monografia auditoria informatica
-
Upload
carlos-tremolada -
Category
Documents
-
view
213 -
download
0
description
Transcript of monografia auditoria informatica
DIRECCION DE EDUCACIÓN EESTP-PNP-PP
Y DOCTRINA POLICIAL UNIACA-PNP
ASIGNATURA :
TEMA :
DOCENTE :
INTEGRANTES DEL GRUPO
N° DEORDEN
GRADO APELLIDOS Y NOMBRES NOTASELAB. SUST. PROM.
BATALLON :
SECCIÓN :
PROMOCION :
2015
DEDICATORIA
Queremos dedicar el presente trabajo en
especial a nuestros padres y familiares que
apoyan de diferentes maneras para que
podamos lograr nuestras metas académicas.
EETSP – PUENTE PIEDRA Página 2
AGRADECIMIENTO
Queremos agradecer enormemente a las
personas que nos apoyaron para la realización
de este trabajo de investigación, brindándonos
información verídica e importante para nuestra
curso.
EETSP – PUENTE PIEDRA Página 3
ÍNDICE
DEDICATORIA........................................................................................................2
AGRADECIMIENTO................................................................................................3
INTRODUCCIÓN.....................................................................................................5
AUDITORIA INFORMATICA...................................................................................6
1. GENERALIDADES...........................................................................................6
2. PROPIEDADES DE LA INFORMACIÓN QUE PROTEGEN LA SEGURIDAD INFORMÁTICA........................................................................................................8
3. OBJETIVOS Y CRITERIOS DE LA AUDITORIA EN EL ÁREA DE LA TELEINFORMÁTICA...............................................................................................8
4. PROCEDIMIENTOS Y REGISTROS DE INVENTARIOS Y CAMBIOS............9
5. AUDITANDO LA RED LÓGICA......................................................................11
6. SÌNTOMAS DE RIESGO................................................................................12
7. EJECUCIÓN DE AUDITORÍAS......................................................................12
8. EXISTENCIA DE ERRORES O IRREGULARIDADES...................................13
9. VERIFICAR FUNCIONES...............................................................................13
10. SISTEMAS DE CONTROL DE RIESGOS...................................................13
11. OBJETIVOS 1. Identificar posibles riesgos................................................13
12. SERVICIOS DE AUDITORÍA.......................................................................14
13. ¿QUÉ EVALÚAN LOS AUDITORES INTERNOS?.....................................14
14. SERVICIOS DE CONSULTORÍA................................................................15
15. TÉCNICAS Y HERRAMIENTAS AUDITORIA RELACIONADAS CON SEGURIDAD TELEINFORMÁTICA.......................................................................15
CONCLUSIONES..................................................................................................17
EETSP – PUENTE PIEDRA Página 4
INTRODUCCIÓN
La Informática es la gestión integral de la empresa, y por eso las normas y
estándares informáticos deben estar, sometidos a la empresa debido a su
importancia en el funcionamiento de una empresa, existe la Auditoria Informática
el término de Auditoria se ha empleado incorrectamente con frecuencia ya que se
ha considerado como una evaluación cuyo único fin es detectar errores y señalar
fallas auditoría proviene del latín auditorius, y de esta proviene la palabra auditor
Debe comprender la evaluación de los equipos de cómputo en conjunción con un
sistema evaluando entradas, procedimientos, controles, archivos, seguridad y
obtención de información en cuanto a procedimientos en específico ya que
proporciona los controles necesarios para que los sistemas sean confiables y con
un buen nivel de seguridad.
Establece el entorno y los límites en que va a desarrollarse la auditoria informática
expresando un informe final determinando los puntos a los que se ha llegado así
como las materias fronterizas que han sido omitidas.
EETSP – PUENTE PIEDRA Página 5
AUDITORIA INFORMATICA
1. GENERALIDADES
La obtención de información distante o la compartición de datos por sujetos
ubicados en distintos lugares, ha surgido una nueva técnica que utiliza u
aúna la Informática y las Telecomunicaciones, a la cual se
denomina Teleinformática
En la actualidad tiene una gran trascendencia tanto técnica como social, lo
que se denomina teleinformática: la unión de la informática y las
telecomunicaciones. Tanto en la vida profesional como en las actividades
cotidianas, es habitual el uso de expresiones y conceptos relacionados con
la teleinformática.
