UNIVERSIDAD TECNOLOGICA DE NEZAHUALCOYOTL INGENIERIA EN TECNOLOGIAS DE LA INFORMACION Y COMUNICACIN

Profesor: Lic. Fidel Islas Becerril fidel_becerril@hotmail.com

Materia: Auditoria se Sistemas

Trabajo presentado por: Arellano Segovia Jorge A Bravo Fuentes Isaac Leroy Fonseca Losada Jos Miguel Mendez Lopez Luis Angel Ramos Martinez Jesus A.

Grupo: ITIC 311 M

Fecha de entrega: 11 Agosto de 2011

Auditoria con la computadora

En este tipo do auditora se puede distinguir como factor fundamental que su evaluacin se realiza con el apoyo de los sistemas computacionales, aunque pudiera darse el caso de quo la auditora no se refiera a la evaluacin de estos sistemas, sino a cualquier otra disciplina ajena a ellos Esta auditora que se realiza con el apoyo de los equipos de cmputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarzadas, pero s susceptibles de ser automatizadas. La principal caracterstica de este tipo de auditora es que, sea en un caso o en otro, o en ambos, se aprovecha la computadora y sus pro-gmmas pura la avaluacin do las actividades a revisar, de acuerdo con las necesidades concretas del auditor, utilizando en cada caso las herramientas especiales del sistema y las tradicionales de la propia auditora.

Auditoria sin la computadora.

En este tipo de auditora se busca evaluar a los sistemas desde una ptica tradicional, contando con el apoyo de las tcnicas y procedimientos do evaluacin acostumbrados y sin el uso de los sistemas computacionales, aunque stos sean los que se evalen. Por lo general, esta auditora se enfoca en los aspectos operativos, financieros, administrativos y del personal de los centros do sistemas computacionales. Es tambin la evaluacin tanto a la estructura de organizacin, funciones y actividades de funcionarios y personal de un centro de cmputo, as como a los perfiles de sus puestos, como de los re/cortes, informes y bitcoras do los sistemas, de la existencia y aplicacin de planes, programas y presupuestos en dicho centro, as como del uso y aprovechamicnto de los recursos informticos para la realizacin de actividades, operaciones y tarcas.

Auditoria de la gestin informtica del rea de sistemas

Esta auditora es, por lo general, de carcter administrativo y operaconal; con su realizacin se busca evaluar la actividad administrativa de los centros de cmputo, con todo lo que conlleva esta gestin. se enfoca exclusivamente a la revisin de las funciones y actividades de tipo administrativo que se realizan dentro de un cenlro de cmputo, tales como la plantacin, organizacin, direccin y control de dicho centro. Esta auditoria se realiza tambin con el fin de verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios, empleados y usuarios de las reas de sistematizacin, as como para revisar y evaluar las operaciones del sistema, el uso y proteccin de los sistemas de procesamiento, los programas y la informacin.

Auditoria al sistema de computadora.

Esta auditora es ms especializada y concreta, y est enfocada hacia la actividad y operacin de sistemas computacionales, con mucho ms de evaluacin tcnica y especializada de stos y de todo lo relacionado ron esta especialidad. Que se enfoca nicamente a la evaluacin del funcionamiento y uso correctos del equipo de cmputo, su hardware, software y perifricos asociados. Esta auditora tambin se realiza a la composicin y arquitectura de las partes fsicas y dems componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones internas o ex ternas, as como al diseo, desarrollo y uso del software de operacin, de apoyo y de aplicacin, yo sean sistemas operativos, lenguajes de procesamiento y programas do desarrollo, o paquetera de aplicacin institucional que se utiliza en la empresa donde se encuentra el equipo de cmputo que ser evaluado. Se incluye tambin la operacin del sistema.

Auditoria alrededor de la computadora

Se trata de evaluar todo lo que involucra la actividad de los sistemas computacionales, procurando, de sor posible, dejar a un lado todos los aspectos especializados, tcnicos y especficos de los sistemas, a fin de evaluar nicamente las actividades vinculadas que se llevan a cobo alrededor de stos. Se realiza o todo lo que est alrededor de un equipo de cmputo, como son sus sistemas, actividades y funcionamiento, haciendo una evaluacin de sus mtodos y procedimientos de acceso y procesamiento de datos, la emisin y almacenamiento de resultados, las actividades de planeacin y presupuestado del propio centro de cmputo, los aspectos operacionales y financieros, la gestin administrativa de cotos al sistema, la atencin a los usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas y, en s, a todos aquellos aspectos que contribuyen al buen funcionamiento de un rea de sistematizacin.

