AUDITORIA EN INFORMATICA
INSTITUTO DE ESTUDIOS SUPERIORES
"SOR JUANA INES DE LA CRUZ"
"SOR JUANA INES DE LA CRUZ"
AUDITORIA EN INFORMATICA
ALUMNA:
MARIA INES DELESMA GOMEZ
CARRERA:
LIC. CONTADURIA PUBLICA
CUATRIMESTRE
8º GRUPO "A"
RESPONSABLE DE LA MATERIA
LIC. JESUS GUSTAVO ABARCA RUIZ
INTRODUCCION A LA AUDITORIA INFORMATICA
En este blog, se abordara información
referente a la auditoria en informática, mediante ello conoceremos su gran
importancia de que hoy en día sea llevado a cabo
También conoceremos cuales
son los objetivos de una auditoria de sistemas, pues son de mucha importancia
centrarse en ellos debido a que se evalúa la operatividad
del sistema y el control de la función informática,
que influyen mucho en los resultados obtenidos; los procedimientos que se
realizan en la auditoria consiste en la metodología que se va a
aplicar para realizar el análisis correspondiente.
En la actualidad la
informática se encuentra totalmente vinculada con las empresas y es
por esto que es de vital importancia que exista la auditoria informática, para
analizar el desempeño y funcionamiento de los sistemas de información,
de los cuales depende la organización, Ya que la informática ayuda a
la toma de decisiones.
ANTECEDENTES DE LA AUDITORIA
Concepto
La auditoría es una rama de la Contaduría Publica, que representa el examen
de los estados financieros de una entidad, para que el contador emita un juicio
sobre ello.
La auditoría se clasifica en dos: Interna y Externa; la interna la realizan
personas que pueden o no depender de la entidad, mientas que la externa
generalmente la realiza un auditor que no presenta ningún vínculo afectivo con
alguno de los empleados de la empresa.
La auditoría cuida el capital e información, además de que optimiza, es
decir, en el ámbito informático permite que el sistema responda de manera rápida.
Debe realizarse por lo menos una vez al año, y para que se obtenga un
resultado exacto es preciso que se realice de manera espontánea, deduciendo
esto, podemos definir a la auditoria en informática como el proceso de
verificar que los recursos, que para este área serian la información, energía,
dinero, equipo, personal (software y hardware), son adecuadamente coordinados y
vigilados por la gerencia o por quien ellos designen. Las áreas a auditarse en informática
son:
- A toda la entidad
- a un departamento
- area
- funcion
Tipos de Auditoria a Aplicar
ü Auditoria al ciclo de vida del desarrollo de un sistema
ü Auditoria a un sistema en operación
ü Auditoria a controles generales (Gestión)
ü Auditoria a la administración de la función informática
ü Auditoria a
microcomputadoras aisladas
ü Auditoria a redes
Los cuales de desarrollan a continuación para poder obtener una mejor comprensión de ello:
Auditoria a Controles Generales (Gestión)
Los controles generales son las políticas y procedimientos que se aplican a
la totalidad o a gran parte de los sistemas de información de una entidad,
incluyendo la infraestructura y plataformas de la organización auditada y
ayudan a asegurar su correcto funcionamiento.
El propósito de los controles generales es establecer un marco conceptual
de control general obre las actividades del sistema informático y asegurar razonablemente
la conservación de los objetivos generales de control interno.
Auditoria a la Administración
de la Función Informática
La función de auditoria informática ha pasado de ser una función meramente
de ayuda al auditor financiero a ser una función que desarrolla un trabajo y lo
seguirá haciendo en el futuro, más acorde con la importancia que para las
organizaciones tienen los sistemas informáticos y de información que son objeto
de estudio y análisis. El auditor informático pasa a ser auditor y consultor
del ente empresarial, en el que va a ser analista, auditor y asesor en:
ü Seguridad
ü Control interno operativo
ü Eficiencia y eficacia
ü Tecnología informática
ü Continuidad de operaciones
ü Gestión de riesgos
Auditoria a
Microcomputadoras Aisladas
Es la auditoría técnica y especializada que se enfoca únicamente a la evaluación
del funcionamiento y uso correcto del equipo de cómputo, su hardware, software
y periféricos asociados.
