Unidad 1 parte 1
13
MINISTERIO DE EDUCACIÓN UNIVERSITARIO INSTITUTO UNIVERSITARIO TECNOLÓGICO DE EJIDO DEPARTAMENTO DE TECNOLÓGIA AREA: INFORMÁTICA Unidad I: AUDITORIA DE SISTEMAS Parte I INTRODUCCIÓN A LA AUDITORIA DE SISTEMA El continuo crecimiento de la dependencia hacia los sistemas tecnológicos que soportan los procesos de negocio de las organizaciones, hacen que las organizaciones comprendan y administren los riesgos asociados con la implantación y mantenimiento de las nuevas tecnologías, cada vez más complejas y cambiantes. A su vez, el desarrollo normal de las actividades comerciales y financieras de las empresas requiere una constante vigilancia y evaluación; asimismo, las empresas necesitan una opinión “del Auditor”, preferiblemente independiente, que les ayude a medir la eficiencia y eficacia en el cumplimiento de sus objetivos. Estas nuevas tecnologías y la dinámica de cambio continuo que de ellas se deriva, requieren una función de auditoría informática o de sistemas calificada, competente y objetiva, que pueda entender y evaluar el riesgo en los sistemas de información y conlleve en el mejoramiento del control interno, la eficacia de los procesos y la aplicación de MEJORES PRACTICAS orientadas a una adecuada administración del riesgo tecnológico. Donde, la evaluación de esos riesgos, consiste en una revisión metódica, periódica e intelectual de los registros, tareas y resultados de la empresa, con lo cual se busca medir y diagnosticar el comportamiento global en el desarrollo de sus actividades y operaciones.
Transcript of Unidad 1 parte 1
MINISTERIO DE EDUCACIÓN UNIVERSITARIOINSTITUTO UNIVERSITARIO TECNOLÓGICO DE EJIDO
DEPARTAMENTO DE TECNOLÓGIAAREA: INFORMÁTICA
Unidad I: AUDITORIA DE SISTEMAS
Parte I
INTRODUCCIÓN A LA AUDITORIA DE SISTEMA
El continuo crecimiento de la dependencia hacia los sistemas tecnológicos que soportan los procesos de negocio de las organizaciones, hacen que las organizaciones comprendan y administren los riesgos asociados con la implantación y mantenimiento de las nuevas tecnologías, cada vez más complejas y cambiantes.
A su vez, el desarrollo normal de las actividades comerciales y financieras de las empresas requiere una constante vigilancia y evaluación; asimismo, las empresas necesitan una opinión “del Auditor”, preferiblemente independiente, que les ayude a medir la eficiencia y eficacia en el cumplimiento de sus objetivos. Estas nuevas tecnologías y la dinámica de cambio continuo que de ellas se deriva, requieren una función de auditoría informática o de sistemas calificada, competente y objetiva, que pueda entender y evaluar el riesgo en los sistemas de información y conlleve en el mejoramiento del control interno, la eficacia de los procesos y la aplicación de MEJORES PRACTICAS orientadas a una adecuada administración del riesgo tecnológico. Donde, la evaluación de esos riesgos, consiste en una revisión metódica, periódica e intelectual de los registros, tareas y resultados de la empresa, con lo cual se busca medir y diagnosticar el comportamiento global en el desarrollo de sus actividades y operaciones.
CONCEPTO BÁSICO DE AUDITORIA EN SISTEMA.
¿Conocer que es la auditoria?
Inicialmente, la auditoria se limitó a las verificaciones de los registros contables, dedicándose a observar si los mismos eran exactos. Por lo tanto esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros.
Con el tiempo, el campo de acción de la auditoria ha continuado extendiéndose; aun hay quienes creen y practican auditorias con el único objetivo de observar la veracidad y exactitud de los registros.
Entonces, definiremos primeramente, la palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.
Algunos autores proporcionan otros conceptos, tales como:
Según la definición de Rojas, “la auditoria de sistemas es la parte de la auditoria interna que se encarga de llevar a cabo la evaluación de normas, técnicas y procedimientos que se tiene establecido en una empresa para lograr la confidencialidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través computadores, es decir en estas evaluaciones se están involucrando tanto los elementos técnicos como humanos que intervienen en el proceso de la evaluación”.
También es conveniente definir el concepto de Echenique, “la auditoria en informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática; de los equipos de computo, su utilización, eficiencia y seguridad de la organización que participa en el procesamiento de la información”.
Tomando en cuenta los criterios anteriores podemos decir que la auditoria de sistema se encarga de la evaluación de todos los aspectos relacionados con los recursos informáticos de la organización como son software, hardware, talento humano, funciones y procedimientos, enfocados todos ellos desde el punto de vista administrativo, técnico de seguridad para salvaguardar activos y para prevenirle a la empresa aquellos riesgos originados por omisiones, errores, violaciones, actos mal intencionados, asesorando y proporcionando recomendaciones y sugerencias a nivel directivo para lograr un adecuado control interno en la empresa.
Objetivos generales de una auditoria en sistemas.
Buscar una mejor relación factibilidad de los sistemas automáticos o computarizados diseñados e implantados.
Incrementar la satisfacción de los usuarios de los sistemas computarizados.
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Apoyo de función informática a las metas y objetivos de la organización.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.
Minimizar existencias de riesgos en el uso de Tecnología de información.
Decisiones de inversión y gastos innecesarios.
