Diapositiva 1

AUDITORIA INFORMTICAMIZAEL CANO ORTIZRESUMENMIGUEL ANGEL REYES VERGARA

INTRODUCCINLa palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or.

A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa.

Las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa.

La Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica.

La auditora es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo.

El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin.

Para la realizacin de una auditora informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Annima o empresa Pblica. Todos utilizan la informtica para gestionar sus "negocios" de forma rpida y eficiente con el fin de obtener beneficios econmicos y reduccin de costes.

ASPECTOS IMPORTANTESLas computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditora Informtica de Seguridad.

Las computadoras creadas para procesar y difundir resultados o informacin elaborada pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos.

Un Sistema Informtico mal diseado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes recibidas y la modelizacin de la empresa est determinada por las computadoras que materializan los Sistemas de Informacin, la gestin y la organizacin de la empresa no puede depender de un Software y Hardware mal diseados.OBJETIVOS DE LA INFORMATICALa informtica es: la ciencia que estudia el tratamiento automtico y racional de la informacin mediante el uso de computadoras electrnicas.

Las principales razones que han obligado a la automatizacin del tratamiento de las informaciones, que son a la postre los objetivos perseguidos por la informtica:

La primera, es el tener que realizar funciones que el hombre por s solo no puede cubrir, como seran las comunicaciones a largas distancias, el radar, el sonar, etc.

Realizar funciones que el hombre puede abordar por s mismo, pero llevaran un tiempo muy largo incluso si son ejecutadas por muchos individuos juntos, de tal modo que se conseguira la operatividad y el fin perseguido.La necesidad de obtener una seguridad en algunas tareas, sobre todo en aquellas de tipo reiterativo, en las que el hombre comete errores con alguna frecuencia, los cuales estn paliados por la perfeccin de las mquinas.

La sustitucin de mano de obra para tareas montonas que no desarrollan las facultades nobles del hombre. Mediante la automatizacin se pueden abandonar dichas tareas, pudiendo entonces dedicarse el esfuerzo humano a funciones ms decisivas.

Investigacin cientfica y humansticaSe usan la las computadoras para la resolucin de clculos matemticos, recuentos numricos, etc. Algunas de estas operaciones:

Resolucin de ecuaciones

Anlisis de datos de medidas experimentales, encuestas, anlisis automticos de textos.

Aplicaciones tcnicasUsa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones:

Anlisis y diseo de circuitos de computadora

Clculo de estructuras en obras de ingeniera

Minera

Cartografa

Documentacin e informacinEs uno de los campos ms importantes para la utilizacin de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Ejemplos de este campo de aplicacin son:Documentacin cientfica y tcnica

Archivos automatizados de bibliotecas

Bases de datos jurdicas

Gestin administrativaAutomatiza las funciones de gestin tpicas de una empresa. Existen programas que realizan las siguientes actividades:

Contabilidad

Facturacin

Control de existencias

Nminas

Inteligencia artificialLas computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo hara una persona inteligente. Aplicaciones como:Reconocimiento del lenguaje natural

Programas de juego complejos (ajedrez)

Instrumentacin, control y Otras aplicacionesInstrumentacin electrnica, electro-medicina, robots industriales, etc.

Otros campos de aplicacin no vistos anteriormente: video-juegos, aplicaciones en el arte, procesamiento de imgenes.

OBJETIVOS DE LA AUDITORIA INFORMATICALa Auditora Informtica la podemos definir como el conjunto de procedimientos y tcnicas para evaluar y controlar un sistema informtico con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informticas y generales prefijades en la organizacin.

La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.La Auditora del Sistema de Informacin en la empresa, a travs de la evaluacin y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de informacin en que se sustenta.Aspectos relativos al control de la Seguridad de la InformacinAspectos generales relativos a la seguridad. En este grupo de aspectos habra que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmsferas agresivas, agresiones y posibles sabotajes, seguridad de las instalaciones, del personal informtico, etc.

Aspectos relativos a la confidencialidad y seguridad de la informacin. Estos aspectos se refieren no solo a la proteccin del material, el logicial, los soportes de la informacin, sino tambin al control de acceso a la propia informacin (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma).

