Aspectos Relevantes de una Auditoria Informática
-
Upload
isur-edrey-papa -
Category
Documents
-
view
578 -
download
0
Transcript of Aspectos Relevantes de una Auditoria Informática
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 1/38
Mgter. Isur E. Marín Barría
Aspectos Relevantes de una
Auditoria Informática
En una Empresa Moderna
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 2/38
Mgter. Isur E. Marín Barría
Algunos Antecedentes
•El término de Auditoría se ha empleadoincorrectamente con frecuencia y se ha
considerado, como una evaluación cuyo único fines detectar errores y señalar fallas.
•Podríamos decir que la auditoría es un examen
crítico pero no mecánico, que no implica lapreexistencia de fallas en la entidad auditada yque persigue el fin de evaluar y mejorar la eficaciay eficiencia de una sección o de un organismo.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 3/38
Mgter. Isur E. Marín Barría
Algunos Antecedentes
• El auditor informático ha de velar por la correctautilización de los amplios recursos que laempresa pone en juego para disponer de un
eficiente y eficaz Sistema de Información.• Claro está, que para la realización de una
auditoría informática eficaz, se debe entender ala empresa en su más amplio sentido, ya que una
Universidad, un Ministerio o un Hospital son tanempresas como una Sociedad Anónima oempresa Pública.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 4/38
Mgter. Isur E. Marín Barría
Porqué Auditar los SI?
• Los SI son blancos de espionaje.
• Los SI pueden crear y difundir información
errónea.
• Un SI mal diseñado…
Estos son solo algunos de los varios
inconvenientes que puede presentar un SistemaInformático, por eso, la necesidad de la
Auditoría de Sistemas.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 5/38
Mgter. Isur E. Marín Barría
Algunas preguntas clave!
• Los usuarios conocen la situación actual de lainformática en la empresa?
• Se aprueban oportunamente proyectosinformáticos en la organización?
• Se evaluó el costo-beneficio del uso de los SI?
• Hay un plan estratégico de informática alineadoal negocio?
•
¿Es importante para usted la informática?• ¿Evalúa periódica y formalmente dicha función de
la informática?
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 6/38
Mgter. Isur E. Marín Barría
Cada una de las preguntas anteriores encierra
una importancia específica para el buen
funcionamiento informático de cualquier
negocio; están interrelacionadas y la negación
de alguna es una pequeña fuga de gas que, con
el tiempo y un pequeño chispazo, puede
ocasionar graves daños a los negocios
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 7/38
Mgter. Isur E. Marín Barría
Términos de Auditoría Informática
Hardware : se refiere a los componentes físicos
y tangibles de las computadoras, generalmente
clasificados en cuatro grandes ramas:
• computadoras personales
• Redes (locales, abiertas, etc.)
•
Minicomputadoras• Supercomputadoras (mainframes)
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 8/38
Mgter. Isur E. Marín Barría
Términos de Auditoría Informática
Software: implica la parte no física de las
computadoras. Esto significa que es la porción
intangible de los equipos de cómputo, es decir,
programas con orientaciones específicas para la
administración de la informática y el uso
eficiente de los recursos de cómputo. Su
clasificación se puede resumir en los siguientestérminos:
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 9/38
Mgter. Isur E. Marín Barría
Términos de Auditoría Informática
• Software de aplicaciones
• Software de paquetes computacionales
(paquetería)
• Software de programación
• Productos CASE (ComputerAided Software
Enaineering)
• Para Propósitos específicos
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 10/38
Mgter. Isur E. Marín Barría
Términos de Auditoría Informática
Sistemas de información: Son el conjunto de
módulos computacionales o manuales
organizados e interrelacionados de manera
formal para la administración y uso eficiente de
los recursos (humanos, materiales, financieros,
tecnológicos, etc.) de un área específica de la
empresa (manufactura, administración,dirección, etc.)
