Está en la página 1de 10

INDICE

1.- Auditorias Informticas 2.- Objetivos 3.- Procedimientos 4.- Evaluacion de los Sistemas 5.- Evaluacion de ls Sitemas Administrativos 6.- Las Auditorias Informaticas en los Sistemas de Informcion 7.- Tipos de Auditorias Informticas utilizadas para evluar los sistemas de informacin. 8.- Evaluacion de los sistemas de informacin.

Desarrollo

1.- Auditorias Informticas: La auditoria en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditoria en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditoria en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software).

2.- Objetivos Objetivos generales de la auditoria Realizar una evaluacin independiente de las actividades, reas o funciones especiales de una institucin, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados. Evaluar el cumplimiento de los planes, programas, polticas, normas y lineamientos que regulan la actuacin de los empleados y funcionarios de una institucin, as como evaluar las actividades que se desarrollen en sus reas y unidades administrativas. Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus reas, as como sobre el desarrollo de sus funciones y cumplimiento de sus objetivos y operaciones

3.- Procedimientos:

Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios del PAD. Consiste en la Revisin y evaluacin de controles y seguridades: revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas criticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades. Examen detallado de reas criticas: Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usara, definir la metodologa de trabajo, la duracin de la auditoria, Presentar el plan de trabajo y analizara detalladamente cada problema encontrado. Comunicacin de resultados: Se elaborar el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentar esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoria. El informe debe contener lo siguiente: Los Motivos de la Auditoria o Objetivos o Alcance o Estructura Orgnico-Funcional del rea Informtica o Configuracin del Hardware y Software instalado o Control Interno o Resultados de la Auditoria.

4.- Evaluacion de los Sistemas: Los progresos realizados en un sistema deben ser medidos o evaluados para conocer las deficiencias y problemas que ste presenta. Aunque una evaluacin cualitativa puede resultar til en las etapas iniciales del desarrollo del sistema, medidas cuantitativas bajo unas mismas condiciones resultan de vital importancia para ver el progreso real del sistema y compararlo consigo mismo o con otros. Los nmeros no aportan informacin si se desconoce de dnde proceden, es decir, qu representan. La evaluacin de cualquier

tecnologa debe ir acompaada de un conjunto de medidas estndar propuestas para tal fin. La disponibilidad de bases de datos y de protocolos o procedimientos para la evaluacin de estos sistemas ha sido un componente muy importante, casi fundamental, en el progreso alcanzado en este campo y ha permitido compartir nuevas ideas, e incluso compararlas con otras ya consolidadas. Los progresos en la evaluacin de sistemas de comprensin del lenguaje hablado estn comenzando. Acuerdos alcanzados para la evaluacin en sistemas:

Conjuntos de Datos de Entrenamiento y de Prueba Independientes. La importancia de disponer de conjuntos de datos independientes para el entrenamiento/desarrollo y para la evaluacin de sistemas de reconocimiento de habla viene siendo aceptada desde hace bastante tiempo por la comunidad cientfica. Sigue siendo igual de importante para el desarrollo y evaluacin de los sistemas de comprensin de habla, aunque para estos ltimos nos interesar tener datos de prueba dnde aparezcan el mayor nmero de fenmenos del habla posibles (son importantes las construcciones gramaticales, los efectos propios del habla espontnea, etc.), para colocar al sistema en el mayor nmero de situaciones (lxicas, sintcticas y semnticas) posible. Sin embargo, es conveniente resaltar que el proceso de evaluacin no deja de ser parte del proceso de entrenamiento, pues en muchos casos los resultados de la misma sirven para depurar o mejorar el comportamiento final del sistema. Por tanto, es importante que exista un conjunto de datos independiente y realista, tan grande como sea posible, con el que se evale definitivamente un sistema y con cuyos resultados no se intente seguir desarrollando (mejorando) el sistema. Evaluacin del Sistema como Caja Negra. La evaluacin de los componentes de un sistema es una tarea importante durante el desarrollo del mismo, aunque no es especialmente til para comparar sistemas entre s, al menos que los sistemas a comparar sean muy similares, lo que no suele ser el caso. La motivacin para evaluar los componentes de un sistema es puramente interna, por tanto, no es absolutamente necesario llegar a acuerdos en la comunidad internacional sobre la metodologa de evaluacin de los mismos. Las medidas de evaluacin de los componentes internos de un sistema pueden utilizarse para evaluar las tecnologas empleadas en cada componente como una funcin de sus parmetros de diseo; por ejemplo, el funcionamiento de un mdulo de reconocimiento acstico puede ser evaluado como una funcin de la perplejidad alofnica y sintctica, el funcionamiento de un analizador sintctico (parser) como una funcin de la calidad (errores) de la secuencia de palabras (frase) de entrada. Adems, estas medidas son tiles para evaluar el progreso conseguido, y cmo los cambios en varios componentes afectan al resto de los mismos. Evaluacin Cuantitativa vs. Cualitativa. Una evaluacin cualitativa de un sistema (p. ej. lo que parece gustar a los usuarios del sistema) puede ser animador, pero mucho ms convincente para aquellos que no