Mediante esta técnica se pueden interconectar a distancia computadoras,
terminales y otros equipos, usando para ello algún medio adecuado de
comunicación, como por ejemplo líneas telefónicas, cables coaxiales,
microondas, etcétera.
EETSP – PUENTE PIEDRA Página 6
Los requerimientos en la seguridad de la información de la organización han
sufrido dos cambios importantes en las últimas décadas.
Previo a la difusión en el uso de equipo de información la seguridad de la
misma era considerada como valiosa para la organización en las áreas
administrativas, por ejemplo el uso de gabinetes con candado para el
almacenamiento de documentos importantes.
Con la introducción de las computadoras la necesidad de herramientas
automatizadas para la protección de archivos y otra información almacenada
fue evidente, especialmente en el caso de sistemas compartidos por ejemplo
sistemas que pueden ser accesados vía telefónica o redes de información.
El nombre genérico de las herramientas para proteger la información así
como la invasión de hackers es la seguridad computacional.
El segundo cambio que afectó la seguridad fue la introducción de sistemas
distribuidos así como el uso de redes e instalaciones de comunicación para
enviar información entre un servidor y una computadora o entre dos
computadoras.
Las medidas de seguridad de redes son necesarias para proteger la
información durante su transmisión así como para garantizar que dicha
información sea auténtica.
La tecnología utilizada para la seguridad de las computadoras y de las redes
automatizadas es la inscripción y fundamentalmente se utilizan la encripción
convencional o también conocida como encripción simétrica, que es usada
EETSP – PUENTE PIEDRA Página 7
para la privacidad mediante la autentificación y la encripción public key.
También conocida como asimétrica utilizada para evitar la falsificación de
información y transacciones por medio de algoritmos basados en funciones
matemáticas, que a diferencia de la encripción simétrica utiliza dos claves
para la protección de áreas como la confidencialidad, distribución de claves
e identificación.
2. PROPIEDADES DE LA INFORMACIÓN QUE PROTEGEN LA SEGURIDAD
INFORMÁTICA
La Seguridad Informática debe vigilar principalmente por las siguientes
propiedades:
Privacidad − La información debe ser vista y manipulada únicamente por
quienes tienen el derecho o la autoridad de hacerlo. Un ejemplo de ataque a
la Privacidad es la Divulgación de Información Confidencial.
Integridad − La información debe ser consistente, fiable y no propensa a
alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la
modificación no autorizada de saldos en un sistema bancario o de
calificaciones en un sistema escolar.
Disponibilidad − La información debe estar en el momento que el usuario
requiera de ella. Un ataque a la disponibilidad es la negación de servicio (En
Inglés Denial of Service o DoS) o tirar el servidor
3. OBJETIVOS Y CRITERIOS DE LA AUDITORIA EN EL ÁREA DE LA
TELEINFORMÁTICA
Cada vez más las comunicaciones están tomando un papel determinante en
el tratamiento de datos, cumpliéndose el lema “el computador es la red”.
Mientras que comúnmente el directivo informático tiene amplios
conocimientos de comunicaciones están a la misma altura, por lo que el
EETSP – PUENTE PIEDRA Página 8
riesgo de deficiente anclaje de la gerencia de comunicaciones en el
esquema organizativo existe.
Por su parte, los informáticos a cargo de las comunicaciones suelen auto
considerarse exclusivamente técnicos, obviando considerar las aplicaciones
organizativas de su tarea. Todos estos factores convergen en que la
auditoría de comunicaciones no siempre se practique con la frecuencia y
profundidad equivalentes a las de otras áreas del proceso de datos.
Por tanto, el primer punto de una auditoría es determinar que la función de
gestión de redes y comunicaciones esté claramente definida, debiendo ser
responsable, en general, de las siguientes áreas
Gestión de la red, inventario de equipamiento y normativa de
conectividad.