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 11/38
Mgter. Isur E. Marín Barría
Términos de Auditoría Informática
Metodología: Es un conjunto de etapas (fases omódulos) formalmente estructurados, demanera que brinden parámetros de acción en el
desarrollo de sus proyectos.Técnicas: Es el conjunto de procedimientos ypasos ordenados que se usan con el desarrollode un proyecto con el propósito de finalizar lasetapas, fases o módulos definidos en el procesometodológico.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 12/38
Mgter. Isur E. Marín Barría
Qué es Auditoría Informática?
• Un proceso formal ejecutado por especialistas delárea de auditoría y de informática; se orienta a laverificación y aseguramiento para que las
políticas y procedimientos en la organización serealicen de una manera oportuna y eficiente.
• El conjunto de acciones que realiza el personalespecializado en las áreas de auditoría y de
informática para el aseguramiento continuo deque los recursos de informática operen en unambiente de seguridad y control eficientes.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 13/38
Mgter. Isur E. Marín Barría
Importancia
La tecnología de informática, es una herramientaestratégica que brinda rentabilidad y ventajascompetitivas a los negocios frente a sus similares en elmercado, pero puede originar costos y desventajas si no
es bien administrada por el personal encargado.
Es por eso que la importancia de la auditoria informáticaradica en las evaluaciones oportunas y completas porpersonal calificado consultores externos, auditores en
informática o evaluaciones periódicas realizadas por elmismo personal de informática, entre otras estrategias.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 14/38
Mgter. Isur E. Marín Barría
Formas de Auditar
La auditoría interna es la realizada con recursosmateriales y personas que pertenecen a la empresaauditada. Los empleados que realizan esta tarea puedenser remunerados económicamente. La auditoría interna
existe por expresa decisión de la empresa, o sea, quepuede optar por su disolución en cualquier momento.
Por otro lado, la auditoría externa es realizada porpersonas afines a la empresa auditada; es siempre
remunerada. Se presupone una mayor objetividad que enla auditoría Interna, debido al mayor distanciamientoentre auditores y auditados.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 15/38
Mgter. Isur E. Marín Barría
Síntomas de necesidad de una A I
Síntomas de descoordinación y
desorganización:
• No coinciden los objetivos de la Informática
de la empresa y de la propia empresa.
• Los estándares de productividad se desvían
sensiblemente de los promedios conseguidos
habitualmente.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 16/38
Mgter. Isur E. Marín Barría
Síntomas de necesidad de una A I
Síntomas de mala imagen e insatisfacción de los
usuarios:
• No se atienden las peticiones de cambios de
los usuarios. Ejemplos: cambios de Software
en los terminales de usuario
• No se reparan las averías de Hardware ni se
resuelven incidencias en plazos razonables. El
usuario percibe que está abandonado.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 17/38
Mgter. Isur E. Marín Barría
Síntomas de necesidad de una A I
Síntomas de debilidades económico-financiero:
• Incremento desmesurado de costos.
• Necesidad de justificación de InversionesInformáticas (la empresa no está
absolutamente convencida de tal necesidad y
decide contrastar opiniones).
• Desviaciones Presupuestarias significativas.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 18/38
Mgter. Isur E. Marín Barría
Síntomas de necesidad de una A I
Síntomas de Inseguridad:
Evaluación de nivel de riesgos
• Seguridad Lógica• Seguridad Física
• Confidencialidad
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 19/38
Mgter. Isur E. Marín Barría
Herramientas y Técnicas
CUESTIONARIOS:
El trabajo de campo del auditor consiste en lograr toda lainformación necesaria para la emisión de un juicio globalobjetivo, siempre amparado en hechos demostrables,llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando lacomplementación de cuestionarios pre impresos que seenvían a las personas concretas que el auditor cree
adecuadas, sin que sea obligatorio que dichas personassean las responsables oficiales de las diversas áreas aauditar.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 20/38
Mgter. Isur E. Marín Barría
Herramientas y Técnicas
ENTREVISTA:
La entrevista es una de las actividades personalesmás importante del auditor; en ellas, éste recoge
más información, y mejor matizada, que laproporcionada por medios propios puramentetécnicos o por las respuestas escritas acuestionarios.