Auditoria de la seguridad de los sistemas computacionales

Primero en auditoras contables, despus en financieras, administrativas, gubernamentales e integrales, y recientemente en auditoras especializadas por reas de aplicacin, la disciplina de auditora se ha distinguido a travs del tiempo como la nica profesin capaz de evaluar y dictaminar funciones, operaciones y resultados de casi todas las reas de las instituciones pblicas y privadas. En gran medida, este reconoc miento obedece a la evolucin de sus mtodos, procedimientos y herramientas de evaluacin. Con el propsito de mantener ese reconocimiento como el nico profesional autorizado para evaluar y dictaminar los resultados de las empresas, el auditor siempre debe estar a la vanguardia de los mtodos, procedimientos y herramientas de evaluacin; sin embargo, debido a la constante y vertiginosa evolucin de los sistemas computacionales. Tal parece que en este

terreno la auditora an no ha evolucionado a la par que en las dems disciplinas. Por tal motivo, es menester que este profesional incursione ms activamente en la evaluacin de los sistemas computacionales. La auditora profesional de la administracin, el funcionamiento, la utilizacin y el aprovechamiento de los modernos sistemas computacionales de las empresas, as como la evaluacin de la gestin, el manejo, la segundad y el control correctos de los equipos computacionales, hardware, software, bases de datos, informacin, perifricos y todos los componentes relacionados con los recursos informticos de las instituciones. Asimismo, con dichos principios, aplicaciones e Instrumentos podr auditar el desarrollo, la implementacin y la operacin de estos sistemas, as como el cumplimiento de las funciones y actividades de sus responsables.

Auditoria a los sistemas de redes

Una Auditoria de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informtica, evaluando su desempeo y seguridad, a fin de lograr una utilizacin ms eficiente y segura de la informacin. El primer paso para iniciar una gestin responsable de la seguridad es identificar la estructura fsica (hardware, topologa) y lgica (software, aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y hacerle una Anlisis de Vulnerabilidad, para saber en qu grado de exposicin nos encontramos.

Auditoria De La Red Fsica

Garantiza: reas de equipo de comunicacin con control de acceso. Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trfico en ella. Prioridad de recuperacin del sistema. Control de las lneas telefnicas Comprobando: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma. Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red.

Existan revisiones peridicas de la red buscando pinchazos a la misma.

El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retro-llamada, cdigo de conexin o interruptores.

Auditoria De La Red Lgica

Manejar: Se deben dar contraseas de acceso para usuarios especficos y as evitar suplantaciones. Controlar un mximo de errores Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red. Registrar las actividades de los usuarios en la red. Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos.

Auditoria outsoursing de los sistemas computacionales.

Contratacin externa
La contratacin externa se la puede considerar como un sinnimo del outsourcing ya que bsicamente hablan de lo mismo, el Outsourcing puede definirse segn Dorban Chacn (1999), como la accin de recurrir a una agencia externa para operar una funcin que anteriormente se realizaba dentro de la compaa.

Tipos de contratacin externa

A largo plazo. La contratacin externa de largo plazo s puede verse hasta cierto punto como una relacin laboral con una persona jurdica. Este contrato externo de largo plazo describe el resultado esperado de la actividad o actividades a realizar, as como su costo; tambin puede incluir ciertas Condiciones sobre la forma en que se realizan las actividades pero el nfasis no es en la forma sino en el resultado. A corto plazo. La contratacin externa de corto plazo se adopta para actividades puntuales para las que la organizacin no tiene los recursos humanos o tcnicos necesarios. Los proyectos de construccin o desarrollo en empresas que no se dedican a la construccin o al desarrollo son actividades idneas para la contratacin externa de corto plazo.

Litigios
La contratacin externa, al igual que cualquier otro tipo de contratacin laboral o comercial, puede llevar a un desacuerdo entre las partes. Es posible que la empresa contratante no est satisfecha con el nivel de calidad o servicio o que quiera rescindir el contrato antes de la fecha establecida. El contratado tambin puede estar insatisfecho con la relacin y querer aumentar los costos, acelerar los pagos, redistribuir los activos de una forma diferente a la inicialmente acordada

o, incluso, terminar el contrato anticipadamente. Nada de esto es diferente al resto de las relaciones que la empresa mantiene con otros terceros.

Outsourcing
Outsourcing es una mega-tendencia que se est imponiendo en la comunidad empresarial de todo el mundo y consiste bsicamente en la contratacin externa de recursos anexos, mientras la organizacin se dedica exclusivamente a la razn de su negocio.

Pasos del Outsourcing

Identificar pasos/procesos claves del negocio Evaluar las oportunidades Seleccionar al proveedor del outsourcing Procesos de transicin. Monitorear y evaluar el desempeo. Pese a los beneficios comentados anteriormente, el outsourcing tambin puede entraar una serie de riesgos, de los cuales podemos mencionar como los ms relevantes, los siguientes: Riesgo programtico Riesgo contractual Riesgos en la seguridad de datos Otros riesgos

Modelos de Outsourcing Informtico

Anteriormente y a travs de la historia conocamos al modelo de outsourcing denominado tradicional, mediante este modelo los activos, los recursos y las responsabilidades operativas del proyecto son transferidos por completo a una entidad externa, mejorando as la competitividad de la empresa que lo pone en prctica. Pero en la actualidad sabemos claramente que es precisamente el hecho de determinar si la participacin del subcontratado ser total o parcial, la que determine ante qu tipo de outsourcing nos encontramos. Por esta razn encuentro necesario tratar el outsourcing desde ambos puntos de vista.

