auditoria de sistemas melissa garcia gonzalo mina a noralba ruiz 1

Auditoria de SistemasAuditoria de Sistemas

Melissa Garcia Melissa Garcia

Gonzalo Mina AGonzalo Mina A

Noralba RuizNoralba Ruiz

1

Introducción

La información que es tratada en una organización es un recurso critico que deberia ser protegido, ya que es la misma base de la mayoria de las decisiones que son adoptadas a lo largo del tiempo.

Para tener una seguridad razonable sobre si la información es exacta y completa, estar disponible cuando lo necesita y ser confidencial, la implementación de controles internos informaticos es necesario y ademas para cumplir con las exigencias legales en materias de derecho informatico.

Introducción Cabe aclarar que la Informática no gestiona propiamente

la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática.

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas.

El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc

Control Interno Para un mejor control de la auditoria informática no nos

podemos olvidar del control interno y la veracidad que este tiene que tener, como cuando el sistema esta en funcionamiento su evaluación y control se tienen que hacerse siempre

El control interno informàtico controla diariamente que todas las actividades de sistemas de informaciòn sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales

Clasificación de los Controles Internos

Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.

Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

Auditoria en sistemas Es el proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizados salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoria informatica sustenta y confirma la consecución de los objetivos tradicionales de la auditoria

El auditor es responsable de revisar e informar a la dirección de la organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.

Objetivos de Auditoria de Sistemas

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD(Departamento de Procesamiento de Datos).

Incrementar la satisfacción de los usuarios de los computarizados

Seguridad de personal, datos, hardware, software e instalaciones

Objetivos de Auditoria de Sistemas

Apoyo de función informatica a las metas y objetivos de la organización

Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático

Minimizar existencias de riesgo en el uso de Tecnológia de información

Decisiones de inversión y gasto innecesarios

Capacitación y educación sobre controles en los de Información

Auditoria de Sistemas A continuación se analizaran algunas normas y buenas

prácticas para TI desde la perspectiva de la auditoria de SI

A modo de ejemplo, entre muchos otros, la publicación por IBM, de su A Management System for the Information Business en 1981(GE20-0662-1 a 4) Que abarcaba en sus cuatro volumenes los siguientes temas:

Visión general de la dirección / gerencia

Misión de los servicios de los sistemas de información

Misión del derarrollo de sistemas de información

Dirección y Gestión de los recursos de sistemas de información

Auditoria de Sistemas

En la decada de 1970 se consolida la que hoy se llama Information System Audit And Control Association (ISACA), aún hoy la única entidad, a nivel mundial, de los auditores de SI, y que gestiona una certificación en esta materia : Certified Information Systems Auditor (CISA). Esta asociación, que esta presente en mas de 140 paises, a traves de mas de 170 capitulos en todo el mundo, establece normas y procedimientos para la función de la auditoria de SI y los profesionales que las realizan

El Cobit El COBIT es precisamente un modelo para auditar la

gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA.

El Cobit “La adecuada implementación de un modelo COBIT en una organización,

provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

El Cobit define un marco de referencia que clasifica los procesos de

las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales, a saber:

- Planificación y organización - Adquisición e implantación - Soporte y Servicios - Monitoreo

Sistema de Gestión de Control

Dirigir y hacer funcionar una organización satisfactoriamente requiere gestionar de una manera sistemática y visible.

Los dos sistemas de gestión del sector de las TIC que estan siendo mas implantados por las empresas ya sean grandes corporaciones o PYMES son los denominados SGSI y SGSTI.


SGSISGSI – Sistema de Gestión de la Seguridad de la Información –basado en la Norma UNE ISO / IEC 27001: 2007 (Motor -PDCA-) y en la Norma ISO/IEC 27002 (Conocimiento - Guía de buenas prácticas - Repositorio de Controles para la seguridad en TIC).

SGSTISGSTI – Sistemas de Gestión del La gran ventaja de estos sistemas Información- basado en la Norma UNE ISO/IEC 20000-1:2005 (Motor –PDCA) y en la Norma UNE ISO/IEC 20000 – 2 ( (Conocimiento – guia de buenas practicas – repositorio de controles para la

seguridad en TIC).


La principal ventaja que presentan estos sistemas de Gestión en las TIC la constituye su capacidad de integración con otros sistemas ya muy difundidos en las empresas, como son el sistema de Gestión de calidad (UNE ISO 9001) y el sistema medioambiental (UNE ISO 14000). Por este motivo, con su implantación se logra que las TIC queden integradas y alineadas con otros procesos de negocios.

