Portada » Economía » Ejemplo de una auditoria informática en una empresa
Ejemplo de una auditoria informática en una empresa
EL TERMINO DE AUDITORÍA
SE HA EMPLEADO INCORRECTAMENTE CON FRECUENCIA YA QUE SE HA CONSIDERADO COMO UNA EVALUACIÓN CUYO ÚNICO FIN ES DETECTAR ERRORES Y SEÑALAR FALLAS.
LA AUDITORÍA
ES UN EXAMEN CRÍTICO QUE NO IMPLICA LA PREEXISTENCIA DE FALLAS EN LA ENTIDAD AUDITADA Y QUE PERSIGUE EL FIN DE EVALUAR Y MEJORAR LA EFICACIA Y EFICIENCIA DE UNA SECCIÓN O DE UN ORGANISMO.
TIPOS DE AUDITORIAS
AUDITORÍA INFORMÁTICA DE EXPLOTACIÓN , AUDITORÍA INFORMÁTICA DE DESARROLLO DE PROYECTOS O APLICACIONES , AUDITORÍA INFORMÁTICA DE SISTEMAS , AUDITORÍA INFORMÁTICA DE COMUNICACIÓN DE REDES , AUDITORÍA DE LA SEGURIDAD INFORMÁTICA
AUDITORIA Informática DE Explotación
LA EXPLOTACIÓN INFORMÁTICA SE OCUPA DE PRODUCIR RESULTADOS, TALES COMO LISTADOS, ARCHIVOS SOPORTADOS MAGNÉTICAMENTE, ORDENES AUTOMATIZADAS, MODIFICACIÓN DE PROCESOS, ETC. PARA REALIZAR LA EXPLOTACIÓN INFORMÁTICA SE DISPONE DE DATOS, LAS CUALES SUFREN UNA TRANSFORMACIÓN Y SE SOMETEN A CONTROLES DE INTEGRIDAD Y CALIDAD .
AUDITORÍA INFORMÁTICA DE DESARROLLO DE PROYECTOS O APLICACIONES :
FASES: PRERREQUISITOS DEL USUARIO Y DEL ENTORNO , ANÁLISIS FUNCIONAL , DISEÑO , ANÁLISIS ORGÁNICO (PRE-PROGRAMACIÓN Y PROGRAMACIÓN) , PRUEBAS , EXPLOTACIÓN
AUDITORIA Informática DE SISTEMAS:
SE OCUPA DE ANALIZAR LA ACTIVIDAD QUE SE CONOCE COMO TÉCNICA DE SISTEMAS, EN TODOS SUS FACTORES. LA IMPORTANCIA CRECIENTE DE LAS TELECOMUNICACIONES PROPICIA DE QUE LAS COMUNICACIONES, LÍNEAS Y REDES DE LAS INSTALACIONES INFORMÁTICAS SE AUDITEN POR SEPARADO, AUNQUE FORMEN PARTE DEL ENTORNO GENERAL DEL SISTEMA.
AUDITORIA INFORMÁTICA DE COMUNICACIÓN Y REDES :
ESTE TIPO DE AUDITORÍA DEBERÁ INQUIRIR O ACTUAR SOBRE ÍNDICES DE UTILIZACIÓN DE LAS LÍNEAS CONTRATADAS CON INFORMACIÓN SOBRE TIEMPOS DE USO, DEBERÁ CONOCER LA TOPOLOGÍA DE LA RED DE COMUNICACIONES, YA SEA LA ACTUAL O LA DESACTUALIZADA. DEBERÁ CONOCER CUANTAS LÍNEAS EXISTEN, COMO SON, DONDE ESTÁN INSTALADAS, Y SOBRE ELLAS HACER UNA SUPOSICIÓN DE INOPERATIVIDAD INFORMÁTICA.
AUDITORIA DE LA SEGURIDAD Informática:
SE DEBE TENER PRESENTE LA CANTIDAD DE INFORMACIÓN ALMACENADA EN EL COMPUTADOR, LA CUAL EN MUCHOS CASOS PUEDE SER CONFIDENCIAL, YA SEA INDIVIDUOS, LAS EMPRESA O LAS INSTITUCIONES, LO QUE SIGNIFICA QUE SE DEBE CUIDAR DEL MAL USO DE ESTA INFORMACIÓN, DE LOS ROBOS, LOS FRAUDES, SABOTAJES Y SOBRE TODO DE LA DESTRUCCIÓN PARCIAL O TOTAL.
