AUDITORIA INFORMATICA PERFIL DEL AUDITOR DE SISTEMAS IMPORTANCIA DE LA AUDITORÍA DE SISTEMAS
TIPOS DE AUDITORÍA
MARCO DE TRABAJO CobiT (4.1)
En nuestra sociedad tendemos a malinterpretar el concepto de auditoria como una evaluación para detectar errores, cuando no es así. El concepto de auditoria abarca tanto la detección de errores como la evaluación de la eficiencia o eficacia de un organismo y considera qué propuestas tomar a fin de mejorar la organización y lograr los objetivos planteados.
…”La auditoria requiere de un juicio profesional, solido y maduro, para juzgar los procedimientos”… -Boletin “C” de normas de auditoría del IMC
El boletín C de normas de auditoria del Instituto Mexicano de Contadores nos dice: “la auditoria no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben de seguirse y estimar los resultados obtenido.” En conclusión la auditoría debe ser más amplia que la simple detección de errores, además la auditoría debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solución.
TIPOS Y CLASES DE AUDITORIAS INFORMÁTICAS Dentro de las áreas generales, es posible establecer las siguientes divisiones: a) Auditoria Informática de Explotación b) Auditoria Informática de Sistemas c) Auditoria Informática de Comunicaciones d) Auditoria Informática de Desarrollo de Proyectos e) Auditoria Informática de Seguridad AUDITORIA INFORMATICA DE EXPLOTACION La Explotación Informática se ocupa de producir resultados informáticas de todo tipo: listados impresos, archivos magnéticos para otros informáticos, órdenes automatizadas para lanzar o modificar procesos industriales, etc. Para realizar la Explotación informática se dispone de materia prima los Datos, que sea necesario transformar, y que se sometan previamente a controles de integridad y calidad. La transformación se realiza por medio del Proceso Informático, el cual está dirigido por programas. Obtenido el producto final, los resultados son sometidos a controles de calidad, y finalmente son distribuidos al cliente, al usuario. En ocasiones, el propio cliente realiza funciones de reelaboración del producto terminado. Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones.
Se ocupa de analizar la actividad propia de lo que se conoce como "Técnica de Sistemas" en todas sus facetas. En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de "Sistemas". Vamos a detallar los grupos a revisar: a) Sistemas Operativos Proporcionados por el fabricante junto al equipo. Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Los Sistemas deben estar actualizados con las últimas versiones del fabricante. b) Software Básico Conjunto de productos que, sin pertenecer al Sistema Operativo, configuran completamente los Sistemas Informáticos, haciendo posible la reutilización de funciones básicas no incluidas en aquél. c) Software de Teleproceso Se ha agregado del apartado anterior de Software Básico por su especialidad e importancia. Son válidas las consideraciones anteriores, Nótese la especial dependencia que el Software del Tiempo Real tiene respecto a la arquitectura de los Sistemas. d) Tunning Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los subsistemas y del Sistema en su conjunto.
e) Optimización de los Sistemas y Subsistemas Técnica de Sistemas deber realizar acciones permanentes de optimización como consecuencia de la información diaria obtenida a través de Log, Account-ing, etc. Actúa igualmente como consecuencia de la realización de Tunnings pre programado o específico. El auditor verificará que las acciones de optimización fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el "plan crítico de producción diaria" de Explotación. f) Administración de Base de Datos Es un Área que ha adquirido una gran importancia a causa de la proliferación de usuarios y de las descentralizaciones habidas en las informáticas de las empresas g) Investigación y Desarrollo El campo informático sigue evolucionando rápidamente. Multitud de Compañías, de Software mayoritariamente, aparecen en el mercado. Como consecuencia, algunas empresas no dedicadas en principio a la venta de productos informáticos, están potenciando la investigación de sus equipos de Técnica de Sistemas y Desarrollo, de forma que sus productos puedan convertirse en fuentes de ingresos adicionales.
AUDITORIA INFORMATICA DE DESARROLLO DE PROYECTOS
AUDITORIA INFORMATICA DE COMUNICACIONES Y REDES la tarea del auditor es ardua en este contexto. Como en otros casos, la Auditoria de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales. El auditor deberá inquirir sobre los índices de utilización delas líneas contratadas, con información abundante sobre tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada. La inexistencia de datos sobre cuántas líneas existen, cómo son y dónde están instaladas, supondría que se bordea la Inoperatividad Informática
El área de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la Auditoria informática. Indicando inmediatamente que la función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones, término presente en los últimos años. AUDITORIA DE LA SEGURIDAD INFORMATICA La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La Seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como los edificios e instalaciones que los albergan. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.
