AUDITORIA INFORMATICA

AUDITORIA

Introduccion

Concepto de Auditar, es controlar una determinada acción. Control: es una actividad o acción o un grupo de actividades o acciones realizadas por uno o varios elementos (personas o máquinas), con el fin de prevenir, detectar o corregir errores o irregularidades que afecten al funcionamiento del sistema, o a cualquiera de sus partes.

Auditoría: es el examen de la información por terceras partes, distintas de quienes la generan y quienes la utilizan, con la intención de establecer su suficiencia y adecuación e informar de los resultados del examen con objeto de mejorar su utilidad.

La Auditoría informática comprende: la revisión, análisis y evaluación independiente y objetiva por parte de personas independientes y técnicamente competentes de: un entorno informático de una entidad, abarcando todas o algunas de sus áreas como:

• equipos

• sistemas operativos y paquetes

• aplicaciones y el proceso de su desarrollo

• organización y funciones -las comunicaciones

• la propia gestión de los recursos informáticos.

Las políticas, estándares y procedimientos en vigor de la entidad, su idoneidad, así como el cumplimiento de: dichas políticas, estándares y procedimientos:

• los objetivos fijados

• los planes

• los presupuestos

• los controles y las normas legales aplicables.

Conclusión: Como consecuencia de la revisión y examen ha de emitirse un informe escrito que resuma la situación desde un punto de vista independiente y objetivo, y en su caso dicho informe ha de incluir señalamiento de deficiencias e indicación de mejoras.

Para realizar las actividades de Auditoría informática existen: Métodos, Técnicas y Herramientas.

TIPOS DE AUDITORÍA EN CUANTO OBJETIVOS

• Interna

• Externa

Tipos de auditoría informática

• Evaluación del sistema de control interno por parte de la auditoría interna o evaluación de la auditoría interna por parte de la auditoría externa.

• Auditoría de cumplimiento de políticas, estándares y procedimientos de la propia entidad, de normas legales aplicables, de acuerdos interempresas

• Auditoría de seguridad (física y/o lógica)

• Auditoría operativa, que para algunos es lo mismo que auditoría de gestión.

Relación entre Auditoria interna y externa

Ambas auditorías son compatibles y recomendables. Su cometido es complementario nunca excluyente.

La auditoría externa debe ser el seguimiento de la auditoría interna.

Los auditores externos pueden apoyarse en las internas, siempre y cuando esto no suponga una pérdida de la objetividad y de la independencia en:

• sus informes

• sus indicaciones

Los auditores externos pueden aporta a los internos nuevas técnicas y métodos.

La auditoría interna puede crearse muchas veces por recomendación de la externa.

El auditor informático: Cualidades y requisitos que debe poseer

• Formación (buen profesional, conocimientos completos)

• Experiencia

• Independencia (actitud mental - actuar libremente con respecto a su juicio profesional)

• Objetividad (actitud imparcial - no dejarse influenciar)

• Madurez

• Integridad (rectitud intachable, honestidad)

• Capacidad de análisis y síntesis

• Responsabilidad Interés

• Perfil específico según:

• nivel del puesto

• entorno de trabajo

• áreas a auditar

• Puesta al día de los conocimientos.

FUENTES:

Es necesario requerir la documentación sobre todo lo que se ha auditar, se incluye todo aquello que tenga que ver con:

• el hardware

• el software

• las instalaciones

• procedimientos, etc.

REVISION DEL HARDWARE

• Listar todo el hardware

• Especificar su utilización

• Hacer estadísticas de uso y personas

• Sistemas claves

• Mapa de conexiones

• Prioridades

• Modificaciones (cada equipo debe tener una bitácora de su vida)

• Probar el hardware: pruebas en paralelo y benchmarks.

• Comprobar su vida real, etc.

