Beruflich Dokumente
Kultur Dokumente
INTRODUCCIN
Introduccin:
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa.
La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los controles generales de la misma.
En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica.
El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas.
El concepto de auditora es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc.
De todo esto sacamos como deduccin que la auditora es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo.
AUDITORA INFORMTICA
La Auditora de Sistemas de informacin
No es un nuevo concepto de auditora. Es el viejo concepto aplicado a un nuevo ambiente. Con nuevos recursos y con nuevas herramientas.
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.
Estudio del rea a ser Auditada Determinacin de lo que est bien y de lo que puede mejorarse Si Hay algo para mejorar No
Informe de Auditora
Anlisis
No
Hay Acuerdo
Si
Evaluacin del
Informe producido
Plan de implementacin
El control de la funcin informtica El anlisis de la eficiencia de los Sistemas Informticos La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos.
La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, COSO e ITIL.
Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin.
Perfil del auditor informtico A un auditor informtico se le presupone cierta formacin informtica y experiencia en el sector, independencia y objetividad, madurez, capacidad de sntesis y anlisis y seguridad en s mismo.
En Paraguay existe un vaco legal por la ausencia de normativas que defina claramente:
Quien puede realizar auditora informtica. Como se debe realizar una auditora informtica. En que casos es necesaria una auditora informtica.
Sntomas de Informtica:
Necesidad
de
una
Auditora
Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases:
[Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna Norma importante]
reas de la auditora informtica Dentro de las reas generales, establecen las siguientes divisiones Auditora Informtica: de Explotacin, Sistemas, de Comunicaciones y Desarrollo de Proyectos. se de de de
Cada rea Especifica puede ser auditada desde los siguientes criterios generales:
1. Desde su propio funcionamiento interno. 2. Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de cumplimiento de las directrices de sta. 3. Desde la perspectiva de los usuarios, destinatarios reales de la informtica. 4. Desde el punto de vista de la seguridad que ofrece la Informtica en general o la rama auditada.
(Se refiere a la evaluacin de la aplicacin de los sistemas, Desde el punto de vista de los usuarios)
Comprende entre otros: Control de Entrada de Datos Planificacin y Recepcin de Aplicaciones Centro de Control y Seguimiento de Trabajos Operacin, Sala de Servidores Centro de Control de Red y Centro de Diagnosis
1. 2. 3. 4. 5. 6.
Prerequisitos del Usuario y del entorno Anlisis funcional Diseo Anlisis orgnico (Preprogramacion y Programacin) Pruebas Entrega a Explotacin y alta para el Proceso.
2.
3. 4. 5.
Sistemas Operativos Software Bsico Software de Teleproceso (Tiempo Real) Administracin de Base de Datos Investigacin y Desarrollo
Auditora Informtica de Comunicaciones y Redes: Como en otros sector requiere expertos Comunicaciones casos, la auditora de este un equipo de especialistas, simultneamente en y en Redes Locales
El auditor de Comunicaciones deber INDAGAR sobre los ndices de utilizacin de las lneas contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la desactualizacion de esta documentacin significara una grave debilidad
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.
Elementos administrativos 2. Definicin de una poltica de seguridad 3. Organizacin y divisin de responsabilidades 4. Seguridad fsica y contra catstrofes (incendio, terremotos, etc.) 5. Prcticas de seguridad del personal 6. Elementos tcnicos y procedimientos 7. Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. 8. Aplicacin de los sistemas de seguridad, incluyendo datos y archivos 9. El papel de los auditores, tanto internos como externos 10. Planeacin de programas de desastre y su prueba.
1.
La decisin de abordar una Auditora Informtica de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Se elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las que est sometida una instalacin y los "Impactos" que aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalan las probabilidades de ocurrencia de los elementos de la matriz.
Toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente.
La empresa hoy, debe/precisa informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante.
En cuanto al trabajo de la auditora en s, se puede remarcar que se precisa de gran conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad. La auditora de Sistemas debe hacerse por gente altamente capacitada, una auditora mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas