Auditoria de Sistemas

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

“UNIANDES” - TULCÁN

SISTEMAS MERCANTILES

CONTABILIDAD Y AUDITORIA

ALUMNAS: LUPE CALPAANITA DELGADOCECILIA REALPE D.

TUTOR: ING. DARIO MALDONADO

VII NIVEL

ENERO - 2011

UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS

TEMÁTICA A INVESTIGAR:

1. JUSTIFICATIVOS DE LA AUDITORIA DE SISTEMAS 2. CONTROLES 3. CLASIFICACIÓN DE LOS CONTROLES DE AUDITORIA

FINANCIERA

OBJETIVOS

Conocer sobre la temática de todo lo referente a auditoria de sistemas, para poder analizar, emitir y transmitir un comentario.

INTRODUCCION DE AUDITORIA DE SISTEMAS

La Auditoría es un examen crítico que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Para la realización de una Auditoría Informática eficaz, se debe entender a la empresa en su más amplio sentido. Todos utilizan la Informática para gestionar sus negocios de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costos.

TIPOS DE AUDITORIAS INFORMÁTICAS Desde el punto de vista de informática la podemos clasificar así: a) Auditoría Informática de Explotaciónb) Auditoría Informática de Desarrollo de Proyectos o Aplicacionesc) Auditoría Informática de Sistemasd) Auditoría Informática de Comunicación de Redese) Auditoría de la Seguridad Informática

Auditoría Informática de Explotación. La explotación Informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación Informática se dispone de datos, las cuales

ALUMNAS: Calpa Lupe

Delgado Anita Realpe Cecilia

2


sufren una transformación y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos expresan una muy excelente información.

Auditoría Informática de Desarrollo de Proyectos o Aplicaciones. La función de desarrollo de una evaluación del llamado Análisis de Programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:

b) Prerrequisitos del usuario y del entornoc) Análisis Funcionald) Diseñoe) Análisis orgánico (Preprogramación y Programación)f) Pruebas yg) Explotación. Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacciones del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la Auditoría deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la maquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medido por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada.

Auditoría Informática de Sistemas. Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema. (Ej. Auditar el cableado estructurado, ancho de banda de una red LAN)

Auditoria Informática de comunicación y Redes. Este

tipo de Auditoría deberá inquirir o actuar sobre índices de utilización de las líneas contratadas con información sobre tiempos de uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad Informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización. (Debemos conocer los tipos de mapas actuales y anteriores,

ALUMNAS: Calpa Lupe


3


como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).

Auditoría de la Seguridad Informática. Se debe tener

presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea individuos, las empresa o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información d los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.

CARACTERÍSTICAS DE LA AUDITORIA DE SISTEMAS

La información de la empresa y para la empresa, siempre importante, se ha convertido en un activo Real de la misma, como sus stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas. Del mismo modo, los sistemas informáticos han de protegerse de modo global y particular: A ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la Auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Cuando se producen cambios estructurales en la informática, se reorganiza de alguna forma su función: Se esta en el campo de la Auditoría de Organización Informática. Estos tres tipos de Auditoría engloban a las actividades auditoras que se realizan en una Auditoría parcial. De otra manera: cuando se realiza una Auditoría del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas. a) Síntomas de necesidad de una Auditoría Informática: Las empresas acuden a las Auditoría externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases. b) Síntomas de descoordinación y Desorganización:- No coinciden los objetivos de la informática de la compañía y de la propia compañía- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. (Puede suceder con algún

ALUMNAS: Calpa Lupe


4


cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna norma importante.) c) Síntomas de mala imagen e insatisfacción de los usuarios:- No se atienden las peticiones de cambios de los usuarios. (Ej. Cambios de software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.)- No se reparan las averías de hardware, no se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en al actividad del usuario, en especial en los resultados de aplicaciones criticas y sensibles. d) Síntomas de debilidades económicas - financiero:- Incremento desmesurado de costos- Necesidad de justificación de inversiones informáticas (La empresa no esta absolutamente convencida de tal necesidad y decide contrastar opiniones)- Desviaciones presupuestarias significativas- Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a desarrollo de proyectos y al órgano que realizo la petición). e) Síntomas de inseguridad: Evaluación de riesgos- Seguridad Lógica- Seguridad Física- Confidencialidad (Los datos son de propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales)- Continuidad del servicio. Establece la estrategias de continuidad entre fallo mediante planes de contingencia.(- Centro de proceso de datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la Auditoría. El síntoma debe ser sustituido por el mínimo indicio.

1. JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORÍA DE SISTEMAS.

ALUMNAS: Calpa Lupe


5


Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos).

Desconocimiento en el nivel directivo de la situación informática de la empresa.

Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.

Descubrimiento de fraudes efectuados con el computador. Falta de una planificación informática. Organización que no funciona correctamente, falta de

políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano.

Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.

Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción.

PAPEL DE TRABAJO QUE INTERVIENEN EN LA AUDITORIA DE SISTEMAS.

La Auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su función es estrictamente económico - financiero, y los casos inmediatos se encuentran en los estrados judiciales y las contrataciones de contadores expertos por parte de bancos oficiales. La función de Auditoría debe ser absolutamente independiente; la Auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y deficiencias. Aunque pueden aparecer sugerencias y planes de acción para eliminar las deficiencias y debilidades antes dichas; estas sugerencias plasmadas en el informe final reciben el nombre de recomendaciones. Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que el auditor tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los sistemas, unidos a los plazos demasiados breves de los que suelen disponer para realizar su tarea.

ALUMNAS: Calpa Lupe


6


El auditor solo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.

2. CONTROLES DE AUDITORIA DE SISTEMAS

CONTROL.-

Es el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.

Los controles tienen como fin:

Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso

Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD

Garantizar la integridad de los recursos informáticos. Asegurar la utilización adecuada de equipos acorde a planes

y objetivos.

3. CLASIFICACIÓN DE LOS CONTROLES EN AUDITORÍA DE SISTEMAS

Se clasifica en tres grandes grupos que son:

a) Controles Preventivos b) Controles Detectivosc) Controles Correctivos

CONTROLES PREVENTIVOS

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.

Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones

CONTROLES DETECTIVOS

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos.

ALUMNAS: Calpa Lupe


7


Son los más importantes para el auditor, ya que en cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de auditoría

Procedimientos de validación

CONTROLES CORRECTIVOS

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en sí una actividad altamente propensa a errores.

PRINCIPALES CONTROLES FÍSICOS Y LÓGICOS

Controles particulares tanto en la parte física como en la lógica se detallan a continuación:

Autenticidad

Permiten verificar la identidad

1. Passwords2. Firmas digitales

Exactitud

Aseguran la coherencia de los datos

1. Validación de campos2. Validación de excesos

Totalidad

Evitan la omisión de registros así como garantizan la conclusión de un proceso de envío.

1. Conteo de registros2. Cifras de control

Redundancia

ALUMNAS: Calpa Lupe


8


Evitan la duplicidad de datos

1. Cancelación de lotes2. Verificación de secuencias

Privacidad

Aseguran la protección de los datos

1. Compactación2. Encriptación

Existencia

Aseguran la disponibilidad de los datos

1. Bitácora de estados2. Mantenimiento de activos

Protección de Activos

Destrucción o corrupción de información o del hardware

1. Extintores2. Passwords

Efectividad

Aseguran el logro de los objetivos

1. Encuestas de satisfacción2. Medición de niveles de servicio

Eficiencia

Aseguran el uso óptimo de los recursos

1. Programas monitores2. Análisis costo-beneficio

CONTROLES AUTOMÁTICOS O LÓGICOS

Periodicidad de cambio de claves de acceso

ALUMNAS: Calpa Lupe


9


Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.

El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.

Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

Combinación de alfanuméricos en claves de acceso

No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave.

Para redefinir claves es necesario considerar los tipos de claves que existen: Individuales

Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio. Confidenciales De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves. No significativas Las claves no deben corresponder a números secuenciales ni a nombres o fechas. Verificación de datos de entrada

Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango. Conteo de registros

ALUMNAS: Calpa Lupe


10


Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados. Totales de Control

Se realiza mediante la creación de totales de linea, columnas, cantidad de formularios, cifras de control, etc. , y automáticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias. Verificación de límites Consiste en la verificación automática de tablas, códigos, limites mínimos y máximos o bajo determinadas condiciones dadas previamente.

Verificación de secuencias

En ciertos procesos los registros deben observar cierta secuencia numérica o alfabética, ascendente o descendente, esta verificación debe hacerse mediante rutinas independientes del programa en si. Dígito auto verificador Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la corrección o no del código. Tal es el caso por ejemplo del decimo dígito de la cédula de identidad, calculado con el modulo 10 o el ultimo dígito del RUC calculado con el módulo 11. Utilizar software de seguridad en los microcomputadores El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo. Adicionalmente, este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.

ALUMNAS: Calpa Lupe


11


Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros. Controles administrativos en un ambiente de Procesamiento de Datos La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma: 1.- Controles de Preinstalación2.- Controles de Organización y Planificación3.- Controles de Sistemas en Desarrollo y Producción4.- Controles de Procesamiento5.- Controles de Operación6.- Controles de uso de Microcomputadores . Controles de Preinstalación Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.

ALUMNAS: Calpa Lupe


12


Objetivos:

Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.

Garantizar la selección adecuada de equipos y sistemas de computación

Asegurar la elaboración de un plan de actividades previo a la instalación

Acciones a seguir:

Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio.

Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación

Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo.

Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales.

Efectuar las acciones necesarias para una mayor participación de proveedores.

Asegurar respaldo de mantenimiento y asistencia técnica. . Controles de organización y Planificación Se refiere a la definición clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:

ALUMNAS: Calpa Lupe


13


1. Diseñar un sistema2. Elaborar los programas3. Operar el sistema4. Control de calidad Se debe evitar que una misma persona tenga el control de toda una operación. Es importante la utilización óptima de recursos en el PAD mediante la preparación de planes a ser evaluados continuamente Acciones a seguir

La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.

Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.

Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas.

Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento.

El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito.

Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos “Plan Maestro de Informática”

Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan.

Las instrucciones deben impartirse por escrito.

Controles de Sistema en Desarrollo y Producción

ALUMNAS: Calpa Lupe


14


Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.

Acciones a seguir:

Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio

El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control

El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.

Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.

Los programas antes de pasar a Producción deben ser probados con datos que agoten todas las excepciones posibles.

Todos los sistemas deben estar debidamente documentados y actualizados. La documentación deberá contener:

Informe de factibilidadDiagrama de bloqueDiagrama de lógica del programaObjetivos del programaListado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificacionesFormatos de salidaResultados de pruebas realizadas

Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas, formatos de los sistemas en desarrollo.

ALUMNAS: Calpa Lupe


15


El sistema concluido será entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos

. Controles de Procesamiento Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para: Asegurar que todos los datos sean procesados

Garantizar la exactitud de los datos procesados

Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría

Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. Acciones a seguir:

Validación de datos de entrada previo procesamiento debe ser realizada en forma automática: clave, dígito autoverificador, totales de lotes, etc.

Preparación de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su corrección.

Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario elaborado en coordinación con el usuario, realizando un debido control de calidad.

Adoptar acciones necesarias para correcciones de errores.

Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para agilitar la captura de datos y minimizar errores.

Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema.

ALUMNAS: Calpa Lupe


16


Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la información y el buen servicio a usuarios.

. Controles de Operación Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line. Los controles tienen como fin:

Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso

Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD.

Garantizar la integridad de los recursos informáticos.

Asegurar la utilización adecuada de equipos acorde a planes y objetivos.

Recursos

Informáticos Acciones a seguir:

El acceso al centro de cómputo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado

Implantar claves o password para garantizar operación de consola y equipo central (mainframe), a personal autorizado.

Formular políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos

ALUMNAS: Calpa Lupe


17

Hardware

Personal

Software

InstalacionesDatos


como: incendio, vandalismo, robo y uso indebido, intentos de violación y como responder ante esos eventos.

Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos.

Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos.

Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos.

Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.

Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, etc.

