Grupo N° 2

Auditoría Informática

ES EL PROCESO DE RECOGER,AGRUPAR Y EVALUAREVIDENCIAS PARA DETERMINARSI UN SISTEMA INFORMATIZADOSALVAGUARDA LOS ACTIVOS,MANTIENE LA INTEGRIDAD DELOS DATOS, LLEVA A CABOEFICAZMENTE LOS FINES DE LAORGANIZACIÓN, UTILIZAEFICIENTEMENTE LOSRECURSOS, Y CUMPLE CON LASLEYES Y REGULACIONESESTABLECIDAS.

ESTUDIA LOS MECANISMOS DECONTROL QUE ESTÁN IMPLANTADOS ENUNA EMPRESA U ORGANIZACIÓN,DETERMINANDO SI LOS MISMOS SONADECUADOS Y CUMPLEN CONDETERMINADOS OBJETIVOS OESTRATEGIAS, ESTABLECIENDO LOSCAMBIOS QUE SE DEBERÍAN REALIZARPARA LA CONSECUCIÓN DE LOSMISMOS.

Objetivos de la auditoría Informática

Evalúa y comprueba, loscontroles yprocedimientosinformáticos máscomplejos, desarrollando yaplicando técnicasmecanizadas de auditoría,incluyendo el uso desoftware.

En muchos casos ya no esposible verificarmanualmente losprocedimientos informáticosque resumen, calculan yclasifican datos, por lo quedeberá emplear software deauditoría y otras técnicasasistidas por ordenador.

Es responsable de revisare informar a la dirección dela empresa, sobre eldiseño y funcionamientode los controlesimplantados y sobre lafiabilidad de la informaciónsuministrada.

Funciones Principales de un Auditor Informático

Funciones Principales de un Auditor Informático

Revisar y juzgar el nivel de eficacia, utilidad,

fiabilidad y seguridad de los equipos e información.

Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las ordenes e

instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante

errores y fraudes.

Participar en las revisiones durante y después del diseño,

realización, implantación, explotación y cambios

importantes de aplicaciones informáticas.

Auditoria Interna

Es el examen crítico, sistemático ydetallado de un sistema de información,realizado por un auditor sin vínculoslaborales con la misma, utilizando técnicasdeterminadas y con el objeto de emitir unaopinión independiente sobre la formacomo opera el sistema, el control internodel mismo y formular sugerencias para sumejoramiento.

La Auditoría Externa o Independiente tienepor objeto averiguar la razonabilidad,integridad y autenticidad de los estados,expedientes y documentos y toda aquellainformación producida por los sistemas dela organización.

Auditoria Externa

EN LA AUDITORÍA INTERNAEXISTE UN VÍNCULO LABORALENTRE EL AUDITOR Y LAEMPRESA, MIENTRAS QUE ENLA AUDITORÍA EXTERNA LARELACIÓN ES DE TIPO CIVIL.

EN LA AUDITORÍAINTERNA ELDIAGNÓSTICO DELAUDITOR, ESTADESTINADO PARA LAEMPRESA; EN EL CASODE LA AUDITORÍAEXTERNA ESTEDICTAMEN SE DESTINAGENERALMENTE PARATERCERAS PERSONAS OSEA AJENA A LAEMPRESA.

LA AUDITORÍA INTERNAESTÁ INHABILITADAPARA DAR FE PÚBLICA,DEBIDO A SUVINCULACIÓNCONTRACTUALLABORAL, MIENTRAS LAAUDITORÍA EXTERNATIENE LA FACULTADLEGAL DE DAR FEPÚBLICA.

Diferencias entre Auditoría Interna y Externa

Controla diariamente que todas las actividadesde los sistemas de información sean realizadascumpliendo los procedimientos, estándares ynormas fijados por la dirección de laorganización y/o la dirección informática, asícomo los requerimientos legales.

La misión de C.I.I. es asegurarse de que lasmedidas que se obtienen de los mecanismosimplantados por cada responsable seancorrectas y válidas.

