Auditoria de Sistemas

Unidad I: Introduccin a la auditoria de sistemas

Conceptos de Auditora

La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. Es un proceso sistemtico que permite obtener y evaluar de manera objetiva las evidencias relacionadas con informes de actividades econmicas y otros acontecimientos relacionados, permitiendo esta la opinin profesional sobre si el objeto evaluado presenta informacin fiable y/o cumple con las condiciones prescritas.

Conceptos Informtica: La informtica es la ciencia que estudia el tratamiento automatizado de la informacin, mediante dispositivos electrnicos y sistemas de computacin.

Tipos de auditoria
Auditoria Financiera Auditoria Informtica Auditoria de Gestin Auditoria de Cumplimiento

Auditoria Informtica
Es el proceso de obtencin y evaluacin de las evidencias, para determinar si un sistema informatizado cumple realmente con su objetivo que es: Proteccin de activos e integridad de los datos. Organizacin de la informacin y fcil acceso.

Auditoria de Programas
Es la evaluacin de la eficiencia tcnica, del uso de diversos recursos y de tiempos que utilizan los programas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el riesgo que tienen para la organizacin. Para obtener una buena auditoria de programas es recomendable: Tener profundo conocimiento sobre sistemas operativo. Sistemas de administracin de base de datos. Lenguajes de programacin. Utileras. Medios de comunicacin. Y acerca del equipo en que fue hecho el programa.

Fases de La Auditoria
Estudio Preliminar: incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informtica, elaborar cuestionario para la obtencin de la informacin , evaluacin preliminar del control interno, solicitud del plan de actividades, manuales de polticas, reglamentos, entrevistas, etc Revisin y evaluacin de controles y seguridad: consiste en la revisin de los diagramas de flujos de procesos, realizacin de prueba de cumplimiento de seguridad, revisin de aplicaciones en las reas crticas, revisin de histricos, de documentacin y archivos. Examen de tallado de reas crticas: con las fases anteriores el auditor describe las reas crticas y sobre ellas hace un estudio y anlisis profundo en los que definir correctivamente su grupo de trabajo y distribucin de la carga del mismo. Establecer los motivos, objetivos, alcance, recursos que usar, definir la metodologa de trabajo y analizar cada problema encontrado. Comunicacin de resultados: elaboracin de borrador de informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo. El informe debe contener lo siguiente: Motivo de la auditoria Objetivo Alcance Estructura orgnica funcional rea informtica Configuracin de hardware y software instalado Control interno Resultado de la auditoria Caso prctico.

Unidad I: Actividad para el aprendizaje. Elementos fundamentales del concepto de auditoria

1. 2. 3. 4. 5.

contenido condicin Justificacin Objeto finalidad

= = = = =

Opinin Profesional Procedimientos Informacin Fiabilidad

Clases de auditorias Auditoria Financiera: Es un proceso cuyo resultado final es la emisin de un informe, en el que el auditor da a conocer su opinin sobre la situacin financiera de la empresa, este proceso solo es posible llevarlo a cabo a travs de un elemento llamado evidencia de auditoria, ya que el auditor hace su trabajo posterior a las operaciones de la empresa. Auditoria de cumplimiento: Es la comprobacin o examen de operaciones financieras, administrativas, econmicas y de otra ndole de una entidad para establecer que se han realizado conforme a las normas legales, reglamentarias, estatuarias y de procedimientos que le son aplicables. Esta auditoria se practica mediante la revisin de documentos que soportan legal, tcnica, financiera y contablemente las operaciones para determinar si los procedimientos utilizados y las medidas de control interno estn de acuerdo con las normas que le son aplicables y si dichos procedimientos estn operando de manera efectiva y son adecuados para el logro de los objetivos de la entidad. Auditoria de Gestin y resultados: Tiene por objeto el examen de la gestin de una empresa con el propsito de evaluar la eficacia de sus resultados con respecto a las metas previstas, los recursos humanos, financieros y tcnicos utilizados, la organizacin y coordinacin de dichos recursos y los controles establecidos sobre dicha gestin. Es una herramienta de apoyo efectivo a la gestin empresarial, donde se puede conocer las variables y los distintos tipos de control que se deben producir en la empresa y que

