UNIVERSIDAD NACIONAL DE INGENIERIA UNI-IES

TRABAJO: AUDITORIA DE INFORMATICA

PROFESOR: LIBER MARCIAL CERDA REYES INTEGRANTES: EDUARDO MIRANDA OPORTA. RODOLFO VILLALTA MENDOZA. LUDWING ORTIZ URROZ. BYRON RIVERA.

02/03/2011

GENERALIDADES

Para una mejor productividad empresarial, los responsables de los sistemas, que usan los distintos departamentos o reas de negocio, deben conocer los riesgos derivados de una inadecuada gestin de sistemas y los beneficios generados por una gestin ptima. La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer nfasis en la revisin, evaluacin y elaboracin de un informe para el ejecutivo encaminado a un objetivo especfico en el ambiente computacional y los sistemas. A continuacin se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditora de Sistemas es: La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin. Tipos de Auditora Existen algunos tipos de auditora entre las que la Auditora de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la funcin informtica. Es necesario recalcar como anlisis de este cuadro que Auditora de Sistemas no es lo mismo que Auditora Financiera. Entre los principales enfoques de auditoria tenemos los siguientes:

Objetivos Generales de una Auditora de Sistemas Evaluar la fiabilidad Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad Revisar la seguridad de los entornos y sistemas. Analizar la garanta de calidad de los Sistemas de Informacin Analizar los controles y procedimientos tanto organizativos como operativos. Verificar el cumplimiento de la normativa y legislacin vigentes

Justificativos para efectuar una Auditora de Sistemas Falta total o parcial de seguridades logicas y fisicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados por el computador. Organizacin que no funciona correctamente, falta de politicas, objetivos, normas, metodologia, asignacin de tareas y adecuada administracin del recurso humano. Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados. Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin.

AUDITORA INFORMTICA La Auditora Informtica ha sido errneamente denominada Auditora de Sistemas, por el hecho que vulgarmente se considera la palabra "sistemas" como sinnimo de "computador". Pero aclarar que toda Auditora es de sistemas, pues su objeto son los sistemas de informacin. La auditoria informtica consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin :

Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos.

OBJETIVOS DE AUDITORIA INFORMATICA:

El control de la funcin informtica El anlisis de la eficiencia de los Sistemas Informticos La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa tales como:

Desempeo

Fiabilidad Eficacia Rentabilidad Seguridad Privacidad

TIPOS DE AUDITORIA INFORMATICA: Dentro de la auditora informtica destacan los siguientes tipos:

Auditora de la gestin: la contratacin de bienes y servicios, documentacin de los programas, etc. Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos.

Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis de los flujo gramas. Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de los datos. Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad, confidencialidad, autenticacin y no repudio. Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta. Tambin est referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de informacin. Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de autenticacin en los sistemas de comunicacin.

SNTOMAS DE NECESIDAD DE UNA AUDITORA INFORMTICA: Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacin y desorganizacin:

- No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa.

- Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna Norma importante]

Sntomas de mala imagen e insatisfaccin de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc. - No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente. - No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles.

Sntomas de debilidades econmico-financiero:

- Incremento desmesurado de costes. - Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones). - Desviaciones Presupuestarias significativas. - Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos:

- Seguridad Lgica - Seguridad Fsica - Confidencialidad - Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales. Principales pruebas y herramientas para realizar una auditoria informatica En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin.

Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el anlisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las principales herramientas de las que dispone un auditor informtico son:

Observacin Realizacin de cuestionarios Entrevistas a auditados y no auditados Muestreo estadstico Flujogramas Listas de chequeo Mapas conceptuales

CONCLUSIN:

Toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. La empresa hoy, debe/precisa informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de la auditora en s, podemos remarcar que se precisa de gran conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la auditora de Sistemas debe hacerse por gente altamente capacitada, una auditora mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas.