Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Unidad 2 temas1y2 v3
1. Definición y Objetivos de los diferentes Tipos de auditorias
La auditoria de Sistemas la podríamos definir como una serie de procedimientos
administrativos, técnicos y operativos que determinarán si los sistemas de
información cumplen con los objetivos organizacionales de forma eficiente y efectiva
además de salvaguardan la información y mantienen la integridad de los sistemas.
El proceso de auditoria deberá culminar con un reporte en donde se hagan los
señalamientos sobre las acciones que se deben tomar, permitiendo la corrección de
los errores detectados o la mejora de las actividades. Además es importante
mencionar que el auditor deberá enfocarse no sólo a evaluar el final de los procesos,
es decir ya cuando las cosas han sido realizadas, es importante que se realicen
revisiones durante todo el proceso.
Existen diferentes visiones sobre el concepto de auditoria de sistemas. Dependiendo
del enfoque y la profundidad podemos analizar la opinión de diferentes autores con
respecto a la definición del concepto
• Actividad dirigida a verificar información
• Verificación de controles en el procesamiento de información y en el desarrollo
de sistemas para evaluar efectividad
• Evaluación de procesos automatizados de datos y de los recursos utilizados
para determinar el grado de eficiencia y efectividad
• La auditoria de sistemas debe estar formada por elementos que le ayuden a
recolectar y evaluar evidencia para determinar la efectividad y eficiencia de los
sistemas.
• Evaluar la confiabilidad de los controles
• Revisión de políticas, estándares y procedimientos utilizados por los sistemas
de información
Todos estos deben estar enfocados a emitir un informe en donde se de a conocer la
evidencia y los cursos de acción a seguir para realizar la corrección de errores.
Los elementos en los que se deben enfocar la evaluación son los siguientes:
• Uso no autorizado
• Daño o destrucción
• Robo
• Integridad de la Información
• Efectividad y Eficiencia
Auditorias relacionadas con sistemas de información
A continuación se definirán los puntos mas importantes de las diferentes tipos de
auditorias que se encuentran relacionadas con los sistemas de información
Auditoria de Sistemas / Auditoria Informática / Auditoria en Informática: Es el
proceso de revisión que sobre los sistemas computacionales, software e información
así también de todos los componentes a su alrededor como los de
telecomunicaciones. Además incluye la revisión de la gestión informática y de todos
los recursos relacionados con la administración del área de sistemas o centro de
2. cómputo.
Su objetivo es evaluar el uso adecuado de los sistemas revisando la entrada,
procesamiento y salida de datos, incluye también evaluar el cumplimiento de las
actividades, operaciones y funciones del personal relacionado con los servicios que
dan los sistemas computacionales.
De esta auditoria se desglosan otras auditorias que tienen que ver con sistemas y en
general con toda el área de informática
Auditoria con la Computadora: Es la evaluación y revisión que se hace apoyándose en
una computadora para realizar el proceso de evaluación de actividades. Se puede
tratar inclusive de la auditoria a un área no relacionada con el uso de sistemas.
Auditoria sin la Computadora: Esta auditoria se centra en la utilización de técnicas y
procedimientos para evaluar las actividades administrativas, operacionales y
económicas. Se incluye evaluación de puestos, estructura organizacional, aplicación
de planes, programas y presupuestos, planes de seguridad y de recuperación de
desastres, planes de cambio. En pocas palabras es todo lo relacionado con los
sistemas de cómputo excluyendo a los propios sistemas computacionales.
Auditoria a la Gestión Informática: Consiste en la revisión de las actividades,
operaciones y funciones que tienen que ver con las funciones administrativas del
centro de cómputo tales como planeación, organización, dirección, recursos humanos
y control. Además incluye la revisión y evaluación de las operaciones del sistema, así
como la protección proporcionada a los sistemas, software e información. También
incluye la revisión del ciclo de vida de los sistemas de cómputo y sus instalaciones.
Su objetivo es emitir un juicio sobre la gestión administrativa de los sistemas
computacionales y sobre el área de informática.
Auditoria al Sistema de Cómputo: Se evalúa la operación del sistema computacional,
se incluye el software, hardware, equipo especial relacionado como instalaciones y
dispositivos de comunicación. Se evalúa el diseño, desarrollo e implementación del
software de operación o de aplicación. Se trata de una evaluación técnica y
especializada.
Auditoria Alrededor de la Computadora: Se evalúa la realización de todo lo que se
encuentre alrededor de un equipo de cómputo, de sus sistemas, de sus actividades y
de su funcionamiento. Se trata de revisar todas los aspectos que ayudan a que el
funcionamiento del área de informática sea la mas adecuada. Por ejemplo actividades
que tienen que ver con planeación, presupuestos, métodos de acceso y de
procesamiento, de almacenamiento, así como los aspectos operacionales y
financieros.
Auditoria de la Seguridad de Sistemas Computacionales: Se evalúa todos los aspectos
que tienen que ver con la seguridad del sistema de cómputo, sus áreas y el personal
del área de sistemas. Además se hace la revisión de las actividades que ayuden a
salvaguardar la seguridad de los equipos computacionales, bases de datos, redes,
instalaciones y los usuarios finales.
Auditoria de los Sistemas de Redes: Se realiza una evaluación de la tecnología de
comunicaciones en donde se incluye los tipos de redes, arquitectura, topología,
protocolos de comunicación, conexiones, accesos, y privilegios. También se realiza
3. una revisión del los componentes involucrados en la compartición de datos,
instalaciones, software y hardware en un sistema de comunicaciones.
Técnicas asistidas por computadoras
Computer assisted audit techniques (CAAT) Consiste en utilizar el equipo
computacional para evaluar el control interno mediante los resultados que produce.
Estamos hablando de programas de utilería, software especializado o reporteadores.
También se trata de programas que se ejecutan en una microcomputadora y
funcionan con datos traídos de las bases de datos organizacionales, ejemplos de este
tipo de software son: APPLAUDE-Audit, PANAUDIT plus, IDEA entre otros.
Las técnicas de auditoria asistidas por computadora más utilizadas son:
Análisis de código de programas: se utiliza software para hacer un análisis de código
fuente y código objeto de esta forma se revisa que el sistema incluya los procesos
solicitados por el usuario.
Datos de prueba: se introducen datos correctos y datos con errores de tal forma que
se verifica si los controles detectan dichos errores.
Análisis de Bitácoras: se hace la revisión de las diferentes bitácoras como son:
bitácoras de fallas de equipo, bitácoras de procesos ejecutados, bitácoras de accesos
no autorizados, bitácoras de uso de equipo, entre otras. Aquí se puede ver como los
recursos han sido utilizados y detectar parámetros de uso o desviaciones en cuanto a
los procedimientos y políticas de la empresa.
Simulación paralela: Consiste en utilizar otro programa desarrollado especialmente
para realizar los mismos procesos que un sistema determinado. Los dos programas
se corren en forma paralela y se identifican diferencias.
Código integrado: Se trata de incluir en el propio sistema una rutina para detectar
anomalías o desviaciones sobre los estándares del sistema.
Lo más importante es que la revisión de auditoria se realice con las mejores prácticas
de recolección y evaluación de elementos, por lo que el auditor deberá conocer la
existencia de las técnicas y procedimientos más actualizados para así definir que es lo
que mejor se aplica a cada caso.