• Author / Uploaded
• Cbtis Vespertino

Citation preview

AUDITORIA INFORMATICA La auditoria de la calidad es un proceso mediante el cual, se busca, obtener evidencias de los registros que se emiten en el proceso de calidad, en base a declaraciones de hechos o cualquier información, para evaluarlas de manera práctica, su objetivo es determinar si realmente se están cumpliendo políticas y los procedimientos previamente establecidos. La auditoría informática es el proceso mediante el cual se recoge, agrupa y evalúa todo tipo de evidencias para determinar si un Sistema de Información, trabaja adecuadamente, con los parámetros establecidos, mantiene la integridad y seguridad de los datos, llevando eficazmente los fines de la organización. Objetivos.

   

El control totalde todo lo relacionado con la informática empresarial. El estudio de la eficiencia de los Sistemas Informáticos. La verificación del cumplimiento de los parámetros que se establecieron. La revisión de la eficaz gestión de los recursos informáticos.

Conceptos de auditoria informatica. Es el proceso de recoger, agrupar y evaluar evidencias para determinar si los sistemas de la organización trabajan adecuadamente en base a los parámetros, previamente establecidos,mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Dicho en otras palabras, la auditoria informática es un examen que se realiza a los sistemas de información, con el fin, de evaluar la eficacia y eficiencia de los mismos. Esta se lleva a cabo en base a diferentes, técnicas, procedimientos y herramientas, que son de gran apoyo para, analizar, evaluar , verificar y recomendar posibles mejoras, trayendo consigo seguridad y un trabajo informático de calidad en la empresa. Métodos, tecnicas y herramientas de auditoria. Metodología De trabajo.

      

Alcance y Objetivos de la auditoría Informática. Estudio inicial del entorno auditable. Determinación de los recursos necesarios para realizar la auditoría. Elaboración del plan y de los programas de trabajo.

     

Toma de contacto. Planificación. Desarrollo de la auditoría. Fase de diagnóstico. Presentación de conclusiones. Formación del plan de mejoras.

Actividades propiamente dichas de la auditoría. Confección y redacción del Informe Final. Redacción de la carta de Introducción o carta de presentación del Informe final.

Técnicas de Trabajo:

      

Plan de trabajo:

Análisis de la información recabada del auditado. Análisis de la información propia. Cruzamiento de las informaciones anteriores. Entrevistas. Simulación. Muestreos.

Certificacion (ISO 9000 9000-3, 12207 y modelo CMM).

Herramientas:

      

Cuestionario general inicia Cuestionario Checklist. Estándares. Monitores. Simuladores (Generadores de datos). Paquetes de auditoría (Generadores de Programas). Matrices de riesgo.

ISO 9000. ISO 9000 es un conjunto de estándares internacionales para sistemas de calidad. Diseñado para la gestión y aseguramiento de la calidad, especifica los requisitos básicos para el desarrollo, producción, instalación y servicio a nivel de sistema y a nivel de producto.

  

La norma ISO 9001 cubría las áreas de diseño y desarrollo, producción, instalación y mantenimiento de un producto. La ISO 9002 cubría sólo las áreas de producción e instalación. La ISO 9003 cubría únicamente el aseguramiento de la calidad

En particular ISO 9001 e ISO 9000-3 son aplicables al proceso software y a organizaciones de desarrollo software. ISO/IEC 12207

Modelo CMM. El modelo CMMI constituye un marco de referencia de la capacidad de las organizaciones de desarrollo de software en el desempeño de sus diferentes procesos, proporcionando una base para la evaluación de la madurez de las mismas y una guía para implementar una estrategia para la mejora continua de los mismos El modelo CMM consta de cinco niveles:

  

Nivel 1.- Inicial. Nivel 2.- Repetible. Nivel 3.- Definido.

Tabla comparativa.

 

Nivel 4.- Gestionado. Nivel 5.- Optimizado

Disposiciones oficiales mexicanas para desarrollo de software. Normas que describen buenas prácticas de ingeniería del software y sistemas, así como otras normas para evaluar prácticas organizativas de ingeniería del software y sistemas. Normas clave:

   

ISO/IEC 15288 – System Life-cycle Processes. ISO/IEC 12207 – Software Life-cycle processes. ISO/IEC 15504 Series – Process assessment. ISO/IEC 90003 – Guidlines for the application of ISO 9001 to Software.

El proceso de desarrollo de software.

   

Especificación del software. Desarrollo del software. Validación del software. Evolución del software.

Estándares para la ingeniería se software. Tipos de Estándares:

     

Estándares para datos. p.ej., SQL2, SQL1999, ODMG 2.0. Estándares de codificación. Estándares estructurales. Políticas de división del software en módulos. Estándares de documentación. Estándares de proceso software.

AUDITORÍA INFORMÁTICA Se preocupa de ejercer control sistemático tendiente a :  

Detectar evidencias de riesgos y/o problemas en el apoyo informático a los procesos de negocio originados en un mal manejo informático y/o del control. Sugerir mejoras a los procedimientos preventivos de detección y correctivos.

Definición de Auditoría Informática Instrumento de control utilizado para asegurar el adecuado uso, protección y control de los Elementos Informáticos, y su contribución a la protección del patrimonio de la empresa, y apoyo al logro de los objetivos.

