Informes de auditoría de los sistemas computacionales

12,736 views

Published on

Published in: Technology

Informes de auditoría de los sistemas computacionales

  1. 1. Informes de Auditoría de los Sistemas ComputacionalesLiliana NietoISAE UniversidadGrupo Lei #6
  2. 2. Auditoria Herramienta Informática La auditoria informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
  3. 3. Tipos de Auditoria InformaciónAuditoria Informática De ExplotaciónLa explotación informática se ocupa de producir resultados, tales comolistados, archivos soportados magnéticamente, ordenes automatizadas,modificación de procesos, etc. Para realizar la explotación informáticase dispone de datos, las cuales sufren una transformación y se sometena controles de integridad y calidad.Auditoria Informática De Desarrollo De Proyectos O AplicacionesLa función de desarrollo es una evaluación del llamado Análisis deprogramación y sistemas. Así por ejemplo una aplicación podría tenerlas siguientes fases:•Prerrequisitos del usuario y del entorno•Análisis funcional•Diseño Análisis orgánico (reprogramación y programación•Pruebas•Explotación
  4. 4. Tipos de Auditoria de InformaciónAuditoria Informática De Comunicación Y RedesEste tipo de auditoria deberá inquirir o actuar sobre los índices deutilización de las líneas contratadas con información sobre tiempos de usoy de no uso, deberá conocer la topología de la red de comunicaciones, yasea la actual o la desactualizada. Deberá conocer cuantas líneas existen,como son, donde están instaladas, y sobre ellas hacer una suposición deinoperatividad informáticaAuditoria De La Seguridad InformáticaSe debe tener presente la cantidad de información almacenada en elcomputador, la cual en muchos casos puede ser confidencial, ya sea paralos individuos, las empresas o las instituciones, lo que significa que sedebe cuidar del mal uso de esta información, de los robos, los fraudes,sabotajes y sobre todo de la destrucción parcial o total. En la actualidad sedebe también cuidar la información
  5. 5. Objetivos de la Auditoria Informática El control de la función informática El análisis de la eficiencia de los Sistemas Informáticos La verificación del cumplimiento de la Normativa en este ámbito La revisión de la eficaz gestión de los recursos informáticos. Evaluación de los costes actuales. Conocer, en términos económicos, los costes que para una empresa supone su sistema de información. Se trata de cuantificar los costes de los distintos elementos que configuran el sistema de información y que en términos generales son los siguientes:• Hardware. Se trata de analizar la evolución histórica del hardware en la empresa, justificando dicha evolución.• Software. Análisis de los costes relativos al sistema lógico, tanto en sus aspectos relativos a la explotación (adecuación del sistema operativo, versión del software utilizado, como en los aspectos relativos a la programación de las distintas aplicaciones (prioridades de ejecución, lenguaje utilizado, ...).
  6. 6. Áreas en la Auditoria InformáticaAuditoría de la gestión: la contratación de bienes yservicios, documentación de los programas, etc.Auditoría legal del Reglamento de Protección de Datos:Cumplimiento legal de las medidas de seguridad exigidaspor el Reglamento de desarrollo de la Ley Orgánica deProtección de Datos.Auditoría de los datos: Clasificación de los datos, estudiode las aplicaciones y análisis de los flujo gramas.Auditoría de las bases de datos: Controles de acceso, deactualización, de integridad y calidad de los datos.
  7. 7. Áreas en la Auditoria InformáticaAuditoría de la seguridad: Referidos a datos e informaciónverificando disponibilidad, integridad, confidencialidad,autenticación y no repudio.Auditoría de la seguridad física: Referido a la ubicación dela organización, evitando ubicaciones de riesgo, y en algunoscasos no revelando la situación física de esta. También estáreferida a las protecciones externas (arcos de seguridad, CCTV,vigilantes, etc.) y protecciones del entorno.Auditoría de la seguridad lógica: Comprende los métodos deautenticación de los sistemas de información.Auditoría de las comunicaciones. Se refiere a la auditoria delos procesos de autenticación en los sistemas de comunicación.
  8. 8. Elaboración de un Informe Auditoria El Informe de Auditoría indica:‡•Alcance•‡Objetivos•‡Período de cobertura‡ Naturaleza y extensión del trabajo de auditoría•Organización‡•Destinatarios del informe•‡Restricciones•‡Hallazgos•‡Conclusiones•‡Recomendaciones
  9. 9. Elaboración de un Informe Final Auditoria•Estilo y Contenido: Objetivo, claro, conciso, constructivo yoportuno•‡Apropiado a los destinatarios.‡•Identificar organización auditada‡•Objetivos (lo que trata de cumplir la auditoría)•Alcance: naturaleza, tiempo y extensión del trabajo de auditoría•‡Área funcional•‡Período de auditoría•‡Sistemas de información, aplicaciones o entornos audita• Hallazgos significativos de la auditoría (causas y riesgos)•Conclusión: evaluación del auditor sobre el área auditada•Recomendaciones, para realizar acciones correctivas• Nombre, Dirección y Datos Registrales del Auditor• Firma del Auditor•Fecha de emisión del informe