Aspectos jurdicos y econmicos relativos a la seguridad de la informacin. En este grupo de aspectos se trata de analizar la adecuada aplicacin del sistema de informacin en la empresa en cuanto al derecho a la intimidad y el derecho a la informacin, y controlar los cada vez ms frecuentes delitos informticos que se cometen en la empresa.Eficacia del SistemaDeterminada, bsicamente, por la aportacin a la empresa de una informacin vlida, exacta, completa, actualizada y oportuna que ayude a la adopcin de decisiones, y todo ello medido en trminos de calidad, plazo y coste. Sin el adecuado control, mediante la realizacin de auditoras al sistema de informacin, esos objetivos seran dificiles de conseguir, con la siguiente repercusin en una adecuada direccin y gestin en la empresa.Rentabilidad del SistemaLa rentabilidad del sistema debe ser medida mediante el anlisis de tres valores fundamentales: la evaluacin de los costes actuales, la comparacin de esos costes actuales con magnitudes representativas de la organizacin, y la comparacin de los costes del sistema de informacin de la empresa con los de empresas similares, preferentemente del mismo sector de actividad.Evaluar los aspectos de rentabilidad del sistema de informacinEvaluacin de los costes actuales. Conocer, en trminos econmicos, los costes que para una empresa supone su sistema de informacin, constituye uno de los aspectos bsicos de la auditora informtica. Se trata de cuantificar los costes de los distintos elementos que configuran el sistema de informacin y que en trminos generales son los siguientes:Hardware. Se trata de analizar la evolucin histrica del hardware en la empresa, justificando dicha evolucin. Es importante conocer el coste del material (unidad central, perifricos, soporte, etc.) durante los ltimos cinco aos.

Software. Anlisis de los costes relativos al sistema lgico, tanto en sus aspectos relativos a la explotacin (adecuacin del sistema operativo, versin del software utilizado) como en los aspectos relativos a la programacin de las distintas aplicaciones (prioridades de ejecucin, lenguaje utilizado).

Capturas de datos. Anlisis de los costes relativos a la captura de datos, de las fuentes de informacin, tanto internas como externas de la empresa.

Grabacin de datos. Es necesario conocer tambin los costes relativos a la transcripcin de datos en los soportes adecuados (costes de personal, equipos y mquinas auxiliares).

Explotacin. Anlisis de los costes imputados a los factores relativos a la explotacin en sentido amplio (tratamiento manual, tiempos de realizacin de aplicaciones, tiempo de respuesta, control errores, etc...).Aplicaciones. Se trata de evaluar los costes del anlisis funcional, el anlisis orgnico, la programacin, las pruebas de programas, preparacin de datos y costes de desarrollo de cada aplicacin medido en horas.

Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas categoras, equilibrio entre esas categoras, remuneraciones salariales, horas extraordinarias), se trata de analizar los costes de personal directamente relacionado con el sistema de informacin. En este apartado debern tenerse en cuenta tambin los costes relativos a la formacin del personal.

Documentacin. Es necesario no slo verificar que la documentacin relativa al sistema de informacin sea clara, precisa, actualizada y completa, sino tambin los costes relativos a su elaboracin y actualizacin.

Difusin de la informacin. Se trata de evaluar los costes de di-fundir la informacin, es decir, hacer llegar a los usuarios del sistema la informacin demandada o aquella considerada necesaria en los distintos niveles de la organizacin.

Comparacin de los costes actuales con magnitudes representativas de la organizacin.Se trata de conocer los porcentajes que en relacin con el coste total son imputables al hardware, al software, a la captura de datos, grabacin, explotacin, aplicaciones, suministros, mantenimiento, personal, documentacin y difusin de la informacin.

Conocer la relacin de costes/ahorro/productividad del personal (analistas, programadores, operadores, auxiliares, etc.) y analizar la evolucin del coste de la hora til de la memoria central.Comparacin de los costes del sistema de informacin de la empresa con los de empresas similares.El anlisis de costes y su comparacin con otras magnitudes representativas, debe completarse, siempre que ello sea posible, con los costes de los sistemas de informacin de empresas similares a la que es objeto de auditora.PRINCIPIOS Y REGLAS DE AUDITORIAPrincipio: auditar racionalmente significa explicitar sus finalidades, y deducir de stas los medios y las acciones de investigacin que se consideren necesarios y suficientes.

Regla : la auditora informtica consiste en comparar uno o varios actos de management, desde uno o varios puntos de vista, con los que deberan ser.

La auditora informtica siempre llegar a una conclusin cuando los medios asignados sean suficientes y las acciones sean posibles.

Regla: los medios y las acciones elegidas por el auditor deben adaptarse exclusivamente a la finalidad de la auditora, siendo coherentes entre s y, desde luego, fiables y seguros.

En determinados casos la tarea del auditor puede ser muy compleja, para ello deber dividirla en funciones obteniendo conclusiones parciales de stas y establecer un plan de aquellas que resulten ser ms significativas.