Auditoria (Auditorius): todo aquel que tiene la virtud de oir, Es un examen crítico pero no mecánico que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo
¿De donde Proviene la Auditoria?Nace como una forma de controlar las activdades de algunas instituciones estatales y privadas, su funcion inicial era estrictamente economico-financiero
Auditoria de Sistemas
La auditoria es la disciplina que provee de herramientas a los auditores para La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia
Objetivos de la Auditoria de Sistemas
- Control de la función informática
- Análisis de la eficiencia de los sistemas informáticos
- Verificación del cumplimiento de la normativa general de la empresa
- Revisión de la eficiencia, eficacia y economicidad de los recursos materiales y humanos informáticos
Esta referido fundamentalmente a la adopción de medidas preventivas, que tienen como finalidad salvaguardar los bienes de la empresa. Busca evitar acciones nefastas como sabotajes, fraudes y otro tipo de situaciones que lleven a inestabilidad o desaparición del negocio.
Carlos Muñoz Razzo “El control interno es la adopción de una serie de medidas que se establecen en las empresas, con el propósito de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales y así ayudar a la administración para el cumplimiento correcto de las actividades y operaciones de las empresas”.
José Antonio Echenique :“El control interno comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus actividades, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y proveer la adherencia a las políticas prescritas por la administración”
CONTROL INTERNO INFORMATICO
Se encarga de que el control de las actividades informáticas, se realicen cumpliendo los estándares fijados por la organización. Este control debe tener carácter preventivo, detectivo y correctivo.
Esta encargada de detectar intromisiones no autorizadas (intrusos)
AUDITORIA DE SISTEMAS
AUDITORIA DE SEGURIDAD DE SISTEMAS DE INFORMACION
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.
Síntomas de Necesidad de una Auditoría Informática y de sistemas- Las medidas preventivas son aquellas orientadas a la prevención de riesgos o situaciones anómalas a las fijadas en la institución. Un ejemplo de esto es prevenir accesos no deseados a las aplicaciones.
- Las medidas detectivas son aquellas que muestran evidencia de incumplimiento o intentos de quebrantar los estándares fijados. Podríamos citar como situación ilustrativa la revisión de la bitácora de accesos fallidos a las aplicaciones con el fin de detectar horas y equipos desde donde se hace los intentos fallidos de acceso.
- Las medidas correctivas se orientan a recuperarnos ante la vulnerabilidad de las medidas preventivas. Van a ser evaluadas por su efectividad y tiempos de respuesta. Ejemplo de esto es las medidas orientadas a recuperase de los daños ocasionados por un acceso no deseado.
- Auditoria Informatica de Seguridad
- Auditoria Informatica de Datos
- Auditoria de Sistemas
Esta encargada de detectar intromisiones no autorizadas (intrusos)
- Tambien se encarga de prevenir dichas intromisiones
- Se preocupa de detectar y prevenir delitos frecuentes como:
- Espionaje cibernetico a computadoras
- Espionaje a redes computacionales
- Intromision en las CPDs
- Etc
- Observa los resultados que se producen como salida en los computadores
- Generalemente dependen directamente de los datos con que alimentamos
- Por lo tanto si los datos son erroneos va a producirse informacion resultante erronea
- Las Empresas no se preocupan de la calidad de los datos de entrada, los cuales si estan errados provocan un "efecto cascada" es decir afectan incluso a aplicaciones idependientes
AUDITORIA DE SISTEMAS- Una Amenaza latente para las empresas es que toda su gestion se apoye en un sistema informatico erroneo o mal diseñado
- Entonces la auditoria de sistemas debe tratar de corregir los problemas que suceden en estos caso o evitar que sucedan
AUDITORIA DE SEGURIDAD DE SISTEMAS DE INFORMACION
Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.
Estos síntomas pueden agruparse en clases:
- Síntomas de descoordinación y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
- Síntomas de mala imagen e insatisfacción de los usuarios:
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos.
- Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Síntomas de Inseguridad:
- Evaluación de nivel de riesgos
- Seguridad Lógica
- Seguridad Física
- Confidencialidad
- Los datos son propiedad inicialmente de la organización que los genera.
Procedimientos
- Se procede a recopilar, clasificar y evaluar evidencia de manera de verificar si un sistema informatico esta cumpliendo con el resguardo de los activos
- Mantiene la integridad y seguridad de los datos
- Si el RRHH cumple efizcamente con los objetivos de la organizacion y utiliza efectivamente los recursos que ella posee
Para ello:
- Participar en las revisiones durante y despues del diseño, desarrollo, implementacion y explotacion de las aplicaciones informaticas, asi como tambien, en cualquier tipo de cambios que suceda,
- Revisar y juzgar el niivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e informacion
- Eficacia: Cumplir con los Requerimientos de Usuario
- Eficiencia: Utilizar recursos de manera optima
- Seguridad: Mitigar adecuadamente los riesgos
PERFIL DE UN AUDITOR INFORMATICO
- Formacion tecnica, universitaria o equivalente
- Experiencia en estudios de auditoria
- Conocimientos profunos de computacion, solida experiencia en analisis, diseño y programacion de sistemas computacionales, y conocimientos de sistemas operativvos
- Analisis y Codificacion de programas de auditoria
- En la medida de los posible, independecia
- Etica,idoneidad y normas profesionales
- Realizar trabajos planificados
- Ejecucion Profesional
- Saber confeccionar informes de acuerdo al trabajo realizado
- Constancia, flexibilidad y caracteristicas personales de perfeccionamiento
METODOLOGIA DE TRABAJO DE LA AUDITORIA INFORMATICA
El método de trabajo del auditor pasa por las siguientes etapas:
- Alcance y Objetivos de la Auditoría Informática.
