1. AUDITORÍA INFORMÁTICA
Realizado por:
Br. Juan prieto C.I:18.396.532
MARACAIBO, 18 DE OCTUBRE DE 2015
REPUBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR
INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
AMPLIACIÓN MARACAIBO
AUDITORÍA Y EVALUACIÓN DE SISTEMAS
2. INTRODUCCIÓN
A finales del siglo XX, los Sistemas Informáticos se han constituido en las
herramientas más poderosas para materializar uno de los conceptos más vitales y
necesarios para cualquier organización empresarial, los Sistemas de Información
de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y
por eso las normas y estándares propiamente informáticos deben estar, por lo tanto,
sometidos a los generales de la misma. En consecuencia, las organizaciones
informáticas forman parte de lo que se ha denominado el "management" o gestión
de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa,
ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su
importancia en el funcionamiento de una empresa, existe la Auditoría Informática.
El término de Auditoría se ha empleado incorrectamente con frecuencia ya
que se ha considerado como una evaluación cuyo único fin es detectar errores y
señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como
sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían
detectado fallas.
El término de Auditoria se ha empleado incorrectamente con frecuencia ya
que se ha considerado como una evaluación cuyo único fin es detectar errores y
señalar fallas auditoría proviene del latín auditorius, y de esta proviene la palabra
auditor
La Informática es la gestión integral de la empresa, y por eso las normas y
estándares informáticos deben estar sometidos a la empresa debido a su
importancia en el funcionamiento de una empresa, existe la Auditoria Informática.
Debe comprender la evaluación de los equipos de cómputo en conjunción con un
sistema evaluando entradas, procedimientos, controles, archivos, seguridad y
obtención de información en cuanto a procedimientos en específico ya que
proporciona los controles necesarios para que los sistemas sean confiables y con
un buen nivel de seguridad.
3. La auditoría informática es un proceso llevado a cabo por profesionales
especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los
fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes
y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los
recursos y los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos, identificando
necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de
información eficientes.
Alcance de la auditoria informática:
Establece el entorno y los límites en que va a desarrollarse la auditoria
informática expresando un informe final determinando los puntos a los que se ha
llegado así como las materias fronterizas que han sido omitidas.
Características de la auditoria informática:
La información para las empresas siendo un activo primordial y también sus
materias primas protegiéndose de manera global abarcando la auditoria de
inversión informática así como la auditoria de seguridad concluyendo con la
auditoria de organización informática.
Tipos y clases de auditoria
- Auditoria de una dirección informática y seguridad así como las áreas
generales las cuales se encargan de la explotación de sistemas de
comunicaciones así como del desarrollo de proyectos.
- Auditoria informática de explotación: Produce resultados en cuanto a listados
impresos, ficheros, ordenes automatizadas, teniendo como materia los datos
que es necesario transformar sometiéndose a controles de integridad y
seguridad, dividiéndose en 3 grandes áreas:
Planificación, producción y soporte técnico, de las cuales se desglosan
diversos grupos como lo son:
4. Control de entradas: analizando la captura de información en soporte
compatible con los sistemas.
Planificación y recepción de aplicaciones: se encarga de auditar las
normas de entrega de aplicaciones por parte del desarrollo verificando su
cumplimiento y su calidad de interlocutor único.
Centro de control y seguimiento de trabajos: analiza cómo se prepara,
lanza y se sigue la producción diaria ejecutando procesos en tiempo real.
Los objetivos de la auditoría Informática son:
- El análisis de la eficiencia de los Sistemas Informáticos
- La verificación del cumplimiento de la Normativa en este ámbito
- La revisión de la eficaz gestión de los recursos informáticos.
También existen otros tipos de auditoria:
- Auditoria operacional: se refiere a la revisión de la operación de una
empresa y juzga la eficiencia de la misma.
- Auditoria administrativa: se refiere a la organización y eficiencia de la
estructura del personal con la que cuenta el personal y los procesos
administrativos en que actúa dicho personal.
- Auditoria social: se refiere a la revisión del entorno social en que se ubica
y desarrolla una empresa, con el fin de valorar aspectos externos e
internos que interfieren que interfieran en la productividad de la misma.
Sus beneficios son:
Mejora la imagen pública.
Confianza en los usuarios sobre la seguridad y control de los servicios de
TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos,
entre otros).
5. Genera un balance de los riesgos en TI.
Realiza un control de la inversión en un entorno de TI, a menudo
impredecible.
La auditoría
informática sirve para mejorar ciertas características en la empresa como:
- Desempeño
- Fiabilidad
- Eficacia
- Rentabilidad
- Seguridad
- Privacidad
Generalmente se puede desarrollar en alguna o combinación de las siguientes
áreas:
- Gobierno corporativo
- Administración del Ciclo de vida de los sistemas
- Servicios de Entrega y Soporte
- Protección y Seguridad
6. - Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el
ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores
prácticas como COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information
Systems Auditor es una de las más reconocidas y avaladas por los estándares
internacionales ya que el proceso de selección consta de un examen inicial bastante
extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para
no perder la certificación.
Auditoria informática de desarrollo de proyectos y aplicaciones:
Basada en 4 aspectos importantes:
1. Revisión de la metodología utilizada
2. Control interno de las aplicaciones
3. Satisfacción del usuario
4. Control de procesos y ejecuciones de programas críticos
Auditoria informática de sistemas:
Analiza la actividad técnica de los sistemas en todas sus facetas las cuales son:
1. Sistemas operativos
2. Sw básico
3. Sw de tele proceso(tiempo real)
4. Tunning (técnicas de observación encaminadas a la evaluación)
5. Administración de base de datos (diseño de bd)
Auditoria informática de comunicación y redes:
7. Se encarga de la revisión de la topología de red y determinación de posibles
mejoras análisis de caudales y grados de utilización
Auditoria de seguridad informática:
1. Seguridad lógica (basándose en el uso de su protección de datos procesos,
programas y autorizando accesos de usuario)
2. Seguridad física (abarca la protección del hardware así como sus
instalaciones)
Herramientas y técnicas para la auditoria informática
1. Cuestionarios(ya que es necesario la recabacion de información y
documentación de todo tipo)
2. Entrevistas(siendo una de las actividades personales más importantes del
auditor en el cual se recoge información mejor matizada)
3. Chicklist (tiene en claro que necesita saber y él porque)
4. Trazas y/o huellas (debe verificar el funcionamiento de los programas en
cuanto a sus funciones precisas)
5. Sw de interrogación (obteniendo muestreos estadísticos el cual permitirá la
obtención de consecuencias e hipótesis de la situación real de la
instalación)
8. CONCLUSIÓN
Principalmente, con la realización de este informe, la principal conclusión a
la que se ha podido llegar, es que toda empresa, pública o privada, que posean
Sistemas de Información medianamente complejos, deben de someterse a un
control estricto de evaluación de eficacia y eficiencia.
Hoy en día, el 90 por ciento de las empresas tienen toda su información
estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas
de información funcionen correctamente.
La empresa hoy, debe/precisa informatizarse, el éxito de dicha empresa
depende de la eficiencia de sus sistemas de información. Una empresa puede tener
un staff de gente de primera, pero tiene un sistema informático propenso a errores,
lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa
nunca saldrá a adelante.
En cuanto al trabajo de la auditoría en sí, podemos remarcar que se precisa
de gran conocimiento de Informática, seriedad, capacidad, minuciosidad y
responsabilidad; la auditoría de Sistemas debe hacerse por gente altamente
capacitada, una auditoría mal hecha puede acarrear consecuencias drásticas para
la empresa auditada, principalmente económicas.