Mis Estadisticas

martes, 19 de abril de 2011

UNIDAD 6. AUDITORIA INFORMATICA

AUDITORIA INFORMATICA
La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
Los objetivos de la auditoría Informática son:
  • El control de la función informática
  • El análisis de la eficiencia de los Sistemas Informáticos
  • La verificación del cumplimiento de la Normativa en este ámbito
  • La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
  • Desempeño
  • Fiabilidad
  • Eficacia
  • Rentabilidad
  • Seguridad
  • Privacidad
Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:
  • Gobierno corporativo
  • Administración del Ciclo de vida de los sistemas
  • Servicios de Entrega y Soporte
  • Protección y Seguridad
  • Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.
Tipos de Auditoría informática
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
  • Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.
  • Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
  • Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
  • Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
  • Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
  • Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
  • Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
  • Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
  • Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
La técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.
Principales pruebas y herramientas para efectuar una auditoría informática
En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:
  • Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
  • Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.
Las principales herramientas de las que dispone un auditor informático son:
  • Observación
  • Realización de cuestionarios
  • Entrevistas a auditados y no auditados
  • Muestreo estadístico
  • Flujogramas
  • Listas de chequeo
  • Mapas conceptuales
OBJETIVOS DE LA AUDITORIA INFORMATICA:
La Auditoría Informática la podemos definir como “el conjunto de procedimientos y técnicas para evaluar y controlar un sistema informático con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informáticas y generales prefijades en la organización”.
La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.
La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en que se sustenta.
En un principio hablaremos de todo lo relacionado con la seguridad, luego trataremos todo aquello relacionado con la eficacia y terminar con la evolución del sistema informático.
Los aspectos relativos al control de la Seguridad de la Información tienen tres líneas básicas en la auditoria del sistema de información:
·         Aspectos generales relativos a la seguridad. En este grupo de aspectos habría que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles sabotajes, seguridad físicos de las instalaciones, del personal informático, etc.
·         Aspectos relativos a la confidencialidad y seguridad de la información. Estos aspectos se refieren no solo a la protección del material, el logicial, los soportes de la información, sino también al control de acceso a la propia información (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma).
·         Aspectos jurídicos y económicos relativos a la seguridad de la información. En este grupo de aspectos se trata de analizar la adecuada aplicación del sistema de información en la empresa en cuanto al derecho a la intimidad y el derecho a la información, y controlar los cada vez más frecuentes delitos informáticos que se  cometen en la empresa. La propia dinamicidad de las tecnologías de la información y su cada vez más amplia aplicación en la empresa, ha propiciado la aparición de estos delitos informáticos. En general, estos delitos pueden integrarse en dos grandes grupos: delitos contra el sistema informático y delitos cometidos por medio del sistema informático. En el primer grupo se insertan figuras delictivas tipificadas en cualquier código penal, como hurto, robo, revelación de secretos, etc, y otro conjunto de delitos que ya no es tan frecuente encontrar, al menos con carácter general, perfectamente tipifiados, como el denominado “hurto de tiempo”, destrucción de logiciales y datos, delitos contra la propiedad (material, terminales, cintas magneticas).
En el conjunto de delitos informáticos cometido por medio de sistemas informáticos cabría señalar, siempre con carácter doloso, manipulaciones fraudulentas de logiciales, informaciones contenidas en bases de datos, falsificaciones, estafas, etc...
Merece la pena por su frecuencia y la dificultad de prueba el llamado “hurto de uso”. Este delito suele producirse cuando se utilizan los equipos informáticos de una organización para fines privados (trabajos externos, simple diversión,...). Los prejuicios, sobre todo económicos, que para la empresa puede significar esta modalidad de hurto de “tiempo máquina”, pueden ser cuantiosos, sobre todo cuando en el mismo interviene además el elemento comunicaciones. Se trata, en definitiva, de la utilización de unos equipos si tener derecho a ello o para un uso distinto del autorizado, y en el que lo lesionado no es la propiedad, sino una de las facultadas inherentes a la misma.
De la misma manera, a través de la auditoria del sistema de información será necesario controlar el adecuado equilibrio entre riesgos y costes de seguridad y la eficacia del propio sistema.
En cuanto a la Eficacia del Sistema, esta vendrá determinada, básicamente, por la aportación a la empresa de una información válida, exacta, completa, actualizada y oportuna que ayude a la adopción de decisiones, y todo ello medido en términos de calidad, plazo y coste. Sin el adecuado control, mediante la realización de auditorías al sistema de información, esos objetivos serían difíciles de conseguir, con la siguiente repercusión en una adecuada dirección y gestión en la empresa.
Uno de los aspectos más significativos de la Auditoría Informática se refiere a los datos relativos a la Rentabilidad de el Sistema, homogeneizados en unidades económicas de cuenta.
La rentabilidad del sistema debe ser medida mediante el análisis de tres valores fundamentales: la evaluación de los costes actuales, la comparación de esos costes actuales con magnitudes representativas de la organización, y la comparación de los costes del sistema de información de la empresa con los de empresas similares, preferentemente del mismo sector de actividad.
Como evaluar de forma concreta estos tres aspectos fundamentales, que conforman la rentabilidad del sistema de información, es lo que se analiza seguidamente.
Ø  Evalución de los costes actuales. Conocer, en términos económicos, los costes que para una empresa supone su sistema de información, constituye uno de los aspectos básicos de la auditoría informática. Se trata de cuantificar los costes de los distintos elementos que configuran el sistema de información y que en términos generales son los siguientes:
Ø  Hardware. Se trata de analizar la evolución histórica del hardware en la empresa, justificando dicha evolución. Es importante conocer el coste del material (unidad central, periféricos, soporte,...) durante los últimos cinco años. También será necesario analizar la utilización de cada elemento hardware de la configuración, cifrandola en horas/mes, asegurando que la configuración utilizada se corresponde con el menor valor utilización/coste, y examinar la coherencia del mismo.
Ø  Software. Análisis de los costes relativos al sistema lógico, tanto en sus aspectos relativos a la explotación (adecuación del sistema operativo, versión del software utilizado,...) como en los aspectos relativos a la programación de las distintas aplicaciones (prioridades de ejecución, lenguaje utilizado).
Ø  Capturas de datos. Análisis de los costes relativos a la captura de datos, de las fuentes de información, tanto internas como externas de la empresa.
Ø  Grabación de datos. Es necesario conocer también los costes relativos a la transcripción de datos en los soportes adecuados (costes de personal, equipos y máquinas auxiliares).
Ø  Explotación. Análisis de los costes imputados a los factores relativos a la explotación en sentido amplio (tratamiento manual, tiempos de realización de aplicaciones, tiempo de respuesta, control errores, etc...)
Ø  Aplicaciones. Se trata de evaluar los costes del análisis funcional, el análisis orgánico, la programación, las pruebas de programas, preparación de datos y costes de desarrollo de cada aplicación medido en horas.
Ø   Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas categorías, equilibrio entre esas categorías, remuneraciones salariales, horas extraordinarias), se trata de
Analizar los costes de personal directamente relacionado con el sistema de información. En este apartado deberán tenerse en cuenta también los costes relativos a la formación del personal.
Ø  Documentación. Es necesario no sólo verificar que la documentación relativa al sistema de información sea clara, precisa, actualizada y completa, sino tambien los costes relativos a su elaboración y actualización.
Ø  Difusión de la información. Se trata de evaluar los costes de di-fundir la información, es decir, hacer llegar a los usuarios del sistema la información demandada o aquella considerada necesaria en los dis­tintos niveles de la organización.