Tras ella debe existir una preparación muyelaborada y sistematizada, y que es diferente paracada caso particular.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 21/38
Mgter. Isur E. Marín Barría
Herramientas y Técnicas
CHECKLIST:
El procesamiento interno de información a finde obtener respuestas coherentes que permitan
una correcta descripción de puntos débiles yfuertes. El profesionalismo pasa por poseer
preguntas muy estudiadas que han de
formularse flexiblemente.El conjunto de estas preguntas recibe el nombrede Checklist.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 22/38
Mgter. Isur E. Marín Barría
Herramientas y Técnicas
•Checklist de rango : Contiene preguntas que elauditor debe puntuar dentro de un rangopreestablecido (por ejemplo, de 1 a 5, siendo 1
la respuesta más negativa y el 5 el valor máspositivo).
•Checklist Binaria : Es la constituida porpreguntas con respuesta única y excluyente: Sio No. Aritméticamente, equivalen a 1 (uno) o0(cero), respectivamente.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 23/38
Mgter. Isur E. Marín Barría
Herramientas y Técnicas
TRAZAS Y HUELLAS (Log):
El log vendría a ser un historial que informa que fuecambiando y cómo fue cambiando (información).Las bases de datos, por ejemplo, utilizan el log paraasegurar lo que se llaman las transacciones. Lastransacciones son unidades atómicas de cambiosdentro de una base de datos; toda esa serie decambios se encuadra dentro de una transacción, y
todo lo que va haciendo la Aplicación (grabar,modificar, borrar) dentro de esa transacción, quedagrabado en el log.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 24/38
Mgter. Isur E. Marín Barría
Campo de Acción
La auditoría informática deberá comprender no
sólo la evaluación de los equipos de computo o
de un sistema o procedimiento específico, sino
que además habrá de evaluar los sistemas deinformación en general desde sus entradas,
procedimientos, controles, archivos, seguridad y
obtención de información.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 25/38
Mgter. Isur E. Marín Barría
Campo de Acción
Evaluación administrativa del departamento de informática:
Esto comprende la evaluación de:
- Los objetivos de departamento, dirección o gerencia.
- Metas, planes, políticas y procedimientos de procesos electrónicosestándar.
- Organización del área y su estructura orgánica.
- Funciones y niveles de autoridad y responsabilidad del área deprocesos electrónicos.
- Integración de los recursos materiales y técnicos.
- Dirección costos y controles presupuestales.
- Controles administrativos del área de procesos electrónicos.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 26/38
Mgter. Isur E. Marín Barría
Campo de Acción
Evaluación de los sistemas y procedimientos, y la eficiencia que se
tienen en el uso de la información que comprende:
- Evaluación del diseño lógico del sistema
- Evaluación del desarrollo físico del sistema.- Control de proyectos.
- Control de sistemas y programación
- Instructivos y documentación
- Formas de implantación
- Seguridad física y lógica de los sistemas- Confidencialidad de los sistemas
- Controles de mantenimiento y forma de respaldo de los sistemas.
- Utilización de los sistemas.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 27/38
Mgter. Isur E. Marín Barría
Campo de Acción
Evaluación del proceso de datos y de los equipos de computo que
comprende:
- Controles de los datos fuente y manejo de cifras de control
- Control de operación
- Control de salida
- Control de asignación de trabajo.
- Control de medios de almacenamiento masivos.
- Control de otros elementos de computo
- Orden en el centro de computo- Seguridad física y lógica
- Confidencialidad
- Respaldos
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 28/38
Mgter. Isur E. Marín Barría
Que se audita?
Programas:
La auditoría de programas es la evaluación de laeficiencia técnica, del uso de diversos recursos
(cantidad de memoria) y del tiempo que utilizanlos programas, su seguridad y confiabilidad conel objetivo de optimizarlos y evaluar el riesgoque tienen para la organización. Analiza yevalúa la parte central del uso de lascomputadoras que es el programa.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 29/38
Mgter. Isur E. Marín Barría
Que se audita?