Objetivos:

  

Uso eficiente y eficaz de protección y control de los Elementos informáticos. Este objetivo pone énfasis en los elementos informáticos (TI blandas y duras). Protección del patrimonio de la empresa. Esto se logra con buena información de apoyo para la planificación y control de los activos, así como a las funciones financieras. Alineamiento de la información a las áreas críticas del negocio para lograr los objetivos. Este es el objetivo más general y relevante.

Seguridad Informática Generar en la organización las condiciones que permitan:  

Minimizar riesgos que amenazan a procesos mas críticos para el éxito del negocio, originados en problemas que afectan a elementos informáticos usados como apoyo en la empresa. Protección y uso eficaz y eficiente de los recursos aplicados en elementos informáticos que utiliza la empresa.

Definición de Seguridad Informática Generar condiciones tendientes a mantener dentro de ciertos límites, los riesgos y problemas que amenazan a su patrimonio y al logro de los objetivos de la empresa, a causa de problemas informáticos. Objetivos:   

Generar condiciones significa la decisión por parte del Nivel Estratégico, de establecer la función de seguridad informática en la empresa, y definir claramente términos de referencia para su gestión. Las amenazas al patrimonio se refieren al patrimonio de la empresa en general, y en particular de los recursos informáticos. Las amenazas al logro de los objetivos de la empresa, por problemas informáticos, atentan contra el sentido mismo de la informática, cuyo exclusivo rol es el de apoyar el logro de dichos objetivos.

¿A quienes deberían interesar estos temas?    

Alta administración Informáticos Auditores Clientes (Usuarios)

Quienes vibran con el tema No existe ambiente organizacional para seguridad y auditoría informática. Algunos auditores internos intentan por iniciativa personal realizar un trabajo integrado con los informáticos, con el objeto de reconocer riesgos y definir la forma de combatirlos. No existe respaldo gerencial ni se usa una metodología. Algunos informáticos están interesados en visualizar riesgos relacionados a elementos informáticos y la amenaza que ellos representan para la empresa, como una forma de mejorar la calidad de su trabajo.

Barreras en la empresa No siempre el nivel estratégico cumple adecuadamente con la generación y comunicación a áreas funcionales de:     

Objetivos estratégicos Planes estratégicos Planes por áreas Prioridades y políticas informáticas Requerimientos de seguridad y control

Lo que impide la generación del ambiente necesario para la gestión de las diversas áreas. Existe una tendencia a crear fronteras innecesarias entre las distintas áreas siendo más competitiva que contributiva su actuación. Lo anterior hace muy dificultosa la integración de las áreas en torno a:   

Objetivos empresariales Requerimientos informáticos Requerimientos de seguridad y control.

Barreras de la Auditoría  





El enfoque tradicional ha sido hacia los estados financieros. Existen bastante liberalidad por parte de los charlistas para bautizar diferentes tipos de auditoría lo que genera confusión y discusiones sin destino. También existe confusión y discusiones sobre el perfil del auditor y a que profesional le corresponde efectuar auditorías informáticas. Lo anterior hace dificultosa la gestión del control interno en lo relacionado con las auditorías para prevenir, detectar y conjurar los riesgos del negocio.

Generalidades sobre riesgo   





   

Es la probabilidad de que ocurra algo malo No reconocer riesgos en si es el mayor riesgo La falta de marcos referenciales de objetivos, plazos y costos constituye un gran factor de riesgo. Los riesgos constituyen problemas potenciales y es fundamental tomar conciencia para combatirlos En la empresa los riesgos son un asunto de gestión pudiendo manejarse: Aceptarse – Reducirse – Eliminarse. Administrar el riesgo no significa adversión al riesgo Es importante distinguir un riesgo de una oportunidad Es importante definir la criticidad de proyectos Elementos informáticos generan riesgos en el negocio

RIESGOS EN LA EMPRESA Los riesgos y problemas deben analizarse y resolverse en forma interdisciplinaria. No es necesario que todos sean expertos para integrar equipos de seguridad y/o auditoría informática. Debemos atrevernos a hacer estimaciones de riesgos y actuar frente a estos, en lugar de renunciar al uso de métricas. Las estimaciones nos permitirán establecer los umbrales de dolor de nuestra empresa, áreas y funciones y priorizar los esfuerzos por combatir los riesgos más relevantes. Existen cadenas causales de problemas en las cuales debemos distinguir entre causas inmediatas de causas profundas (esenciales). La mala gestión es una causa esencial de la existencia de altos riesgos y problemas. Grado de manejabilidad informáticos     

de

los

riesgos

Riesgo inevitable Riesgo poco manejable Riesgo manejable Riesgo muy manejable Riesgo eliminable

Grado de impacto de problemas     

Impacto nulo Impacto bajo Impacto medio Impacto grave Desastre

Grado de los riesgos informáticos     

Riesgo Nulo Riesgo bajo Riesgo normal Riesgo alto Riesgo total

Grado de efectividad de las medidas de seguridad     

Efectividad total Efectividad alta Efectividad media Efectividad baja Efectividad nula

Ejemplo simple: Por falla de programa, la impresión de los 10 primeros cheques, siempre se pierde: Riesgo Total : Siempre ocurre Eliminable : Corregir programa Efectividad Total : No más errores Impacto bajo : En costo y en efecto

http://www.oocities.org/mx/acadentorno/aui1.pdf http://html.rincondelvago.com/auditoria-informatica_1.html