pueden observar el sistema son las medidas cuantitativas llevadas a cabo de forma automtica. Las medidas deberan ser estandarizadas en la medida de lo posible, y ser reproducibles, para considerarlas significativas. El proceso automatizado evita errores humanos debido a fatiga, falta de atencin, malas intenciones, etc. y adems, permite capturar muchos ms datos que en un caso manual, y sacar conclusiones sobre el funcionamiento de ciertos procesos o hechos que ocurren, con una mayor fiabilidad. Captura de Datos para Evaluacin. Para capturar los datos que necesitamos para evaluar los sistemas de lenguaje hablado, se han desarrollado tcnicas y sistemas especiales conocidos como PNAMBIC (Pay No Attention to the Man Behind the Curtain) o Mago de Oz (Wizard of Oz), que implica la existencia de un experto cooperando con un sistema ms o menos automtico y completo, pero del que no es consciente el usuario, quin piensa que interacciona slo con un sistema completamente automtico. Realmente, el mago introduce las peticiones del usuario transcribiendo la frase hablada a texto y envindosela a la pantalla del usuario, as como interaccionando con un sistema de informacin (p.e. de gestin de bases de datos), para conseguir las respuesta a la pregunta o peticin del usuario y poder mandrsela. No se permite que el mago realice tareas complejas, slo puede enviar los datos obtenidos de la base de datos, o frases que indiquen ciertos problemas, indicaciones al usuario, como su pregunta requiere un proceso que sobrepasa las posibilidades del sistema. En general, la actuacin del mago viene condicionada por el hecho de que comprenda o no la pregunta del usuario y sobre su conocimiento sobre las posibilidades de la base de datos. Los datos deben ser analizados a posteriori para determinar si la actuacin del mago fue o no correcta. Convenios sobre las Transcripciones. La transcripcin de las sesiones, es decir, las frases que se muestran al usuario, representan el habla natural de ese locutor. Para llevar a cabo evaluaciones automticas, debemos llegar a un cierto acuerdo sobre los convenios a utilizar para representar lo que el usuario ha dicho, y se deben implementar procedimientos que aseguren que estos convenios son realmente utilizados. Respuestas Cannicas y Obtencin de Medidas. Las respuestas cannicas son, en general, las respuestas enviadas al usuario bajo el control del mago. Estas respuestas debern ser modificadas si el mago comete un error, o si la respuesta depende del contexto en que fue generada debido a la posible cooperacin (dilogo) entre el mago y el usuario. La obtencin de medidas se lleva a cabo con programas estndar y convenios para las entradas y salidas.

5.- Evaluacion de los Sitemas Administrativos: Las tcnicas de Sistemas y Procedimientos Administrativos, son la forma o manera en la cual se basan las empresas para la administracin de los negocios y para desarrollar sus tareas. La elaboracin de formularios le es de gran utilidad, pues, estos guan y controlan el trabajo. El formulario es un instrumento que sirve para recolectar informacin precisa sobre personas, actividad o evento. Las tcnicas y los formularios son de gran importancia en la empresa, a travs de ellos se puede tener precisin y garanta de la informacin necesaria. Tambin existen mtodos de planeacin y control, tanto para los proyectos, como para las diferentes actividades que se realizan en la organizacin. Estos son mtodos grficos que permiten representar hechos, situaciones, etc. Ellos expresan grficamente las distintas operaciones que componen un procedimiento, estableciendo su secuencia cronolgica. Cules son estos mtodos de planeacin y control? Entre ellos podemos mencionar: La Grfica de Gantt, El Organigrama, El diagrama de Proceso y El Flujo grama, los cuales sern definidos y explicados en el contenido de este material. El principal objetivo del procedimiento es el de obtener la mejor forma de llevar a cabo una actividad, considerando los factores del tiempo, esfuerzo y dinero". IMPORTANCIA DE LOS PROCEDIMIENTOS El hecho importante es que los procedimientos existen a todo lo largo de una organizacin, aunque, como seria de esperar, se vuelven cada vez ms rigurosos en los niveles bajos, mas que todo por la necesidad de un control riguroso para detallar la accin, de los trabajos rutinarios llega a tener una mayor eficiencia cuando se ordenan de un solo modo. Segn Biegler J. (1980) " Los procedimientos representan la empresa de forma ordenada de proceder a realizar los trabajos administrativos para su mejor funcin en cuanto a las actividades dentro de la organizacin". (p.54) CARACTERSTICAS DE LOS PROCEDIMIENTOS - No son de aplicacin general, sino que su aplicacin va a depender de cada situacin en particular. -Son de gran aplicacin en los trabajos que se repiten, de manera que facilita la

