Está en la página 1de 32

Auditoria Informtica

Introduccin
La auditora de los sistemas de informacin
se define como cualquier auditora que
abarca la revisin y evaluacin de todos
los aspectos (o de cualquier porcin de
ellos) de los sistemas automticos de
procesamiento de la informacin, incluidos
los procedimientos no automticos
relacionados con ellos y las interfaces
correspondientes.
Auditora
La palabra auditora viene del latn
auditorius y de esta proviene auditor, que
tiene la virtud de or y revisar cuentas, pero
debe estar encaminado a un objetivo
Definicin de Auditoria
Revisin independiente de alguna o
algunas actividades, funciones especficas,
resultados u operaciones de una entidad
administrativa, realizada por un profesional
de la Auditora, con el propsito de evaluar
su correcta realizacin y con base en este
anlisis poder emitir una opinin autorizada
sobre la razonabilidad de sus resultados y el
cumplimiento de sus operaciones.
Definicin de Auditoria
Auditora es una actividad independiente
y objetiva de aseguramiento y consulta,
concebida para agregar valor y mejorar
las operaciones de una organizacin.
Ayuda a una organizacin a cumplir sus
objetivos aportando un enfoque sistemtico
y disciplinado para evaluar y mejorar la
eficacia de los procesos de gestin de
riesgos, control y gobierno.
Auditora de Sistemas de
Informacin
El propsito fundamental es evaluar el uso
adecuado de los sistemas para el correcto
ingreso de los datos, el procesamiento adecuado
de la informacin y la emisin oportuna de sus
resultados en la institucin, incluyendo la
evaluacin en el cumplimiento de las funciones,
actividades y operaciones de funcionarios,
empleados y usuarios involucrados con los
servicios que proporcionan los sistemas
computacionales a la empresa

Tipos de Auditorias
reas Especficas
Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad
reas Generales
Interna
Direccin
Usuario
Seguridad
Objetivos
Se refiere a la informacin que es relevante para
el negocio y que debe ser entregada de manera
correcta, oportuna, consistente y usable.
Efectividad
Se refiere a la provisin de informacin a travs
del ptimo (ms productivo y econmico) uso de
los recursos.
Eficiencia
Relativa a la proteccin de la informacin
sensitiva de su revelacin no autorizada.
Confidencialidad
Se refiere a la exactitud y completitud de la
informacin, as como su validez, en
concordancia con los valores y expectativas del
negocio.
Integridad
Objetivos
Se refiere a la que la informacin debe estar
disponible cuando es requerida por los procesos
del negocio ahora y en el futuro. Involucra la
salvaguarda de los recursos y sus capacidades
asociadas.
Disponibilidad
Se refiere a cumplir con aquellas leyes,
regulaciones y acuerdos contractuales, a los que
estn sujetos los procesos del negocio.
Cumplimiento
Se refiere a la provisin de la informacin
apropiada a la alta gerencia, para operar la
entidad y para ejercer sus responsabilidades
finacieras y de cumplir con los reportes de su
gestin.
Confiabilidad
Recursos
Microcomputador o terminal
==========================
Aplicaciones en funcionamiento
(1),(2),(3),(4),(8),(10),(11)
Red local
===============
(1),(2),(3),(4),(5),(6),
(7),(8),(9),(10),(11)
Sistema de comunicaciones
(8),(11)
Seguridad de la
informacin
Seguridad fsica
(1) Sistemas Operacionales
(2) Software de Seguridad
(3) Sistemas Manejadores de Bases de Datos y
Diccionarios de Datos
(4) Monitores de Teleprocesamiento
(5) Ayudas para el desarrollo de programas
(6) Control del Cambio y Administracin de
libreras
(7) Editores en lnea
(8) Software de Telecomunicaciones
(9) Sistema de soporte a operaciones
(10) Sistemas de oficina
(11) Intercambio electrnico de datos
Equipo central
=========================
Operacin del sistema
(1),(2),(6),(7),(8),(9)
Procesos
Adquisicin e
Implementacin
Identificacin de soluciones
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios
Planeacin y
Organizacin
Definir un plan estratgico de TI
Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y relaciones de TI
Manejo de la inversin en TI
Comunicacin de directrices Gerenciales
Administracin del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluacin de Riesgos
Administracin de Proyectos
Administracin de Calidad
Procesos
Servicios y
Soporte
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditora independiente
Definicin del nivel de servicio
Administracin del servicio de terceros
Administracin de la capacidad y el desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de la configuracin
Administracin de problemas e incidentes
Administracin de datos
Administracin de Instalaciones
Administracin de Operaciones
Metodologa de auditora
informtica
Alcance y objetivos
Estudio inicial del entorno auditable
Determinacin de los recursos
Elaborar plan y programa de trabajo
Actividades de auditora
Informe final
Carta de presentacin del informe
Objetivo General de Auditora
de sistemas
Operatividad 100%
Capacidad para funcionar o estar en activo
Herramientas para Auditora
informtica
Cuestionarios
Entrevistas
Check list (de rango y binario)
Trazas
Software de interrogacin

Consideraciones para el xito
del anlisis crtico
Estudiar hechos y no opiniones (no se toman en
cuenta los rumores ni la informacin sin
fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar
constantemente.
Criticar objetivamente y a fondo todos los
informes y los datos recabados.
Investigacin preliminar
No tiene y se necesita.
No se tiene y no se necesita.
Se tiene la informacin pero: No se usa.
Es incompleta.
No est actualizada.
No es la adecuada.
Se usa, est actualizada, es la adecuada y
est completa.
Lo que tiene y NO tiene la organizacin
Informe

Despus de realizar los pasos anteriores y de
acuerdo a los resultados obtenidos, el
auditor realizar un informe resultante con
observaciones y/o aclaraciones para llevar a
cabo dentro de las reas involucradas para el
mejor funcionamiento del sistema.
Auditoria de Datos
La auditora de datos habilita a una
organizacin la identificacin de quien crea,
modifica, elimina y accede los datos,
cuando y como son accedidos. O bien, la
estructura de los datos.
La sola existencia de auditora de datos tiene
un efecto disuasivo en los intrusos de los
datos.
Auditoria de datos: una
forma de vida
Su presencia debe ser parte integral de las
operaciones de los servicios informticos en
una organizacin en el da a da.


