La auditoría es un examen crítico que evalúa la eficacia y eficiencia de una sección u organización. La auditoría informática revisa y evalúa los controles, sistemas, procedimientos y seguridad de la informática para lograr un uso más eficiente y seguro de la información. Existen diferentes tipos de auditoría informática como la de gestión, legal, de datos, bases de datos y seguridad. Los objetivos de la auditoría informática incluyen controlar la función informática, analizar la eficiencia de los sistemas y verificar el cumplimiento de la
2. Auditoría
Es un examen crítico que se realiza con el fin de
evaluar la eficacia y eficiencia de una sección, un
organismo, una entidad, etc.
Auditar consiste principalmente en estudiar los
mecanismos de control que están implantados en
una empresa u organización, determinando si los
mismos son adecuados y cumplen unos
determinados objetivos o estrategias,
estableciendo los cambios que se deberían
realizar para la consecución de los mismos. Los
mecanismos de control pueden ser directivos,
preventivos, de detección, correctivos o de
recuperación ante una contingencia.
3. Auditoria en Informática
La auditoría en informática es la revisión y la evaluación de los
controles, sistemas, procedimientos de informática; de los equipos
de cómputo, su utilización, eficiencia y seguridad, de la
organización que participan en el procesamiento de la información,
a fin de que por medio del señalamiento de cursos alternativos se
logre una utilización más eficiente y segura de la información que
servirá para una adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la
evaluación de los equipos de cómputo, de un sistema o
procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de
información.
La auditoría en informática es de vital importancia para el buen
desempeño de los sistemas de información, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con
un buen nivel de seguridad. Además debe evaluar todo
(informática, organización de centros de información, hardware y
software).
4. Los objetivos de la auditoría
Informática
El control de la función informática
El análisis de la eficiencia de los Sistemas
Informáticos
La verificación del cumplimiento de la Normativa en
este ámbito
La revisión de la eficaz gestión de los recursos
informáticos.
La auditoría informática sirve para mejorar ciertas
características en la empresa como:
Eficiencia
Eficacia
Rentabilidad
Seguridad
5. Tipos de Auditoría Informática
Dentro de la auditoría informática destacan los siguientes tipos
(entre otros):
Auditoría de la gestión: Referido a la contratación de bienes y
servicios, documentación de los programas, etc.
Auditoría legal del Reglamento de Protección de Datos:
Cumplimiento legal de las medidas de seguridad exigidas por el
Reglamento de desarrollo de la Ley Orgánica de Protección de
Datos.
Auditoría de los datos: Clasificación de los datos, estudio de las
aplicaciones y análisis de los flujogramas.
Auditoría de las bases de datos: Controles de acceso, de
actualización, de integridad y calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información
verificando disponibilidad, integridad, confidencialidad,
autenticación y no repudio.
6. Tipos de Auditoría Informática
Auditoría de la seguridad física: Referido a la ubicación de la
organización, evitando ubicaciones de riesgo, y en algunos casos
no revelando la situación física de esta. También está referida a las
protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de
autenticación de los sistemas de información.
Auditoría de las comunicaciones. Se refiere a la auditoria de los
procesos de autenticación en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a errores,
accidentes y fraudes.
7. Perfil del Auditor
El perfil de un auditor informático es el que corresponde a un
Ingeniero e Ingeniero Técnico en Informática en cualquiera de sus
especialidades, pero más concretamente la especialidad de Gestión. O
también a un profesional al que se le presupone cierta formación técnica
en informática y experiencia en el sector, independencia y objetividad,
madurez, capacidad de síntesis, análisis y seguridad en sí mismo.
Existen diversas materias que están reguladas en materia informática:
Ley de auditoría de cuentas.
Ley de Servicios de la Sociedad de la Información y del Comercio
Electrónico.
Ley Orgánica de Protección de Datos.
Ninguna de éstas normas definen quien puede ser auditor
informático, aunque debe de disponer de conocimientos tanto en la
normativa aplicable, como en informática, como en la técnica de la
auditoría, siendo por tanto aceptables equipos multidisciplinarios
formados por titulados en Ingeniería Informática e Ingeniería Técnica en
Informática y licenciados en derecho especializados en el mundo de la
auditoría.
8. Pruebas
En la realización de una auditoría informática el auditor
puede realizar las siguientes pruebas:
Pruebas sustantivas: Verifican el grado de
confiabilidad del SI(Sistema de Información) del
organismo. Se suelen obtener mediante observación,
cálculos, muestreos, entrevistas, técnicas de examen
analítico, revisiones y conciliaciones. Verifican
asimismo la exactitud, integridad y validez de la
información.
Pruebas de cumplimiento: Verifican el grado de
cumplimiento de lo revelado mediante el análisis de la
muestra. Proporciona evidencias de que los controles
claves existen y que son aplicables efectiva y
uniformemente.
9. Herramientas
Las principales herramientas de las que dispone
un auditor informático son:
Observación
Realización de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadístico
Flujogramas
Listas de chequeo
Mapas conceptuales
10. Estándares de Auditoría
La necesidad de contar con lineamientos y
herramientas estándar para el ejercicio de la
auditoría informática ha promovido la creación y
desarrollo de mejores prácticas como COBIT,
COSO e ITIL.