Monitorización de las comunicaciones, registro y resolución de
problemas.
Revisión de costos y su asignación de proveedores y servicios de
transporte, balanceo de tráfico entre rutas y selección de
equipamiento.
Como objetivos del control, se debe marcar la existencia de:
Una gerencia de comunicaciones con autoridad para establecer
procedimientos y normativa.
4. PROCEDIMIENTOS Y REGISTROS DE INVENTARIOS Y CAMBIOS.
Funciones de vigilancia del uso de la red de comunicaciones, ajustes de
rendimiento, registro de incidencias y resolución de problemas.
Procedimientos para el seguimiento del costo de las comunicaciones y su
reparto a las personas o unidades apropiadas.
Auditando la red física
En una primera división, se establecen distintos riesgos para los datos que
circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto,
ha de auditarse hasta qué punto las instalaciones físicas del edificio ofrecen
garantías y han o estudiadas las vulnerabilidades existentes.
EETSP – PUENTE PIEDRA Página 9
En general, muchas veces se parte del supuesto de que si no existe acceso
físico desde el exterior a la red interna de una empresa las comunicaciones
internas quedan a salvo.
El equipo de comunicaciones se mantiene en habitaciones cerradas
con acceso limitado apersonas autorizadas.
La seguridad física de los equipos de comunicaciones, tales como
controladores de comunicaciones, dentro de las salas de
computadores sea adecuada.
Sólo personas con responsabilidad y conocimientos están incluidas
en la lista de personas permanentemente autorizadas para entrar en
las salas de equipos de comunicaciones.
Se toman medidas para separar las actividades de electricistas y
personal de tendido y mantenimiento de tendido de líneas telefónicas,
así como sus autorizaciones de acceso, de aquéllas del personal bajo
control de la gerencia de comunicaciones.
Facilidades de traza y registro del tráfico de datos que posean los
equipos de monitorización.
Procedimientos de aprobación y registro ante las conexiones a líneas
de comunicaciones en la detección y corrección de problemas.
En el plan general de recuperación de desastres para servicios de
información presta adecuada atención a la recuperación y vuelta al
servicio de los sistemas de comunicación de datos.
Existen planes de contingencia para desastres que sólo afecten a las
comunicaciones, como el fallo de una sala completa de
comunicaciones.
Las alternativas de respaldo de comunicaciones, bien sea con las
mismas salas o con salas de respaldo, consideran la seguridad física
de estos lugares.
Las líneas telefónicas usadas para datos, cuyos números no deben
ser públicos, tienen dispositivos/procedimientos de seguridad
tales comoretro-llamada, códigos de conexión o interruptores para
impedir accesos no autorizados al sistema informático.
EETSP – PUENTE PIEDRA Página 10
5. AUDITANDO LA RED LÓGICA
Cada vez más se tiende a que un equipo pueda comunicarse con cualquier
otro equipo, de manera que sea la red de comunicaciones el substrato
común que les une. Simplemente si un equipo, por cualquier circunstancia,
se pone a enviar indiscriminadamente mensajes, puede ser capaz de
bloquear la red completa y por tanto, al resto de los equipos de la
instalación.
Es necesario monitorizar la red, revisar los errores o situaciones anómalas
que se producen y tener establecidos los procedimientos para detectar
y aislar equipos en situación anómala. En general, si se quiere que la
información que viaja por la red no pueda ser espiada, la única solución
totalmente efectiva es la encriptación.
Como objetivos de control, se debe marcar la existencia de:
Contraseñas y otros procedimientos para limitar y detectar cualquier intento
de acceso no autorizado a la red de comunicaciones.
Facilidades de control de errores para detectar errores de transmisión y
establecer las retransmisiones apropiadas
Controles para asegurar que las transmisiones van solamente a usuarios
autorizados y que los mensajes no tienen por qué seguir siempre la misma
ruta.
EETSP – PUENTE PIEDRA Página 11
6. SÌNTOMAS DE RIESGO
Los profundos cambios que ocurren hoy, su complejidad y la velocidad con
los que se dan, son las raíces de la incertidumbre y el riesgo que las
organizaciones confrontan.
