Tipos de auditoría

informática

De Desarrollo de
De De Sistemas De De Seguridad
proyectos o
Explotación Comunicaciones Informática
aplicaciones
y redes

Audita los Se realiza una revisión del Se encarga de analizar Abarca

Consiste en el
resultados proceso completo de desarrollo la actividad que se
informáticos
análisis del  Seguridad
de proyectos por parte de la conoce como Técnica de entramado Física
producidos en la empresa auditada y su análisis sistemas en todas sus conceptual que
explotación se basa en 4 aspectos como lo facetas: Protección del
constituyen las
informática como: son: Hardware y los
 Sistemas operativos redes nodales,
líneas, procesos de datos
Listados Impresos,  Revisión de las
Ficheros metodologías  Software Básico concentradores,
 Seguridad
soportados utilizadas multiplexores, redes
Lógica
magnéticamente y  Software de locales, etc., soporte
órdenes  Control interno de las Teleproceso físico-lógico del
Protección del
automatizadas aplicaciones tiempo real
software, datos,
 Tunning procesos y
 Satisfacción de programas
usuarios  Optimización de los
Ejemplo: sistemas y
Ejemplo:
Procesamiento de  Control de procesos y subsistemas
Ejemplo:
información o ejecuciones de Analizar la
datos programas críticos  Administración de configuración de Gestión de
base de datos los equipos de
redes
cada nodo y de
Ejemplo: los medios de mediante
Ejemplo: Analizar el software
transmisión software y
y las bases de datos aplicación de
Gestión de de una red cableado
proyectos de
investigación estructurado
 TIPOS Y CLASES DE AUDITORIAS INFORMÁTICAS

1. Dentro de las áreas generales, es posible establecer las siguientes divisiones:

a) Auditoria Informática de Explotación

b) Auditoria Informática de Sistemas
c) Auditoria Informática de Comunicaciones
d) Auditoria Informática de Desarrollo de Proyectos
e) Auditoria Informática de Seguridad

2. Debe evaluarse la diferencia entre la generalidad y la especificación que posee en la Seguridad. Según ella,
realizar una Auditoria Informática de la Seguridad del entorno global de la informática, mientras en otros casos
puede auditarse una aplicación concreta, en donde será necesario analizar la seguridad de la misma. Cada Área
específica puede ser auditada con los criterios que detallamos:

a) Desde su propia funcionalidad interna.

b) Con el apoyo que recibe de la Dirección, y en forma ascendente, del grado de cumplimiento de las
directrices de que ésta imparte.

c) Desde la visión de los usuarios, destinatarios verdaderos de la informática.

 d) Desde el punto de vista de la seguridad, que ofrece la Informática en general o la rama auditada; las
combinaciones descritas pueden ser ampliadas o reducidas, según las características de la empresa
auditada. Las Auditorias más usuales son las referidas a las actividades específicas e internas de la propia
actividad informática.

a) AUDITORIA INFORMATICA DE EXPLOTACION

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo:
 listados impresos
 archivos magnéticos para otros informáticos
 órdenes automatizadas para lanzar o modificar procesos industriales

Para realizar la Explotación informática se dispone de materia prima los Datos, que es necesario transformar, y
que se someten previamente a controles de integridad y calidad. La transformación se realiza por medio del
Proceso Informático, el cual está dirigido por programas. Obtenido el producto final, los resultados son sometidos
a controles de calidad, y finalmente son distribuidos al cliente, al usuario. En ocasiones, el propio cliente realiza
funciones de reelaboración del producto terminado.

