Subido porgrangurusv
PPT, PDF330 vistas

Auditoria1

El documento describe las 7 fases de la auditoría informática. Estas fases incluyen: 1) conocer el sistema, 2) analizar transacciones y recursos, 3) identificar riesgos y amenazas, 4) analizar controles, 5) evaluar controles, 6) generar un informe de auditoría, y 7) realizar seguimiento de recomendaciones. Cada fase incluye objetivos específicos y pasos a seguir para completar una revisión exhaustiva del sistema de información.

Incrustar presentación

Descargar para leer sin conexión
Fases de la Auditoria Informática Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones
Fase I: Conocimientos del Sistema 1.1. Aspectos Legales y Políticas Internas. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. 1.2. Características del Sistema Operativo. Organigrama del área que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditoría realizadas anteriormente 1.3. Características de la aplicación de computadora Manual técnico de la aplicación del sistema Funcionarios (usuarios) autorizados para administrar la aplicación Equipos utilizados en la aplicación de computadora Seguridad de la aplicación (claves de acceso) Procedimientos para generación y almacenamiento de los archivos de la aplicación.
Fase II: Análisis de transacciones y recursos 2.1. Definición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. 2.2. Análisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos. 2.3. Análisis de los recursos Identificar y codificar los recursos que participan en el sistemas 2.4. Relación entre transacciones y recursos
Fase III: Análisis de riesgos y amenazas 3.1. Identificación de riesgos Daños físicos o destrucción de los recursos Pérdida por fraude o desfalco Extravío de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupción de las operaciones del negocio Pérdida de integridad de los datos Ineficiencia de operaciones Errores 3.2. Identificación de las amenazas Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones 3.3. Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.
Fase IV: Análisis de controles 4.1. Codificación de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles deben contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido. 4.2. Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más controles. 4.3. Análisis de cobertura de los controles requeridos Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.
Fase V: Evaluación de Controles 5.1. Objetivos de la evaluación Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes 5.2. Plan de pruebas de los controles Incluye la selección del tipo de prueba a realizar. Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. 5.3. Pruebas de controles 5.4. Análisis de resultados de las pruebas
Fase VI: Informe de Auditoria 6.1. Informe detallado de recomendaciones 6.2. Evaluación de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la áreas. Introducción: objetivo y contenido del informe de auditoria Objetivos de la auditoría Alcance: cobertura de la evaluación realizada Opinión: con relación a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones
Fase VII: Seguimiento de Recomendaciones 7.1. Informes del seguimiento 7.2. Evaluación de los controles implantados
Fin de la sesión.
Informática II. Decanato de Administración y Contaduría Auditoría Informática Revisión Evaluación Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Información
Informática II. Decanato de Administración y Contaduría Auditoría Informática Objetivos Presentar recomendaciones en función de las fallas detectadas. Determinar si la información que brindan los Sistemas de Informáticos es útil. Inspeccionar el Desarrollo de los Nuevos Sistemas. Verificar que se cumplan las normas y políticas de los procedimientos.
Auditoría Informática Informática II. Decanato de Administración y Contaduría Tipos Interna : Aplicada con el personal que labora en la empresa. Externa : Se contrata a una firma especiali- zada para realizar la misma.
Auditoría Informática Externa Las empresas recurren a la auditoría externa cuando existen: Síntomas de Descoordinación Síntomas de Mala Imagen Informática II. Decanato de Administración y Contaduría Síntomas de Debilidades Económicas Síntomas de Inseguridad
Aspectos Fundamentales en la Auditoría de los Sistemas de Información Informática II. Decanato de Administración y Contaduría
Auditoría Informática de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de las nuevas aplicaciones informáticas deben ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los costos, así como también insatisfacción de los usuarios. Informática II. Decanato de Administración y Contaduría
Auditoría de los Datos de Entrada Se analizará la captura de la información en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas. Informática II. Decanato de Administración y Contaduría
Auditoría Informática de Sistemas Se audita: Informática II. Decanato de Administración y Contaduría Sistema Operativo : Verificar si la versión instalada permite el total funcionamiento del software que sobre ella se instala, si no es así determinar la causa Software de Aplicación : Determinar el uso de las aplicaciones instaladas. Comunicaciones : Verificar que el uso y el rendimiento de la red sea el más adecuado .
Técnicas de Auditoría Existen varias técnicas de Auditoría Informática de Sistemas, entre las cuales se mencionan: Lotes de Prueba : Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: Datos de Excepción. Datos Ilógicos. Transacciones Erróneas Informática II. Decanato de Administración y Contaduría
Técnicas de Auditoría ...(Continuación) Auditoría para el Computador : Permite determinar si el uso de los equipos de computación es el idó- neo. Mediante esta técnica, se detectan equipos sobre y subutilizados. Prueba de Minicompañía : Revisiones periódicas que se realizan a los Sistemas a fin de determi- nar nuevas necesidades. Informática II. Decanato de Administración y Contaduría
Peligros Informáticos Incendios : Los recursos informáticos son muy sensibles a los incendios, como por ejemplo reportes impresos, cintas, discos. Inundaciones : Se recomienda que el Departamento de computación se encuentre en un nivel alto. La Planta Baja y el Sótano son lugares propensos a las inundaciones. Robos : Fuga de la información confidencial de la empresa. Fraudes : Modificaciones de los datos dependiendo de intereses particulares. Informática II. Decanato de Administración y Contaduría
Medidas de Contingencia Mecanismos utilizados para contrarrestar la pérdida o daños de la información, bien sea intencionales o accidentales. La más utilizada es la Copia de Seguridad (Backup), en la cual se respalda la informa- ción generada en la empresa . Informática II. Decanato de Administración y Contaduría
Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia varía dependiendo de la importancia de la información que se genere. Backup Se recomienda tener como mínimo dos (2) respaldos de la información, uno dentro de la empresa y otro fuera de ésta (preferiblemente en un Banco en Caja Fuerte). Informática II. Decanato de Administración y Contaduría
Medidas de Protección Medidas utilizadas para garantizar la Seguridad Física de los Datos. Aquellos equipos en donde se genera información crítica, deben tener un UPS. De igual forma, el suministro de corriente eléctrica para el área informática, debe ser independiente del resto de las áreas. Informática II. Decanato de Administración y Contaduría
Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad Lógica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Información, mediante un nombre de usuario (login) y una contraseña (password). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos excepcionales. Informática II. Decanato de Administración y Contaduría

