AUDITORIA DE SISTEMAS DE INFORMACION

Porque?
- La vulnerabilidad acarreada por los computadores
- Impacto de las computadoras sobre las tareas de auditoria
- La adecuacin de las normas de auditoria a un entorno elctrico

Auditar
- Ejercer control sobre una determinada accin
- Dnde auditamos a menudo?
A nivel personal
A nivel laboral
A nivel acadmico

AUDITORIA

- Es el proceso que comprende las tareas de evaluar y analizar ciertos procesos,

dependiendo al rea al que se aplique, donde el auditor debe estar encaminado a la
bsqueda de problemas existentes, y a la vez busca soluciones para estos problemas.

- La auditora de los sistemas de informacion se define como cualquier auditoria que

abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos)
de los sistemas automticos de procesamiento de la informacion, incluidos los
procedimientos no automticos relacionados con ellos y las interfaces
correspondientes.

- Para hacer una adecuada planeacin de la auditoria en informtica, hay que seguir una
serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea
dentro del organismo a auditar, sus sistemas, organizacin y equipo.

- A continuacin, la depreciacin de los dos principales objetivos de auditoria de sistemas,

que son, las evaluaciones de los procesos de datos de los equipos de cmputo, con
controles, tipos y seguridad.

Metodologas de auditoria informtica

Auditoria de controles generales

- Dan una opinin sobre la habilidad de los datos del computador para la auditora
financiera, cuyo resultado es un informe donde se destacan las vulnerabilidades
encontradas

Auditoria interna

- Est formada por recomendaciones de plan de trabajo; deber realizar cuestionarios y

definir cuantas pruebas estime oportunas; adems debe crear sus metodologas
necesarias para auditar reas o aspectos que defina en el plan de auditor.

AUDITORIA INFORMTICA
 - La auditora en informtica es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin que participan en el procedimiento de la informacion, a
fin de que por medio del sealamiento de sus alternativos se logre una utilizacin ms
eficiente y segura de la informacion que servir para una adecuada toma de decisiones.

- La auditora en informtica deber comprender no solo la evaluacin de los equipos de

cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar
los sistemas de informacion en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacion.

- La auditora en informtica es de vital importancia para el buen desempeo de los

sistemas de informacion, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad, adems debe evaluar todo
(informtica, organizacin de centros de informacion, hardware y software).

SISTEMA DE INFORMACION
- Es un conjunto de elementos interrelacionados con el propsito de prestar atencin a
las demandas de informacion de una organizacin, para elevar el nivel de conocimientos
que permitan un mejor apoyo a la toma de decisiones y desarrollo de acciones.

Auditoria de sistemas de informacion

El propsito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de
los datos, el procesamiento adecuado de la informacion y la emisin oportuna de sus resultados
en la institucin, incluyendo la evaluacin en el cumplimiento de las funciones, actividades y
operaciones de funcionarios, empleados y usuarios involucrados con los servicios que
proporcionan los sistemas computacionales a la empresa.

Segn G.A. Rivas, padre de la introduccin informtica:

es el conjunto de tcnicas, actividades y procedimientos destinados a analizar, verificar

y recomendar en asuntos relativos a la planificacin, control, eficacia, seguridad y
adecuacin del servicio informtico en una empresa

Metodologas de auditoria informtica

Auditoria de controles generales

- Dan una opinin sobre la habilidad de los datos del computador para la auditora
financiera, cuyo resultado es un informe donde se destacan las vulnerabilidades
encontradas.

