#informationtechnologyaudit | Explore Tumblr posts and blogs

informationtechnologyaudit · 4 years ago

Text

AUDITORIA INFORMÁTICA

FUNDAMENTACIÓN DE AUDITORÍA

La Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.

Permiten detectar de Forma Sistemática el uso de los recursos y los flujos de información dentro de una Organización y determinar qué Información es crítica para el cumplimiento de su Misión y Objetivos, identificando necesidades, falsedades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

HISTORIA

La auditoría nace como una necesidad de evaluar que los registros y resultados de operaciones de contabilidad fueran correctos, su principal objetivo era prevenir que no existieran fraudes o robos de bienes que eran encomendados a los administradores.

La actividad del auditor consistía en certificar que los resultados financieros emitidos por las empresas que solicitaban un préstamo al banco fuera veraces y confiables. Esta actividad se formalizó con el nacimiento de la contabilidad financiera a finales del siglo pasado.

De acuerdo a diferentes definiciones encontramos que en tiempos históricos las civilizaciones antiguas había una persona a quienes se les leían los ingresos y los gastos de un comercio o establecimiento, ya que audire significa oír, escuchar.

En el siglo XV en Europa especialmente en los países de España, Inglaterra, Francia y Holanda las familias acaudaladas de nobles y ricos solicitaban el servicio de revisores de cuentas para asegurar que los administradores de sus bienes no realizaran fraudes en los reportes que presentaba.

A mediados del siglo XIX en el Reino Unido se obligó a ejecutar auditorías a los resultados financieros y a los registros contables en las empresas públicas. Posteriormente las empresas en Estados Unidos también realizaron auditorias por disposición de la Comisión de Valores y Bolsa para las empresas que cotizaban en la bolsa.

Existe también el antecedente en la revolución industrial en donde se incrementaron las operaciones de fabricación y venta y con esto el registro de ellas, por lo que se hace indispensable la presencia de contadores para la emisión de resultados financieros. Esto llevó a la necesidad de un auditor que emitiera un dictamen para evaluar la confiabilidad del registro de operaciones y de los resultados financieros presentados.

Por muchos años el concepto que se asoció al trabajo del auditor era el de detectar lo que estaba mal para informar a quien correspondiera sobre dicho acontecimiento, así pasaron los años y la imagen de una persona chismosa, delatora, inspector ha sido uno de los inconvenientes con los cuales todo auditor debe luchar ya que se le asocia a alguien que busca las cosas malas. Sin embargo, es necesario aclarar que en la actualidad el auditor es quien se encarga de encontrar oportunidades de mejora y de hacer las recomendaciones correspondientes.

La auditoría nace como una rama dependiente del área financiera en las empresas y la ejercían solamente profesionales con especialidad en contabilidad dado que revisaban el registro de operaciones y los estados financieros emitidos por las empresas. Sin embargo, esta revisión se traslada a otras áreas de la empresa comenzando por las administrativas y después con el área de ingeniería. Esto trae como consecuencia que el profesional de auditoría no sea solamente especialista en el área contable y financiera y empiezan a ejercer dicho labor profesionistas con especialidades en otras áreas.

Al llegar el uso de sistemas en los diferentes procesos organizacionales y sobre todo en la parte financiera de registro de operaciones y emisión de estados financieros, se ve la necesidad de realizar auditorías incluyendo a las computadoras y a los programas computacionales responsable de las operaciones tanto financieras como de otras áreas de la empresa.

Aún y cuando existen diferentes tipos de auditorías en esencia todas ellas mantienen los mismos fundamentos. De la auditoría financiera surge la auditoria de operaciones y la auditoria administrativa. Se publican diferentes estudios e investigaciones que dan como resultado publicaciones en todo el mundo sobre la auditoria, especificando procedimientos y metodologías. Con esto se consolida el área de auditoría interna y externa para las empresas.

CARACTERÍSTICAS

La auditoría informática sirve para optimizar ciertas características en la compañía y habitualmente se puede amplificar en organización con distintas áreas, en rentabilidad, confianza, en prestar servicios de entrega y soporte.

