UNIVERSIDAD DE CONGRESO

Auditoría Informática
EXAMEN PARCIAL
Calvo – Umana – Rocha – Salguero – Videla – Villegas 04/11/2009

Misión
Representa la declaración que la empresa hace sobre el propósito de su existencia, o sea, indica la razón de existir de la empresa.

Visión
Representación de cómo debe ser el futuro para la organización ante los ojos de sus interesados.

Objetivos de negocio
Representan las aspiraciones de una empresa. Asegura que todos los elementos de la misión sean atendidos, alineando los recursos de la empresa para la conclusión de un fin común. Los objetivos no tienen necesariamente un horizonte de tiempo definido, aunque su vigencia resulta menos permanente que la de la misión. Cada empresa puede tener objetivos diferentes dependiendo de sus giros, dimensiones y su contexto. En la mayoría de los casos los objetivos típicamente tendrán la siguiente naturaleza: Rentabilidad: obtener rendimientos económicos derivados de sus operaciones. Crecimiento institucional: cualquier empresa con visión a largo plazo, no se conformará con medir su desempeño sólo en beneficios económicos, sino que utiliza indicadores que reflejan su crecimiento como institución. La rentabilidad no implica necesariamente un crecimiento institucional. Calidad: aunque no se pueda considerar un objetivo si no es aplicada a algún fin específico relacionado con los intereses de negocio, se ha vuelto una de las filosofías de administración más importante en las últimas décadas. Muchas organizaciones establecen objetivos relacionados con conceptos de calidad aplicados a sus operaciones, a sus productos o a sus servicios. Posicionamiento competitivo: empresas miden resultados en la posición que ocupan en el mercado. Productos y servicios: los que generan una compañía como parte de su actividad sustantiva son frecuentemente utilizados para establecer objetivos de negocio. Recursos humanos: las empresas han tomado la necesidad de establecer objetivos institucionales que reflejen las aspiraciones de una empresa con relación a su personal, en términos de motivación, permanencia, desarrollo, productividad, calidad de vida, etc. Imagen: una empresa debe considerar como objetivos de su imagen a todos los que tiene algún interés en la empresa, esto se conocen como los stake holders. Impacto en la comunidad: Productividad: una empresa tiene la obligación de ser altamente productiva, para optimizar la inversión de sus accionistas, contribución social a la comunidad o a los subsidios gubernamentales. Clientes:

-

-

-

Metas de negocio
Representan propósitos específicos que la empresa establece para lograr sus objetivos. Las metas son la forma en que se mide el cumplimiento de los objetivos de una organización.

Control interno
Conjunto de elementos de administración que una empresa establece para lograr sus objetivos institucionales y cumplir con su misión.

Factores críticos de éxito
Un objetivo es algo que se desea lograr, un factor crítico de éxito es algo que se necesita lograr para poder cumplir los objetivos. Si un factor crítico falla, puede llegar a impedir el logro de los objetivos.

Factores críticos:
Contar con información adecuada y oportuna Mantener integridad, confidencialidad y disponibilidad de la información Proteger bienes e inversiones de la empresa Asegurar la eficiencia en las operaciones de la empresa Emplear recursos para el cumplimiento de los objetivos institucionales …

Componentes del control interno
Objetivos de control: resultado o propósito que se desea alcanzar mediante la implementación de procedimientos de control en los procesos de trabajo de una empresa. Procedimientos de control: son los elementos de administración que se establecen para lograr sus objetivos de control. Procedimientos de auditoría: conjunto de técnicas formales que el auditor aplica para conocer y evaluar el correcto y consistente funcionamiento de los procedimientos de control (procesos/ resultados). Riesgos: ocurrencias que pueden afectar el cumplimiento de los objetivos. Impacto: cualquier impacto que afecta a una empresa se refleja en sus factores críticos de éxito o en sus objetivos de negocio. o Impacto económico o Impacto patrimonial o Impacto en productividad o Impacto en servicio a clientes o Impacto en normatividad o Impacto en desarrollo institucional o Impacto en posicionamiento competitivo

Atributos de calidad
Son características que en condiciones normales deben existir en un procedimiento de control para que dicho procedimiento sea eficiente y efectivo en sus propósitos de apoyo a las metas de control.

Auditoría informática
Conceptos y definiciones de auditoría Informática
Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.    Examen de las demostraciones y registros administrativos Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos No es una evaluación para detectar errores y señalar fallas Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organización

¿En qué consiste la auditoría informática?
Consiste en verificar el funcionamiento de un sistema de información, aplicando una serie de conocimientos, técnicas y métodos con el propósito de examinar la operatividad del sistema. En el proceso de investigación, el auditor comprueba si en los sistemas se están aplicando medidas de seguridad y de control apropiadas para asegurar la integridad de la información. El auditor debe realizar un análisis profundo de todos los componentes que integran el sistema informático. La auditoria informática en una empresa es esencial debido a que un sistema mal diseñado resulta peligroso para la misma.

