Auditoria de Sistemas

Revisin de carcter objetivo, crtico sistemtico y selectivo de las polticas normas, prcticas y procesos relacionados con los sistemas computarizados con el fin de emitir una opinin profesional respecto a la eficiencia en el uso de los recursos informticos y la validez de la informacin y la efectividad de los controles establecidos.

Comprende no solamente es la evaluacin de los equipos sino los sistemas, procedimientos especficos, entradas y salidas de los procesos, los archivos que se manejan, la seguridad y la obtencin de la informacin.

Tipos de Auditoria

1. 2. 3. 4. 5. 6. 7. 8. 9.

Auditora financiera: Dirigida a todos lo estado financiero, informes, principios contables de una empresa. Auditora Operacional: Encargada de determinar la eficiencia, la eficacia, la economa y los procesos. Auditora de sistemas: Encaminada a todo lo que tiene que ver con la funcin informtica (equipos, hardware, software, seguridad, comunicaciones etc) Auditora Fiscal: Hace referencia a las leyes y normas. Auditora Administrativa: Tiene que ver con el desempeo de las funciones administrativas. Auditora de Calidad: Mtodos, mediciones, controles de bienes y servicios. Auditora social: Participacin en actividades sociales, tiene que ver con empresas de manejo de publico. Auditora Interna: Auditora Externa:

y y y y y

INTERNA Personal de la empresa Es decisin de la misma empresa auditarse. Se puede terminar en cualquier momento Fexible.

y y y y y

EXTERNA Ajeno a la empresa Impuesta o para certificaciones o mejoramiento continuo. Debe cumplir con todo el proceso Presupone mayor objetividad es mayor objetividad. Mayos distanciamiento entre el audito y el auditado

Ej de lo que se audita Se enfoca ene entorno general de sistemas, s.o sw bsico. Administradores de bs, hardware y seguridad informtica.

Redes, concentradores, multiplexores. ndices de utilizacin de las Lneas contratadas (red) Radiografa de la red Falencias crticas Contingencia para daos crticos Monitorizar red trfico Control lneas telefnicas Se comprueba Lugar cerrado y con acceso limitado Seguridad Cableado elctrico de la red para buscan infiltracin Revisiones peridicas de la red para buscan infiltraciones Encriptacin de informacin. Auditoria red lgica Garantizar de en una transmisin llegue al usuario que es Inhabilitar acceso al sw libre Sntomas de debilidad
y y y y y

Descoordinacin - desorganizacin Cuando se ve afectada la parte financiera de una empresa Mala imagen o insatisfaccin del usuario Debilidad econmica o financiera Inseguridad (fsica lgica)

Caractersticas del auditor

y y

Multidisciplinario Eficiencia

y y y y

Moralidad Capacitacin Conocimientos Prctica Profesional Buena remuneracin

07-07-11 El auditor debe tener tica profesional, no dejarse comprar ni tampoco proporcionarle informacin a la competencia. Las recomendaciones del auditor deben ser en buenos trminos y no en manera despectiva. Debe establecer los requisitos mnimos y ptimos para la adecuacin o adaptacin y mejoras que se deban realizar. El auditor puede solicitar informacin de otro especialista.

Debe actuar con profesionalismo, humildad y tica.

Se encarga de llevar a cabo las evaluaciones de las normas, controles tcnicas y , procedimientos que se tienen establecidos en una empresa para lograr confidencialidad, oportunidad, seguridad de la informacin que se procesa a travs de los S.I

Objetivo del auditor informtico: Dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa. La Auditoria Informtica tiene como objetivo asegurar que la informacin que circula por el sistema sea ms apropiada para la organizacin. Objetivos generales de la auditoria de la informacin: Buscar una mejor relacin costo beneficio de los sistemas computarizados diseados e implantados. Incrementar la satisfaccin de los usuarios de los sistemas computarizados. Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante las recomendaciones de seguridades y controles. Se entiende por seguridad de la informacin a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma. Integridad: Para la Seguridad de la Informacin, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) La violacin de integridad se presenta cuando un empleado,

programa o proceso (por accidente o con mala intencin) modifica o borra los datos importantes que son parte de la informacin, as mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificacin sea registrada, asegurando su precisin y confiabilidad. La integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de comprobacin de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la informacin Confidencialidad: La confidencialidad es la propiedad de prevenir la divulgacin de informacin a personas o sistemas no autorizados.

Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el nmero de tarjeta de crdito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del nmero de la tarjeta y los datos que contiene la banda magntica durante la transmisin de los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta en modo alguno, se ha producido una violacin de la confidencialidad.

La prdida de la confidencialidad de la informacin puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene informacin confidencial en la pantalla, cuando se publica informacin privada, cuando un laptop con informacin sensible sobre una empresa es robado, cuando se divulga informacin confidencial a travs del telfono, etc. Todos estos casos pueden constituir una violacin de la confidencialidad.