Para que las organizaciones puedan garantizar que construyen proyectos de métodos de información que cubren de forma adecuada las exigencia del cliente, en carácter efectivo y oportuno, y en el margen del cálculo financiero aprobado, existe una asociación internac

ional cuyo nombre ISACA, la cual se encarga en optimizar la comprobación de la profesión de auditoría y control de las TI, mediante la preparación de estándares y prácticas, así como la adiestramiento y legalización de sus miembros a través de la fundación (Information Systems Audit and Control Association).

De igual forma, existe un patrón internacional acreditado como Control Objetives for Information and Related Technology (COBIT), que funciona como asesor para la buena experiencia de la auditoría de los sistemas de TI, presentado por la ISACA. Éste contempla los procesos típicos de la función de TI, divididos en cuatro partes:

Planificación y organización.

Adquisición e implementación.

Distribución y soportes.

Monitoreo.

ALCANCES

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes? La indefinición de los alcances de la auditoría compromete el éxito de la misma.

Control de integridad de registros:

Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.

Control de validación de errores:

Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

OBJETIVOS

Los objetivos de la auditoría Informática son:

El análisis de la eficiencia de los Sistemas Informáticos

La verificación del cumplimiento de la Normativa en este ámbito

La revisión de la eficaz gestión de los recursos informáticos.

DELITOS INFORMÁTICOS

Delito informático, delito cibernético o ciberdelito es toda aquella acción antijurídica que se realiza en el entorno digital, espacio digital o de Internet. Ante el extendido uso y utilización de las nuevas tecnologías en todas las esferas de la vida (economía, cultura, industria, ciencia, educación, información, comunicación, etc.) y el creciente número de usuarios, consecuencia de la globalización digital de la sociedad, la delincuencia también se ha expandido a esa dimensión. Gracias al anonimato y a la información personal que se guarda en el entorno digital, los delincuentes han ampliado su campo de acción y los delitos y amenazas a la seguridad se han incrementado exponencialmente.

Además de los ataques que tienen como objetivo destruir y dañar activos, sistemas de información y otros sistemas de computadoras, utilizando medios electrónicos y/o redes de Internet, se producen nuevos delitos contra la identidad, la propiedad y la seguridad de las personas, empresas e instituciones, muchos de ellos como consecuencia del valor que han adquirido los activos digitales para la big data empresarial y sus propietarios bien sean entes jurídicos o personas naturales. Existen también otras conductas criminales que, aunque no pueden considerarse como delito, se definen como ciberataques o abusos informáticos y forman parte de la criminalidad informática. La criminalidad informática consiste en la realización de un tipo de actividades que, reuniendo los requisitos que delimitan el concepto de delito, son llevados a cabo utilizando un elemento informático.

PLATAFORMA DE LOS SISTEMAS

SOFTWARE ISO

ISOTools ayuda a la realización y seguimiento de las auditorías en las organizaciones.

A través de la Plataforma Tecnológica ISOTools la gestión de las auditorías internas y externas de una organización se ve facilitada y agilizada.

ISOTools permite fijar el cronograma de las auditorías y planificar las acciones a desarrollar para cumplir con él, sean cuales sean las normas de referencia utilizadas. Esto ayuda a la integración de los diferentes sistemas de gestión que la organización tenga implementados.

Además, cualquiera de los hallazgos detectados durante la realización de las auditorías puede quedar registrado junto con el informe generado y se pueden planificar las acciones correctivas que deban aplicarse dando seguimiento y solución a las no conformidades abiertas.

Este planteamiento se basa en la lógica del ciclo PHVA (Planear – Hacer – Verificar – Actuar, de los Sistemas de Gestión ISO, con lo que ISOTools está diseñado para hacer más efectivo el manejo de la documentación, mejorar la comunicación y reducir tiempos y costos de estos sistemas, a la vez que la organización puede centrarse en recorrer paso a paso su camino hacia la excelencia.

AUDITORÍA INTERNA Y EXTERNA

AUDITORIA INTERNA: Es aquella que se hace desde dentro de la empresa; sin contratar a personas ajenas, en el cual los empleados realizan esta auditoría trabajan ya sea para la empresa que fueron contratados o simplemente algún afiliado a esta.

AUDITORIA EXTERNA: Como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoría en su empresa. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.

SÍNTOMAS DE NECESIDAD DE UNA AUDITORÍA

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

Síntomas de descoordinación y desorganización:

No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.

Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.

[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]

Síntomas de mala imagen e insatisfacción de los usuarios:

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en las terminales de usuario, resfrecamiento de paneles, variación de los archivos que deben ponerse diariamente a su disposición, etc.