3. Los datos y la información generada en las empresas a día de hoy son infinitos.
La información que se procesa y trata dentro de una empresa es incalculable. Las empresas, cada vez en mayor
medida, necesitan la tecnología para trabajar, precisando complejos softwares y equipos informatizados para
desarrollar su actividad de manera optimizada y eficiente.
Esa presencia imperante de softwares y tecnología, provoca la necesidad de la auditoría de sistemas.
b) LA AUDITORÍA INFORMATICA DE SISTEMAS

Tiene como principal objetivo validar la integridad de la información y datos almacenados en las bases de datos
de los sistemas de información y su procesamiento. Se trata de uno de los tipos de auditoría que van más allá
del factor económico.
La auditoría de sistemas supone la revisión y evaluación de los controles y sistemas de informática, así como
su utilización, eficiencia y seguridad en la empresa, la cual procesa la información. como alternativa de control,
seguimiento y revisión, el proceso informático y las tecnologías se emplean de manera más eficiente y segura,
garantizando una adecuada toma de decisiones.
 En definitiva, la auditoría de sistemas consiste en:

 La verificación de controles en el procesamiento de la información e instalación de sistemas, con el objetivo

de evaluar su efectividad y presentar también alguna recomendación y consejo.
 Verificar y juzgar de manera objetiva la información.
 Examen y evaluación de los procesos en cuanto a informatización y trato de datos se refiere. Además, se
evalúa la cantidad de recursos invertidos, la rentabilidad de cada proceso y su eficacia y eficiencia.

Siendo concluyente podemos decir que el análisis y evaluación realizados a través de la auditoría de
sistemas debe ser objetivo, crítico, sistemático e imparcial. El informe de auditoría final deberá ser un claro
ejemplo de la realidad de la empresa en cuanto a los procesos y la informatización se refiere, para tomar mejores
decisiones y mejorar en el negocio.
c) AUDITORIA INFORMÁTICA DE COMUNICACIONES

Atendiendo algunos comentarios y proyectando varios análisis de muchas fuentes se puede llegar decir que
existen infinidad de vulnerabilidades en la estructura de la red interna de una empresa las cuales deben ser
corregidas al máximo.
Mediante esta Auditoría, se comprobará si una red es segura frente a posibles ataques y cuál es el nivel de
seguridad, se utilizan ampliamente para evaluar el tipo y extensión de las vulnerabilidades de sistemas y redes.
Se debe elaborar un informe detallado acerca del estado actual de la seguridad perimetral de la red y le
proporcionarlo con las soluciones de seguridad a corto y medio plazo para eliminar los problemas de seguridad
detectados.

 AUDITORIA DE SEGURIDAD WEB

Se debe realizar un test de intrusión a la web, tanto al servidor como a la aplicación. Una vez realizado el test,
elaborar un informe de análisis para la corrección de los posibles fallos. Periódicamente, se realizará otro test
para evaluar los cambios producidos y analizar posibles vulnerabilidades que no se hayan corregido
anteriormente.

 AUDITORIA DE SEGURIDAD PERIMETRAL

Se requiere desarrollar un ataque perimetral desde el exterior intentando acceder a la red interna y
sobrepasando las barreras de seguridad. De este modo, las vulnerabilidades que puedan existir quedarán a
la vista para su corrección.
Elaborar un informe con las soluciones de seguridad a corto y medio plazo que mejor se adapten a su empresa
según los problemas encontrados.
 AUDITORIA DE SEGURIDAD INTERNA
Analizar los riesgos internos mediante un test de intrusión dentro de la LAN. De este modo, ningún miembro
interno de la empresa podrá violar la seguridad de la misma ni acceder a datos confidenciales, protegiendo el
sabotaje y el robo de información; proporcionando un informe y analizando los errores y todas las posibles
soluciones a los fallos de seguridad encontrados. Con el fin de proteger la autenticidad, control de accesos,
integridad y confidencialidad de cualquier empresa.
d) AUDITORIA INFORMÁTICA DE DESARROLLO DE PROYECTOS
El área de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la Auditoria informática. Indicando
inmediatamente que la función de Desarrollo es una evolución del llamado Análisis y Programación de
Sistemas y Aplicaciones, término presente en los últimos años. La función Desarrollo engloba a su vez
muchas áreas, tantas como sectores informatizarles que tiene la empresa.

