Date post: | 11-Jul-2015 |
Category: |
Education |
Upload: | roberto-porozo |
View: | 316 times |
Download: | 4 times |
Grupo N° 2
Auditoría Informática
ES EL PROCESO DE RECOGER,AGRUPAR Y EVALUAREVIDENCIAS PARA DETERMINARSI UN SISTEMA INFORMATIZADOSALVAGUARDA LOS ACTIVOS,MANTIENE LA INTEGRIDAD DELOS DATOS, LLEVA A CABOEFICAZMENTE LOS FINES DE LAORGANIZACIÓN, UTILIZAEFICIENTEMENTE LOSRECURSOS, Y CUMPLE CON LASLEYES Y REGULACIONESESTABLECIDAS.
ESTUDIA LOS MECANISMOS DECONTROL QUE ESTÁN IMPLANTADOS ENUNA EMPRESA U ORGANIZACIÓN,DETERMINANDO SI LOS MISMOS SONADECUADOS Y CUMPLEN CONDETERMINADOS OBJETIVOS OESTRATEGIAS, ESTABLECIENDO LOSCAMBIOS QUE SE DEBERÍAN REALIZARPARA LA CONSECUCIÓN DE LOSMISMOS.
Objetivos de la auditoría Informática
Evalúa y comprueba, loscontroles yprocedimientosinformáticos máscomplejos, desarrollando yaplicando técnicasmecanizadas de auditoría,incluyendo el uso desoftware.
En muchos casos ya no esposible verificarmanualmente losprocedimientos informáticosque resumen, calculan yclasifican datos, por lo quedeberá emplear software deauditoría y otras técnicasasistidas por ordenador.
Es responsable de revisare informar a la dirección dela empresa, sobre eldiseño y funcionamientode los controlesimplantados y sobre lafiabilidad de la informaciónsuministrada.
Funciones Principales de un Auditor Informático
Funciones Principales de un Auditor Informático
Revisar y juzgar el nivel de eficacia, utilidad,
fiabilidad y seguridad de los equipos e información.
Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las ordenes e
instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante
errores y fraudes.
Participar en las revisiones durante y después del diseño,
realización, implantación, explotación y cambios
importantes de aplicaciones informáticas.
Auditoria Interna
Es el examen crítico, sistemático ydetallado de un sistema de información,realizado por un auditor sin vínculoslaborales con la misma, utilizando técnicasdeterminadas y con el objeto de emitir unaopinión independiente sobre la formacomo opera el sistema, el control internodel mismo y formular sugerencias para sumejoramiento.
La Auditoría Externa o Independiente tienepor objeto averiguar la razonabilidad,integridad y autenticidad de los estados,expedientes y documentos y toda aquellainformación producida por los sistemas dela organización.
Auditoria Externa
EN LA AUDITORÍA INTERNAEXISTE UN VÍNCULO LABORALENTRE EL AUDITOR Y LAEMPRESA, MIENTRAS QUE ENLA AUDITORÍA EXTERNA LARELACIÓN ES DE TIPO CIVIL.
EN LA AUDITORÍAINTERNA ELDIAGNÓSTICO DELAUDITOR, ESTADESTINADO PARA LAEMPRESA; EN EL CASODE LA AUDITORÍAEXTERNA ESTEDICTAMEN SE DESTINAGENERALMENTE PARATERCERAS PERSONAS OSEA AJENA A LAEMPRESA.
LA AUDITORÍA INTERNAESTÁ INHABILITADAPARA DAR FE PÚBLICA,DEBIDO A SUVINCULACIÓNCONTRACTUALLABORAL, MIENTRAS LAAUDITORÍA EXTERNATIENE LA FACULTADLEGAL DE DAR FEPÚBLICA.
Diferencias entre Auditoría Interna y Externa
Controla diariamente que todas las actividadesde los sistemas de información sean realizadascumpliendo los procedimientos, estándares ynormas fijados por la dirección de laorganización y/o la dirección informática, asícomo los requerimientos legales.