El proveedor de hardware y software deberá proporcionar lo siguiente: Manual de operación de equiposManual de lenguaje de programaciónManual de utilitarios disponiblesManual de Sistemas operativos

Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, así como extintores de incendio, conexiones eléctricas seguras, entre otras.

Instalar equipos que protejan la información y los dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía.

Contratar pólizas de seguros para proteger la información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación.

. Controles en el uso del Microcomputador

ALUMNAS: Calpa Lupe


18


Es la tarea más difícil pues son equipos más vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información. Acciones a seguir:

Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo.

Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo.

Establecer procedimientos para obtención de backups de paquetes y de archivos de datos.

Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa.

Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos.

Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas.

Analizados los distintos tipos de controles que se aplican en la Auditoría de Sistemas efectuaremos a continuación el análisis de casos de situaciones hipotéticas planteadas como problemáticas en distintas empresas , con la finalidad de efectuar el análisis del caso e identificar las acciones que se deberían implementar.

Análisis de Casos de Controles Administrativos

. Controles sobre datos fijos Lea cada situación atentamente y

ALUMNAS: Calpa Lupe


19


1.- Enuncie un control que hubiera prevenido el problema o posibilitado su detección.

2.- Identifique uno o más controles alternativos que hubieran ayudado a prevenir o a detectar el problema.

Ejemplo de auditoría de sistemas

Auditoría de hardware y software en estaciones de trabajo.

Índice.

Alcance...............................................................................................................3

Objetivo..............................................................................................................3

Recursos.............................................................................................................3

Etapas de trabajo................................................................................................3

1. Recopilacion de informacion básica..........................................................3

2. Identificación de riesgos potenciales........................................................4

3. Objetivos de control..................................................................................4

4. Determinacion de los procedimientos de control.....................................4

5. Pruebas a realizar.....................................................................................5ALUMNAS:

Calpa Lupe Delgado Anita Realpe Cecilia

20


6. Obtencion de los resultados.....................................................................5

7. Conclusiones y Comentarios:...................................................................6

8. Redaccion del borrador del informe.........................................................6

9 . Presentación del borrador del informe, al responsable de microinformática..............................................................................................6

10. Redacción del Informe Resumen y Conclusiones.....................................6

11. Entrega del informe a los directivos de la empresa.................................7

ALUMNAS: Calpa Lupe


21


AlcanceLa auditoria se realizará sobre los sistemas informaticos en computadoras personales que estén conectados a la red interna de la empresa.

ObjetivoTener un panorama actualizado de los sistemas de información en cuanto a la seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad de los activos.

RecursosEl numero de personas que integraran el equipo de auditoria sera de tres, con un tiempo maximo de ejecucion de 3 a 4 semanas.

Etapas de trabajo1. Recopilacion de informacion básica

Una semana antes del comienzo de la auditoria se envia un cuestionario a los gerentes o responsables de las distintas areas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos.

Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que tambien lo completen. De esta manera, se obtendra una vision mas global del sistema.

Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado.

En las entrevistas incluiran:

Director / Gerente de Informatica

Subgerentes de informatica

ALUMNAS: Calpa Lupe


22


Asistentes de informatica

Tecnicos de soporte externo

2. Identificación de riesgos potenciales

Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares de la empresa y los requerimientos minimos para ejecutar los programas base.

Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propio software y la correcta configuracion y/o actualizacion de los equipos criticos como el cortafuegos.

Los riesgos potenciales se pueden presentar de la mas diversa variedad de formas.

3. Objetivos de control

Se evaluaran la existencia y la aplicación correcta de las politicas de seguridad, emergencia y disaster recovery de la empresa.

Se hara una revicion de los manuales de politica de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda.

Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.

4. Determinacion de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior.

Objetivo N 1: Existencia de normativa de hardware.

El hardware debe estar correctamente identificado y documentado.

ALUMNAS: Calpa Lupe


23


Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes.

El acceso a los componentes del hardware esté restringido a la directo a las personas que lo utilizan.

Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.

Objetivo N 2: Política de acceso a equipos.

Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los equipos.

Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas).

Los usuarios se desloguearan después de 5 minutos sin actividad.

Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relación laboral.