La auditoria en SI se verá beneficiada con la implantación de estas normas en que tendran mejores evidencias y sustentación de los controles implantados en un entorno de TI.

seguridad y la auditoria seguridad y la auditoria en sistemas de en sistemas de

informacióninformación• Seguridad lógica y confidencialidad La computadora es un instrumento que estructura gran cantidad de

información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

La seguridad lógica, se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.


informacióninformación1. Seguridad lógica y confidencialidad En la actualidad y principalmente en las computadoras personales,

se ha dado otro factor que hay que considerar: el llamado “virus” de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización (”piratas”) y borra toda la información que se tiene en un disco.

Al auditar los sistemas, se debe tener cuidado que no se tengan copias “piratas” o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.


informacióninformación1. Seguridad lógica y confidencialidad Un método eficaz para proteger sistemas de computación es el

software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.

El sistema integral de seguridad debe comprender:•Elementos administrativos•Definición de una política de seguridad•Organización y división de responsabilidades•Seguridad física y contra catástrofes (incendio, terremoto, etc.)•Practicas de seguridad del personal•Pólizas de seguros•Planeación de programas de desastre y su prueba

21


informacióninformación1. Seguridad física

Se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan.

El objetivo es establecer políticas, procedimientos y prácticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, información debido a contingencias como incendio, inundación huelgas, disturbios, sabotaje, etc. y continuar en un medio de emergencia hasta que sea restaurado el servicio completo.

22


informacióninformación1. Seguridad físicaEntre las precauciones que se deben revisar están:

Los ductos del aire acondicionado deben estar limpios, ya que son unas de las principales causas de polvo y se habrá de contar con detectores de humo que indiquen la posible presencia de fuego.

En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y los equipos de teleproceso.


informacióninformación1. Seguridad físicaEntre las precauciones que se deben revisar están:

En cuanto a los extintores, se debe revisar el numero se éstos, su capacidad, fácil acceso, peso y tipo de producto que utilizan.

Se deben verificar que existan suficientes salidas de emergencia y que estén debidamente controladas para evitar robos por medio de estas salidas.

Los materiales más peligrosos son las cintas magnéticas que, al quemarse, producen gases tóxicos y el papel carbón que es altamente inflamable.


informacióninformaciónTécnicas de aseguramiento del sistema

Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.

Vigilancia de red.

Tecnologías repelentes o protectoras: Cortafuegos, sistema de detención de intrusos, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.


informacióninformaciónTécnicas de aseguramiento del sistema

Consideraciones de software Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). Consideraciones de una red Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.


informacióninformaciónFases de una auditoría Los servicios de auditoría constan de las siguientes fases:

Enumeración de redes, topologías y protocolos Identificación de sistemas y dispositivos Identificación de los sistemas operativos instalados Análisis de servicios y aplicaciones Detección, comprobación y evaluación de vulnerabilidades Medidas específicas de corrección Recomendaciones sobre implantación de medidas preventivas.


informacióninformaciónTipos de auditoríaLos servicios de auditoría pueden ser de distinta índole:

Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada.


informacióninformaciónTipos de auditoríaLos servicios de auditoría pueden ser de distinta índole:

Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperatividad del sistema, el análisis se denomina análisis postmortem. Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código SQL, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc. Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado

Estándares de Auditoría Estándares de Auditoría Informática y de Informática y de

Seguridad Seguridad Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas".

Estándares de Auditoría Estándares de Auditoría Informática y de Informática y de

Seguridad Seguridad Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001 analizado por maritee.

Metodologías de Metodologías de Auditoria Informática Auditoria Informática

La metodología usada por el auditor interno debe ser diseñada y desarrollada por el propio auditor.

Se basa en su grado de experiencia y habilidad.

Se deben crear las metodologías necesarias para auditar los distintos aspectos definidos en el plan auditor informático.


Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias: Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el número de incidencias tiende al infinito.


Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias: Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.


Ventajas: Enfoque lo amplio que se desee.Plan de trabajo flexible y reactivo.Se concentra en la identificación de eventos.

DesventajasDepende fuertemente de la habilidad y calidad del personal involucrado.Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular.Dependencia profesional.


Metodologías en Auditoría Informática Las metodologías de auditoría informática son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua. Solo existen dos tipos de metodologías para la auditoría informática:

Controles GeneralesMetodologías de los auditores internos


Metodologías en Auditoría Informática. Controles Generales.- Son el producto estándar de los auditores profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoría financiera, es resultado es escueto y forma parte del informe de auditoría, en donde se hacen notar las vulnerabilidades encontradas. Están desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan.


Metodologías en Auditoría Informática. Metodologías de los auditores internos.- Están formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. También se define el objetivo de la misma, que habrá que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genéricos, con una orientación de los controles a revisar. El auditor interno debe crear sus metodologías necesarias para auditar los distintos aspectos o áreas en el plan auditor.

