diariamente que todas las actividades de los SI sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la gerencia y/o direccin informtica as como tambin los requerimientos legales. Evaluacin y comprobacin de resultados de procesos Globalizacin, TICs, Ciberempresa Evaluacin de riesgos y comprobacin de controles ROL DEL AUDITOR Definicin La auditoria de sistemas informtica Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un SI salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organizacin y utiliza eficientemente los recursos Proteccin de Archivos e integridad de datos Objetivos de gestin que no solo abarcan la proteccin de activos sino tambin los de eficacia y eficiencia OBJETIVOS Otra definicin.. La auditora informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica de los equipos de cmputo, junto con su utilizacin, eficiencia y seguridad, de la organizacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. PLANEACIN DE LA AUDITORA INFORMTICA La planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: 1. Evaluacin de los sistemas y procedimientos. 2. Evaluacin de los equipos de cmputo. En el momento de hacer la planeacin de la auditora o bien su realizacin, se debe evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacin y se ve que:
Se tiene la informacin pero:
No se usa No es la adecuada Es incompleta No esta actualizada Se usa, est actualizada, es la adecuada y est completa No tiene y se necesita. No se tiene y no se necesita. Perspectiva Multidisciplinar Sistemas De Informacin Dimensin Humana Dimensin Tecnologica Dimensin Organizativa El SI se encarga de entregar la informacin oportuna y precisa, con la presentacin y el formato adecuados, a la persona que la nesecita dentro de la empresa para tomar una decisin realizar alguna operacin. Interrelacin entre los componentes de un SI ORGANIZACION EMPRESA Estrategias Reglas Procedimientos INTERDEPENDENCIA SOFTWARE HARDWARE Bases de Datos Telecomunic aciones Sistemas de Informacin Control interno y Auditoria... Similitudes! Asesora y transmisin de cultura sobre el riesgo informtico Conocimientos especializados en las TICs Verificacin del cumplimiento de controles internos, normativa y procedimientos establecidos por la direccin general y/o direccin de informtica Control Interno y Auditora Diferencias... CONTROL INTERNO: Anlisis de los controles en el da a da. Informa a la direccin del departamento de informtica. Solo personal interno. El alcance de las funciones es unicamente sobre el dpto. de informtica. AUDITOR: Anlisis de un momento informtico determinado. Informa a la direccin general de la organizacin. Personal interno y/o externo. Tiene cobertura sobre todos los componentes de los sistemas de informacin de la organizacin.
Control interno Control:Cualquier actividad o accin realizada manual y/o automticamente, para prevenir, corregir errores irregularidades que puedan afectar el funcionamiento de un sistema. Los controles deben ser: Simples, fiables, completos, revisables, adecuados y rentables (analizar el costo-riesgo de su implantacin) Controles y su evolucin Controles Preventivos: Para tratar de evitar el hecho. Ejm. Software de Seguridad para evitar los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejm. Registro de intentos de acceso no autorizados. Controles Correctivos: Facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejm.: La recuperacin de un archivo daado a partir de su backup.
Mtodos de Control Objetivos de control Objetivos de Auditora ? A medida que los SI se volvieron ms complejos, los controles informticos evolucionaron hasta convertirse en procesos integrados en los que las diferencias de stas categorias se atenan. Cada mtodo ha tenido asociado un objetivo: Cual sera entonces el objetivo de control del mtodo mantener la sala de cmputo cerrada con llave? Relacin entre mtodo de control y objetivo de control Objetivo de control de mantenimiento (el mtodo se utiliza para satisfacer el objetivo de control): El rea IT asegura que las modificaciones de los procedimientos programados estn adecuadamente diseadas, probadas, aprobadas e implantadas Objetivo de control de seguridad de programas:(el mtodo se utiliza para satisfacer el objetivo de control): El rea IT garantiza que no se pueden efectuar cambios no autorizados en los procedimientos programados Anlisis de la Arquitectura Tecnolgica Para llegar a conocer bien la configuracin del sistema, con el objeto de identificar los elementos, productos y herramientas que existen es necesario documentar los detalles de la red, as como los distintos niveles de control (Si existen): Entorno de Red(software de red, control de red, esquema etc.) Configuracin del computador base(entorno del S.O, particiones, bibliotecas de programa, conjunto de datos etc) Entorno de aplicaciones:(procesos de transacciones, sistema de gestin de B.D.) Productos , Herramientas y Seguridad del computador Base OBJETIVO: Saber donde se puede implantar controles e identificar posibles riesgos Implantacin de Una Poltica y Cultura sobre la Seguridad Poltica de Seguridad Plan de Seguridad Medidas Tecnolgicas implantadas
FORMACION Y MENTALIZACION Normas y Procedimientos Direccin de Negocio Gerencia de Sistemas Gerencia de Sistemas Control interno Gerencia de Sistemas Auditor de Sistemas Auditor de Sistemas Auditor de Sistemas Tenga en cuenta que. Algunos controles en SGBD: Activity Log (Bitcora de actividad), Data-changes log (Bitcora de cambios de datos), User activity log: Bitcora de actividad de usuarios, Trazas de Auditora que son un seguimiento de la ejecucin de una determinada situacin estado de un objeto. (Pista).
Algunos controles en redes: inventario de todos los activos de la red, Control de acceso a la red, Establecimiento de perfiles de usuario, Monitorizacin para medir la eficiencia de la red, Revisar los contratos de mantenimiento, existencia de procedimientos de recuperacin y reinicio. Tenga en cuenta que. Algunos controles en Pc y Redes LAN: Proteccin contra incendios, inundaciones electricidad esttica, Contratos de mantenimiento (preventivo/ correctivo), Procedimientos de seguridad fsica y lgica, Identificacin de usuarios en cuanto a altas, bajas, modificaciones, cambios de password y explotacin del log del sistema, verificar la existencia de herramientas para la gestin de la red.