No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

Síntomas de debilidades económico-financiero:

Incremento desmesurado de costos.

Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).

Desviaciones Presupuestarias significativas.

Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

Síntomas de Inseguridad: Evaluación de nivel de riesgos

Seguridad Lógica

Seguridad Física

Confidencialidad

[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]

Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.

Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

Planes de Contingencia:

Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.

CONTROL

Los mecanismos de control en el área de Informática son:

Directivos

Preventivos.

De detección

Correctivos o de recuperación ante una contingencia.

SEGURIDAD DE LOS SISTEMAS

Los sistemas informáticos que utilizan las empresas son cada vez más complejos, más ricos en funcionalidades y por tanto más difíciles de controlar. En ciertas situaciones puede resultar conveniente optar por realizar una Auditoría de Seguridad Informática de los mismos para conocer exactamente cuáles pueden ser los fallos de nuestro sistema y evitar consecuencias indeseables.

Una Auditoría de Seguridad Informática, por definición, es el estudio que comprende el análisis y gestión de los sistemas informáticos de una empresa, llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en el funcionamiento rutinario de los Servidores, Puestos de Trabajo, Seguridad en el Acceso Remoto y Redes del parque informático de dicha empresa.

Una vez obtenidos los resultados, se detallarán, archivaran y reportaran a los responsables, quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas, aprendiendo de los errores cometidos con anterioridad.

Las Auditorías de Seguridad de Sistemas Informáticos permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Meridian Informáticos pone al alcance de su empresa una Auditoría de Seguridad de Sistemas Informáticos consistente en analizar el nivel de seguridad de su sistema informático (Servidores, Puestos de Trabajo y Red), utilizando todo tipo de herramientas y técnicas para averiguar cuales son los problemas a los que su sistema se ha de enfrentar, presentarlos en un informe y proponer las medidas que sería necesario aplicar para solucionarlos.

VULNERABILIDAD DE LOS SISTEMAS

Vulnerabilidad: Debilidad de cualquier tipo que compromete la seguridad del sistema informático.

Las vulnerabilidades de los sistemas informáticos (SI) las podemos agrupar en función de:

Diseño

Debilidad en el diseño de protocolos utilizados en las redes.

Políticas de seguridad deficientes e inexistentes.

Implementación

Errores de programación.

Existencia de “puertas traseras” en los sistemas informáticos.

Descuido de los fabricantes.

Uso

Configuración inadecuada de los sistemas informáticos.

Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.

Disponibilidad de herramientas que facilitan los ataques.

Limitación gubernamental de tecnologías de seguridad.

Vulnerabilidad del día cero

Cuando no exista una solución “conocida” para una vulnerabilidad, pero si se conoce como explotarla, entonces se le conoce como “vulnerabilidad 0 days”.

Globalmente clasificamos las vulnerabilidades en:

Vulnerabilidades de desbordamiento de buffer.

Se produce cuando un programa no controla la cantidad de datos que se copian en buffer, de forma que si esa cantidad es superior a la capacidad del buffer los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original. Se puede aprovechar para ejecutar código que nos de privilegios de administrador.

Vulnerabilidades de condición de carrera (race condition).

La condición de carrera se da principalmente cuando varios procesos acceden al mismo tiempo a un recurso compartido, por ejemplo una variable, cambiando su estado y obteniendo de esta forma un valor no esperado de la misma.

Vulnerabilidades de error de formato de cadena (format string bugs).

La principal causa de los errores de cadena de formato es aceptar sin validar la entrada de datos proporcionada por el usuario.

Es un error de programación y el lenguaje más afectado es C/C++. Un ataque puede conducir de manera inmediata a la ejecución de código arbitrario y a revelación de información.

Vulnerabilidades de Cross Site Scripting (XSS).

Abarcaban cualquier ataque que permitiera ejecutar scripts como VBScript o JavaScript, en el contexto de otro sitio web. Estos errores se pueden encontrar en cualquier aplicación que tenga como objetivo final presentar la información en un navegador web.

Un uso de esta vulnerabilidad es hacer phishing. La víctima ve en la barra de direcciones un sitio, pero realmente está en otro. La víctima introduce su contraseña y se la envía al atacante.

Vulnerabilidades de Inyección SQL.