Perfil del auditor informático
A un auditor informático se le presupone cierta formación informática y experiencia en el sector, independencia y objetividad, madurez, capacidad de síntesis y análisis y seguridad en sí mismo.

Debe disponer de conocimientos tanto en la normativa aplicable, en informática, como en la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por informáticos y licenciados en derecho especializados en el mundo de la auditoría.

Principales pruebas y herramientas para efectuar una auditoría informática
En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:   Pruebas clásicas: Consiste en probar las aplicaciones / sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realización de estas pruebas. Pruebas sustantivas: Aportan al auditor informático las suficientes evidencias y que se pueda formar un juicio. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican la exactitud, integridad y validez de la información. Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente (según la documentación, según declaran los auditados y según las políticas y procedimientos de la organización).

Las principales herramientas de las que dispone un auditor informático son:
      Observación Realización de cuestionarios Entrevistas a auditados y no auditados Muestreo estadístico Flujogramas Listas de chequeo

Planes de auditorias
Planificación: qué se va auditar, quién lo va a hacer, cuánto tiempo, cuántas veces, qué áreas se van a auditar, cómo voy a trabajar: ejecución, entrevistas, informe final; evidencia de todos los trabajos realizados, en el informe que pruebas se realizaron: nota o carta con las fallas, con recomendaciones para solucionar los errores surgidos. Tipos, planificación y estrategia de los recursos voy a utilizar.

Riesgos – Impactos
Riesgo: La incertidumbre que ocurra un evento que podría tener un impacto en el logro de los objetivos Impacto: es el efecto o consecuencia ante la ocurrencia de que el riesgo se manifieste Riesgos Fraude Acceso irrestrictos Segregación de Funciones Medio Ambiente_ Ecológico/Naturaleza Reputación Cambio en el Mercado o Consumidores Cambios Legales Daño a la naturaleza y infraestructura de la Empresa Descripción Acciones desleales por personal interno y externo Acceso de personas a áreas en las que no deben entrar, o sitios en los que no deben ingresar

El posicionamiento dentro del mercado No tener Éxito en el mercado

Cambio de regulaciones.

Impactos Económico Productividad Legal Posicionamiento Político Puede mejorar o no nuestra economía

Detalle

Puede aumentar o disminuir nuestra producción Puede mantenerse o ser clausurada, etc. Podemos estar bien o mal posicionados en el mercado

Auditoría Interna
La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la empresa, o sea, que puede optar por su disolución en cualquier momento. Está dentro del organigrama formal de la empresa. La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático. En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas. Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:     Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa. Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa.

La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz “político” ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.

Auditoría Externa
Los recursos y personas no pertenecen a la empresa auditada, por lo que la distancia entre los auditores y los auditados permite una mayor objetividad. La empresa siempre deberá remunerar a quien haga la auditoría.

Revisión de áreas de tecnología
Planificación del área de Tecnología
Planifica y asigna recursos en forma eficiente y eficaz, para brindar servicios que el resto de las áreas requiere

Evaluación
• • • • • • • Plan de sistemas Organigrama y descripción de puestos Presupuesto / plan de inversiones Plan de capacitación Objetivos de corto y largo plazo. Manual de políticas, reglamentos y lineamientos internos. Procedimientos administrativos del área.

Relación con los proveedores externos
Provee un óptimo servicio de las funciones tercerizadas.

Evaluación
• •

Actividades de control y selección del proveedor Cumplimiento de condiciones contractuales de prestación de producto y/o de la satisfacción conforme a los requerimientos Cómo se solucionan incidentes, cantidad de ocurrencias

Continuidad del negocio
Garantiza la continuidad y rápido restablecimiento de los sistemas y servicios críticos a usuarios, y administrar la recuperación de la infraestructura dañada

Objetivos
    Resguardar intereses de sus clientes y socios además del negocio y la imagen Identificar los puntos débiles en los sistemas de la organización Analizar comunicaciones e infraestructuras. Conocer la logística para restablecer servicios, independientemente de los sistemas. Ofrecer alternativas viables a todos los procesos críticos de negocio.