Actualmente la certificación de ISACA para ser
CISA (Certified Information Systems Auditor) es
una de las más reconocidas y avaladas por los
estándares internacionales ya que el proceso de
selección consta de un examen inicial bastante
extenso y la necesidad de mantenerse
actualizado acumulando horas (puntos) para no
perder la certificación.
11. ITIL (Information Technology Infrastructure Library) es el conjunto de
buenas prácticas más aceptado y utilizado en el mundo, extraído de
organismos del sector público y privado que están a la vanguardia
tecnológica a nivel internacional. ITIL es aplicable a cualquier tipo de
organización en todo el mundo debido a que los negocios han
experimentado una creciente dependencia en los servicios
informáticos de calidad.
El Informe COSO es un documento que contiene las principales directivas
para la implantación, gestión y control de un sistema de Control
Interno. Está diseñado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecución de objetivos dentro de
las siguientes categorías:
Eficacia y eficiencia de las operaciones.
Fiabilidad de la información financiera.
Cumplimiento de leyes y normas que sean aplicables.
12. COBIT (Control Objectives for Information and Related Technology) es del IT
Governance
Institute.
Como ITIL, es un “framework” de referencia estándar y una base de
conocimiento de “buenas prácticas” de seguridad y control para IT.
Quizás sea COBiT la que más puntos de confluencia presente con
ITIL, aunque se presentan como complementarias. Incluso COBiT
puede que tenga mayor alcance que ITIL ya que abarca todo el
espectro de actividades de IT, mientras que ITIL está muy centrado
en
Service Management (gestión del servicio de ITs (tecnologías de
información)
13. Planeación de la Auditoria
Para hacer una adecuada planeación de la auditoría en
informática, hay que seguir una serie de pasos previos que
permitirán dimensionar el tamaño y características de área dentro
del organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoría en informática, la planeación es
fundamental, pues habrá que hacerla desde el punto de vista de los
dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es
obtener información general sobre la organización y sobre la
función de informática a evaluar. Para ello es preciso hacer una
investigación preliminar y algunas entrevistas previas, con base en
esto planear el programa de trabajo, el cual deberá incluir tiempo,
costo, personal necesario y documentos auxiliares a solicitar o
formular durante el desarrollo de la misma.
14. Evaluación de Sistemas
La elaboración de sistemas debe ser evaluada con
mucho detalle, para lo cual se debe revisar si existen
realmente sistemas entrelazados como un todo o bien
si existen programas aislados. Otro de los factores a
evaluar es si existe un plan estratégico para la
elaboración de los sistemas o si se están elaborados
sin el adecuado señalamiento de prioridades y de
objetivos.
El plan estratégico deberá establecer :
Los servicios que se presentarán en un futuro.
Las nuevas aplicaciones, recursos y la arquitectura en
que estarán fundamentados
Definir los requerimientos de información del centro
Determinar la planeación de los recursos
15. Los sistemas deben evaluarse de acuerdo con el ciclo de vida
que normalmente siguen: requerimientos del usuario, estudio de
factibilidad, diseño general, análisis, diseño lógico, desarrollo físico,
pruebas, implementación, evaluación, modificaciones, instalación,
mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez
debe comenzar con el de factibilidad.
Se deberá solicitar el estudio de factibilidad de los diferentes
sistemas que se encuentren en operación, así como los que estén
en la fase de análisis para evaluar si se considera la disponibilidad
y características del equipo, los sistemas operativos y lenguajes
disponibles, la necesidad de los usuarios, las formas de utilización
de los sistemas, el costo y los beneficios que reportará el sistema,
el efecto que producirá en quienes lo usarán y el efecto que éstos
tendrán sobre el sistema y la congruencia de los diferentes
sistemas.
En el caso de sistemas que estén funcionando, se deberá
comprobar si existe el estudio de factibilidad con los puntos
señalados y compararse con la realidad con lo especificado en el
estudio de factibilidad
16. Fases de Evaluación de
Sistemas
Evaluación del
Análisis
Evaluación del
Diseño Lógico
del Sistema
Evaluación del
Desarrollo del
Sistema
Se evalúan las
políticas ,
procedimientos y
normas que se
tienen para llevar a
cabo el análisis.
En esta etapa se deberán
analizar las
especificaciones del
sistema.
¿Qué deberá hacer?,
¿Cómo lo deberá hacer?,
secuencia y ocurrencia de
los datos, el proceso y
salida de reportes
se deberán auditar los
programas, su diseño, el
leguaje utilizado,
interconexión entre los
programas y
características del
hardware empleado (total
o parcial) para el
desarrollo del sistema
Identificar
inexactitudes,
ambigüedades y
omisiones en las
especificaciones.
Descubrir errores,
debilidades,
omisiones antes de
iniciar la
codificación
Buscar la claridad,
modularidad y
verificar con base
en las
especificaciones
17. TAREA 5
1.- Leer el documento: Auditorías de Sistemas de
Información
2.- Realizar un mapa conceptual de la
presentación: SESION5_orgCentros
3.- Realizar un resumen objetivo y concreto del
documento: Auditorías de Sistemas de
Información
4.- Colocar estos dos últimos en un archivo y
colocar en la página del grupo a más tardar el
Miércoles 07 de Diciembre a las 11:59 pm