Auditoria interna

- Est formada por recomendaciones de plan de trabajo; deber realizar cuestionarios y

definir cuantas pruebas estime oportunas; adems debe crear sus metodologas
necesarias para auditar reas o aspectos que defina en el plan auditor.
-
 Control
- Actividades o acciones realizadas por uno o varios elementos de un sistema, que tienen
como finalidad la prevencin, deteccin y correccin de errores que afecten las
operaciones del sistemas

Auditoria informtica
- Revisin, anlisis y evaluacin independiente y objetiva de un entorno informtico
o Hardware
o Software
o Base
o aplicacin
o Comunicaciones
o Procedimientos - gestin de recursos informticos

Tener en cuenta ..
- Los objetivos fijados
- Los planes, programas y presupuestos
- Controles, leyes aplicables, entre otros

Tipos de auditoria
- Evaluacin del sistema de control interno
- De cumplimiento de polticas, estndares y procedimientos
- De seguridad: fsica y lgica
- De operaciones/gestin
- Interna/externa

REAS DE APLICACIN
1. Auditoria de seguridad fsica y lgica
2. Auditoria de planificacin
3. Auditoria de la organizacin y gestin de centro de procedimiento de datos
4. rea de explotacin
5. rea del entorno hardware/software

1. Auditoria de seguridad fsica y lgica

Seguridad fsica: adecuacin de instalaciones
Seguridad lgica: salvaguarda de acreditacin de usuarios, secreto de archivos y
transacciones.

2. Auditoria de planificacin
- Conocer y evaluar los planes de CPD y su nivel de integracin con la empresa
- Revisin de planes informticos y desarrollo de software
- Evaluar el nivel de participacin y compromiso de directivos en la elaboracin de los
planes.

3. Auditoria de la organizacin y gestin del CPD

 - Analizar que el responsable del centro de procedimiento de datos organiza, dirige y
controla recursos del mismo
4. rea de explotacin
- Examinar los procedimientos seguidos en el centro de procesamiento de datos en su
operatividad diaria
5. rea del entorno hardware/software
- Garantizar un eficiente funcionamiento y utilidad de ordenador garantizando su
continuidad en el tiempo.

Modelos informticos tecnologa informtica

- Objetivo
- Recursos
- Procesos ambiente informtico
- Objetivos de control

Objetivos
Efectividad: se refiere a la informacion que es relevante para el negocio y que debe ser
entregada de manera correcta, oportuna, consistente y usable.

Eficiencia: se refiere a la provisin de informacion a travs del ptimo (ms productivo y

econmico) uso de los recursos

Confidencialidad: relativa a la proteccin de la informacion sensitiva de su revelacin no

autorizada.

Integridad: se refiere a la exactitud y completitud y de la informacion, as como su validez, en

concordancia con sus valores y expectativas del negocio.

Disponibilidad: se refiere a la que la informacion debe estar disponible cuando es requerida por
los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus
capacidades asociadas.

Cumplimiento: se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a

los que estn sujetos los procesos del negocio.

Confiabilidad: se refiere a la provisin de la informacion apropiada a la alta gerencia, para operar

la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su
gestin.

Recursos
- Seguridad fsica
- Seguridad de la informacion
- Sistema de comunicaciones
- Operacin del sistema
- .

Procesos
Planeacin y organizacin
 - Definir un plan estratgico de TI
- definir la arquitectura de informacion
- Determinar la direccin tecnolgica
- Definir la organizacin y relaciones de TI
- Manejo de la inversin en TI
- Comunicacin de directrices gerenciales
- Administracin de recurso humano
- Asegurar el cumplir requerimientos externos
- Evaluacin de riesgos
- Administracin de proyectos
- Administracin de calidad

Adquisicin e implementacin

- Identificacin de soluciones
- Adquisicin y mantenimiento de SW aplicativo
- Adquisicin y mantenimiento de arquitectura TI
- Desarrollo y mantenimiento de procedimientos de TI
- Instalacin de acreditacin de sistemas
- Administracin de cambios.