- Estudio inicial del entorno auditable.
- Organización
- Organigrama
- Departamentos
- Relaciones Jerárquicas y funcionales entre órganos de la Organización
- Flujos de Información
- Número de Puestos de trabajo
- Número de personas por Puesto de Trabajo
- Determinación de los recursos necesarios para realizar la auditoría.
- Elaboración del plan y de los Programas de Trabajo.
- Actividades propiamente dichas de la auditoría.
- Confección y redacción del Informe Final.
- Redacción de la Carta de Introducción o Carta de Presentación del Informe final.
- Alcance y Objetivos de la Auditoría Informática
El control interno Informático y la auditoría Informática, tienen similitudes en sus objetivos profesionales. Son campos análogos que propician una transición natural entre ambas disciplinas. Sin embargo existen diferencias que conviene resaltar.
ORGANISMOS DE NORMALIZACION
La Contraloría General de la República es el órgano superior del Sistema Nacional de Control, que cautela el uso eficiente, eficaz y económico de los recursos del Estado
La correcta gestión de la deuda pública, así como la legalidad de la ejecución del presupuesto del sector público y de los actos de las instituciones sujetas a control.
Ayudando al logro de los objetivos del Estado en eldesarrollo nacional y bienestar de la sociedad peruana
La correcta gestión de la deuda pública, así como la legalidad de la ejecución del presupuesto del sector público y de los actos de las instituciones sujetas a control.
Ayudando al logro de los objetivos del Estado en eldesarrollo nacional y bienestar de la sociedad peruana
El Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual - INDECOPI- fue creado mediante Decreto Ley N° 25868 para promover en la economía peruana una cultura de leal y honesta competencia y para proteger todas las formas de propiedad intelectual: desde los signos distintivos y los derechos de autor hasta las patentes y la biotecnología.
NORMAS
NTP ISO/IEC 17799: IDI. Tecnologia de la Informacion, codigo de buenas practicas para la gestion de la seguridad de la Informacion, 2da edicion
Esta Norma Técnica Peruana establece recomendaciones para realizar la gestión de lav seguridad de la información que pueden utilizarse por los responsables de iniciar , implantar o mantener la seguridad en una organización. Persigue proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad, así como proporcionar confianza en las relaciones entre organizaciones. Las recomendaciones que se establecen en esta NTP deberían elegirse y utilizarse de acuerdo con la legislación aplicable en a materia
ISO/IEC 12207
Establece un proceso de ciclo de vida para el software que incluye procesos y actividades que se aplican desde la definición de requisitos, pasando por la adquisición y configuración de los servicios del sistema, hasta la finalización de su uso. Este estándar tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común
ISO 9001
Propone la implementación de sistemas de gestión y aseguramiento de la CALIDAD,
El protocolo IEEE 802.11 o WI-FI es un estándar de protocolo de comunicaciones del IEEE que define el uso de los dos niveles más bajos de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. En general, los protocolos de la rama 802.x definen la tecnología de redes de área local.
Se enfoca básicamente en el desarrollo de estándares para redes tipo PAN o HAN redes inalámbricas de corta distancia. Al igual que Bluetooth
NORMAS UNE
Las UNE, Una Norma Española, son un conjunto de normas tecnológicas creadas por los Comités Técnicos de Normalización (CTN), de los que forman parte todas las entidades y agentes Norma implicados e interesados en los trabajos del comité.
COBIT (Control Objectives for Information and related Technology/ Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas).
Es el modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
Estándares de Auditoría Informática y de SeguridadISO/IEC 12207
Establece un proceso de ciclo de vida para el software que incluye procesos y actividades que se aplican desde la definición de requisitos, pasando por la adquisición y configuración de los servicios del sistema, hasta la finalización de su uso. Este estándar tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común
ISO 9001
Propone la implementación de sistemas de gestión y aseguramiento de la CALIDAD,
- Aplicación:
- Diseño
- Producción,
- Instalación
- Servicio post-venta
El protocolo IEEE 802.11 o WI-FI es un estándar de protocolo de comunicaciones del IEEE que define el uso de los dos niveles más bajos de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. En general, los protocolos de la rama 802.x definen la tecnología de redes de área local.
Se enfoca básicamente en el desarrollo de estándares para redes tipo PAN o HAN redes inalámbricas de corta distancia. Al igual que Bluetooth
NORMAS UNE
Las UNE, Una Norma Española, son un conjunto de normas tecnológicas creadas por los Comités Técnicos de Normalización (CTN), de los que forman parte todas las entidades y agentes Norma implicados e interesados en los trabajos del comité.
COBIT (Control Objectives for Information and related Technology/ Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas).
Es el modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
Una auditoría se realiza con base a un patron o conjunto de directrices o buenas practicas sugeridas.
Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas".
Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.
Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas".
Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.
No hay comentarios:
Publicar un comentario