OBJETIVOS GRALS DE LA AUDITORIA DE SISTEMAS
BUSCAR UNA MEJOR RELACIÓN COSTO – BENEFICIO DE LOS SISTEMAS AUTOMÁTICOS O COMPUTARIZADOS DISEÑADOS E IMPLEMENTADOS.
INCREMENTAR LA SATISFACCIÓN DE LOS USUARIOS DE LOS SISTEMAS COMPUTARIZADOS.
ASEGURAR UNA MAYOR INTEGRIDAD, CONFIDENCIALIDAD DE LA INFORMACIÓN MEDIANTE LA RECOMENDACIÓN DE SEGURIDADES Y CONTROLES.
CONOCER LA SITUACIÓN ACTUAL DEL ÁREA INFORMÁTICA Y LAS ACTIVIDADES Y ESFUERZOS NECESARIOS PARA LOGRAR LOS OBJETIVOS PROPUESTOS.
SEGURIDAD DE PERSONAL, DATOS, HARDWARE, SOFTWARE E INSTALACIONES.
APOYO DE FUNCIÓN INFORMÁTICA A LAS METAS Y OBJETIVOS DE LA ORGANIZACIÓN.
SEGURIDAD, UTILIDAD, CONFIANZA, PRIVACIDAD, Y DISPONIBILIDAD EN EL AMBIENTE INFORMÁTICO.
MINIMIZAR EXISTENCIAS DE RIESGOS EN EL USO DE TECNOLOGÍA DE INFORMACIÓN.
DECISIONES DE INVERSIÓN Y GASTOS INNECESARIOS
CAPACITACIÓN Y EDUCACIÓN SOBRE CONTROLES EN LOS SISTEMAS DE INFORMACIÓN
JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORIA :
AUMENTO CONSIDERABLE E INJUSTIFICADO DEL PRESUPUESTO DEL PAD (DEPARTAMENTO DE PROCESAMIENTO DE DATOS) , DESCONOCIMIENTO EN EL NIVEL DIRECTIVO DE LA SITUACIÓN INFORMÁTICA DE LA EMPRESA , FALTA TOTAL O PARCIAL DE SEGURIDADES LÓGICAS Y FÍSICAS QUE GARANTICEN LA INTEGRIDAD DEL PERSONAL, EQUIPOS E INFORMACIÓN , DESCUBRIMIENTO DE GRANDES EFECTUADOS CON EL COMPUTADOR , FALTA DE PLANIFICACIÓN INFORMÁTICA
CarácterÍSTICAS DE LA AUDITORIA DE SISTEMAS :
LA INFORMACIÓN DE LA EMPRESA Y PARA LA EMPRESA, SIEMPRE IMPORTANTE, SE HA CONVERTIDO EN UN ACTIVO REAL DE LA MISMA, COMO SUS STOCKS O MATERIAS PRIMAS SI LAS HAY. POR ENDE, HAN DE REALIZARSE INVERSIONES INFORMÁTICAS. DEL MISMO MODO, LOS SISTEMAS INFORMÁTICOS HAN DE PROTEGERSE DE MODO GLOBAL Y PARTICULAR
SÍNTOMAS DE NECESIDAD DE UNA AUDITORÍA
INFORMÁTICA:
LAS EMPRESAS ACUDEN A LAS AUDITORÍA EXTERNAS CUANDO EXISTEN SÍNTOMAS BIEN PERCEPTIBLES DE DEBILIDAD. ESTOS SÍNTOMAS PUEDEN AGRUPARSE EN CLASES:
A) SÍNTOMAS DE DESCOORDINACIÓN Y DESORGANIZACIÓN:
N O COINCIDEN LOS OBJETIVOS DE LA INFORMÁTICA DE LA COMPAÑÍA Y DE LA PROPIA COMPAÑÍA.
B) SÍNTOMAS DE MALA IMAGEN E INSATISFACCIÓN DE LOS USUARIOS:
N O SE ATIENDEN LAS PETICIONES DE CAMBIOS DE LOS USUARIOS.
C) SÍNTOMAS DE DEBILIDADES ECONÓMICO – FINANCIERO:
I NCREMENTO DESMESURADO DE COSTOS NECESIDAD DE JUSTIFICACIÓN DE INVERSIONES INFORMÁTICAS
D) SÍNTOMAS DE INSEGURIDAD: EVALUACIÓN DE RIESGOS
SEGURIDAD LÓGICA Y SEGURIDAD FÍSICA
CONFIDENCIALIDAD
EL AUDITOR
SOLO PUEDE EMITIR UN JUICIO GLOBAL O PARCIAL BASADO EN HECHOS Y SITUACIONES INCONTROVERTIBLES, CARECIENDO DE PODER PARA MODIFICAR LA SITUACIÓN ANALIZADA POR ÉL MISMO.