Más contenido relacionado

PPT
Clase diecisiete 2011
portecnodelainfo
 
PPT
Clase Seis Control 2009
porinfosistemasuno
 
PPT
8. tipos de auditoria en informatica
porGemiunivo
 
PDF
18646089 tipos-y-clases-de-auditorias-informaticas
poryomito_2
 
PPTX
Auditoria Informática Exposición - CURNE - UASD.pptx
porRamón Alexander Paula Reynoso
 
PDF
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
porUNEG-AS
 
PPTX
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
porUNEG-AS
 
PPT
Auditoria clase 3-4
porelreydearmenia
 
Clase diecisiete 2011
portecnodelainfo
 
Clase Seis Control 2009
porinfosistemasuno
 
8. tipos de auditoria en informatica
porGemiunivo
 
18646089 tipos-y-clases-de-auditorias-informaticas
poryomito_2
 
Auditoria Informática Exposición - CURNE - UASD.pptx
porRamón Alexander Paula Reynoso
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
porUNEG-AS
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
porUNEG-AS
 
Auditoria clase 3-4
porelreydearmenia
 

La actualidad más candente

PPTX
Auditoría Informática y Control Interno
porRoberto Porozo
 
PPT
Auditoria De La Ofimatica
porguestbb37f8
 
PPT
Auditoria De Redes
porCristian Paul
 
PPTX
Control interno y auditoria informática
porUbaldin Gómez Carderón
 
PPTX
Auditoria f€  ísica
por1803127313001
 
PPTX
Auditoria a aplicaciones en funcionamiento
porUniciencia
 
DOCX
Auditoria y su gran importancia
porjhonnyespitia25
 
PDF
control interno informatico
porManuel Medina
 
PDF
Auditoria informatica
porOsita Sweet
 
PPTX
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
porUNEG-AS
 
PPTX
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
porUNEG-AS
 
PPTX
Auditoria de seguridad
porEdgar Betancourt
 
PDF
Control a los sistemas de informacion
porCarlos Jara
 
PPT
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
porXimena Williams
 
PPTX
Control interno informatico (1)
poralvarezjeffer
 
PPSX
Auditoria, seguridad y control de sistemas.ppt
porFredy EC
 
PPTX
S6-AI-3.2 Auditoría en Aplicaciones
porLuis Fernando Aguas Bucheli
 
PPT
Auditoria de sistemass
porGerardo Rivero
 
PPTX
Auditoria de la ofimatica
porManuel Medina
 
Auditoría Informática y Control Interno
porRoberto Porozo
 
Auditoria De La Ofimatica
porguestbb37f8
 
Auditoria De Redes
porCristian Paul
 
Control interno y auditoria informática
porUbaldin Gómez Carderón
 
Auditoria f€  ísica
por1803127313001
 
Auditoria a aplicaciones en funcionamiento
porUniciencia
 
Auditoria y su gran importancia
porjhonnyespitia25
 
control interno informatico
porManuel Medina
 
Auditoria informatica
porOsita Sweet
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
porUNEG-AS
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
porUNEG-AS
 
