www.monografias.

com

Auditoria de Sistemas
Indice 1. Auditora 2. La funcin de la auditora en la organizacin 3. Tipos y clases de auditora 4. Sistemas De Informacin 5. Tendencias que afectan a os sistemas de informacin 6. Base Conceptual 7. Proceso De Implementacin 1. Auditora Papel Del Auditor Informtico.Si se entiende que la auditoria informtica comprende las tareas de evaluar, analizar los procesos informticos, el papel de auditor debe estar encaminado hacia la bsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas. Adems que auditor Informtico debe estar capacitado en los siguientes aspectos: A. Deber ver cuando se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones mas idneas, segn los problemas detectados en el sistema informtico, siempre y cuando las soluciones que se adopten no violen la ley ni los principios ticos. (Ej. Por que est mal el reporte) B. Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los requisitos mnimos, aconsejables y ptimos para su adecuacin con la finalidad de que cumpla para lo que fue diseado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos. C. El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente onerosas, daina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases cientficas insuficientemente probadas o de imprevisible futuro. D. El auditor al igual que otros profesionales (Ej. Mdicos, abogados, educadores, etc.) pueden incidir en la toma de decisiones en la mayora de sus clientes con un elevado grado de autonoma, dado la dificultad prctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos tcnicos existente entre al auditor y los auditados (Puede pesar gravemente). E. El auditor deber prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposicin, impidan o dificulten seriamente la realizacin de la auditoria deber negarse realizar hasta que se le garantice un mnimo de condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes. F. Cuando durante la ejecucin de la auditoria, el auditor considere conveniente recabar informe de otros mas calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo en idneas condiciones deber remitir el mismo a un especialista en la materia o recabar su dictamen para reforzar la calidad y viabilidad global de la auditoria. G. El auditor debe actuar con cierto grado de humildad evitando dar la impresin de estar al corriente de una informacin privilegiada sobre nuevas tecnologas a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado. (Si conocemos alguna tecnologa de primer orden debemos tener un cierto grado de humildad, que no se salga de la realidad [decir que ya sabemos esto...]. H. El auditor tanto en sus relaciones con el auditado como con terceras personas deber en todo momento, deber actuar conforme a las normas implcitas o explcitas de dignidad de la profesin y de correccin en el trato personal. (Que en todo momento, como cuando estamos en el bar, cafetera, o fiesta por que los auditores tienen la responsabilidad) I. El auditor deber facilitar e incrementar la confianza de auditado en base a una actuacin de transparencia, en su actividad profesional sin alardes cientfico- tcnico, que, por su incomprensin, pueden restar credibilidad a los resultados obtenidos y a las directrices aconsejadas.

2. La funcin de la auditora en la organizacin Concepto De Auditar Conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un sistema informtico con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informticas y gener5ales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organizacin correspondiente. Al igual que los dems rganos de la empresa los sistemas informticos estn sometidos a un control. La importancia de llevar un control, se puede deducir de varios aspectos, as tenemos: Las computadoras y los centros de procesos de datos se pueden convertir en blancos apetecibles no solo para el espionaje no para la delincuencia y el terrorismo. Las computadoras creadas para procesar y difundir resultados pueden en cierto momento generar resultados o informacin errnea (Virus, tc). (La mquina suele arrojar resultados errneos cuando es alimentada con datos errneos). Un sistema informtico mal diseado puede convertirse en una herramienta peligrosa para la persona, puesto que las mquinas obedecen las rdenes recibidas y la modelizacin de la empresa est determinada por las computadoras que materializan los sistemas de informacin, por lo tanto la gestin y la organizacin de la empresa no pueden depender de un SOFTWARE o un HARDWARE mal diseado. Auditora Interna Y Auditora Externa La auditoria es realizada en recursos materiales y personas que perteneces a la empresa auditada. Auditora Interna Existe por expresa decisin de la empresa, es decir que tambin se puede optar por su disolucin en cualquier momento. Auditora Externa Es realizada por personas afines a la empresa se presupone una mayor objetividad que en la auditoria interna debido Al mayor distanciamiento entre auditor y auditado. La auditoria informtica tanto interna como externa debe ser una actividad exenta de cualquier contenido o matiz poltico ajena a la propia estrategia y poltica general de la empresa. Areas De La Planificacin De La Auditora Las empresas acuden a las auditorias cuando existen algunos sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en algunas clases: Sntomas De Descoordinacin Y Desorganizacin coinciden los objetivos de la informtica de la compaa No Los estndares de productividad se desvan sencillamente de los promedios habituales. Sntomas De Mala Imagen O Insatisfaccin De Los Usuarios se atienden a las peticiones de cambio de los usuarios No se reparan las averas de HARDWARE ni se resuelven problemas en plazos razonables No se cumplen los plazos de entregas de resultados No Sntomas De Debilidades Econmico Financiero Incremento desmesurado de costos Necesidad de justificacin de inversiones informticas Desviaciones presupuestarias significativas Costos y plazos nuevos para proyectos Sntomas De Inseguridad (Evaluacin Del Nivel De Riesgo) Seguridad lgica Seguridad fsica Confidencialidad.- Los datos son de propiedad de la organizacin que nos genera, los datos de personal son especialmente confidenciales. Continuidad del servicio. (Establecer las estrategias de continuidad para fallos mediante planes de configuracin). Ubicacin Y Organizacin De La Auditora La ubicacin de los procesos auditores dentro de un rea de sistemas depende del tipo de auditoria que se desee implementar, As tenemos que en muchas ocasiones la auditoria depende exclusivamente de la parte directriz o gerencial y en otras ocasiones de acuerdo a las necesidades de la empresa. La auditoria informtica nace de los niveles medios bajos de la empresa . (A nivel de organizacin la ubicacin es medio bajo, medios bajos son los Usuarios, con una serie de quejas obligan a hacer auditoria)

