AUDITORIA DE LAS FUNCIONES INFORMATICAS RESUMEN

Transcripción

1 AUDITORIA DE LAS FUNCIONES INFORMATICAS RESUMEN

2 En qué consiste la auditoria informática y qué relación tiene con tu carrera? La auditoria de la informática consiste en poder evaluar y agrupar evidencias que determinen la integridad de los datos que se encuentren guardados con ayuda de la tecnología que el organización o empresa utilice. Es por esto mismo que existe una relación con la carrera ya que seremos los expertos y capacitados para el efecto de la gestión y control de los sistemas de información y tecnología orientados a todo tipo de sectores en una organización. Los objetos serán los sistemas de aplicación, recursos informaticos, planes de contingencia etc. y su finalidad será la operatividad eficiente y según a las normas establecidas. Entonces podemos decir que es la función que ha sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos de la organización de forma eficaz y eficiente. Así que esta se encargara también de verificar las áreas de la organización para la detención de errores proporcionados por los sistemas. La auditoria informática cubrirá los siguientes campos: La evaluación administrativa del área informática. La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información.la evaluación de la eficiencia y eficacia con la que trabaja. La evaluación del proceso de datos de los sistemas de datos, de los sistemas y d los equipos de computo(software, hardware,redes, base de datos, comunicaciones.) Seguridad y confidencialidad de la información. Aspectos legales de los sistemas y de la información. Pero para poder evaluar todo eso es necesario previamente haber buscado información a cerca de la empresa u organización para sí poder tener una idea más amplia. Así que es por eso que la auditoria informática tiene sus fases para el proceso de recolección y evaluación de evidencias para determinar los aspectos de cómo se encuentra la organización o empresa. Y dentro de estas se hacen una serie de pasos, primeramente tenemos lo que es la planeación ue nos servirá para determinar el numero y características del personal de auditoría, las herramientas necesarias el tiempo y el costo. La planeación es la más importante nos determinara la determinación de los recursos necesarios como anteriormente lo comentamos. Para llevar a cabo una buena planeación se debe tomar en cuenta el obtener información general sobre la organización y sobre la función informática, por eso mismo se tiene que hacer una investigación preliminar y algunas entrevistas previas y con base a esto e programa de trabajo. Después viene la revisión preliminar en donde el objetivo será el obtener información necesaria para que el auditor pueda tomar la decisión de cómo proceder con la auditoria.

3 Luego vendrá la revisión detallada donde se obtendrá información detallada con entendimiento de los controles usados dentro del área. Y así es como segura asiendo sus investigaciones hasta llegar a la evaluación. Cuál es el propósito de realizar una auditoría informática en una organización? El mayor estimulo para el desarrollo de la auditoria informática dentro de una organización normalmente esta dado por el abuso de las computadoras. Este abuso de las computadoras es cualquier incidente asociado con la tecnología en comunicación, en el cual la victima sufra o pueda sufrir una perdida y un daño hechos intencionalmente o para obtener una ganancia. Pero el problema más serio esta en los errores u omisiones que causan perdidas a la organización como lo son los datos. Por esto mismo la auditoria informática deberá comprender no solo la evaluación de los equipos de computo o de un sistema de procesamiento especifico sino que además habrá de evaluar los sistemas de evaluación en general desde sus entradas, procedimientos, comunicación controles archivos,seguridad,personal(desarrollador, operador, usuario) y obtención de información. Explicación de lo que es el modelo COBIT El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad y Significa Objetivos de Control para Tecnología de Información y Tecnologías relacionadas vincula tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores, se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización y define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro dominios principales, a saber: PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

4 SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. MONITOREO: Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. CUANDO ES CONVENIENTE REALIZAR UNA AUDITORIA INFORMATICA EN UNA ORGANIZACIÓN Este tipo de auditoría solo puede llevarse a cabo cuando en el organismo o empresa existe al menos una computadora es decir el uso de tecnología para los datos que para esta serán importantes. UN PROCESOS O ACTIVIDADES QUE PODRIAS LLEVAR A CABO EN UNA AUDITORIA INFORMATICA PARA UNA ORGANIZACIÓN. Programa de Auditoria en Informática ORGANISMO Hoja núm. De Fecha de formulación FACE Descrip ción Actividad Núm. Del Personal participante Periodo Inicio Estimado termino Días Hab. Est. Días Hom. Est.

5 EJEMPLO DE PROPUESTAS DE SERVICIOS DE AUDITORIA EN INFORMATICA I.ANTECEDENTES ANOTAR LOS ANTECEDENTES ESPECIFICOS DEL PROYECTO DE AUDITORIS II.OBJETIVOS D ELA AUDITORIA EN INFORMATICA ANOTAR EL OBJETIVO ESPECIFICO DE LA AUDITORIA III.ALCANCES DEL PROYECTO EL ALCANCE DEL PROYECTO COMPRENDE A: SU ORGANIZACIÓN FUNCIONES OBEJETIVOS ESTRUCTURA RECURSOS HUMANOS NORMAS POLITICAS CAPACITACION PLANES DE TRABAJO CONTROLES ESTANDARES CONDICIONES DE TRANAJO SITUACION PRESUPUESTAL Y FINANCIERA 2.-EVALUACION DE LOS SISTEMAS : EVALUACION DE LOS DIFERENTES SISTEMAS DE OPERACIÓN (FLUJO PROCEDIMIENTOS, DOCUMENTACION, ORGANIZACIÓN DE ARCHIVOS, ESTANDARES DE PROGRAMACION, CONTROLES, UTILIZACION DE LOS SISTEMAS, OPINIONES DE LO USUARIOS). EVALUACION DE LOS AVANCES DE LOS SISTEMAS EN DESARROLLO Y CONGRUENCIA CON EL DISEÑO GENERAL, CONTROL DE PROYECTOS, MODULARIDAD DE LOS SISTEMAS. SEGURIDAD LOGICA DE LOS SISTEMAS CONFIDENCIALIDAD Y RESPALDOS. DERECHOS DE AUTOR Y SECRETOS INDUSTRIALES DE LOS SISTEMAS PROPIOS Y LOS UTILIZADOS POR LA ORGANIZACIÓN EVALUACION DE LA BASE DE DATOS. 3.-EVALUACION DE LOS EQUIPOS ADQUISICION ESTANDARIZACION CONTROLES NUEVOS PROYECTOS DE ADUISICION. ALMACENAMIENTO.

6 COMUNICACIÓN. REFERENCIAS: AUDITORIA INFORMATICA, JOSE ANTONIO ECHENIUE GARCIA, SEGUNDA EDICION, EDITORAL McGraw-Hill. AUDITORIA EN INFORMATICA, ENRIQUE HERNANDEZ HERNANDEZ, SEGUNDA EDICION, EDITORIAL CECSA. AUDITORIA INFORMATICA UN ENFOQUE PRACTICO, MARIO G. PIATTINI EMILIO DEL PESO SEGUNDA EDICION, EDITORIAL ALFAMEGA RA-MA.