Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTRODUCCION
El auditor informtico al ejercer su funcin debe determinar cul es el alcance, puesto que la
auditora de TI abarca todos los aspectos de la gestin y cada una de manera individual
aunque con objetivos comunes busca debe evaluar de una manera eficiente y eficaz, con el
propsito de que cada una contribuya al objetivo del rea de informtica, servir de soporte a la
organizacin para el logros de sus objetivos.
En esta unidad trataremos los tipos de auditora que se derivan de la gestin informtica
como: la auditora a los Sistemas de Aplicaciones y Bases de Datos, la evaluacin del
proyecto de sistema, segn el dominio de entrega y soporte de Cobit, la evaluacin de los
sistemas base como sistemas operativos y DBMS, tambin la evaluacin de los sistemas
segn el Ciclo de vida del desarrollo de sistema y evaluacin de las base de datos, a partir de
la integridad, confiabilidad y suficiencia de los datos.
Tambin abordaremos la auditara los sistemas en funcionamiento, la auditoria de redes y
telecomunicaciones as como conocer el esquema y comportamiento de las redes y equipos
de telecomunicaciones y los protocolos y vulnerabilidades.
Otros temas que tocaremos son: la auditoria de la Seguridad Informtica, la evaluacin de la
seguridad lgica y confidencialidad, la evaluacin de la seguridad en el personal,
seguridad fsica,
la
5.2 Evaluacin del proyecto de sistema, segn el dominio de entrega y soporte de Cobit
La evaluacin de los requerimientos del negocio, los recursos y procesos IT, son puntos
bastante importantes para el buen funcionamiento de una compaa y para el aseguramiento
de su supervivencia en el mercado, COBIT es precisamente un modelo para auditar la gestin
y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una
organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados
en el proceso.
Administrar Datos.
Asegurar que los datos sigan siendo completos, precisos y vlidos durante su ingreso,
actualizacin y almacenamiento mediante una combinacin efectiva de controles
generales y de aplicacin sobre las operaciones de TI.
Administrar Facilidades.
Proveer un entorno fsico adecuado que proteja el equipo de TI y la gente contra riesgos
naturales y provocados por el hombre. Es posibilitado por la instalacin de controles
ambientales y fsicos adecuados que sean revisados regularmente en busca de su
funcionamiento apropiado.
Administrar Operaciones.
Asegurar que las funciones importantes de soporte de TI se realicen regularmente y en
la forma debida mediante un programa de actividades de soporte que es registrado y
aprobado para la realizacin de todas las actividades.
Los objetivos que se persiguen con la auditoria del sistema operativo son:
Un aspecto muy importante que debe tener en cuenta el auditor informtico es la evaluacin
del DBMS, puesto que en
su ncleo (kernel) se encuentra el catlogo (componente
fundamental para la seguridad de la base de datos), el cual ofrece utilidad al administrador
tales como:
10
Crear usuarios
Conceder privilegios
Otras actividades
relativas a la
confidencialidad
5.4 Evaluar los sistemas segn el Ciclo de vida del desarrollo de sistema
Los sistemas en la empresa permiten tener proceso ms agiles, rpidos y exactos y para que
este est disponible pasa por un ciclo de vida que va desde:
11
Planeacin
Anlisis y
Diseos
Desarrollo
Implantacin
Como toda actividad que inicia bien puede terminar bien y desde el la planeacin del sistema
se pude establecer los debidos controles que permitan una establecer una seguridad
razonable, las metodologa utilizadas para el desarrollo de los sistemas tienen establecido la
manera como esta se deben realizar, lo cual el auditor debe revisar que se hayan desarrollado
e implantado el sistema basado en esos estndares. Pero hay que recordar que el papel del
auditor en esta tarea es solo recomendar no aplicar.
COBIT, define la informacin como los datos en todos sus formato, de entrada, procesados o
de salida de los sistemas de informacin sea cual sea la forma que son usados por la
organizacin.
