RESUMEN DE LA INTRODUCCIN DE AUDITORIA INFORMTICA La InformacinEn sentido general, la informacin es un conjunto organizado de datos procesados, que constituyen un mensaje sobre un determinado ente o fenmeno. La generacin y/o obtencin de informacin cumple estos objetivos: Aumentar el conocimiento del usuario. Proporcionar a quien toma decisiones la materia prima fundamental para el desarrollo de soluciones y la eleccin. Proporcionar una serie de reglas de evaluacin y reglas de decisin para fines de control.Existen diversos enfoques para el estudio de la informacin: Enbiologa, la informacin se considera como estmulo sensorial que afecta al comportamiento de los individuos Encomputacinyteora de la informacin, como una medida de la complejidad de un conjunto de datos. En comunicacin social y periodismo, como un conjunto de mensajes intercambiados por individuos de una sociedad con fines organizativos concretos.Idalberto Chiavenatoafirmaba que la informacin consiste en unconjunto dedatos que poseen un significado, de modo tal que reducen la incertidumbre y aumentan el conocimiento de quien se acerca a contemplarloEs por ello que la Informtica ahora contempla adems comoInformacina la que es transmitida por laRed de Redes, teniendo por caso el anlisis y gestin del envo de la Informacin enInternet.Uso de la Informacin Se considera que la generacin y/o obtencin de informacin persigue estos objetivos: Aumentar/mejorar el conocimiento del usuario. Proporcionar a quien toma decisiones de la materia prima fundamental para el desarrollo de soluciones y la eleccin. Proporcionar una serie de reglas de evaluacin y reglas de decisin para fines de control.El dato, por as llamarlo, es en s un "prefijo" de la informacin, es decir, es un elemento previo necesario para poder obtener la informacin.Importancia de la InformacinUno de los principales activos de cualquier empresa, es la informacin contenida en sus sistemas informticos. Dicha informacin es susceptible de ser perdida, deteriorada, revelada o incluso de robada.1. Perdida de la Informacin Por hechos fortuitos Incendios Inundaciones TerremotosEstas prdidas de informacin pueden paralizar la actividad empresarial, temporal o definitivamente, dependiendo del calibre del desastre.2. Por hechos PremeditadosLa prdida de informacin tambin puede provenir de la accin de empleados descontentos o antiguos trabajadores despedidos por sus empresas, que con nimo de lucro o con el nico aliciente de fastidiar a sus empresas deciden robar o destruir la valiosa informacin de la misma.Implementar BCP y DRP para el caso de presentarse un evento que afecte las instalaciones de los activos informticos.Valor de la Informacin La informacin tiene un gran impacto en la toma de decisiones. Aunque no tiene valor absoluto, su valor est relacionado con quin la usa y en la situacin de uso. El valor normativo de la informacin: Se refiere al conocimiento preliminar que tenemos acerca de la ocurrencia de los eventos los cuales son relevantes para nuestras decisiones. El valor realstico de la informacin: Es el de reconocer que la informacin apoya las decisiones El valor subjetivo de la informacin: Refleja la impresin comprendida de la gente para la informacin. Beneficios tangibles: Reduccin en los niveles de inventario, en la lnea de crdito, en horas-hombre Beneficios intangibles: Mejora de los procesos de toma de decisiones; ampla los horizontes de planeacin, facilita la integracin de datosAtributos de la InformacinEn general la informacin tiene una estructura interna y puede ser calificada segn varias caractersticas:Significado(semntica): Qu quiere decir? Del significado extrado de una informacin. Esto se refiere a qu reglas debe seguir el individuo o el sistema experto para modificar sus expectativas futuras sobre cada posible alternativa.Importancia(relativa al receptor): Trata sobre alguna cuestin importante? La importancia de la informacin para un receptor, se referir a en qu grado cambia la actitud o la conducta de los individuosVigencia(en la dimensin espacio-tiempo): Es actual o desfasada? En la prctica la vigencia de una informacin es difcil de evaluar, ya que en general acceder a una informacin no permite conocer de inmediato si dicha informacin tiene o no vigenciaValidez(relativa al emisor): El emisor es fiable o puede proporcionar informacin no vlida (falsa)? Esto tiene que ver si los indicios deben ser considerados en la revaluacin de expectativas o deben ser ignorados por no ser indicios fiables.Valor(activo intangiblevoltil): Cmo de til resulta para el destinatario?Exactitud: Representa la situacin o el estado como realmente son (2+2=4)Forma: Cualitativa, cuantitativa, numrica, grafica, impresa, desplegada, etc.Frecuencia: Diaria, semanal, mensual, anual, etc.Origen: La fuente que la genera, interna, externaRelevante: Si es til o necesaria, no til, por si acasoIntegridad: Completa individualmente, completa en su conjuntoOportunidad: Disponible cuando se necesita, ni antes ni despus, actualizadaConfiable: Resguardada, acceso al personal autorizado, redes confiables, sistemas de acceso de calidad, etc.Sistemas de InformacinLa tecnologa en un sistema de informacin se refiere a aquellos dispositivos como hardware, bases de datos, software, redes y otros que se emplean para procesar la informacin.Para entender mejor este concepto se requiere el anlisis de cada uno de sus componentes:Datos: son descripciones bsicas de cosas, acontecimientos, actividades y transacciones que se registran, clasifican y almacenan. Pueden ser datos numricos, alfanumricos, figuras, sonidos e imgenes.Informacin: representa datos organizados que han adquirido valor y significado para el receptor.Conocimiento: se constituye de datos o informacin que se ha organizado y procesado de tal forma que sea entendible.Unsistema de informacines un conjunto de elementos orientados al tratamiento y administracin dedatose informacin, organizados y listos para su uso posterior, generados para cubrir una necesidad o un objetivo.Todos estos elementos interactan para procesar los datos (incluidos los procesos manuales y automticos) y dan lugar ainformacinms elaborada, que se distribuye de la manera ms adecuada posible en una determinada organizacin.

