Está en la página 1de 5

AUDITORIA Es el examen crtico y sistemtico que realiza una persona o grupo de personas independientes del sistema auditado .

El origen etimolgico de la palabra es el verbo latino Audire, que significa or. Esta denominacin proviene de su origen histrico, ya que los primeros auditores ejercan su funcin juzgando la verdad o falsedad de lo que les era sometido a su verificacin principalmente oyendo. Auditoria informtica La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. Que no es auditoria informtica? No es auditora contable: El auditor no investiga la parte de la gestin econmica que se hace con computadoras para descubrir fraudes o incorrecciones. No es polica informtica: El auditor no busca programas ilegales o delitos cometidos a travs de internet. Formal Examen total o parcial de un SGI implantado en una empresa con el objeto de emitir un juicio sobre la adecuacin de SGI a las necesidades de informacin de esa empresa . TIPOS DE AUDITORIAS Atendiendo al tipo de sntomas que motivan la auditoria hay tres tipos -correctiva -Detectiva -Preventiva AUDITORIA CORRECTIVA Trata de determinar si el sistema de gestin de informacin fue mal planificado , desarrollado o implementado dentro de la empresa . -Se trata de determinar si las carencias del sitema se deben actuaciones llevadas acabo en el pasado. AUDITORIA DETECTIVA Trata de determinar si el SGI aun habiendo sido bien instalado esta mal gestionado en la actualidad. Si los procedimientos de operacin se partan de las pautas trazadas Si el personal ignora deliberadamente las directrices que se disearon Si las directrices se han quedado obsoletas y aunque se sigue bien dan lugar a una mala gestin AUDITORIA PREVENTIVA Trata de determinar si el SGI el cual ha sido bien planificado y llevado a la practica que actualmente se gestiona con eficacia y se adecua perfectamente a las necesidades de informacin de la empresa puede llegar a ser poco operativo si no se introducen ciertas mejoras o cambios. Atendiendo a la procedencia del personal que realiza la auditoria hay dos tipos. --Interna --Externa AUDITORIA INTERNA Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. -Los auditores informativos internos son personal de la empresa (remunerados por esta)Esto es un problema? La auditoria interna debe basarse en dos pilares INDEPENDENCIA:

El departamento de audotoria no debe estar sometido a presiones que puedan influir en su juicio CONFIANZA Todos los dems departamentos deben confiar en que el trabajo ser objetivo. AUDITORIA EXTERNA Es realizada por personas ajenas la empresa auditada y es siempre remunerada. Los auditores informaticos externos no son personal de la empresa supone esto un problema? --No si en el contrato de auditora se incluyen las clausulas de la confidencialidad necesarias TIPOS DE AUDITORIA ADMINITRATIVA : Examen completo y constructivo de una entidad y sus mtodos de control. OPERACIONAL: Evala la efectividad, eficiencia ,y economa de los mtodos dy procedimientos que rigen una empresa CALIDAD: Mtodos mediciones controles bienes y servicios OPERATIVA: Determinar los grados de efectividad para mejorar las operaciones evaluadas FISCAL: Consiste en verificar el correcto y oportuno pago de los diferentes pagos de impuestos y obligaciones. TIPOS DE AUDITORIA INFORMATICA DE LA GESTION: contratacin de bienes y servicios y documentacin de programas DE SISTEMAS: El desempeo de la funcin informtica. ORGANIZATIVA: Se analiza la distribucin adecuada de los procedimientos establecidos LEGASL DE REGLAMENTO DE PROTECCION: Comprueba el cumplimiento legal de las medidas de seguridad que exige el reglamento. BASE DE DATOS : Controles de acceso ,de integridad , de actualizacin , calidad de los datos DE DATOS : Clasificacion de los datos , estudio de las aplicaciones y anlisis de flujoramas DE SEGURIDAD LOGICA: Metodos de autentificacin de los sistemas de informacin DE SEGURIDAD FISICA: Ubicacin de la organizacin , evitando ubicacin de riesgo. DE LAS COMUNICACIONES: Se refiere a la auditoria de los procesos de autentificacin en los sistemas de comunicacin. DE LA SEGURIDAD EN PRODUCCION: Frente errores, accidentes y fraudes A LOS SISTEMASDE REDES: Es la revisin exhaustiva , especifica y especializada que se realiza a los sistemas de redes de una empresa considerando en la evaluacin los tipos de redes. ERGONOMIA DE SISTEMAS COMPUTACIONALES:Es la revison tcnica , especifica y especializada que se realiza para evaluar la calidad , eficiencia y utilidad del entorno hombre-maquina-medio. PARA DECIR QUE UNA AUDITORIA ES BUENA DEBE SER : Independiente Completa Veras Ajustadas a sus finalidades CAMPOS DE LA AUDITORIA Investigacin cientfica y humanstica Aplicaciones tcnicas Aplicaciones en el arte Procesamiento de imgenes Video-juegos Inteligencia artificial Gestin administrativa Documentacin e informacin

