ASPECTOS GENERALES DE LA AUDITORIA DE SISTEMAS Y ESTÁNDARES
Tema I.- ASPECTOS GENERALES DE LA AUDITORIA DE SISTEMAS
Auditoria, en su acepción mas amplia significa verificar la información financiera, operacional y administrativa que se presenta es confiable, veras y oportuna. Es revisar que los hechos, fenómenos y operaciones se den en la forma como fueron planeados; que las políticas y lineamientos establecidos han sido observados y respetados
Objetivos generales de una Auditoria de Sistema
- Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
- Incrementar la satisfacción de los usuarios de los sistemas computarizados
- Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
- Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
- Seguridad de personal, datos, hardware, software e instalaciones
- Apoyo de función informática a las metas y objetivos de la organización
- Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
- Minimizar existencias de riesgos en el uso de Tecnología de información
- Decisiones de inversión y gastos innecesarios
- Capacitación y educación sobre controles en los Sistemas de Información
Características de la Auditoria de Sistemas
La auditoria de los Sistemas de Información organizacionales es muy importante, des afortunadamente muchas de las empresas visualizan este proceso como un requisito obligatorio que les hace perder tiempo y dinero, cuando la realidad es que este proceso ayuda a las organizaciones a mantenerse en el camino hacia sus objetivos. La información que un sistema brinda es un recurso clave en la empresa para planear el futuro, controlar el presente y evaluar el pasado.
La auditoria de los Sistemas de Información puede realizarse por una persona externa a la empresa o por algún empleado interno, siempre y cuando cumpla con ser objetivo.
Es importante que al terminar la auditoria, los resultados obtenidos tengan un seguimiento, ya que si no se busca solucionar los problemas no se cumpliría con el objetivo de realizarla.
Justificativos para efectuar una Auditoria de Sistema
- Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)
- Desconocimiento en el nivel directivo de la situación informática de la empresa
- Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
- Descubrimiento de fraudes efectuados con el computador
- Falta de una planificación informática
- Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano
- Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
- Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción
Análisis Critico
Esto busca realmente obtener resultados satisfactorios, ya que realmente el trabajo es solucionar los inconvenientes que se presentan o se puedan presentar a futuro. Para concluir, cada organización requiera brindar un mejor servicio para su futuro, satisfacer a cada usuario de acuerdo a los estudios realizados a dichos datos.
Autora: Gabriela Chirino
Tipos de Auditoria informática
Dentro de la auditoria informática destacan los siguientes tipos (entre otros):
- Auditoria de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.
- Auditoria legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
- Auditoria de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujo-gramas.
- Auditoria de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
- Auditoria de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
- Auditoria de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
- Auditoria de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
- Auditoria de las comunicaciones: Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
- Auditoria de la seguridad en producción: Frente a errores, accidentes y fraudes.
Existen muchos tipos de auditoría que nos ayudan en muchas cosas, pero entre las que mas destacan son la auditoría legal de reglamento de protección de datos, auditoría de seguridad, en producción u auditoría de los saldos que en resumen son aquellas que nos ayudan en la clasificación de datos, en los controles de acceso, asegurando la integridad y confodencialidas , donde son regidas por nas medidas de seguridad exigidas por el reglamento de desarrollo de la ley orgánica de protección de datos.
Autora: Naurys Toro
Definición de Políticas de Seguridad Informática
Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.
Estándares de Auditoria Informática y de Seguridad
Una auditoria se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para auditorias de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoria apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoria y sistemas de gestión de seguridad, como lo es el estándar ISO27001.
Análisis Critico
Toda auditoría se debe regir por medio de un estándar, por medio de unos lineamientos. Donde los auditores puedan obtener la información correcta para definir cualquier proceso y sustentar cada trabajo realizado.
Autora: Gabriela Chirino
Análisis Critico
Toda auditoría se debe regir por medio de un estándar, por medio de unos lineamientos. Donde los auditores puedan obtener la información correcta para definir cualquier proceso y sustentar cada trabajo realizado.