12
control Tcnica
detectivas
de
control Tcnica
de
correctivas
control
copia
de
Cuando el auditor comprueba que existen los controles, entonces se disean las pruebas, las
cuales pueden ser:
Pruebas de cumplimiento
13
Pruebas de sustantivas
Los controles sobre la integridad buscan mantener la exactitud y confiabilidad de los datos as
como la recuperacin de los mismos en casos de emergencia.
14
de auditoria. En consecuencia, el auditor debe tener presente esta circunstancia para definir y
abordar la evaluacin a los sistemas en funcionamiento. No es igual auditar una empresa de
produccin, una empresa de servicios o una empresa comercial cuyos procesos pueden estar
dndose en ambientes de computacin, tipo Batch o en lnea, a travs de modalidades de
baja, mediana o alta complejidad.
CONOCIMIENTO DEL AREA DE SISTEMAS EN FUNCIONAMIENTO
A partir de un estudio preliminar del rea de sistemas en funcionamiento, el auditor definir el
orden de prioridades a seguir en el proceso de auditora.
1. Del sistema
2. Del programa
3. De conversin
4. De operacin
5. De biblioteca
6. Del usuario
7. De control
OBJETIVOS DE LA AUDITORIA
La auditora de los sistemas en funcionamiento normalmente se gua por los siguientes
objetivos:
1. Evaluar el grado de organizacin y de asignacin de responsabilidades en la preparacin de
los datos, en el origen.
2. Comprobar que todos los datos enviados a proceso sean debidamente autorizados.
3. Verificar que todos los datos autorizados y validados sean debidamente validados.
4. Verificar que todos los datos autorizados y validados sean debidamente procesados.
5. Cerciorarse de que todos los datos se procesen con exactitud.
15
16
5.9
Protocolos y vulnerabilidades
17
de
Otro punto de inters es conocer cules son las reas vulnerables para establecer los
debidos controles que puedan impedir que estas sean explotadas y producirse un
evento que ponga en riesgo la red, estas vulnerabilidades pueden ser:
Vulnerabilidad en el transporte
Se puede producir en:
Los nodos en los enlaces como medida se deben tener nodos replicados para prevenir
contingencias.
18
Carlos Muoz la define como Revisin exhaustivas, tcnica y especializadas que se realiza a
todo lo relacionado con la seguridad de un sistema computacional, de su rea y personal, as
como las actividades, funciones y acciones preventivas y correctivas que contribuyan a
salvaguardar la seguridad de los sistemas computacionales, de las bases de datos, redes,
sistemas, instalaciones y usuarios del mismo.
19
20
administracin de
21
22
Estos programas maliciosos son muy peligros pues en muchos casos se ejecutan con tan solo
abrir el correo y al querer visualizar un mensaje ejecuta un script que nos conecta con una web
desde donde se actualiza o carga y se ejecuta, reenvindose a toda nuestra librera de
direcciones de correo al mismo tiempo que busca en nuestros disco informacin como claves
de acceso a internet, a bancos, cuenta corrientes o lugares privados de la red, enviando toda
la informacin a algn lugar de internet y lo peor una vez logrado su objetivo borrar nuestro
sistema.
23
24
25
Interrupcin del negocio: deber cubrir la prdida de beneficios netos producida por la
ocasional interrupcin momentnea del negocio.
Valor de la documentacin no informatizada: cubrir por el valor declarado de la
documentacin no informatizada que se haya quedado daada o perdida
definitivamente.
Errores y omisiones: deber cubrir econmicamente y con proteccin legal ante un
posible error, omisin o negligencia de un profesional que cause daos a un cliente.
Conviene recordar que los seguros cubren nicamente prdidas financieras. Ante una
incidencia de gran magnitud (desastre), adems de los aspectos financieros, tendremos que
hacer frente a una prdida de imagen, de prestigio y de confianza.
26
BIBLIOGRAFIA:
27