Repblica Bolivariana de Venezuela Ministerio del Poder Popular Para la Educacin Universitaria Instituto Universitario de Tecnologa del Estado

Bolvar Aldea Universitaria Ciudad Angostura

ENSAYO SOBRE AUDITORIA DE SISTEMAS

tutor: Mndez

Domingo

Autor: Ortiz G.

Ender

Ciudad Bolvar, NOVIEMBRE 2011

AUDITORIA INFORMATICA
Se define como el conjunto de procedimientos y tcnicas para evaluar y controlar un sistema informtico con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informticas y generales prefijadas en la organizacin.

La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. Esta es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo: informtica, organizacin de centros de informacin, hardware y software.

La Auditora del Sistema de Informacin en la empresa, a travs de la evaluacin y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de informacin en que se sustenta.

Los aspectos relativos al control de la Seguridad de la Informacin tienen tres lneas bsicas en la auditoria del sistema de informacin:

Aspectos generales relativos a la seguridad. En este grupo de aspectos habra que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmsferas agresivas, agresiones y posibles sabotajes, seguridad fsicos de las instalaciones, del personal informtico, etc.

relativos a la confidencialidad y seguridad de la informacin. Estos aspectos se refieren no solo a la proteccin del material, los soportes de la informacin, sino tambin al control de acceso a la propia informacin a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma).

Aspectos jurdicos y econmicos relativos a la seguridad de la informacin. En este grupo de aspectos se trata de analizar la adecuada aplicacin del sistema de informacin en la empresa en cuanto al derecho a la intimidad y el derecho a la informacin, y controlar los cada vez ms frecuentes delitos informticos que se cometen en la empresa. La propia dinmica de las tecnologas de la informacin y su cada vez ms amplia aplicacin en la empresa, ha propiciado la aparicin de estos delitos informticos. En general, estos delitos pueden integrarse en dos grandes grupos: delitos contra el sistema informtico y delitos cometidos por medio del sistema informtico. En el primer grupo se insertan figuras delictivas tipificadas en cualquier cdigo penal, como hurto, robo, revelacin de secretos, etc..., y otro conjunto de delitos que ya no es tan frecuente encontrar, al menos con carcter general, perfectamente tipificados, como el denominado hurto de tiempo, destruccin de logiciales y datos, delitos contra la propiedad (material, terminales, cintas magnticas,...). En el conjunto de delitos informticos cometido por medio de sistemas informticos cabra sealar, siempre con carcter doloso, manipulaciones fraudulentas de logiciales, informaciones contenidas en bases de datos, falsificaciones, estafas, etc...

Merece la pena por su frecuencia y la dificultad de prueba el llamado hurto de uso. Este delito suele producirse cuando se utilizan los equipos informticos de una organizacin para fines privados (trabajos externos, simple diversin,...). Los prejuicios, sobre todo econmicos, que para la empresa puede significar esta modalidad de hurto de tiempo mquina, pueden ser

cuantioso, sobre todo cuando en el mismo interviene adems el elemento comunicaciones. Se trata, en definitiva, de la utilizacin de unos equipos si

tener derecho a ello o para un uso distinto del autorizado, y en el que lo lesionado no es la propiedad, sino una de las facultadas inherentes a la misma. De la misma manera, a travs de la auditoria del sistema de informacin ser necesario controlar el adecuado equilibrio entre riesgos y costes de seguridad y la eficacia del propio sistema.

En cuanto a la Eficacia del Sistema, esta viene determinada, por la aportacin a la empresa de una informacin vlida, exacta, completa, actualizada y oportuna que ayude a la adopcin de decisiones, y todo ello medido en trminos de calidad, plazo y coste. Sin el adecuado control, mediante la realizacin de auditoras al sistema de informacin, esos objetivos seran difciles de conseguir, con la siguiente repercusin en una adecuada direccin y gestin en la empresa.