Auditoria de seguridad
porEdgar Betancourt
 
Control a los sistemas de informacion
porCarlos Jara
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
porXimena Williams
 
Control interno informatico (1)
poralvarezjeffer
 
Auditoria, seguridad y control de sistemas.ppt
porFredy EC
 
S6-AI-3.2 Auditoría en Aplicaciones
porLuis Fernando Aguas Bucheli
 
Auditoria de sistemass
porGerardo Rivero
 
Auditoria de la ofimatica
porManuel Medina
 

Similar a Auditoria1

PPTX
Auditoría informática
pormaekma
 
PDF
Unidad II
porjoseaunefa
 
DOCX
Seguridad informática
porpiranha gt
 
PPTX
Presentación auditoria informatica
porAd Ad
 
PDF
Auditoria y Evaluacion de Sistemas
poryravalles
 
PDF
A3 ap ratas
porCristo Esquivel Pinal
 
DOCX
Cultura empresarial Auditoria informatica
porJ-S_M
 
PPSX
Auditoría de Sistemas por jenny londoño
porDIRECTIVA
 
DOCX
Auditoria informatica de Luis Javier Perez
porluis javier perez
 
PPTX
Introduccion a la auditoria de sistemas de informacion complemento
poringenierocj
 
PPTX
Auditoria
porEdwin Ortega
 
PDF
Auditoria de informatica y sistema de informacion
porKelly-A
 
PDF
La auditoría informática
porLeogenis Leon
 
PPT
Auditoria de Sistemas
porMichelle Perez
 
PPTX
Metodos de Auditoría Informatica 4
porUNEFA
 
DOC
Auditoria de sistemas
porfabianovasquez
 
PPTX
2.1 El Auditor y el Ambiente Informático.pptx
porDanielHernndezCorbet
 
DOCX
Auditoria informatica
porEduardo Prado
 
PPTX
Sesion 5 orgcentros
porFausto A. Cuenca
 
PPTX
Auditoría Informática
porMaría del Cisne
 
Auditoría informática
pormaekma
 
Unidad II
porjoseaunefa
 
Seguridad informática
porpiranha gt
 
Presentación auditoria informatica
porAd Ad
 
Auditoria y Evaluacion de Sistemas
poryravalles
 
A3 ap ratas
porCristo Esquivel Pinal
 
Cultura empresarial Auditoria informatica
porJ-S_M
 
Auditoría de Sistemas por jenny londoño
porDIRECTIVA
 
Auditoria informatica de Luis Javier Perez
porluis javier perez
 
Introduccion a la auditoria de sistemas de informacion complemento
poringenierocj
 
