Auditoria Informatica(Unidad i)

5/15/2018 Auditoria Informatica(Unidad i) - slidepdf.com

http://slidepdf.com/reader/full/auditoria-informaticaunidad-i 1/22

AUDITORIA

INFORMATICA

Ing. Dexia Colmenarez

UNIDAD I: CONCEPTOS BASICOS



CONTENIDO

o Historia,

o Definicióno Funciones

o Objetivoso Característica

o Alcance

o Delitos informáticos,o Plataforma de los

sistemas

o Auditoria Interna y Externa

o Síntomas de necesidad deauditoria

o Control,o Seguridad de los sistemaso Vulnerabilidad de los

sistemaso

Riesgos en auditorias



Historia

A finales del siglo XX, los Sistemas Informáticos se hanconstituido en las herramientas más poderosas para

materializar uno de los conceptos más vitales y necesarios

para cualquier organización empresarial, los Sistemas deInformación de la empresa.

La Informática hoy, está subsumida en la gestión integral

de la empresa, y por eso las normas y estándares

propiamente informáticos deben estar, por lo tanto,

sometidos a los generales de la misma



Historia (Cont.)

En consecuencia, las organizaciones informáticas forman

parte de lo que se ha denominado gestión de la empresa.

Cabe aclarar que la Informática no gestiona propiamente la

empresa, ayuda a la toma de decisiones, pero no decide por sí

misma. Por ende, debido a su importancia en el

funcionamiento de una empresa, existe la Auditoría

Informática.



Definición de Auditoría e Informática

Examen metódico de una situación

relativa a un producto, proceso uorganización, en materia decalidad, realizado en cooperacióncon los interesados para verificar la

concordancia de la realidad con lopreestablecido y la adecuación alobjetivos buscados. C1

Actividad para determinar, por medio

de la investigación, la adecuación de

los procedimientos establecidos,instrucciones, especificaciones,codificaciones y estándares otrosrequisitos, la adhesión a los mismos y

la eficiencia de su implantación . C2



Definición de Auditoría e Informática Cont.

Es el conjunto de técnicas, actividades yprocedimientos, destinados a analizar, evaluar, verificary recomendar en asuntos relativos a la planificación,

control, eficacia, seguridad y adecuación del servicioinformático en la organización, por lo que comprende unexamen metódico, puntual y discontinuo del servicioinformático, con vista a mejorar en: Rentabilidad,

Seguridad y Eficacia

. C1 . C2



Definición de la Auditoría Informática

Es un proceso llevado a cabo por

profesionales especialmente capacitadospara el efecto, y que consiste en recoger,

agrupar y evaluar evidencias paradeterminar si un sistema de información salvaguarda el activo empresarial,mantiene la integridad de los datos, llevaa cabo eficazmente los fines de la

organización, utiliza eficientemente losrecursos, y cumple con las leyes yregulaciones establecidas.

http://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n








Función de la Auditoría Informática

Permitir detectar de forma sistemática el uso de los

recursos y los flujos de información dentro de unaorganización

Determinar qué información es crítica para elcumplimiento de su misión

Identificar necesidades, duplicidades, costes, valor y

barreras, que obstaculizan flujos de informacióneficientes.

.



Objetivos de la Auditoría Informática

El control de la función informática. La operatividad

El análisis de la eficiencia de los Sistemas Informáticos

La verificación del cumplimiento de la Normativa eneste ámbito

La revisión de la eficaz gestión de los recursos

informáticos.



Objetivos de la Auditoría Informática Cont.

La operatividad de los Sistemas ha de constituir entonces laprincipal preocupación del auditor informático, para esto sedebe aplicar los diferentes controles:

Controles Técnicos Generales de Operatividad

Controles Técnicos Específicos de Operatividad



Controles Técnicos Generales de Operatividad

Son los que se realizan para verificar la compatibilidad de

funcionamiento simultaneo del Sistema Operativo y el

Software de base con todos los subsistemas existentes, así

como la compatibilidad del Hardware y del Software

instalados.



Controles Técnicos Específicos de Operatividad

Son igualmente necesarios para lograr la Operatividad

de los Sistemas. Un ejemplo de lo que se puede encontrar

mal son parámetros de asignación automática de espacio

en disco* que dificulten o impidan su utilización posterior

por una Sección distinta de la que lo generó.



Controles de la Gestión Informática: Normativas

Una vez que se consiga la operatividad de los sistemas,

nos vamos al otro objetivo que es la verificación de las

normas. Las cuales tenemos:

1. Las Normas Generales de la Instalación Informática

2. Los Procedimientos Generales Informáticos.

3. Los Procedimientos Específicos Informáticos



1. Las Normas Generales de la InstalaciónInformática

Se realizará una revisión inicial sin

estudiar a fondo las contradicciones que

pudieran existir, pero registrando lasáreas que carezcan de normativa, y

sobre todo verificando que esta

Normativa General Informática no está

en contradicción con alguna Norma

General no informática de la empresa.



2. Los Procedimientos Generales Informáticos.

Se verificará su existencia, al menos

en los sectores más importantes. Por

ejemplo, la recepción definitiva de las

máquinas debería estar firmada por los

responsables de Explotación. Tampoco

el alta de una nueva Aplicación podría

producirse si no existieran los

Procedimientos de Backup y

Recuperación correspondientes.



3. Los Procedimientos Específicos Informáticos

Se revisara su existencia en las áreas

fundamentales. Así, el Depto. no debería

explotar una Aplicación sin haber exigidoa Desarrollo la pertinente

documentación.

Comprobar que los ProcedimientosEspecíficos no se opongan a los

Procedimientos Generales.



3. Los Procedimientos Específicos InformáticosCont.

Verificar que no exista contradicción

alguna con la Normativa y los

Procedimientos Generales de la propia

empresa, a los que la Informática debe

estar sometida.



El alcance ha de definir con precisión el entorno y los

límites en que va a desarrollarse la auditoría informática, se

complementa con los objetivos de ésta. Es decir a de figurarexpresamente en el Informe Final, de modo que quede

perfectamente determinado no solamente hasta que puntos

se ha llegado, sino cuales materias fronterizas han sido

omitidas.

Alcance de la Auditoría Informática



Para realizar el alcance de una Auditoria se deben

realizar algunas Interrogantes : ¿Se someterán los registros grabados a un control de

integridad exhaustivo*?

¿Se comprobará que los controles de validación de

errores son adecuados y suficientes*?

La indefinición de los alcances de la auditoría

compromete el éxito de la misma.



o Realizar inversiones informáticas, materia de la que se ocupa

la Auditoría de Inversión Informática .

o Del mismo modo, los Sistemas Informáticos han de protegersede modo global y particular: a ello se debe la existencia de la

Auditoría de Seguridad Informática en general, o a la auditoría

de Seguridad de alguna de sus áreas, como pudieran ser

Desarrollo o Técnica de Sistemas.

Características de la AuditoríaInformática



o Cuando se producen cambios estructurales en la Informática,se reorganiza de alguna forma su función: se está en el campode la Auditoría de Organización Informática.

Estos tres tipos de auditorías engloban a las actividades auditoras que se

realizan en una auditoría parcial. De otra manera: cuando se realiza una

auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias,

debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla

de ellas.

Características de la AuditoríaInformática (Cont.)



DelitosInformáticos……………

.

Auditoria Informatica(Unidad i)

Documents

Transcript of Auditoria Informatica(Unidad i)