estn en condiciones de reconocer y valorar su importancia como elemento que repercute en la competitividad de la misma. Se tiene en cuenta la descripcin y anlisis del control estratgico, el control de eficacia, cumplimiento de objetivos empresariales, el control operativo o control de ejecucin y un anlisis del control como factor clave de competitividad. Auditoria de sistemas: Se ocupa de analizar la actividad que se conoce como tcnica de sistemas en todas sus facetas. Su finalidad es el examen y anlisis de los procedimientos administrativos y de los sistemas de control interno de la compaa auditada. La auditora de sistemas analiza todos los procedimientos y mtodos de la empresa con la intencin de mejorar su eficacia. Diferencia entre auditoria y consultora La diferencia est evidenciada claramente porque la consultara consiste en dar un asesoramiento de cmo llevar adecuadamente una determinada actividad. Y la auditoria consiste en realizar los estudios o evaluacin de lugar para determinar la fiabilidad o no de la informacin y hacer las recomendaciones de lugar para corregir o prevenir cualquier inconveniente. Contramedida son las acciones particulares que se realizan sobre un sistema, para minimiza o eliminar las causs principales de un problema. Ejemplo

Componentes de una contramedida o control

NORMAS ORGANIZACIN METODOLOGAS OBJETIVOSDE CONTROL PROCEDIMIENTOS TECNOLOGADE SEGURIDAD HERRAMIENTAS

Estndares y polticas Funciones Procedimientos Planes

Informtica Usuarios Hardware Software

Factores que componen una contramedida.

La normativa debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el punto de vista conceptual como prctico, debe inspirarse en estndares, polticas, marcos jurdicos, normas de la empresa, etc. La organizacin la integran personas con funciones espesificas y con actuaciones concretas, procedimientos definidos metodologicamente y aprovados por la direccion de empresas. Las metodologas son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. Los objetivos de control son los objetivos a cumplir en el control de procesos. Este es el concepto ms importante despus de la organizacin, y solamente de un planteamiento correcto de los mismos saldrn unos procedimientos eficaces y realistas. Las herramientas de control son muy importantes debido a que van encaminadas a establecer y mejorar las contramedidas que garanticen que las amenazas se materialicen en hechos, sean lo ms baja posible.

Las metodologas se pueden definir en dos grandes grupos:

Cuantitativas: basado en un modelo matemtico numrico que ayuda a la realizacin del trabajo Cualitativas: basada en el criterio del raciocinio humano capaz de definir un proceso de trabajo. Las metodologas ms comunes son el anlisis de riesgo y los planes de contingencias. Los procedimientos de control: son los procedimientos operativos de las distintas reas de la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios objetivos de control, por lo cual deben estar aprobados por la direccin Tecnologa De Seguridad estn todos los elementos, ya sean hardware o software, que ayudan a controlar el riesgo informtico. Las Herramientas De Control: son los elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control

Plan de contingencia Tambin es llamado Recuperacin de negocio. Este plan es una estrategia planificada constituida por un conjunto de respaldo, una organizacin de emergencia y unos procedimientos de actuacin encaminada a conseguir una restauracin progresiva y gil de los servicios de un negocio afectado por una paralizacin total o parcial de la capacidad operativa de la empresa. sea, es un plan B en caso de que falle un proceso, para que continen las operaciones de la empresa. El plan de contingencia en caso de paralizacin, sirve para darle continuidad a un negocio, empresa, o meta en general por alcanzar. Fase 1 anlisis y diseo Fase 2 desarrollo del plan Fase 3 pruebas y mantenimientos.