Auditoria
porEdwin Ortega
 
Auditoria de informatica y sistema de informacion
porKelly-A
 
La auditoría informática
porLeogenis Leon
 
Auditoria de Sistemas
porMichelle Perez
 
Metodos de Auditoría Informatica 4
porUNEFA
 
Auditoria de sistemas
porfabianovasquez
 
2.1 El Auditor y el Ambiente Informático.pptx
porDanielHernndezCorbet
 
Auditoria informatica
porEduardo Prado
 
Sesion 5 orgcentros
porFausto A. Cuenca
 
Auditoría Informática
porMaría del Cisne
 

Más de grangurusv

PPT
Auditoriadesistemas
porgrangurusv
 
PDF
Gobierno de it
porgrangurusv
 
PDF
Gobierno de it_bdo_consulting_gobierno_de_ti_2(1)
porgrangurusv
 
PPTX
Telefonía en internet
porgrangurusv
 
PDF
Participacion
porgrangurusv
 
PPT
Presentaciondss1
porgrangurusv
 
PPT
Desarrollo de procesos
porgrangurusv
 
PPT
Web 20b
porgrangurusv
 
Auditoriadesistemas
porgrangurusv
 
Gobierno de it
porgrangurusv
 
Gobierno de it_bdo_consulting_gobierno_de_ti_2(1)
porgrangurusv
 
Telefonía en internet
porgrangurusv
 
Participacion
porgrangurusv
 
Presentaciondss1
porgrangurusv
 
Desarrollo de procesos
porgrangurusv
 
Web 20b
porgrangurusv
 

Auditoria1

  • 1.
    Fases de laAuditoria Informática Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones
  • 2.
    Fase I: Conocimientos del Sistema 1.1. Aspectos Legales y Políticas Internas. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. 1.2. Características del Sistema Operativo. Organigrama del área que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditoría realizadas anteriormente 1.3. Características de la aplicación de computadora Manual técnico de la aplicación del sistema Funcionarios (usuarios) autorizados para administrar la aplicación Equipos utilizados en la aplicación de computadora Seguridad de la aplicación (claves de acceso) Procedimientos para generación y almacenamiento de los archivos de la aplicación.
  • 3.
    Fase II: Análisis de transacciones y recursos 2.1. Definición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. 2.2. Análisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos. 2.3. Análisis de los recursos Identificar y codificar los recursos que participan en el sistemas 2.4. Relación entre transacciones y recursos
  • 4.
    Fase III: Análisis de riesgos y amenazas 3.1. Identificación de riesgos Daños físicos o destrucción de los recursos Pérdida por fraude o desfalco Extravío de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupción de las operaciones del negocio Pérdida de integridad de los datos Ineficiencia de operaciones Errores 3.2. Identificación de las amenazas Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones 3.3. Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.
  • 5.
    Fase IV: Análisis de controles 4.1. Codificación de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles deben contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido. 4.2. Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más controles. 4.3. Análisis de cobertura de los controles requeridos Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.
  • 6.
    Fase V: Evaluación de Controles 5.1. Objetivos de la evaluación Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes 5.2. Plan de pruebas de los controles Incluye la selección del tipo de prueba a realizar. Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. 5.3. Pruebas de controles 5.4. Análisis de resultados de las pruebas
  • 7.
    Fase VI: Informe de Auditoria 6.1. Informe detallado de recomendaciones 6.2. Evaluación de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la áreas. Introducción: objetivo y contenido del informe de auditoria Objetivos de la auditoría Alcance: cobertura de la evaluación realizada Opinión: con relación a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones
  • 8.
    Fase VII: Seguimiento de Recomendaciones 7.1. Informes del seguimiento 7.2. Evaluación de los controles implantados
  • 9.
    Fin de lasesión.
  • 10.
    Informática II. Decanato de Administración y Contaduría Auditoría Informática Revisión Evaluación Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Información
  • 11.
    Informática II. Decanato de Administración y Contaduría Auditoría Informática Objetivos Presentar recomendaciones en función de las fallas detectadas. Determinar si la información que brindan los Sistemas de Informáticos es útil. Inspeccionar el Desarrollo de los Nuevos Sistemas. Verificar que se cumplan las normas y políticas de los procedimientos.
