Auditoria de Sistemas

  • 2,791 views
Uploaded on

 

More in: Technology , Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
2,791
On Slideshare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
108
Comments
0
Likes
3

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Auditoria de Sistemas Michelle Pérez Miguel Toro Seccion:1551
  • 2. Auditoria Herramienta Informática La auditoria informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
  • 3. Tipos de Auditoria Información Auditoria Informática De Explotación La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, ordenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad. Auditoria Informática De Desarrollo De Proyectos O Aplicaciones La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases: Prerrequisitos del usuario y del entorno Análisis funcional Diseño Análisis orgánico (reprogramación y programación) Pruebas Explotación Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la máquina, los resultados sean exactamente los previstos y no otros
  • 4. Tipos de Auditoria de Información Auditoria Informática De Comunicación Y Redes Este tipo de auditoria deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización (Debemos conocer los tipos de mapas actuales y anteriores, como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo). Auditoria De La Seguridad Informática Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos .
  • 5. Objetivos de la Auditoria Informática
    • El control de la función informática
    • El análisis de la eficiencia de los Sistemas Informáticos
    • La verificación del cumplimiento de la Normativa en este ámbito
    • La revisión de la eficaz gestión de los recursos informáticos.
    • Evaluación de los costes actuales . Conocer, en términos económicos, los costes que para una empresa supone su sistema de información. Se trata de cuantificar los costes de los distintos elementos que configuran el sistema de información y que en términos generales son los siguientes:
    • Hardware . Se trata de analizar la evolución histórica del hardware en la empresa, justificando dicha evolución. Es importante conocer el coste del material (unidad central, periféricos, soporte,...) durante los últimos cinco años. También será necesario analizar la utilización de cada elemento hardware de la configuración, cifrando la en horas/mes, asegurando que la configuración utilizada se corresponde con el menor valor utilización/coste, y examinar la coherencia del mismo.
    • Software . Análisis de los costes relativos al sistema lógico, tanto en sus aspectos relativos a la explotación (adecuación del sistema operativo, versión del software utilizado, como en los aspectos relativos a la programación de las distintas aplicaciones (prioridades de ejecución, lenguaje utilizado, ...).
    • Aplicaciones . Se trata de evaluar los costes del análisis funcional, el análisis orgánico, la programación, las pruebas de programas, preparación de datos y costes de desarrollo de cada aplicación medido en horas.
  • 6. Áreas en la Auditoria Informática
    • Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.
    • Auditoría legal del Reglamento de Protección de Datos : Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
    • Auditoría de los datos : Clasificación de los datos, estudio de las aplicaciones y análisis de los flujo gramas.
    • Auditoría de las bases de datos : Controles de acceso, de actualización, de integridad y calidad de los datos.
    • Auditoría de la seguridad : Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
    • Auditoría de la seguridad física : Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
    • Auditoría de la seguridad lógica : Comprende los métodos de autenticación de los sistemas de información.
    • Auditoría de las comunicaciones . Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
  • 7. Elaboración de un Informe Auditoria
    •  
    •   El Informe de Auditoría indica:‡
    • Alcance
    • ‡ Objetivos
    • ‡ Período de cobertura‡ Naturaleza y extensión del trabajo de auditoría
    • Organización‡
    • Destinatarios del informe
    • ‡ Restricciones
    • ‡ Hallazgos
    • ‡ Conclusiones
    • ‡ Recomendaciones
  • 8. Elaboración de un Informe Final Auditoria
    • Realización del Informe
    • Estilo y Contenido: Objetivo, claro, conciso, constructivo y oportuno
    • ‡ Apropiado a los destinatarios.‡
    • Identificar organización auditada‡
    • Objetivos (lo que trata de cumplir la auditoría) 
    • Alcance: naturaleza, tiempo y extensión del trabajo de auditoría
    • ‡ Área funcional
    • ‡ Período de auditoría
    • ‡ Sistemas de información, aplicaciones o entornos audita
    •   Hallazgos significativos de la auditoría (causas y riesgos) 
    • Conclusión: evaluación del auditor sobre el área auditada 
    • Recomendacione s, para realizar acciones correctivas
    •    Nombre, Dirección y Datos Registrales del Auditor
    •     Firma del Auditor  
    • Fecha de emisión del informe
  • 9. Elaboración de un Informe Final Auditoria
    • Estructura del Informe
    • Título o Identificación del Informe Distinguirlo de otros informes
    • Fecha de Comienzo
    • Miembros del Equipo Auditor
    •   Entidad auditada
    • Objetivos
    • Alcance y Enfoque de la Auditoría
    • Estándares, especificaciones, prácticas y procedimientos utilizados 
    •   Excepciones aplicadas
    • 7. Materias consideradas en la auditoría
    •   Situación actual‡
    • Hechos importantes
    • Hechos consolidados 
    •   Tendencias, de situación futura 