Uno de los aspectos ms significativos de la Auditora Informtica se refiere a los datos relativos a la Rentabilidad del Sistema, homogeneizados en unidades econmicas de cuenta. La rentabilidad del sistema debe ser medida mediante el anlisis de tres valores fundamentales: la evaluacin de los costes actuales, la comparacin de esos costes actuales con magnitudes representativas de la organizacin, y la comparacin de los costes del sistema de informacin de la empresa con los de empresas similares, preferentemente del mismo sector de actividad.

Como evaluar de forma concreta estos tres aspectos fundamentales, que conforman la rentabilidad del sistema de informacin, es lo que se analiza seguidamente.

1) Evaluacin

de

los

costes

actuales.

Conocer,

en

trminos

econmicos, los costes que para una empresa supone su sistema de informacin, constituye uno de los aspectos bsicos de la auditora

informtica. Se trata de cuantificar los costes de los distintos elementos que configuran el sistema de informacin y que en trminos generales son los siguientes:

a)

Hardware. Se trata de analizar la evolucin histrica del hardware en la empresa, justificando dicha evolucin. Es importante conocer el coste del material (unidad central, perifricos, soporte,...)

b) Software. Anlisis de los costes relativos al sistema lgico, tanto en sus aspectos relativos a la explotacin (adecuacin del sistema operativo, versin del software utilizado,...) como en los aspectos relativos a la programacin de las distintas aplicaciones (prioridades de ejecucin, lenguaje utilizado,...).

c) Capturas de datos. Anlisis de los costes relativos a la captura de datos, de las fuentes de informacin, tanto internas como externas de la empresa.

d) Grabacin de datos. Es necesario conocer tambin los costes relativos a la transcripcin de datos en los soportes adecuados (costes de personal, equipos y mquinas auxiliares).

e) Explotacin. Anlisis de los costes imputados a los factores relativos a la explotacin en sentido amplio (tratamiento manual, tiempos de realizacin de aplicaciones, tiempo de respuesta, control errores, etc...)

f) Aplicaciones. Se trata de evaluar los costes del anlisis funcional, el anlisis orgnico, la programacin, las pruebas de programas, preparacin de datos y costes de desarrollo de cada aplicacin medido en horas.

g) Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas categoras, equilibrio entre esas categoras, remuneraciones salariales, horas extraordinarias), se trata de

analizar los costes de personal directamente relacionado con el sistema de informacin. En este apartado debern tenerse en cuenta tambin los costes relativos a la formacin del personal.

h) Documentacin. Es necesario no slo verificar que la documentacin relativa al sistema de informacin sea clara, precisa, actualizada y completa, sino tambin los costes relativos a su elaboracin y actualizacin.

i) Difusin de la informacin. Se trata de evaluar los costes de di-fundir la informacin, es decir, hacer llegar a los usuarios del sistema la informacin demandada o aquella considerada necesaria en los distintos niveles de la organizacin. Se trata, en definitiva, de conocer y analizar los costes que para la empresa supone disponer del sistema de informacin.

2) Comparacin de los costes actuales con magnitudes representativas de la organizacin. No es suficiente conocer los costes totales del sistema de informacin; es necesario, adems, comparar este coste con magnitudes representativas de la empresa.

El dato de costes del sistema y su comparacin con otras magnitudes constituye una valiosa informacin que deber ser especificada en las conclusiones de la auditora informtica y que tendr una notable incidencia respecto a los planteamientos de futuro del sistema de informacin.

3) Comparacin de los costes del sistema de informacin de la empresa con los de empresas similares. El anlisis de costes y su comparacin con otras magnitudes representativas, debe completarse, siempre que ello sea posible, con los costes de los sistemas de informacin de empresas similares a la que es objeto de auditora. Es imprescindible conocer los costes que representa la obtencin, tratamiento y difusin de la informacin en la empresa. La informacin es un recurso de la empresa y por lo tanto un activo de la misma. De ah la importancia de poder disponer de una comparacin de los costes del sistema de informacin con los de otras empresas. Esa comparacin debe realizarse con empresas del mismo sector. Ello permite comparar el nivel de costes del sistema de informacin de la empresa auditada con la media del sector.

Los tres aspectos analizados en relacin con los costes aportarn una importante informacin que permitir adoptar correctas decisiones, a partir de la auditora realizada sobre el sistema de informacin de la empresa.