Uso restringido de medios removibles (USB, CD-ROM, discos externos etc).

5. Pruebas a realizar.

Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:

Tomar 10 maquinas al azar y evaluar la dificultad de acceso a las mismas.

Intentar sacar datos con un dispositivo externo.

Facilidad para desarmar una pc.

ALUMNAS: Calpa Lupe


24


Facilidad de accesos a información de confidencialidad (usuarios y claves).

Verificación de contratos.

Comprobar que luego de 5 minutos de inactividad los usuarios se deslogueen.

6. Obtencion de los resultados.

En esta etapa se obtendrán los resultados que surjan de la aplicación de los procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de control antes definidos. Los datos obtenidos se registrarán en planillas realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones erroneas.

7. Conclusiones y Comentarios:

En este paso se detallara el resumen de toda la información obtenida, asi como lo que se deriva de esa información, sean fallas de seguridad, organización o estructura empresarial. Se expondrán las fallas encontradas, en la seguridad física sean en temas de resguardo de información (Casos de incendio, robo), manejo y obtención de copias de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de passwords, formularios de adquisición de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que los mismos aportarían. Finalmente se verán los temas de organización empresarial, como son partes responsables de seguridad, mantenimiento y supervisión de las otras áreas.

8. Redaccion del borrador del informe

Se detalla de manera concisa y clara un informe de todos los problemas encontrados, anotando los datos técnicos de cada una de las maquinas auditadas:

Marca

ModeloALUMNAS:

Calpa Lupe Delgado Anita Realpe Cecilia

25


Numero de Serie

Problema encontrado

Solución recomendada

9 . Presentación del borrador del informe, al responsable de microinformática

Se le presentara el informe borrador a un responsable del área informática, como se aclaro en el punto anterior, con el máximo de detalle posible de todos los problemas y soluciones posibles recomendadas, este informe se pasara por escrito en original y copia firmando un documento de conformidad del mismo para adquirir un compromiso fuerte en la solución de los mismos, de esta forma evitaremos posibles confusiones futuras.

10. Redacción del Informe Resumen y Conclusiones.

Es en este paso es donde se muestran los verdarderos resultados a los responsables de la empresa, el informe presentado dará a conocer todos los puntos evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles soluciones.

La conclusión tendrá como temas los resultados, errores, puntos críticos y observaciones de los auditores. Mientras que en el resumen se verán las posibles soluciones de esos puntos críticos y fallas, así como recomendaciones para el buen uso y también recomendaciones sobre la forma incorrecta de realizar algunos procedimientos.

11. Entrega del informe a los directivos de la empresa.

Esta es la ultima parte de la auditoria y en una reunion se formaliza la entrega del informe final con los resultados obtenidos en la auditoria.

Tambien se fijan los parametros si asi se requieren para realizar el seguimientos de los puntos en los que el resultado no haya sido

ALUMNAS: Calpa Lupe


26


satifactorio o simplemente se quiera verificar que los que los objetivos de control se sigan cumpliendo a lo largo del tiempo.

EJEMPLO PRÁCTICO A LA DIRECCIÓN DE AVIACIÓN CIVIL

REALIZADO POR LA CONTRALORÍA GENERAL DEL ESTADO

Sistema Informático Integrado de Recursos Humanos

desactualizado

Los responsables de la Jefatura de Gestión de Recursos Humanos, en su

respectivo período de gestión no alimentaron la información de manera

ágil y oportuna en el Sistema Informático Integrado de Recursos

Humanos y en muchos casos no refleja ni siquiera la Unidad en que los

funcionarios se encuentran prestando físicamente sus servicios.

Se verificaron comunicaciones enviadas por la Jefatura de Sueldos al Jefe

de la UARHs, solicitando que los diferentes movimientos de personal

correspondientes a cada mes, se envíen oportunamente para poder

procesar el rol ya que son las Jefaturas de Registro y Control, Gestión y

Control las que proveen el insumo para realizar este proceso. Se debe

considerar que la información que corresponda a la UARHs debe ser

consistente con la que se mantiene en el Área Financiera; por lo tanto, las

partidas presupuestarias deben guardar relación con el distributivo y la

remuneración asignada en la misma, en cuanto al cargo que desempeña.

