Professional Documents
Culture Documents
Auditora y
justificacin
administrativas
Fecha
Actividades
Prctica: Definiciones
Adems de las lecturas y visionados recomendados en las secciones previas se
proponen realizar, como actividad evaluativa,
Solucin
AUDITORIA DE SISTEMAS
La auditora en informtica es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin que participan en el procesamiento de la informacin, a
fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin
ms eficiente y segura de la informacin que servir para una adecuada toma de
decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los equipos de
cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar
los sistemas de informacin en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacin.
La auditora en informtica es de vital importancia para el buen desempeo de los
sistemas de informacin, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo
(informtica, organizacin de centros de informacin, hardware y software ).
TEMA 1 Actividades
Asignatura
Auditora y
justificacin
administrativas
Fecha
Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin
general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es
preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en
esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal
necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la
misma.
PERSONAL PARTICIPANTE
Una de las partes ms importantes dentro de la planeacin de la auditora en
informtica es el personal que deber participar y sus caractersticas.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el
personal que intervengan est debidamente capacitado, con alto sentido de moralidad,
al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense
justamente por su trabajo.
Con estas bases se debe considerar las caractersticas de conocimientos, prctica
profesional y capacitacin que debe tener el personal que intervendr en la auditora.
En primer lugar se debe pensar que hay personal asignado por la organizacin, con el
suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionar toda la
informacin que se solicite y programar las reuniones y entrevistas requeridas.
TEMA 1 Actividades
Asignatura
Auditora y
justificacin
administrativas
Fecha
TEMA 1 Actividades
Asignatura
Auditora y
justificacin
administrativas
Fecha
informtica.
Es necesario recalcar como anlisis de este cuadro que Auditora de Sistemas no es lo
mismo que Auditora Financiera.
Entre los principales enfoques de Auditora tenemos los siguientes:
Financiera
Operacional
Eficacia
Economa
Sistemas
Fiscal
Administrativa
Calidad
TEMA 1 Actividades
Asignatura
Auditora y
justificacin
administrativas
Fecha
Social
EJEMPLO AUDITORA
Metodologa para la Auditora Informtica de la Seguridad de la Intranet
de un Sistema.
Introduccin
Para entender la necesidad de la realizacin de auditoras informticas es necesario
comprender el papel destacado y creciente de las tecnologas de informacin en nuestra
sociedad. Con esta mayor importancia ha ido incrementndose tambin la sofisticacin
de los sistemas que les dan apoyo. La complejidad y dimensiones que han adquirido
estos sistemas han hecho que sea crtica la implantacin de normas y procedimientos
para su utilizacin, desarrollo, implantacin y mantenimiento.
El plan auditor informtico
El plan auditor informtico es el documento en que se define esta funcin y el trabajo
que realiza dentro de la entidad en que se encuadra. Su contenido debe estar orientado
con la estrategia organizativa y con el resto de los planes auditores.
En un plan auditor diferenciamos:
auditoras.
TEMA 1 Actividades
Asignatura
Auditora y
justificacin
administrativas
Fecha
TEMA 1 Actividades
Asignatura
Auditora y
justificacin
administrativas
Fecha
TEMA 1 Actividades
Asignatura
Auditora y
justificacin
administrativas
Fecha
En funcin del nivel de seguridad requerido, pude ser necesario comprobar que los
guardias de seguridad estn formados para la defensa contra intrusos.
Procedimientos, roles y responsabilidades:
Es fundamental asegurar que las polticas puestas en prctica en la Intranet para
asegurar la auditora y trazabilidad se usan de manera efectiva. Algunos sistemas
requerirn, por motivos legales u operacionales, un registro de transacciones mayor
que otros, pero todos debern registrar los intentos de acceso a la red fallidos y su
procedencia (IP u otro identificador).
Existen procedimientos implantados para asegurar que los audit. logs o registros de
auditora de la actividad del sistema se revisen en busca de indicios de actividades
maliciosas? Quin los lleva a cabo? Con qu frecuencia? Son efectivos?
Existen normas que eviten que las contraseas de acceso puedan ser descubiertas
fcilmente? Por ejemplo, es obligatorio que las claves de acceso tengan ocho caracteres
que combinen letras y nmeros? Fuerza el sistema a cambiar las claves de acceso
regularmente?
Es importante que el auditor contraste que los procedimientos no slo estn escritos en
un documento y olvidados, sino que existe un conocimiento aceptable por parte de los
responsables de su ejecucin.
Identificacin, autenticacin y acceso:
Un auditor debe vigilar no slo las rutas fsicas al sistema (hardware), sino tambin las
lgicas, esto es, desde qu redes se puede acceder al sistema y de qu manera. Existe
una red privada virtual que permita el acceso al rea local (LAN) desde fuera del
edificio fsico? Se permite el acceso al sistema desde sitios web? Puede el personal
acceder a la Intranet desde sus hogares?
TEMA 1 Actividades
Asignatura
Auditora y
justificacin
administrativas
Fecha
Para cada punto de acceso lgico el auditor debe comprobar que existen medios
efectivos de identificar y autenticar los grupos de usuarios a los que se permite acceder
desde el mismo.
Dependiendo del nivel de seguridad requerido esto puede implicar simplemente usar
usuarios y claves de acceso, emisin de passwords de un solo uso, uso de claves de
encriptacin SSL almacenadas en sus PCc o usar claves SET residentes en una tarjeta
leda por un lector especial.
Requerimientos de la arquitectura tcnica:
El auditor debe garantizar que la arquitectura tcnica puede soportar el nivel de
seguridad requerido.
La arquitectura tcnica de una intranet se disea para permitir el acceso slo a usuarios
internos a sistemas y datos internos. Con este escenario, un firewall o servidor proxy
puede facilitar la puerta de acceso a travs de la cual los empleados puedan acceder a
Internet, pero nadie pueda acceder al sistema interno desde Internet. El firewall se
puede utilizar tambin para restringir los tipos de contenidos a los que pueden acceder
en Internet los usuarios internos. Los empleados con conexiones mviles generalmente
usarn una red privada virtual para el acceso. Es importante que el auditor compruebe
todas las rutas de acceso y salida de la intranet, para asegurar que slo puedan acceder
usuarios autorizados.
Debe comprobarse que no existan puertas falsas o back doors a la intranet desde la
extranet (si existe) a travs de las cuales un hacker pueda acceder a los sistemas
internos. Una de las back doors ms comunes en este escenario es no haber
deshabilitado FTP en el servidor web de la extranet.
Presentacin del informe final:
La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la
elaboracin del informe final es el exponente de su calidad. Resulta evidente la
necesidad de redactar borradores e informes parciales previos al informe final, los que
TEMA 1 Actividades
Asignatura
Auditora y
justificacin
administrativas
Fecha
son elementos de contraste entre opinin entre auditor y auditado y que pueden
descubrir fallos de apreciacin en el auditor.
Estructura del informe final
El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin
del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las
personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de
trabajo que ostente.
Se incorporarn los informes parciales que hayan sido entregados.
A continuacin se especificar el mbito y objetivos de la auditora.
Se relacionarn una por una las reas analizadas: su situacin, sus debilidades, las
amenazas que implican y sus oportunidades.
Finalmente se relacionan las recomendaciones, su plan de implantacin, seguimiento y
control.
El informe tiene especial importancia porque en l ha de resumirse la auditora
realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la
persona concreta que encargo o contrato la auditora. As como pueden existir tantas
copias del informe final como solicite el cliente, la auditora no har copias del citado
informe.
TEMA 1 Actividades