  • 12.
    Auditoría Informática InformáticaII. Decanato de Administración y Contaduría Tipos Interna : Aplicada con el personal que labora en la empresa. Externa : Se contrata a una firma especiali- zada para realizar la misma.
  • 13.
    Auditoría Informática ExternaLas empresas recurren a la auditoría externa cuando existen: Síntomas de Descoordinación Síntomas de Mala Imagen Informática II. Decanato de Administración y Contaduría Síntomas de Debilidades Económicas Síntomas de Inseguridad
  • 14.
    Aspectos Fundamentales en la Auditoría de los Sistemas de Información Informática II. Decanato de Administración y Contaduría
  • 15.
    Auditoría Informática deDesarrollo de Aplicaciones Cada una de las fases del desarrollo de las nuevas aplicaciones informáticas deben ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los costos, así como también insatisfacción de los usuarios. Informática II. Decanato de Administración y Contaduría
  • 16.
    Auditoría de losDatos de Entrada Se analizará la captura de la información en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas. Informática II. Decanato de Administración y Contaduría
  • 17.
    Auditoría Informática deSistemas Se audita: Informática II. Decanato de Administración y Contaduría Sistema Operativo : Verificar si la versión instalada permite el total funcionamiento del software que sobre ella se instala, si no es así determinar la causa Software de Aplicación : Determinar el uso de las aplicaciones instaladas. Comunicaciones : Verificar que el uso y el rendimiento de la red sea el más adecuado .
  • 18.
    Técnicas de AuditoríaExisten varias técnicas de Auditoría Informática de Sistemas, entre las cuales se mencionan: Lotes de Prueba : Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: Datos de Excepción. Datos Ilógicos. Transacciones Erróneas Informática II. Decanato de Administración y Contaduría
  • 19.
    Técnicas de Auditoría...(Continuación) Auditoría para el Computador : Permite determinar si el uso de los equipos de computación es el idó- neo. Mediante esta técnica, se detectan equipos sobre y subutilizados. Prueba de Minicompañía : Revisiones periódicas que se realizan a los Sistemas a fin de determi- nar nuevas necesidades. Informática II. Decanato de Administración y Contaduría
  • 20.
    Peligros Informáticos Incendios: Los recursos informáticos son muy sensibles a los incendios, como por ejemplo reportes impresos, cintas, discos. Inundaciones : Se recomienda que el Departamento de computación se encuentre en un nivel alto. La Planta Baja y el Sótano son lugares propensos a las inundaciones. Robos : Fuga de la información confidencial de la empresa. Fraudes : Modificaciones de los datos dependiendo de intereses particulares. Informática II. Decanato de Administración y Contaduría
  • 21.
    Medidas de ContingenciaMecanismos utilizados para contrarrestar la pérdida o daños de la información, bien sea intencionales o accidentales. La más utilizada es la Copia de Seguridad (Backup), en la cual se respalda la informa- ción generada en la empresa . Informática II. Decanato de Administración y Contaduría
  • 22.
    Copias de SeguridadLas copias pueden ser totales o parciales y la fre- cuencia varía dependiendo de la importancia de la información que se genere. Backup Se recomienda tener como mínimo dos (2) respaldos de la información, uno dentro de la empresa y otro fuera de ésta (preferiblemente en un Banco en Caja Fuerte). Informática II. Decanato de Administración y Contaduría
  • 23.
    Medidas de ProtecciónMedidas utilizadas para garantizar la Seguridad Física de los Datos. Aquellos equipos en donde se genera información crítica, deben tener un UPS. De igual forma, el suministro de corriente eléctrica para el área informática, debe ser independiente del resto de las áreas. Informática II. Decanato de Administración y Contaduría
  • 24.
    Medidas de Controly Seguridad Mecanismos utilizados para garantizar la Seguridad Lógica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Información, mediante un nombre de usuario (login) y una contraseña (password). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos excepcionales. Informática II. Decanato de Administración y Contaduría

