Buscar este blog

martes, 12 de julio de 2011

Una muestra para ver como se hace una auditoria informatica
Publicado por en No hay comentarios:

Controles y su Clasificación

Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos. Su clasificación general en:
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones .
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
Sistemas de claves de acceso
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría
Procedimientos de validación
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar dificil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.
Publicado por en No hay comentarios:

Justificativos para Efectuar una Auditoria de Sistemas

  • Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos).

  • Desconocimiento en el nivel directivo de la situación informática de la empresa.

  • Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal, equipos e información.

  • Descubrimiento de fraudes efectuados con el computador.

  • Falta de una planificación informática.

  • Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano.

  • Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.

  • Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción.
    • Publicado por en No hay comentarios:

    Objetivos Especificos de la Auditoria de Sistemas

    1._ Participación en el desarrollo de nuevos sistemas:
    • evaluación de controles
    • cumplimiento de la metodología.
    2._ Evaluación de la seguridad en el área informática.

    3._ Evaluación de suficiencia en los planes de contingencia.
    • respaldos, preveer qué va a pasar si se presentan fallas.
    4._ Opinión de la utilización de los recursos informáticos.
    • resguardo y protección de activos.
    5._ Control de modificación a las aplicaciones existentes.
    • fraudes
    • control a las modificaciones de los programas.
    6._ Participación en la negociación de contratos con los proveedores.

    7._ Revisión de la utilización del sistema operativo y los programas
    • utilitarios.
    • control sobre la utilización de los sistemas operativos
    • programas utilitarios.

    8._ Auditoría de la base de datos.
    • estructura sobre la cual se desarrollan las aplicaciones...
    9._ Auditoría de la red de teleprocesos.

    10._ Desarrollo de software de auditoría.

    Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
    Publicado por en No hay comentarios:

    Pasos del Auditor y Del Auditado

    Publicado por en No hay comentarios:

    Auditoria

    Publicado por en No hay comentarios:

    Tendencias que Afectan a los Sistemas de Información

    Al considerar un Sistema de Información como un conjunto de normas y procesos generales de una determinada, se deben considerar algunos puntos negativos y positivos que afectan directamente al sistema así por ejemplo:

    Actualizaciones: Se refiere a que los sistemas de información de cualquier empresa, debe ser revisado periódicamente; no con una frecuencia continua, si no mas bien espaciada, se recomienda las revisiones bi – anuales (No se recomienda que se actualice en una empresa paulatinamente, por ejemplo el software, cuadros estadísticos, es recomendable dentro de un año cambiarlo, todo lo que es máquinas y software; por que si no realizaríamos esto, se cambiaría toda la estructura organizacional de la misma).

    Reestructuración Organizacional: (Puede ser una reestructuración con los mismos puestos)
    Una reestructuración organizacional con cualquier empresa, implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la burocracia, agilitar trámites o procesos, la reestructuración puede ser de varios tipos, así por ejemplo. Aumentar o disminuir departamentos, puestos, reestructuración de objetivos, etc. Siempre la reestructuración afecta a los sistemas de información de la empresa.

    Revisión y Valorización del escalafón: (No es para bien si no también para mal)
    La revisión y la revalorización del escalafón se espera que afecte a favor de los sistemas de información de las empresas, si el efecto es contrario el auditor informático deberá emitir un informe del empleado a los empleados (Específicamente de departamentos), que están boicoteando la información de la empresa.

    Cambios en el flujo de Información: (Datos para el sistema de Información)
    Se refiere al cambio de flujo de datos exclusivamente en el área informática, esto afecta directamente en sistema informático y por tanto al sistema de información. En lo que respecta a la Auditoría informática, el efecto puede ser positivo y negativo, dependiendo a los resultados obtenidos en cuanto al proceso de datos (menos seguridad, mas seguridad, backup).
    Publicado por en No hay comentarios:

    Sistemas de Información y su Alcance

    Se entiende por un sistema de información al conjunto de normas, procedimientos y demás parámetros que forman la información general de una empresa o institución.
    En un sistema de información se pueden visualizar algunos componentes tales como:

    • El nombre del sistema
    • Nombre de macros del sistema
    • Software base
    • Lenguajes de programación
    • Paquetes
    • Unidades o departamentos que utilizan la información
    • Volúmenes de archivos que se utilizan diariamente (Semanal, mensual, etc.)
    • Requerimientos mínimos de los equipos (En muchos de los casos sí es un software)
    • Fechas críticas
    • Ingreso de información
    • Flujo de información
    • Egresos de información 
    Publicado por en No hay comentarios:

    Tipos y Clases de la Auditoria de Sistemas

    Auditoria Informática De Explotación

    La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, ordenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad.