Autora: Gabriela Chirino
Procedimientos.
Al conjunto de técnicas de investigación aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinión del auditor dentro de una auditoria, se les dan el nombre de procedimientos de auditoria en informática.
La combinación de dos o más procedimientos, derivan en programas de auditoria, y al conjunto de programas de auditoria se le denomina plan de auditoria, el cual servirá al auditor para llevar una estrategia y organización de la propia auditoria.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinión en una sola prueba, es necesario examinar los hechos, mediante varias técnicas de aplicación simultánea.
En General los procedimientos de auditoria permiten:
- Obtener conocimientos del control interno.
- Analizar loas características del control interno.
- Verificar los resultados de control interno.
- Fundamentar conclusiones de la auditoria.
Por esta razón el auditor deberá aplicar su experiencia y decidir cuál técnica o procedimiento de auditoria serán los mas indicados par obtener su opinión.
Análisis Crítico Políticas, estándares y procedimientos
La gestión de la seguridad es un proceso necesario dentro de las organizaciones que deben proteger su información y otros activos, y requiere de distintos elementos que permitan establecer un marco para las actividades e iniciativas orientadas a mantener su confidencialidad, integridad y disponibilidad. En este contexto, las políticas de seguridad cumplen un papel preponderante ya que son los documentos que respaldan los compromisos adquiridos, prácticas a ejercer, o bien las normas que determinan la conducta y comportamiento de los miembros de las organizaciones con relación al manejo y cuidado de los datos.
Autor: Kevin Montana
Estándares De Auditoria De Sistemas
Definen requisitos obligatorios para la auditoria y el reporte de SI. informan a:
- Los auditores de SI respecto al nivel máximo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el código de ética profesional de ISACA
- La dirección y otras partes interesadas en las expectativas de la profesión con respecto al trabajo de sus profesionales
Normas Generales De La Auditoria De Sistemas
La Asociación de Auditoria y Control de Sistemas de Información ha determinado que la naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren el desarrollo y la promulgación de Normas Generales para la Auditoria de los Sistemas de Información. La auditoria de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Análisis crítico
El control de sistemas de información determina en conjunto a la asociación de auditoría que los sistemas de información deben ser manejadas por auditores con habilidades necesarias para llevar a cabo el trabajo, entre esto deben tener en cuenta el desarrollo de las normas generales para la auditoría en sistemas. Tomando en cuenta todos los aspectos de los sistemas de procesamiento de información y sus interfaces.
Autora: Naurys Toro
Análisis crítico
El control de sistemas de información determina en conjunto a la asociación de auditoría que los sistemas de información deben ser manejadas por auditores con habilidades necesarias para llevar a cabo el trabajo, entre esto deben tener en cuenta el desarrollo de las normas generales para la auditoría en sistemas. Tomando en cuenta todos los aspectos de los sistemas de procesamiento de información y sus interfaces.
Autora: Naurys Toro
ORGANISMOS Y ESTÁNDARES INTERNACIONALES DE LA AUDITORIA DE SISTEMAS
Los organismos internacionales que se ocupan del control y de la auditoria de SI son fuente de fuente de estándares: La regulación de las mejores prácticas de Auditoria en informática como administrar los riesgos en tecnología Informática, la auditoria en base a los organismos nacionales e internacionales.
- Institute of System and Association, ISACA.
- Certified Information Security Auditor, CISA.
- CertifiedInformation Security Manager, CISM
Análisis crítico Organismos y Estándares Internacionales de la Auditoria de Sistemas
Hoy en día los sistemas de cómputo se encuentran expuestos a distintas amenazas,las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen más complejos, el número de ataques también aumenta, por lo anterior las organizaciones deben reconocer la importancia y utilidad de la información contenida de los sistemas así como como mostrar algunas herramientas que ayuden a automatizar el proceso de análisis de las mismas, la importancia es la de recuperar información ante incidentes de seguridad, detección de comportamiento inusual, información para resolver problemas, evidencia legal, es de gran ayuda.
