Embed Size (px)
DESCRIPTION
Citation preview
PROFESORA: EDNA DE LASSO
FUNCIÓN Y ENFOQUES DE LA
AUDITORÍA DE SISTEMAS
La evaluación final del cuatrimestre estará dividida de acuerdo a las normas de la Universidad, la que a su vez estará compuesta de la siguiente forma:
Criterios de evaluación ajustados
Actividades de evaluación Puntaje/Porcentaje
1. Investigaciones 2. Examen # 1 y # 23. Casos de estudio4. Proyecto finalTOTAL
15%35%20%30%
100 %
Identificación del personal involucrado.
Objetivos de las auditorías. Justificación. Tipos de auditorías.
Temas a desarrollar
Identificación del personal involucrado
Corresponde a un Ingeniero o Técnico en Informática en cualquiera de sus especialidades, pero más concretamente la especialidad de Gestión. O también a un profesional al que se le presupone cierta formación técnica en informática y experiencia en el sector, independencia y objetividad, madurez, capacidad de síntesis, análisis y seguridad en sí mismo.
Debe disponer de conocimientos tanto en la normativa aplicable, como en informática, como en la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática o Técnicos en Informática y Licenciados especializados en el mundo de la auditoría.
Perfil de un auditor informático
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales.
El proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.
Certificaciones
Objetivos de Control para la información y Tecnologías relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992.
COBIT
La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI).
resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI.
Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.
ITIL
Objetivos y Justificación de la Auditoría
Hardware • Descuido o falta de
protección: Condiciones inapropiadas, mal manejo, no observancia de las normas.
• Destrucción.
Software• uso o acceso, • copia, • modificación, • destrucción, • hurto, • errores u omisiones.
Archivos• Usos o acceso, copia,
modificación, destrucción, hurto.
Organización• Inadecuada: no funcional,
sin división de funciones. • Falta de seguridad, • Falta de políticas y planes.
Personal Deshonesto, incompetente y
descontento.
Usuarios Enmascaramiento, falta de
autorización, falta de conocimiento de su función.
RIESGOS ASOCIADOS AL AREA DE TI
Objetivos de las auditorías informáticasEl control de la función informática El análisis de la eficiencia de los Sistemas
Informáticos La verificación del cumplimiento de las Normativas La revisión de la eficaz gestión de los recursos
informáticos. La auditoría informática sirve para mejorar ciertas
características en la empresa como: Eficiencia Eficacia Rentabilidad Seguridad
Objetivos generales de la ASBuscar una mejor relación costo-beneficio de los
sistemas automáticos o computarizados diseñados e implantados por el Comité Informático.
Incrementar la satisfacción de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones
Apoyo de función informática a las metas y objetivos de la organización
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
Minimizar existencias de riesgos en el uso de Tecnología de información
Decisiones de inversión y gastos innecesarios
Capacitación y educación sobre controles en los Sistemas de Información
Los Sistemas Informáticos deben estar sometidos al control correspondiente, la importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos: Las computadoras y los Centros de Proceso de Datos se
convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría Informática de Seguridad.
Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática de Datos.
Un Sistema Informático mal diseñado puede convertirse en una herramienta muy peligrosa para la empresa: la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.
Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoría de Sistemas.
Inconvenientes informáticos
La auditoria puede ser externa, interna o mixta, coincidiendo con los tipos de observación de participantes, no participantes y semi−participantes. Cada uno de estos tipos de auditoria tiene las ventajas o inconveniencias, sin embargo la auditoria mixta es la mas recomendable, por que reúne las ventajas y elimina en gran parte los inconvenientes de las otras dos.
Tipos de auditorías
Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis del tratamiento de dichos datos.
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación.
Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Tipos de Auditoría informática
Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea.
El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.
Resultados de las auditorías