Las fusiones, la competencia global y los avances tecnológicos, las
desregulaciones, y las nuevas regulaciones, el incremento en la demanda de
los consumidores y de los habitantes, la responsabilidad social y ambiental
de las organizaciones.
PREVISIÓN DE RIESGOS
Tener en cuenta lo siguiente:
La evaluación de los riesgos inherentes a los diferentes subprocesos
de la Auditoría.
La evaluación de las amenazas o causas de los riesgos.
Los controles utilizados para minimizar las amenazas o riesgos.
La evaluación de los elementos del análisis de riesgos.
7. EJECUCIÓN DE AUDITORÍAS
TIPOS DE RIESGO:
Riesgo de Control: Es aquel que existe y que se propicia por falta de control
de las actividades de la empresa y puede generar deficiencias del Sistema
de Control Interno.
Riesgo de Detección: Es aquel que se asume por parte de los auditores
que en su revisión no detecten deficiencias en el Sistema de Control Interno.
Riesgo Inherente: Son aquellos que se presentan inherentes a las
características del Sistema de Control Interno.
8. EXISTENCIA DE ERRORES O IRREGULARIDADES.
a) Cuando el auditor tiene dudas sobre la integridad de los funcionarios de
la empresa.
EETSP – PUENTE PIEDRA Página 12
b) Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotación.
c) El desorden del departamento de contabilidad de una entidad implica
informes con retraso, registros de operaciones inadecuados, archivos
incompletos, cuentas no conciliadas, etc.
9. VERIFICAR FUNCIONES
Aspectos:
Existencia de un método para cerciorarse que los datos recibidos para su
valoración sean completos, exactos y autorizados emplear procedimientos
normalizados para todas las operaciones y examinarlos para asegurarse que
tales procedimientos son acatados;
Existencia de un método para asegurar una pronta detección de
errores y mal funcionamiento del Sistema de Cómputo;
deben existir procedimientos normalizados para impedir o advertir
errores accidentales, provocados por fallas de operadores o mal
funcionamiento de máquinas y programas.
10. SISTEMAS DE CONTROL DE RIESGOS
Sistemas Comunes de Gestión
- Servicios de Auditoría Interna
- Sistemas Comunes de Gestión
Desarrollan las normas internas y su método para la evaluación y el control
de los riesgos y representan una cultura común en la gestión de los
negocios, compartiendo el conocimiento acumulado y fijando criterios y
pautas de actuación.
11. OBJETIVOS
1. Identificar posibles riesgos
2. Optimizar la gestión diaria
3. Fomentar la sinergia y creación de valor de los distintos grupos de
negocio trabajando en un entorno colaborador.
4. Reforzar la identidad corporativa
EETSP – PUENTE PIEDRA Página 13
5. Alcanzar el crecimiento a través del desarrollo estratégico que busque la
innovación y nuevas opciones a medio y largo plazo.
NIVELES
a) todas las Unidades de Negocio y áreas de actividad.
b) todos los niveles de responsabilidad
c) todos los tipos de operaciones.
12. SERVICIOS DE AUDITORÍA.
Auditores internos con las demás áreas de la organización en los procesos
de mejora continua relacionados con:
- La identificación de los riesgos relevantes a partir de la definición de los
dominios o puntos clave de la organización.
- La estimación de la frecuencia con que se presentan los riesgos
identificados.
- La determinación de los objetivos específicos de control más
convenientes.
13. ¿QUÉ EVALÚAN LOS AUDITORES INTERNOS?
La cantidad y calidad de las exposiciones al riesgo referidas a la
administración, custodia y protección de los recursos disponibles,
operaciones y sistemas de información de la organización, teniendo en
cuenta la necesidad de garantizar a un nivel razonable.
OBJETIVOS
- Confiabilidad e integridad de la información financiera y operacional.
- Eficacia y eficiencia de las operaciones.
- Control de los recursos de todo tipo a disposición de la entidad.
- Cumplimiento de las leyes, reglamentos, políticas y contratos.
