Auditoria Informática

AUDITORÍA INFORMÁTICA

Definición.-

Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión informática y si estas han brindado el soporte adecuado a los objetivos y metas del negocio.

La Auditoria de Tecnología de Información (T.I.) como se le conoce actualmente, (Auditoria informática o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la acelerada evolución de la tecnología informática de los últimos 10 años

Objetivos.-

OBJETIVO GENERAL

Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

OBJETIVOS ESPECIFICOS

• Evaluar el diseño y prueba de los sistemas del área de Informática

• Determinar la veracidad de la información del área de Informática

• Evaluar los procedimientos de control de operación, analizar su estandarización y evaluar el cumplimiento de los mismos.

• Evaluar la forma como se administran los dispositivos de almacenamiento básico del área de Informática

• Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.

• Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo.

Características de la Auditoría Informática

• La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.

• Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

• Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.

• Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

TIPOS Y CLASES DE AUDITORIAS INFORMÁTICAS

Dentro de las áreas generales, es posible establecer las siguientes divisiones: a) Auditoria Informática de Explotación b) Auditoria Informática de Sistemas c) Auditoria Informática de Comunicaciones d) Auditoria Informática de Desarrollo de Proyectos e) Auditoria Informática de Seguridad. Debe evaluarse la diferencia entre la generalidad y la especificación que posee la Seguridad. Según ella, realizarse una Auditoria Informática de la Seguridad del entorno global de la informática, mientras en otros casos puede auditar se una aplicación concreta, en donde será necesario analizar la seguridad de la misma. Cada Área específica puede ser auditada con los criterios que detallamos:

• Desde su propia funcionalidad interna.

• Con el apoyo que recibe de la Dirección, y en forma ascendente, del grado de cumplimiento de las directrices de que ésta imparte.

• Desde la visión de los usuarios, destinatarios verdaderos de la informática.

• Desde el punto de vista de la seguridad, que ofrece la Informática en general o la rama auditada. Las combinaciones descritas pueden ser ampliadas o reducidas, según las características de la empresa auditada. Las Auditorias más usuales son las referidas a las actividades específicas e internas de la propia actividad informática.

a) AUDITORIA INFORMATICA DE EXPLOTACION

La Explotación Informática se ocupa de producir resultados informáticas de todo tipo: listados impresos, archivos magnéticos para otros informáticos, órdenes automatizadas para lanzar o modificar procesos industriales, etc. Para realizar la Explotación informática se dispone de materia prima los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. La transformación se realiza por medio del Proceso Informático, el cual está dirigido por programas. Obtenido el producto final, los resultados son sometidos a controles de calidad, y finalmente son distribuidos al cliente, al usuario. En ocasiones, el propio cliente realiza funciones de reelaboración del producto terminado.

Para mantener el criterio finalista y utilitario, el concepto de centro productivo ayuda a la elaboración de la Auditoria de la Explotación. Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones. Las Básicas son la planificación de la producción y la producción misma de resultados informáticos. El auditor debe tener en cuenta que la organización informática está supeditada a la obtención de resultados en plazo y calidad, siendo subsidiario a corto plazo cualquier otro objetivo. Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual que el plan crítico diario de producción que debe ser protegido a toda costa.

Control de entrada de datos

Se analiza la captura de información, plazos y agenda de tratamiento y entrega de datos, corrección en la transmisión de datos entre plataformas, verificación de controles de integridad y calidad de datos se realizan de acuerdo a Norma.

Planificación y Recepción de Aplicaciones

Se auditarán las normas de entrega de Aplicaciones, verificando cumplimiento y calidad de interlocutor único. Deberán realizarse muestras selectas de la documentación de las Aplicaciones explotadas. Se analizarán las Librerías que los contienen en cuanto a su organización y en lo relacionado con la existencia de Planificadores automáticos o semiautomáticos.

Centro de Control y Seguimiento de Trabajos

Se analizará cómo se prepara, se lanza y se sigue la producción diaria de los procesos Batch, o en tiempo real (Teleproceso).Las Aplicaciones de Teleproceso están activas y la función de Explotación se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe buena parte delos efectivos de Explotación. Este grupo determina el éxito de la explotación, ya que es el factor más importante en el mantenimiento de la producción.

Operadores de Centros de Cómputos

Es la única profesión informática con trabajo de noche. Destaca el factor de responsabilidad ante incidencias y desperfectos. Se analiza las relaciones personales, coherencia de cargos y salarios, la equidad de turnos de trabajos. Se verificará la existencia de un responsable del Centro de Cómputos el grado de automatización de comandos, existencia y grado de uso de Manuales de Operación, existencia de planes de formación, cumplimiento de los mismos y el tiempo transcurrido para cada operador desde el último Curso recibido. Se analizará cantidad de montajes diarios y por horas de cintas o cartuchos, así como los tiempos transcurridos entre la petición de montaje por parte del Sistema hasta el montaje real.

Centro de Control de Red y Centro de Diagnosis

El Centro de Control de Red suele ubicarse en el área de Explotación. Sus funciones se refieren al ámbito de Comunicaciones, estando relacionado con la organización de Comunicaciones Software de Técnica de Sistemas. Debe analizarse la fluidez de esa relación y el grado de coordinación entre ambos, se verificará la existencia de un punto focal único, desde el cual sean perceptibles todas las líneas asociadas a los Sistemas. El Centro de Diagnosis (Help-desk) es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averías o incidencias, tanto de software como de hardware. En función del cometido descrito, y en cuanto a software, está relacionado con el Centro de Control de Red. El Centro de Diagnosis indicado para empresas grandes y usuarios dispersos en un amplio territorio, es un elemento que contribuye a configurar la imagen de la Informática de la Empresa. Debe ser auditado desde esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispensa.

b) AUDITORIA INFORMATICA DE SISTEMAS

Se ocupa de analizar la actividad propia de lo que se conoce como "Técnica de Sistemas" en todas sus facetas. En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de "Sistemas". Vamos a detallar los grupos a revisar:

a) Sistemas Operativos

Proporcionados por el fabricante junto al equipo. Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Los Sistemas deben estar actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si éstas se han producido. El análisis de las versiones de los S.O. permite descubrir posibles incompatibilidades entre algunos productos de Software adquiridos por la instalación

...