Instalacion de servicios windows, configuracion y aplicacion.
Auditoría informática en instituto politécnico
1. Instituto Politécnico “Santiago Mariño”
Ampliación Maracaibo.
Escuela: Ingeniería de Sistemas.
Catedra: Auditoria y Evaluación de Sistemas.
Auditoria Informática
Autor:
Jhonny Espitia
19.549.428
Maracaibo, Octubre del 2014.
2. El informe a continuación se encuentra conformado por los
siguientes puntos:
1-Definición
2-Tipos de auditorías según Carlos muñoz Razo.
3-Ventajas y desventajas de las auditorías externas e internas.
4-Auditoria informática y su alcance e importancia dentro de una
organización.
5-Cuadro comparativo de auditoria en sistemas de información y
auditoria informática.
6-Características y objetivos de la auditoria informática.
7-Síntomas de necesidad de una auditoria informática dentro de una
organización.
8- perfil profesional de un auditor informático.
3. Auditoria
1-Definicion
1.1 Auditoria consiste en el estudio y análisis de toda documentación
en una empresa, institución u organización para determinar si la información
que ofrece la misma corresponde con la situación real de su patrimonio.
Además de sus tareas más importantes es guiar y proponer la utilización de
mejoras y nuevos métodos de operación a la alta gerencia y al gobierno
empresarial.
La auditoría cuenta con normas internacionales para la ejecución
profesional de la autoría interna, que deben cumplir para llevar a cabo un
buen ejercicio de la auditoria en cualquier empresa además a estas se le
suma las reglas y normas impuesta por la empresa que se le practique dicha
auditoria tomando en cuenta los controles básicos de revisión y
actualización los cuales son el medio ambiente empresarial.
1.2- Auditor es la persona encargada de realizar dicha tarea, el cual
debe poseer conocimientos de una carrera profesional y una maestría del
área de auditar (por lo menos); un auditor generalmente debe ser profesional
con diversos conocimientos empresariales y tecnológicos para que pueda
prestar un buen servicio de revisión de todos los procesos del área que este
evaluando.
2-Tipos de auditorías según Carlos muñoz Razo.
2.1- integral: actividad llevada a cabo por un grupo interdisciplinario
especializado para la evaluación de las áreas comunes y no comunes en su
correcto desarrollo de cada una de sus funciones administrativas
departamentales para regular las actividades compartidas en función de los
objetivos de la organización.
2.2- Gubernamental: auditoria desarrollada para evaluar las
actividades de los diferentes tipos de gobiernos, debido a que estos son los
responsables directos del manejo y uso de los ingresos adquiridos por los
contribuyentes así como el control de los egresos generados para la
satisfacción de las necesidades de los ciudadanos.
4. 2.3-informatica: evalúa desarrolla a través de especialistas tanto a
nivel informático como a nivel de cómputo. Se basa en la evaluación de los
programas, equipos, dispositivos, redes y todo instrumento físico y lógico
que se utilice para el manejo de los datos que administra, recibe y procesa
para arrojar la información solicitada por los usuarios.
Otra área que evalúa este tipo de auditoria son los niveles de acceso
que poseen los sistemas de información identificando a los usuarios según
sus funciones dentro de la organización.
2.4 Con computadora: evaluación que no necesariamente se realiza a
centros o equipos de cómputo: se tiene esta clasificación debido a que son
evaluaciones de sistemas utilizando equipos computarizados como
herramientas principales para el registro y análisis de las operaciones
llevadas a cabo por el auditor tanto de centros computacionales como no
computacionales.
2.5- Sin computadora: evaluación llevada a cabo a las transacciones
económicas, administrativas y operacionales tanto a centros de cómputo
como a otras especialidades, a través de la vía óptica del auditor haciendo
uso a través de las técnicas tradicionales aceptadas por las normas de la
auditoria. Además evalúa la estructura organizacional, funciones y
operaciones llevadas a cabo por el personal, así como su uso de los
recursos informáticos y computacionales ante la empresa.