Existen Tipos de Planes de contingencia: El tipo Risk anlisis y Business Impact Fase 1 anlisis y diseo

Risk anlisis, se basan en el estudio de posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan. Business Impact, se basan en el estudio del impacto que ocasiona la falta de algun recurso de los que soporta la actividad del negocio. Fase Metodologa Risk anlisis 1. identificacin de amenazas. 2. anlisis de la probabilidad de la materializacin de la amenaza. 3. seleccin de amenaza. 4. identificacin de entornos amenazados. 5. identificacin de servicios afectados. 6. estimacin del impacto econmico por paralizacin de cada servicio. 7. seleccin de los servicios a cubrir. 8. seleccin final del mbito del plan. 9. identificacin de las alternativas para los eventos. 10. seleccin de alternativa. 11. diseo de estrategia de respaldo. 12. seleccin de las estrategias de respaldo. Fase Metodologa Business Impact 1. 2. 3. 4. 5. 6. 7. 8. Identificacin de los servicios finales. anlisis del impacto (se evalan aspectos econmicos y no econmicos). seleccin de servicios crticos. determinacin de recursos de soporte. identificacin de alternativas para entorno. seleccin de alternativas. diseo de estrategias globales de respaldo. seleccin de estrategia global de respaldo.

Control interno informtico; Cumplen funciones de control dual en los diferentes departamentos, que puede ser normativa, marco jurdico, la funciones del control interno es la siguientes determinar los propietarios y los perfiles segn la clase de informacin, permitir a dos personas intervenir como medida de control, realizar planes de contingencias, dictar normas de seguridad informtica, controla la calidad de software, los costos, los responsables de cada departamento, control de licencias, manejo de claves de cifrado, vigilan el cumplimiento de normas y de controles, es clara que esta medida permite la seguridad informtica. Metodologas de clasificacin de informacin y de obtencin de procedimientos de control; Es establecer cuales son las entidades de informacin a proteger, dependiendo del grado de importancia de la informacin para el establecimiento de contramedidas. Herramientas de control;

Las herramientas de control, son de dos tipos lgicos y fsicos, desde el punto lgico son programas que brindar seguridad. Y fsicos los cifradores Las principales herramientas son las siguientes: 1. 2. 3. 4. 5. 6. 7. 8. 9. Seguridad Lgica Del Sistema Seguridad Lgica Complementaria Del Sistema, Seguridad Lgica En Entornos Distribuidos, Control De Acceso Fsico, Control De Copias, Gestin De Soporte Magnticos Gestin De Control De Impresin Y Envo De Listados Por Red, Control De Proyectos Y Versiones Gestin De Independencia Y Control De Cambios.

Anlisis De Plataformas Se trata de en determinar la plataforma para la colocacin del producto ms tarde. Catlogos De Requerimientos Previos De Implantacin Es determinar el inventario de lo que se va a conseguir y tambin lo necesario para la implantacin; acciones y proyectos, calendarizados y su duracin y seguimiento. Anlisis De Aplicacin Se trata de inventariar las necesidades de desarrollo de INTERFASES con los diferentes software de seguridad de las aplicaciones y bases de datos. Inventario De Funcionalidades Y Propietarios Es determinar los controles que se deben tener por parte de los usuarios de las aplicaciones como de los del sistema y permite establecer que si el nuevo esquema de control no pierde los objetivos de control. Administracin De Seguridad Es la observacin de los diferentes productos para la control loa cuales deben de tener; reglas de control aplicables a todos los recursos del sistema, permitir al administrador la seguridad de establecer un perfil de privilegios de acceso para el usuario, designacin de diferentes administradores, permitir el producto al administrador de establecer privilegios a grupos y limitarlos en estas peticiones. Single Sing On Este concepto se define como la utilizacin de un software password para tener una identificacin para un usuario. Facilidad De Uso Y Reporting Trata de la interfaz y la calidad de interfaz (interfaz grfica, mens, etc.). Seguridad Esta relacionado con la contrasea, la identificacin, la contrasea mnima.

Fase 2 desarrollo del plan En esta fase se desarrolla la estrategia seleccionada, implementndose hasta el final todas las acciones previstas. Es similar a la tercera fase en todas sus metodologas. Fase 3 pruebas y mantenimientos en esta fase se define las pruebas, sus caracteristicas y sus ciclos y se realiza la primera prueba como comprobacin de todo el trabajo realizado, asi como mentalizar al personal involucarado.