  10. 10. Elaboración de un Informe Final Auditoria Estructura del Informe • Título o Identificación del Informe Distinguirlo de otros informes • Fecha de Comienzo • Miembros del Equipo Auditor • Entidad auditada • Objetivos • Alcance y Enfoque de la Auditoría Estándares, especificaciones, prácticas y procedimientos utilizados Excepciones aplicadas 7. Materias consideradas en la auditoría Situación actual‡ Hechos importantes Hechos consolidados Tendencias, de situación futura Puntos débiles y amenazas (hecho = debilidad) ‡ Hecho encontrado ‡Consecuencias del hecho ‡Repercusión del hecho (influencias sobre otros aspectos)‡ Conclusión del hecho 7.Recomendaciones
  11. 11. Ejemplo de un Informe Auditoria1) A los accionistas y directorio de “Ejemplo S.A”, Sociedad Anónima:3) La auditoria comenzó el 30 de marzo de 20095) El presente informe, realizado por “U Central auditores”7) plantea un estudio profesional de los diversos factores que pueden estar influyendo en las operaciones de la empresa auditada “Ejemplo S.A.”, a fin de brindar una asesoría y recomendación a las posibles soluciones que garanticen un optimo resultado5)Objetivos de la auditoría:• Correcto funcionamiento de la estructura organizacional de la GI• Evaluar la efectividad del sistema de control interno existente• Verificar la existencia e implementación de un plan maestro de informática u otro documento equivalente• Verificar la existencia e implementación de un comité informático o equivalente a nivel gerencial •
  12. 12. Ejemplo de un Informe Auditoria6)Alcance de auditoría:Esta auditoría fue aplicada en todas las áreas que se encuentran enejecución, a sus S.I y a sus herramientas de sistemas como a la partefísica de éstas.Estándares Usados. Nuestra responsabilidad es la de expresar una “opinión” respecto de laseguridad en los SI de la empresa y sobre la eficiencia de sus controlesaplicados , El análisis y el informe presentado por nuestro grupo detrabajo es acorde a los principios indicados en Cobit, normas ISO yrespecto a las leyes vigentes en Chile
  13. 13. Planificación de una AuditoriaUna planificación adecuada es el primer paso necesario para realizar auditorias de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoria así como los riesgos del negocio y control asociado.Hay 7 partes importantes de la planificación de la auditoria :• Plan previo• Obtención de antecedentes de el cliente• Obtener información sobre las obligaciones legales del cliente• Realización de procedimientos analíticos preliminares• Evaluación de la importancia y el riesgo• Conocimiento de la estructura del control interno• Evaluación del riesgo de control
  14. 14. Planificación de un Informe AuditoriaA continuación se menciona algunas de las áreas que deben ser cubiertas durante laplanificación de la auditoria:Comprensión del negocio y de su ambiente.. Debe incluir una comprensión general de las diversas prácticas comerciales yfunciones relacionadas con el tema de la auditoria, así como los tipos de sistemas quese utilizan.Riesgo y materialidad de auditoria•Riesgo inherente: Cuando un error material no se puede evitar que suceda por que noexisten controles compensatorios relacionados que se puedan establecer. Riesgo deControl: Cuando un error material no puede ser evitado o detectado en formaoportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que elauditor realice pruebas exitosas a partir de un procedimiento inadecuadoNormas De AuditoriaLas normas de Auditoria Generalmente Aceptadas (NAGAS) son los principiosfundamentales de auditoria a los que deben enmarcarse su desempeño los auditoresdurante el proceso de la auditoria. El cumplimiento de estas normas garantiza lacalidad del trabajo profesional del auditor
  15. 15. Instrumentos para Realizar unaAuditoriaLCLint (Splint) una herramienta que comprueba posibles problemas enprogramas escritos en C. Se encarga de buscar muchos de los erroresmás habituales, pero además localiza posibles violaciones deinformación oculta, modificaciones inconsistentes de estados, usosinconsistentes de variables globales, errores en la gestión de la memoria,comparticiones peligrosas de datos o usos de alias inesperados, usos dememoria no definidos, de referencias al puntero nulo ..Flawfindel examina el código fuente buscando fallos de seguridad.Busca funciones con problemas conocidos. Como desbordamientos debuffer), errores de formato condiciones de, posibles problemas de uso demetacaracteres en la shell y generadores de números, la aplicación nosdará un informe con todos los posibles erroresSPIKE : es una util herramienta de análisis de protocolo y dereproducción.
  16. 16. Recursos para Realizar una AuditoriaRecursos Materiales Proporcionados por cliente en su mayoríaSoftware: paquetes de auditoría del equipo auditor, compiladoresHardware: PCs, impresoras, líneas de comunicación ±Determinación de incremento de carga del auditado y consenso en fechasy duración de actividades de auditoríaRecursos Humanos Cantidad depende del alcance de la auditoríaPerfil depende de la materia a auditar
  17. 17. Bibliografía http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica http://vbarreto.ve.tripod.com/keys/audi/audi01.html http://html.rincondelvago.com/auditoria-informatica_1.html http://www.gestiopolis.com/recursos2/documentos/fulldocs/rrhh/audirrhh.h tm http://www.eumed.net/libros/2006a/jcmn/2e.htm http://es.scribd.com/doc/32292825/Fases-de-Metodologia-de-Auditoria- Informatica http://www.wikilearning.com/tutorial/atacando_linux- herramientas_para_realizar_auditorias/4250-2 http://software.hispavista.com/s/Flawfinder

×