2.6- Sistema de cómputo: evaluación técnica especializada a todo
equipo que conforme el sistema de cómputo para el software, hardware,
dispositivos de almacenamiento, externos entre otros. Este tipo de auditoria
abarca también equipos asociados, redes que se comportan, comunicación
externa e interna y la arquitectura que conforme dicho sistema de cómputo.
2.7- Alrededor de la computadora: auditoria que se lleva a cabo a nivel
no técnico, es decir evalúa el ambiente y medio al cual pertenece el sistema
computarizado sin tomar en cuenta el computador como tal , basando su
evaluación en la seguridad de la información del sistema ante la empresa, el
control del acceso administrativo a los equipos computarizados a los
empleados, la comunicación externa e interna manejada a través del sistema
y todos los áreas que lo utilicen o no se relacionen directamente con los
equipos automatizados con el sistema de cómputo.
2.8: De la seguridad de los sistemas computacionales: evaluación
profunda técnica especializada exclusivamente de la seguridad de todo lo
que conforma el sistema de cómputo.
5. (Base de datos, redes, memorias externas, dispositivos, usuarios y accesos,
datos, funciones, actividades y procedimientos), tomando como base
principal el respaldo de la información almacenada o en proceso en caso de
que ocurran accidentes informáticos. El principal objetivo de esta auditoria
es resguardar el sistema de cómputo de cualquier posible daño o ataque
tanto externo e interno el cual pueda dañar la información en el sistema
almacenada.
2.9- Sistema de redes: evaluación estricta técnica y especializada del
sistema de redes que utilice la empresa, revisando sus protocolos de
información, acceso, administración y demás aspectos relacionados a la
instalación, uso, administración y mantenimiento de las redes dentro de
cualquier organización; además se encarga de chequear los software,
dispositivos y equipos que se conectan a las redes para el transporte de
datos y almacenamiento de los mismos en los diferentes niveles de la
empresa.
2.10- Integral de los centros de cómputo: evaluación técnica global de
todo lo que conforma a un sistema de cómputo tanto forma directa e
indirecta, llevada a cabo por un grupo multidisciplinario el cual verifica el
estado acceso y seguridad de los equipos y sus procesos de registro,
procesamiento y entrega de datos e información a los usuarios que los
soliciten según los niveles de acceso que posean los sistema
computarizado.
2.11- ISO 9000 de sistemas computacionales: son evaluaciones
exhaustivas por auditores certificados a las empresas que utilizan la calidad
ISO 9000 guiándose de las normas y procedimientos descrito por esta
asociación, certificando de esta manera que la empresa se encuentra en
correcto funcionamiento y calidad del sistemas computacional el cual se
apega a los requerimientos de la ISO 9000.
2.12- Outsourcing: evaluación estricta de los soportes de asesoramiento
técnico y análisis de los procesamientos de los datos que se realiza de una
empresa a otra; de esta manera se certifica la calidad tanto del servicio
computarizado prestado como el servicio de asesoramiento especializado.
Este tipo de auditoria también puede evaluar la funcionalidad del equipo
donde se lleva a cabo los servicios de cómputo prestado.
2.13- Ergonomica de sistemas computacionales: evaluación
especializada que se centra en el medio ambiente y la relación hombre
máquina, con la correcta adquisición de equipos autorizados
6. computacionales, donde se utiliza la correcta utilización de las herramientas
que provee el sistemas, así como de las posibles comodidades o
repercusión que trae el sistema, para continuarlas o solucionarla en
beneficio de la salud, comodidad y bienestar de los usuarios de la empresa
que lo solicite.
3- Ventajas y desventajas de las auditorías internas y externas
Internas Ventajas Desventajas
Auditoria Interna
1-Se mantiene el
personal en supervisión
constante para que se
cumplan las
planificaciones
realizadas por la alta
gerencia de la empresa.
2- se vela por la
correcta aplicación de
las normas de
seguridad impuesta por
la gerencia y
departamentos
especializados de la
empresa.
3- tras la evaluación de
los procedimientos,
técnicas y procesos, los
auditores pueden
sugerir mejoras a los
sistemas operacionales
o proponer la
implantación de un
nuevo.
