Auditoría de Sistemas por jenny londoño

Auditoría Informática.

PROGRAMA DE

CONTADURIA PUBLICA

MODALIDAD A DISTANCIA

JENNY YISSEL LONDOÑO GARZON

Auditoría Informática.Es muy probable que al leer el título del tópico,se habrá preguntado:

...¿auditoría informática?

... ¿para que necesito estudiar esto si ese no es mi campo?

...¿realmente es importante para mi labor profesional leer este tópico o es sólo por un requisito académico?.


Auditoría Informática.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a caboeficazmente los fines de la organización y utiliza eficientemente los recursos.


PLANEACIÓN AUDITORÍA INFORMATICA

Hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.


INVESTIGACIÓN PRELIMINAR

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.


http://images.google.co.ve/imgres?imgurl=http://wwwdi.ujaen.es/~fconde/AI/images/AI.jpg&imgrefurl=http://wwwdi.ujaen.es/~fconde/AI/AI.html&usg=__QnR_AhkIUIpOiGTbjHlM6ETuWz8=&h=280&w=200&sz=67&hl=es&start=6&tbnid=swVl3wkKsg1s3M:&tbnh=114&tbnw=81&prev=/images?q=AUDITORIA+INFORMATICA&gbv=2&hl=es

http://images.google.co.ve/imgres?imgurl=http://www.panzano.es/blog/img/auditoria.jpg&imgrefurl=http://escuelasviejas.wordpress.com/tag/usal/&usg=__XgDVJXm7p7Ut1Xup07NbMnzaDc8=&h=265&w=400&sz=40&hl=es&start=191&tbnid=KUCUI3Qszg8GQM:&tbnh=82&tbnw=124&prev=/images?q=AUDITORIA+INFORMATICA&start=180&gbv=2&ndsp=20&hl=es&sa=N

http://images.google.co.ve/imgres?imgurl=http://i21.photobucket.com/albums/b298/k_milo/EL_AVANCE_DE_LA_INFORMATICA.jpg&imgrefurl=http://andrescfonseca.blogspot.com/2007/11/programacion-en-internet-porandres_9998.html&usg=__pehnQf7_XEDLyUoczbG33GiFX9U=&h=500&w=482&sz=88&hl=es&start=206&tbnid=8pjUc9zHMQnKJM:&tbnh=130&tbnw=125&prev=/images?q=AUDITORIA+INFORMATICA&start=200&gbv=2&ndsp=20&hl=es&sa=N


INVESTIGACIÓN PRELIMINAR

ADMINISTRACIÓN

A NIVEL DEL ÁREA DE INFORMÁTICA

SISTEMAS


http://images.google.co.ve/imgres?imgurl=http://wwwdi.ujaen.es/~fconde/AI/images/AI.jpg&imgrefurl=http://wwwdi.ujaen.es/~fconde/AI/AI.html&usg=__QnR_AhkIUIpOiGTbjHlM6ETuWz8=&h=280&w=200&sz=67&hl=es&start=6&tbnid=swVl3wkKsg1s3M:&tbnh=114&tbnw=81&prev=/images?q=AUDITORIA+INFORMATICA&gbv=2&hl=es

http://images.google.co.ve/imgres?imgurl=http://www.panzano.es/blog/img/auditoria.jpg&imgrefurl=http://escuelasviejas.wordpress.com/tag/usal/&usg=__XgDVJXm7p7Ut1Xup07NbMnzaDc8=&h=265&w=400&sz=40&hl=es&start=191&tbnid=KUCUI3Qszg8GQM:&tbnh=82&tbnw=124&prev=/images?q=AUDITORIA+INFORMATICA&start=180&gbv=2&ndsp=20&hl=es&sa=N



Entorno InformáticoJENNY YISSEL LONDOÑO GARZON

Fases de la Auditoria Informática

Fase I: Conocimientos del Sistema

Fase II: Análisis de transacciones y recursos

Fase III: Análisis de riesgos y amenazas

Fase IV: Análisis de controles

Fase V: Evaluación de Controles

Fase VI: El Informe de auditoria

Fase VII: Seguimiento de las Recomendaciones


Fase I: Conocimientos del Sistema

Características del Sistema Operativo.Organigrama del área que participa en el sistemaManual de funciones de las personas que participan en los

procesos del sistemaInformes de auditoría realizadas anteriormente

Características de la aplicación de computadoraManual técnico de la aplicación del sistemaFuncionarios (usuarios) autorizados para administrar la aplicaciónEquipos utilizados en la aplicación de computadoraSeguridad de la aplicación (claves de acceso)Procedimientos para generación y almacenamiento de los archivos

de la aplicación.


Fase II: Análisis de transacciones y recursos

Definición de las transacciones.Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores.

Análisis de las transaccionesEstablecer el flujo de los documentosEn esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos.

