los objetivos de la Informática

de la empresa y de la propia empresa.

• Los estándares de productividad se desvían

sensiblemente de los promedios conseguidos

habitualmente.





Síntomas de mala imagen e insatisfacción de los

usuarios:

• No se atienden las peticiones de cambios de

los usuarios. Ejemplos: cambios de Software

en los terminales de usuario

• No se reparan las averías de Hardware ni se

resuelven incidencias en plazos razonables. El

usuario percibe que está abandonado.





Síntomas de debilidades económico-financiero:

• Incremento desmesurado de costos.

• Necesidad de justificación de InversionesInformáticas (la empresa no está

absolutamente convencida de tal necesidad y

decide contrastar opiniones).

• Desviaciones Presupuestarias significativas.





Síntomas de Inseguridad:

Evaluación de nivel de riesgos

• Seguridad Lógica• Seguridad Física

• Confidencialidad




Herramientas y Técnicas

CUESTIONARIOS:

El trabajo de campo del auditor consiste en lograr toda lainformación necesaria para la emisión de un juicio globalobjetivo, siempre amparado en hechos demostrables,llamados también evidencias.

Para esto, suele ser lo habitual comenzar solicitando lacomplementación de cuestionarios pre impresos que seenvían a las personas concretas que el auditor cree

adecuadas, sin que sea obligatorio que dichas personassean las responsables oficiales de las diversas áreas aauditar.





ENTREVISTA:

La entrevista es una de las actividades personalesmás importante del auditor; en ellas, éste recoge

más información, y mejor matizada, que laproporcionada por medios propios puramentetécnicos o por las respuestas escritas acuestionarios.

Tras ella debe existir una preparación muyelaborada y sistematizada, y que es diferente paracada caso particular.





CHECKLIST:

El procesamiento interno de información a finde obtener respuestas coherentes que permitan

una correcta descripción de puntos débiles yfuertes. El profesionalismo pasa por poseer

preguntas muy estudiadas que han de

formularse flexiblemente.El conjunto de estas preguntas recibe el nombrede Checklist.





•Checklist de rango : Contiene preguntas que elauditor debe puntuar dentro de un rangopreestablecido (por ejemplo, de 1 a 5, siendo 1

la respuesta más negativa y el 5 el valor máspositivo).

•Checklist Binaria : Es la constituida porpreguntas con respuesta única y excluyente: Sio No. Aritméticamente, equivalen a 1 (uno) o0(cero), respectivamente.





TRAZAS Y HUELLAS (Log):

El log vendría a ser un historial que informa que fuecambiando y cómo fue cambiando (información).Las bases de datos, por ejemplo, utilizan el log paraasegurar lo que se llaman las transacciones. Lastransacciones son unidades atómicas de cambiosdentro de una base de datos; toda esa serie decambios se encuadra dentro de una transacción, y

todo lo que va haciendo la Aplicación (grabar,modificar, borrar) dentro de esa transacción, quedagrabado en el log.




Campo de Acción

La auditoría informática deberá comprender no

sólo la evaluación de los equipos de computo o

de un sistema o procedimiento específico, sino

que además habrá de evaluar los sistemas deinformación en general desde sus entradas,

procedimientos, controles, archivos, seguridad y

obtención de información.




Campo de Acción

Evaluación administrativa del departamento de informática:

Esto comprende la evaluación de:

- Los objetivos de departamento, dirección o gerencia.

- Metas, planes, políticas y procedimientos de procesos electrónicosestándar.

- Organización del área y su estructura orgánica.

- Funciones y niveles de autoridad y responsabilidad del área deprocesos electrónicos.

- Integración de los recursos materiales y técnicos.

- Dirección costos y controles presupuestales.

- Controles administrativos del área de procesos electrónicos.




Campo de Acción

Evaluación de los sistemas y procedimientos, y la eficiencia que se

tienen en el uso de la información que comprende:

- Evaluación del diseño lógico del sistema

- Evaluación del desarrollo físico del sistema.- Control de proyectos.

- Control de sistemas y programación

- Instructivos y documentación

- Formas de implantación

- Seguridad física y lógica de los sistemas- Confidencialidad de los sistemas

- Controles de mantenimiento y forma de respaldo de los sistemas.

