Blog de audidsitemas

GENERALIDADES DE LA AUDITORIA DE SISTEMAS

1.  Misión de la auditoria

La misión de la auditoria es velar por los bienes comunes de las empresas y por qué estos puedan fluir con normalidad, es llevar un estudio a fondo sobre el desarrollo y actividades que realiza la empresa para así acompañarlo en su crecimiento dando lineamientos para la satisfacción y cumplimiento de las normas

2.  Estándares de la auditoria de sistemas

·  COBIT: en una herramienta que proporciona un panorama o una realidad de los riesgos que puede sufrir la empresa con el objetivo de controlar las tecnologías de la información dando como resultado eficacia y efectividad en quienes lo manejan

·  ISO: es una organización que establece parámetros para llevar la información y dependiendo el sector da pautas para el buen funcionamiento y desarrollo de procedimeintos en las empresas en este caso la de la información que estas manejan

  • ISO 27001
  • ISO 15504 (Spice): Sistema de calidad de productos software
  • ISO 12207: establece un marco de referencia
  • ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información.

3.  Análisis de riesgo y controles de la auditoria de sistemas

La evaluación y análisis de riesgo identifica, mide y prioriza el riesgo, por ello cuando se realiza una auditoria se debe realizar en los puntos principales y más relevantes.

La evaluación y análisis del riesgo permite al auditor diseñar un programa de gestión que examine más a fondo los controles más relevantes o los cuales considere de mayor profundidad

Para ello existen 3 niveles de riesgo los cuales son:

  • Riesgo Inherente
  • Riesgo de control
  • Riesgo de detección

Los cuales ayudan a determinar la calidad y el nivel de reesgo que pueden llegar a sufrir las entidades con la información que estas manejan a diario y como prevenir un fraude con la información

4.  Definición (Auditoria de sistemas)

La Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.

5.  Definición de Control Interno:

Es el plan mediante el cual una organización establece principios, métodos y procedimientos que coordinados y unidos entre sí, buscan proteger los recursos de la entidad y prevenir y detectar fraudes y errores dentro de los diferentes procesos desarrollados en la empresa. Además, hace parte de un proceso que debe ser ejecutado de forma conjunta por la junta directiva de la empresa, la gerencia y por todo el recurso humano de la misma, está integrado por:

  • Planes
  • Métodos
  • Principios
  • Normas
  • Procedimientos
  • Mecanismos

Funciones del Control Interno:

  • Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afecten.
  • Garantizar la eficacia y la eficiencia en todas las operaciones promoviendo y facilitando la correcta ejecución de las funciones y actividades definidas para el logro de la misión de la organización.
  • Velar porque todas las actividades y recursos de la organización estén dirigidos al cumplimiento de los objetivos de la entidad.
  • Garantizar la correcta evaluación y seguimiento de la gestión organizacional.
  • Asegurar que los registros y la información generada como producto de las actividades realizadas por la organización, sean elaborados y presentados de manera oportuno y que dicha información sea confiable.
  • Definir y aplicar medidas para prevenir los riesgos, así como también  detectar y corregir errores que se presenten en la organización y que puedan afectar el logro de sus objetivos.
  • Garantizar que el Sistema de Control Interno disponga de sus propios mecanismos de verificación y evaluación.

6.   Controles en un Centro de Cómputo

El control interno que se  realice a los sistemas informáticos, permite obtener diagnósticos de las diferentes dependencias, indicando riesgos y debilidades que una vez detectados nos ahorran recursos humanos, físicos y financieros de la entidad, si son corregidos a su debido tiempo.

Las áreas de control en los centros de cómputo son:

1-  Control de entrada y salida

2-  Biblioteca de medios magnéticos

3-  Operación del equipo de procesamiento

4-  Controles ambientales y de seguridad física

5-  Recuperación de desastres

6-   Reportes de mal funcionamiento

7-   Cambios de software operacional

8-   Seguridad lógica

9-   Manuales de documentación

Inspección y Comprobación:

1-  Que los códigos de identificación y autorización de los usuarios estén adecuadamente controlados para prevenir accesos no autorizados.

2-  Que las terminales que permiten el acceso  al sistema cuenten con los controles adecuados para prevenir el uso fraudulento.

3-  Que las alteraciones de seguridad accidental o intencional sean reportadas a la administración de procesamiento electrónico de datos.

4-  Que las intervenciones de los operadores del centro de cómputo sean registrados en el log del sistema y que este registro sea cuidadosamente revisado.