Capacitación y educación sobre controles en los Sistemas de Información.
RECORDATORIO
El Auditor de Sistemas actúa sobre el área de sistemas de información, normalmente representada por los siguientes componentes:
-Desarrollo de sistemas de información
-Asesoría técnica a usuarios
-Apoyo técnico
-Conocimientos de Hardware y Software
-Base de datos
-Manejo de personal
Alcances de la Auditoria de sistemas
El auditor de sistemas podrá enfocar su revisión en distintos aspectos, algunos de los más críticos se describen a continuación
Administración del departamento de sistemas: Se debe comprobar la suficiencia de recursos humanos y la segregación de funciones.
Control de actividades del área de sistemas: Verificar la existencia y seguimiento de un plan estratégico de sistemas que este alineado con el plan estratégico de la organización en su conjunto. Dicho plan debería ser reflejado en planes anuales del área de sistemas que incluirían detalle de las tareas a realizar por el área en función a determinados plazos y recursos.
Control de tareas de desarrollo: Revisión de la existencia, calidad y cumplimiento de normas, políticas y procedimientos de desarrollo de software que permitan llevar a cabo tareas homogéneas entre diferentes proyectos.
Control sobre las tareas de mantenimiento y los cambios a programas.
Muchas veces las organizaciones se ven afectadas por cambios propiciados por entes regulatorios, de fiscalización, por el ingreso de nuevos servicios y/o productos al mercado, los cuales generan la necesidad de adecuar el sistema a las nuevas necesidades.
Esto implica la realización de cambios en los programas, los mismos que deben ser controlados, para lo cual se efectúa el diseño, la programación, las pruebas y la puesta en producción, estos aspectos deben ser controlados de manera adecuada.
Seguridad lógica: La revisión de la seguridad lógica permitirá emitir una conclusión sobre:
La administración de perfiles de usuario.
La administración de passwords.
Control de privilegios especiales
La generación de BackUps (Respaldos de datos).
La generación de Logs. (registro de actividades en el sistema)
Los virus y otros.
La existencia y características de un plan de contingencia de la organización.
Seguridad física: Verificar la existencia y eficiencia de elementos que permitan asegurar las condiciones mínimas para un buen funcionamiento de los equipos principales de la organización, inclusive en caso de emergencias, esto puede incluir UPS, generadores de energía, aire acondicionado, piso falso, detector de humo y extintores. El acceso restringido a hardware y equipo de apoyo crítico.
Control de proyectos: El auditor debe verificar que para los proyectos de TI se lleve a cabo una adecuada técnica o metodología de administración de proyectos a fin de que se produzcan los resultados deseados en tiempo, forma y presupuesto.
Continuidad de operaciones: El auditor debe verificar el grado de preparación del área de tecnología ante situaciones contingentes o desastres, a fin de mantener la continuidad de las operaciones de forma aceptable y recuperar la normalidad en tiempos de respuesta adecuados.
Tipos de Auditoria y sus Características.
Existen una gran confusión entre lo que es auditoria y la relación que tiene con otras áreas organizativas de las empresas y organizaciones, por lo tanto comenzaremos con el análisis de la clasificación de los tipos de auditoria con el fin de identificar los criterios, características y especificaciones de esta disciplina profesional.
c
Tipo de Auditoria
Por su área de Aplicación
Por su Lugar de Aplicación
Financiera Administrativa Operacional Integral y de Sistemas
Interna
Externa
Por su área de Aplicación
La clasificación por área de aplicación, se refiere al ámbito específico donde se lleva a cabo las actividades y operaciones que serán auditadas, ubicando a cada tipo de auditoria de acuerdo con el área de trabajo e influencia de la rama o especialidad que será evaluada. A continuación se indicara una breve definición de cada uno de los tipos tomando en cuenta su área de aplicación:
Financiera (Contable)
Administrativa
Operacional
Integral
Informática y de Sistemas
Por su Lugar de Aplicación
Auditoria Externa
Auditoria Interna
RECOMENDACIÓN: al terminar de internalizar los saberes de la unidad I, responder:
¿Qué diferencia hay entre un analista, desarrollador y auditor de sistemas?
MINISTERIO DE EDUCACIÓN UNIVERSITARIOINSTITUTO UNIVERSITARIO TECNOLÓGICO DE EJIDO
DEPARTAMENTO DE TECNOLÓGIAAREA: INFORMÁTICA
Unidad I: AUDITORIA DE SISTEMAS
Parte II
ENSAYO Nº 1
PUNTOS A INVESTIGAR SOBRE
AUDITORIA DE SISTEMAS
Realizar un ensayo basado en el análisis crítico y argumentativo donde deberá expresar su reflexión mediante juicio de valor y opiniones justificado y con argumentos que pueden basarse en citas o referencias
Esquema de Trabajo
Portada Introducción (no más de 1 cuartillas) Contenido: (no mas de 5 cuartillas)
o Verificacióno Evidencia, Definición y tiposo Amenaza o Delitos Informáticos.o Riesgo de la Auditoriao Controles, definición y tipos o Rol del Auditor
Perfil del auditor Actividades del auditor informático
Conclusiones (no más de 1 cuartillas) Referencia Bibliográfica. (no más de 1 cuartillas)
Recomendaciones:
Consultar Libros como:
Auditoria informática un enfoque práctico Mario Piattini
Auditoria en sistemas computacionales Carlos Muños Razo.
Profesor: Ing. Jimi Quintero
