Taller Semana 13 Mario Morales

ADMINISTRACION DE SISTEMAS DE INFORMACION

TALLER SEMANA 13

Presentado a:

MARIO MORALES CAICEDO

PRESENTADO POR:

LEIDY NATHALIE LUNA CASTILLO

JAIME ANDRES LONDOÑO POTES

Grupo 12

UNIVERSIDAD SANTIAGO DE CALI

FACULTAD CIENCIAS ECONÓMICAS Y EMPRESARIALES

PROGRAMA ADMINISTRACIÓN DE EMPRESAS

AREA: ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN

NOVIEMBRE 2014

INTRODUCCION

.

Utilizando la Internet por favor buscar la descripción de los siguientes términos, citando la referencia bibliográfica del material consultado:

1. Auditoría, Auditoría de Sistemas de Información, Auditoría Informática.

2. Un sistema de control interno para el área informática, ¿qué elementos comprende? Describirlos brevemente.

3. ¿Qué campos de conocimiento debe saber y manejar al Auditor Informático?

4. ¿Cuáles son las fases o etapas de una Auditoría? Descríbalas brevemente.

5. De la definición, descripción y objetivos de la Auditoria ALREDEDOR del computador.

6. De la definición, descripción y objetivos de la Auditoría A TRAVÉS del computador.

7. De la definición, descripción y objetivos de la Auditoría CON el computador.

8. ¿Cuáles son las Técnicas de Auditoría Asistidas por Computador? (TAAC).

9. Describa la Metodología que debe seguir un Auditor Informático utilizando TAAC (principales actividades).

10. ¿Cuáles son los aspectos más importantes de la norma ISO 27002?

11. De acuerdo a las personas que la realizan, ¿qué tipos de auditoría existen? Describir brevemente.

12. De acuerdo al objetivo de la Auditoría ¿qué tipos de auditoría existen? Describir brevemente.

Solución

1. Auditoría es un término que puede hacer referencia a tres cosas diferentes pero conectadas entre sí: puede referirse al trabajo que realiza un auditor, a la tarea de estudiar la economía de una empresa, o a la oficina donde se realizan estas tareas (donde trabaja el auditor). La actividad de auditar consiste en realizar un examen de los procesos y de la actividad económica de una organización para confirmar si se ajustan a lo fijado por las leyes o los buenos criterios.

Auditoría de Sistemas de Información Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de sistemas informáticos permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

En la auditoría se verifica la seguridad en la autenticidad, confidencialidad, integridad, disponibilidad y auditabilidad de la información tratada por los sistemas.

Auditoría Informática La Auditoría Informática la podemos definir como “el conjunto de procedimientos y técnicas para evaluar y controlar un sistema informático con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informáticas y generales prefijadas en la organización”.

La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.

La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en que se sustenta.

2. Un sistema de control interno para el área informática, ¿qué elementos comprende? Describirlos brevemente

R//los elementos que comprende un sistema de control interno en el área informática son:

• Estandarización de metodologías para el desarrollo de proyectos.

• Asegurar que el beneficio del sistema sea el óptimo.

• Elaborar estudios de factibilidad del sistema.

• Garantizar la eficiencia y eficacia en el análisis y diseño del sistema.

• Vigilar la efectividad y eficacia en la implementación y mantenimiento del sistema.

• Lograr un uso eficiente del sistema por medio de su documentación.

3. ¿Qué campos de conocimiento debe saber y manejar al Auditor Informático?

R//El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy en día.

Además debe contemplar en su formación básica una mezcla de conocimientos de auditoría financiera y de informática general en cuanto a:

• Desarrollo Informático: Gestión de proyectos y del ciclo de vida de un proyecto de desarrollo.

• Gestión del dpto. de sistemas.

• Análisis de riesgos en un entorno informático.

• Gestión de bases de datos.

• Operaciones y planificación informática: Efectividad de las operaciones y del rendimiento de los sistemas.

• Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de planes de contingencia de la información.

• Gestión de problemas y de cambios en entornos informáticos.

• Admón. de datos.

• Ofimática.

• Comercio Electrónico.

• Encriptación de datos.

• Sistema operativo.

• Telecomunicaciones.

• Redes locales.

• Seguridad física.

• A estos conocimientos básicos se les deberá añadir una especialización en función de la importancia económica que distintos componentes financieros puedan tener en un entorno empresarial.

• El auditor informático debe tener siempre el concepto de Calidad Total, este hará que sus conclusiones y trabajo sea recocido como un elemento valioso dentro de la organización y que los resultados sean más reconocidos de forma positiva por ella.

El auditor Informático debe revisar la seguridad, el control interno, la efectividad, la gestión del cambio y la integridad de la información.

Es también mantener en la medida de lo posible los objetivos de revisión que le demande la organización. Luego que se hayan establecido estos, el auditor debe revisar los controles y evaluar los resultados de su revisión para determinar las áreas que requieran correcciones o mejoras.

Así como la verificación del control interno, tanto de las aplicaciones como de los sistemas informáticos, centrales y periféricos.

Debe hacer un análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las aplicaciones.

Auditar el riesgo operativo de los circuitos de información.

Hacer una verificación del nivel de continuidad de las operaciones (conjuntamente con los auditores financieros).

Analizar el Estado del arte tecnológico de la instalación revisada y de aclarar las consecuencias empresariales que un desfase tecnológico pueda acarrear.

Debe dar un diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la organización.

Algo muy importante que se debe enfatizar es que el auditor tiene la obligación de convertirse un poco en consultor y en ayuda del auditado, dándole ideas de cómo establecer procedimientos de seguridad, control interno y eficacia y medición del riesgo empresarial.

4. ¿Cuáles son las fases o etapas de una Auditoría? Descríbalas brevemente.

R// Planeación y programación

En esta fase se establecen las relaciones entre auditores y la entidad, es el conocimiento global de la empresa por parte del auditor en donde se determina el alcance y objetivos. Se hace un bosquejo de la situación de la entidad, acerca de su organización, sistema contable, controles internos, estrategias, metodologías y demás elementos que le permitan al auditor elaborar el programa de auditoria que se llevará a efecto.

Ejecución de la Auditoría

El objetivo de esta etapa es obtener y analizar toda la información del proceso que se audita, con la finalidad de obtener evidencia

...