Академический Документы
Профессиональный Документы
Культура Документы
INFORMATICA
INDICE
Introducción
1. Auditoria
2. Auditoria y Consultoria
4. Tipos de Auditorias
11. Conclusiones
12. Bibliografía
2
Introducción
3
Las computadoras y los Centros de Proceso de Datos se
convirtieron en blancos apetecibles no solo para el espionaje, sino
para la delincuencia y el terrorismo. En este caso interviene la
Auditoria Informática de Seguridad.
4
2. Auditoria
5
3. Auditoria y Consultoria
- condición: profesional
6
- objeto: la actividad o cuestión sometida a consideración
Resumiendo:
Elementos de comparación
Auditoria Consultoria
contenido Opinión Asesoramiento o consejo
condición Profesional Carácter especializado
Justificación sustentada en proc. Análisis
Det información en
Objeto Actividad
cierto soporte
Finalidad Fiabilidad Eficacia y Eficiencia
7
4. Auditoria Interna y Auditoria Externa
8
dentro de la estructura Informática ya no sería independiente. Hoy,
ya existen varias organizaciones Informáticas dentro de la misma
empresa, y con diverso grado de autonomía, que son coordinadas
por órganos corporativos de Sistemas de Información de las
Empresas.
5. Tipos de auditorias
9
La Auditoría Informática puede cubrir muchos aspectos, que
vendrán determinados por el objetivo de la auditoría
10
- Auditorias relacionadas con las funciones del personal, sus
riesgos, sus niveles de satisfacción, su rotación,
promoción, condiciones de trabajo y ergonomía.
11
6. Normas generales de Auditoria contenidas en la
Resolución técnica Nro. 7 (FACPCE)
12
5. En la aplicación de los procedimientos de auditoria, el auditor
debe tener en cuenta que puede actuar sobre las bases
selectivas, determinadas según criterio exclusivamente o
apoyándolo con el uso de los métodos estadísticos.
13
7. Evaluación de los controles para definir naturaleza,
alcance y oportunidad de los procedimientos de
auditoria
Controles generales
- Operador
- Analista programador
- Soporte técnico
- Oficial de seguridad
14
permite detectar anomalías o deficiencias en las tareas
realizadas la permitir la intervención de otra persona que no lo
hace habitualmente.
15
Controles directos
16
- Batch: ya casi esta en desuso, se refiere al ingreso de
comprobantes en lote para su previa verificación, los datos se
ingresan desde una terminal y luego de realizadas las pruebas
de consistencia son procesados
17
Prestar especial consideración al objetivo verdadero de cada
control, evaluando el coste de operación del control y las pérdidas
que podría generar su omisión.
Exactitud de la entrada
- Conciliación de totales
- Confrontación de bases de datos
- Comprobación uno por uno
- Controles de validación o edición:
18
nuestros clientes) o de referencia? Por ejemplo se
introduce un Nro de Cuit
Momento de la autorización
Confrontación programada
Autorización manual
Autorización en línea
Los controles sobre las entradas de datos deben contemplar
procedimientos de actuación con las transacciones erróneas que
son rechazadas por los controles preventivos.
19
En sistemas de autorización en línea los errores se detectan en el
momento de su entrada, las medidas correctivas se pueden iniciar
inmediatamente.
Confrontación programada:
Existen, sin embargo, ocasiones en que determinados errores
pueden ser detectados en una fase posterior del proceso. Estos
errores deben ser comunicados, tomándose las medidas correctivas
correspondientes. Por ejemplo Listado de informes de recepción
ingresados con errores.
Con una combinación de procedimientos programados y manuales
se debe garantizar la investigación inmediata de las causas de los
rechazos, la corrección adecuada de los errores, el registro y
seguimiento de las transacciones pendientes de corregir y la
existencia de una nueva autorización de las correcciones hechas a
los datos claves o sensibles. Con todos estos controles
conseguiremos que todos los rechazos vuelvan a entrar en el
ordenador de forma exacta y autorizada.
20
· El funcionamiento adecuado y continuo de los programas que
efectúan los procesos
21
- SAP, J.D., Edwards, SIFAB, para grandes empresas
22
· Controles de Seguridad de Programas: destinados a garantizar que
no se puedan efectuar cambios no autorizados en los
procedimientos programados
23
Y en caso de que implantemos un paquete informático adaptado nos
aseguraremos que cumple con dichas exigencias. En caso de no
existir estos controles nos podemos encontrar con varios problemas:
que los costes estén por encima de los presupuestados por lo que
se podría producir un retraso en la entrega del proyecto, que los
proyectos no se ajusten a los requerimientos del usuario, que haya
errores en las aplicaciones, que conviertan de forma errónea los
datos o que las aplicaciones se infrautilicen o se utilicen
incorrectamente debido a la ausencia de documentación técnico y
de formación.
24
8. Metodología de Trabajo de Auditoria Informática
25
procedimientos adecuados en pruebas de cumplimiento de
controles.
Recursos materiales
Recursos Humanos
26
Una vez elaborado el Plan, se procede a la Programación de
actividades. Esta ha de ser lo suficientemente flexible como para
permitir modificaciones a lo largo del proyecto.