Una inyección SQL se produce cuando, de alguna manera, se inserta o "inyecta" código SQL invasor dentro del código SQL programado, a fin de alterar el funcionamiento normal del programa y lograr así que se ejecute la porción de código "invasor" incrustado, en la base de datos.

Vulnerabilidades de denegación del servicio.

La denegación de servicio provoca que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la víctima.

Vulnerabilidades de ventanas engañosas (Window Spoofing).

Las ventanas engañosas son aquellas que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que des información. Hay otro tipo de ventanas que, si las sigues, obtienen datos del ordenador para luego realizar un ataque.

RIESGOS EN AUDITORÍA

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la misma.

Si consideramos entonces, que la Auditoría es “un proceso sistemático, practicado por los auditores de conformidad con normas y procedimientos técnicos establecidos, consistente en obtener y evaluar objetivamente las evidencias sobre las afirmaciones contenidas en los actos jurídicos o eventos de carácter técnico, económico, administrativo y otros, con el fin de determinar el grado de correspondencia entre esas afirmaciones, las disposiciones legales vigentes y los criterios establecidos.” es aquella encargada de la valoración independiente de sus actividades. Por consiguiente, la Auditoría debe funcionar como una actividad concebida para agregar valor y mejorar las operaciones de una organización, así como contribuir al cumplimiento de sus objetivos y metas; aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y dirección.

Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias, efectuada por los auditores, para proporcionar una conclusión independiente que permita calificar el cumplimiento de las políticas, reglamentaciones, normas, disposiciones jurídicas u otros requerimientos legales; respecto a un sistema, proceso, subproceso, actividad, tarea u otro asunto de la organización a la cual pertenecen.

A diferencia de algunos autores, que definen la ejecución de las auditorías por etapas, somos del criterio que es una actividad dedicada a brindar servicios que agrega valores consecuentemente en dependencia de la eficiencia y eficacia en el desarrollo de diferentes tareas y actividades las cuales deberán cumplirse sistemáticamente en una cadena de valores que paulatinamente deberán tenerse en cuenta a través de subprocesos que identifiquen la continuidad lógica del proceso, para proporcionar finalmente la calidad del servicio esperado.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro de los subprocesos es la inadecuada previsión de riesgos, se hace necesario entonces estudiar los Riesgos que pudieran aparecen en cada subproceso de Auditoría, esto servirá de apoyo para prevenir una adecuada realización de los mismos.

Es necesario en este sentido tener en cuenta lo siguiente:

La evaluación de los riesgos inherentes a los diferentes subprocesos de la Auditoría.

La evaluación de las amenazas o causas de los riesgos.

Los controles utilizados para minimizar las amenazas o riesgos.

La evaluación de los elementos del análisis de riesgos.

Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los Sistemas de Control Interno, en los cuales se asumen tres tipos de Riesgo:

Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de las actividades de la empresa y puede generar deficiencias del Sistema de Control Interno.

Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su revisión no detecten deficiencias en el Sistema de Control Interno.

Riesgo Inherente: Son aquellos que se presentan inherentes a las características del Sistema de Control Interno.

Sin embargo, los Riesgos están presentes en cualquier sistema o proceso que se ejecute, ya sea en procesos de producción como de servicios, en operaciones financieras y de mercado, por tal razón podemos afirmar que la Auditoría no está exenta de este concepto.

En cada Subproceso, como suele llamársele igualmente a las etapas de la misma, el auditor tiene que realizar tareas o verificaciones, en las cuales se asumen riesgos de que esas no se realicen de la forma adecuada, claro que estos Riesgos no pueden definirse del mismo modo que los riesgos que se definen para el control Interno.

El criterio del auditor en relación con la extensión e intensidad de las pruebas, tanto de cumplimiento como sustantivas, se encuentra asociado al riesgo de que queden sin detectar errores o desviaciones de importancia, en la contabilidad de la empresa y no los llegue a detectar el auditor en sus pruebas de muestreo. El riesgo tiende a minimizarse cuando aumenta la efectividad de los procedimientos de auditoría aplicados.

El propósito de una auditoría a los Estados Financieros no es descubrir fraudes, sin embargo, siempre existe la posibilidad de obtener cifras erróneas como resultado de una acción de mala fe, ya que puede haber operaciones planeadas para ocultar algún hecho delictivo. Entre una gran diversidad de situaciones, es posible mencionar las siguientes:

Omisión deliberada de registros de transacciones.

