AUDITORIA INFORMATICA
Enviado por ivanensayos91 • 10 de Febrero de 2013 • 12.367 Palabras (50 Páginas) • 234 Visitas
AUDITORIA
Introduccion
Concepto de Auditar, es controlar una determinada acción. Control: es una actividad o acción o un grupo de actividades o acciones realizadas por uno o varios elementos (personas o máquinas), con el fin de prevenir, detectar o corregir errores o irregularidades que afecten al funcionamiento del sistema, o a cualquiera de sus partes.
Auditoría: es el examen de la información por terceras partes, distintas de quienes la generan y quienes la utilizan, con la intención de establecer su suficiencia y adecuación e informar de los resultados del examen con objeto de mejorar su utilidad.
La Auditoría informática comprende: la revisión, análisis y evaluación independiente y objetiva por parte de personas independientes y técnicamente competentes de: un entorno informático de una entidad, abarcando todas o algunas de sus áreas como:
• equipos
• sistemas operativos y paquetes
• aplicaciones y el proceso de su desarrollo
• organización y funciones -las comunicaciones
• la propia gestión de los recursos informáticos.
Las políticas, estándares y procedimientos en vigor de la entidad, su idoneidad, así como el cumplimiento de: dichas políticas, estándares y procedimientos:
• los objetivos fijados
• los planes
• los presupuestos
• los controles y las normas legales aplicables.
Conclusión: Como consecuencia de la revisión y examen ha de emitirse un informe escrito que resuma la situación desde un punto de vista independiente y objetivo, y en su caso dicho informe ha de incluir señalamiento de deficiencias e indicación de mejoras.
Para realizar las actividades de Auditoría informática existen: Métodos, Técnicas y Herramientas.
TIPOS DE AUDITORÍA EN CUANTO OBJETIVOS
• Interna
• Externa
Tipos de auditoría informática
• Evaluación del sistema de control interno por parte de la auditoría interna o evaluación de la auditoría interna por parte de la auditoría externa.
• Auditoría de cumplimiento de políticas, estándares y procedimientos de la propia entidad, de normas legales aplicables, de acuerdos interempresas
• Auditoría de seguridad (física y/o lógica)
• Auditoría operativa, que para algunos es lo mismo que auditoría de gestión.
Relación entre Auditoria interna y externa
Ambas auditorías son compatibles y recomendables. Su cometido es complementario nunca excluyente.
La auditoría externa debe ser el seguimiento de la auditoría interna.
Los auditores externos pueden apoyarse en las internas, siempre y cuando esto no suponga una pérdida de la objetividad y de la independencia en:
• sus informes
• sus indicaciones
Los auditores externos pueden aporta a los internos nuevas técnicas y métodos.
La auditoría interna puede crearse muchas veces por recomendación de la externa.
El auditor informático: Cualidades y requisitos que debe poseer
• Formación (buen profesional, conocimientos completos)
• Experiencia
• Independencia (actitud mental - actuar libremente con respecto a su juicio profesional)
• Objetividad (actitud imparcial - no dejarse influenciar)
• Madurez
• Integridad (rectitud intachable, honestidad)
• Capacidad de análisis y síntesis
• Responsabilidad Interés
• Perfil específico según:
• nivel del puesto
• entorno de trabajo
• áreas a auditar
• Puesta al día de los conocimientos.
FUENTES:
Es necesario requerir la documentación sobre todo lo que se ha auditar, se incluye todo aquello que tenga que ver con:
• el hardware
• el software
• las instalaciones
• procedimientos, etc.
REVISION DEL HARDWARE
• Listar todo el hardware
• Especificar su utilización
• Hacer estadísticas de uso y personas
• Sistemas claves
• Mapa de conexiones
• Prioridades
• Modificaciones (cada equipo debe tener una bitácora de su vida)
• Probar el hardware: pruebas en paralelo y benchmarks.
• Comprobar su vida real, etc.
REVISIÓN DEL SOFTWARE:
• Solicitar los planos del software
• Solicitar programas operativos
• Solicitar programas de aplicación
• Solicitar bases de datos
• Hacer las pruebas del S.O con expertos, y con los operadores (observar las reacciones)
• Revisión de la vida útil del software
• Responsables
...