4.

auditoria informatica y d redes

INTRODUCCION Y CONCEPTOS
Desde el momento en que se realiza una accin que rena las caractersticas que delimitan el concepto de delito, y sea llevada a cabo utilizando un elemento informtico o vulnerando los derechos del titular de un elemento informtico, ya sea de hardware o de software, estamos en presencia de un delito informtico. Estos delitos informticos pueden adoptar alguna de las siguientes formas: -Robos, hurtos, vaciamientos, desfalcos, estafas o fraudes cometidos mediante manipulacin y uso de computadoras. -Apropiacin no autorizada de los datos de entrada o de salida. -Cambios no autorizados en programas, que consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. -Sabotaje Informtico. -Falsificaciones informticas. -Violacin de la privacidad. -Interceptacin de comunicaciones. -Robo de servicios.- se alude a las conductas que tienen por objeto el acceso ilcito a los equipos fsicos o a los programas informticos, para utilizarlos en beneficio del delincuente. -Hurto por transacciones electrnicas de fondos.- Hurto que se comete mediante la utilizacin de sistemas de transferencia electrnica de fondos, de la telemtica en general, o tambin cuando se viola el empleo de claves secretas. Para las organizaciones empresariales, es vital que se evalen constante y regularmente todos los procesos que en ellas se llevan a cabo, con el fin de verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Los sistemas informticos se han constituido en una de las herramientas ms poderosas para materializar uno de los recursos ms relevantes para cualquier organizacin empresarial: la informacin (Piattini y Del Peso, 1998; Ruiz, 1999; Echenique, 2001). Se requiere de sistemas, normas y/o programas que puedan ser utilizados en la evaluacin y el anlisis de la eficiencia del sistema de control interno, del funcionamiento de los sistemas de informacin que utiliza, adems de la verificacin del cumplimiento de la normativa general de la empresa en este mbito y la revisin de la gestin eficaz de los recursos materiales y humanos informticos.

Qu es la Auditoria Informtica en Redes y Telecomunicaciones?

La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Tambin permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es critica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de informacin eficientes.

Qu caractersticas tiene la Auditoria Informtica en Redes y Telecomunicaciones?

La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditora de Inversin Informtica. Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas. Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditora de Organizacin Informtica. Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una auditora parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Cul es el perfil del Auditor Informtico en Redes y Telecomunicaciones?

El perfil de un auditor informtico en redes y telecomunicaciones es el que corresponde a un Ingeniero en Informtica o en Sistemas especializado en el rea de telemtica.
El auditor de informtico especializado en esta rea deber inquirir sobre los ndices de utilizacin de las lneas contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la desactualizacin de esta documentacin significara una grave debilidad. La inexistencia de datos sobre la cuantas lneas existen, cmo son y donde estn instaladas, supondra que se bordea la Inoperatividad Informtica. Sin embargo, las debilidades ms frecuentes o importantes se encuentran en las disfunciones organizativas.

2.- USO
Por qu y Para qu se hace la Auditoria Informtica en Redes y Telecomunicaciones? a) Asegurar la integridad, confidencialidad y confiabilidad de la informacin. b) Minimizar existencias de riesgos en el uso de Tecnologa de informacin c) Conocer la situacin actual del rea informtica para lograr los objetivos. d) Asegurar seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico, as como tambin seguridad del personal, los datos, el hardware, el software y las instalaciones. e) Incrementar la satisfaccin de los usuarios de los sistemas informticos. f) Capacitar y educar sobre controles en los Sistemas de Informacin. g) Buscar una mejor relacin costo-beneficio de los sistemas automticos y tomar decisiones en cuanto a inversiones para la tecnologa de informacin.

3.- METODOLOGIAS
Qu metodologas sigue la Auditoria Informtica en redes y Telecomunicaciones?
Las metodologas son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el control informtico, se puede agrupar en dos grandes familias: Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo, estn diseadas par producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados unos valores numrico. Estn diseadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/gua). Basadas en mtodos estadsticos y lgica borrosa, que requiere menos recursos humanos / tiempo que las metodologas cuantitativas. En la actualidad existen tres tipos de metodologas de auditoria informtica: R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de base de Datos DB2; paquete de seguridad RACF, etc.).

4.- APLICACIONES
A que tipos de empresas se aplica la Auditoria Informtica en Redes y Telecomunicaciones?
La Auditoria Informtica en Redes y Telecomunicaciones se lo aplica en especial a empresas que poseen ciertamente de tecnologas de comunicaciones y/o sistemas de informacin que estn conectados ya sea mediante intranet o internet, en Bolivia podemos citar a las siguientes principales empresas: - Entel Movil - Viva GSM - Tigo - AXS - Cotel