4- estas evaluaciones
son llevadas a cabo por
especialistas
colegiados los cuales
mantiene a la alta
gerencia de los nuevos
1-Los empleados
normalmente por esta
constante supervisión
pueden sentirse
presionados
ocasionando fallas
humanas.
2- los costos iniciales
por la instalación o
acondicionamiento de
los sistemas de
seguridad suelen ser
elevados.
3- los malos
procedimientos
detectados por el
auditor generalmente
viene asociadas a una
amonestación al
empleado o encargado
del departamento.
4- el sueldo o salario de
este tipo de auditores
suele ser elevado
debido a una gran
cantidad de estudio que
debe poseer para
ejecutar esta tarea.
7. avances tecnológicos y
teóricos.
Auditoria externa Ventajas Desventajas
Auditoria externa
1-Es una evaluación
realizada por un
grupo
multidisciplinario
contratado por la
empresa solicitante
el cual a través de
las políticas, normas
y procedimientos
descritos a una
previa reunión, los
auditores evalúan
todos los procesos
empresariales a los
que se les dé
acceso, además de
evaluar la
efectividad
operacional del
auditor interno
según los resultados
obtenidos.
2- el auditor externo
puede presentar
nuevos proyectos e
instrumentos de
trabajo y
tecnologías, que
sean más
actualizados de los
que se encuentran
en uso en la
1- Las evaluaciones
por los auditores
externos puede
de que no sean
llevadas a cabo a
gran profundidad
debido a que los
conocimientos
que poseen de
los
procedimientos
de la empresa
fueron los
descritos en la
previa reunión,
por lo tanto si un
punto no es
tratado en dicha
reunión lo más
posible es que no
sea evaluado.
2- Las nuevas
propuestas
suelen significar
que el auditor
interno no se
encuentra bien
documentado y
actualizado en
cuanto a la rama
de especificación
a la cual audita.
8. organización, que no
hayan sido
propuesto por el
auditor interno.
3- son evaluaciones
sumamente
importantes que
deben llevarse a
cabo periódicamente
para identificar
posibles fallas
internas que la alta
gerencia y el auditor
no haya identificado
además que estos
auditores llevan
otras propuestas y
proyectos.
3- La asesoría de
estos tipos de
auditores suelen
ser sumamente
costosas debido al
grupo
multidisciplinario,
instrumentos o
equipos
computacionales
que utilicen para
llevar a cabo estas
evaluaciones.
4-Auditoria informática y su alcance e importancia dentro de una
organización.
Este tipo de auditoria evalúa exhaustivamente de los periféricos,
software, discos de almacenamiento, redes, dispositivos eléctricos de
emergencia y todo equipo que utilice el sistema de cómputo para un buen
funcionamiento; esta evaluación se encarga de verificar la correcta
operatividad tanto del equipo como al ambiente al cual pertenece el equipo y
se desenvuelve según los diferentes niveles de acceso de los usuarios,
además de validad al respaldo de la información que maneje el sistema en
caso de emergencia o situaciones no esperadas.
Los sistemas informáticos por lo general abarcan varios departamentos
de las organizaciones, por lo tanto el personaje colegiado especializado en
la auditoria debe de encargarse de evaluar, analizar, validar proponer
corregir tantos los procesos como las tecnologías aplicadas y utilizadas en
la organización.
9. 5-Cuadro comparativo de auditoria en sistemas de información y auditoria
informática.
Sistema de Información Informática
1-Requiere de profesional colegiado
el cual pueda evaluar sistema de
información tanto computacional
como no computacional, por ello el
auditor que lleve a cabo la
evaluación no requiere de
conocimientos informáticos, sino del
tratado, métodos, técnicas y otras
prácticas relacionadas con la
informática.
2- Evalúa los diferentes niveles de
acceso a la información relacionados
directamente con los niveles de
accesos y tipos de trabajadores
correspondientes a los
departamentos de la organización lo
cuales tengas acceso a los registros
de los datos confidenciales
almacenados.
3-Presenta ante la alta gerencia y
gobierno de la empresa nuevos
métodos acorde a los avances de los
sistemas de información.