aplicacin continua y sistemtica. -Son flexibles y elsticos, pueden adaptarse a las exigencias de nuevas situaciones. Desde otro punto de vista Gomes G (1997) se enfoca en las siguientes caractersticas de procedimientos: -Por no ser un sistema; ya que un conjunto de procedimientos tendientes a un mismo fin se conoce como un sistema. - Por no ser un mtodo individual de trabajo. El mtodo se refiere especficamente a como un empleado ejecuta una determinada actividad en su trabajo. - Por no ser una actividad especifica. Una actividad especfica es la que realiza un empleado como parte de su trabajo en su puesto. (p.53) ESTRUCTURA DE LOS PROCEDIMIENTOS Los procedimientos se estructuran de la siguiente manera: - Identificacin. Este titulo contiene la siguiente informacin; Logotipo de la organizacin, Denominacin y extensin (general o especfico) de corresponder a una unidad en particular debe anotarse el nombre de la misma. .- Lugar y fecha de elaboracin. .- Numero de revisin. .- Unidades responsables de su revisin y/o autorizacin .- ndice o contenido; Relacin de los captulos que forman parte del documento. .- Introduccin; Exposicin sobre el documento, su contenido, objeto, rea de aplicacin e importancia de su revisin y actualizacin. .- Objetivos de los procedimientos; Explicacin del propsito que se pretende cumplir con los procedimientos. .- reas de aplicacin o alcance de los procedimientos. .- Responsables; Unidades administrativas y/o puesto que intervienen en los procedimientos en cualquiera de sus fases. .- Polticas o normas de operacin; En esta seccin se incluyen los criterios o lineamientos generales de accin que se determinan para facilitar la cobertura de responsabilidades que participan en los procedimientos. 6.- Las Auditorias Informticas en los Sistemas de Informacin: La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y

evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de informacin eficientes. en si la auditoria informtica tiene 2 tipos las cuales son: AUDITORIA INTERNA: es aquella que se hace adentro de la empresa; sin contratar a personas de afuera. AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoria en su empresa. Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia. Los objetivos de la auditora Informtica son:

El anlisis de la eficiencia de los Sistemas Informticos La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos.

Sus beneficios son:


Mejora la imagen pblica. Confianza en los usuarios sobre la seguridad y control de los servicios de TI. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros). Genera un balance de los riesgos en TI. Realiza un control de la inversin en un entorno de TI, a menudo impredecible.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:


Desempeo Fiabilidad Eficacia Rentabilidad Seguridad Privacidad

Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:


Gobierno corporativo Administracin del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Proteccin y Seguridad Planes de continuidad y Recuperacin de desastres

La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, COSO e ITIL. Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin.

7.- Tipos de Auditorias Informticas utilizadas para evluar los sistemas de informacin: Dentro de la auditora informtica destacan los siguientes tipos (entre otros):

Auditora de la gestin: la contratacin de bienes y servicios, documentacin de los programas, etc. Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos. Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis de los flujogramas. Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de los datos. Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad, confidencialidad, autenticacin y no repudio. Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta. Tambin est referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de informacin. Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de autenticacin en los sistemas de comunicacin. Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.

Importancia de la Auditoria Informtica

La auditora permite a travs de una revisin independiente, la evaluacin de actividades, funciones especficas, resultados u operaciones de una organizacin, con el fin de evaluar su correcta realizacin. Este autor hace nfasis en la revisin independiente, debido a que el auditor debe mantener independencia mental, profesional y laboral para evitar cualquier tipo de influencia en los resultados de la misma. la tcnica de la auditora, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniera Informtica e Ingeniera Tcnica en Informtica y licenciados en derecho especializados en el mundo de la auditora.

8.- Evaluacion de los sistemas de informacin. En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin. Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el anlisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las principales herramientas de las que dispone un auditor informtico son:


Observacin Realizacin de cuestionarios Entrevistas a auditados y no auditados Muestreo estadstico Flujogramas Listas de chequeo 'Mapas conceptuales