Notas del editor

  • #11 La Auditoría Informática es una parte integrante de la auditoría. Se preguntará por que se estudia por separado, pues simplemente para abordar problemas más específicos y para aprovechar los recursos del personal. Sin embargo, es bueno acotar que debe realizarse dentro de un marco de auditoría general. Para clarificar aún más la lámina, diremos entonces que la Auditoría Informática es el proceso de revisión y evaluación de los controles y medidas de seguridad que se aplican a los recursos: a). Tecnológicos. b). Personal. c). Software d). Procedimientos. que se utilizan en los Sistemas de Información manejados en la empresa. En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles apropiados y adecuados en los sistemas de información.
  • #12 La auditoría Informática va mucho más allá de la simple detección de errores. Si bien es cierto que la Auditoría es un proceso que permite detectar fallas, es menester de la auditoría, el presentar algunas sugerencias que puedan ser aplicadas para evitar de esta manera la repetición de las mismas en un futuro. Básicamente, el objetivo principal de la auditoría informática es garantizar la operatividad de los procesos informáticos . En otras palabras, ofrecer la continuidad los procesos de generación, distribución, uso y respaldo de información dentro de las organizaciones. Ya puede ir formándose una idea entonces de la importancia que tiene la Auditoría Informática (si no es así, ¿le parece poco el hecho de que permita mantener operativo todos los procesos relacionados con el manejo de la información?). Importancia de la Auditoría Informática Tal como se mencionó anteriormente su importancia radica en el hecho de garantizar la operatividad de los procesos informáticos. Del mismo modo, la Auditoría es compatible con la calidad, ya que mediante la auditoría, se buscan implantar mejoras en busca del perfeccionamiento de los procesos , incorporando nuevas técnicas y tecnologías.
  • #13 Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a ninguna duda. Sin embargo, consideramos prudente ampliar nuestra exposición y ofrecerle algo más que una mera definición. Auditoría Interna La auditoría Interna ofrece algunas ventajas en relación a la externa, en primer lugar es menos costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el riesgo de que personas extrañas conozcan la información generada dentro de la firma. Sin embargo, tiene sus limitaciones, entre las cuales se mencionan: la poca especialización que tienen los integrantes en la materia conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisión de detección de errores) y por otro lado se corre el riesgo de que se “encubran” deficiencias. Es factible que dentro del proceso de auditoría, las personas no informen de alguna anomalía a fin “de no perjudicar al amigo”. Auditoría Externa Con este tipo de auditoría existe menor margen de error, puesto que las personas que se encargan de realizarla son especialistas en el área. Entonces, deben ser pocos los errores que se detecten y las sugerencias aportadas son muy valiosas. Del mismo modo existe poco margen de encubrimiento, ya que son personas ajenas a la firma.
  • #14 Si bien es cierto que la Auditoría Interna es menos costosa, es una buena práctica para las empresas, realizar Auditorías Externas periódicamente. Sin embargo, existen algunas razones por las cuales una firma debería contratar los servicios de gente especializada. Tales razones son las mostradas en la lámina, las cuales explicaremos con más detalle a continuación: Síntomas de Descoordinación: No coincide el objetivo informático con el de la empresa. En este sentido, es recomendable revisar la gestión de la informática a fin de que la misma esté en función de apoyar al logro de los objetivos. Síntomas de Debilidad Económica: Cuando existe un crecimiento indiscriminado de los costos informáticos. De igual forma, se contrata un servicio externo para estudiar la factibilidad de invertir una fuerte suma de dinero en el área. Síntomas de Mala Imagen: Existe una percepción poco idónea de los usuarios finales de computadoras en relación a la Gestión actual del personal de Informática. Existen quejas de que los programas no funcionan, problemas con la red informática, desconfiguración de equipos, entre otros. Síntomas de Inseguridad: Cuando no existe seguridad ni física ni lógica de la información manejada en la empresa.
  • #15 Hasta estos momentos se ha mencionado un poco lo que es la Auditoría Informática, cuales son sus objetivos y su importancia dentro de las organizaciones. Consideramos que ya tiene la base suficiente para adentrarnos entonces en el estudio de la Auditoria Informática. Existen dos enfoques básicos para la Auditoria de Sistemas de Información, conocidos como: Auditoria Alrededor del Computador y Auditoria a través del Computador. Auditoria Alrededor del Computador: La cual comprende la verificación tanto de los datos de entrada como de salida, sin evaluar el software que procesó los datos. Aunque es muy sencillo, no hace el seguimiento de las transacciones ni la exactitud ni integridad del software utilizado. Es por ello, que se recomienda como un complemento de otros métodos de auditoria. Auditoria a Través del Computador: Comprende la verificación de la integridad del software utilizado, así como también los datos de entrada y la salida generada tanto por las redes y sistemas computacionales. Sin embargo, la auditoria a través del computador requiere de un conocimiento tanto de las redes como del desarrollo de software.
  • #16 Una de las actividades que más dolores de cabeza trae a las organizaciones es el desarrollo de los nuevos sistemas informáticos. Existen muchas razones para tantos inconvenientes, entre las que se destaca: una pobre determinación de los requerimientos (tanto los analistas como los usuarios, que en muchas oportunidades asumen cosas que el otro no ha dicho), carencia de un prototipo adecuado, una deficiente prueba del sistema y la premura con la que se implanta el mismo. En este sentido, la auditoría debe verificar que se cumplan a cabalidad cada una de las fases del desarrollo del sistema. Se deben chequear los instrumentos y métodos empleados para la determinación de los requerimientos, las herramientas que se utilizan para la construcción del sistema, evaluar el prototipo que va a ser mostrado a los usuarios y verificar que se hagan las pruebas al sistema antes de ser implantado. Recuerde: es preferible esperar un poco más por un sistema probado y ajustado a las necesidades que querer implantar “en dos días” un software que no ayudará en nada a los procesos empresariales, por el contrario: entorpecerá los mismos. (¿Cuantas veces no le han dicho en la calle como excusa “tenemos problemas con el sistema” ?).