3. Tipos y clases de auditora Auditoria Informtica De Explotacin La explotacin informtica se ocupa de producir resultados, tales como listados, archivos soportados magnticamente, ordenes automatizadas, modificacin de procesos, etc. Para realizar la explotacin informtica se dispone de datos, las cuales sufren una transformacin y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una informacin buena) Auditoria Informtica De Desarrollo De Proyectos O Aplicaciones La funcin de desarrollo es una evaluacin del llamado Anlisis de programacin y sistemas. As por ejemplo una aplicacin podra tener las siguientes fases Prerrequisitos del usuario y del entorno Anlisis funcional Diseo Anlisis orgnico (preprogramacin y programacin) Pruebas Explotacin Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfaccin del cliente, insatisfaccin del usuario, altos costos, etc. Por lo tanto la auditoria deber comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la mquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medio por los usuarios, se da cuenta el administrador Ejm. La contabilidad debe estar cuadrada) Auditoria Informtica De Sistemas Se ocupa de analizar la actividad que se conoce como tcnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, lneas y redes de las instalaciones informticas se auditen por separado, aunque formen parte del entorno general del sistema (Ejm. De auditar el cableado estructurado, ancho de banda de una red LAN) Auditoria Informtica De Comunicacin Y Redes Este tipo de auditoria deber inquirir o actuar sobre los ndices de utilizacin de las lneas contratadas con informacin sobre tiempos de uso y de no uso, deber conocer la topologa de la red de comunicaciones, ya sea la actual o la desactualizada. Deber conocer cuantas lneas existen, como son, donde estn instaladas, y sobre ellas hacer una suposicin de inoperatividad informtica. Todas estas actividades deben estar coordinadas y dependientes de una sola organizacin (Debemos conocer los tipos de mapas actuales y anteriores, como son las lneas, el ancho de banda, suponer que todas las lneas estn mal, la suposicin mala confirmarlo). Auditoria De La Seguridad Informtica Se debe tener presente la cantidad de informacin almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta informacin, de los robos, los fraudes, sabotajes y sobre todo de la destruccin parcial o total. En la actualidad se debe tambin cuidar la informacin de los virus informticos, los cuales permanecen ocultos y daan sistemticamente los datos. 4. Sistemas De Informacin Los Sistemas De Informacin Y Su Alcance Se entiende por un sistema de informacin al conjunto de normas, procedimientos y dems parmetros que forman la informacin general de una empresa o institucin. En un sistema de informacin se pueden visualizar algunos componentes tales como: El nombre del sistema, Nombre de macros del sistema Software base Lenguajes de programacin Paquetes, Unidades o departamentos que utilizan la informacin,

Volmenes de archivos que se utilizan diariamente (Semanal, mensual, etc.) Requerimientos mnimos de los equipos (En muchos de los casos s es un software) Fechas crticas Ingreso de informacin Flujo de informacin Egresos de informacin