Falsificación de registros y documentos.

Proporcionar al auditor información falsa.

A continuación, se exponen algunas situaciones que pueden indicar la existencia de errores o irregularidades.

Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la empresa; si la desconfianza solamente es con relación a la competencia y no con la honradez de los ejecutivos de la compañía, el auditor deberá tener presente que pudiera encontrarse con situaciones de riesgo por errores o irregularidades en la administración.

Cuando el auditor detecte que los puestos clave como cajero, contador, administrador o gerente, tienen un alto porcentaje de rotación, existe la posibilidad de que los procedimientos administrativos, incluidos los contables, presenten fallas que pueden dar lugar a errores o irregularidades.

El desorden del departamento de contabilidad de una entidad implica informes con retraso, registros de operaciones inadecuados, archivos incompletos, cuentas no conciliadas, entre otros. Esta situación como es fácil comprender, provoca errores, tal vez realizados de buena fe, o inclusive con actos fraudulentos. La gerencia tiene la obligación de establecer y mantener procedimientos administrativos que permitan un control adecuado de las operaciones.

Dentro de las auditorías se debe verificar la función de elaboración o proceso de datos, donde se deben chequear entre otros los siguientes aspectos:

Existencia de un método para cerciorarse que los datos recibidos para su valoración sean completos, exactos y autorizados.

Emplear procedimientos normalizados para todas las operaciones y examinarlos para asegurarse que tales procedimientos son acatados.

Existencia de un método para asegurar una pronta detección de errores y mal funcionamiento del Sistema de Cómputo.

Deben existir procedimientos normalizados para impedir o advertir errores accidentales, provocados por fallas de operadores o mal funcionamiento de máquinas y programas.

Sistemas de Control de Riesgos

La estructura de Control de Riesgos pudiéramos fundamentarla en dos pilares: los Sistemas Comunes de Gestión y los Servicios de Auditoría Interna, cuyas definiciones, objetivos, características y funciones se exponen a continuación.

IT Security

Firewall

Traffic Control

Protection

Proxy

Filter

TIPOS Y CLASES DE AUDITORÍA

El departamento de Informática posee una actividad proyectada al exterior, al usuario, aunque el "exterior" siga siendo la misma empresa. He aquí, la Auditoría Informática de Usuario. Se hace esta distinción para contraponerla a la informática interna, en donde se hace la informática cotidiana y real. En consecuencia, existe una Auditoría Informática de Actividades Internas.

El control del funcionamiento del departamento de informática con el exterior, con el usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz requiere el apoyo continuado de su Dirección frente al "exterior". Revisar estas interrelaciones constituye el objeto de la Auditoría Informática de Dirección. Estas tres auditorías, más la auditoría de Seguridad, son las cuatro Áreas Generales de la Auditoría Informática más importantes.

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Áreas Especificas de la Auditoría Informática más importantes.

Cada Área Especifica puede ser auditada desde los siguientes criterios generales:

Desde su propio funcionamiento interno.

Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta.

Desde la perspectiva de los usuarios, destinatarios reales de la informática.

Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada.

Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada.

DE DESARROLLO DE PROYECTOS O APLICACIONES

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizables tiene la empresa. Muy escuetamente, una Aplicación recorre las siguientes fases:

Prerrequisitos del Usuario (único o plural) y del entorno

Análisis funcional

Diseño

Análisis orgánico (Pre programación y Programación)

Pruebas

Entrega a Explotación y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo de los costes, podrá producirse la insatisfacción del usuario. Finalmente, la auditoría deberá comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros.

DE EXPLOTACIÓN

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. La explotación informática se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la Explotación Informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. La transformación se realiza por medio del Proceso informático, el cual está gobernado por programas. Obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario.

DE SISTEMAS

Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de Sistemas.

DE COMUNICACIÓN Y REDES

Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real. El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte. Como en otros casos, la auditoría de este sector requiere un equipo de especialis-tas, expertos simultáneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios).

El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas. La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organización.

DE SEGURIDAD INFORMÁTICA

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También puede ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.

La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.

Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, etc. La Aplicación lo puede graficar, tirar en números, puede hacer reportes, etc.

#informationtechnologyaudit

2 notes · View notes