• • • •

Evaluación
Verificar la existencia de un plan de contingencia Ver si se ha realizado un análisis de evaluación de impacto en el negocio Corroborar que se haya realizado una evaluación de Riesgos/Vulnerabilidades y Exposición Ver si hay una definición de Estrategias de Recuperación Generación de Copias de Resguardo

Operaciones de Sistemas de Información
Establece cronogramas que proporcionen el uso adecuado del equipo de procesamiento, en el planeamiento de mejoras o agregado de equipos. Identifica desperfectos del sistema, inicia acción correctiva para mantener los cronogramas y proteger la integridad.

Evaluación
• • • • • Seguridad física Acceso a la línea de comandos Cómo y quién planifica Cómo se solucionan los incidentes Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo

Seguridad Física
Consiste en la aplicación de barreras físicas y de procedimientos de control, como medidas de control y contramedidas ante amenazas a los recursos y a la información confidencial de una empresa. Son los controles y mecanismos de seguridad dentro y alrededor de un centro informático. Desastres: si bien algunos aspectos se prevén, otros, como el acceso físico a una sala informática, no. Esto pude hacer que para un atacante sea más simple violentar y copiar o robar datos personalmente que por medio de intromisiones mediante software (hakear). Tipos de Desastres: este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro. Las principales amenazas que se prevén en la seguridad física son: 1. 2. 3. Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.

Seguridad de la información
Definir e implementar medidas que impidan accesos, modificación y/o destrucción de activos de información, por personas no autorizadas

Seguridad Lógica
La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes. La seguridad informática se la puede dividir como Área General y como Área Especifica (seguridad de Explotación, seguridad de las Aplicaciones, etc.). Así, se podrán efectuar auditorías de la Seguridad Global de una Instalación Informática –Seguridad General- y auditorías de la Seguridad de un área informática determinada – Seguridad Especifica. Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos. El sistema integral de seguridad debe comprender:  Elementos administrativos  Definición de una política de seguridad  Organización y división de responsabilidades  Seguridad física y contra catástrofes (incendio, terremotos, etc.)  Prácticas de seguridad del personal  Elementos técnicos y procedimientos  Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.  Aplicación de los sistemas de seguridad, incluyendo datos y archivos  El papel de los auditores, tanto internos como externos  Planeación de programas de desastre y su prueba. La decisión de abordar una Auditoría Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Se elaboran “matrices de riesgo”, en donde se consideran los factores de las “Amenazas” a las que está sometida una instalación y los “Impactos” que aquellas puedan causar cuando se presentan. Las matrices

de riesgo se representan en cuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz.

Implementación y Mantenimiento de los sistemas aplicativos
Asegurar la disponibilidad, integridad, performance y capacidad de las aplicaciones críticas.

Evaluación
• • • • • • Software documentador (funcional y de programas) • Supervisión personal, interno, externo Verificar que los usuarios hayan participado en el diseño e implantación de los sistemas Corroborar que el personal de auditoría interna forme parte del grupo de diseño para sugerir rutinas de control Cada fase terminada debe ser aprobada por escrito por los usuarios mediante actas para evitar reclamos Sistema control de proyectos, asignación de costos Puesta en producción

Soporte e implementación de bases de datos
Diseñar, implementar, monitorear y mantener los procedimientos necesarios para asegurar integridad, performance y disponibilidad de los datos.

Evaluación
• • • • Definición de modelos de datos que aseguren que los datos sean precisos, íntegros y unívocos. Actualización y modificación de los estándares. Configuración de la BD para asegurar tiempos adecuados de respuesta de procesos de actualización, almacenamiento y depuración. Roles de operadores y administradores de bases de datos (DBA)

Soporte a la Red
Administrar en forma integrada la tecnología y software relacionado con la comunicación de la red. Corroborar que los datos residan en un único lugar y sean actualizados por todas las aplicaciones necesarias.

Evaluación
• • • • • • • • Diseño y segmentación de la red Implementación de seguridad, evitando amenazas Antivirus y firewalls Verificar que exista un plano de las instalaciones correctamente documentados de los centros de cableado, servidores y puntos de red. Monitoreo y resolución de eventos de la red Políticas de actualización de software Protección de la información almacenada a usuarios móviles Evaluar la existencia de un método de hacer las copias de respaldo de la información de la empresa.

Soporte al Hardware y al Software
Integrar en forma transparente el hardware, los sistemas operativos y sus herramientas

Evaluación
• • • • • • • • Circuito de control de cambios Actualizaciones realizadas de hardware y software. Niveles de autorización de los cambios Accesos restringidos Análisis de costo/beneficio del software del sistema Documento de autorización a cada usuario del sistema y aprobación de derechos y privilegios. Documento de configuración inicial del sistema operativo y las autorizaciones para su actualización. Mantenimiento del software