5. Tendencias que afectan a os sistemas de informacin Al considerar un Sistema de Informacin como un conjunto de normas y procesos generales de una determinada, se deben considerar algunos puntos negativos y positivos que afectan directamente al sistema as por ejemplo: a. Actualizaciones: Se refiere a que los sistemas de informacin de cualquier empresa, debe ser revisado peridicamente; no con una frecuencia continua, si no mas bien espaciada, se recomienda las revisiones bi anuales (No se recomienda que se actualice en una empresa paulatinamente, por ejemplo el software, cuadros estadsticos, es recomendable dentro de un ao cambiarlo, todo lo que es mquinas y software; por que si no realizaramos esto, se cambiara toda la estructura organizacional de la misma). b. Reestructuracin Organizacional (Puede ser una reestructuracin con los mismos puestos) Una reestructuracin organizacional con cualquier empresa, implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la burocracia, agilitar trmites o procesos, la reestructuracin puede ser de varios tipos, as por ejemplo. Aumentar o disminuir departamentos, puestos, reestructuracin de objetivos, etc. Siempre la reestructuracin afecta a los sistemas de informacin de la empresa. c. Revisin y Valorizacin del escalafn (No es para bien si no tambin para mal) La revisin y la revalorizacin del escalafn se espera que afecte a favor de los sistemas de informacin de las empresas, si el efecto es contrario el auditor informtico deber emitir un informe del empleado a los empleados (Especficamente de departamentos), que estn boicoteando la informacin de la empresa. d. Cambios en el flujo de Informacin (Datos para el sistema de Informacin) Se refiere al cambio de flujo de datos exclusivamente en el rea informtica, esto afecta directamente en sistema informtico y por tanto al sistema de informacin. En lo que respecta a la Auditora informtica, el efecto puede ser positivo y negativo, dependiendo a los resultados obtenidos en cuanto al proceso de datos (menos seguridad, mas seguridad, backup). As por ejemplo: Se ha cambiado el flujo de informacin en el rea contable, para generar los roles mensuales (De inicio del rol era realizado por la secretaria, la cual ingresaba las existencias, fallas, atrasos, etc.; determinando un monto a descontar. Un monto bruto y un salario final, esto pasaba a la contadora para que justifique especialmente multas, se rectificaba en algunos casos, y se mandaba a imprimir el rol. Se considera un nuevo flujo de informacin, en el cual se ingresan los datos a un sistema informtico, y de acuerdo a los parmetros y normas de la empresa el sistema arroja un sueldo lquido a cobrarse, genera automticamente el reporte, los cheques y el contador solo aprueba este reporte). (Un ejemplo es cuando existe migracin de datos, la informacin migra o se cambia a otro sistema ms sofisticado ) 6. Base Conceptual En base al sistema de informacin el auditor informtico realizar su estudio y anlisis siguiendo cualquier metodologa de trabajo, pero sin desviarse de la base conceptual del sistema de informacin de la empresa auditada. Si por cualquier circunstancia el auditor informtico percibe y por lo menos tiene la idea de que tom parmetros de que no estn presentes en el sistema de informacin necesariamente deber volver a empezar (Por ejemplo en el rea de redes abarca muchas otras facetas que un auditor no podra conocerlas por lo que se necesita ayuda externa para realizar una buena Auditora) Conceptualmente los Sistemas de Informacin, tienen sus base en algunos aspectos de importancia dentro de cualquier empresa: As por ejemplo: a. Aspectos econmicos Se deben considerar los recursos de la empresa, las crisis, el control, etc. b. Aspectos tecnolgicos Se refiere al equipo fsico dentro de la empresa, se debe considerar el incremento, los cambios, ya

sea de software o hardware c. Aspectos sociales Se refiere a mejoras orientadas hacia los empleados de la empresa, as por ejemplo, cursos, capacitacin, etc. d. Aspecto poltico legal Se refiere a las normas y leyes vigentes para las empresas, tanto internas como externas, se debe cuidar, el aspecto legal, especialmente en el Software e. Aspecto Administrativo Se refiere a la relacin a nivel de gerencias, mayor confianza en la tona de posiciones, decisiones o fortunas, siempre a favor de las empresas Simbologa En Los Sistemas De Informacin Todo sistema de informacin puede ser representado mediante diagramas, mediante los cuales depende de la complejidad de cada empresa, un ejemplo sencillo puede ser: 7. Proceso De Implementacin Para implementar un sistema de informacin se puede seguir varios pasos, o metodologas o inclusive se lo puede hacer empricamente. E n la implementacin se considera siempre la implementacin del software (es decir dentro de la implementacin del sistema de informacin siempre deber implementar el software a utilizarse esta empresa). As por ejemplo se podran seguir los siguientes pasos: a.- Recopilacin y anlisis de datos b.- Seleccin de datos idneos a ingresarse o utilizarse c.- Ingreso y manipulacin de datos d.- Procesamiento e.- Anlisis de resultados Seguridad De Los Sistema Informticos Para realizar o evaluar la seguridad en los sistemas, es importante conocer como: desarrollar, ejecutar e implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa planear, organizar, coordinar, dirigir y controlar actividades relacionadas para garantizar la integridad fsica de los recursos implicados en el departamento informtico, as como el resguardo de los activos de la empresa. Un sistema integral de seguridad debe contemplar los siguientes aspectos: - Definir elementos administrativos - Definir polticos de seguridad - Definir elementos a nivel departamental - Definir elementos a nivel institucional - Organizar y dividir las responsabilidades - Prever desastres naturales y causas de descuido del personal de mantenimiento equipo cableado, etc. Adems se debe considerar algunos aspectos extras as por ejemplo: Motivacin.-En la cual es conveniente desarrollar mtodos de participacin reflexionando lo que significa la seguridad y el riesgo, el impacto a nivel empresarial, las responsabilidades individuales, etc. Capacitacin general.- Se debe empezar con los ejecutivos de la empresa a fin que conozca la relacin entre riesgo, seguridad y la informacin y su impacto en la empresa. El objetivo debe ser detectar las debilidades y potencialidades de la organizacin frente al riesgo, en este proceso debe incluir la implantacin y la ejecucin de planes de contingencia y la simulacin de posibles delitos. Capacitacin de tcnicos.- Es importante formar tcnicos encargados de mantener la seguridad como parte fundamental de su trabajo y que este capacitado para capacitar a otras personas, en lo que es la ejecucin de medidas preventivas y correctivas. Beneficios de un sistema de seguridad.- Los beneficios de seguridad son inmediatos ya que la organizacin trabajar sobre una plataforma confiable que se puede reflejar los siguientes aspectos: Aumento de la motivacin de personal Compromiso de la misin y visin Aumento de la productividad Mejora de las relaciones laborales

