AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

Transcripción

1 AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

2 Auditoria TI El ambiente informático en la empresa

3 Auditoria TI Motivada por lo especializado de las actividades de cómputo, así como por el avance que han tenido los sistemas en los últimos años, ha surgido una nueva necesidad de evaluación para los auditores, quienes requieren una especialización cada vez más profunda en sistemas TI para dedicarse a este tipo de auditorías. Por ello nació la necesidad de evaluar no sólo los sistemas, sino también la información, sus componentes y todo lo que está relacionado con dichos sistemas.

4 Auditoria TI: Definición Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas TI, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cómputo.

5 Auditoria TI: Definición El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado: Tiene Daños Salvaguarda activos Permite el uso no autorizado Mantiene Integridad de Información, precisa, completa, oportuna, y confiable Alcanza metas organizacionales Contribución de la función informática Consume recursos, utiliza recursos adecuadamente Es eficiente en el procesamiento de información

6 Tipos especializados de Auditoria TI 1.- Auditoria de la computadora: Es la auditoría que se realiza con el apoyo de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizadas, pero sí susceptibles de ser automatizadas; dicha auditoría se realiza también a las actividades del propio centro de sistemas y a sus componentes.

7 Tipos especializados de Auditoria TI 2.- Auditoria sin la computadora En este tipo de auditoría se busca evaluar a los sistemas desde una óptica tradicional, contando con el apoyo de las técnicas y procedimientos de evaluación acostumbrados y sin el uso de los sistemas TI, aunque éstos sean los que se evalúen. Por lo general, esta auditoría se enfoca en los aspectos operativos, financieros, administrativos y del personal de los centros de sistemas TI.

8 Tipos especializados de Auditoria TI 3.- Auditoria a la Gestión Informática Esta auditoría es, por lo general, de carácter administrativo y operacional; con su realización se busca evaluar la actividad administrativa de los centros de cómputo, con todo lo que conlleva esta gestión. Se enfoca exclusivamente a la revisión de las funciones y actividades de tipo administrativo que se realizan dentro de un centro de cómputo, tales como la planeación, organización, dirección y control de dicho centro

9 Tipos especializados de Auditoria TI 4.- Auditoria al sistema de computo: Esta auditoría es más especializada y concreta, y está enfocada hacia la actividad y operación de sistemas TI, con mucho más de evaluación técnica y especializada de éstos y de todo lo relacionado con esta especialidad.

10 Tipos especializados de Auditoria TI 5.- Auditoria alrededor de la computadora En este tipo de auditoría se trata de evaluar todo lo que involucra la actividad de los sistemas TI, procurando, de ser posible, dejar a un lado todos los aspectos especializados, técnicos y específicos de los sistemas, a fin de evaluar únicamente las actividades vinculadas que se llevan a cabo alrededor de éstos.

11 Tipos especializados de Auditoria TI 6.- Auditoria de seguridad de los sistemas TI Hablar de seguridad es un aspecto muy importante en los sistemas TI, lo cual en algunos casos puede estar relacionado con otras auditorías. Sin embargo, por lo especializado y profundo del tema, es indispensable que se evalúe por separado;

12 Tipos especializados de Auditoria TI 6.- Auditoria a los sistemas de redes Es reciente el crecimiento e importancia que han cobrado las redes de cómputo, razón por la cual es necesario enfocar la auditoría hacia este campo específico; no obstante, en ciertos casos, esta evaluación podría estar contemplada en algunos tipos de auditoría TI.

13 Tipos especializados de Auditoria TI 7.- Auditoria Integral a los sistemas de computo Esta definición trata de agrupar a todos los tipos de auditoría que se analizan en estas conceptualizaciones, buscando concentrar todas las evaluaciones bajo una misma auditoría con un enfoque global del área de sistemas, según su tipo y tamaño.

14 Tipos especializados de Auditoria TI 8.- Auditoria ergonómica de sistemas TI Uno de los aspectos menos analizados en el área de sistemas es la afectación que causan el mobiliario y los propios sistemas TI en los usuarios de computadoras; estos aspectos pueden llegar a influir en el bienestar, salud y rendimiento de los usuarios, razón por la cual se deben considerar mediante una auditoría especializada.

15 Objetivos de la Auditoria I.- Realizar una revisión independiente de las actividades, áreas o funciones especiales de una institución, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados.

16 Objetivos de la Auditoria II.- Realizar una revisión especializada, desde un punto de vista profesional y autónomo, del aspecto contable, financiero y operacional de las áreas de una empresa.

17 Objetivos de la Auditoria III.- Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos que regulan la actuación de los empleados y funcionarios de una institución, así como evaluar las actividades que se desarrollan en sus áreas y unidades administrativas.

18 Objetivos de la Auditoria IV.- Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus áreas, así como sobre el desarrollo de sus funciones y el cumplimiento de sus objetivos y operaciones.

19 Cuál debe ser el objetivo de la revisión de control al control interno de T.I.? Verificar que la dependencia o entidad cuente con la estructura de control interno adecuada para la administración y uso racional de los recursos asignados a tecnologías de información.

20 Cómo alcanzar ese objetivo? Evaluando la eficiencia y efectividad de los controles internos aplicados a la adquisición y operación de las TI. Evaluando la seguridad, integridad y oportunidad de la información generada por TI

21 Qué significa el término Tecnología de Información? Convergencia tecnológica entre las telecomunicaciones, los microprocesadores y la computación que permite el proceso, transmisión y almacenamiento de información que puede ser datos, audio o video en formato digital.