LA AUDITORÍA INTERNA
ES LA REALIZADA CON RECURSOS MATERIALES Y PERSONAS QUE PERTENECEN A LA EMPRESA AUDITADA. LOS EMPLEADOS QUE REALIZAN ESTA TAREA SON REMUNERADOS ECONÓMICAMENTE.
LA AUDITORÍA EXTERNA
ES REALIZADA POR PERSONAS AFINES A LA EMPRESA AUDITADA; ES SIEMPRE REMUNERADA. SE PRESUME UNA MAYOR OBJETIVIDAD QUE EN LA AUDITORÍA INTERNA
UNA EMPRESA QUE POSEE AUDITORÍA INTERNA PUEDE Y DEBE EN OCASIONES CONTRATAR SERVICIOS DE AUDITORÍA EXTERNA, LAS RAZONES PARA HACERLO SUELEN SER: NECESIDAD DE AUDITAR UNA MATERIA DE GRAN ESPECIALIZACIÓN.CONTRATAR ALGÚN INFORME INTERNO.
EL ALCANCE DE LA AUDITORÍA
EXPRESA LOS LIMITES DE LA MISMA. DEBE EXISTIR UN ACUERDO MUY PRECISO ENTRE AUDITORES Y CLIENTES SOBRE LAS FUNCIONES, LAS MATERIAS, Y LAS ORGANIZACIONES A AUDITAR. EL ALCANCE HA DE DEFINIR CON PRECISIÓN EL ENTORNO Y LOS LIMITES EN QUE SE VA A DESARROLLAR LA AUDITORÍA INFORMÁTICA, SE COMPLEMENTA CON LOS OBJETIVOS DE ESTA.
LA SEGURIDAD INFORMÁTICA
GENERALMENTE CONSISTE EN ASEGURAR QUE LOS RECURSOS DEL SISTEMA DE INFORMACIÓN DE UNA ORGANIZACIÓN SEAN UTILIZADOS DE LA MANERA QUE SE DecidíÓ Y QUE LA INFORMACIÓN QUE SE CONSIDERA IMPORTANTE NO SEA FÁCIL DE ACCEDER POR CUALQUIER PERSONA QUE NO SE ENCUENTRE ACREDITADA
PODEMOS ENTENDER COMO SEGURIDAD
UN ESTADO DE CUALQUIER SISTEMA (INFORMÁTICO O NO) QUE NOS INDICA QUE ESE SISTEMA ESTÁ LIBRE DE PELIGRO, DAÑO O RIESGO.
Características DE UN SISTEMA SEGURO
INTEGRIDAD:
LA INFORMACIÓN NO PUEDE SER ACCESADA, MODIFICADA O BORRADA POR QUIEN NO ESTÁ AUTORIZADO
CONFIDENCIALIDAD:
LA INFORMACIÓN SOLO DEBE SER LEGIBLE PARA LOS AUTORIZADOS
DISPONIBILIDAD:
DEBE ESTAR DISPONIBLE DONDE Y CUANDO SE NECESITA
IRREFUTABILIDAD
: (NO-RECHAZO O NO REPUDIO) QUE NO SE PUEDA NEGAR LA AUTORÍA
ES EL OBJETO DE MAYOR VALOR PARA UNA ORGANIZACIÓN, EL OBJETIVO ES EL RESGUARDO DE LA INFORMACIÓN, INDEPENDIENTEMENTE DEL LUGAR EN DONDE SE ENCUENTRE REGISTRADA, EN ALGÚN MEDIO ELECTRÓNICO O FÍSICO.
DEPENDIENDO DE LAS FUENTES DE AMENAZAS, LA SEGURIDAD PUEDE DIVIDIRSE EN
SEGURIDAD FÍSICA Y SEGURIDAD LÓGICA.
