INTRODUCCIÓN Y CONCEPTOS BÁSICOS DE LA AUDITORÍA DE SISTEMAS

Ing. J. Darwin Zubieta R.

Ing. J. Darwin Zubieta R. 2

Los continuos cambios tecnológicos, el incremento de la demanda de las áreas de negocio por servicios de TI y la constante apertura de las empresas para el desarrollo de nuevas formas de negocio se traducen en mayores riesgos tecnológicos para muchas organizaciones. Es por ello, que las funciones de Auditoría y Cumplimiento de TI deben estar enfocadas en tomar acciones y monitorear dichos riesgos.

AUDITORÍA DE SISTEMAS(Contexto)

Ing. J. Darwin Zubieta R. 3

Etimológicamente proviene del latín auditorius, proviniendo de aquí la palabra auditor, que significa o se refiere a aquel que tiene la virtud de oír.

No es solo una actividad mecánica. También es una actividad donde el auditor

realizará un análisis crítico cuya finalidad es mejorar la eficiencia y eficacia de la entidad o sección que se está evaluando.

Auditoría

Ing. J. Darwin Zubieta R. 4

Auditoría – Definición (1)

“Examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado.”

Ing. J. Darwin Zubieta R. 5

Auditoría Interna: es realizada con recursos humanos y materiales propios de la empresa. La Auditoría es una actividad que existe por decisión propia de la empresa, es decir, que la empresa puede decidir en el momento en que ésta labor puede ser disuelta.

Auditoría – TIPOS

Ing. J. Darwin Zubieta R. 6

Auditoría Externa: el personal que deberealizarla es un personal que no debe guardar afinidad a la empresa que es auditada, este tipo de Auditoría tiene más consideración debido a que tiene una mayor objetividad por existir un mayor distanciamiento entre el personal auditor y el personal auditado.

Auditoría – TIPOS

Ing. J. Darwin Zubieta R. 7

“Un proceso formal ejecutado por especialistas del área de auditoría y de informática; se orienta a la verificación y aseguramiento para que las políticas y procedimientos en la organización se realicen de una manera oportuna y eficiente”

¿Qué es la Auditoría Informática? (1)

http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

Ing. J. Darwin Zubieta R. 8

“Actividades ejecutadas por profesionales del área de informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, alta dirección, etc.) ”

¿Qué es la Auditoría Informática? (2)

Ing. J. Darwin Zubieta R. 9

“Conjunto de acciones que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que los recursos de informática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección la certeza de que la información se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etc.”

¿Qué es la Auditoría Informática? (3)

Ing. J. Darwin Zubieta R. 10

Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

Tipos de Auditoria de Sistemas

Ing. J. Darwin Zubieta R. 11

1.Descoordinación y DesorganizaciónNo coinciden los objetivos de la informática de la empresa y la propia empresa.Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.

¿Porque la necesidad de una Auditoría de Sistemas?

Ing. J. Darwin Zubieta R. 12

2. Mala imagen e insatisfacción de los usuarios.No se atienden las peticiones de cambios de los usuarios (ej. Software).No se reparan las averías de hardware ni se resuelven problemas en plazos razonables.

¿Porque la necesidad de una Auditoría de Sistemas?

Ing. J. Darwin Zubieta R. 13

3. Síntomas de debilidades económico-financieroIncremento desmesurado de costosNecesidad de justificación de inversiones informáticas.Desviaciones presupuestarias significativas.

¿Porque la necesidad de una Auditoría de Sistemas?

Ing. J. Darwin Zubieta R. 14

4. Síntomas de inseguridad – Evaluación del nivel de riesgos

Seguridad lógicaSeguridad físicaConfidencialidad

¿Porque la necesidad de una Auditoría de Sistemas?

Ing. J. Darwin Zubieta R. 15

1. Prestar colaboración a la Auditoría de cuentas.

2. Auditoría de los propios sistemas informáticos.

3. Prevención de fraude y obtención de la prueba.

4. La Operatividad.

Objetivos de la Auditoría Informática

Ing. J. Darwin Zubieta R. 16

Prestar colaboración a la Auditoría de

cuentas:

Se hace difícil un buen control de la actividad

económico-financiera de las instituciones

debido al alto grado de informatización de

las mismas, por lo que se necesita de la

Auditoría Informática para llevar a cabo el

propósito.

Objetivo (1)

Ing. J. Darwin Zubieta R. 17

Auditoría de los propios sistemas

informáticos:

En este punto, se debe resaltar no sólo el

aspecto del control informático en sí, sino

también el desarrollo de la seguridad,

economía, adecuación de la infraestructura

informática de la empresa, entre otros.

Objetivo (2)

Ing. J. Darwin Zubieta R. 18

Prevención de fraude y obtención de la

prueba:

De esta manera, se persigue el fraude y se

puede obtener la prueba del mismo, trayendo

como consecuencia que la información que

se aprecie no haya sido manipulada de mala

fe.

Objetivo (3)

Ing. J. Darwin Zubieta R. 19

La Operatividad:

La auditoria debe iniciar su actividad cuando los sistemas están

operativos. Este objetivo debe conseguirse tanto a nivel global como

parcial.

“La operatividad de los sistemas ha de constituir la principal

preocupación del auditor informático. Para conseguirla hay que

acudir a la realización de Controles Técnicos Generales de

Operatividad y Controles Técnicos Específicos de

Operatividad”

Objetivo (4)