jueves, 20 de octubre de 2016

PASOS PARA REALIZAR UNA AUDITORIA INFORMATICA



ETAPAS
PASOS A REALIZAR
Planeación de la Auditoria informática
  1. Identificar el origen de la auditoría.
  2. Realizar una visita preliminar al área que será evaluada.
  3. Establecer los objetivos de la auditoría.
  4. Determinar los puntos que serán evaluados en la auditoría.
  5. Elaborar planes, programas y presupuestos para realizar la auditoría.
  6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría.
  7. Asignar los recursos y sistemas computacionales para la auditoría.
Ejecución de la Auditoria informática
  1. Realizar las acciones programadas para la auditoría.
  2. Aplicar los instrumentos y herramientas para la auditoría.
  3. Identificar y elaborar los documentos de oportunidades de mejoramiento  encontradas.
  4. Elaborar el dictamen preliminar y presentarlo a discusión.
  5. Integrar el legajo de papeles de trabajo de la auditoría
Dictamen de la Auditoria informática
  1. Analizar la información y elaborar un informe de situaciones detectadas.
  2. Elaborar el Dictamen final.
  3. Presentar el informe de auditoría.









Publicado por en No hay comentarios:

lunes, 17 de octubre de 2016

HERRAMIENTAS Y TECNICAS PARA LA AUDITORIA INFORMATICA


-       Cuestionarios: Conjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos.

Características: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.


-       Entrevistas: La entrevista es una de las actividades personales más importantes del auditor, pues en ellas este recolecta más información que la proporcionada por medios propios, puramente técnicos o por las respuestas escritas a cuestionario.

El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema  previamente establecido, consiste en que bajo la forma de una conversación correcta  y lo menos tensa posible, el auditado responda sencillamente a una serie de preguntas variadas.


-      
Checklist: El auditor profesional y experto es aquel reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que debe someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversara y realizara preguntas normales, que en realidad servirán para la complementación sistemática de sus Checklist.




-       Trazas y/o Huellas: Con frecuencia, el auditor debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.



Publicado por en No hay comentarios:

IMPORTANCIA DE UNA AUDITORIA INFORMATICA EN UNA ORGANIZACION



      Los órganos de la los Sistemas Informáticos están sometidos al control correspondiente, circunstancia que no se debe olvidar. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos que a continuación se detallaran:

-         Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad.

-           Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos.


-         Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.
Áreas a auditar en informática.

Las áreas a auditar en donde se puede realizar la auditoría informática, puede ser:
-       A toda la entidad
-       A una función

-       A una subfuncion
Se pueden aplicar los siguientes tipos de auditoría.

-       Auditoría al ciclo de vida del desarrollo de un sistema.

-       Auditoría a un sistema en operación.

-       Auditoría a controles generales (gestión).

-       Auditoría a la administración de la función informática.

-       Auditoría a microcomputadoras aisladas.

-       Auditoría a redes.

Funciones de un auditor informático

-          Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informativas, así como en las fases análogas de realización de cambios importantes.

-             Revisar y juzgar los controles implementados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.

-       Revisar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.


Publicado por en No hay comentarios:

¿QUE HACE LA AUDITORIA INFORMATICA?


-       Detectar evidencias de riesgos y/o problemas en el apoyo informático a los procesos de negocios originados por un mal uso informático y/o del control.


-       Sugerir mejoras.


ALCANCE


      El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se completa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidos. En este sentido un ejemplo de este control surge al plantearse las siguientes cuestiones ¿Se someterán los registros grabados a un control de integridad exhaustivo- ¿Se comprobará que los controles de validación de errores son adecuados y suficientes.

      La indefinición de los alcances de la auditoria compromete el éxito de la misma. Características de la auditoría informática.


Publicado por en No hay comentarios:

TIPOS DE LA AUDITORIA INFORMATICA


Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.

Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.

 Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.

Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.



 Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.

Auditoría de las comunicaciones: Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.


 Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.


Publicado por en No hay comentarios:

OBJETIVOS DE LA AUDITORIA INFORMATICA



-       Asegurar la integridad, confidencialidad y confiabilidad de la información.

-       Minimizar existencias de riesgos en el uso de tecnología de información.

-       Conocer la situación actual del área informática para lograr los objetivos.

-       Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones.

-       Incrementar la satisfacción de los usuarios de los sistemas informáticos.

-       Capacitación y educación sobre controles en los sistemas de información.


-  Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información.

-       Verificar el control interno de la función informática.

-       Asegurar a la alta dirección y al resto de las áreas de la empresa que la información que les llega es la necesaria en el momento oportuno, y es fiable, ya que les sirve de base para tomar decisiones importantes.

-       Detectar y prevenir fraudes por manipulación de la información o por acceso de personas no autorizadas a transacciones que exigen trasvases de fondos.


-       Eliminar o reducir al máximo la posibilidad de pérdida de la información por fallos en los equipos, en los procesos o por una gestión inadecuada de los archivos de datos.


Publicado por en No hay comentarios:

AUDITORIA INFORMATICA


      Se refiere a  la revisión práctica que se realiza sobre los recursos informáticos, la cual  consiste en verificar el funcionamiento de un sistema de información, aplicando una serie de conocimientos, técnicas y métodos con el propósito de examinar la operatividad del sistema. En el proceso de investigación el auditor comprueba si en los sistemas se están aplicando medidas de seguridad y de control apropiadas para asegurar la integridad de la información. El auditor debe realizar un análisis profundo de todos los componentes que integran el sistema informático.

FACTORES QUE PROPICIAN LA AUTORIA INFORMATICA

-       Leyes gubernamentales.
-       Políticas internas de la empresa.
-       Necesidad de controlar el uso de equipos computacionales.
-       Altos costos debido a errores.
-       Perdida de información y de capacidades de procesamiento de datos, aumentado así la posibilidad de toma de decisiones incorrectas.
-       Valor del hardware, software y personal.
Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organización.

Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)