Los sistemas deben proporcionar informacin clave para la toma de decisiones; esta informacin debe ser sencilla, clara, expedita, veraz, precisa, consistente y fcil de analizar e interpretar.Gestin de Sistemas de InformacinLos sucesos que afectan la integridad de la informacin pueden afectar la capacidad de la empresa para continuar sus actividades Control de Sistemas de Informacin El sistema de informacin debe ser controlado con el objetivo de garantizar su correcto funcionamiento y asegurar el control del proceso de los diversos tipos de transacciones.Un sistema de informacin abarca informacin cuantitativa, tal como los informes de desempeo que utilizan indicadores, y cualitativa, tal como opiniones y comentarios.El sistema deber contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas.Auditoria de Sistemas de InformacinLa auditora de los sistemas de informacin se define como cualquier auditoria que abarca la revisin y evaluacin de todos los aspectos de los sistemas automticos de procesamiento de la informacin.Para hacer una adecuada planeacin de la auditoria en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar.Evolucin de los Sistemas de Informacin La informtica en las organizaciones evoluciona a travs de varias etapas de crecimiento. Etapa de inicio. Etapa de expansin. Etapa de control o formalizacin. Etapa de integracin. Etapa de administracin. Etapa de madurez.1. Etapa de InicioComienza con la adquisicin de la primera computadora y normalmente se justifica por el ahorro demano de obra y el exceso de papeles. Las aplicaciones tpicas que se implantan son los sistemas tradicionales tales como nominas o contabilidad. En esta etapa es importante estarconsciente de la resistencia al cambiodel personal2. Etapa de Contagio o Expansin Se inicia con la implantacin exitosa del primer sistema de informacin en la organizacin. Las aplicaciones que con frecuencia se implantan en esta etapa son el resto de los sistemas transaccionales no desarrollados en la etapa de inicio, tales como facturacin, inventarios, control de pedidos de clientes y cheques.

3. Etapa de Control o Formalizacin Las aplicacin de sistemas de informacin en esta etapa est orientado a facilitar el control de las operaciones del negocio para hacerlas ms eficaces, tales como sistemas para control de flujo de fondos, control de rdenes de compra a proveedores, control de inventarios, etc.4. Etapa de IntegracinLa integracin de los datos y de los sistemas surge como un resultado directo de la centralizacin del departamento de sistemas bajo una sola estructura administrativa.5. Etapa de Administracin del SistemaEl departamento de Sistemas de Informacin reconoce que la informacin es un recurso muy valioso que debe estaraccesible para todos los usuarios. Para poder cumplircon lo anterior resulta necesario administrar los datos en forma apropiada.6. Etapa de MadurezAl llegar a esta etapa, la Informtica dentro dela organizacin se encuentra definida como una funcin bsica y se ubica en los primeros niveles del organigrama (direccin).