En este tipo de evaluación el auditor de sistemas debe conocer las
principales características, componentes y funcionamiento de la parte física de
los sistemas, a fin de poder evaluar su aplicación, uso y aprovechamiento
adecuados a la función informática de la organización.
A continuación se añade una lista de las partes del hardware más comunes a
ser evaluados por el auditor:
·
Tarjeta
madre del sistema
·
Procesador
·
Unidades
externas (discos duros, unidades de CD-ROM, DVD, Fax, monitor, Teclado, Mouse,
Bocinas, Impresoras, entre otros).
·
Tarjetas
adicionales al sistema (tarjeta aceleradora de gráficos, de red para fax,
modem, etc.).
De todos estos componentes el auditor deberá averiguar su fabricante,
modelo, tamaño, alcance, la capacidad para el crecimiento del sistema, la
calidad de los componentes, la garantía y el soporte del fabricante.
Auditoria a Redes
La auditoría a Redes es un mecanismo de prueba de una red informática, con
el fin de evaluar el desempeño, seguridad de la misma, logrando así, la utilización
más eficiente y segura de la red.
Hay que primeramente identificar la estructura física (hardware) y la
estructura lógica (hardware) del sistema.
Auditoria de la Red Física
·
Garantiza
el control de utilización de equipos de prueba, para monitorizar la red y el tráfico
en ella, protección y tendido adecuado de los cables de red para evitar accesos
físicos.
·
Comprobando
el equipo de comunicaciones debe estar ubicado en un lugar cerrado, su acceso
debe ser limitado, su seguridad debe ser la adecuada.
Auditoria de la Red Lógica
·
Manejar
el sistema debe contar con una contraseña de acceso, la información pertinente
debe ser encriptada, debe ser evitada la importación y exportación de la información.
·
Comprobar
el software debe tener procedimientos correctivos y el control ante mensajes
duplicados fuera de orden, pedidos o en retraso. Deben existir pláticas de
seguridad que impidan la instalación de programas que puedan afectar el uso del
sistema.
Etapas a complementar en
la Auditoria de Red
v
Análisis
de Vulnerabilidad
v
Estrategias
de Saneamiento
v
Plan de
Contención
v
Seguimiento
Continuo
Conclusión
De acuerdo a la investigación realizada, está por demás mencionar que la
auditoria es muy importante dentro de la Empresa, puesto que requieren contar
con la evidencia suficiente y competente sobre su sistema de control, lo cual será
benéfico para brindar un buen reflejo sobre los objetivos del negocio.
Bibliografía
A continuación se presentan unos cuestionamientos respecto a la Auditoria Informática, para retroalimentar un poco a cerca de lo que ya se analizo anteriormente.
1.- Mencione los datos más importantes de una Empresa.
R: las ventas, el plan administrativo, capital, Socios, básicamente los
datos financieros, proveedores y clientes
2.- ¿Por qué son importantes los datos en tu vida cotidiana?
R: porque con base a ello se lleva a cabo una toma de decisión oportuna en
ciertas circunstancias, puesto que como ya bien lo mencionábamos, que nosotros
somos un sistema y por ende contamos con nuestros datos.
3.- Mencione 3 empresas que trabajen exclusivamente con datos.
R: INEGI, SAT, GOOGLE
4.- ¿Qué pasaría si en las votaciones electorales, de la nada se borraran
los datos?
R: se perdería el control y se generaría un caos debido a que no se cuenta
con los datos para llevar a cabo un buen proceso, o bien, la manipulación de
datos
INTRODUCCION
A LA INFORMATICA
A
finales del siglo XX los sistemas informáticos se han constituido en las
herramientas más poderosas para materializar uno de los componentes más vitales
y necesarios para cualquier organización empresarial.
La
informática no gestiona propiamente a la Empresa, ayuda a la toma de
decisiones, pero no decide por sí misma. Por eso debido a su importancia en el
funcionamiento de una Empresa, existe la Auditoria Informática.
LA AUDITORIA DE EXPLOTACION
Que
es quien se ocupa de producir resultados informáticos de todo tipo: listados
impresos, archivos soportados magnéticamente, órdenes automatizados para lanzar
o modificar procesos industriales, etc.
Para
que se lleve a cabo dispone de una materia prima las cuales para esta auditoria
son LOS DATOS, puesto que es necesario transformar y que se someten previamente
a controles de integridad y calidad.
