jueves, 20 de octubre de 2016

PASOS PARA REALIZAR UNA AUDITORIA INFORMATICA



ETAPAS
PASOS A REALIZAR
Planeación de la Auditoria informática
  1. Identificar el origen de la auditoría.
  2. Realizar una visita preliminar al área que será evaluada.
  3. Establecer los objetivos de la auditoría.
  4. Determinar los puntos que serán evaluados en la auditoría.
  5. Elaborar planes, programas y presupuestos para realizar la auditoría.
  6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría.
  7. Asignar los recursos y sistemas computacionales para la auditoría.
Ejecución de la Auditoria informática
  1. Realizar las acciones programadas para la auditoría.
  2. Aplicar los instrumentos y herramientas para la auditoría.
  3. Identificar y elaborar los documentos de oportunidades de mejoramiento  encontradas.
  4. Elaborar el dictamen preliminar y presentarlo a discusión.
  5. Integrar el legajo de papeles de trabajo de la auditoría
Dictamen de la Auditoria informática
  1. Analizar la información y elaborar un informe de situaciones detectadas.
  2. Elaborar el Dictamen final.
  3. Presentar el informe de auditoría.









Publicado por en No hay comentarios:

lunes, 17 de octubre de 2016

HERRAMIENTAS Y TECNICAS PARA LA AUDITORIA INFORMATICA


-       Cuestionarios: Conjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos.

Características: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.


-       Entrevistas: La entrevista es una de las actividades personales más importantes del auditor, pues en ellas este recolecta más información que la proporcionada por medios propios, puramente técnicos o por las respuestas escritas a cuestionario.

El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema  previamente establecido, consiste en que bajo la forma de una conversación correcta  y lo menos tensa posible, el auditado responda sencillamente a una serie de preguntas variadas.


-      
Checklist: El auditor profesional y experto es aquel reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que debe someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversara y realizara preguntas normales, que en realidad servirán para la complementación sistemática de sus Checklist.




-       Trazas y/o Huellas: Con frecuencia, el auditor debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.



Publicado por en No hay comentarios:

IMPORTANCIA DE UNA AUDITORIA INFORMATICA EN UNA ORGANIZACION



      Los órganos de la los Sistemas Informáticos están sometidos al control correspondiente, circunstancia que no se debe olvidar. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos que a continuación se detallaran:

-         Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad.

-           Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos.


-         Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.
Áreas a auditar en informática.

Las áreas a auditar en donde se puede realizar la auditoría informática, puede ser:
-       A toda la entidad
-       A una función

-       A una subfuncion
Se pueden aplicar los siguientes tipos de auditoría.

-       Auditoría al ciclo de vida del desarrollo de un sistema.

-       Auditoría a un sistema en operación.

-       Auditoría a controles generales (gestión).

-       Auditoría a la administración de la función informática.

-       Auditoría a microcomputadoras aisladas.

-       Auditoría a redes.

Funciones de un auditor informático

-          Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informativas, así como en las fases análogas de realización de cambios importantes.

-             Revisar y juzgar los controles implementados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.

-       Revisar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.


Publicado por en No hay comentarios:

¿QUE HACE LA AUDITORIA INFORMATICA?


-       Detectar evidencias de riesgos y/o problemas en el apoyo informático a los procesos de negocios originados por un mal uso informático y/o del control.


-       Sugerir mejoras.


ALCANCE


      El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se completa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidos. En este sentido un ejemplo de este control surge al plantearse las siguientes cuestiones ¿Se someterán los registros grabados a un control de integridad exhaustivo- ¿Se comprobará que los controles de validación de errores son adecuados y suficientes.

      La indefinición de los alcances de la auditoria compromete el éxito de la misma. Características de la auditoría informática.


Publicado por en No hay comentarios:

TIPOS DE LA AUDITORIA INFORMATICA


Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.

Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.

 Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.

Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.



 Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.

Auditoría de las comunicaciones: Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.


 Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.


Publicado por en No hay comentarios:

OBJETIVOS DE LA AUDITORIA INFORMATICA



-       Asegurar la integridad, confidencialidad y confiabilidad de la información.

-       Minimizar existencias de riesgos en el uso de tecnología de información.

-       Conocer la situación actual del área informática para lograr los objetivos.

-       Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones.

-       Incrementar la satisfacción de los usuarios de los sistemas informáticos.

-       Capacitación y educación sobre controles en los sistemas de información.


-  Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información.

-       Verificar el control interno de la función informática.

-       Asegurar a la alta dirección y al resto de las áreas de la empresa que la información que les llega es la necesaria en el momento oportuno, y es fiable, ya que les sirve de base para tomar decisiones importantes.

-       Detectar y prevenir fraudes por manipulación de la información o por acceso de personas no autorizadas a transacciones que exigen trasvases de fondos.


