2. La auditoria nace como un órgano de
control de algunas instituciones
estatales y privadas. Su función inicial
es estrictamente económico financiera
y buscaba optimizar los recursos de
todo el componente informático de la
organización, pero con los nuevos
desarrollos tecnológicos se ha ido
especializando y profundizando.
3. La auditoria de seguridad informática
analiza los procesos relacionados
únicamente con la seguridad, ésta
puede ser física, lógica y locativa pero
siempre orientada a la protección de la
información. Es este el punto de mayor
diferencia, la seguridad informática se
preocupa por la integridad y
disponibilidad de la información
mientras la auditoria de sistemas
incluye otras características más
administrativas.
4. • Los Checklist o listas de chequeo
Otro factor que es muy importante considerar es el
de las listas de chequeo. En una gran medida la
información sobre los problemas de seguridad
informática la tienen los propios usuarios y solo se
necesita proveer un mecanismo adecuado para
que ellos mismos definan sus deficiencias en
seguridad informática. El mecanismo mas
adecuado en este caso son las listas de chequeo,
aunque se debe tener cuidado y proveer las listas
correctas al personal adecuado e identificar en que
momento las debe desarrollar el auditor mediante
observación y no el usuario.
5. La seguridad en los sistemas de información y de
computo se ha convertido en uno de los problemas
más grandes desde la aparición, y más aun, desde la
globalización de Internet. Dada la potencialidad de esta
herramienta y de sus innumerables aplicaciones, cada
vez mas personas y más empresas sienten la
necesidad de conectarse a este mundo.
6. Reglas generales para evitar intromisiones:
• Mínimos espacios por donde salir o
entrar.
• Mínimos recursos accesibles desde
fuera.
• Mínima importancia de datos con
posibilidad de robo.
• Máximos controles entre nuestra red y
la red exterior.
7. NIVELES DE SEGURIDAD
De acuerdo con los estándares de seguridad en
computadoras desarrollado en el libro naranja del
Departamento de Defensa de Estados Unidos, se usan
varios niveles de seguridad para proteger de un ataque al
hardware, al software y a la información guardada.
Los Niveles son:
• D1
• C1
• C2
• B1
• B2
• B3
• A
8. La función de Desarrollo es una evolución del llamado Análisis y
Programación de Sistemas y Aplicaciones. A su vez, engloba muchas
áreas, tantas como sectores informatizables tiene la empresa. Muy
escuetamente, una Aplicación recorre las siguientes fases:
• Prerrequisitos del Usuario (único o plural) y del entorno
• Análisis funcional
• Diseño
• Análisis orgánico (Preprogramación y Programación)
• Pruebas
• Entrega a Explotación y alta para el Proceso.
9. La Auditoría Jurídica dentro de la Auditoria Informática es la
revisión independiente del uso del material, de la información
y de sus manipuladores desde la perspectiva de la normativa
legal (civil, penal, laboral…), efectuada por un jurista experto
independiente con al finalidad de emitir un dictamen sobre
su adecuación a la legalidad vigente.
La Auditoría jurídica comprende cuatro áreas: Auditoría del
Entorno Informático, Auditoría de las personas que
manipulan la información, Auditoría de la
Información, auditoría de los archivos.
10. La evaluación de los requerimientos del negocio, los recursos
y procesos IT, son puntos bastante importantes para el buen
funcionamiento de una compañía y para el aseguramiento de
su supervivencia en el mercado.
El COBIT es precisamente un modelo para auditar la gestión y
control de los sistemas de información y tecnología, orientado
a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso.
Las siglas COBIT significan Objetivos de Control para
Tecnología de Información y Tecnologías relacionadas (Control
Objectives for Information Systems and related Technology). El
modelo es el resultado de una investigación con expertos de
varios países, desarrollado por ISACA (Information Systems
Audit and Control Association).
11. Existen tres momentos para responder ante una falla en esta
área, relacionados con la cronología de la misma
DURANTE
• Centro de proceso y
DESPUÉS
• Ubicación del edificio
ANTES
• Ejecutar un plan de
• Ubicación del centro de contingencia equipamiento
procesamiento dentro adecuado, el cual • Reconstrucción de
del edificio realice un análisis de medios de software
• División riesgos de sistemas • Gastos extra
• Elementos de críticos, establezca un • Interrupción del
construcción periodo crítico de negocio
• Potencia eléctrica recuperación (del • Documentos y registros
desastre), realice un valiosos
• Sistemas contra análisis de aplicaciones
incendios • Errores y omisiones
críticas, establezca
• Control de accesos prioridades y objetivos • Cobertura de fidelidad
• Seguridad de los de recuperación, • Transporte de medios
medios designe un Centro • Contratos con
• Medidas de protección Alternativo de proveedores y de
• Duplicación de medios Procesamiento, y mantenimiento
asegurar la capacidad
de las comunicaciones
y de los servicios de
back-up.
12. CAAT: Las técnicas de auditoría asistidas por computadora
son de suma importancia para el auditor de TI cuando realiza
una auditoría. CAAT (Computer Audit Assisted Techniques)
incluyen distintos tipos de herramientas y de técnicas, las
que más se utilizan son los software de auditoría
generalizado, software utilitario, los datos de prueba y
sistemas expertos de auditoría. Las CAAT se pueden utilizar
para realizar varios procedimientos de auditoría incluyendo:
1. Prueba de los detalles de operaciones y saldos.
2. Procedimientos de revisión analíticos.
3. Pruebas de cumplimiento de los controles generales de
sistemas de información.
4. Pruebas de cumplimiento de los controles de aplicación.
13. COSO: El Informe COSO es un documento que contiene las
principales directivas para la implantación, gestión y control de
un sistema de Control Interno. Debido a la gran aceptación de la
que ha gozado, desde su publicación en 1992, el Informe COSO
se ha convertido en el estándar de referencia en todo lo que
concierne al Control Interno. No puede por lo tanto faltar una
sección expresamente dedicada a este documento en toda web
que pretenda dedicarse a la auditoria con profesionalidad.
Recientemente, el interés de los profesionales de la auditoria y
las finanzas por el informe COSO se ha reavivado gracias
también a las nuevas exigencias en lo que concierne al Control
Interno introducido por el Sarbanes Oxley Act.
14. El principal objetivo del Control Interno es garantizar que la empresa
alcance sus objetivos. En este sentido, el Control Interno (CI) puede
actuar de 2 distintas maneras:
Evitar que se produzcan desviaciones con respecto a los objetivos
establecidos;
Detectar, en un plazo mínimo, estas desviaciones.
El Informe COSO consta de 2 partes:
1. Un Resumen para la Dirección, que introduce los principales
conceptos,
2. y el Marco integrado de Referencia, donde se analizan en detalle
los 5 pilares del Control Interno: Entorno de Control, Evaluación de
los Riesgos, Actividades de Control, Información y Comunicación,
Supervisión.