Servicios y soporte

- Definicin del nivel de servicio

- Administracin del servicio de terceros
- Administracin de la capacidad /el desempeo
- Asegurar el servicio continuo
- Garantizar la seguridad del sistema
- Identificacin y asignacin de estos
- Capacitacin de usuarios
- Soporte a los clientes de TI
- Administracin de la configuracin
- Administracin de problemas
- Administracin de datos
- Administracin de instalaciones
- Administracin de operaciones

Seguimiento

- Seguimiento de los procesos

- Evaluar lo adecuado del control interno
- Obtener aseguramiento independiente
- Proveer una auditora independiente

OBJETIVOS DE CONTROL
- Participacin en el desarrollo de nuevos sistemas:
Evaluacin de controles
Cumplimiento de la metodologa
- Evaluacin de la seguridad en la rea informtica
- Evaluacin de suficiencia en los planes de contingencia
 respaldo, proveer que va a pasar si se presentan fallas.
- Opinin de la utilizacin de los recursos informticos.
- Control de modificacin a las aplicaciones existentes
Fraudes
Control a las modificaciones de los programas
- Participacin en la negociacin de contratos con los proveedores
- Revisin de la utilizacin del sistema operativo y los programas utilitarios.
- Auditoria de la base de datos
Estructura sobre la cual se desarrollan las aplicaciones
- Auditoria de la red de teleprocesos
- Desarrollo de software de auditoria

OBJETIVO
Es el objetivo final de una auditoria de sistemas bien implementadas, desarrollar software capas
de estar ejerciendo un control continuo de las operaciones del rea de procesamiento de datos.

Cmo realizar una auditora de DI?

Toma de contacto: momento en que la organizacin se da cuenta de su necesidad de auditoria
y procede a llamar al auditor

Planificacin de la operacin: determina los objetivos, mbitos de estudios y posibles

problemas, inventario de puntos a estudiar.

Desarrollo de la auditoria: su objetivo es buscar evidencias que puedan conducir a conclusiones

certeras en el diagnstico.

- Sntesis y diagnostico

DAFOR: debilidades, amenazas, fortalezas y oportunidades

- Presentacin de conclusiones
- Redaccin del informe y formacin del plan mejora

HERRAMIENTAS
- Entrevista
Analizar primero si la informacion buscada no est disponible en otros medios.
Identificar previamente a las personas a entrevistar.
Preparar la entrevista
Planificar el tiempo y definir el lugar
Toma de notas
Anlisis de la entrevista
- cuestionario
definir si se quieren conocer hechos, opiniones, ambas cosas
si el auditor va estar presente o no
preguntas concretas
evitar usar la jerga de la auditoria y la informtica
las preguntas no deben conducir indirectamente a las respuestas
evitar cuestiones hipotticas
 reflexionar sobre el rango con que se estimaran las posibles respuestas.

Cmo debe ser el perfil de un auditor de SI?

Conocimientos tcnicos de la informtica
Conocimientos de auditoria: psicologa, redaccin de informes, direccin, etc.
Cualidades personales: atencin, equilibrio emocional, intuicin profesional,
dinamismo, capacidad de escuchar.
Estndar de auditoria de sistemas de informacion: independencia.
Punto de vista imparcial que le permite obrar objetivas y justamente.
El auditor no solo debe ser independiente, sino tambin guardar las apariencias.
El auditor y la direccin debe evaluar continuamente la independencia.
El trabajo e informe del auditor debe representar grandes responsabilidades
profesionales, lo que ejemplifica la integridad y la objetividad.

Principios fundamentales de la auditoria en una computadora

- AUTOMATISMO del computador
Programa algoritmo
No al comportamiento probabilstico
- DETERMINISMO del algoritmo
Ante un conjunto de datos de entrada, siempre se obtengas una misma salida

El control
- Interno
Creacin de relaciones adecuadas entre las diversas funciones del negocio y los
resultados finales de operacin.
- Interno electrnico
Comportamiento de los circuitos electrnicos.
Ejem. Transmisin de datos
- Interno informtico
Verifica el cumplimiento de los procedimientos, estndares y normas fijadas
por la direccin de informtica, como as tambin los requerimientos legales.