22 Ejemplos de T.I. (electrónica, informática y telecomunicaciones): Internet/Intranet Redes (por satélite o cable, telefonía fija o movil, servidores y grandes almacenadores de información) T.V. digital Equipos multimedia de CD-ROM Ordenadores (computadoras personales y laptops) Telecomunicaciones fijas y móviles Sistemas de información automatizados de nóminas, presupuesto, contabilidad, etc.

23 De qué depende la realización de una revisión de control a Evaluación de Control Interno a la Tecnología de Información? Naturaleza, complejidad, infraestructura informática y automatización de las operaciones de la Institución. Personal capacitado en el OIC.

24 Cuáles son los aspectos básicos sujetos de revisión en la Evaluación de Control Interno a la Tecnología de Información? Planeación estratégica y ámbito organizacional. Función de T.I. (administración y operación). Desarrollo y mantenimiento de sistemas. Sistemas operativos. Seguridad física, lógica y de datos. Adquisición de tecnología. Plan de contingencias. Software/hardware, internet/intranet, redes y telecomunicaciones.

25 Planeación estratégica y ámbito organizacional Cuál es la parte sustantiva de este aspecto de revisión de T.I.? Verificar que exista en la dependencia o entidad un Programa Institucional de Desarrollo Informático (PIDI) o Plan Estratégico de Tecnologías de Información. Verificar que dicho Programa o Plan esté alineado a los fines de la APF en general y en particular a la consecución de los objetivos institucionales, así como a su misión y visión.

26 Función de T.I. (Administración y operaciones) Cuál es la parte sustantiva de este aspecto de revisión de T.I.? Evaluar los mecanismos de control para: Las bibliotecas física y lógica de los medios magnéticos, software y datos. La administración de la base de datos y sistema operativo. La seguridad, integridad y confiabilidad de equipos, software e información.

27 Desarrollo y mantenimiento de sistemas Cuál es la parte sustantiva de este aspecto de revisión de T.I.? Verificar que los sistemas en desarrollo estén respaldados y documentados en forma adecuada. Verificar que existan mecanismos de control y mantenimiento para asegurar la protección de los sistemas y de la información que operan.

28 Sistemas operativos Cuál es la parte sustantiva de este aspecto de revisión de T.I.? Comprobar la integridad y confiabilidad de los programas y datos del sistema automatizado de información. Verificar que el sistema contenga y aplique procedimientos y herramientas de control y validación.

29 Seguridad física, lógica y de datos. Cuál es la parte sustantiva de este aspecto de revisión de T.I.? Verificar que existan políticas de seguridad que incluyan estándares y responsabilidad de la seguridad física y lógica (hardware, software y datos), así como verificar su vigilancia, comunicación y difusión en tiempo y forma. Determinar que existan controles para identificar, autentificar, certificar y accesar información.

30 ENFOQUE METODOLÓGICO PARA ADELANTAR LA EVALUACIÓN Hacia dónde debe ir la infraestructura de TI? Misión Visión Cómo se puede llegar a ese punto? Estrategia Qué acciones realizar para alcanzar los objetivos estratégicos? Factores Críticos de Éxito Cómo establecer los beneficios y costos de invertir en TI? Expectativas Financieras (Servicios) Indicadores claves de desempeño Expectativas del Cliente (SLM) Procesos Internos (Modelo ITIL - CMM) Aprendizaje de la Organización (Estrategia de Cliente)

31 Auditoria TI: Objetivos El propósito fundamental es evaluar el uso adecuado de los sistemas para: - El correcto ingreso de los datos, - El procesamiento adecuado de la información y - La emisión oportuna de sus resultados en la institución Incluye también la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas TI a la empresa.

32 Auditoria TI: Objetivos Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD Incrementar la satisfacción de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

33 Auditoria TI: Objetivos Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de función informática a las metas y objetivos de la organización Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático

34 Auditoria TI: Objetivos Minimizar existencias de riesgos en el uso de Tecnología de información Decisiones de inversión y gastos innecesarios Capacitación y educación sobre controles en los Sistemas de Información

35 Auditoria TI Los elementos que componen un sistema TI y por lo tanto son el objeto de estudio de una auditoria son los siguientes:

36 Esquema: Elementos del Sistema a) Hardware Plataforma de hardware Tarjeta madre Procesadores Dispositivos periféricos Arquitectura del sistema Instalaciones eléctricas, de datos y de telecomunicaciones Innovaciones tecnológicas de hardware y periféricos

37 Esquema: Elementos del Sistema b) Software Plataforma del software Sistema operativo Lenguajes y programas de desarrollo Programas, paqueterías de aplicación y bases de datos Utilerías, bibliotecas y aplicaciones Software de telecomunicación Juegos y otros tipos de software

38 Esquema: Elementos del Sistema c) Gestión informática Actividad administrativa del área de sistemas Operación del sistema de cómputo Planeación y control de actividades Presupuestos y gastos de los recursos informáticos Gestión de la actividad informática Capacitación y desarrollo del personal informático Administración de estándares de operación, programación y desarrollo

39 Esquema: Elementos del Sistema d) Información Administración, seguridad y control de la información Salvaguarda, protección y custodia de la información Cumplimiento de las características de la información

40 Esquema: Elementos del Sistema e) Diseño de sistemas Metodologías de desarrollo de sistemas Estándares de programación y desarrollo Documentación de sistemas Bases de datos

41 Esquema: Elementos del Sistema f) Bases de datos Administración de bases de datos Diseño de bases de datos Metodologías para el diseño y programación de bases de datos Seguridad, salvaguarda y protección de las bases de datos

42 Esquema: Elementos del Sistema g) Seguridad Seguridad del área de sistemas Seguridad física Seguridad lógica Seguridad de las instalaciones eléctricas, de datos y de telecomunicaciones Seguridad de la información, redes y bases de datos Administración y control de las bases de datos Seguridad del personal informático