-       Eliminar o reducir al máximo la posibilidad de pérdida de la información por fallos en los equipos, en los procesos o por una gestión inadecuada de los archivos de datos.


Publicado por en No hay comentarios:

AUDITORIA INFORMATICA


      Se refiere a  la revisión práctica que se realiza sobre los recursos informáticos, la cual  consiste en verificar el funcionamiento de un sistema de información, aplicando una serie de conocimientos, técnicas y métodos con el propósito de examinar la operatividad del sistema. En el proceso de investigación el auditor comprueba si en los sistemas se están aplicando medidas de seguridad y de control apropiadas para asegurar la integridad de la información. El auditor debe realizar un análisis profundo de todos los componentes que integran el sistema informático.

FACTORES QUE PROPICIAN LA AUTORIA INFORMATICA

-       Leyes gubernamentales.
-       Políticas internas de la empresa.
-       Necesidad de controlar el uso de equipos computacionales.
-       Altos costos debido a errores.
-       Perdida de información y de capacidades de procesamiento de datos, aumentado así la posibilidad de toma de decisiones incorrectas.
-       Valor del hardware, software y personal.
Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organización.

Publicado por en No hay comentarios:

Auditoria


DEFINICIÓN DE AUDITORIA
      Es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado, que puede ser una persona, organización, sistema, proyecto o producto, con el objeto de emitir una opinión independiente y competente.



TIPOS DE AUDITORIA

Auditoría de comunicación, la realizada por un profesional, experto en comunicación e imagen, sobre los estados de la comunicación interna y externa de una organización.

Auditoría de estados financieros, la realizada por un profesional, experto en auditoría que realiza el examen sobre los estados financiero -llamados contables en algunos países- de una entidad o ente, con el fin de emitir una opinión independiente sobre el apego de dichos estados a las Normas Internacionales de Información Financiera u otra normatividad aplicable según la legislación o lineamientos particulares según la actividad del sujeto auditado.

Auditoría administrativa, es la técnica de control administrativo que examina -sistemática e integralmente- el grado de eficiencia en la aplicación del proceso administrativo a las distintas funciones de una entidad, así como la manera en que esta eficiencia influye en la efectividad de las mismas.

Auditoría energética, una inspección, estudio y análisis de los flujos de energía en un edificio, proceso o sistema con el objetivo de comprender la energía dinámica del sistema bajo estudio.

Auditoría jurídica, la efectuada por un profesional del derecho, con capacidad y experiencia en derecho civil o militar que realiza la revisión, examen y evaluación de los resultados de una gestión específica o general de una institución o cuerpo, con el propósito de informar o dictaminar acerca de ellas, realizando las observaciones y recomendaciones pertinentes para mejorar su eficacia y eficiencia en su desempeño.

Auditoría web, proceso cuya realización da lugar a un informe de las vulnerabilidades, riesgos, potenciales fallas de seguridad, análisis de rendimientos y tiempos de carga, eficiencia del código, etc. de una página web.

Auditoría medioambiental, cuantificación de los logros y la posición medioambiental de una organización.

Auditoría social, proceso que una empresa u organización realiza con ánimo de presentar balance de su acción social y su comportamiento ético.

Auditoría de seguridad de sistemas de información, análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Auditoría de innovación, proceso de obtención información sobre la situación actual de la empresa frente a la innovación.

Auditoría política, revisión sistemática de los procesos y actividades, orientadas ideológicamente, de toma de decisiones de un grupo para la consecución de unos objetivos, en beneficio de todos.

Auditoría electoral, la realizada a sistemas electorales de los diferentes países con sistema democrático y se realizan para darle confiabilidad y transparencia al sistema.

Auditoría de accesibilidad, revisión de la accesibilidad de un sitio web por parte de un experto.

Auditoría de marca, metodología para medir el valor de una marca.

Auditoría de código de aplicaciones, proceso de revisar el código de una aplicación para encontrar errores en tiempo de diseño.

Auditoría Sarbanes-Oxley o auditoría SOx, revisión es practicada a las firmas de auditoría de las compañías que cotizan en bolsa, de acuerdo a lo prescrito por la ley Sarbanes-Oxley.

Auditoría científico-técnica, realizada a instituciones encargadas de la investigación científica y técnica en las diferentes áreas del trabajo humano.

Auditoría forense, cuando se revisan datos y documentos históricos de empresas y se comparan con el fin de detectar principalmente fraudes, robos, trucos fiscales, trucos contables o cualquier otra situación anómala en la que se investiga a los involucrados intelectuales y materiales del hecho; regularmente se hacen estimaciones en dinero de las cifras malversadas.

Auditoría de Prevención, constituye la única herramienta para poder hacer un seguimiento del cumplimiento efectivo de las actividades preventivas desarrolladas por las empresas, tanto si asumen la prevención como si la tienen externalizada parcial o completamente. 

Auditoria Informatica, siendo un proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.


Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)