Panorama Sociodemográfico de México 2020: GUANAJUATO
Auditoria de Sistemas
1. República Bolivariana de Venezuela
Ministerio del Poder Popular para la Educación Superior
U.E.P Universidad Bicentenaria de Aragua
Facultad de Ingeniería
Escuela de Ingeniería de Sistemas
San Joaquín de Turmero, Estado Aragua
Generalidades y Fundamentos de la Auditoría de Sistemas
Joalbert Milano
CI: 28284934
Julio Mora
CI:27707301
Jose Camacho
CI:29598263
Anthony Encizo
CI:22285340
Walter Bortone
CI:27536990
Luis Monserrate
CI:28187048
Jesus Vicci
CI:28290469
Jean Nobile
CI:25607099
Ricardo Leañez
CI:30012218
3. Introducción
La auditoría de sistemas se ha convertido en un requisito fundamental en el sector
empresarial desde hace unas décadas, esto es gracias a las ventajas que esta ofrece
frente a los distintos problemas y situaciones que se pudieran presentar en dicho
sector.
Es necesario una auditoria de sistemas ya que en el mundo o en las empresas se
manejan miles de datos a través de internet que pueden ser capturados por
atacantes de sombrero negro o hacktivistas para un fin. La auditoría de sistemas no
solo se encarga de garantizar el funcionamiento de los sistemas informáticos, si no
que también, el auditor del sistemas tiene que tener las habilidades para
proporcionarle seguridad adicional a estos sistemas de información. También los
auditores tienen que ser capaces de que los sistemas tengan un plan de respaldo en
caso de alguna contingencia. Estos y muchos factores han permitido que esta área
sea muy importante en su actualidad
Un concepto muy usado es el “CID”. El CID significa
1. C = Confidencialidad (Encriptación de los datos)
2. I = Integridad (Garantiza la no modificación de los datos)
3. D= Disponibilidad (Los datos o servicios tienen que estar disponibles por la
regla de los cinco nueves “99,999%”)
El CID es un concepto básico de los sistemas que generalmente tienen estas 3
premisas. Estas tres premisas son importantes para cualquier sistema de
información.
4. Desarrollo
¿Que es la Auditoría de Sistemas?
La auditoría de sistemas supone la revisión y evaluación de los controles y sistemas de
informática, así como su utilización, eficiencia y seguridad en la empresa, la cual procesa la
información. Gracias a la auditoría de sistemas como alternativa de control, seguimiento y
revisión, el proceso informático y las tecnologías se emplean de manera más eficiente y
segura, garantizando una adecuada toma de decisiones.
En definitiva, la auditoría de sistemas consiste en:
La verificación de controles en el procesamiento de la información e instalación de
sistemas, con el objetivo de evaluar su efectividad y presentar también alguna
recomendación y consejo.
Verificar y juzgar de manera objetiva la información.
Examen y evaluación de los procesos en cuanto a informatización y trato de datos se
refiere. Además, se evalúa la cantidad de recursos invertidos, la rentabilidad de cada
proceso y su eficacia y eficiencia.
Todos los sistemas de información tienen que tener una persona (auditor) que haga las
pruebas de vulnerabilidad para ver de que manera el sistema puede ser penetrado. El auditor
junto a un profesional de ciberseguridad tienen que garantizarle a la empresa que los
sistemas tengan la regla de los cinco nueves (99.999%) de disponibilidad de los datos y
servicios que dicha empresa provee. Para estos tenemos algunas técnicas que un auditor
utiliza en para probar un sistema de información.
5. Desarrollo
Principales pruebas y herramientas para efectuar una auditoria
Pruebas principals
Pruebas Sustantivas: Verifican la confiabilidad del SO. La confiabilidad se refiere a
que los datos van a estar encriptados para viajar a traves de un medio como internet o
cualquier otro (Via microondas, tuneles VPN, etc.). Se suelen obtener mediante
observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y
conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
Con integridad nos referimos a que los datos no se alteren cuando lleguen a su destino
Pruebas de Cumplimiento: Verifican el grado de cumplimiento de lo revelado
mediante el análisis de la muestra. Proporciona evidencias de que los controles claves
existen y que son aplicables efectiva y uniformemente.
6. Desarrollo
Pasos para realizar una Auditoría
Establecer cuáles son los objetivos que tiene la empresa, hacia dónde quiere llegar y
para tener la capacidad de hacer más eficiente el sistema al cumplir su objetivo.
Realizar un inventario con todos los puntos elaborados. Este inventario nos servirá
para llevar a cabo una planificación en la cual debemos fijarnos en cómo vamos a
estudiar cada uno de esos puntos para que siempre ofrezcan el mejor rendimiento
posible.
Identificar posibles incidencias que nos hemos encontrado a lo largo de todo el
análisis y los riesgos a los que está expuesto el sistema que pueden impedir su buen
funcionamiento.
Por último, poner en marcha todas las técnicas y métodos necesarios para resolver
los problemas que hayan ido apareciendo durante el análisis del sistema y así poder
dar una solución prácticamente inmediata.