El Departamento de Auditoria de los SI

La misión principal de la función de auditoria de los SI es proveer a los organos del gobierno y a los de gestión de una organización de una seguridad razonable que los sistemas de control interno de los recursos de información de dicha organización están bien definidos y efectivamente administrados, y que apoyan y ayudan a la creación de valor de la oranización.

El Departamento de Auditoria de los SI

Revisar la existencia y suficiencia de los controles de los recursos de informacion que soportan los procesos de negocio.

Validar que los recursos de informacion apoyan los objetivos de negocio y cumplen los requerimientos establecidos.

Analizar los nuevos riesgos derivados de las nuevas tecnologías y de los nuevos negocios.

Formar y divulgar respecto de los riesgos y amenazas que se derivan de una inadecuada utilización de los recursos de información.

Ubicación en la organización El auditor de SI debe revisar el control interno de los

recursos de información y esta afecta a toda la organización, debe por tanto ubicarse en un punto del organigrama de la organización que le dote de total independencia del resto de unidades, y ademas de suficiente autoridad para poder ejercer su labor.

Es por ello que la función de auditoria de SI no pueden de modo alguno estar incluida en el departamento de sistemas de informacion de una compañía. Dado que limitaria esta independencia, ya que el auditor tiene que estar evaluando procesos que estan bajo la responsabilidad del cargo al que a su vez también reportaria al departamento de auditori de SI.

En la actualidad existen normativas, tanto nacionales como internacionales, de gobierno corporativo, que establecen y/o recomiendan la posición y el rol que debe tener la función de la auditoria interna en una organizacón.

La función de la auditoria interna es un órgano dependiente del consejo de administración, a traves del comité de auditoria por delegación, tiene la responsabilidad de supervisar, controlar y designar al responsable de la función.

El personal de auditoria interna no asumira responsabilidades operativas, y actuará con independencia de criterio respecto a las otras unidades de la organización.

La función de la auditoria Interna tenga total acceso a los registros, archivos, documentos y fuentes de información de la organización necesarios para el adecuado ejercicio de su labor.

Recursos necesarios Recursos Humanos: Personal de la unidad para

desarrollar la misión definida al departamento.

Recursos tecnicos: Son los recursos necesarios para que el personal del departamento de auditoria de SI pueda desarrollar eficaz y eficientemente su labor.

Recursos económicos, los cuales deberan ser presentados y aprobados por el comité de auditoria

Estructura del departamento de auditoria de SI

Tamaño de la organización Dependencia de los negocios de la

organización de las TI Topologia de los sistemas de Información Ubicación geografica Dimensión del departamento Localización del departamento

Principales areas de la Principales areas de la auditoria informaticaauditoria informatica

Auditoria Informática de Explotación

La explotación informática se ocupa de producir resultados de todo tipo:

Listados impresos

•Ficheros soportados magnéticamente para otros informáticos

•Ordenes automatizadas para lanzar o modificar procesos industriales

Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones.

La Explotación Informática se divide en tres grandes áreas: Planificación, Producción y Soporte Técnico.

Control de entrada de datos:

Se analizará la captura de la información en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a Norma.

Batch y Tiempo Real: Las Aplicaciones que son Batch son Aplicaciones que cargan mucha información durante el día y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la información, calcular cosas y obtener como salida, por ejemplo, reportes. Es decir, recolecta información durante el día, pero todavía no procesa nada. Es solamente un tema de "Data Entry" que recolecta información, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al día siguiente.

Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la información correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas que tienen que responder en Tiempo Real.

Planificación y recepción de aplicaciones

Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor único. Deberán realizarse muestreos selectivos de la Documentación de las Aplicaciones explotadas.

Centro de Control y Seguimiento de Trabajos:

Se analizará cómo se prepara, se lanza y se sigue la producción diaria. Básicamente, la explotación Informática ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en tiempo real.).

Operación. Salas de Ordenadores:

Se intentarán analizar las relaciones personales y la coherencia de cargos y salarios, así como la equidad en la asignación de turnos de trabajo.

Se verificará la existencia de un responsable de Sala en cada turno de trabajo.

Se estudiarán los montajes diarios y por horas de cintas o cartuchos, así como los tiempos transcurridos entre la petición de montaje por parte del Sistema hasta el montaje real.

Se verificarán las líneas de papel impresas diarias y por horas, así como la manipulación de papel que comportan.

Centro de Control de Red y Centro de Diagnosis:

Sus funciones se refieren exclusivamente al ámbito de las Comunicaciones, estando muy relacionado con la organización de Software de Comunicaciones de Técnicas de Sistemas.