    Auditoria Informática De Desarrollo De Proyectos O Aplicaciones

    La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:
    • Prerrequisitos del usuario y del entorno
    • Análisis funcional
    • Diseño
    • Análisis orgánico (preprogramación y programación)
    • Pruebas
    • Explotación
    Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la máquina, los resultados sean exactamente los previstos y no otros.

    Auditoria Informática De Sistemas

    Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema.


    Auditoria Informática De Comunicación Y Redes 

    Este tipo de auditoria deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización.


    Auditoria De La Seguridad Informática

    Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.
    Publicado por en No hay comentarios:

    Auditoría Interna y Auditoría Externa

    Auditoría Interna

    Existe por expresa decisión de la empresa, es decir que también se puede optar por su disolución en cualquier momento.

    Auditoría Externa

    Es realizada por personas afines a la empresa se presupone una mayor objetividad que en la auditoria interna debido Al mayor distanciamiento entre auditor y auditado.
    La auditoria informática tanto interna como externa debe ser una actividad exenta de cualquier contenido o matiz político ajena a la propia estrategia y política general de la empresa.
    Publicado por en No hay comentarios:

    Auditar

    Es el conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informáticas y gener5ales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.
    Al igual que los demás órganos de la empresa los sistemas informáticos están sometidos a un control. La importancia de llevar un control, se puede deducir de varios aspectos, así tenemos:
    • Las computadoras y los centros de procesos de datos se pueden convertir en blancos apetecibles no solo para el espionaje no para la delincuencia y el terrorismo.
    • Las computadoras creadas para procesar y difundir resultados pueden en cierto momento generar resultados o información errónea (Virus, tc). (La máquina suele arrojar resultados erróneos cuando es alimentada con datos erróneos).
    • Un sistema informático mal diseñado puede convertirse en una herramienta peligrosa para la persona, puesto que las máquinas obedecen las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los sistemas de información, por lo tanto la gestión y la organización de la empresa no pueden depender de un SOFTWARE o un HARDWARE mal diseñado.
    Publicado por en No hay comentarios:

    Papel del Auditor Informático

    La auditoria informática comprende las tareas de evaluar, analizar los procesos informáticos, el papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas.
    Además que auditor Informático debe estar capacitado en los siguientes aspectos:
    • Deberá ver cuando se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones mas idóneas, según los problemas detectados en el sistema informático, siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos. (Ej. Por que está mal el reporte)
    • Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos, aconsejables y óptimos para su adecuación con la finalidad de que cumpla para lo que fue diseñado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos.
    • El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases científicas insuficientemente probadas o de imprevisible futuro.
    • El auditor al igual que otros profesionales (Ej. Médicos, abogados, educadores, etc.) pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía, dado la dificultad práctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos técnicos existente entre al auditor y los auditados (Puede pesar gravemente).
    • El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarse realizar hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes.
    • Cuando durante la ejecución de la auditoria, el auditor considere conveniente recabar informe de otros mas calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo en idóneas condiciones deberá remitir el mismo a un especialista en la materia o recabar su dictamen para reforzar la calidad y viabilidad global de la auditoria.
    • El auditor debe actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada sobre nuevas tecnologías a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado. (Si conocemos alguna tecnología de primer orden debemos tener un cierto grado de humildad, que no se salga de la realidad [decir que ya sabemos esto...].
    • El auditor tanto en sus relaciones con el auditado como con terceras personas deberá en todo momento, deberá actuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en el trato personal. (Que en todo momento, como cuando estamos en el bar, cafetería, o fiesta por que los auditores tienen la responsabilidad)
    • El auditor deberá facilitar e incrementar la confianza de auditado en base a una actuación de transparencia, en su actividad profesional sin alardes científico- técnico, que, por su incomprensión, pueden restar credibilidad a los resultados obtenidos y a las directrices aconsejadas.
    Publicado por en No hay comentarios:
    Suscribirse a: Entradas (Atom)