Responsabilidad segregada
El equipo responsable de auditar un sistema debe ser
distinto a aquel que lo administra y lo utiliza.

Mantener el Sistema de Auditora de Datos
Independiente
Nada ni nadie debe ser capaz de alterar un log de
auditora.

Hacerla Escalable, Ampliable y Eficiente
La plataforma de auditora de datos debe acomodarse
al crecimiento y la adicin de nuevas fuentes de datos
Auditora de datos:
Mejores prcticas
Hacerla Flexible
Los requerimientos de auditora cambiarn;
asegrese que se pueda responder rpida y
fcilmente a esos cambios desplegando un marco de
auditora flexible.

Gestin Centralizada
Una plataforma de auditora de datos debe ser capaz
de auditar mltiples bases de datos en mltiples
servidores fsicos

Auditora de datos:
Mejores prcticas
Auditora de datos:
Mejores prcticas
Asegurar la Plataforma de auditora de Datos

La plataforma de auditora por si misma no debe tener
puertas traseras de acceso a sus propios datos ni
permitir el acceso por dichas puertas traseras a los
datos de cualquiera de las bases de datos que
monitorea.

Identificacin de los Datos
Se debe establecer y mantener un inventario de todos
los datos, incluyendo aquellos provenientes de
fuentes externas
Anlisis de los Datos
Determine los roles, vulnerabilidades y
responsabilidades relativas a todos los datos.
Hacerla Completa
La poltica de auditora de datos necesita abarcar
todos los datos dentro de una organizacin,
incluyendo todos los datos de aplicacin, los datos
de comunicaciones incluyendo los registros de
correos electrnicos y mensajes instantneos,
registros de transacciones y toda la informacin que
pasa hacia o alrededor de una organizacin tanto
desde dentro como desde afuera

Auditora de datos:
Mejores prcticas
Habilitacin de Reportes y Anlisis

Establecimiento de Patrones de uso Normal

Establecimiento de una Poltica de documentacin
y Revisin.
La auditora de datos implementada directamente para
satisfacer mandatos de reguladores debe referirse
directamente a los elementos de las regulaciones que
satisface: (Sarbanes-Oxley, HIPAA, GLBA, etc.).

Auditora de datos:
Mejores prcticas
Monitorear, Alertar, Reportar
Dependiendo del riesgo, se deben atar los eventos o
datos anormales a los sistemas de alerta y, en
algunos casos disparar alarmas en tiempo real.
Incrementar y Complementar la Seguridad
La auditora de datos incrementa y complementa los
niveles de la seguridad de los sistemas de IT.
Respaldo y Archivo
Los LOG de Auditora, por si mismas, deben ser
respaldadas y lo ideal, almacenadas en una sitio
remoto.
Auditora de datos:
Mejores prcticas
Crear Procedimientos para la Operacin y
para la Recuperacin ante Desastres

Es necesario crear polticas y procedimientos que
gobiernen cmo se accede a las pistas de auditora y
cmo se recuperan los datos perdidos

Todas las operaciones de recuperacin tambin
deben ser auditadas.
Auditora de datos:
Mejores prcticas
Conclusin
El acceso no autorizado o cambios desconocidos
a los datos de una organizacin pueden debilitar
o arruinar una empresa.
El robo, error, prdida, corrupcin o fraude de los
datos puede costarle a una compaa su
reputacin, sus ganancias, o ambos.
La auditora de datos no solamente protege los
datos de una organizacin, sino que asegura la
responsabilidad, la recuperacin y la longevidad
de los sistemas que dependen de los datos.
Estndares de Seguridad de la
informacin


ISO/IEC 27000-series

COBIT

ITIL
ISO/IEC 27000-series
La serie de normas ISO/IEC 27000 son estndares
de seguridad publicados por la Organizacin
Internacional para la Estandarizacin (ISO) y la
Comisin Electrotcnica Internacional (IEC).

La serie contiene las mejores prcticas
recomendadas en Seguridad de la informacin
para desarrollar, implementar y mantener
especificaciones para los Sistemas de Gestin
de la Seguridad de la Informacin (SGSI).
COBIT
Objetivos de Control para la informacin y
Tecnologas relacionadas (COBIT, en ingls:
Control Objectives for Information and related
Technology).

Es un conjunto de mejores prcticas para el
manejo de informacin creado por la Asociacin
para la Auditoria y Control de Sistemas de
Informacin, (ISACA, en ingls: Information
Systems Audit and Control Association), y el
Instituto de Administracin de las Tecnologas de la
Informacin (ITGI, en ingls: IT Governance
Institute) en 1992.
ITIL
La Information Technology Infrastructure Library
("Biblioteca de Infraestructura de Tecnologas de
Informacin"), frecuentemente abreviada ITIL.

Es un marco de trabajo de las mejores prcticas
destinadas a facilitar la entrega de servicios de
tecnologas de la informacin (TI) de alta calidad.
ITIL resume un extenso conjunto de procedimientos
de gestin ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las
operaciones de TI.