Otros obj Conocer la situacin actual de rea de informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Participacin en el desarrollo de nuevos sistemas Evaluacin de la seguridad en la parte informtica. Evaluacin de suficiencia en los planes de suficiencia. Resguardo y proteccin de los activos, control de modificacin a las aplicaciones existentes. Revisin de la utilizacin de los S,O y programas utilitarios. Minimizar la existencia de riesgos en el uso de tecnologas de informacin. Estar pendiente de las decisiones de inversin y gastos innecesarios.

Software de Auditoria

SYNC Pro Scout: Herramienta para obtener informacin confiable del sw y hw de todas las maquinas de una red

SpiceWorks Network Inventory Reporter: The Print logger sostware SIW

09-07-11 Controles en la Auditoria de la informacin. Certificar algo bajo un informe Se bebe tener un mapa documental, es la principal herramienta. Detalla que documento se encuentran dentro de la organizacin. Permite identificar las funciones que estn vinculadas a cada usuario. Permite determinar quien tiene la responsabilidad de acceso a los documentos. Tipos de documentos (formatos existentes). Relacin o integracin con el sistema. (que la documentacin que se maneje permita entender el sistemas o diferentes funciones) Localizacin de la documentacin. Valor de los documentos.

Controles Preventivos: Reducir el riesgo

y y y y

Letreros Campaas Backups Mantenimientos

Detectivos: Evalan la eficiencia de los controles

y y

Antivirus Sensores

Correctivos: Ayudan a la investigacin y correccin del riesgo

Controles fsicos y lgicos Autenticidad: Es quien dice ser. Exactitud: verificar la coherencia de los datos. Validacion de campos

Validacin de excesos: que no haya informacin redundante. Totalidad: Evita la omisin de registros y garantizan la conclusin de un proceso Cifrar la documentacin. Redundancia: duplicidad de documentacin.

11-07-11

PLANEACION DE LA AUDITORIA

y -

Administracin Nmero de Equipos Localizacin Caractersticas (instalados, programados, inactivos) Fechas de instalacin, planes de instalacin, actualizacin y mantenimiento. Contratos vigentes (compra, renta, leasing) Seguros, polizas Configuracin, equipos y capacidades actuales y mximas. Planes de expansin (crecimiento al nivel de la empresa) Politicas de operacin / uso de los equipos (procedimientos de operacin, usuarios, seguridad) Sistemas

Descripcin general de los sistemas que estn en la empresa o que estn por instalarse. Manual procedimientos Prioridad: Alta -> Instantaneo Media -> 8 h Baja -> 24 h Diagramas: Entrada, salida y archivos. Proyectos de instalacin de nuevos sistemas.

Situaciones presentadas en la auditora Que se tenga la informacin pero no se necesita. No se tiene y no se necesita

Se tiene la inf pero: No se usa Es incompleta No est actualizada Se usa, esta actualizada, es adecuada y completa

13-07-11 Consideraciones para el xito en las auditorias Tener en cuenta los hechos, no las opiniones Investigar las causas, no los efectos. Atender las razones, no las excusas. No confiar en la memoria, preguntar frecuentemente. (hay que llevar un registro ) Criticar objetivamente. Documentacin previamente

Evaluacin de los sistemas Plan estratgico, documentacin de los procesos Cules servicios existen? Y cuales se van a implementar. Comportamiento usuarios respecto al servicio, cundo est a disposicin de los usuarios? Caractersticas de los servicios Con que recursos se cuenta? RRHH o fsicos

Estrategias de desarrollo - Aplicaciones existentes proceso de desarrollo Que aplicaciones existen? Cuando fueron desarrolladas? Que tipo de archivos de utilizan? Que BD se utilizan? Sus caractersticas. Que tipo de tecnologa? Recursos de inversin a nivel de hardware y software (que existe y lo que esta planeado para implementarse)

Consulta a usuarios Que estudio tienen los usuarios? Y la proyeccin de formacin y/o capacitacin Que metodologa se utiliza para la capacitaciones Que controla los procesos de formacin?

14-07-11

Puntos a evaluar Entradas correctas completa validacin de los datos . oportuna Procesos Adecuados, dinmicos (perdida de inf retraso en el proceso), tiempos establecidos, Salidas correctos - oportuno, fiable Especificaciones de los procesos Mtodos de accesos (Usuario, contraseas) nivel de seguridad Operaciones Manipulacin de datos Identificacin de archivos, tamao, campos y registros Sistemas de seguridad (acceso fsico, lgico, proteccin de datos) Sistemas de control (prevencin, contigencia) Responsable (quienes son, cuales son sus funciones) Nmero de usuarios (cuantas personas existen, cuantos debe haber)

Administrador del PY

-Analista -Auditor - Programador

Plan de trabajo

Jefe Inmediato

- Actividades - Metas propuestas - Personal participante - Tiempos

- Revisn Peridica (horas, dias, semanas)

Etapas de evaluacin del sistemas

y y -

Etapa de anlisis Identificar inexactitud omisiones ambigedades Etapa de diseo Descubrir errores debilidades Comienza un proceso de codificacin

y -

Etapa de programacin Claridad en cmo se desarrollan los procesos Verificar con la base en las especificaciones Generar el informe