14. SERVICIOS DE CONSULTORÍA.
EETSP – PUENTE PIEDRA Página 14
Los auditores internos deben incorporar los conocimientos del riesgo
obtenidos de los trabajos de Consultoría en los procesos de identificación,
análisis y evaluación de las exposiciones de riesgo significativa en la
organización.
Los riesgos pueden provenir de:
Deficiencias en actividades generales del sistema de información
automatizado
DESARROLLO Y MANTENIMIENTO DE PROGRAMA
- Soporte tecnológico de los software de sistemas
- Operaciones
- Seguridad física
- Control sobre el acceso a programas.
La naturaleza de los riesgos y las características del Control Interno
- Falta de rastro de las transacciones.
- Falta de segregación de funciones.
15. TÉCNICAS Y HERRAMIENTAS AUDITORIA RELACIONADAS CON
SEGURIDAD TELEINFORMÁTICA
Teleinformática
“La ciencia que estudia el conjunto de técnicas que es necesario usar para
poder transmitir datos dentro de un sistema informático o entre puntos de él
situados en lugares remotos o usando redes de telecomunicaciones”
Objetivos
Reducir tiempo y esfuerzo.
Capturar datos en su propia fuente.
Centralizar el control.
Aumentar la velocidad de entrega de la información.
Reducircostos de operación y de captura de datos.
Aumentar la capacidad de las organizaciones, a un costo incremental
razonable.
Aumentar la calidad y la cantidad de la información.
EETSP – PUENTE PIEDRA Página 15
Mejorar el sistema administrativo
Las técnicas de comunicación se estructuran en:
Niveles: físico
Enlace de datos
Red
Transporte
Sesión
Presentación
Aplicación.
Redes de área local
Red Internet y su protocolo TCP/IP
Programas de Comunicación y Gestión de Red. Utilizando Técnicas
teleinformáticas:
Cuando se desea reducir un elevado volumen de correo, de llamadas
telefónicas o de servicios de mensajería.
En los casos en que se efectúen muy a menudo operaciones
repetitivas
Cuando sea necesario aumentar la velocidad de envío de la
información
En la ejecución de operaciones descentralizadas.
Para mejorar el control, descentralizando la captura de datos y
centralizando su procesamiento.
En los casos en que es necesario disminuir riesgos en el
procesamiento de la información
Cuando sea menester mejorar la actividad de planificación en la
organización.
EETSP – PUENTE PIEDRA Página 16
CONCLUSIONES
Las auditorias informáticas están formadas obteniendo información, datos y
documentación de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes medios. El trabajo del auditor consiste en lograr obtener toda la
información necesaria para emitir un juicio global objetivo, siempre amparando las
evidencias comprobatorias.
El auditor debe estar capacitado para comprender los mecanismos que se
desarrollan en un procesamiento electrónico. También debe estar preparado para
enfrentar sistemas computarizados en los cuales se encuentra la información
necesaria para auditar.
Toda empresa, pública o privada, que posean Sistemas de Información
medianamente complejos, deben de someterse a un control estricto
de evaluación de eficacia y eficiencia. Hoy en día, la mayoría de
las empresas tienen toda su información estructurada en Sistemas Informáticos,
de aquí, la vital importancia que los sistemas de información funcionen
correctamente.. El éxito de una empresa depende de la eficiencia de sus sistemas
de información. Una empresa puede contar con personal altamente capacitado,
pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la
empresa nunca saldrá a adelante.
En conclusión la auditoria informática es la indicada para evaluar de manera
profunda, una determinada organización a través de su sistema de información
automatizado, de aquí su importancia y relevancia.
BIBLIOGRAFIA
EETSP – PUENTE PIEDRA Página 17
- Obra: Diccionario de administración y finanzas Editorial: Océano Año: 2003
- Obra: Diccionario Océano Uno Editorial: Grupo Océano Año: 1993
- Autor: Roxana Duran. / Haydee de Trigueros
Obra: Evolución de mercado de servicios micro financieros de El Salvador
- Editorial: AGA&AsociadosAño: 2004 Autor: Peter Norton Obra: Introducción
a la Computación Editorial: Mc Graw Hill México 2000
EETSP – PUENTE PIEDRA Página 18