Seguridad:
La auditoría a la seguridad cada vez resulta más conveniente realizarla,ya que el desarrollo de Internet es espectacular y las posibilidades delcomercio electrónico son ilimitadas; esto origina una vulnerabilidad enlos datos ya que cada vez existen más personas que se dedican a
cometer delitos informáticos.
El proceso de esta auditoría generalmente comienza con un análisis delas amenazas potenciales que enfrentan a una organización.
Examina sistemas, políticas y prácticas de la organización paraidentificar sus vulnerabilidades. El análisis continúa con una valoraciónde riesgo y concluye con un informe de valoración y una serie derecomendaciones.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 30/38
Mgter. Isur E. Marín Barría
Que se audita?
Uso de la computadora:
Se debe observar el uso adecuado de lacomputadora y su software que puede ser
susceptible a:• tiempo de máquina para uso ajeno.
• copia de programas de la organización para finesde comercialización (copia pirata)
• acceso directo o telefónico a bases de datos confines fraudulentos
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 31/38
Mgter. Isur E. Marín Barría
Que se audita?
Cantidad y tipo de Información:
El tipo y la cantidad de información que seintroduce en las computadoras debe
considerarse como un factor de alto riesgo yaque podrían producir que:
• la información este en manos de algunas
personas• la alta dependencia en caso de perdida de
datos
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 32/38
Mgter. Isur E. Marín Barría
Que se audita?
Control de programación:
Se debe tener conocer que el delito más comúnestá presente en el momento de la programación,ya que puede ser cometido intencionalmente o no,
para lo cual se debe controlar que:• los programas no contengan bombas lógicas
• los programas deben contar con fuentes y susultimas actualizaciones
• los programas deben contar con documentacióntécnica, operativa y de emergencia
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 33/38
Mgter. Isur E. Marín Barría
Que se audita?
Personal:
Se debe observar este punto con mucho cuidado, ya quehablamos de las personas que están ligadas al sistema deinformación de forma directa y se deberá contemplar
principalmente:• la dependencia del sistema a nivel operativo y técnico
• evaluación del grado de capacitación operativa y técnica
• contemplar la cantidad de personas con acceso
operativo y administrativo• conocer la capacitación del personal en situaciones de
emergencia
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 34/38
Mgter. Isur E. Marín Barría
Que se audita?
Rasgos del personal:
Se debe ver muy cuidadosamente el carácter del
personal relacionado con el sistema, ya que
pueden surgir:
• malos manejos de administración
• malos manejos por negligencia
• malos manejos por ataques deliberados
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 35/38
Mgter. Isur E. Marín Barría
Que se audita?
Instalaciones:
Es muy importante no olvidar las instalaciones físicas y deservicios, que significan un alto grado de riesgo. Para locual se debe verificar:
• la continuidad del flujo eléctrico• efectos del flujo eléctrico sobre el software y hardware
•evaluar las conexiones con los sistemas eléctrico,telefónico, cable, etc.
• verificar si existen un diseño, especificación técnica,manual o algún tipo de documentación sobre lasinstalaciones.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 36/38
Mgter. Isur E. Marín Barría
Que se audita?
Control de residuos:
• Observar como se maneja la basura de los
departamentos de mayor importancia, donde
se almacena y quien la maneja.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 37/38
Mgter. Isur E. Marín Barría
Informe Final
La función de la auditoría se materializaexclusivamente por escrito. Por lo tanto laelaboración final es el exponente de su calidad.
Resulta evidente la necesidad de redactarborradores e informes parciales previos alinforme final, los que son elementos decontraste entre opinión entre auditor y auditado
y que pueden descubrir fallos de apreciación enel auditor.
5/10/2018 Aspectos Relevantes de una Auditoria Informática - slidepdf.com
http://slidepdf.com/reader/full/aspectos-relevantes-de-una-auditoria-informatica 38/38
M t I E M í B í