Técnicas de Trabajo:
- Entrevistas.
- Simulación.
- Muestreos.
Herramientas:
- Cuestionario Checklist.
27
Estructura del informe final:
Cuerpo expositivo:
Para cada tema, se seguirá el siguiente orden a saber:
- Situación actual. Cuando se trate de una revisión periódica,
en la que se analiza no solamente una situación sino
además su evolución en el tiempo, se expondrá la situación
prevista y la situación real.
- Tendencias. Se tratarán de hallar parámetros que permitan
establecer tendencias futuras.
28
9. Principales Herramientas y Técnicas para la Auditoria
Informática:
Cuestionarios:
Entrevistas:
29
- Mediante "entrevistas" en las que no se sigue un plan
predeterminado ni un método estricto de sometimiento a un
cuestionario.
Checklist:
30
usar Checklists, es una evidente falta de profesionalismo. El
profesionalismo pasa por un procesamiento interno de información a
fin de obtener respuestas coherentes que permitan una correcta
descripción de puntos débiles y fuertes. El profesionalismo pasa por
poseer preguntas muy estudiadas que han de formularse
flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo
excepciones, las Checklists deben ser contestadas oralmente, ya
que superan en riqueza y generalización a cualquier otra forma.
Según la claridad de las preguntas y el talante del auditor, el
auditado responderá desde posiciones muy distintas y con
disposición muy variable. El auditado, habitualmente informático de
profesión, percibe con cierta facilidad el perfil técnico y los
conocimientos del auditor, precisamente a través de las preguntas
que éste le formula. Esta percepción configura el principio de
autoridad y prestigio que el auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas
muy sistematizadas, coherentes y clasificadas por materias, todavía
lo es más el modo y el orden de su formulación. Las empresas
externas de Auditoria Informática guardan sus Checklists, pero de
poco sirven si el auditor no las utiliza adecuada y oportunamente.
No debe olvidarse que la función auditora se ejerce sobre bases de
autoridad, prestigio y ética.
El auditor deberá aplicar el Checklist de modo que el auditado
responda clara y escuetamente. Se deberá interrumpir lo menos
posible a éste, y solamente en los casos en que las respuestas se
aparten sustancialmente de la pregunta. En algunas ocasiones, se
hará necesario invitar a aquél a que exponga con mayor amplitud un
tema concreto, y en cualquier caso, se deberá evitar absolutamente
la presión sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada
sector, deben ser repetidas. En efecto, bajo apariencia distinta, el
auditor formulará preguntas equivalentes a las mismas o a distintas
personas, en las mismas fechas, o en fechas diferentes. De este
modo, se podrán descubrir con mayor facilidad los puntos
contradictorios; el auditor deberá analizar los matices de las
respuestas y reelaborar preguntas complementarias cuando hayan
existido contradicciones, hasta conseguir la homogeneidad. El
entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomará las notas imprescindibles
31
en presencia del auditado, y nunca escribirá cruces ni marcará
cuestionarios en su presencia.
Los cuestionarios o Checklists responden fundamentalmente a dos
tipos de "filosofía" de calificación o evaluación:
1. Checklist de rango
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.
32
Puntuación: 1
Puntuación: 2
-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las
quitan.
Puntuación: 2
Puntuación: 4
2. Checklist Binaria
33
-¿Existe Normativa de que el usuario final compruebe los resultados
finales de los programas?
Puntuación: 1
Puntuación: 1
Puntuación: 0
-¿Existe una norma por la cual las pruebas han de realizarse con
juegos de ensayo o copia de Bases de Datos reales?
Puntuación: 0
Puntuación: 0
Puntuación: 0
34
Los Checklists Binarios siguen una elaboración inicial mucho más
ardua y compleja. Deben ser de gran precisión, como corresponde a
la suma precisión de la respuesta. Una vez construidas, tienen la
ventaja de exigir menos uniformidad del equipo auditor y el
inconveniente genérico del <sí o no> frente a la mayor riqueza del
intervalo.
*Log:
35
El log vendría a ser un historial que informa que fue cambiando y
cómo fue cambiando (información). Las bases de datos, por
ejemplo, utilizan el log para asegurar lo que se llaman las
transacciones. Las transacciones son unidades atómicas de
cambios dentro de una base de datos; toda esa serie de cambios se
encuadra dentro de una transacción, y todo lo que va haciendo la
Aplicación (grabar, modificar, borrar) dentro de esa transacción,
queda grabado en el log. La transacción tiene un principio y un fin,
cuando la transacción llega a su fin, se vuelca todo a la base de
datos. Si en el medio de la transacción se cortó por x razón, lo que
se hace es volver para atrás. El log te permite analizar
cronológicamente que es lo que sucedió con la información que está
en el Sistema o que existe dentro de la base de datos.
Software de Interrogación:
36
10. Normas generales referidas a informes de auditoria
contenidas en la resolución técnica Nro 7 (FACPCE)
37
11. Conducta profesional
38
12. CONCLUSIONES
39
13. Bibliografía
40