http://auditoriasistemas.

com/auditoria-de-sistemas-informaticos/

Para una mejor productividad empresarial, los responsables de los sistemas, que usan los distintos
departamentos o áreas de negocio, deben conocer los riesgos derivados de una inadecuada gestión
de sistemas y los beneficios generados por una gestión óptima.
Sistemas de la información

 Casos reales de problemas solucionados por nosotros

 Clientes representativos de auditorias informáticas.
 Estándares TI con las mejores prácticas informáticas

Objetivos generales de la Auditoría de Sistemas de la Información

 Evaluar la fiabilidad
 Evaluar la dependencia de los Sistemas y las medidas tomadas
para garantizar su disponibilidad y continuidad
 Revisar la seguridad de los entornos y sistemas.
 Analizar la garantía de calidad de los Sistemas de Información
 Analizar los controles y procedimientos tanto organizativos como
operativos.
 Verificar el cumplimiento de la normativa y legislación vigentes
 Elaborar un informe externo independiente.
 Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS

Objetivos para una buena gestión de los Sistemas de la Información en una empresa

 Asegurar una mayor integridad, confidencialidad y confiabilidad

de la información.
 Seguridad del personal, los datos, el hardware, el software y las
instalaciones.
 Minimizar existencias de riesgos en el uso de Tecnología de
información
 Conocer la situación actual del área informática para lograr los
objetivos.
 Apoyo de función informática a las metas y objetivos de la
organización.
 Seguridad, utilidad, confianza, privacidad y disponibilidad de los
entornos.
 Incrementar la satisfacción de los usuarios de los sistemas
informáticos.
 Capacitación y educación sobre controles en los Sistemas de
Información.
 Buscar una mejor relación costo-beneficio de los sistemas
automáticos.
 Decisiones de inversión y gastos innecesarios.

Más información sobre auditoría sistemas

Hemos seleccionado los siguientes articulos para usted:
  Conceptos de Auditoría de Sistemas, Fuente externa:
monografias.com
 El enemigo en casa: infracciones informáticas de los
trabajadores., Fuente externa: .e-directivos.com
 Características de la auditoria tecnológica, Síntomas de
necesidad de una auditoria informática, Fuente externa:
monografias.com

Conceptos de Auditoría de Sistemas

La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y
revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia
y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de
acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la
forma de actuación. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer
énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un
objetivo específico en el ambiente computacional y los sistemas.A continuación se detallan algunos
conceptos recogidos de algunos expertos en la materia:Auditoría de Sistemas es:
* La verificación de controles en el procesamiento de la información, desarrollo de sistemas e
instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
La actividad dirigida a verificar y juzgar información.
El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la
utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y
recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
* El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado:
Daños, Salvaguarda activos, Destrucción, Uso no autorizado, Robo, Mantiene Integridad de Información
Precisa, los datos Completa, Oportuna, Confiable, Alcanza metas, Contribución de la organizacion, la
función informática, Consume recursos, Utiliza los recursos adecuadamente, eficientemente en el
procesamiento de la información
* Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas),
selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes
relacionados con los sistemas de información computarizados, con el fin de emitir una opinión
profesional (imparcial) con respecto a:
* Eficiencia en el uso de los recursos informáticos
* Validez de la información
* Efectividad de los controles establecidos