Mejora en los equipos de la institucin

Estrategias de proteccin Toda empresa dentro de su plan anual de actividades debe contemplar un plan estratgico de proteccin o plan de contingencia sobre su sistema informatico, entendiendose a dicho plan como un conjunto de pasos que se realizan con el propsito de salvaguardar los recursos de la empresa, tanto fsico como a nivel lgico. Se puede mencionar algunos puntos importantes que debe contemplar el plan de contingencia, as por ejemplo: - Actividades antes de un desastre - Actividades durante el desastre - Actividades despus del desastre Actividades antes de un desastre - Planificacin de un plan de contingencia (debe contener aspectos relacionados a la prevencin de un desastre de cualquier tipo, as por ejemplo sacar respaldos, lugares de evacuacin, buscar sitios seguros, prevencin contra cortes elctricos, asignar responsabilidades. - Simulacros de desastre, se refiere a simular en cada computadora un buen anti virus (actualizable que cubra la mayor cantidad de virus conocidos, que detecte limpie y vacune, que posea un manual de procedimiento, versatilidad residente en memoria). - Preparar personal calificado de las distintas reas de seguridad Area informatica se refiere a designar 1 o 2 personas para realizar respaldos diarios de la informacin una o dos personas diferentes para enviar los resultados a sitios seguros. Area social se refiere a preparar personal que este capacitado para socorrer a loa compaeros en caso de desastre ( debe tener especial cuidado en las personas de la tercera edad). Este personal tambin deber capacitarse en el uso de dispositivos o elementos fsicos para casos de emergencia (as por ejemplo uso de alarmas contra fuego, uso de bombas de agua , uso de switch de seguridad). Actividades despus del desastre - Seguir el plan de contingencia - Sujetarse a las disposiciones dadas por elpersonal calificado para desastres - Tratar de rescatar la mayor cantidad de informacin posible en el acto Actividades despus del desastre - Verificar la calidad e integridad de la informacin existente (hacer las pruebas sobre los programas que antes del desastre funcionaban correctamente). - Verificar la calidad e integridad de la informacin de respaldo - Verificar la parte fsica o hadware - En lo posible volver al estado original de la informacin antes del desastre Tipos y clases de auditorias Para cada uno delos tipos de auditoria se pueden especificar reas especificas en las culaes siempre se debe realizar una auditoria informatica, as tenemos: rea interna, rea de direccin, rea de nivel de usuario y rea de seguridad. rea interna cuando se realiza cualquier tipo de auditoria en el rea interna se debe tener presente que solamente se debe auditar al departamento o rea en mencin sin fijarse en sus correlaciones con otros departamentos. Area de direccin Se refiere a realizar la auditoria en cualquier tipo a nivel gerencial o de direccin ya sea el departamento o de los departamentos con sus respectivos Inter.-relaciones. Area de usuario Se refiere a realizar la auditoria a nivel de usuario con todas las Inter.-relaciones que el usuario tenga dentro del departamento o fuera con otros departamentos. Area de seguridad Cualquiera sea el tipo de auditoria que esta realizando siempre debe fijarse en el rea de seguridad la cual constituye pilar fundamental para aprobar o reprobar una auditoria.

Trabajo enviado por:

Wilmer Rolando Zurita Lara wilmer_rolando_zurita_lara@hotmail.com