Autor: Kevin Montana
¿Qué es una auditoria de sistemas?
La auditoria de sistemas supone la revisión y evaluación de los controles y sistemas de informática, así como su utilización, eficiencia y seguridad en la empresa, la cual procesa la información. Gracias a la auditoria de sistemas como alternativa de control, seguimiento y revisión, el proceso informático y las tecnologías se emplean de manera más eficiente y segura, garantizando una adecuada toma de decisiones.
Análisis Critico
Una auditoria es realizar mediante pasos y lineamientos la evaluación de algun control interno que lleva una empresa. El mismo presume tambien encausar garantizado optimizar el proceso minimizando riesgos en cada proceso evaluado.
Autora: Gabriela Chirino
Análisis Critico
Una auditoria es realizar mediante pasos y lineamientos la evaluación de algun control interno que lleva una empresa. El mismo presume tambien encausar garantizado optimizar el proceso minimizando riesgos en cada proceso evaluado.
Autora: Gabriela Chirino
Auditoria interna y nuevas tecnologías
Globalización, Internet, nuevos mercados... La creciente complejidad de los entornos en los que se mueven las empresas y especialmente la creciente importancia que han adquirido los Sistemas de Información, hace necesario que los departamentos de auditoria Interna realicen un esfuerzo por anticiparse a los nuevos riesgos antes de que sea demasiado tarde. Para esta tarea es fundamental una perfecta coordinación con los Departamentos responsable de los sistema de información que no siempre existe. El desarrollo de aplicaciones informáticas adaptadas a las necesidades de auditoria es un instrumento básico para cualquier departamento de Auditoria Interna que no quiera perder el tren de los avances tecnológicos.
Crisis de la auditoria en el mundo
La auditoria como requerimiento que brinda confianza a la sociedad, se debe contextualizar en los movimientos actuales de internacionalización y globalización, no sólo de la economía sino también de la cultura. Las organizaciones dejan de estar insertas en el conjunto local, regional, nacional e internacional para empezar a ser parte del patrimonio global. Es deber de la auditoria colocar el tono de actualización y optimización en las organizaciones preparándolas para los desafíos de esta era, en donde el know how es el activo más valioso.
Análisis crítico Crisis de la auditoria en el mundo
La auditoría ha sido tomada y apropiada por diferentes profesiones, técnicas y científicas ampliando su campo de acción, se puede considerar que cualquier asunto de interés es posible de auditar, razón por la que existe un sinnúmero de diferentes auditorias y de distintos profesionales que la realizan. Dicho concepto debe provenir de la esencia misma que evalúa con pleno conocimiento de causa un objeto de estudio o situación auditada, mediante la realización de una investigación profunda, ejecutada con excelencia y calidad con fines de mejoramiento continuo.
Autor: Kevin Montana
Análisis crítico Crisis de la auditoria en el mundo
La auditoría ha sido tomada y apropiada por diferentes profesiones, técnicas y científicas ampliando su campo de acción, se puede considerar que cualquier asunto de interés es posible de auditar, razón por la que existe un sinnúmero de diferentes auditorias y de distintos profesionales que la realizan. Dicho concepto debe provenir de la esencia misma que evalúa con pleno conocimiento de causa un objeto de estudio o situación auditada, mediante la realización de una investigación profunda, ejecutada con excelencia y calidad con fines de mejoramiento continuo.
Autor: Kevin Montana
AMENAZAS SOBRE LOS ACTIVOS INFORMÁTICOS
Delitos informáticos
Es toda aquella acción antijuridica que se realiza en el entorno digital, espacio digital o de internet. Ante el extendido uso y utilización de las nuevas tecnologías en todas las esferas de la vida (economía, cultura, industria, ciencia, educación, información, comunicación, etc) y el creciente número de usuarios, consecuencia de la globalización digital de la sociedad, la delincuencia también se ha expandido a esa dimensión. Gracias al anonimato y a la información personal que se guarda en el entorno digital, los delincuentes han ampliado su campo de acción y los delitos y amenazas a la seguridad se han incrementado exponencial mente.