El enemigo en casa: infracciones informáticas de

los trabajadores.
La proliferación de las nuevas tecnologías en la empresa conlleva también la proliferación de nuevos
peligros. Ya no son sólo los ataques y sabotajes informáticos desde el exterior, sino las infracciones
desde dentro, las producidas por los propios empleados, y contra las que las organizaciones son, al
parecer, más vulnerables. Hace poco más de un mes, la firma Landwell de Abogados y Asesores Fiscales,
perteneciente a PricewaterhouseCoopers, presentaba un excelente estudio titulado Actos desleales de
trabajadores usando sistemas informáticos, el cual merece la pena conocer con algo de detalle en estas
páginas. El estudio se ha elaborado a partir del análisis de informes, sentencias, autos y procedimientos
judiciales de 393 casos reales sufridos por empresas españolas y protagonizados por trabajadores en
plantilla, durante el trienio 2001-2003; y se ha completado con entrevistas personales con los
responsables de las compañías afectadas. Para empezar, el informe reconoce que se desconoce el nivel
de incidencia en el conjunto total de las empresas españolas, ya que una gran parte de las empresas
afectadas por este tipo de acciones prefieren llegar a un acuerdo amistoso y no divulgar los hechos. Las
infracciones más habituales que han sido detectadas son así sistematizadas en el estudio: Creación de
empresa paralela, utilizando activos inmateriales de la empresa. Consiste en la explotación en una
empresa de nueva creación, de la propiedad intelectual, la propiedad industrial o el know how de la
empresa en la que el trabajador trabaja. Generalmente, el trabajador constituye la nueva compañía
antes de solicitar la baja voluntaria y realiza un proceso de trasvase de información mediante soportes
informáticos o a través de Internet. Es posible que el trabajador actúe aliado con otros compañeros de
la empresa. Daños informáticos y uso abusivo de recursos informáticos. Los daños informáticos se
producen generalmente como respuesta a un conflicto laboral o a un despido que el trabajador
considera injusto. Consisten en la destrucción, alteración o inutilización de los datos, programas o
cualquier otro activo inmaterial albergado en redes, soportes o sistemas informáticos de la empresa. Los
casos más habituales son los virus informáticos, el sabotaje y las bombas lógicas, programadas para que
tengan efecto unos meses después de la baja del trabajador. También es habitual el uso abusivo de
recursos informáticos, especialmente el acceso a Internet. Información confidencial y datos personales.
Consiste en el acceso no autorizado y en la posterior revelación a terceros, generalmente competidores
o clientes, de información confidencial de la empresa. En algunas ocasiones, la revelación la realizan
trabajadores que tienen un acceso legítimo, pero con obligación de reserva, a la información
posteriormente divulgada. En este capítulo también se contempla la cesión no autorizada a terceros de
datos personales de trabajadores y clientes. Amenazas, injurias y calumnias. El medio utilizado
habitualmente es el correo electrónico corporativo, aunque también se han utilizado cuentas anónimas,
e incluso se ha suplantado la identidad de otro trabajador de la misma empresa. En el caso de las
amenazas, se busca un beneficio material o inmaterial para el trabajador. Si el beneficio no se produce,
el trabajador llevará a cabo la conducta anunciada en el mensaje amenazador. En el caso de las injurias
y las calumnias, se busca desacreditar a la empresa, o a alguno de sus directivos. También se han
producido insultos a clientes habituales o a clientes potenciales de la empresa con el que el trabajador
tenía algún conflicto. Infracción propiedad intelectual e introducción de obras de la empresa en redes
P2P. Consiste en la copia de activos inmateriales de la empresa, especialmente obras protegidas por la
propiedad intelectual, con el fin de cederlas posteriormente a terceros. En los últimos dos años se han
dado casos de difusión a través de Internet, mediante el uso de redes de intercambio de ficheros (peer
to peer). De esta manera, una multitud de usuarios acceden de forma gratuita a programas de
ordenador desprotegidos, información o contenidos multimedia. Intercambio de obras de terceros a
través de redes P2P. Este es el caso más habitual y se detecta generalmente en el curso de una
auditoría de seguridad informática, mediante el análisis del caudal de datos transferido por los
trabajadores a través de la red corporativa. En algunas ocasiones, se ha detectado directamente la
instalación del programa P2P o el uso de puertos típicos para el acceso a redes P2P. Este caso es
especialmente grave, ya que la empresa se convierte en proveedora directa de copias no autorizadas de
música, películas y programas de ordenador. Infracción de derechos de propiedad industrial. El caso más
habitual ha sido la infracción de marcas de la empresa mediante el registro del nombre de dominio por
parte del trabajador. En algunos casos, se ha creado una página web con contenidos ofensivos para
conseguir un mayor efecto nocivo para la empresa o para obtener una suma de dinero por la
transferencia. Ante la aparición de esta clase de situaciones, ¿cuál ha sido la estrategia de respuesta de
las empresas? El informe de Landwell nos dice que la mayoría de las empresas prefieren encomendar la
investigación de los posibles actos desleales de un trabajador a un equipo interno, generalmente
formado por miembros del departamento de RRHH y del departamento de sistemas. Sólo un 22 por
ciento de las empresas que sospechan de un empleado deciden externalizar la investigación. El tipo de
investigación depende de la intención de la empresa de llegar a un acuerdo o plantear una reclamación
judicial. Cuando se toma la decisión de llevar la infracción a los tribunales, la obtención de las
evidencias electrónicas se encarga a un tercero, con el fin de conseguir mayor objetividad y valor
probatorio. El procedimiento de recopilación de las evidencias debe respetar los derechos del
trabajador para que sea válido judicialmente. Una investigación se inicia a partir de las sospechas e
indicios generados por la propia conducta del trabajador, por un consumo de recursos poco usual o por
el descubrimiento de los efectos de la infracción. No obstante, Sólo el 26 por ciento de las infracciones
detectadas acaban en los tribunales. El resto de las infracciones son objeto de un acuerdo privado o de
una sesión finalizada con aveniencia en un organismo de mediación y conciliación laboral. En general,
las empresas prefieren solucionar sus conflictos de forma privada y ello incide en la forma de investigar
y tratar las posibles infracciones de sus trabajadores. Ahora bien, si los daños producidos están previstos
en la cobertura de un seguro, es muy probable que la empresa deba plantear una reclamación judicial
para poder solicitar la correspondiente compensación económica.

Características de la auditoria tecnológica

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo
Real de la misma, con sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones
informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.
Del mismo modo, los Sistemas Informáticos o tecnológicos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditoria de Seguridad Informática en general, o a la
auditoria de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función:
se está en el campo de la Auditoria de Organización Informática o tecnológica
Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria
parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la
Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades
de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
Síntomas de necesidad de una auditoria informática:
Las empresas acuden a las auditorias externas cuando existen síntomas bien perceptibles de debilidad.
Estos síntomas pueden agruparse en clases:
* Síntomas de descoordinación y desorganización:
No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
* Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los
terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse
diariamente a su disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario
percibe que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas
desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los
resultados de Aplicaciones críticas y sensibles.
* Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida
de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al
órgano que realizó la petición).
* Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica
- Seguridad Física
- Confidencialidad
[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son
especialmente confidenciales]
* Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente
inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo
indicio.