Академический Документы
Профессиональный Документы
Культура Документы
Objetivos
Ejemplos
Qu es la Auditoria en Sistemas
de Informacin?
Es el examen objetivo, crtico, sistemtico,
posterior y selectivo que se hace a la
administracin informtica de una
organizacin, con el fin de emitir una opinin
acerca de:
La eficiencia en la adquisicin y
utilizacin de los recursos informticos.
a confiabilidad, la integridad, la
seguridad y oportunidad de informacin.
Qu es la Auditoria en Sistemas
de Informacin?
Una auditoria de SI es diferente de una
auditoria de estados financieros.
Mientras que una auditoria financiera su
propsito es evaluar si una organizacin
est cumpliendo con las prcticas
contables habituales, los efectos de una
auditoria de SI deben evaluar el diseo del
sistema de control interno y la eficacia.
Esto incluye pero no se limita a la
eficiencia y protocolos de seguridad, los
procesos de desarrollo o de supervisin de
SI.
Justificacin
Aumento de la
vulnerabilidad
Automatizacin de los
procesos y prestacin
de servicios
Beneficios para
alcanzar los
objetivos
Recursos
TICs
Informacin como
recurso
estratgico
Aumento de la
productividad
Magnitud de los
costos e
inversiones TIC
computacionales.
Altos costos debido a errores.
Prdida de informacin y de capacidades
de procesamiento de datos, aumentando as la
posibilidad
de
toma
de
decisiones
incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de la
organizacin.
rea
5.1.Objetivos de la evaluacin
Verificar la existencia de los controles requeridos
Determinar la operatividad y suficiencia de los
controles existentes
4.1.Codificacin6.1.Informe
de controles
detallado de
Fase II:
Fase III:
Fase IV:
Anlisis de controles
Fase V:
Evaluacin de Controles
Fase VI:
El Informe de auditoria
Fase VII:
EVIDENCIAS
1 El crecimiento del acceso a Internet y de usuarios conectados incrementa la
posibilidad de concrecin de amenazas informticas.
Riesgo Informtico
Acciones
que pueden ocasionar
consecuencias
La
Organizacin
Internacional
de
negativas en la plataforma
informtica
disponible:
fallas,
Condiciones inherentes a los activos o
ingresos no autorizados
a (ISO)
las reas
de
computo,
Normalizacin
define
riesgo
presentes
en su
entorno
quevirus,
facilitan que las
uso inadecuado de amenazas
activos informticos,
desastres
se materialicen.
ambientales (terremotos, (Guas
inundaciones), incendios,
tecnolgico
para o carencias:
la
Se
manifiestan
como
debilidades
accesos ilegales a los sistemas, fallas elctricas.
de conocimiento del
usuario, tecnologa
Gestin de lafalta
Seguridad)
como:
inadecuada,
fallas
en
la
transmisin,
inexistencia de antivirus, entre otros
de las
o no
Tipos de Pruebas
Al definir las pruebas o procedimientos de auditoria,
estamos definiendo los tipos de tareas a efectuar.
Existen dos tipos de pruebas:
De Cumplimiento
Sustantivas
Sinnimo
De control Interno
Objetivo
Funcionamiento
de Validar la informacin
los
procedimientos y los datos.
internos del ente.
Gestin del ente
Sistema
de
informacin.
Objeto auditado
De validez
CONTROL INTERNO.
DEFINICIN Y TIPOS
Cualquier actividad o accin
realizada manual y/o
automticamente para prevenir,
corregir errores o
irregularidades que puedan
afectar el funcionamiento de un
sistema para conseguir sus
objetivos.
La tipologa tradicional de los controles informticos es:
Bajo Nivel de
Vulnerabilidad?
Dao a los
equipos, datos
o informacin
Concrecin
de la
Amenaza
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daos intencionales o no)
Objetivos: Desafo,
ganancia financiera/poltica,
dao
Confidencialidad
Integridad
Disponibilidad
Prdida de
Dinero
Clientes
Imagen de la Empresa
Disuasivos
Tratar de evitar el
Cuando
fallan los
hecho
preventivos para
tratar de conocer
cuanto antes el evento
Preventivos
Amenaza o
Riesgo
Operatividad
Plataforma Informtica
Vuelta a la normalidad
cuando se han
producido incidencias Detectivo
Tmin
Correctivo
PRUEBAS SUSTANTIVAS
Una vez realizadas las pruebas de cumplimiento se debe
analizar la informacin almacenada en el SI. Si la misma se
encuentra en soportes informticos puede ser analizada en su
totalidad (el alcance ser total) puesto que ello puede hacerse
rpidamente. La informacin que no es encuentre almacenada
digitalmente puede ser muestreada segn el diagnstico hecho
sobre los controles generales y los controles particulares.
Se pueden encontrar las siguientes herramientas para la
realizacin de pruebas sustantivas:
Programa o sistema especial de auditora
Paquete o software de auditora
Aplicativos en general (ejemplo planillas de clculo)
Lenguajes de consulta
de gestin de seguridad de la
COSO (Committee of Sponsoring
informacin para su
Organizations of the Treadway Commission,
proteccin.
EEUU 1992).
Bibliografa Referencial
AUDITORIA DE SISTEMAS DE BARCELONA CONSULTORES (2004).
Auditoria de Sistemas. Home page URL: http://www.auditoriasistemas.com
(Consulta: Noviembre 2006).
ECHENIQUE GARCA, JOS (2001). Auditora en Informtica. 2da Edicin.
McGraw Hill. Mxico.
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (1998).
COBIT, marco referencial, objetivos de control para la informacin y
tecnologa afines. 2da Edicin.
MUOZ RAZO, CARLOS. 2002. Auditora en Sistemas Computacionales.
Pearson-Prentice Hall. Mxico.
RODRGUEZ R., FERNANDO (2006). Auditora Informtica en la
Administracin: un reto para los profesionales TIC. Tecnimap. Comunicacin
No. 043. Espaa.
PIATTINI, MARIO Y EMILIO DEL PESO (1998). Auditora en Informtica. Un
enfoque prctico. Editorial RAMA. Espaa.
RUIZ GONZLEZ, FRANCISCO (1999). Planificacin y Gestin de Sistemas
de Informacin. 2da. Edicin. COBIT-Universidad de Castilla. Espaa.