Auditora Informtica

INTRODUCCIN

Introduccin:
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa.

La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los controles generales de la misma.

En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica.

El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas.

El concepto de auditora es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc.

De todo esto sacamos como deduccin que la auditora es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo.

AUDITORA INFORMTICA
La Auditora de Sistemas de informacin
No es un nuevo concepto de auditora. Es el viejo concepto aplicado a un nuevo ambiente. Con nuevos recursos y con nuevas herramientas.

Algunos conceptos de la auditora informtica

Auditora en Informtica es la revisin y evaluacin de los controles, sistemas, procedimientos de informtica, de los equipo de cmputos, su utilizacin, eficiencia y seguridad de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio de cursos alternativos se logre la utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones.

La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.

PROCESOS DE LA AUDITORA INFORMTICA

Programa de Auditora

Estudio del rea a ser Auditada Determinacin de lo que est bien y de lo que puede mejorarse Si Hay algo para mejorar No

Planteos de las alternativas de solucin

Confeccin del informe

Informe de Auditora

Anlisis

No

Hay Acuerdo

Si

Las No Rechazo del informe argumentos soluciones son apropiadas Si

Evaluacin del
Informe producido

Elaborar otra Solucin

Plan de implementacin

Los objetivos de la auditora Informtica son:

El control de la funcin informtica El anlisis de la eficiencia de los Sistemas Informticos La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos.

La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, COSO e ITIL.

Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin.

Perfil del auditor informtico A un auditor informtico se le presupone cierta formacin informtica y experiencia en el sector, independencia y objetividad, madurez, capacidad de sntesis y anlisis y seguridad en s mismo.

En Paraguay existe un vaco legal por la ausencia de normativas que defina claramente:
Quien puede realizar auditora informtica. Como se debe realizar una auditora informtica. En que casos es necesaria una auditora informtica.

Sntomas de Informtica:

Necesidad

de

una

Auditora

Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacin y desorganizacin:

No se alcanzan los objetivos de la Informtica de la Compaa y de la propia Compaa. Los estndares de productividad sensiblemente de los promedios habitualmente. se desvan conseguidos

[Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna Norma importante]

Sntomas de mala imagen e insatisfaccin de los usuarios:

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc. No se reparan los problemas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente. No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles.

Sntomas de debilidades econmico-financiero:

Incremento desmesurado de costos. Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. Costos y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos

Seguridad Lgica deficiente Seguridad Fsica deficiente Confidencialidad inexistente [Los datos son propiedad inicialmente de la organizacin que los genera, los datos de personal son especialmente confidenciales] Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales. rea de TI, fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.

Principales pruebas y herramientas para efectuar una auditora informtica

En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas: Pruebas clsicas: Consiste en probar las aplicaciones / sistemas con datos datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realizacin de estas pruebas. Pruebas sustantivas: Aportan al auditor informtico las suficientes evidencias y que se pueda formar un juicio. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin. Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente (segn la documentacin, segn declaran los auditados y segn las polticas y procedimientos de la organizacin).

Las principales herramientas de las que dispone un auditor informtico son:

Observacin Realizacin de cuestionarios Entrevistas a auditados y no auditados Muestreo estadstico Flujogramas Listas de checkeo Mapas conceptuales

reas de la auditora informtica Dentro de las reas generales, establecen las siguientes divisiones Auditora Informtica: de Explotacin, Sistemas, de Comunicaciones y Desarrollo de Proyectos. se de de de

Cada rea Especifica puede ser auditada desde los siguientes criterios generales:
1. Desde su propio funcionamiento interno. 2. Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de cumplimiento de las directrices de sta. 3. Desde la perspectiva de los usuarios, destinatarios reales de la informtica. 4. Desde el punto de vista de la seguridad que ofrece la Informtica en general o la rama auditada.

Auditora Informtica de Explotacin

(Se refiere a la evaluacin de la aplicacin de los sistemas, Desde el punto de vista de los usuarios)

Comprende entre otros: Control de Entrada de Datos Planificacin y Recepcin de Aplicaciones Centro de Control y Seguimiento de Trabajos Operacin, Sala de Servidores Centro de Control de Red y Centro de Diagnosis

Auditora Informtica de Desarrollo de Proyectos o Aplicaciones

Comprende entre otros:

1. 2. 3. 4. 5. 6.

Prerequisitos del Usuario y del entorno Anlisis funcional Diseo Anlisis orgnico (Preprogramacion y Programacin) Pruebas Entrega a Explotacin y alta para el Proceso.

Auditora Informtica de Sistemas:

Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de Sistemas.

Comprende entre otros

1.

2.
3. 4. 5.

Sistemas Operativos Software Bsico Software de Teleproceso (Tiempo Real) Administracin de Base de Datos Investigacin y Desarrollo

Auditora Informtica de Comunicaciones y Redes: Como en otros sector requiere expertos Comunicaciones casos, la auditora de este un equipo de especialistas, simultneamente en y en Redes Locales

El auditor de Comunicaciones deber INDAGAR sobre los ndices de utilizacin de las lneas contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la desactualizacion de esta documentacin significara una grave debilidad

Auditora de la Seguridad informtica:

La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.

El sistema integral de seguridad debe comprender:

Elementos administrativos 2. Definicin de una poltica de seguridad 3. Organizacin y divisin de responsabilidades 4. Seguridad fsica y contra catstrofes (incendio, terremotos, etc.) 5. Prcticas de seguridad del personal 6. Elementos tcnicos y procedimientos 7. Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. 8. Aplicacin de los sistemas de seguridad, incluyendo datos y archivos 9. El papel de los auditores, tanto internos como externos 10. Planeacin de programas de desastre y su prueba.
1.

La decisin de abordar una Auditora Informtica de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Se elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las que est sometida una instalacin y los "Impactos" que aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalan las probabilidades de ocurrencia de los elementos de la matriz.

Toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente.

La empresa hoy, debe/precisa informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante.

En cuanto al trabajo de la auditora en s, se puede remarcar que se precisa de gran conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad. La auditora de Sistemas debe hacerse por gente altamente capacitada, una auditora mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas

Muchas graciaaaaas !!!!!