La misión de C.I.I. es asegurarse de que lasmedidas que se obtienen de los mecanismosimplantados por cada responsable seancorrectas y válidas.
La función se le asigna a una unidad orgánicaperteneciente al staff de la Gerencia deInformática y debe estar dotada de las personasy medios materiales requeridos para elcumplimiento de su misión.
Control Interno Informático
Principales Funciones delControl Interno
CUMPLIMIENTO DE DIFERENTES PROCEDIMIENTOS, NORMAS Y CONTROLES DICTADOS.
CONTROLES SOBRE LA CALIDAD Y EFICIENCIA DEL DESARROLLO Y MANTENIMIENTO DEL SOFTWARE Y DEL SERVICIO INFORMÁTICO.
CONTROLES EN LAS REDES DE COMUNICACIONES.
CONTROLES SOBRE EL SOFTWARE DE BASE.
ASESORAR Y TRANSMITIR CULTURA SOBRE EL RIESGO INFORMÁTICO.
LICENCIAS.
CONTRATOS CON TERCEROS.
CONTROLES SOBRE LA PRODUCCIÓN DIARIA.
Objetivos Principales
• Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
Controles Preventivos.-
• Cuando fallan lospreventivos, paratratar de conocercuanto antes elevento. Por ejemplo,el registro de intentosde acceso noautorizados, elregistro de laactividad diaria paradetectar errores uomisiones, etc.
Controles de Detección.-
• Facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
Controles Correctivos.-
Categorías de Controles
Métodos de Control y Objetivos de Control
La relación entre los métodos decontrol y los objetivos de controlpuede demostrarse en el siguienteejemplo.
En el que un mismo conjunto de métodosde control se utiliza para satisfacerobjetivos de control tanto demantenimiento como de seguridad deprogramas.
• Asegurar que las modificaciones de losprocedimientos programados esténadecuadamente diseñadas, probadas,aprobadas e implantadas.
Objetivo de Control de Mantenimiento
• Garantizar que no se puedan efectuarcambios no autorizados en losprocedimientos programados.
Objetivo de Control de Seguridad de
Programas
Auditoría y Control InternoInformático
Política de Seguridad
Plan de Seguridad
Normas y Procedimientos
Medidas Tecnológicas Implementadas
Control Interno para un Sistema de Información
AGRUPADOS POR SECCIONES FUNCIONALES Y QUE SERÍAN LOS QUE CONTROL
INTERNO INFORMÁTICO Y AUDITORÍA INFORMÁTICA DEBERÍAN VERIFICAR PARA
DETERMINAR SU CUMPLIMIENTO Y VALIDEZ.
PARA QUE PERMITAN ALCANZAR LA EFICACIA DEL SISTEMA, ECONOMÍA Y
EFICIENCIA, INTEGRIDAD DE LOS DATOS, PROTECCIÓN DE LOS RECURSOS Y
CUMPLIMIENTO CON LAS LEYES Y REGULACIONES.
Metodología del Ciclo de Vida del Desarrollo de Sistemas
LA ALTA DIRECCIÓN DEBEPUBLICAR UNA NORMATIVASOBRE EL USO DEMETODOLOGÍA DE CICLODE VIDA DE DESARROLLODE SISTEMAS Y REVISARÉSTA PERIÓDICAMENTE.
LA METODOLOGÍA DEBEESTABLECER LOS PAPELES YRESPONSABILIDADES DE LASDISTINTAS ÁREAS DELDEPARTAMENTO DE INFORMÁTICA YDE LOS USUARIOS, ASÍ COMO LACOMPOSICIÓN YRESPONSABILIDADES DEL EQUIPODEL PROYECTO.
LAS ESPECIFICACIONES DELNUEVO SISTEMA DEBEN SERDEFINIDAS POR LOS USUARIOS YQUEDAR ESCRITAS YAPROBADAS ANTES DE QUECOMIENCE EL PROCESO DEDESARROLLO.