- Utilización de los sistemas.




Campo de Acción

Evaluación del proceso de datos y de los equipos de computo que

comprende:

- Controles de los datos fuente y manejo de cifras de control

- Control de operación

- Control de salida

- Control de asignación de trabajo.

- Control de medios de almacenamiento masivos.

- Control de otros elementos de computo

- Orden en el centro de computo- Seguridad física y lógica

- Confidencialidad

- Respaldos




Que se audita?

Programas:

La auditoría de programas es la evaluación de laeficiencia técnica, del uso de diversos recursos

(cantidad de memoria) y del tiempo que utilizanlos programas, su seguridad y confiabilidad conel objetivo de optimizarlos y evaluar el riesgoque tienen para la organización. Analiza yevalúa la parte central del uso de lascomputadoras que es el programa.




Que se audita?

Seguridad:

La auditoría a la seguridad cada vez resulta más conveniente realizarla,ya que el desarrollo de Internet es espectacular y las posibilidades delcomercio electrónico son ilimitadas; esto origina una vulnerabilidad enlos datos ya que cada vez existen más personas que se dedican a

cometer delitos informáticos.

El proceso de esta auditoría generalmente comienza con un análisis delas amenazas potenciales que enfrentan a una organización.

Examina sistemas, políticas y prácticas de la organización paraidentificar sus vulnerabilidades. El análisis continúa con una valoraciónde riesgo y concluye con un informe de valoración y una serie derecomendaciones.




Que se audita?

Uso de la computadora:

Se debe observar el uso adecuado de lacomputadora y su software que puede ser

susceptible a:• tiempo de máquina para uso ajeno.

• copia de programas de la organización para finesde comercialización (copia pirata)

• acceso directo o telefónico a bases de datos confines fraudulentos




Que se audita?

Cantidad y tipo de Información:

El tipo y la cantidad de información que seintroduce en las computadoras debe

considerarse como un factor de alto riesgo yaque podrían producir que:

• la información este en manos de algunas

personas• la alta dependencia en caso de perdida de

datos




Que se audita?

Control de programación:

Se debe tener conocer que el delito más comúnestá presente en el momento de la programación,ya que puede ser cometido intencionalmente o no,

para lo cual se debe controlar que:• los programas no contengan bombas lógicas

• los programas deben contar con fuentes y susultimas actualizaciones

• los programas deben contar con documentacióntécnica, operativa y de emergencia




Que se audita?

Personal:

Se debe observar este punto con mucho cuidado, ya quehablamos de las personas que están ligadas al sistema deinformación de forma directa y se deberá contemplar

principalmente:• la dependencia del sistema a nivel operativo y técnico

• evaluación del grado de capacitación operativa y técnica

• contemplar la cantidad de personas con acceso

operativo y administrativo• conocer la capacitación del personal en situaciones de

emergencia




Que se audita?

Rasgos del personal:

Se debe ver muy cuidadosamente el carácter del

personal relacionado con el sistema, ya que

pueden surgir:

• malos manejos de administración

• malos manejos por negligencia

• malos manejos por ataques deliberados




Que se audita?

Instalaciones:

Es muy importante no olvidar las instalaciones físicas y deservicios, que significan un alto grado de riesgo. Para locual se debe verificar:

• la continuidad del flujo eléctrico• efectos del flujo eléctrico sobre el software y hardware

•evaluar las conexiones con los sistemas eléctrico,telefónico, cable, etc.

• verificar si existen un diseño, especificación técnica,manual o algún tipo de documentación sobre lasinstalaciones.




Que se audita?

Control de residuos:

• Observar como se maneja la basura de los

departamentos de mayor importancia, donde

se almacena y quien la maneja.




Informe Final

La función de la auditoría se materializaexclusivamente por escrito. Por lo tanto laelaboración final es el exponente de su calidad.

Resulta evidente la necesidad de redactarborradores e informes parciales previos alinforme final, los que son elementos decontraste entre opinión entre auditor y auditado

y que pueden descubrir fallos de apreciación enel auditor.



M t I E M í B í

Documents

Aspectos Relevantes de una Auditoria Informática