Outsourcing informtico total

Entendemos claramente que este outsourcing, significa la subcontratacin con un suministrador externo del servicio informtico.

Outsourcing informtico parcial

Si nos referimos a un outsourcing parcial podremos encontrar ramificaciones que se presentan en forma de abanico de servicios ofrecidos por el suministrador en este caso, estos pueden ser: Sistemas centralizados. Sistemas distribuidos. Gestin de aplicaciones. Redes y comunicaciones. Mantenimiento de software y hardware Desarrollo de aplicaciones.

Auditoria ISO 9000 a los sistemas computacionales.

Es la revisin exhaustiva, sistemtica y global que se r e a l i z a p o r m e d i o d e u n e q u i p o m u l t i d i s c i p l i n a r i o d e auditores, de todas las actividades y operaciones de u n c e n t r o d e s i s t e m a t i z a c i n , a f i n d e e v a l u a r , e n f o r m a i n t e g r a l e l u s o a d e c u a d o d e s u s s i s t e m a s d e cmputo. Es la revisin, exhaustiva, sistemtica y especializada que realizan nicamente los auditores especializados y c e r t i f i c a d o s e n l a s n o r m a s I S O 9 0 0 0 , a p l i c a n d o e x c l u s i v a m e n t e l o s l i n e a m i e n t o s , p r o c e d i m i e n t o s e instrumentos establecidos por esta institucin. Auditoria ergonmica a los centros de computo consiste en una revisin tcnica, especifica y especializada que se realiza para evaluar la calidad y eficiencia del entorno, hombre, maquina y medio ambiente de dicho cyber para mejorar las condiciones que ofrece al brindar sus servicios a la comunidad universitaria y pblico en general. Para realizar esta auditora utilizamos como instrumento la encuesta para conocer de manera directa de la opinin de los usuarios, trabajadores y direccin del centro de trabajo.

Planificacin de la auditora ergonmica

Ref. 001 Actividad que Procedimiento ser evaluada auditoria Evaluar comodidad inmobiliario centro cmputo. la del del de de Herramientas Observacin participativa. Cuestionarios a los empleados y usuarios del centro de cmputo. Observaciones Llevar previamente elaboradas las preguntas de la entrevista y los cuestionarios de la encuesta. Observar el comportamiento de los usuarios y personal. Trabajar en el ambiente en horas del da y parte de la noche.

002

Evaluar el Trabajar en el ambiente Observacin sistema de en horas del da y parte participativa, oculta. iluminacin con de la noche. que cuenta el ambiente. Evaluar las medidas de seguridad para el acceso fsico del personal y los usuarios del sistema. Tratar de ingresar al rea de sistemas sin ninguna identificacin y evaluar las incidencias. Evaluar la actuacin del personal encargado de la entrada y las medidas de Observacin participativa, directa y oculta para el acceso al rea. Encuestas a directivos, empleados y usuarios del rea. Las pruebas de ingreso pueden ser efectuadas por el auditor o por terceros ajenos al rea.

003

seguridad y vigilancia. Encuestas a los Obtener opiniones de los directivos, empleados empleados y usuarios y usuarios del sistema. sobre las medidas de seguridad en el rea. Verificar los cambios de turno del personal de trabajo del rea de sistemas.

Auditoria integral a los centros de cmputo

La auditora integral se ha desarrollado en los pases industrializados, especialmente en el Canad, teniendo una gran aplicacin en el mbito del control gubernamental. En s la auditora integral no es ms que la integracin de la auditora financiera con la auditora de gestin y la auditora de cumplimiento. La auditora de cumplimiento es la que hasta la vigencia de la anterior Constitucin, venia ejecutando la Contralora General de la Repblica, y que consista en el simple control numrico legal de las operaciones de los entes estatales en sus diferentes niveles. El Consejo Tcnico de la Contadura Pblica en su pronunciamiento No. 7 define as la Auditora de Cumplimiento: La integracin de estos tres tipos de auditora implica que examen se debe realizar sobre tres grandes sistemas de informacin de la organizacin: sistema de informacin financiera, sistema de informacin de gestin y sistema de informacin legal. El concepto de auditora integral realmente no es nuevo en nuestro pas y por el contrario es si se quiere el ms antiguo, pues si se considera la figura de la institucin de la Revisara Fiscal, sta cumple con los requerimientos de una auditora integral, pues en esencia el Revisor Fiscal debe examinar los tres grandes sistemas objeto de examen por esta ltima. Por lo dicho anteriormente se podra construir el siguiente concepto de auditora integral: Auditora integral es el examen crtico, sistemtico y detallado de los sistemas de informacin financiero, de gestin y legal de una organizacin, realizado con independencia y utilizando tcnicas especficas, con el propsito de emitir un informe profesional sobre la razonabilidad de la informacin financiera, la eficacia eficiencia y economicidad en el manejo de los recursos y el apego de las operaciones econmicas a las normas contables, administrativas y legales que le son aplicables, para la toma de decisiones que permitan la mejora de la productividad de la misma.