Estos pasos no son estandarizados, son algunas de las mejores practicas que un auditor
de sistemas de información puede llevar a cabo.
Básicamente el auditor del sistema realiza un escaneo del sistema de información para
detectar vulnerabilidades, errores de programación, para tomar medidas y corregir estas
fallas.
7. Desarrollo
Tipos de Auditoría de Sistemas
Auditoría a la Gestion Informatica: Actua con mecanismos de mantenimiento,
desarrollo, instalación y explotación de un sistema computacional. Tambien tiene un
enfoque a la revision de las funciones y actividades administrativas. Un ejemplo de
estos son un grupo de IT que se encargen en el mantenimiento de los activos dentro de
una empresa.
Auditoría del Sistema de computo: Se basa en el correcto funcionamiento de los
equipos computacionales, incluyendo tanto hardware como software.
Auditoría de los Sistemas de Redes: Esto se basa en la auditoria de la red de una
empresa, tomando como premisa equipos, topologia, arquitectura, protocolos de capa
dos hasta capa siete, privilegios otorgados por servidores AAA, administradores de la
red, entre otros.
Auditoría alrededor de la computadora : Se encarga de evaluar todos los aspectos
que influyen en el correcto funcionamiento de un sistema y sus actividades, sin
recurrir a la parte técnica
8. Desarrollo
Objetivos de la Auditoría de Sistemas
Mejorar la relación costo-beneficio de lo sistemas de información
Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas
informatizados.
Garantizar la confidencialidad e integridad a través de sistemas de seguridad y
control profesionales
Minimizar la existencia de riesgos, tales como virus o hackers, por ejemplo.
Optimizar y agilizar la toma de decisiones.
Localizar estafas que estén ocurriendo en la organización.
Corroborar la legitimidad de los productos y/o servicios.
Encontrar posibles fallas técnicas que se estén haciendo.
Analizar si la manera de trabajo de la organización es eficiente.
Campos de la Auditoria de Sistemas
Evaluación administrativa del área de informática.
Evaluación de sistemas y procedimientos.
Evaluación del procesamiento de datos, sistemas y equipos de cómputo.
Seguridad y confidencialidad de la información.
9. Conclusión
La auditoría de sistema es el estudio que se encarga de analizar los diferentes
tipos de sistema informáticos, y como estos procesan y gestionan los datos, con la
finalidad de mejorar el rendimiento y la calidad del producto final, permitiendo a
las empresas mejorar en aspectos como:
La fiabilidad
La seguridad
La privacidad
La rentabilidad
El desempeño
Este estudio se centra en el tratamiento de datos y procesos de los diferentes
sistemas teniendo como objetivo los siguientes puntos:
La gestión las funciones informáticas
El análisis del rendimiento de los sistemas informáticos
El análisis de la seguridad en el entorno informático
La administración de los recursos de los sistemas informáticos
El estudio de los diferentes planes de contingencia en caso de algún problema o
falla.
Por último, cabe destacar, que la auditoria de sistemas abarca diferentes
campos, que van desde la evaluación administrativa del área de informática, a la
evaluación de los sistemas y sus procesos realizando en los diferentes equipos de
cómputos, así como la seguridad e integridad de dichos sistemas frente ataques o
amenazas potenciales, por lo que se ha convertido en un elemento indispensable en
el desarrollo de las organizaciones y en su desenvolvimiento en el día a día.
10. Recomendación
Desde un punto de vista empresarial, la auditoria de sistemas es muy
importante porque muestra como un auditor tiene la capacidad de resolver los
problemas en base a los activos de la empresa. Podemos decir que el principal
objetivo de la auditoría es la seguridad de transferencia de los datos dentro de una
organización ya que hoy en día los datos son vulnerables a daños hechos por los
hackers de sombrero negro.
Es de vital importancia que todos los sistemas cuenten con las premisas CID,
Confidencialidad, integridad y disponibilidad, ya que gracias a esto las
organizaciones y los clientes de la misma puedan confiar plenamente en los servicios
que esta ofrece.
Hoy en día muchas empresas están en la búsqueda intensiva de profesionales
de ciberseguridad e auditores de sistemas, ya que los hackers siempre están
desarrollando software para penetrar las vulnerabilidades dentro de un sistema, por
esto queremos dar un reconocimiento a las empresas que invierten en ciberseguridad
y en equipos de seguridad dentro de sus sistemas, ya que hoy en día es muy
importante.
Por último, la recomendación para las organizaciones es siempre actualizar los
SO de los equipos, mantener los sistemas al día, usar analizador de paquetes que se
procesan dentro de la red (Wireshark), contar con Firewalls próxima generación,
sistemas de prevención de intrusos (IPS), sistemas de detección de intrusos (IDS),
servidores de autenticación tanto para los administradores de los equipos y los
servicios de red (AAA) y contar con la seguridad de los equipos físicos dentro de la
organización, ya que la mayoría de los ataques ocurren dentro de la misma
organización.