La función se le asigna a una unidad orgánicaperteneciente al staff de la Gerencia deInformática y debe estar dotada de las personasy medios materiales requeridos para elcumplimiento de su misión.

Control Interno Informático

Principales Funciones delControl Interno

CUMPLIMIENTO DE DIFERENTES PROCEDIMIENTOS, NORMAS Y CONTROLES DICTADOS.

CONTROLES SOBRE LA CALIDAD Y EFICIENCIA DEL DESARROLLO Y MANTENIMIENTO DEL SOFTWARE Y DEL SERVICIO INFORMÁTICO.

CONTROLES EN LAS REDES DE COMUNICACIONES.

CONTROLES SOBRE EL SOFTWARE DE BASE.

ASESORAR Y TRANSMITIR CULTURA SOBRE EL RIESGO INFORMÁTICO.

LICENCIAS.

CONTRATOS CON TERCEROS.

CONTROLES SOBRE LA PRODUCCIÓN DIARIA.

Objetivos Principales

• Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Controles Preventivos.-

• Cuando fallan lospreventivos, paratratar de conocercuanto antes elevento. Por ejemplo,el registro de intentosde acceso noautorizados, elregistro de laactividad diaria paradetectar errores uomisiones, etc.

Controles de Detección.-

• Facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

Controles Correctivos.-

Categorías de Controles

Métodos de Control y Objetivos de Control

La relación entre los métodos decontrol y los objetivos de controlpuede demostrarse en el siguienteejemplo.

En el que un mismo conjunto de métodosde control se utiliza para satisfacerobjetivos de control tanto demantenimiento como de seguridad deprogramas.

• Asegurar que las modificaciones de losprocedimientos programados esténadecuadamente diseñadas, probadas,aprobadas e implantadas.

Objetivo de Control de Mantenimiento

• Garantizar que no se puedan efectuarcambios no autorizados en losprocedimientos programados.

Objetivo de Control de Seguridad de

Programas

Auditoría y Control InternoInformático

Política de Seguridad

Plan de Seguridad

Normas y Procedimientos

Medidas Tecnológicas Implementadas

Control Interno para un Sistema de Información

AGRUPADOS POR SECCIONES FUNCIONALES Y QUE SERÍAN LOS QUE CONTROL

INTERNO INFORMÁTICO Y AUDITORÍA INFORMÁTICA DEBERÍAN VERIFICAR PARA

DETERMINAR SU CUMPLIMIENTO Y VALIDEZ.

PARA QUE PERMITAN ALCANZAR LA EFICACIA DEL SISTEMA, ECONOMÍA Y

EFICIENCIA, INTEGRIDAD DE LOS DATOS, PROTECCIÓN DE LOS RECURSOS Y

CUMPLIMIENTO CON LAS LEYES Y REGULACIONES.

Metodología del Ciclo de Vida del Desarrollo de Sistemas

LA ALTA DIRECCIÓN DEBEPUBLICAR UNA NORMATIVASOBRE EL USO DEMETODOLOGÍA DE CICLODE VIDA DE DESARROLLODE SISTEMAS Y REVISARÉSTA PERIÓDICAMENTE.

LA METODOLOGÍA DEBEESTABLECER LOS PAPELES YRESPONSABILIDADES DE LASDISTINTAS ÁREAS DELDEPARTAMENTO DE INFORMÁTICA YDE LOS USUARIOS, ASÍ COMO LACOMPOSICIÓN YRESPONSABILIDADES DEL EQUIPODEL PROYECTO.

LAS ESPECIFICACIONES DELNUEVO SISTEMA DEBEN SERDEFINIDAS POR LOS USUARIOS YQUEDAR ESCRITAS YAPROBADAS ANTES DE QUECOMIENCE EL PROCESO DEDESARROLLO.

