Auditoria de Sistemas de Informacin

Es un diagnstico global que ofrece una representacin voltil del modo que se utiliza la informacin en un sistema de interaccin. Este proceso permite tener una comprensin general del funcionamiento y caractersticas del sistema, antes que sea sometido a evaluaciones de usabilidad. Dicho sistema evala los elementos como: recursos de la informacin, usos que se puede hacer del sistema; flujo de informacin, caractersticas del soporte y tipos de interaccin que permite que el sistema. Los Procesos que definen a la Auditoria se basan principalmente en: Inventario Fsico: Proceso de identificacin y categorizacin de los recursos de informacin Mapeo de Informacin: Constituye una forma grafica de representar los recursos de informacin que hay en la organizacin y la interrelacin entre ellos. Anlisis de las necesidades de la informacin: Su finalidad principal es determinar que i8nformacion requiere los usuarios y la entidad-institucinempresa para alcanzar sus objetivos. Procesos de control: Identifica los mecanismos de autorregulacin, verificacin y control con que cuenta el sistema de informacin estudiado.

La auditoria de sistemas de informacin pude promover y aplicar conceptos donde el auditor de sistemas, ofrece recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa. Dentro de sus aspectos en el medio informtico se tiene: Complejidad de los sistemas. Uso de lenguajes. Metodologas, son parte de las personas y su experiencia. Centralizacin.

Departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del rea de sistemas. Controles del computador.

Para realizar la auditoria de sistemas de informacin se deber tener presente los siguientes requerimientos: 1. Entendimiento global e integral del negocio, de sus puntos claves, reas crticas, entorno econmico, social y poltico. 2. Entendimiento del efecto de los sistemas en la organizacin. 3. Entendimiento de los objetivos de la auditora. 4. Conocimiento de los recursos de computacin de la empresa. 5. Conocimiento de los proyectos de sistemas. Riesgos asociados al rea de Tecnologa de la Informacin. Hardware: Descuido o falta de proteccin: Condiciones inapropiadas, mal manejo, no observancia de las normas. Destruccin: Software: Uso. Copia. Modificacin. Destruccin. Hurto. Omisiones y errores.

Archivos: Usos o acceso. Copia, modificacin, destruccin, hurto.

Investigacin preliminar: Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos:

Administracin: Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. La aplicacin de todo el conjunto de disposiciones amparadas a los conceptos de administracin electrnica y el desarrollo acelerado de las tecnologas de la informacin y la comunicacin ayuda a fiscalizar los sistemas y control interno. Se destaca el esfuerzo de sntesis realizado sobre una materia en la que, a pesar de su importancia, existe un dficit de informacin y documentacin indudable. Se hace referencia a informacin tcnica sobre auditora informtica pensada por y para informticos, sino a metodologa de auditora informtica o de sistemas de informacin pensada para los auditores financieros. En esta materia, la carencia es casi total si pensamos en literatura en nuestro idioma. La completa bibliografa que acompaa al trabajo, la mayora de procedencia anglosajona, tambin ayudar a aquellos interesados en profundizar en esta materia. La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software). Sistemas: Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica.

Diagramas de entrada, archivos, salida. Salidas. Fecha de instalacin de los sistemas.

Proyecto de instalacin de nuevos sistemas. En el momento de hacer la planeacin de la auditora o bien su realizacin, se debe evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacin y se ve que: No tiene y se necesita. No se tiene y no se necesita. Se tiene la informacin pero: No se usa. Es incompleta. No est actualizada. No es la adecuada. Se usa, est actualizada, es la adecuada y est completa.

En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se recomienda que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la informacin pero no se utilice, se debe analizar porque no se usa. En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa. El xito del anlisis crtico depende de las siguientes consideraciones: Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento). Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados.

Para obtener un correcto funcionamiento en los sistemas la evaluacin del proceso engloba factores a evaluar es si existe un plan estratgico para la elaboracin de los sistemas o si se estn elaborados sin el adecuado sealamiento de prioridades y de objetivo. El plan estratgico deber establecer los servicios que se presentarn en un futuro contestando preguntas como las siguientes: Cules servicios se implementarn? Cundo se pondrn a disposicin de los usuarios? Qu caractersticas tendrn? Cuntos recursos se requerirn? La estrategia de desarrollo deber establecer las nuevas aplicaciones, recursos y la arquitectura en que estarn fundamentados: Qu aplicaciones sern desarrolladas y cuando? Qu tipo de archivos se utilizarn y cuando? Qu bases de datos sern utilizarn y cuando? Qu lenguajes se utilizarn y en que software? Qu tecnologa ser utilizada y cuando se implementar? Cuntos recursos se requerirn aproximadamente? Cul es aproximadamente el monto de la inversin en hardware y software? En lo referente a la consulta a los usuarios, el plan estratgico debe definir los requerimientos de informacin de la dependencia.

Qu estudios van a ser realizados al respecto? Qu metodologa se utilizar para dichos estudios? Quin administrar y realizar dichos estudios? En el rea de auditora interna debe evaluarse cul ha sido la participacin del auditor y los controles establecidos. Por ltimo, el plan estratgico determina la planeacin de los recursos. Contempla el plan estratgico las ventajas de la nueva tecnologa? Cul es la inversin requerida en servicios, desarrollo y consulta a los usuarios? El proceso de planeacin de sistemas deber asegurarse de que todos los recursos requeridos estn claramente identificados en el plan de desarrollo de aplicaciones y datos. Lo cual debe ir apoyado con estndares como: 1. ADACSI: (Asociacin de Auditora y Control de Sistemas de Informacin) tiene como propsito, avanzar en la generacin de estndares globalmente aplicables que satisfagan esta necesidad. El desarrollo y distribucin de estndares es la piedra angular de la contribucin profesional que realiza ISACA a la comunidad de auditores.

2. ISACA: Formado por 95.000 auditores en todo el mundo, en ms de 160 pases donde presta sus servicios.

3. COBIT: (Objetivos de Control para la informacin y Tecnologas relacionadas). La misin es investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control aceptados para las tecnologas de la informacin que sean autorizados, actualizados, e internacionales para el uso del da a da de los gestores de negocios y auditores. Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Informacin y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin.

4. ISO 27002: Se conforma como un cdigo internacional de buenas prcticas de seguridad de la informacin, este puede constituirse como una norma de auditora apoyndose de otros estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas de gestin de seguridad.

5. ISO 27001: En una organizacin es un proyecto dependiendo del grado de madurez en seguridad de la informacin y el alcance de la organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la Informacin elegido. En general, es recomendable la ayuda de consultores externos.

Para completar el grupo, como colaboradores directos en la realizacin de la auditoria se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importantes. En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas, pero si deben intervenir una o varias personas con las caractersticas apuntadas. Ejemplos de empresas en Venezuela:

Fig. 1

Fig. 2

Fig. 3

Referencias Bibliogrficas

http://www.auditool.org/ http://www.cpavenezuela.com/servicios.html http://www.eumed.net/rev/turydes/06/mvgg.htm http://www.sindicom.gva.es/premi/files/auditoria%20sistemas%20inf_ok.pdf. http://www.tesis.ufm.edu.gt/aud/66461/Tesis.htm