REVISIÓN DEL SOFTWARE:

• Solicitar los planos del software

• Solicitar programas operativos

• Solicitar programas de aplicación

• Solicitar bases de datos

• Hacer las pruebas del S.O con expertos, y con los operadores (observar las reacciones)

• Revisión de la vida útil del software

• Responsables del proyecto

• Diseñadores

• Probadores

• Fundamentos de aplicación

• Analizar su uso.

AUDITORÍA INFORMÁTICA

En la actualidad el costo de los equipos de cómputo ha disminuido considerablemente, mientras que sus capacidades y posibilidades de utilización han aumentado en forma inversa a la reducción de sus costos. Aunque los costos unitarios han disminuido (el de una computadora personal, "microcomputadora"), los costos totales de la computación (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc. ) se han incrementado considerablemente. Ello se debe a que, si bien la relación precio / memoria es menor, el tamaño de la memoria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que permiten acceso de más datos en mucho menos tiempo y que procesan la información en forma más rápida (memorias RAM y ROM, discos fijos, etc. ). Esto hace que, aunque se han reducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, lo que ha tenido como consecuencia que los costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Internet, Extranet, comunicación, bases de datos, multimedia, etc. ) hacen que también se pueda tener acceso a mayor información, aunque el costo total de los sistemas, así como la confiabilidad y seguridad con que se debe trabajar, sean muy altos.

En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relación con la información y uso que se da a éstas. También se tiene poco control sobre la utilización de los equipos, existe un deficiente sistema de seguridad tanto física como lógica y se presenta una falta de confidencialidad de la información. Lo que se debe incrementar es la productividad, el control, la seguridad y la confidencialidad, para tener la información necesaria en el tiempo y en el lugar adecuados para poder tomar las mejores decisiones.

Los siguientes puntos de la tecnología de información son particularmente notables:

• Una gran disponibilidad de hardware de computadoras muy poderosos y baratos, incluyendo la incorporación, a través de la miniaturización de poderosas capacidades, en diferentes dispositivos diseñados para usos personales y profesionales.

• Una gran disponibilidad de software poderoso, barato y relativamente accesible, con interfases de uso gráfico.

• A la medida del cliente, cambio de sistemas a software preempacado. Cambio de computadoras principales (mainframe) a computadoras de uso individual o aumentadas como parte de redes dedicadas a compartir información, así como computadoras corporativas con los correspondientes cambios en la naturaleza, organización y localización de actividades de los sistemas de información, como el cambio a computadoras de usuario final.

• Incremento en la habilidad de las computadoras para accesar datos en tiempo real o demorado, ambos en forma local o a través de acceso a facilidades remotas, incluyendo vía Internet.

• Captura de nuevos datos y el liderazgo en tecnología en almacenamiento máximo para incrementar la computarización, datos/información en textos, gráficas y video, con énfasis en la administración, presentación y comunicación de información, utilizando aproximaciones de multimedia.

• La cobertura de información y las tecnologías de comunicación afectan la forma en que se trabaja y se compra.

• .Incremento del uso de Internet para unir individuos, intraorganizaciones, a través de sistemas tales como correo electrónico (E-mail), Internet, incluyendo world y wide web.

• El incremento en el uso de Internet para conducir comunicación entre organizaciones e individuos, a través de sistemas de comercio electrónico, tales como intercambio electrónico de datos (EDI) y sistema de transferencia electrónica de fondos (EFTS).

• Mercadeo masivo y distribución de productos de tecnología de información y servicios, tales como computadoras, software preempacado, servicio de recuperación de datos en línea, correo electrónico y servicios financieros.

• Reducción de barreras de uso de sistemas, estimulando una gran penetración de sistemas de información dentro de organizaciones de todos los tamaños, de lucro o no lucrativas, para contadores y consejos de administración, y para propósitos estratégicos e incremento de papeles del usuario final de computadoras.

• Una amplia penetración de tecnología de información, tal como diseño de manufactura por medio de asistencia computarizada

...