Análisis de los recursosIdentificar y codificar los recursos que participan en el sistemas

Relación entre transacciones y recursos



3.1.Identificación de riesgos

Daños físicos o destrucción de los recursos. Pérdida por fraude o desfalcoExtravío de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamientoInterrupción de las operaciones

del negocioPérdida de integridad de los datosIneficiencia de operacionesErrores

3.2.Identificación de las amenazas

Amenazas sobre los equipos:Amenazas sobre documentos fuenteAmenazas sobre programas de

aplicaciones

3.3.Relación entre recursos/amenazas/riesgos

La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.


Agente Amenazante

HackerCracker

Espionaje IndustrialCriminales Profesionales

Usuarios (Daños intencionales o no)

Objetivos: Desafío, ganancia financiera/política,

daño

Causa Física (Natural o no)

Concreción de la Amenaza

Daño a los equipos, datos o

información

ConfidencialidadIntegridad Disponibilidad

Pérdida de• Dinero• Clientes• Imagen de la Empresa


http://www.google.co.ve/imgres?imgurl=http://www.compuchannel.net/wp-content/archivos/2009/07/jul13-gartner-actualidad.jpg&imgrefurl=http://www.compuchannel.net/2009/07/13/disminucion-gasto-ti&usg=__OtQSCiJdAMIduduosltdUvkHnG4=&h=300&w=400&sz=40&hl=es&start=1&itbs=1&tbnid=Rca-eFkXGka57M:&tbnh=93&tbnw=124&prev=/images?q=disminuci%C3%B3n&hl=es&gbv=2&tbs=isch:1

http://www.google.co.ve/imgres?imgurl=http://www.compuchannel.net/wp-content/archivos/2009/07/jul13-gartner-actualidad.jpg&imgrefurl=http://www.compuchannel.net/2009/07/13/disminucion-gasto-ti&usg=__OtQSCiJdAMIduduosltdUvkHnG4=&h=300&w=400&sz=40&hl=es&start=1&itbs=1&tbnid=Rca-eFkXGka57M:&tbnh=93&tbnw=124&prev=/images?q=disminuci%C3%B3n&hl=es&gbv=2&tbs=isch:1

Fase IV: Análisis de controles

Codificación de controlesLos controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles deben contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.

Relación entre recursos/amenazas/riesgosLa relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más controles.

Análisis de cobertura de los controles requeridosEste análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.


Fase V: Evaluación de Controles

Objetivos de la evaluaciónVerificar la existencia de los controles requeridosDeterminar la operatividad y suficiencia de los controles

existentes Plan de pruebas de los controlesIncluye la selección del tipo de prueba a realizar.Debe solicitarse al área respectiva, todos los elementos

necesarios de prueba.Pruebas de controles

Análisis de resultados de las pruebas


http://images.google.com/imgres?imgurl=http://www.shellsec.net/imagenes/secciones/auditoria.jpg&imgrefurl=http://www.shellsec.net/auditoria_seguridad.php&h=121&w=140&sz=4&hl=es&start=69&um=1&tbnid=ldO2aVddzcG4JM:&tbnh=80&tbnw=93&prev=/images?q=auditoria&start=54&ndsp=18&svnum=10&um=1&hl=es&rls=com.microsoft:es-ni:IE-SearchBox&sa=N

Medidas de Control y Seguridad

Mecanismos utilizados para garantizar la SeguridadLógica de los Datos.

En los Sistemas Multiusuarios se deben restringirel acceso a la Información, mediante un nombrede usuario (login) y una contraseña (password). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casosexcepcionales.


Medidas de Contingencia

Mecanismos utilizados para contrarrestar la pérdida o daños de la información, bien seaintencionales o accidentales.

La más utilizada es la Copia de Seguridad(Backup), en la cual se respalda la información generada en la empresa .


Copias de SeguridadLas copias pueden ser totales o parciales y la fre-cuencia varía dependiendo de la importancia de la información que se genere.

BackupSe recomienda tener como mínimo dos (2)respaldos de la información,uno dentro de la empresa y otro fuerade ésta (preferiblemente en un Banco enCaja Fuerte).


Medidas de Protección

Medidas utilizadas para garantizar la SeguridadFísica de los Datos.

Aquellos equipos en donde se generainformación crítica, deben tener unUPS. De igual forma, el suministro decorriente eléctrica para el área informática,debe ser independiente del resto de las áreas.


Fase VI: Informe de Auditoriao Informe detallado de recomendacionesoEvaluación de las respuestaso Informe resumen para la alta gerenciaEste informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la áreas.Introducción: objetivo y contenido del informe de auditoriaObjetivos de la auditoríaAlcance: cobertura de la evaluación realizadaOpinión: con relación a la suficiencia del control interno del

sistema evaluadoHallazgosRecomendaciones


Fase VII: Seguimiento de Recomendaciones

7.1. Informes del seguimiento

7.2. Evaluación de los controles

implantados


PERSONAL PARTICIPANTE

colaboradores directos en la realización de la auditoría se deben tener personas con las siguientes características:Técnico en informática. Experiencia en el área de informática.Experiencia en operación y análisis de sistemas.Conocimientos de los sistemas más importantes.


MUCHAS GRACIAS


Auditoría de Sistemas por jenny londoño

Education

Transcript of Auditoría de Sistemas por jenny londoño