DEBE ESTABLECERSE UNESTUDIO TECNOLÓGICO DEVIABILIDAD EN EL CUAL SEFORMULEN FORMASALTERNATIVAS DE ALCANZARLOS OBJETIVOS ACOMPAÑADASDE UN ANÁLISIS COSTO-BENEFICIO DE CADAALTERNATIVA.

CUANDO SE SELECCIONE UNAALTERNATIVA DEBEFORMULARSE EL PLANDIRECTOR DEL PROYECTO. ENDICHO PLAN DEBERÁ EXISTIRUNA METODOLOGÍA DECONTROL DE COSTOS.

Controles en la Metodología del Desarrollo de Sistemas

1. Procedimientos para la definición y documentación de especificaciones de:

diseño, de entrada, de salida, de ficheros, de procesos, de programas, de

controles de seguridad, de pistas de auditoría, etc.

2. Plan de validación, verificación y pruebas.

3. Estándares de prueba de programas, de pruebas de sistemas.

4. Plan de conversión: prueba de aceptación final.

5. Los procedimientos de adquisición de software deberán seguir las políticas de

adquisición de la organización y dichos productos deberán ser probados y

revisados antes de pagar por ellos y ponerlos en uso.

6. La contratación de outsourcing debe estar justificada mediante una petición

escrita de un director del proyecto.

7. Deberán prepararse manuales de operación y mantenimiento como parte de

todo proyecto de desarrollo o modificación de sistemas de información, así

como manuales de usuario.

Controles Seguridad Física y Lógica 1. Revisar periódicamente los informes de

violaciones y actividad de seguridad para

identificar y resolver incidentes.

2. Control de Visitas: personas externas a la

organización. Instalación de medidas de

protección contra el fuego.

3. Formación y concientización en

procedimientos de seguridad y evacuación del

edificio. Control de acceso restringido a los

ordenadores. Normas que regulen el acceso a

los recursos informáticos.

4. Existencia de un plan de contingencias para el respaldo de recursos de

ordenador críticos y para la recuperación de los servicios del Dpto. Informático

después de una interrupción imprevista de los mismos.

CONTROL DE ENTRADA DE DATOS:

PROCEDIMIENTOS DE CONVERSIÓN Y DE

ENTRADA, VALIDACIÓN Y CORRECCIÓN DE

DATOS.

CONTROLES DE SALIDAS DE DATOS:

SOBRE EL CUADRE Y RECONCILIACIÓN DE

SALIDAS, PROCEDIMIENTOS DE

DISTRIBUCIÓN

CONTROL DE TRATAMIENTOS DE

DATOS PARA ASEGURAR QUE NO

SE DAN DE ALTA, MODIFICAN O

BORRAN DATOS NO AUTORIZADOS PARA

GARANTIZAR LA INTEGRIDAD DE LOS

MISMOS MEDIANTE PROCESOS NO AUTORIZADOS.

Controles de AplicacionesCada aplicación debe llevar controles incorporados para garantizar la entrada, actualización,

validez y mantenimiento completo y exactos de los datos.

Aspectos más importantes en el control de datos:

Controles en Sistemas de GestiónDe Bases de Datos

1. Sobre el software de gestión de BD para prever el acceso a la estructuración de

y el control sobre los datos compartidos, deberá instalarse y mantenerse de

modo tal que asegure la integridad del software, las bases de datos y las

instrucciones de control que definen el entorno.

2. Que están definidas las responsabilidades sobre la planificación, organización,

dotación y control de los activos de datos, es decir, un administrador de datos.

3. Que existen procedimientos para la descripción y los cambios de datos así

como para el mantenimiento del diccionario de datos.

4. Sobre el acceso de datos y la concurrencia.

5. Para minimizar fallos, recuperar el entorno de las bases de datos hasta el punto

de la caída y minimizar el tiempo necesario para la recuperación

6. Controles para asegurar la integridad de los datos: programas de utilidad para

comprobar los enlaces físicos <<punteros>> asociados a los datos, registros de

control para mantener los balances transitorios de transacciones para su

posterior cuadre con totales generados por el usuario o por otros sistemas.