Prácticamente
el resultado es la última hoja, pero si nos preguntamos ¿Cuál puede ser el
resultado en la auditoria informática?, bien, para este aspecto el resultado
hace referencia a la información obtenida, es decir, datos + datos + datos +
datos= Resultado.
Pues
bien, al referirse a la última hoja, hemos de entender que se evalúa que
contenga la información adecuada, por ejemplo:
Ø Logotipo, Nombre de la Empresa
Ø Ticket de Compra
Ø Recibo de Reinscripción
La
auditoría de explotación es el control que se realiza sobre las funciones del
sistema de información para asegurar que las mismas se efectúen de forma
regular, ordenada y que satisfagan los requisitos empresariales.
Ahora
bien, la auditoria de explotación se utiliza para asegurar la existencia y
superar a sus competidores, la detección oportuna de las debilidades del
sistema, lo cual permite mejorarlo.
Los
objetivos que se persiguen son los siguientes:
Ø Controlar los manuales de
instrucciones
Ø Controlar los inicios de los procesos
Ø Revisar las agendas de trabajo
Ø Verificar la continuidad del proceso
Ø Realizar controles sobre explotación
remota
Ø Comprobar que en ningún caso los
operadores acceden a documentación de programas que no sea la exclusiva para su
explotación.
En
el último apartado si nos damos cuenta hace referencia a que el Auditor no
puede ni debe ingresar a Google o Facebook, puesto que a él lo único que le
debe importar es el resultado, la información que se le es arrojada, es decir,
debe contener todos los datos que hagan referencia a la empresa para que de ese
modo todo esté en orden y pueda ser detectable en cualquier situación como un
comprobante.
Concluyendo
con este tema. Básicamente la labor del auditor informático es esencial para
garantizar la adecuación de los Sistemas Informáticos, es decir, el resultado,
tipo de almacenamiento, proceso y actualización.
AUDITORIA
INFORMATICA DE SISTEMA
La auditoría informática ayuda a la empresa a
comprobar la eficiencia del sistema que
tiene establecido.
Gracias a este análisis sabremos si funciona
de forma correcta, utilizando los recursos adecuados, veremos si ha surgido
algún problema en su interior o las barreras que podemos tener presentes, para
ello analizaremos sus áreas con base a los siguientes subtemas:
·
Sistemas
Operativos
·
Software
Básico
·
Tunning
·
Optimización
De Los Sistemas Y Subsistemas
·
Administración
De Base De Datos
·
Investigación
Y Desarrollo
SISTEMA
OPERATIVO
Engloba los Subsistemas de Teleproceso,
Entrada/Salida, etc.
El análisis de las versiones de los Sistemas
Operativos permite descubrir las posibles incompatibilidades entre otros
productos de Software Básico adquiridos por la instalación y determinadas
versiones de aquellas.
Verificarse
en primer lugar que los Sistemas están actualizados con las últimas versiones
del fabricante.
Deben
revisarse los parámetros variables de las Librerías más importantes de los
Sistemas
SOFTWARE
BASICO
Esto, por razones económicas y por razones de
comprobación de que la computadora podría funcionar sin el producto adquirido
por el cliente
En
cuanto al Software desarrollado por el personal informático de la empresa, el
auditor debe verificar que éste no agreda ni condiciona al Sistema
TUNNING
Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto
El tunning posee una naturaleza más revisora,
estableciéndose previamente planes y programas de actuación según los síntomas
observados
Se pueden realizar:
1.
Cuando
existe sospecha de deterioro del comportamiento parcial o general del Sistema
2.
De
modo sistemático y periódico, por ejemplo cada 6 meses. En este caso sus
acciones son repetitivas y están planificados y organizados de antemano.
basicamente, una vez que ya esta analizado, como bien lo menciona, nos ayuda a poder detectar errores en nuestro sistema, esto para determinar posibles alternativas de solucion optimo a ello.
Los sistemas que se
encuentran en máquinas grandes (sistemas grandes) tienden a ser multiusuario,
mientras que los que se ejecutan en máquinas pequeñas (sistemas pequeños)
tienden a ser de un solo usuario.