    •   Puntos débiles y amenazas (hecho = debilidad)
    • ‡ Hecho encontrado
    • ‡ Consecuencias del hecho
    • ‡ Repercusión del hecho (influencias sobre otros aspectos)‡
    • Conclusión del hecho 
    •   7. Recomendaciones 
  • 10. Ejemplo de un Informe Auditoria Informática
    • A los accionistas y directorio de “Ejemplo S.A”, Sociedad Anónima:
    • La auditoria comenzó el 30 de marzo de 2009
    • El presente informe, realizado por “U Central auditores”
    • plantea un estudio profesional de los diversos factores que pueden estar influyendo en las operaciones de la empresa auditada “Ejemplo S.A.”, a fin de brindar una asesoría y recomendación a las posibles soluciones que garanticen un optimo resultado
    • 5 )Objetivos de la auditoría
    • : • Correcto funcionamiento de la estructura organizacional de la GI
    • • Evaluar la efectividad del sistema de control interno existente
    • • Verificar la existencia e implementación de un plan maestro de informática u otro documento equivalente
    • • Verificar la existencia e implementación de un comité informático o equivalente a nivel gerencial
  • 11. Ejemplo de un Informe Auditoria 6) Alcance de auditoría: Esta auditoría fue aplicada en todas las áreas que se encuentran en ejecución, a sus S.I y a sus herramientas de sistemas como a la parte física de éstas. Estandares Usados . Nuestra responsabilidad es la de expresar una “opinión” respecto de la seguridad en los SI de la empresa y sobre la eficiencia de sus controles aplicados , El análisis y el informe presentado por nuestro grupo de trabajo es acorde a los principios indicados en Cobit, normas ISO y   respecto a las leyes vigentes en Chile Enfoque de Auditoría: - al revisar profundamente los controles de la empresa nos dimos cuenta que parte de estos no eran confiables ya que muchos de ellos eran incompletos e incluso inexistentes.
  • 12. Planificación de una Auditoria
    • Una planificación adecuada es el primer paso necesario para realizar auditorias de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoria así como los riesgos del negocio y control asociado.
    • Hay 7 partes importantes de la planificación de la auditoria :
    • Plan previo
    • Obtención de antecedentes de el cliente
    • Obtener información sobre las obligaciones legales del cliente
    • Realización de procedimientos analíticos preliminares
    • Evaluación de la importancia y el riesgo
    • Conocimiento de la estructura del control interno
    • Evaluación del riesgo de control
  • 13. Planificación de un Informe Auditoria
    • A continuación se menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoria:
    • Comprensión del negocio y de su ambiente.
    • . Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoria, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el que opera el negoci
    • Riesgo y materialidad de auditoria
    • Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay
    • Normas De Auditoria
    • Las normas de Auditoria Generalmente Aceptadas (NAGAS) son los principios fundamentales de auditoria a los que deben enmarcarse su desempeño los auditores durante el proceso de la auditoria. El cumplimiento de estas normas garantiza la calidad del trabajo profesional del auditor
  • 14. Instrumentos para Realizar una Auditoria LCLint (Splint) una herramienta que comprueba posibles problemas en programas escritos en C. Se encarga de buscar muchos de los errores más habituales, pero además localiza posibles violaciones de información oculta, modificaciones inconsistentes de estados, usos inconsistentes de variables globales, errores en la gestión de la memoria, comparticiones peligrosas de datos o usos de alias inesperados, usos de memoria no definidos, de referencias al puntero nulo . . Flawfindel examina el código fuente buscando fallos de seguridad .Busca funciones con problemas conocidos. Como desbordamientos de buffer ( strcpy(), scanf(), y otras por el estilo), errores de formato ( printf (), syslog (), y más ) condiciones de carrera ( más adelante explicaré más o menos que es esto ) como son (access(), chmod(), entre otros ), posibles problemas de uso de metacaracteres en la shell (exec(), system() ...) y generadores de números aleatorios ( random () ) , la aplicación nos dará un informe con todos los posibles errores SPIKE y Sharefuzzhttp:es una útil herramienta de análisis de protocolo y de reproducción .Sharefuzz se utiliza para analizar programas suid buscando posibles desbordamientos de bufer utilizando LD_PRELOAD
  • 15. Recursos para Realizar una Auditoria Recursos Materiales    Proporcionados por cliente en su mayoría    Software: paquetes de auditoría del equipo auditor, compiladores    Hardware: PCs, impresoras, líneas de comunicación ±  Determinación de incremento de carga del auditado y consenso en fechas y duración de actividades de auditoría Recursos Humanos    Cantidad depende del alcance de la auditoría    Perfil depende de la materia a auditar
  • 16. Bibliografía
    • http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
    • http://vbarreto.ve.tripod.com/keys/audi/audi01.html
    • http://html.rincondelvago.com/auditoria-informatica_1.html
    • http://www.gestiopolis.com/recursos2/documentos/fulldocs/rrhh/audirrhh.htm
    • http://www.eumed.net/libros/2006a/jcmn/2e.htm
    • http://es.scribd.com/doc/32292825/Fases-de-Metodologia-de-Auditoria-Informatica
    • http://www.wikilearning.com/tutorial/atacando_linux-herramientas_para_realizar_auditorias/4250-2
    • http://software.hispavista.com/s/Flawfinder