5-  Que se cambien los códigos de acceso, cuando se retiren empleados claves

6-  Que constantemente se revise por un experto en seguridad  todos los procesos de informática

7.   Controles Administrativos de la Auditoria de Sistemas

·  Preinstalación: Hardware y software

·  Organización y planeación: Línea de autoridad y responsabilidad

·  Sistemas de desarrollo y producción: sistemas documentados y actualizados

·  Procesamiento: Ciclo de la información

·  Operación: Detectar errores, evitar fraudes, integridad de la información, utilización adecuada

·  Uso de Microcomputadoras: Virus, Sistemas operativos, mantenimiento preventivo y correctivo, variaciones de voltaje, incendios, robos, pólizas de seguros.

8.   Controles en la Entrada de Datos

La mayoría de las transacciones de procesamiento electrónico de datos comienza con procedimientos de entrada de datos. En términos generales, cualquiera que sea el ambiente en que se procesan los datos, se hace necesario efectuar el control de ingreso para asegurar que cada transacción a ser procesada cumpla con los siguientes requisitos:

1- Se debe recibir y registrar con exactitud e íntegramente.
2- Se deben procesar solamente datos válidos y autorizados.
3- Se deben ingresar los datos una vez por cada transacción.

  Puntos de Control

·  Transacciones en línea.

·   Usuario y operador.

·   Terminal o dispositivo de entrada de datos.

9.   Que es Auditoria de Bases de Datos

Es un proceso implementado por los auditores de sistemas con el fin de auditar los accesos a los datos, por lo general siguiendo bien una metodología basada en un checklist que contempla los puntos que se quieren comprobar o mediante la evaluación de riesgos potenciales., por lo tanto, facilita herramientas eficaces para conocer de forma exacta cuál es la relación de los usuarios a la hora de acceder a las bases de datos, incluyendo las actuaciones que deriven en una generación, modificación o eliminación de datos.

10.    Que es Auditoria de Desarrollo de Sistemas

Se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Fases

·  Análisis de Requisitos

·  Diseño y Arquitectura

·  Programación

·  Pruebas

·  Documentación

·  Mantenimiento

11.   Auditoria de Redes

Son mecanismos en los cuales se pone a prueba una red informática, en donde se evalúan el desempeño y la seguridad, para una eficiente y segura utilización de la información.

Existen las siguientes etapas:

  • Estrategia de Saneamiento
  • Análisis de la vulnerabilidad
  • Plan contención ante posibles incidento
  • Seguimiento continuo del desempeño del sistema

OBJETIVOS

  • Realizar investigaciones especiales solicitadas por la dirección
  • Preparar informes de auditoria acerca de las irregularidades que pudiesen encontrarse como resultado de las investigaciones realizadas
  • Registrar un coste de comunicaciones y reparto a encargados
  • Mejorar el rendimiento y la resolución de problemas presentados en la red
  • Tener una gerencia de comunicaciones con plena autoridad de voto y acción.


INSTRUMENTOS DE EVALUACIÓN

  • Entrevista
  • Cuestionarios
  • Encuestas
  • Observación
  • Inventarios
  • Muestreo
  • Experimentación

12. Implementación de R.A.S.

  • Manejadores de bases de datos


Es una colección de software muy específico, cuya función es servir de interfaz entre la base de datos, el usuario y las distintas aplicaciones utilizadas, como (SGBD, DataBase Managemet System (DBMS), estos son conjuntos de programas que manejan acceso a la base de datos el objetivo es servir de interfaz entre esta y el usuario.


  • Elaboración de estructuras de archivos

Para esto hay que comprender conceptos con los archivos computacionales, en la cual se desarrollan técnicas para el procesamiento de datos, donde se manejan métodos y estructuras de datos que un sistema operativo el cual se utiliza para seguir la pista de los archivos de un disco o partición y así se organizan los archivos en el disco duro.

  • Creación de rutinas de auditoria de sistemas.

  1. Las revisiones han de ser efectuadas por personas con conocimientos técnicos adecuados y capacitados como auditores 
  2. El trabajo debe planificarse adecuadamente ejerciéndose la debida supervisión por parte del auditor de mayor experiencia
  3. Debe obtener suficiente información (mediante inspección, observación, investigación y confirmaciones) como fundamento de trabajo
  4. Tanto en la realización del examen como en la preparación del informe debe mantener el debido rigor profesional.




Comentarios

No hay ningún comentario

Añadir un Comentario: