Propuesta De Auditoria Informatica

5.1 INTRODUCCION

La auditoria informática es una importante estrategia en una organización en la que

el éxito de su gestión depende, como factor crítico, de la eficiente administración de

la información y la tecnología de información, por ello es necesario e imprescindible

la evaluación mediante auditorias a los procedimientos de control generales y

específicos, dentro del ámbito de su soporte tecnológico.

La auditoria informática se define como el conjunto de procedimientos y técnicas

realizadas por especialistas en las áreas de auditoria y de informática para

garantizar que los recursos informáticos de la organización funcionen eficientemente

aun en situaciones adversas, con el propósito de asegurar a la organización la

certeza que la información se maneje con calidad, veracidad, integridad, precisión y

objetividad sobre el grado de cumplimiento de las políticas y normativas

establecidas por la organización para lograr sus objetivos.

Para facilitar a la administración las actividades realizadas en los centros de

computo, se desarrollo una guía de auditoria informática la cual contiene:

Mecanismos de planeación, mecanismos de control, mecanismos de supervisión,

mecanismos de evaluación, plan de contingencias y el informe final de la auditoria,

permitiendo así evaluar el grado de cumplimiento de políticas, controles y

procedimientos.

99

5.2 OBJETIVOS

5.2.1 OBJETIVO GENERAL

• Desarrollar una herramienta útil que permita orientar a los

administradores en las actividades relacionadas con la gestión de los

centros de cómputo.

5.2.2 OBJETIVOS ESPECÍFICOS

• Clasificar los riesgos a los que una empresa pueda estar expuesta; con

respecto a la seguridad física y lógica.

• Crear mecanismos de planeación y control eficientes que permitan

mejorar el desempeño de la administración.

• Crear mecanismos de supervisión y evaluación que permitan mantenerse

en un nivel óptimo de funcionamiento.

• Elaboración del plan de contingencia y contra desastres para estar

preparado ante el surgimiento de alguna emergencia.

100

5.3 JUSTIFICACIÓN

La importancia de esta propuesta radica en la necesidad que posee la

administración de los centros de cómputo de la Universidad de Oriente

UNIVO, de realizar una revisión que tenga como único fin detectar errores,

señalar fallas, conocer los riesgos en cuanto a la seguridad y al inadecuado

control del flujo de información.

Asimismo poseer una guía actualizada que contenga los mecanismos

competentes y necesarios para efectuar todas las tareas solicitadas por los

docentes y alumnos, el plan de contingencias y contra desastres, para

adquirir conocimientos de que acciones debe emprender el departamento de

informática antes, durante y después de una situación de emergencia o

catastrófica.

A la vez de concientizar a las autoridades pertinentes la importancia de

realizar planes periódicos de auditorias, para verificar que todo este en orden

y evitar problemas futuros que pueden tener grandes consecuencias

tecnológicas y económico-financieras.

101

5.4 DELIMITACIÓN DE ÁREAS INFORMÁTICAS EN LA AUDITORIA

La auditoria realizada se delimita a las cuatro áreas generales de: Auditoria interna,

de dirección, de usuario y de seguridad. En auditoria interna y de dirección, los

entes que dirigen cada laboratorio de computo son los administradores y es en el

interior de los centros de computo donde empieza la investigación, en auditoria de

usuario, son las opiniones de los alumnos y docentes que hacen uso de los centros

de computo y en cuanto a la seguridad porque es el aspecto mas importante de

toda auditoria proteger el activo informático.

Por el hecho de ser una auditoria administrativa se enfoca solamente a las

siguientes áreas específicas: Auditoria Informática de Producción o Explotación,

Auditoria Informática de Sistemas y Auditoria de la Seguridad Informática (Abarca

seguridad física, lógica, confidencialidad, etc.)

A continuación se presenta una breve explicación de las áreas específicas que

abordará la auditoria:

-Auditoria Informática de Producción o Explotación

En algunos casos también conocida como de Explotación o Operación, se ocupa de

revisar todo lo que se refiere con producir resultados informáticos, listados

impresos, ficheros soportados magnéticamente, ordenes automatizadas para lanzar

o modificar procesos, etc.