RESUMEN DEL CAPTULO 1 DE AUDITORIA INFORMTICAQu es Auditoria?Es la revisin independiente que realiza un auditor profesional, aplicando tcnicas, mtodos y procedimientos especializados, a fin de evaluar el cumplimiento de funciones, actividades, tareas y procedimientos de una organizacin, as como dictaminar sobre el resultado de dicha evaluacinQu es la Auditoria en Informtica?Revisin analtica a la suficiencia de controles establecidos en el mbito informtico, con la finalidad de disminuir los riesgos y garantizar la seguridad, confiabilidad y exactitud de la informacin.La Auditoria InformticaConceptualmente la auditora, toda y cualquier auditora, es la actividad consistente en la emisin de una opinin profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas.Podemos descomponer este concepto en los elementos fundamentales que a continuacin se especifican: 1. Contenido: una opinin 2. Condicin: profesional 3. Justificacin: sustentada en determinados procedimientos 4. Objeto: una determinada informacin obtenida en un cierto soporte 5. Finalidad: determinar si presenta adecuadamente la realidad o sta responde a las expectativas que le son atribuidas, es decir, su fiabilidad.

Clases de Auditoria

La Auditoria en InformticaLa auditora tiene como apoyo a los controles para mantener la seguridad de los sistemas de informacinFactores que propician la auditoria Informtica Leyes gubernamentales. Polticas internas de la empresa. Necesidad de controlar el uso de equipos computacionales. Altos costos debido a errores. Prdida de informacin y de capacidades de procesamiento de datos, aumentando as la posibilidad de toma de decisiones incorrectas. Valor del hardware, software y personal. Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organizacin.Objetivos Generales de la Auditoria en Informtica Asegurar la integridad, confidencialidad y confiabilidad de la informacin Minimizar existencias de riesgos en el uso de Tecnologa de informacin Conocer la situacin actual del rea informtica para lograr los objetivos Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informticoRiesgo Informtico La Organizacin Internacional de Normalizacin (ISO) define riesgo tecnolgico como:La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto especfico, el cual puede estar representado por prdidas y daos.Amenaza Acciones que pueden ocasionar consecuencias negativas en la plataforma informtica disponible: fallas, ingresos no autorizados a las reas de computo, virus, uso inadecuado de activos informticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas elctricas. Pueden ser de tipo lgico o fsicoVulnerabilidadSe manifiestan como debilidades o carencias: falta de conocimiento del usuario, tecnologa inadecuada, antivirus, entre otros.ImpactoConsecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras.Perdida de dinero, deterioro de la imagen de la empresa, reduccin de eficiencia.Administracin de Riesgos Luego de efectuar el anlisis de riesgo-impacto, el ciclo de administracin de riesgo finaliza con la determinacin de las acciones a seguir respecto: Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos controles Eliminar el riesgo Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero Aceptar el riesgo, determinando el nivel de exposicinObjetivos Especficos de la Auditoria en Informtica Buscar una mejor relacin costo-beneficio de los Sistemas automticos Incrementar la satisfaccin de los usuarios de los SISTEMAS computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de lainformacinmediante la recomendacin de seguridades y controles Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr losobjetivospropuestos. Seguridad depersonal,datos,hardware,softwaree instalacionesImportanciaUn sistema de informacin se constituye por un conjunto de procedimientos manuales y computarizados.El objetivo de la auditora es asegurar que la informacin que producen los sistemas sea confiable, til y oportuna entre otras.Para lograrlo se ayuda de los Controlesreas de la Aplicacin de la Auditoria InformticaAlgunos campos de aplicacin de la informtica son las siguientes: Investigacin cientfica y humanstica: Se usan la las computadoras para la resolucin de clculos matemticos, recuentos numricos, etc. Algunas de estas operaciones Resolucin de ecuaciones. Anlisis de datos de medidas experimentales, encuestas etc. Anlisis automticos de textos. Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones: Anlisis y diseo de circuitos de computadora. Clculo de estructuras en obras de ingeniera. Minera. Cartografa. Documentacin e informacin: Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana

Funciones de la Auditoria Informtica Verificacin del control interno Anlisis de la gestin de los sistemas de informacin Anlisis de la integridad, fiabilidad y certeza de la informacin Auditoria de riesgos operativos de los circuitos de informacin Anlisis de la gestin de los riesgos de la informacin Verificacin del nivel de continuidad Anlisis del estado del arte tecnolgico de la instalacin revisada Diagnstico sobre el grado de cobertura El auditor informtico es responsable para establecer los objetivos de control que reduzcan o eliminen la exposicin al riesgo de control interno.Quines intervienen en la Auditoria Informtica? Cliente: Organizacin o Persona que solicita una Auditoria Auditor: Persona con la competencia para llevar a cabo una Auditoria Auditado: Organizacin que es Auditada