CONTROL INTERNO INFORMATICO Controla diariamente que todas las actividades de sistemas de informacin sean sean realizadas cumpliendo los procedimientos ,estndares y normas fijados por la direccin de la organizacin y/o de la direccin informtica ,as como los requerimientos legales. PRINCIPALES OBJETIVOS Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados Asesorar sobre el conocimiento de las normas Colaborar y apoyar el trabajo de auditora informtica, asi como de las auditoras externas al grupo. CLASIFICACION DE LOS CONTROLES INTERNOS Preventivos Detectivos Correctivos ELEMENTOS FUNDAMENTALES DEL CONTROL INTERNO INFORMTICO Sobre: La organizacin del rea de informtica El analista, desarrollo e implementacin de sistemas Operacin del sistema. COBIT (DEFINICION) Es un marco de control interno de TI Parte de la premisa de que TI requiere proporcionar informacin para lograr los objetivos de la organizacin. Promueve el enfoque y la propiedad de los procesos. COBIT- RECURSOS DE TI Datos: Todos los objetos de informacin interna y externa, estructurada o no, graficas, sonidos, etc. Aplicaciones: Sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: Hardware y software bsico, sistemas operativos, de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. COBIT- RECURSOS DE TI Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas. Recurso Humano: Habilidad, actitud y productividad del personal. COBIT- PROCESOS DE TI- TRES NIVELES Dominios: agrupacin natural de procesos, normalmente corresponde a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitacin o corte de control. Actividades o tareas: Acciones requeridas para lograr un resultado medible. Las actividades: Tiene un ciclo de vida mientras que las tareas son discretas. OECD (Organizacin para la cooperacin econmica y el desarrollo) Qu es? Un organismo internacional que ayuda a los gobiernos a encarar los desafos econmicos, sociales y de gobierno en una economa global. El grupo de 30 pases miembros Sede: Pars, Fracia. GAPP (Generaly Accepted Principles and Practice(Principios y practicas generalmente aceptados)) Qu es?

EL conjunto comn de principios, normas y procedimientos que utilizan para elaborar sus estados financieros. Son una combinacin de normas de autoridad (establecido por las juntas de la polticas) y simplemente la forma comnmente aceptados de registros y comunicacin de la informacin contable. BS7799 British Standard Institute(Instituto de normas britnico) Qu es? El estndar de seguridad de informacin de facto, creada por British Standard Institute (BSI) como un conjunto de controladores de seguridad y de metodologas para su correcta aplicacin. Es un amplio plan para la implementacin efectiva de los niveles y controladores para la seguridad de la informacin. SAC Modelo de control de acceso semntico Este modelo se basa en la informacin semntica para lograr que se tengan en consideracin las propiedades particulares de los recursos accedidos (lo que se conoce como introspeccin de contenidos). DISEO: se basa en metadatos que permiten la integracin semntica de una aplicacin de control de acceso y una infraestructura de acreditacin externa. REPRESENTA: una solucin al problema del control de acceso para entornos altamente distribuidos, dinmicos y heterogneos. REQUERIMIENTOS La identificacin del usuario o cliente no es obligatoria: Esto es debido a que los clientes poseen una serie de atributos, el acceso a los recursos se basa igualmente en la especificacin de un conjunto de atributos que debe reunir el cliente para poder acceder a ellos. Se garantiza la interoperabilidad de los atributos: Pueden ser comunicados de forma segura evitando a necesidad de ser emitidos localmente por el administrador del sistema. Los atributos deben venir firmados digitalmente por una entidad de certificacin confiable, externa al sistema gestor de control de acceso, constituyendo lo que se conoce por un certificando de atributo. COSO Comit de Organizaciones Patrocinadores de la comisin Tradeway, EE.UU, septiembre de 1992 COSO es un documento que contiene las principales directivas para la implementacin, gestin y control de un sistema de control Interno. En 1992, COSO publico el Sistema Integrado de Control Interno, un informe que establece una definicin comn de control interno y proporciona un estndar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control. COMPONENTES: Ambiente de control Evaluacin de riesgo Actividades de control Informacin y comunicacin Seguimiento SSE CMM El System Security Engineering Capability Maturity Model o Modelo de madurez de capacidades en la ingeniera de seguridad de sistemas es un modelo derivado de CMM y que describe las caractersticas esenciales de los procesos que deben existir en una organizacin para asegurar una buena seguridad de sistemas.

COCO (Criteria of Control Board of the Canadian Institute of Chartered Accountants) En 1995, el CICA crea COCO, para elaborar unas orientaciones en el diseo, evaluacin e informacin sobre los sistemas de control de las organizaciones. ITCG INFORMATION TECHNOLOGY CONTROL GUIDELINES (CANADA) Fue publicado originalmente por el CICA, en 1970. ITCG est destinado a ser una gua prctica para el diseo, implementacin y evaluacin de los controladores de tecnologa de la informacin, para as satisfacer las necesidades especficas de las empresas, asesores y auditores. ITCG Caractersticas (requerimientos) Cubre los objetivos, normas mnimas y tcnicas de control. Garantiza que la informacin de esta publicacin puede ser aplicada a todo tipo de plataformas. Dicha publicacin sigue un concepto de funciones poniendo nfasis en las actividades, las responsabilidades de un papel. Es aplicable a todo tipo de modelos de empresa. ITCG La publicacin requiere la revisin para dar cobertura o mejor de por lo menos las siguientes reas principales. Desarrollo de tcnicas (CASE), construccin de prototipos, la dispersin de desarrollo para grupos de usuarios y departamentos de usuarios. Las estructuras organizativas para la gestin de tecnologa de la informacin moderna Nuevas tcnicas de seguridad para los sistemas contemporneos, incluido el Token. Fin de la informtica de usuarios y los controles relacionados con diversos tipos de redes.