Reconocer las distintas clasificaciones de auditoría y los distintos tipos de auditoría
informática.
DESARROLLO:
1) Considere la siguiente definición de alcance y objetivos de una auditoría:
El alcance de la auditoría consistirá en la revisión de controles y procesos
relacionados con los proveedores de servicios de TI. Los controles, actividades y documentos para nuestra revisión se detallan a continuación:
• Políticas y procedimientos de proveedores de servicios de TI.
• Levantamiento de todos los proveedores de servicios de TI. • Revisión de contratos de proveedores de servicios de TI. • Revisión de los procedimientos de evaluación de los proveedores de servicios de TI. • Evaluación de los controles sobre los proveedores de servicios de TI (seguridad de la información y continuidad de operaciones). • Revisión de reportes enviados por los proveedores de servicios de TI a la Administración respecto al cumplimiento de sus SLA (Service Level Agreements*).
De acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática
se está aplicando. Justifique su respuesta.
R: Con la finalidad de ahondar un poco en el tema, debemos considerar que una
auditoría de Sistemas o Auditoría TI, se acerca a los sistemas, las operaciones y las prácticas de información de una organización, con la finalidad de determinar si el sistema de TI mantiene la integridad de los datos y opera de manera eficiente para cumplir con los objetivos de la organización.
Para en caso en mención de la pregunta, nos enfrentamos a una Auditoría de Gestión,
la que en palabras simples (Para no ser textual a la definición del manual en la página 8 de la semana 1), es la que se ocupa de proteger los activos y mantener la integridad de los datos y la eficiencia operativa. Además, una auditoría de calidad, es la que ayuda a una corporación, garantizar el cumplimiento de los requisitos o estándares reglamentarios como de igual forma a los llamados “Conjunto de normas sobre calidad y gestión de calidad ISO” . El uso de un sistema de software de gestión de auditoría de TI es una forma más eficiente de realizar estas auditorías.
2) A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la
auditoría informática y la auditoría general (financiera, operativa).
Los informe los cuales se entregan como observaciones y sugerencias
SEMEJANZAS
1 (Dentro del área que está siendo auditada).
Revisión de documentación en función de lo aditado, Ejemplo,
2 documentos de ventas, compras, libros diarios, etc. ÍTEMS Auditoría Informática Auditoría (Financiera, Operativa) Es ni más ni menos que una La auditoría es el examen detallado herramienta más, que de los informes financieros de una gestiona el control y flujo de organización y se utiliza para la información en una proporcionar a todas las partes empresa. Además la interesadas la confianza de que los 1 herramienta, es de utilidad informes contables de la DIFERENCIAS
sirven para monitorear organización son precisos.
cualquier actividad individual torno a los accesos y uso de la información.
Evaluación de los procesos Evalúa todos los elementos que se
que existen en una relacionen con la eficiencia en torno corporación, desde la vista a la productividad en las 2 que tengan que ver con el operaciones en una empresa.Del área TI. mismo modo evalúa a toda la organización como una unidad.
3) Considere los siguientes enunciados:
• “La política definida por la dirección de informática establece que todo
usuario de la empresa, que tenga acceso a los sistemas informáticos que son explotados por la misma, deberán realizar cambios periódicos de sus claves de acceso”. R: Respecto al enunciado anterior, es posible reconocerlo como “Control Preventivo”. Lo anterior a consecuencia que las políticas de una corporación es salvaguardar la integridad de la información que mantiene en sus sistemas de información, toda vez que en la actualidad, en una era netamente digital, existen más vulnerabilidades que permiten fugas de información.
• “La política de seguridad de la compañía establece la utilización de
software de control de acceso que permita que solo el personal autorizado tenga acceso a archivos con información crítica”. R: De a cuerdo a lo expuesto tanto en la semana como en lo indicado en el caso anterior, podemos definirlo como un “Control Detectivo”, pese que igualmente podría ser un control del tipo preventivo, para éste caso, es posible usarlo como sistema de información para verificar o auditar, cada uno de los procesos que realizan los trabajadores, con la finalidad de conocer de forma fehaciente los procesos en que se encuentran involucrado cada uno de los trabajadores que disponen acceso a la información “Crítica” de la compañía.
• “El instructivo de funcionamiento de la empresa Compus Limitada
determina que el administrador de base de datos es el encargado de realizar los respaldos de todas las bases en el ambiente productivo, del tipo incremental una vez por día, y del tipo full una vez a la semana”. R: Es claro conforme a lo estudiado durante la semana, que al catalogar con el ejemplo de “Procedimiento de Respaldo de Información”(Pág10), lo encasilla como tipo de control correctivo, debido a que éste tipo de controles se encuentran diseñados para mitigar o limitar el impacto potencial de un evento de amenaza(perdida de información en este caso) una vez que ha ocurrido y recuperarse a las operaciones normales.
De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo,
detectivo, correctivo) los procesos descritos en los puntos a, b y c. Reconozca las características presentes en cada párrafo que justifiquen su elección.
4) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de
usuarios en el sistema SAP pertenecientes a personal desvinculado de la compañía”. ¿Qué medidas de control interno deberían aplicarse para corregir la situación planteada? Fundamente su respuesta. R: Una ejemplificación típica de las grandes empresas son problemáticas gatillantes de fuga de información. Creo que acá el Control Interno es portante que se haga ver y notar. Debemos considerar que el mantener una “Auditoría de la Seguridad Lógica”, de forma eficaz y eficiente dentro de los estándares de la compañía. Debemos reconocer que los sistemas informáticos, deben estar adecuadamente protegidos contra el acceso no autorizado y la destrucción o alteración accidental o intencional de los programas de software del sistema, programas de aplicación y datos. La protección contra estas amenazas se logra mediante la implementación de controles de seguridad lógicos que anteriormente ya comentábamos, cuyo objetivo principal es que restringen las capacidades de acceso de los usuarios del sistema y evitan que usuarios no autorizados accedan al sistema. Pueden existir controles de seguridad lógicos dentro del sistema operativo, el sistema de administración de la base de datos, el programa de aplicación o los tres. REFERENCIAS BIBLIOGRÁFICAS
MANUAL DE CONTENIDO AUDITORÍA INFORMÁTICA SEMANA 1.-