UNIVERSIDAD TECNOLOGICA DE IZUCAR DE MATAMOROS TEMA: Auditoria Informtica MATERIA: Auditoria de la Funcin Informtica NOMBRE DEL PROFESOR: Miguel

ngel Bentez Laurel NOMBRE DEL ALUMNO: Laura Anglica Garca Bravo

AUDITORIA INFORMATICA
Fase I: Conocimientos del Sistema Fase II: Anlisis de transacciones y recursos Fase III: Anlisis de riesgos y amenazas Fase IV: Anlisis de controles Fase V: Evaluacin de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones Fase I: Conocimientos del Sistema 1.1. Aspectos Legales y Polticas Internas. Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluacin. 1.2.Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditora realizadas anteriormente 1.3.Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin. Fase II: Anlisis de transacciones y recursos 2.1. Definicin de las transacciones. Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores. 2.2. Anlisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del funcionamiento y recorrido de los procesos. 2.3.Anlisis de los recursos Identificar y codificar los recursos que participan en el sistemas 2.4.Relacin entre transacciones y recursos Fase III: Anlisis de riesgos y amenazas

3.1.Identificacin de riesgos Daos fsicos o destruccin de los recursos Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio Prdida de integridad de los datos Ineficiencia de operaciones Errores 3.2.Identificacin de las amenazas Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones 3.3.Relacin entre recursos/amenazas/riesgos La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su ambiente real de funcionamiento. Fase IV: Anlisis de controles 4.1. Codificacin de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles debe contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido. 4.2. Relacin entre recursos/amenazas/riesgos La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o ms controles. 4.3. Anlisis de cobertura de los controles requeridos Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios proveen una proteccin adecuada de los recursos. Fase V: Evaluacin de Controles 5.1. Objetivos de la evaluacin Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes 5.2. Plan de pruebas de los controles Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba. 5.3. Pruebas de controles 5.4. Anlisis de resultados de las pruebas Fase VI: Informe de Auditoria 6.1. Informe detallado de recomendaciones 6.2. Evaluacin de las respuestas

6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las reas. Introduccin: objetivo y contenido del informe de auditoria Objetivos de la auditora Alcance: cobertura de la evaluacin realizada Opinin: con relacin a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones Fase VII: Seguimiento de Recomendaciones 7.1. Informes del seguimiento 7.2. Evaluacin de los controles implantados Fin de la sesin. Informtica II. Decanato de Administracin y Contadura Auditora Informtica Revisin Evaluacin Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Informacin Informtica II. Decanato de Administracin y Contadura Auditora Informtica Objetivos Presentar recomendaciones en funcin de las fallas detectadas. Determinar si la informacin que brindan los Sistemas de Informticos es til. Inspeccionar el Desarrollo de los Nuevos Sistemas. Verificar que se cumplan las normas y Polticas de los procedimientos. Auditora Informtica Informtica II. Decanato de Administracin y Contadura Tipos:

Interna: Aplicada con el empresa.

personal que labora en la

Externa: Se contrata a una firma especiali- zada para realizar la misma. Auditora Informtica Externa Las empresas recurren a la auditora externa cuando existen: Sntomas de Descoordinacin Sntomas de Mala Imagen Informtica II. Decanato de Administracin y Contadura Sntomas de Debilidades Econmicas Sntomas de Inseguridad Aspectos Fundamentales en la Auditora de los Sistemas de Informacin Informtica II. Decanato de Administracin y Contadura Auditora Informtica de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de las nuevas aplicaciones informticas deben ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los costos, as como tambin insatisfaccin de los usuarios. Informtica II. Decanato de Administracin y Contadura Auditora de los Datos de Entrada Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas. Informtica II. Decanato de Administracin y Contadura Auditora Informtica de Sistemas Se audita: Informtica II. Decanato de Administracin y Contadura Sistema Operativo: Verificar si la versin instalada permite el total funcionamiento del software que sobre ella se instala, si no es as determinar la causa Software de Aplicacin: Determinar el uso de las aplicaciones instaladas. Comunicaciones: Verificar que el uso y el rendimiento de la red sea el ms adecuado . Tcnicas de Auditora Existen varias tcnicas de Auditora Informtica de Sistemas, entre las cuales se mencionan: Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: Datos de Excepcin. Datos Ilgicos. Transacciones Errneas Informtica II. Decanato de Administracin y Contadura Tcnicas de Auditora (Continuacin) Auditora para el Computador: Permite determinar si el uso de los equipos de computacin es el idneo. Mediante esta tcnica, se detectan equipos sobre y subutilizados. Prueba de Mini compaa: Revisiones peridicas que se realizan a los Sistemas a fin de determinar nuevas necesidades. Informtica II. Decanato de Administracin y Contadura Peligros Informticos Incendios: Los recursos informticos son muy sensibles a los incendios, como por ejemplo reportes impresos, cintas, discos. Inundaciones: Se recomienda que el Departamento de computacin se encuentre en un nivel alto. La Planta Baja y el Stano son lugares propensos a las inundaciones. Robos: Fuga de la informacin confidencial de la empresa. Fraudes: Modificaciones de los datos dependiendo de intereses particulares.

