Caractersticas de la Auditora Informtica

La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditora de Inversin Informtica.Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas.Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditora de Organizacin Informtica.Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una auditora parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.Sntomas de Necesidad de una Auditora Informtica:Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases: Sntomas de descoordinacin y desorganizacin: - No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa.Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna Norma importante] Sntomas de mala imagen e insatisfaccin de los usuarios: - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc.- No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente. - No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles. Sntomas de debilidades econmico-financiero: - Incremento desmesurado de costes.- Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones).- Desviaciones Presupuestarias significativas. - Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin). Sntomas de Inseguridad: Evaluacin de nivel de riesgos - Seguridad Lgica- Seguridad Fsica - Confidencialidad[Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.

- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio. Planes de Contingencia: Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea telfono Telecom, a las oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y despus se van reciclando.

Caractersticas de l a Auditora Informtica: La informacin de la empresa y para la empresa, siempre importante, se haconvertido en un Activo Real de la misma, como sus Stocks o materias primas silas hay. Por ende, han de realizarse inversiones informticas, materia de la que seocupa la Auditora de Inversin Informtica.Del mismo modo, los Sistemas Informticos han de protegerse de modo global yparticular: a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas.Cuando se producen cambios estructurales en la Informtica, se reorganiza dealguna forma su funcin: se est en el campo de la Auditora de OrganizacinInformtica.Estos tres tipos de auditoras engloban a las actividades auditoras que se realizanen una auditora parcial. De otra manera: cuando se realiza una auditoria del reade Desarrollo de Proyectos de la Informtica de una empresa, es porque en eseDesarrollo existen, adems de ineficiencias, debilidades de organizacin, o deinversiones, o de seguridad, o alguna mezcla de ellas.Sntomas de Necesidad de una Auditora Informtica:Las empresas acuden a las auditoras externas cuando existen sntomas bienperceptibles de debilidad. Estos sntomas pueden agruparse en clases: y Sntomas de descoordinacin y desorganizacin:- No coinciden los objetivos de la Informtica de la Compaa y de la propiaCompaa.- Los estndares de productividad se desvan sensiblemente de los promediosconseguidos habitualmente.[Puede ocurrir con algn cambio masivo de personal, o en una reestructuracinfallida de alguna rea o en la modificacin de alguna Norma importante] Y Sntomas de mala imagen e insatisfaccin de los usuarios:- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios deSoftware en los terminales de usuario, refrescamiento de paneles, variacin de losficheros que deben ponerse diariamente a su disposicin, etc.- No se reparan las averas de Hardware ni se resuelven incidencias en plazosrazonables. El usuario percibe que est abandonado y desatendidopermanentemente. - No se cumplen en todos los casos los plazos de entrega de resultadosperidicos. Pequeas desviaciones pueden causar importantes desajustes en laactividad del usuario, en especial en los resultados de Aplicaciones crticas ysensibles. y

Sntomas de debilidades econmico-financiero:- Incremento desmesurado de costes.- Necesidad de justificacin de Inversiones Informticas (la empresa no estabsolutamente convencida de tal necesidad y decide contrastar opiniones).- Desviaciones Presupuestarias significativas.- Costes y

plazos de nuevos proyectos (deben auditarse simultneamente aDesarrollo de Proyectos y al rgano que realiz la peticin). y

Sntomas de Inseguridad: Evaluacin de nivel de riesgos- Seguridad Lgica- Seguridad FsicaConfidencialidad[Los datos son propiedad inicialmente de la organizacin que los genera. Losdatos de personal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto an ms importante que la Seguridad.Establece las estrategias de continuidad entre fallos mediante Planes deContingencia* Totales y Locales.- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse,sera prcticamente intil la auditora. Esa es la razn por la cual, en este caso, elsntoma debe ser sustituido por el mnimo indicio.*Planes de Contingencia:Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigooperando en otro lugar? Lo que generalmente se pide es que se hagan Backups

de la informacin diariamente y que aparte, sea doble, para tener un Backup en laempresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelasque posean servicios bsicos (luz, telfono, agua) distintos de los de la empresaprincipal, es decir, si a la empresa principal le provea telfono Telecom, a lasoficinas paralelas, Telefnica. En este caso, si se produce la inoperancia deSistemas en la empresa principal, se utilizara el Backup para seguir operando enlas oficinas paralelas. Los Backups se pueden acumular durante dos meses, o eltiempo que estipule la empresa, y despus se van reciclando

Alcance de la Auditoria Informtica

El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria informtica se complementa con los objetivos de sta El alcance ha de figurar expresamente en el Informe Final