El registro de acciones de personal que contienen sanciones

administrativas, no fueron registradas oportunamente, por lo tanto

prescribieron, tampoco fueron archivados en los expedientes personales

ALUMNAS: Calpa Lupe


27


en los que se incluyen otros documentos, los mismos que reposan en

cajas y fundas en el área de Registro y Control.

Lo expresado, se debe a que la unidad no dispone de un software que

integre la información de los subsistemas de clasificación, selección,

capacitación y evaluación del desempeño, lo que ocasionó que la

Dirección de Recursos Humanos no cuente con datos actualizados para

la administración adecuada y eficiente del personal.

Por lo expuesto, el Jefe de Recursos Humanos inobservó las Normas de

Control Interno 110-03, “Contenido, flujo y Calidad de la Información”;

400-10, “Utilización de los Equipos, Programas e Información

Institucional” y 400-11, “Aprovechamiento de los Recursos

Computarizados del Sector Público”.

Conclusión

El Sistema informático implantado en la UARHs no es adecuado y está

desactualizado de manera que no permite obtener información oportuna

relativa a la hoja de vida y otros datos de los servidores.

Recomendaciones

Al Director General de Aviación Civil

1. Dispondrá al Jefe de Recursos Humanos solicite y coordine con la

unidad de Tecnología para que prepare un software que integre la

información de los subsistemas de clasificación, selección, capacitación y

evaluación del desempeño, que permita que la División de Recursos

Humanos cuente con datos actualizados y de importancia para la

administración adecuada y eficiente del personal.

Al Jefe de Recursos Humanos

2. Establecerá la necesidad de contar con un sistema informático

exclusivo para el área de recursos humanos que permita tener

información confiable y oportuna para la toma de decisiones, que facilite

ALUMNAS: Calpa Lupe


28


obtener reportes actualizados para lograr un adecuado control de

vacaciones, permisos, licencias, comisiones de servicio, atrasos, faltas y

permanencia del personal en su lugar de trabajo.

3. Dispondrá a los responsables de la Jefatura de Gestión y

Administración y Control, la depuración y actualización inmediata del

Sistema Informático Integrado de Recursos Humanos.

ALUMNAS: Calpa Lupe


29


ALUMNAS: Calpa Lupe


31

CONCLUSIONES

1. La Gestión de Tecnologías de información y Comunicaciones en la “Sociedad del Conocimiento”, se constituye en el factor diferenciador entre las prácticas tradicionales y las prácticas automatizadas, centradas en el empleo de Hardware, Software y personal actualizado con el fin de mantener servicios de tecnología de información adecuados para alcanzar los objetivos institucionales.

3. Concluimos que la auditoria de sistemas nos permite realizar un examen crítico y analítico en todas las entidades que se manejen sistema informáticos; ya en base a esto se saca criterios de fallas o buenos manejos o administración de recursos.

4. Nos permite emitir información adecuada a los directivos para la toma de decisiones dentro de una entidad a través de la emisión de un Informe de Hallazgos y hechos encontrados en el examen realizado sea interno o externo.


RECOMENDACIONES

1. A todas las entidades o instituciones que manejen un sistema informático, se realice una auditoría de sistemas para ver si el manejo de la base de datos se está registrando de una manera adecuada, correcta y concisa que no afecte a la situación verdadera de la entidad en el caso de que exista fraude.

2. En todos las unidades de una institución u organización se realizan controles, mediante diferentes auditorías, porque no hacer control (antes, durante y después) a los sistemas o paquetes informáticos, si son éstos los que actualmente están manejando un 90% de la información y un 80% de la gestión de cada institución.

ALUMNAS: Calpa Lupe


33


BIBLIOGRAFÍA Y LINKOGRAFÍA

- Manual de Auditoría de Sistemas de la Contraloría General del Estado, Año 2010.

- Audiconsystem.com

- Concepaudit.com

- Monografías. Com

ALUMNAS: Calpa Lupe


34

Auditoria de Sistemas

Documents

Transcript of Auditoria de Sistemas