Análisis Critico
Como la tecnología avanza de manera rápida, también existen los delitos para cada avance. Estos por lo general hacen uso para beneficio de amenazar a las empresas o hacer que sus delitos se expandan a nivel internacional.
Autora: Gabriela Chirino
Análisis Critico
Como la tecnología avanza de manera rápida, también existen los delitos para cada avance. Estos por lo general hacen uso para beneficio de amenazar a las empresas o hacer que sus delitos se expandan a nivel internacional.
Autora: Gabriela Chirino
Riesgos y fraudes informáticos
Los riesgos informáticos son exposiciones tales como atentados y amenazas a los sistemas de información. Así mismo, El delito informático es "la realización de una acción que, reuniendo las características que delimitan el concepto de delito, se ha llevado a cabo utilizando un elemento informático o telemático contra los derechos y libertades de los ciudadanos.
Análisis critico
De acuerdo a cierras características podemos determinar si nuestro sistema de información han estado o están expuestos a atentados y amenazas que puedan poner en riesgo la integridad y con fiabilidad de los datos de nuestro sistema, tomando en cuenta que nuestros usuarios también pueden verse implicados en este delito, se debe tener en cuenta que un riesgo y fraude informático puede ocurrir en cualquier o momento.
Autora: Naurys Toro
Análisis critico
De acuerdo a cierras características podemos determinar si nuestro sistema de información han estado o están expuestos a atentados y amenazas que puedan poner en riesgo la integridad y con fiabilidad de los datos de nuestro sistema, tomando en cuenta que nuestros usuarios también pueden verse implicados en este delito, se debe tener en cuenta que un riesgo y fraude informático puede ocurrir en cualquier o momento.
Autora: Naurys Toro
Ley Contra Delitos Informáticos
artículo 1. Objeto de la Ley.
La presente Ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualesquiera
de sus componentes, o de los delitos cometidos mediante el uso de dichas tecnologías, en los términos previstos en esta Ley.
Artículo 2. Definiciones.
A efectos de la presente Ley, y cumpliendo con lo previsto en el artículo 9 de la Constitución de la República Bolivariana deVenezuela, se entiende por:
a)Tecnología de Información: rama de la tecnología que se dedica al estudio, aplicación y procesamiento de datos, lo cual involucra la
obtención, creación, almacenamiento, administración, modificación,
manejo, movimiento, control, visualización, transmisión o recepción de información en forma automática, así como el desarrollo y uso del “hardware”, “firmware”, “software”, cualesquiera de sus componentes y
todos los procedimientos asociados con el procesamiento de datos.
b)Sistema: cualquier arreglo organizado de recursos y procedimientos
diseñados para el uso de tecnologías de información, unidos y regulados
por interacción o interdependencia para cumplir una serie de funciones específicas, así como la combinación de dos o más componentes interrelacionados, organizados en un paquete funcional, de manera que estén en capacidad de realizar una función operacional o satisfacer un requerimiento dentro de unas especificaciones previstas.
c)Hardware: equipos o dispositivos físicos considerados en forma
independiente de su capacidad o función, que conforman un computador
o sus componentes periféricos, de manera que pueden incluir
herramientas, implementos, instrumentos, conexiones, ensamblajes, componentes y partes.
d)Firmware: programa o segmento de programa incorporado de manera
permanente en algún componente del hardware.
e)Procesamiento de datos o de información: realización sistemática de
operaciones sobre data o sobre información, tales como manejo, fusión,
organización o cómputo.
f)Seguridad: condición que resulta del establecimiento y mantenimiento de medidas de protección, que garanticen un estado de inviolabilidad de influencias o de actos hostiles específicos que puedan propiciar el acceso a la data de personas no autorizadas, o que afecten la operatividad de las funciones de un sistema de computación.
g)Virus: programa o segmento de programa indeseado que se desarrolla
incontrolada mente y que genera efectos destructivos o perturbadores en un programa o componente del sistema.