MEDIOS DISPONIBLES Y ESPECIFICOS DE AUDITORIA.

Ø  MEDIOS TECNICOS:
A.1) Equipo físico y locales.
A.2) Software básico.
Ø  MEDIOS HUMANOS.
Ø  MEDIOS FINANCIEROS.
A.1) Equipo físico y locales:
·         Comprende el ordenador propiamente dicho, el hardware anejo y los soportes físicos de los ficheros, así como los locales donde se instalan estas máquinas.
·         Aspectos a tener en cuenta:
1.- Los equipos físicos y locales han de adaptarse a la finalidad, es decir, a las aplicaciones, tanto cualitativas como cuantitativas.
2.- Dada la evolutividad de los objetivos el equipo físico debe ser también evolutivo sin dejar de resultar adecuado y modular.
3.- Cada componente del equipo físico de formar parte de un todo homogéneo.
4.- Otros criterios de elección son la fiabilidad del material y la rapidez de las restauraciones.
5.- Para garantizar la consecución de la finalidad se hace necesario garantizar la seguridad del hardware. Es conveniente disponer de un plan preventivo y curativo para garantizar esa seguridad.
·         Herramientas de auditoría específica:
La auditoría del equipo físico debe comprobar si se aplican las reglas anteriores: adaptabilidad, homogeneidad, seguridad, fiabilidad,... Para ello, el auditor debe estar provisto de unos conocimientos técnicos sólidos. El auditor valorará la adaptación a los objetivos y a las acciones tomando como base de juicio la evolución histórica. El interés del auditor por las ejecuciones trás la adaptación a las finalidades. Estimación de la homogeneidad de los componentes y su fiabilidad atendiendo a las estadísticas de tiempo de utilización y la conservación de grabaciones en caso de fallos. El estudio del presupuesto de seguridad evaluando los medios en función del sevicio que prestan y conforme a la probabilidad de fallo que pueden tener. También se examinará la seguridad del material suplementario y los formularios que contienen talonarios y letras.

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)