  • #17 La materia prima para la generación de la información son los datos de entrada, es por ello que todo proceso de auditoria informática debe contemplar el estudio de los mismos. Bajo esta premisa, es importante llevar un control del origen de los datos que se introducen al sistema y en la medida de lo posible, el responsable de la introducción de los mismos. Por ejemplo, para un banco el origen de los datos lo representan las planillas de depósito, retiro, entre otras. Si se lleva un control de dichos documentos es fácil auditar lo que tiene el sistema contra el soporte físico (las planillas). Dicho proceso permite entonces detectar errores de trascripción de datos al Sistema. Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado como un mecanismo para determinar fraudes informáticos. ¿Cómo cree usted que se puede determinar un retiro no autorizado de una cuenta bancaria?, ¿el cambio de calificaciones de un estudiante?. Es por ello que todas las organizaciones deben contar con mecanismos apropiados que permitan auditar los datos de entrada.de los sistemas informáticos.
  • #18 Al igual que ocurre con los datos de entrada, se deben revisar periódicamente las herramientas informáticas que se utilizan dentro de la firma, a fin de verificar que se adecuen a las necesidades del negocio. Es importante señalar que dicha revisión no debe limitarse únicamente al hardware, por el contrario, se debe incluir también la revisión tanto del software instalado como la red informática existente. Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo no escapa de dicha situación. En este sentido, es conveniente que se cuente con una versión que permita la evolución de las aplicaciones, de no ser así determinar las causas de ello. Por ejemplo en el caso específico del Sistema Operativo Windows, es inusual que se labore con la versión 3.11 para grupos de trabajo, en tal caso, como mínimo Windows 98 o Windows NT 4.0. Del mismo modo se debe auditar la red informática instalada, entre otras cosas para observar su rendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes obedecen a la carencia de seguridad tanto de los Sistemas como de las Redes Informáticas) y verificar que se cumplan con las políticas y estándares establecidos para la red. ¿Y la Auditoría de las aplicaciones?. Pues la exposición se detallará en las láminas subsiguientes.
  • #19 La prueba de un Sistema es una tarea un poco más compleja de lo que realmente parece ser. La misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de verificar que arroje el resultado esperado. Va mucho más allá. En primer lugar, la prueba del Sistema no debe ser efectuada por los programadores, ya que éstos conocen los “trucos del sistema”, e inconscientemente introducirán datos que no harán fallar a la aplicación, razón por la cual se recomienda la designación de un equipo responsable para las misma. Dicho equipo debe diseñar una “Batería de Prueba”, la cual consiste en un conjunto de datos a ser introducidos en el sistema para observar su comportamiento. Por supuesto los resultados de dichos datos se deben conocer con antelación a fin de que puedan ser cotejados contra los que arroja el sistema. En toda batería de prueba aparte de las transacciones comunes, se debe contar con : Datos de Excepción : Aquellos que rompen con la regla establecida. Se deben incluir dichos datos a fin de determinar si el sistema contempla las excepciones. Datos Ilógicos : Son datos que no tienen ningún sentido. Se incluyen dentro de la prueba a fin de determinar si el sistema posee los mecanismo de validación adecuados que impidan el procesamiento de los mismos. Datos Erróneos : Son aquellos que no están acordes con la realidad. El sistema no está en capacidad de determinar si un dato esta correcto o no. Sencillamente, se introducen este tipo de datos a fin de verificar si el sistema posee los mecanismos que permitan revertir la transacción.
  • #20 Auditoría para el Computador Es importante determinar el uso de las computadoras. Esto a fin de verificar que no existan computadores sobre o subutilizados. Por ejemplo, suponga el caso de un computador con la configuración más actualizada que esté siendo empleado únicamente como terminal del sistema de facturación de la empresa, por supuesto, es fácil deducir que no se está aprovechando al máximo las bondades del equipo. Ahora suponga la contrario, es decir, que exista un equipo con mediana capacidad en donde se manejen todas las aplicaciones Office (Word, Excel y Power Point) y se ejecuten algunos Sistemas Informáticos propios de la empresa. ¿Está subutilizado?. La aplicación de dicha técnica no reviste de mayor complicación, lo que se hace es anotar la configuración del equipo y las actividades que se realizan en él, a fin de determinar si tal configuración está acorde con lo que se realiza en él. Con esto se logran varias cosas: primero, se determinan los equipos candidatos a ser sustituidos o repotenciados y segundo, ofrece un mecanismo para una futura de reasignación de equipos de acuerdo a las necesidades existentes. ¿Que problema coyuntural cree usted que pueda ocurrir al aplicar dicha técnica?. Piense un poco, de todos modos si no lo logra determinar, en dos láminas más encontrarás la respuesta.
  • #21 Usted pensará “perfecto, estos son los peligros que existen, por lo que he leído creo que la Auditoria pude ayudar a evitar los robos y fraudes informático, pero ¿un incendio o una inundación?, no veo como”. Si esa es su manera de pensar, pues le diremos que está en lo cierto. Aquí no le vamos a decir como evitar incendios o inundaciones. Sino más bien de que tome conciencia de las cosas que puede pasar dentro de una empresa. Pero “sigo sin entender que tiene que ver todo esto”, es muy simple: lo que se busca es crear conciencia, de los peligros que existen, que ninguna organización está exenta de ellos y que por lo tanto es necesario que existan mecanismos que contrarresten los mismos. Esto es precisamente lo próximo que se va a exponer a continuación. Respuesta a la Pregunta Anterior: Puede ocasionar molestias a las personas en la reubicación de equipos (una persona con un equipo muy potente pero subutilizado, no estará muy conforme que le reasignen un equipo de menor potencia).