Análisis crítico Ley Contra Delitos Informáticos
De esta manera el legislador define cada una de las conductas anti jurídicas en dicha materia, esta serie de acontecimientos sociales trae como consecuencia la creación de distintos organismos que regulan todas y cada una de las conductas,entre las cuales se pueden mencionar la División Contra Delitos Informáticos del Cuerpo de Investigaciones Científicas Penales y Criminalísticas (CICPC), el cual se encarga de la investigación y prevención de los delitos informáticos, al igual que el Ministerio Público
Autor: Kevin Montana
Posición de la Auditoria ante Los Delitos Informáticos.
El auditor informático es el encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada". Bill Gates.
Destacar la importancia que tiene el saber presentar profesionalmente los informes de auditoría computacionales. El auditor tiene que ser muy cuidadoso al plasmar en libro, documento o escrito porque es como dar un sello personal. Procedimientos para elaborar el informe. En el informe de auditoria, también llamado dictamen, se reportan las situaciones encontradas durante la evaluación, pero se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados.
Análisis Crítico Tema I
Análisis Critico
Realmente el trabajo de cada auditor antes estas situaciones, es evitar que haya plagio a cualquier información, ser muy cuidadoso al realizar cualquier trabajo, cualquier falla encontrada debe ser incluida bajo el resumen realizado.
Autora: Gabriela Chirino
Análisis Critico Tema I
En términos generales la auditoria de sistemas nos permite garantizar la integridad, seguridad y fiabilidad no solo de los datos sino también de nuestro código, generando confianza y satisfacción sobre nuestro trabajo a los clientes. Este proceso debería ser obligatorio en toda empresa que desarrolle software, ya que esto permitirá que la institución este bien encaminada durante mucho tiempo. Partiendo de esto se deben seguir los estándares que que nos ayudan a garantizar la seguridad de los sistemas como lo son ISO 27001 e ISO 27002. Concluyendo en que existen los organismos que rigen el control y administran cualquier limitación que pueda existir dentro de la auditoria a realizarse.
Autora: Naurys Toro
Tomar en cuenta que la función del control interno ("auditoria") es aplicable a todas las áreas de operación de los negocios, es decir, las actividades de producción, distribución, financiación, administración, entre otras,de esta manera su efectividad depende que la administración de la empresa, obtenga la información necesaria para seleccionar de las alternativas ofrecidas, las que mejor convengan a los intereses de la empresa es por ello que existen situaciones en que las empresas necesitan el análisis y un protocolo donde un sistema de control interno lleve acabo un apoyo a la mejora en al eficiencia de sus procesos de gestión y administración y consecuentemente en la toma de sus decisiones en el ámbito, tomando en consideración, podemos concluir que la auditoria es dinámica, la cual debe aplicarse formalmente toda empresa, independientemente de su magnitud y objetivos.
Autor: Kevin Montana
Análisis Crítico Tema I
Análisis Crítico Tema I
Los auditores gestionan y analizan el
funcionamiento de algún proceso de una empresa en general, para que así, las
mismas tengan de manera sostenible su plataforma en el caso de Informática. El
mundo tecnológico cambia y existen novedades a diario, el cual requiere de una supervisión,
verificando que cumplan las normas de acuerdo a la ISO (27001-27002), que permiten asegurar o afianzar de manera eficaz los software, garantizando la continuidad y el mantenimiento de cada proceso de la seguridad. Adicional, esto permite ofrecer un enfoque diferente sobre cada política y una buena seguridad de la información que es lo primordial que se requiere.
Autor: Gabriela Chirino