SEGURIDAD Física:
LA SEGURIDAD DE LA MISMA SERÁ NULA SI NO SE HA PREVISTO COMO COMBATIR UN INCENDIO O CUALQUIER OTRO TIPO DE DESASTRE NATURAL Y NO TENER PRESENTE POLÍTICAS CLARAS DE RECUPERACIÓN. LA SEGURIDAD FÍSICA ES UNA DE LOS ASPECTOS MÁS OLVIDADOS A LA HORA DEL DISEÑO DE UN SISTEMA INFORMÁTICO. LA APLICACIÓN DE BARRERAS FÍSICAS Y PROCEDIMIENTOS DE CONTROL, COMO MEDIDAS DE PREVENCIÓN Y CONTRAMEDIDAS ANTE AMENAZAS A LOS RECURSOS E INFORMACIÓN CONFIDENCIAL.LOS CONTROLES Y MECANISMOS DE SEGURIDAD DENTRO Y ALREDEDOR DEL CENTRO DE CÓMPUTO, ASÍ COMO LOS MEDIOS DE ACCESO REMOTO AL Y DESDE EL MISMO
PRINCIPALES AMENAZAS EN SEGURIDAD Física:
DESASTRES NATURALES, INCENDIOS ACCIDENTALES, TORMENTAS E INUNDACIONES. AMENAZAS OCASIONADAS POR EL HOMBRE. DISTURBIOS, SABOTAJES INTERNOS Y EXTERNOS DELIBERADOS, ETC.
LA SEGURIDAD LÓGICA
CONSISTE EN LA “APLICACIÓN DE BARRERAS Y PROCEDIMIENTOS QUE RESGUARDEN EL ACCESO A LOS DATOS Y SÓLO SE PERMITA ACCEDER A ELLOS A LAS PERSONAS AUTORIZADAS PARA HACERLO”.
OBJETIVOS
RESTRINGIR EL ACCESO A LOS PROGRAMAS Y ARCHIVOS
ASEGURAR QUE LOS OPERADORES PUEDAN TRABAJAR SIN UNA SUPERVISIÓN MINUCIOSA Y NO PUEDAN MODIFICAR LOS PROGRAMAS NI LOS ARCHIVOS QUE NO CORRESPONDAN.
ASEGURAR QUE SE ESTÉN UTILIZANDO LOS DATOS, ARCHIVOS Y PROGRAMAS CORRECTOS EN Y POR EL PROCEDIMIENTO CORRECTO.
QUE LA INFORMACIÓN TRANSMITIDA SEA RECIBIDA POR EL DESTINATARIO AL CUAL HA SIDO ENVIADA Y NO A OTRO.
QUE LA INFORMACIÓN RECIBIDA SEA LA MISMA QUE HA SIDO TRANSMITIDA.
SEGURIDAD FÍSICA
SE REFIERE A LA PROTECCIÓN DEL HARDWARE Y DE LOS SOPORTES DE DATOS, ASÍ COMO LOS EDIFICIOS E INSTALACIONES QUE LOS ALBERGAN. CONTEMPLA LAS SITUACIONES DE INCENDIOS, SABOTAJES, ROBOS, CATÁSTROFES NATURALES, ETC. IGUALMENTE, A ESTE ÁMBITO PERTENECE LA POLÍTICA DE SEGUROS.
LA
SEGURIDAD LÓGICA
S E REFIERE A LA SEGURIDAD DE USO DEL SOFTWARE, A LA PROTECCIÓN DE LOS DATOS, PROCESOS Y PROGRAMAS, ASÍ COMO LA DEL ORDENADO Y AUTORIZADO ACCESO DE LOS USUARIOS A LA INFORMACIÓN. ASÍ, PODRÁN EFECTUARSE AUDITORIAS DE LA SEGURIDAD GLOBAL DE UNA INSTALACIÓN INFORMÁTICA- SEGURIDAD GENERAL-, Y AUDITORIAS DE LA SEGURIDAD DE UN ÁREA INFORMÁTICA DETERMINADA – SEGURIDAD ESPECÍFICA-
Relacionados
Publicidad
Temas
- Arte
- Biología
- Ciencias sociales
- Deporte y Educación Física
- Derecho
- Dibujo
- Diseño e Ingeniería
- Economía
- Educación Artística
- Educación Física
- Electrónica
- Español
- Filosofía
- Física
- Formación y Orientación Laboral
- Francés
- Geografía
- Geología
- Griego
- Historia
- Informática
- Inglés
- Latín
- Lengua y literatura
- Lenguas extranjeras
- Magisterio
- Matemáticas
- Medicina y Salud
- Música
- Otras materias
- Psicología y Sociología
- Química
- Relación en el Entorno de Trabajo
- Religión
- Tecnología