Muy escuetamente, una Aplicación recorre las siguientes fases:

 Prerrequisitos del Usuario (único o plural), y del entorno

 Análisis funcional

 Análisis orgánico. (Pre programación y Programación)

 Pruebas

 Entrega a Explotación y alta para el Proceso

Se deduce fácilmente la importancia de la metodología utilizada en el desarrollo de los Proyectos informáticos,

debe ser semejante al menos en los Proyectos correspondientes a cada área de negocio de la empresa,
aunque preferiblemente debería extenderse a la empresa en su conjunto; en caso contrario, además del
aumento significativo de los costos, podrá producirse fácilmente la insatisfacción del usuario, si éste no ha
participado o no ha sido consultado periódicamente en las diversas fases del mismo, y no solamente en la
fase de prerrequisitos y finalmente, la Auditoria informática deberá comprobar la seguridad de los programas,
en el sentido de garantizar que los ejecutados por la máquina son totalmente los previstos y no otro, u na
razonable Auditoria informática de Aplicaciones pasa indefectiblemente por la observación y el análisis de
estas consideraciones

 Revisión de las metodologías utilizadas; se analizarán éstas, de modo que se asegure los
módulos de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las
mismas.

 Control Interno de las Aplicaciones

e) AUDITORIA INFORMÁTICA DE SEGURIDAD
Consiste en identificar vulnerabilidades que podríamos encontrar en los equipos de trabajo, servidores, red,
etc. Mediante las auditorías se conoce cuál es la situación de los activos de información de las organizaciones
en cuanto control y protección, redactando informes que son presentados a los responsables de las
organizaciones para tomar las medidas oportunas. Debemos comprender la importancia que tiene la
SEGURIDAD EN LOS CENTROS DE PROCESOS DE INFORMACION, debido a que es en este pequeño,
pero gran mundo criptográfico donde permanece toda la unidad de información de una empresa; para ello
requerimos desglosar los 2 contextos, así:

 SEGURIDAD FISICA
la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como
medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". En un
centro informático. Y se refiere a los controles y mecanismos de seguridad dentro y alrededor, así como
los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de
almacenamiento de datos.
Para garantizar que los proceso y el sistema funcione y que la información está protegida y agrupándolos
de la siguiente manera.

 Factor Humano
o Al mencionar seguridad de un centro informático, la probabilidad es que en pensemos en
sabotaje, espionaje o robo de datos. Si bien la necesidad de protección contra intrusos y daño
intencional que estos podrían causar son obvios, los peligros derivados de la actividad del
personal que trabaja en el centro de datos representan un riesgo cotidiano más importante del
centro informático. Aun, si bien las nuevas tecnologías de seguridad pueden parecer exóticas e
inescrutables. Lectores de huellas digitales y de mano, tarjetas inteligentes, geometría facial. El
objetivo de seguridad subyacente, que no cambió desde que las personas comenzaron a tener
cosas para proteger, nos resulta sencillo y familiar y determinaríamos tres aspectos:

 Identidad personal
 Motivo para estar allí
 Necesidad de conocimiento.

 Mecanismos
o Se puede decir que los elementos básicos en un centro informático y de sistemas seria:
o Detector de Incendios, los cuales utilizan analizadores precoces de partículas de humo,
que actúan cuando comienza un posible cortocircuito y avisan al operador a través de la
central de incendios del BMS. Aparte, se deben ubicar elementos de extinción.
o Todo componente al interior del centro informático debe ser ignífugo, desde el piso falso
hasta los conductores que alimentan eléctricamente los racks o los UPS.
 SEGURIDAD LOGICA
involucra todas aquellas medidas establecidas por la administración usuarios y administradores de
recursos para minimizar los riesgos asociados con sus operaciones cotidianas. podríamos decir que
tenemos varios aspectos importantes a seguir,

 Objetivos de la Seguridad Lógica

o Verificación de restricciones al acceso de los programas y archivos
o Optimizar los operadores para que pueda trabajar sin una supervisión minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
o Asegurar que se estén utilizando datos, archivos, programas y procedimiento correctos
o La información transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro.