Universidad Mariano Gálvez Planeación de Auditoria de Informática al Proyecto Caritas de la Diócesis de San Marcos
Curso: Auditoria de Sistemas Cat.: Lic. Otoniel Sánchez Gómez Ciclo: Décimo Segundo Semestre
Contenido MARCO TEORICO ......................................................................................................................... 3 MARCO TEÓRICO ......................................................................................................................... 4 Auditoria: ..................................................................................................................................... 4 Auditoria Informática:.............................................................................................................. 4 Tipos de Auditoria Informática ............................................................................................. 4 Auditoría de la gestión: ........................................................................................................ 4 Auditoría legal del Reglamento de Protección de Datos: .......................................... 4 Auditoría de los datos: ......................................................................................................... 5 Auditoría de las bases de datos: ....................................................................................... 5 Auditoría de la seguridad: .................................................................................................. 5 Auditoría de la seguridad física: ....................................................................................... 5 Auditoría de la seguridad lógica: ...................................................................................... 5 Auditoría de las comunicaciones. .................................................................................... 5 Auditoría de la seguridad en producción: ..................................................................... 5 Objetivos Generales de la Auditoría Informática: ....................................................... 6 Objetivos Específicos de la Auditoria Informática: ..................................................... 6 Controles ...................................................................................................................................... 7 Clasificación General de los Controles ............................................................................... 7 Controles Preventivos ........................................................................................................... 7 Controles Detectivos ............................................................................................................. 7 Controles Correctivos ........................................................................................................... 7 Principales Controles físicos y lógicos ............................................................................ 7 Controles automáticos o lógicos ....................................................................................... 9 Metodologías para la Auditoria de Información .............................................................. 9 Inventario físico ...................................................................................................................... 9 Masificación de la información ......................................................................................... 9 Análisis de las necesidades de información.................................................................. 9 Gráficos de procesos y flujos de trabajo ........................................................................ 9 Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
1
Tendencias que afectan los Sistemas de Información ................................................. 10 Actualizaciones..................................................................................................................... 10 Reestructuración Organizacional ................................................................................... 10 Revisión y Valorización del escalafón ........................................................................... 10 Cambios en el flujo de Información ............................................................................... 10 Pruebas y Herramientas para la Auditoría Informática.............................................. 10 Pruebas sustantivas: .......................................................................................................... 10 Pruebas de cumplimiento: ................................................................................................ 11 El perfil del auditor informático ......................................................................................... 11 Características de un AI .................................................................................................... 11
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
2
MARCO TEORICO
Auditor铆a de Sistemas de Informaci贸n Proyecto Caritas, Pastoral Social Di贸cesis de San Marcos
3
MARCO TEÓRICO Auditoria: La palabra auditoria proviene del latín “Audire”, que significa persona que tiene la virtud de oír. En cada área donde se aplica la auditoria, ésta permite evaluar procesos, procedimientos y tareas, enmarcados en un objetivo específico.
Auditoria Informática: La auditoría informática evalúa la eficiencia y eficacia con que los procesos informáticos funcionan, por medio de cursos alternativos de acción, se toman decisiones que permitirán corregir los errores, en caso de que existan, o bien mejorar los procesos actuales. Mediante la auditoría informática o de sistemas se verifica la existencia y aplicación de todas las normas y procedimientos requeridos para minimizar las posibles causas de riesgo tanto en las instalaciones y equipo, como en los programas computacionales y datos, en todo el ámbito del centro de cómputo (usuarios, instalaciones, equipos).
Tipos de Auditoria Informática Dentro de la auditoría informática destacan los siguientes tipos (entre otros): Auditoría de la gestión:
La contratación de bienes y servicios, documentación de los programas, etc. Auditoría legal del Reglamento de Protección de Datos:
Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
4
Auditoría de los datos:
Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. Auditoría de las bases de datos:
Controles de acceso, de actualización, de integridad y calidad de los datos. Auditoría de la seguridad:
Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. Auditoría de la seguridad física:
Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditoría de la seguridad lógica:
Comprende los métodos de autenticación de los sistemas de información. Auditoría de las comunicaciones.
Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción:
Frente a errores, accidentes y fraudes.
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
5
Objetivos Generales de la Auditoría Informática:
Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD Incrementar la satisfacción de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de función informática a las metas y objetivos de la organización Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático Minimizar existencias de riesgos en el uso de Tecnología de información Decisiones de inversión y gastos innecesarios Capacitación y educación sobre controles en los Sistemas de Información Objetivos Específicos de la Auditoria Informática:
Participación en el desarrollo de nuevos sistemas: Evaluación de controles Cumplimiento de la metodología. Evaluación de la seguridad en el área informática. Evaluación de suficiencia en los planes de contingencia. Respaldos, proveer qué va a pasar si se presentan fallas. Opinión de la utilización de los recursos informáticos. Control de modificación a las aplicaciones existentes. Fraudes Control a las modificaciones de los programas. Participación en la negociación de contratos con los proveedores. Revisión de la utilización del sistema operativo y los programas Utilitarios. Control sobre la utilización de los sistemas operativos Programas utilitarios. Auditoría de la base de datos. Estructura sobre la cual se desarrollan las aplicaciones Auditoría de la red de teleprocesos. Desarrollo de software de auditoría.