  • #22 Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar la continuidad de los procesos que en ella se realizan. Dentro de la informática tal aspecto no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como realizar un proceso manualmente en caso de que falle el automatizado). En este módulo nos compete exclusivamente la contingencia de la información. Al igual que otras cosas, la información puede tener daños, los cuales pueden obedecer a causas accidentales (tales como errores en la trascripción de datos, ejecución de procesos inadecuados) o intencionales (cuando se busca cometer algún fraude). No importa cual sea la causa, lo importante en este momento (claro, es importante determinar a que obedeció el problema) es disponer algún mecanismo que nos permita obtener la información sin errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya que en caso de que se dañe la información original, se recurre entonces al respaldo el cual contiene la información libre de errores.
  • #23 Como se mencionó anteriormente, las copias de seguridad ofrecen una contingencia en caso de pérdidas de información. La frecuencia con la cual deben hacerse dichas copias va a depender de acuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es suficiente realizar las copias de seguridad diariamente, así en caso de ocurrir algún imprevisto, se perderá tan solo un día de trabajo. Tal concepción puede funcionar para muchas organizaciones, pero no para todas, para un banco sería catastrófico perder la información de todas las transacciones de un día, caso contrario ocurre en una organización donde la información no varíe con tanta frecuencia, en la cual no tendría mucho sentido respaldarla diariamente. Independientemente de la frecuencia con la cual se haga, es recomendable tener como mínimo dos (2) copias de seguridad, una permanecerá dentro de la empresa y la otra fuera de ella . Así en caso de que se pierda la información se pueda acceder a la copia que está dentro de la empresa. ¿Y para qué la otra copia?. Recuerde los peligros informáticos, los incendios, las inundaciones. En caso de que se incendie el edificio, se perdería el original y una copia, pero se tendrá acceso a la que está fuera de la empresa. A lo mejor usted dirá: “¿qué gracia tiene tener otro respaldo si se quemó el edificio de la empresa?”. Suponga que dicho edificio sea de la Sucursal de un Banco, lo más seguro que al día siguiente, los clientes estarán preguntando qué pasará con sus ahorros. ¿Ahora si le encuentra sentido?. ¿Nota la importancia de la información sobre otros activos?. Un edificio se recupera, la información de toda la empresa no.
  • #24 Deben existir medidas que impidan la pérdida de información, ocasionada por averías en los equipos ( Seguridad Física). Si bien es cierto que los computadores no están exentos de sufrir algún desperfecto (es por ello que existen las copias de seguridad), es recomendable diseñar normas para disminuir tales amenazas. Una de las principales causales de pérdida de información, son las bajas de energía. Es por ello que deben estar conectados a un UPS todos los equipos en donde se genere información crítica. Un UPS es un dispositivo (parecido a un regulador de voltaje) que ofrece corriente alterna por un período de tiempo (depende de las especificaciones del equipo, los hay de 5 minutos hasta casi dos horas). De acuerdo a lo anterior, se deduce entonces su importancia: primero, permite completar transacciones inconclusas en el momento del fallo de energía y segundo permite guardar la información y apagar el equipo con normalidad. De igual forma a fin de disminuir las fallas de energía, debe existir una toma independiente de corriente para el área informática. ¿Recuerda los peligros que existen?. ¿Las inundaciones?, es por ello que el Departamento de Computación debe estar ubicados en las zonas más altas del edificio, puesto que tanto los sótanos como los primeros pisos son los más propensos a inundarse.
  • #25 Uno de los mayores peligros dentro de las empresas son los Fraudes Informáticos (muy comunes hoy en día), es por ello que se diseñan medidas que permitan garantizar la integridad de la información y que la misma esté acorde con la realidad (Seguridad Lógica). El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por varias personas concurrentemente. En dichos sistemas no todas las personas pueden acceder a la misma información (no todos pueden manipular la nómina de la empresa). para ello se restringe el uso de los Sistemas a través de nombres de usuarios y contraseñas, así cuando una persona desea utilizar el Sistema debe identificarse (con su nombre de usuario) y podrá manipular únicamente lo que tenga autorizado. En este sentido, se debe tener un control de los usuarios que entran al sistema (existen muchos sistemas operativos que lo hacen de manera automática), es por ello que no se debe divulgar el nombre de usuario a otras personas. Por ejemplo, suponga que Marta González tiene asignado el nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por favor su nombre de usuario, porque “ necesita hacer algunas cosas con su módulo”, (Marcelo tiene su usuario asignado, malv287s ), pues resulta que ocurrió un problema con dicha información ¿a quién reporta el sistema como responsable? . Sencillo, al usuario que accedió al Sistema, en este caso mgonz128a que pertenece a Marta González. De igual forma, se debe restringir el acceso al Sistema en horas no laborables, ya que el mayor número intento de fraudes ocurre durante dicho período (por lo general en horas de la madrugada). ¿Con estas medidas estoy 100% seguro que no existirán fraudes informáticos?. No, nadie está exento de sufrir un fraude informático, con decirle que han violado la seguridad del Pentágono, NASA, Yahoo!, entre otros. En tal caso le disminuye le riesgo, por lo tanto se recomienda revisar las medidas de seguridad constantemente.