Se verificará la existencia de un punto focal único, desde el cual sean perceptibles todos las líneas asociadas al Sistema.

El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averías o incidencias, tanto de Software como de Hardware.

El Centro de Diagnosis está especialmente indicado para informáticos grandes y con usuarios dispersos en un amplio territorio.

Auditoría Informática de Desarrollo de Proyectos o Aplicaciones:

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizables tiene la empresa. Una aplicación recorre las siguientes fases:

Pre-requisitos del Usuario (único o plural) y del entorno Análisis funcional Diseño Análisis orgánico (Preprogramacion y Programación) Pruebas Entrega a Explotación y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo de los costes, podrá producirse la insatisfacción del usuario.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo de los costes, podrá producirse la insatisfacción del usuario.

La auditoría deberá comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros.

Una auditoría de Aplicaciones pasa indefectiblemente por la observación y el análisis de tres consideraciones:

Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.

Control Interno de las Aplicaciones: se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de Desarrollo:

Estudio de Vialidad de la Aplicación. Importante para Aplicaciones largas, complejas y caras.

Definición Lógica de la Aplicación. Se analizará que se han observado los postulados lógicos de actuación, en función de la metodología elegida y la finalidad que persigue el proyecto.

Desarrollo Técnico de la Aplicación. Se verificará que éste es ordenado y correcto. Las herramientas técnicas utilizadas en los diversos programas deberán ser compatibles.

Diseño de Programas. Deberán poseer la máxima sencillez, modularidad y economía de recursos.

Métodos de Pruebas. Se realizarán de acuerdo a las Normas de la Instalación. Se utilizarán juegos de ensayo de datos, sin que sea permisible el uso de datos reales.

Documentación. cumplirá la Normativa establecida en la Instalación, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotación.

Equipo de Programación. Deben fijarse las tareas de análisis puro, de programación y las intermedias. En Aplicaciones complejas se producirían variaciones en la composición del grupo, pero estos deberán estar previstos.

Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó. La conformidad del usuario proporciona grandes ventajas posteriores, ya que evitará reprogramaciones y disminuirá el mantenimiento de la Aplicación.

Auditoría Informática de Sistemas:

Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas.

Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de Sistemas.

Sistemas Operativos:

Engloba los Subsistemas de Teleproceso, Entrada/Salída, etc. Debe verificarse en primer lugar que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Básico adquiridos por la instalación y determinadas versiones de aquellas.

Deben revisarse los parámetros variables de las Librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor.

Tunning:

Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto.

Se pueden realizar:

Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema.

De modo sistemático y periódico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y están planificados y organizados de antemano.

Optimización de los Sistemas y Subsistemas:

Técnica de Sistemas debe realizar acciones permanentes de optimización como consecuencia de la realización de tunnings pre-programados o específicos.

El auditor verificará que las acciones de optimización fueron efectivas y no comprometieron la Operatividad de los Sistemas.

Optimización:

Por ejemplo: cuando se instala una Aplicación, normalmente está vacía, no tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicación se va poniendo cada vez más lenta;

Porque la información que está moviendo es cada vez mayor, entonces la Aplicación se tiende a poner lenta.

Lo que se tiene que hacer es un análisis, para luego optimizarla, mejorar el rendimiento de dicha Aplicación.

Investigación y Desarrollo:

La auditoría informática deberá cuidar de que la actividad de Investigación y Desarrollo no interfiera ni dificulte las tareas fundamentales internas.

Auditoría Informática de Comunicaciones y Redes:

Para el informático y para el auditor informático, la estructura conceptual que constituyen las Redes Nodales, conmutadores, Concentradores, enrutadores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real.

La auditoría de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales.

El auditor de Comunicaciones deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la des actualización de esta documentación significaría una grave debilidad.

Auditoría de la Seguridad informática:

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta.

También puede ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco.

Al auditar los sistemas se debe tener cuidado que al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus.

La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica.

La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

La seguridad informática se la puede dividir como Área General y como Área Especifica Así, se podrán efectuar auditorías de la Seguridad Global de una Instalación Informática Seguridad General y auditorías de la Seguridad de un área informática determinada Seguridad Especifica .

Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.

Empresas de Auditoria en sistemas

Andersen Ernst & Young KPMG PriceWaterHouseCoopers Deloitte & Touche

Auditoria de Auditoria de SistemasSistemas

IntegrantesIntegrantes

Melissa GarciaMelissa Garcia

Gonzalo MinaGonzalo Mina

Noralba RuizNoralba Ruiz

Gracias a Todos por su Gracias a Todos por su AtenciónAtención

62

auditoria de sistemas melissa garcia gonzalo mina a noralba ruiz 1

Documents