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
6
Controles Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de una empresa u organización, y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.
Clasificación General de los Controles Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplos:
Letrero "No fumar" para salvaguardar las instalaciones Sistemas de claves de acceso.
Controles Detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo:
Archivos y procesos que sirvan como pistas de auditoría Procedimientos de validación
Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores. Principales Controles físicos y lógicos
Controles particulares tanto en la parte física como en la lógica se detallan a continuación
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
7
Autenticidad: Permiten verificar la identidad Passwords Firmas digitales Exactitud: Aseguran la coherencia de los datos Validación de campos Validación de excesos Totalidad: Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió Conteo de registros Cifras de control Redundancia: Evitan la duplicidad de datos Cancelación de lotes Verificación de secuencias Privacidad: Aseguran la protección de los datos Compactación Encriptación Existencia: Aseguran la disponibilidad de los datos Bitácora de estados Mantenimiento de activos Protección de Activos: Destrucción o corrupción de información o del hardware Extintores Passwords Efectividad: Aseguran el logro de los objetivos Encuestas de satisfacción Medición de niveles de servicio Eficiencia: Aseguran el uso óptimo de los recursos Programas monitores Análisis costo-beneficio
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
8
Controles automáticos o lógicos
Periodicidad de cambio de claves de acceso Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.
Metodologías para la Auditoria de Información Inventario físico
Es el proceso de identificación y categorización de los recursos de información de una forma sistemática. De esta forma, se proporciona una fotografía de lo que la organización posee en términos de recursos de información en un momento determinado.
Masificación de la información
Constituye una forma gráfica de representar los recursos de información que hay en la organización y las interrelaciones entre éstos. El mapa de recursos indica hasta qué punto los recursos de información son básicos, de qué modo se encuentran posicionados (geográficamente, departamentalmente, desde un punto de vista técnico), cómo interactúan, quién los utiliza, quién es el responsable ect. Análisis de las necesidades de información
Tiene como finalidad principal determinar qué información requieren los empleados y la dirección de la organización para desarrollar sus papeles y alcanzar los objetivos. Gráficos de procesos y flujos de trabajo
Los gráficos de procesos junto con los flujos de trabajo pueden constituir una buena herramienta de trabajo en el ámbito de las auditorías de la información.
Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
9
Tendencias que afectan los Sistemas de Información Actualizaciones
Se refiere a que los sistemas de información de cualquier empresa, debe ser revisado periódicamente; no con una frecuencia continua. Reestructuración Organizacional
Una reestructuración organizacional con cualquier empresa, implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la burocracia, agilitar trámites o procesos, la reestructuración puede ser de varios tipos. Siempre la reestructuración afecta a los sistemas de información de la empresa. Revisión y Valorización del escalafón
La revisión y la revalorización del escalafón se espera que afecte a favor de los sistemas de información de las empresas, si el efecto es contrario el auditor deberá emitir un informe del empleado a los empleados (Específicamente de departamentos), que están boicoteando la información de la empresa. Cambios en el flujo de Información
Se refiere al cambio de flujo de datos exclusivamente en el área informática, esto afecta directamente en sistema informático y por tanto al sistema de información. En lo que respecta a la Auditoría informática, el efecto puede ser positivo y negativo, dependiendo a los resultados obtenidos en cuanto al proceso de datos (menos seguridad, mas seguridad, backup).
Pruebas y Herramientas para la Auditoría Informática En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas: Pruebas sustantivas:
Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información. Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
10
Pruebas de cumplimiento:
Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente. Las principales herramientas de las que dispone un auditor informático son:
Observación Realización de cuestionarios Entrevistas a auditados y no auditados Muestreo estadístico Flujogramas Listas de chequeo Mapas conceptuales
El perfil del auditor informático El auditor Informático es un profesional que debe tener un alto grado de calificación técnica y manejar perfectamente cualquiera de las corrientes organizativas empresariales actuales. Por lo que dentro de la función de auditoría informática, se deben contemplar unas características para mantener un perfil profesional adecuado y actualizado. Características de un AI
Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización. Desarrollo informático, gestión de proyectos y del ciclo de vida de un proyecto de desarrollo. Gestión del departamento de sistemas. Gestión de Base de datos. Análisis de riesgo en un entorno informático, Seguridad física. Sistemas operativos, Telecomunicaciones, Redes Locales. Operaciones y planificación informática. Gestión de seguridad de sistemas y planes de contingencia. Gestión de problemas y cambios en entornos informáticos. Ofimática. Comercio electrónico. Encriptación de datos. Normas estándares para la auditoría interna. Auditoría de Sistemas de Información Proyecto Caritas, Pastoral Social Diócesis de San Marcos
11