4-Verifica los procesos y fases que
componen el sistema de información
en busca de posibles fugas de
información, mal uso de información
o validación del buen cumplimiento y
ejecución del sistema de
información.
1-Requiere de profesional colegiado
el cual posea altos conocimiento
informático y sistema de cómputo
además que posea conocimientos
necesarios para evaluar procesos de
información a través de sistemas de
información.
2- Evalúa la seguridad de la
información según los niveles de
acceso al sistema, además los
métodos del almacenamiento de la
información que administra el
sistema con sus correspondientes
sistema y métodos de recuperación
en caso de ataques inesperados,
accesos no permitidos, falta de
energía eléctrica para emergencias
entre otros elementos o acciones
que intenten dañar o acceder la
información almacenada en el
sistema informático.
3-Presenta ante la alta gerencia y
gobierno nuevas tecnologías de
información para mejora parcial o
totalmente el sistema de cómputo
que posea la organización. También
presentan nuevos avances
tecnológicos para el ahorro de la
energía, menos consumo de papeles,
entre otros.
4-Verifica líneas de código, líneas de
comunicación, redes internas y
externas, estado de dispositivos de
cómputo y eléctricos y todo lo
relacionado con equipos del medio y
fuera del mismo para su
funcionamiento.
10. 6-Características y objetivos de la auditoria informática.
La auditoría informática se centra en la evaluación y mejoras de los
sistemas de cómputo como memorias extraíbles, dispositivos, equipos
energéticos entre otros que utilice la empresa para el funcionamiento
además de los equipos, metodologías y diseños de comunicación y redes
que estén bien desarrollados para que funcionen eficientemente a la par con
el sistema informático proporcionado los resultados solicitados por los
diferentes departamentos o usuarios.
Otro punto importante que evalúa la auditor informático es la eficiencia
de respaldo de datos temporales en tiempos definidos a través de las líneas
de programación en caso de ataques inesperados o virus informáticos con el
objetivo de resguardar la información suministrada.
Seguimos de evaluar el correcto funcionamiento y uso por parte de los
usuarios del sistema el auditor debe verificar la eficiencia operacional del
sistema con respecto a áreas externas indirectamente relacionadas con este
a la organización que pueda afectar la operatividad de estos departamentos
Existen 3 objetivos principales las cuales son:
1- Mejorar la eficiencia en la organización informática y proteger sus
archivos y recursos (seguridad, política, recursos, etc) buscando con
esto proteger la operatividad de la organización con respecto a los
datos, programas y equipos los cuales han representados altas
inversiones económicas.
2- Garantizar resultados fiables en los equipos en el tiempo, coste y
utilidad de los sistemas informáticos, es decir, garantizar la eficiencia
del sistema en cuanto a los resultados solicitados en el tiempo
específicos que no vallan a ocurrir errores que representen problemas y
pérdidas económicas para la empresa.
3- Mejorar los procedimientos, estándares y planificación.
7-Síntomas de necesidad de una auditoria informática dentro de una
organización.
1- Fallas en la eficacia de la organización informática la cual afecte la
seguridad de los archivos.
11. 2- Los resultados proporcionados por el sistema informático no son
los esperados o se duda de la fiabilidad, retrasos elevados en el
tiempo, los costos de consumo de recursos se han elevados en
grandes porcentajes.
3- Los procedimientos, estándares y planificación no se están
ejecutando correctamente o se posee alguna duda de su efectividad
debido a indeficiente diseño o falta de actualización de las normas.
8- Perfil profesional de un auditor informático.
Un auditor informático debería cumplir un mínimo perfil profesional
como el que se muestra a continuación:
1- Licenciado o ingeniero en informática, computación o sistemas.
2- Maestría especialidad o curos en sistemas de rede.
3- Maestría especialidad o curos en sistemas computacionales.
4- Maestría especialidad o curos en sistemas de comunicación.
5- Maestría especialidad o curos de dispositivos energéticos de
emergencias.
6- Especialidad en normas de usos tecnológicos, según sea el
campo de aplicación de la empresa a evaluar.