SOFTWARE
El administrador de base de datos o servidor de base de
datos conocido como sistema de administración de base de datos (DBMS) maneja
todas las solicitudes de acceso a la base de datos ya sea para agregar y
eliminar archivos, recuperar y almacenar datos desde y en dichos archivos. Por
lo tanto, una función general que ofrece el DBMS consiste en ocultar a los
usuarios de la base de datos los detalles al nivel de hardware. Es decir, que
el DBMS ofrece a los usuarios una percepción de la base de datos que está en
cierto modo, por encima del nivel del hardware y que maneja las operaciones del
usuario expresadas en términos de ese nivel más alto de percepción.
AUDITORIA DE COMUNICACIÓN Y REDES
ü Formular
Plan, que hacer, aquí plantear la solución, en caso de nuestro ejemplo seria
proporcionar un nuevo teclado.
OPTIMIZACION
DE LOS SISTEMAS Y SUBSISTEMAS
Uno de los remedios que
podemos intentar para buscar la mejora de nuestros equipos es utilizar el
software de optimización del sistema operativo. Se trata de programas que
podemos utilizar para mejorar la forma en que nuestro hardware se relaciona con
nuestro software, es decir, que nos ayudará a mejorar el rendimiento sin
aumentar los recursos de la máquina
Estos programas están
diseñados para utilizarse en los sistemas Windows y por lo general realizan
acciones que podríamos hacer desde el propio sistema operativo pero de una
forma más eficaz, ya sea desinstalar un programa o buscar una ecuación adecuada
entre rendimiento y recursos gráficos de nuestro sistema. Algunos nos ofrecen
mantenimientos periódicos que nos servirán para mantener nuestro sistema en un
buen estado de forma, limpiando registros, y buscando problemas. Se trata de
una especie de ITV de los ordenadores donde se controlan una serie de puntos
básicos que pueden hacer que el rendimiento de nuestro equipo mejore de forma
sustancial.
Debe realizar acciones
permanentes de optimización como consecuencia de la realización de tunnings
preprogramados o específicos.
ADMINISTRACION
DE BASE DE DATOS
Los sistemas de bases de
datos están disponibles en máquinas que van desde las computadoras personales más
pequeñas hasta las más grandes.
Los sistemas que se
encuentran en máquinas grandes (sistemas grandes) tienden a ser multiusuario,
mientras que los que se ejecutan en máquinas pequeñas (sistemas pequeños)
tienden a ser de un solo usuario.
Un sistema de un solo
usuario es aquel en el que sólo un usuario puede tener acceso a la base de
datos en un momento dado; un sistema multiusuario es aquel en el cual múltiples
usuarios pueden tener acceso simultáneo a la base de datos.
HARDWARE
Los componentes de hardware del sistema constan de:
Los volúmenes de almacenamiento secundario, como discos
magnéticos, que se emplean para contener los datos almacenados, junto con
dispositivos asociados de E/S, los controladores de dispositivos, los canales
de E/S, entre otros.
Los procesadores de hardware y la memoria principal
asociada usados para apoyarla ejecución del software del sistema de base de
datos.
SOFTWARE
Podemos ampliar la información conociendo los tipos de
base de datos en el siguiente blog: http://basededatos.over-blog.net/article-tipos-de-bases-de-datos-68319538.html
AUDITORIA DE COMUNICACIÓN Y REDES
Es una serie de mecanismos
mediante los cuales se pone a prueba una red informática (se refiere a la conexión
en otros equipos: PAN que es la más pequeña como es el Facebook, Instagram; LAN
regularmente empleado en el Ciber; MAN se limita a cierto kilometraje, WAN es
una red de área extensa, puesto que traspasa límites territoriales un claro
ejemplo es el WWW), evaluando su desempeño y seguridad, a fin de lograr una
utilización más eficiente y segura de la información
Se debe Comprobar que:
·
La seguridad física del equipo de
comunicaciones sea adecuada
·
Existan revisiones periódicas de la red
buscando pinchazos a la misma
·
El equipo de prueba de comunicaciones ha de
tener unos propósitos y funciones específicas
·
Existan alternativas de respaldo de las
comunicaciones
·
Con respecto a las líneas telefónicas. No
debe darse el número como público y tenerlas configuradas con retro llamada,
código de conexión o interruptores
Debe evitarse un daño
interno:
· 1.-Dar contraseñas de acceso
· 2.-Controlar los errores
· 3.-Garantizar que en una transmisión, sea
recibida solo por el destinatario. Y para esto, se cambia la ruta de acceso de
la información a la red
· 4.-Registrar las actividades de los usuarios en
la red
· 5.-Encriptar la información
El objetivo de una auditoria
de redes es determinar la situación actual, fortalezas y
debilidades, de una
red de datos, minimizar riesgos en el
uso de las TIC`S(Tablet, celular, computadora), capacitación y educación sobre los sistemas de
información, es decir, estar de sabedor de lo que se está haciendo, asegurar la
integridad, confidencialidad y confiabilidad, Seguridad de Datos, SW, HW e
instalaciones (necesito auditar para verificar que los programas que tengo
instalados sirven en realidad, son para empresas grandes, por ello la información
y datos personales deben estar seguros).
