La información son datos procesados y almacenados para tomar decisiones financieras y de negocio de manera eficiente. La auditoría informática verifica los controles internos de los sistemas informáticos para asegurar la integridad, disponibilidad y confidencialidad de la información y detectar fraudes. Sus objetivos incluyen verificar la seguridad física y lógica de los datos y sistemas.
2. ¿Qué es la información? Datos que han sido recogidos procesados, almacenados y recuperadas con el propósito de tomar decisiones financieras y económicas o para el soporte de una producción y distribución eficientes de bienes y servicios Tiene que ser considerada como un recurso básico en una organización.
3. Atributos de la información para la toma de decisiones Completa: si la información se pierde u oculta al que toma la decisión, el resultado de la decisión será pobre. Exacta: errores en la entrada, conversión o procesos puede dar como resultado conclusiones invalidas que darán lugar a decisiones erróneas. Autorizada: La información puede ser semántica correcta, pero representar transacciones invalidas o no autorizadas. Auditable: La información debe der seguible a través de los documentos fuente o su ejecución seguida mediante sistemas de control monitorizados y pre verificados. Económica: el coste de producir la información debería no exceder su valor cuando se utiliza.
4. Adecuada: información específica debe estar disponible solamente para aquellos que la necesitan para asegurar una gestión eficiente. Demasiada información irrelevante a disposición de quién debe tomar la decisión puede ocultar el proceso. Oportuna o puntual: La información pierde su valor cuando a quien tiene que tomar la decisión, se le entrega después de que la necesita. Segura: La información debe ser protegida de su difusión a personas no autorizadas, sin ello puede dar lugar a pérdidas económicas en la organización. Debe estar protegida contra destrucciones accidentales o voluntarias.
5. Necesidad de la auditoría Informática La función informática que engloba el análisis de la organización, seguridad, segregación de funciones y gestión de las actividades de proceso de datos. Los sistemas informáticos, buscando asegurar la adecuación de los mismos a los fines para los que fueron diseñados.
6.
7. Objetivos de la auditoría Informática Verificar el control interno de la función informática. Asegurar a la alta dirección y al resto de las áreas de la empresa que la información que les llega es la necesaria en el momento oportuno, y es fiable ya que les sirve de base para tomar decisiones importantes. Eliminar o reducir al máximo la posibilidad de pérdida de la información por fallos en los equipos, en los procesos o por una gestión inadecuada de los archivos de datos. Detectar y prevenir fraudes por manipulación de la información o por acceso de personas no autorizadas a transacciones que exigen trasvases de fondos.
8. Tipos de auditoría informática Auditoria de la gestión: contratación de bienes y servicios Auditoria legal del reglamento de protección de datos: cumplimiento legal de las medidas de seguridad del reglamento de desarrollo de la ley organiza de protección de datos. Auditoria De los datos: clasificación de los datos, estudio de aplicaciones y análisis de los flujo gramas. Auditoria De las bases de datos: controles de acceso de actualización, de integridad y calidad de los datos. Auditoria De la seguridad: verificación de disponibilidad, integridad, confidencialidad, autenticación y no repudio. Auditoria De la seguridad física: referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También esta referida a las protecciones externas,. Auditoria De la seguridad lógica: comprende lo métodos de autenticación de los sistemas de información Auditoria De las comunicaciones: se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación Auditoria De la seguridad en producción : frente a errores, accidentes y fraudes
9.
10. Auditor alrededor del computador Verificar la existencia de una adecuada segregación funcional Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los datos Asegurarse se la existencia de controles dirigidos a que todos lo datos enviados a proceso estén autorizados Comprobar la existencia de controles para asegurar que todos los daros enviados sean procesados
11. Cerciorarse que los procesos de hacen con exactitud. Comprobar que los datos sean sometidos a validación antes de ordenar sus proceso Verificar la validez del procedimiento Examina los controles de la salida de información Verificar la satisfacción del usuario Comprobar la existencia y efectividad de un plan de contingencia
12. Objeticos de la auditoría a través del computador Asegurar que los programas procesan los daros de acuerdo a las necesidades del usuario Cerciorarse de la no- existencia de rutinas fraudulentas al interior de los programas Verificar que los programadores utilizados en producción son los debidamente autorizados por e administrador Verificar la existencia de controles eficientes para evitar que los programas sean modificados con fines ilícitos. Cerciorarse que todos los datos son sometidos a validación antes de ordenar su proceso correspondiente.
17. Éxito de la AI Estudiar hechos no opiniones Investigar las causas no efectos Atender razones no excusas No confiar en la memoria preguntar constantemente Criticar objetiva y afondo todos los datos recabados Registrar todo
18. Alcances Tener claro el objetivo Conocer el ambiente Limites del sistema Control de integridad de registros Para aplicaciones de registros comunes Control de validación de errores Detectar y corregir errores Deben figurar en el informe final Lo incluyente Lo excluyente
19. La AI en del desarrollo de proyectos / aplicaciones Análisis Diseño Programación Prueba Implantación Seguimiento
21. Control interno Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades s que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos
22. Tipos de control interno Controles preventivos: para tratar de evitar el hecho, como un sw de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Ejemplo: Registro de intentos de acceso autorizado Controles correctivos: Facilitan la suelta a la normalidad cuando se ha producido incidencias. Ejemplo: la recuperación de un fichero dañado a partir de las copias de seguridad
23. Implementación de controles Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados: Entrono de aplicaciones: procesos de transacciones, sistemas de gestión de base de datos y entornos de de procesos distribuidos. Entorno de red: esquema de la red, descripción de la configuración hw de comunicaciones descripción del sw que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.
24. Configuración del ordenador de base: Configuración del soporte físico, en torno del sistema operativo software con particiones, entornos (prueba y real), bibliotecas de programas y conjunto de datos. Productos y herramientas: Software para desarrollo de programas, sw de gestión de bibliotecas y para operaciones automáticas. Seguridad del ordenador de base: Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc. Seguridad: incluye de las tres clases de controles fundamentales implementados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados.
25. PÓLITICA INFORMÁTICA Visión de conjunto que fija y define una estrategia de desarrollo informático de la organización acorde con sus recursos y necesidades.