La producción, operación o explotación informática dispone de una materia prima,

los datos, que es necesario transformar, y que se someten previamente a controles

de integridad y calidad. La transformación se realiza por medio del proceso

informático, el cual está gobernado por programas y obtenido el producto final, los

resultados son sometidos a varios controles de calidad y, finalmente, son

distribuidos al cliente, al usuario.

102

Auditar la producción, operación o explotación consiste en revisar las secciones que

la componen y sus interrelaciones, las cuales generalmente son: planificación,

producción y soporte técnico.

-Auditoria Informática de Sistemas

Se ocupa de analizar y revisar los controles y efectividad de la actividad que se

conoce como técnicas de sistemas en todas sus facetas y se enfoca principalmente

en el entorno general de sistemas, el cual incluye sistemas operativos, software

básicos, aplicaciones, administración de base de datos, etc.

-Auditoria de la Seguridad Informática

La Auditoria de la seguridad en la informática abarca los conceptos de seguridad

física y lógica. La seguridad física se refiere a la protección del hardware y los

soportes de datos, así como la seguridad de los edificios e instalaciones que los

albergan. El auditor informático debe contemplar situaciones de incendios,

inundaciones, sabotajes, robos, catástrofes naturales, etc.

Por su parte, la seguridad lógica se refiere a la seguridad en el uso de softwares, la

protección de los datos, procesos y programas, así como la del acceso ordenado y

autorizado de los usuarios a la información.

El auditar la seguridad de los sistemas, también implica que se debe tener cuidado

que no existan copias piratas, o bien que, al conectarnos en red con otras

computadoras, no exista la posibilidad de transmisión de virus.

103

5.5 MECANISMO DE ACCION DE LA AUDITORIA

Finalidades de la

auditoria

Revisar

Carta

de

misión

Contorno auditable

Recursos necesarios para

la auditoria

Equipos,

programa

s y

personas

Propuesta de

servicios

Plan y programas de

trabajo de la auditoria

Revisar

Contrato de auditoria

Revisar el plan de trabajo

Examinar el área de

informática

Emitir el juicio de

valoración

Fin

Asistencia Post-Auditoria

Informe

preliminar

e informe

definitivo

Seguimie

nto de las

recomend

aciones

de la

auditoria

Actividad

es

propias

de la

auditoria

Especifica

ción de

áreas y

cláusulas

104

5.6 METODOLOGÍA EMPLEADA EN LA AUDITORIA

El método de trabajo del auditor pasa por las siguientes etapas:

1) Alcance de la Auditoria Informática.

El alcance del proyecto comprende, la evaluación de la dirección de informática

en cuanto a:

• Su organización

• Objetivos

• Normas y políticas

• Recursos humanos

• Recursos físicos

• Recursos Lógicos

• Recursos utilizados para brindar seguridad.

2) Estudio inicial del entorno auditable.

El estudio se realizara en los centros de cómputo de la Universidad de Oriente

m que se especifican a continuación:

• Sala “A”

• Sala “B”

• Sala “C”

• Sala “D”

• Sala “E”

• Unidad de Internet

• Laboratorio de redes y hardware

105

3) Determinación de los recursos necesarios para realizar la auditoria.

Un grupo de auditores

• Jefe del proyecto y analista

• Supervisor del proyecto y analista.

4) Elaboración del plan y de los Programas de Trabajo.

El plan de auditoria informática contiene el nombre del organismo a auditar,

descripción de las actividades a realizar, el personal participante y el periodo de

tiempo estimado, así como una hoja para revisar el cumplimiento del programa

de auditoria, las conclusiones de la auditoria y el seguimiento de las

recomendaciones de la auditoria en informática.

5) Actividades propiamente dichas de la auditoria.

Para la evaluación de la organización de la gestión administrativa de los centros

de cómputo se llevaran a cabo las siguientes actividades:

• Solicitud

...