TIPOS
DE EVALUACIONES DE REDES QUE EXISTEN
·
Nivel interno o externo
Nivel interno o externo
Las revisiones externas son
aquellas que se realizan fuera del perímetro de la red, incluyendo revisión de
las reglas de Firewall, configuración de IPS, control de acceso a los routers.
·
1.-SISTEMAS DE CIBERSEGURIDAD PARA EMPRESAS
1.-SISTEMAS DE CIBERSEGURIDAD PARA EMPRESAS
Por el contrario, las revisiones
dentro de la red a nivel interno revisan los protocolos usados, los servicios
desactualizados y la configuración de los segmentos de la red.
·
2.-RED CABLEADA O INALÁMBRICA
2.-RED CABLEADA O INALÁMBRICA
Si la revisión se realiza
sobre redes inalámbricas se evalúan los protocolos de cifrado entre los puntos
de acceso y los dispositivos que se conectan a la red y las llaves de cifrado. Si,
por el contrario, se trata de una red cableada, habrá que comprobar la
vulnerabilidad de los dispositivos físicos o la suplantación de los puntos de
acceso.
·
3.-FÍSICA O LÓGICA
3.-FÍSICA O LÓGICA
La revisión física está
orientada a conocer los mecanismos de protección del cableado a nivel de
hardware. Se puede decir que lo que se hace en comprobar las normas ISO o ANSI
del cableado y la revisión de las conexiones.
Por otro lado, la revisión
de seguridad a nivel lógico se basa en verificar y evaluar las medidas de
protección de los procesos y de la información. Por ello, al auditar a nivel
lógico se deben comprobar los mecanismos de control de acceso a la red, los
privilegios de las cuentas con autorización y los protocolos usados.
·
4.- AUDITORÍA TÉCNICA O DE CUMPLIMIENTO
4.- AUDITORÍA TÉCNICA O DE CUMPLIMIENTO
Las revisiones técnicas
incluyen información acerca de los dispositivos y protocolos utilizados, para
identificar y corregir debilidades. Todo esto se hace simulando ataques en
ambientes controlados.
· 5,.SEGURIDAD-ACCESO-REMOTO-REDES
Las revisiones de
cumplimiento permiten conocer la familiarización de las empresas con la
protección de sus redes, sus estándares de seguridad y los requisitos que deben
cumplir.
Las empresas no siempre
conocen hasta donde llegan sus debilidades de ahí viene la finalidad de que
existan diferentes tipos y propósitos de la auditoría de redes de comunicación,
pues hay miles de maneras de atacar un sistema. Ahora ya solo queda la
mentalización e implicación de los organismos más altos para evitar que los
ataques empapen negativamente sus negocios y que se puedan evitar contactando
con una empresa de ciberseguridad profesional.
Para ampliar información de
igual modo podemos revisar el blog: http://comunicacion-oranizacional.blogspot.com/2011/12/auditoria-de-la-comunicacion.html
METODOLOGIA
ü Entrevistar,
es decir hablar, platicar, recopilar información
ü Diagnosticar,
enfocado a la respuesta obtenida, el que me dijo, por ejemplo que el teclado no
funciona
ü Formular
Plan, que hacer, aquí plantear la solución, en caso de nuestro ejemplo seria
proporcionar un nuevo teclado.
ü Desarrollo
dar el teclado.
ü Conclusiones
ü Plan
de Mejora, realizar recomendaciones respecto a lo diagnosticado.
Dependiendo de quién realice la auditoria de seguridad informatica se denominan internas, cuando son realizadas por personal de la propia empresa (aunque pueden tener apoyo o asesoramiento externo) o externas, cuando se realizan por empresas externas que son independientes de la empresa.
ResponderEliminar