Informtica II. Decanato de Administracin y Contadura Medidas de Contingencia Mecanismos utilizados para contrarrestar la prdida o daos de la informacin, bien sea intencionales o accidentales. La ms utilizada es la Copia de Seguridad (Backup), en la cual se respalda la informa- cin generada en la empresa. Informtica II. Decanato de Administracin y Contadura Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia vara dependiendo de la importancia de la informacin que se genere. Backup Se recomienda tener como mnimo dos (2) respaldos de la informacin, uno dentro de la empresa y otro fuera de sta (preferiblemente en un Banco en Caja Fuerte). Informtica II. Decanato de Administracin y Contadura Medidas de Proteccin Medidas utilizadas para garantizar la Seguridad Fsica de los Datos. Aquellos equipos en donde se genera informacin crtica, deben tener un UPS. De igual forma, el suministro de corriente elctrica para el rea informtica, debe ser independiente del resto de las reas. Informtica II. Decanato de Administracin y Contadura Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad Lgica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Informacin, mediante un nombre de usuario (login) y una contrasea (password). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos excepcionales. Informtica II. Decanato de Administracin y Contadura La Auditora Informtica es una parte integrante de la auditora. Se preguntar por que se estudia por separado, pues simplemente para abordar problemas ms especficos y para aprovechar los recursos del personal. Sin embargo, es bueno acotar que debe realizarse dentro de un marco de auditora general. Para clarificar an ms la lmina, diremos entonces que la Auditora Informtica es el proceso de revisin y evaluacin de los controles y medidas de seguridad que se aplican a los recursos: a). Tecnolgicos. b). Personal. c). Software d). Procedimientos. Que se utilizan en los Sistemas de Informacin manejados en la empresa. En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles apropiados y adecuados en los sistemas de informacin. La auditora Informtica va mucho ms all de la simple deteccin de errores. Si bien es cierto que la Auditora es un proceso que permite detectar fallas, es menester de la auditora, el presentar algunas sugerencias que puedan ser aplicadas para evitar de esta manera la repeticin de las mismas en un futuro. Bsicamente, el objetivo principal de la auditora informtica es garantizar la operatividad de los procesos informticos. En otras palabras, ofrecer la continuidad los procesos de generacin, distribucin, uso y respaldo de informacin dentro de las organizaciones. Ya puede ir formndose una idea entonces de la importancia que tiene la Auditora Informtica (si no es as, le parece poco el hecho de que permita mantener operativo todos los procesos relacionados con el manejo de la informacin?). Importancia de la Auditora Informtica

Tal como se mencion anteriormente su importancia radica en el hecho de garantizar la operatividad de los procesos informticos. Del mismo modo, la Auditora es compatible con la calidad, ya que mediante la auditora, se buscan implantar mejoras en busca del perfeccionamiento de los procesos, incorporando nuevas tcnicas y tecnologas. Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a ninguna duda. Sin embargo, consideramos prudente ampliar nuestra exposicin y ofrecerle algo ms que una mera definicin. Auditora Interna La auditora Interna ofrece algunas ventajas en relacin a la externa, en primer lugar es menos costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el riesgo de que personas extraas conozcan la informacin generada dentro de la firma. Sin embargo, tiene sus limitaciones, entre las cuales se mencionan: la poca especializacin que tienen los integrantes en la materia conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisin de deteccin de errores) y por otro lado se corre el riesgo de que se encubran deficiencias. Es factible que dentro del proceso de auditora, las personas no informen de alguna anomala a fin de no perjudicar al amigo. Auditora Externa Con este tipo de auditora existe menor margen de error, puesto que las personas que se encargan de realizarla son especialistas en el rea. Entonces, deben ser pocos los errores que se detecten y las sugerencias aportadas son muy valiosas. Del mismo modo existe poco margen de encubrimiento, ya que son personas ajenas a la firma. www.mitecnologico.com/Main/FasesAuditoriaInformatica