180 likes | 434 Views
Auditoria. Sesión 5, Organización de Centros de Cómputo. Auditoría. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
E N D
Auditoria Sesión 5, Organización de Centros de Cómputo
Auditoría Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
Auditoria en Informática La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).
Los objetivos de la auditoría Informática • El control de la función informática • El análisis de la eficiencia de los Sistemas Informáticos • La verificación del cumplimiento de la Normativa en este ámbito • La revisión de la eficaz gestión de los recursos informáticos. La auditoría informática sirve para mejorar ciertas características en la empresa como: • Eficiencia • Eficacia • Rentabilidad • Seguridad
Tipos de Auditoría Informática Dentro de la auditoría informática destacan los siguientes tipos (entre otros): • Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc. • Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. • Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. • Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. • Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
Tipos de Auditoría Informática • Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. • Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. • Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. • Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Perfil del Auditor El perfil de un auditor informático es el que corresponde a un Ingeniero e Ingeniero Técnico en Informática en cualquiera de sus especialidades, pero más concretamente la especialidad de Gestión. O también a un profesional al que se le presupone cierta formación técnica en informática y experiencia en el sector, independencia y objetividad, madurez, capacidad de síntesis, análisis y seguridad en sí mismo. Existen diversas materias que están reguladas en materia informática: • Ley de auditoría de cuentas. • Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico. • Ley Orgánica de Protección de Datos. Ninguna de éstas normas definen quien puede ser auditor informático, aunque debe de disponer de conocimientos tanto en la normativa aplicable, como en informática, como en la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.
Pruebas En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas: • Pruebas sustantivas: Verifican el grado de confiabilidad del SI(Sistema de Información) del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información. • Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.
Herramientas Las principales herramientas de las que dispone un auditor informático son: • Observación • Realización de cuestionarios • Entrevistas a auditados y no auditados • Muestreo estadístico • Flujogramas • Listas de chequeo • Mapas conceptuales
Estándares de Auditoría La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL. Actualmente la certificación de ISACA para ser CISA (CertifiedInformationSystems Auditor) es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.
ITIL (InformationTechnologyInfrastructure Library) es el conjunto de buenas prácticas más aceptado y utilizado en el mundo, extraído de organismos del sector público y privado que están a la vanguardia tecnológica a nivel internacional. ITIL es aplicable a cualquier tipo de organización en todo el mundo debido a que los negocios han experimentado una creciente dependencia en los servicios informáticos de calidad. El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de Control Interno. Está diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: • Eficacia y eficiencia de las operaciones. • Fiabilidad de la información financiera. • Cumplimiento de leyes y normas que sean aplicables.
COBIT (Control Objectives for Information and Related Technology) es del IT GovernanceInstitute. Como ITIL, es un “framework” de referencia estándar y una base de conocimiento de “buenas prácticas” de seguridad y control para IT.Quizás sea COBiT la que más puntos de confluencia presente con ITIL, aunque se presentan como complementarias. Incluso COBiT puede que tenga mayor alcance que ITIL ya que abarca todo el espectro de actividades de IT, mientras que ITIL está muy centrado enService Management (gestión del servicio de ITs (tecnologías de información)
Planeación de la Auditoria Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: • Evaluación de los sistemas y procedimientos. • Evaluación de los equipos de cómputo. Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
Evaluación de Sistemas La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos. El plan estratégico deberá establecer : • Los servicios que se presentarán en un futuro. • Las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados • Definir los requerimientos de información del centro • Determinar la planeación de los recursos
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad. Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como los que estén en la fase de análisis para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas. En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de factibilidad con los puntos señalados y compararse con la realidad con lo especificado en el estudio de factibilidad
Fases de Evaluación de Sistemas Se evalúan las políticas , procedimientos y normas que se tienen para llevar a cabo el análisis. En esta etapa se deberán analizar las especificaciones del sistema. ¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, secuencia y ocurrencia de los datos, el proceso y salida de reportes se deberán auditar los programas, su diseño, el leguaje utilizado, interconexión entre los programas y características del hardware empleado (total o parcial) para el desarrollo del sistema Identificar inexactitudes, ambigüedades y omisiones en las especificaciones. Descubrir errores, debilidades, omisiones antes de iniciar la codificación Buscar la claridad, modularidad y verificar con base en las especificaciones
TAREA 5 1.- Leer el documento: Auditorías de Sistemas de Información2.- Realizar un mapa conceptual de la presentación: SESION5_orgCentros3.- Realizar un resumen objetivo y concreto del documento: Auditorías de Sistemas de Información4.- Colocar estos dos últimos en un archivo y colocar en la página del grupo a más tardar el Miércoles 07 de Diciembrea las 11:59 pm