Auditora Informtica.

Auditora Informtica.
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.

PLANEACIN AUDITORA INFORMATICA

Hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.

INVESTIGACIN PRELIMINAR
Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin.

INVESTIGACIN PRELIMINAR
ADMINISTRACIN A NIVEL DEL REA DE INFORMTICA

SISTEMAS

Entorno Informtico

Fase I: Conocimientos del Sistema

Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditora realizadas anteriormente Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin.

Fase II: Anlisis de transacciones y recursos

Definicin de las transacciones.
Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores.

Anlisis de las transacciones

Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del funcionamiento y recorrido de los procesos.

Anlisis de los recursos

Identificar y codificar los recursos que participan en el sistemas
Relacin entre transacciones y recursos

Fase III: Anlisis de riesgos y amenazas

3.1.Identificacin de riesgos Daos fsicos o destruccin de los recursos. Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio Prdida de integridad de los datos Ineficiencia de operaciones Errores 3.2.Identificacin de las amenazas Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones 3.3.Relacin entre recursos/amenazas/riesgos La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su ambiente real de funcionamiento.

Fase III: Anlisis de riesgos y amenazas

Dao a los equipos, datos o informacin Concrecin de la Amenaza Agente Amenazante Hacker Cracker Espionaje Industrial Criminales Profesionales Usuarios (Daos intencionales o no) Objetivos: Desafo, ganancia financiera/poltica, dao Causa Fsica (Natural o no)

Confidencialidad Integridad Disponibilidad

Prdida de Dinero Clientes Imagen de la Empresa

Fase IV: Anlisis

de controles

Codificacin de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles deben contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido. Relacin entre recursos/amenazas/riesgos La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o ms controles. Anlisis de cobertura de los controles requeridos Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios proveen una proteccin adecuada de los recursos.

Fase V: Evaluacin

de Controles

Objetivos de la evaluacin Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes
Plan de pruebas de los controles Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba. Pruebas de controles Anlisis de resultados de las pruebas

Medidas de Control y Seguridad

Mecanismos utilizados para garantizar la Seguridad Lgica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Informacin, mediante un nombre de usuario (login) y una contrasea (password). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos excepcionales.

Medidas de Contingencia
Mecanismos utilizados para contrarrestar la prdida o daos de la informacin, bien sea intencionales o accidentales. La ms utilizada es la Copia de Seguridad (Backup), en la cual se respalda la informacin generada en la empresa .

Copias de Seguridad
Las copias pueden ser totales o parciales y la frecuencia vara dependiendo de la importancia de la informacin que se genere.
Backup Se recomienda tener como mnimo dos (2) respaldos de la informacin, uno dentro de la empresa y otro fuera de sta (preferiblemente en un Banco en Caja Fuerte).

Medidas de Proteccin
Medidas utilizadas para garantizar la Seguridad Fsica de los Datos. Aquellos equipos en donde se genera informacin crtica, deben tener un UPS. De igual forma, el suministro de corriente elctrica para el rea informtica, debe ser independiente del resto de las reas.

Fase VI: Informe

de Auditoria

oInforme detallado de recomendaciones oEvaluacin de las respuestas oInforme resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la reas. Introduccin: objetivo y contenido del informe de auditoria Objetivos de la auditora Alcance: cobertura de la evaluacin realizada Opinin: con relacin a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones

Fase VII: Seguimiento de Recomendaciones

7.1. 7.2. Informes del seguimiento Evaluacin de los controles implantados

PERSONAL PARTICIPANTE
colaboradores directos en la realizacin de la auditora se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importantes.