DEBE ESTABLECERSE UNESTUDIO TECNOLÓGICO DEVIABILIDAD EN EL CUAL SEFORMULEN FORMASALTERNATIVAS DE ALCANZARLOS OBJETIVOS ACOMPAÑADASDE UN ANÁLISIS COSTO-BENEFICIO DE CADAALTERNATIVA.
CUANDO SE SELECCIONE UNAALTERNATIVA DEBEFORMULARSE EL PLANDIRECTOR DEL PROYECTO. ENDICHO PLAN DEBERÁ EXISTIRUNA METODOLOGÍA DECONTROL DE COSTOS.
Controles en la Metodología del Desarrollo de Sistemas
1. Procedimientos para la definición y documentación de especificaciones de:
diseño, de entrada, de salida, de ficheros, de procesos, de programas, de
controles de seguridad, de pistas de auditoría, etc.
2. Plan de validación, verificación y pruebas.
3. Estándares de prueba de programas, de pruebas de sistemas.
4. Plan de conversión: prueba de aceptación final.
5. Los procedimientos de adquisición de software deberán seguir las políticas de
adquisición de la organización y dichos productos deberán ser probados y
revisados antes de pagar por ellos y ponerlos en uso.
6. La contratación de outsourcing debe estar justificada mediante una petición
escrita de un director del proyecto.
7. Deberán prepararse manuales de operación y mantenimiento como parte de
todo proyecto de desarrollo o modificación de sistemas de información, así
como manuales de usuario.
Controles Seguridad Física y Lógica 1. Revisar periódicamente los informes de
violaciones y actividad de seguridad para
identificar y resolver incidentes.
2. Control de Visitas: personas externas a la
organización. Instalación de medidas de
protección contra el fuego.
3. Formación y concientización en
procedimientos de seguridad y evacuación del
edificio. Control de acceso restringido a los
ordenadores. Normas que regulen el acceso a
los recursos informáticos.
4. Existencia de un plan de contingencias para el respaldo de recursos de
ordenador críticos y para la recuperación de los servicios del Dpto. Informático
después de una interrupción imprevista de los mismos.
CONTROL DE ENTRADA DE DATOS:
PROCEDIMIENTOS DE CONVERSIÓN Y DE
ENTRADA, VALIDACIÓN Y CORRECCIÓN DE
DATOS.
CONTROLES DE SALIDAS DE DATOS:
SOBRE EL CUADRE Y RECONCILIACIÓN DE
SALIDAS, PROCEDIMIENTOS DE
DISTRIBUCIÓN
CONTROL DE TRATAMIENTOS DE
DATOS PARA ASEGURAR QUE NO
SE DAN DE ALTA, MODIFICAN O
BORRAN DATOS NO AUTORIZADOS PARA
GARANTIZAR LA INTEGRIDAD DE LOS
MISMOS MEDIANTE PROCESOS NO AUTORIZADOS.
Controles de AplicacionesCada aplicación debe llevar controles incorporados para garantizar la entrada, actualización,
validez y mantenimiento completo y exactos de los datos.
Aspectos más importantes en el control de datos:
Controles en Sistemas de GestiónDe Bases de Datos
1. Sobre el software de gestión de BD para prever el acceso a la estructuración de
y el control sobre los datos compartidos, deberá instalarse y mantenerse de
modo tal que asegure la integridad del software, las bases de datos y las
instrucciones de control que definen el entorno.
2. Que están definidas las responsabilidades sobre la planificación, organización,
dotación y control de los activos de datos, es decir, un administrador de datos.
3. Que existen procedimientos para la descripción y los cambios de datos así
como para el mantenimiento del diccionario de datos.
4. Sobre el acceso de datos y la concurrencia.
5. Para minimizar fallos, recuperar el entorno de las bases de datos hasta el punto
de la caída y minimizar el tiempo necesario para la recuperación
6. Controles para asegurar la integridad de los datos: programas de utilidad para
comprobar los enlaces físicos <<punteros>> asociados a los datos, registros de
control para mantener los balances transitorios de transacciones para su
posterior cuadre con totales generados por el usuario o por otros sistemas.