PERFIL DEL AUDITOR DE SISTEMA 1. Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general: -Desarrollo de SI (administración de proyectos, ciclo de vida de desarrollo) -Administración del Departamento de Informática -Análisis de riesgos en un entorno informático -Sistemas operativos -Telecomunicaciones -Administración de Bases de Datos -Redes locales -Seguridad física Operación
-Administración de seguridad de los sistemas (planes de contingencia) -Administración del cambio -Administración de Datos -Automatización de oficinas (ofimática) -Comercio electrónico -Encriptación de datos 2. Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial.
3. Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen. 4. El auditor debe tener un enfoque de calidad total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa.
Debido a la probabilidad de cometer errores es sugerido a las instituciones que estén bajo inspección por lo menos una vez al año y que tengan clases sobre el control y manejo de sistemas, de esta forma se puede evitar la pérdida de datos por un mal manejo. El progreso de la tecnología de la computación y la informática, está mejorando día a día, esto a la vez genera problemas en el desarrollo de oportunidades y lleva a cometer errores. Entonces para que no suceda eso es necesario revisar e inspeccionar los proyectos que es el trabajo de la auditoria para poder brindar un mejor trabajo de control a la sociedad. La oficina de la auditoria trabaja bajo inspección de las regulaciones y leyes propias de auditoria, en la construcción de sistemas de control para la ejecución de proceso, almacenamiento de datos, revisión, etc.
Principales puntos por los cuales es importante realizar una auditoria: - La alta sistematización - Las nuevas tecnologías - La automatización de los controles - Integración de información - Importancia de la información
Se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores Usuarios: Gerencia: para apoyar sus decisiones de inversión en TI y control. Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI. Responsables de TI: para identificar los controles que requieren en sus áreas.
Orientado al negocio Alineado con estándares y regulaciones "de facto" Basado en una revisión crítica y analítica de las tareas y actividades en TI Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA) Requisitos de la información del negocio De Calidad Calidad Costo Entrega (del servicio) Fiduciarios Efectividad: La información debe ser relevante y proporcionada en forma oportuna. Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica). Confiabilidad: proveer la información apropiada. Cumplimiento: de las leyes, regulaciones y compromisos. Requisitos de Seguridad Confidencialidad Integridad Disponibilidad: accesibilidad a la información cuando sea requerida.
Recursos de TI Datos: Todos los objetos de información. Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: hardware y software. Instalaciones: (físicas) Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano: Por la habilidad del personal para prestar servicios.
Procesos de TI La estructura de CObIT se define a partir de una premisa simple y pragmática: "Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos". Se divide en tres niveles: Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control., incluyendo los objetivos de control generales (uno para cada uno de los procesos de TI) y los específicos. Actividades: Acciones requeridas para lograr un resultado medible.
Dominio: Planificación y organización Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas. Procesos: PO1 Definición de un plan Estratégico PO2 Definición de la Arquitectura de Información PO3 Determinación de la dirección tecnológica PO4 Definición de la organización y de las relaciones de TI PO5 Manejo de la inversión PO6 Comunicación de la dirección y aspiraciones de la gerencia PO7 Administración de recursos humanos PO8 Asegurar el cumplimiento con los Requisitos Externos PO9 Evaluación de riesgos PO10 Administración de proyectos PO11 Administración de calidad
Dominio: Adquisición e implementación Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. Procesos: AI1 Identificación de Soluciones Automatizadas AI2 Adquisición y mantenimiento del software aplicativo AI3 Adquisición y mantenimiento de la infraestructura tecnológica AI4 Desarrollo y mantenimiento de procedimientos AI5 Instalación y aceptación de los sistemas AI6 Administración de los cambios
Dominio: Prestación y soporte En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación. Procesos Ds1 Definición de niveles de servicio Ds2 Administración de servicios prestados por terceros Ds3 Administración de desempeño y capacidad Ds4 Asegurar el Servicio Continuo Ds5 Garantizar la seguridad de sistemas Ds6 Educación y entrenamiento de usuarios Ds7 Identificación y asignación de costos Ds8 Apoyo y asistencia a los clientes de TI Ds9 Administración de la configuración Ds10 Administración de Problemas Ds11 Administración de Datos
Ds12 Administración de las instalaciones Ds13 Administración de la operación Dominio: Monitoreo Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los Requisitos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio. Procesos M1 Monitoreo del Proceso M3 Obtención de Aseguramiento Independiente M4 Proveer Auditoría Independiente
AUTOR : ANDRES HO V-23.789.109
FACULTAD DE INGENIERIA ESCUELA SISTEMAS