Auditoría de sistemas clase 2
Descargar como PPTX, PDF2 recomendaciones2,613 vistas
El documento habla sobre la función y enfoques de la auditoría de sistemas. Explica que una auditoría puede ser realizada por ingenieros o técnicos en informática y debe enfocarse en objetivos como la eficiencia, eficacia, rentabilidad y seguridad de los sistemas. También describe marcos como COBIT e ITIL que proveen lineamientos estándar para auditorías y diferentes tipos de auditorías como de gestión, datos, bases de datos y seguridad.
Auditoría de sistemas clase 2
- 1. FUNCIÓN Y ENFOQUES DE LA AUDITORÍA DE SISTEMASPROFESORA: EDNA DE LASSO
- 2. Criterios de evaluación ajustadosLa evaluación final del cuatrimestre estará dividida de acuerdo a las normas de la Universidad, la que a su vez estará compuesta de la siguiente forma:
- 3. Identificación del personal involucrado. Objetivos de las auditorías. Justificación. Tipos de auditorías.Temas a desarrollar
- 4. Identificación del personal involucrado
- 5. Corresponde a un Ingeniero o Técnico en Informática en cualquiera de sus especialidades, pero más concretamente la especialidad de Gestión. O también a un profesional al que se le presupone cierta formación técnica en informática y experiencia en el sector, independencia y objetividad, madurez, capacidad de síntesis, análisis y seguridad en sí mismo.Debe disponer de conocimientos tanto en la normativa aplicable, como en informática, como en la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática o Técnicos en Informática y Licenciados especializados en el mundo de la auditoría.Perfil de un auditor informático
- 6. La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT e ITIL.Actualmente la certificación de ISACA para ser CISA CertifiedInformationSystems Auditor es una de las más reconocidas y avaladas por los estándares internacionales.El proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.Certificaciones
- 7. Objetivos de Control para la información y Tecnologías relacionadas (COBIT, en inglés: Control ObjectivesforInformation and relatedTechnology) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: InformationSystemsAudit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT GovernanceInstitute) en 1992.COBIT
- 8. La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés InformationTechnologyInfrastructure Library), es un marco de trabajo de las buenas prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI). resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.ITIL
- 9. Objetivos y Justificación de la Auditoría
- 10. Hardware Descuido o falta de protección: Condiciones inapropiadas, mal manejo, no observancia de las normas.
- 11. Destrucción. Softwareuso o acceso,
- 12. copia,
- 13. modificación,
- 14. destrucción,
- 15. hurto,
- 16. errores u omisiones. Archivos Usos o acceso, copia, modificación, destrucción, hurto. OrganizaciónInadecuada: no funcional, sin división de funciones.
- 18. Falta de políticas y planes. PersonalDeshonesto, incompetente y descontento. Usuarios Enmascaramiento, falta de autorización, falta de conocimiento de su función. RIESGOS ASOCIADOS AL AREA DE TI
- 19. Objetivos de las auditorías informáticasEl control de la función informática El análisis de la eficiencia de los Sistemas Informáticos La verificación del cumplimiento de las Normativas La revisión de la eficaz gestión de los recursos informáticos. La auditoría informática sirve para mejorar ciertas características en la empresa como:Eficiencia
- 20. Eficacia
- 21. Rentabilidad
- 22. Seguridad Objetivos generales de la ASBuscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el Comité Informático.Incrementar la satisfacción de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
- 23. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de función informática a las metas y objetivos de la organización Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático Minimizar existencias de riesgos en el uso de Tecnología de información Decisiones de inversión y gastos innecesarios Capacitación y educación sobre controles en los Sistemas de Información
- 24. Inconvenientes informáticosLos Sistemas Informáticos deben estar sometidos al control correspondiente, la importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría Informática de Seguridad. Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática de Datos. Un Sistema Informático mal diseñado puede convertirse en una herramienta muy peligrosa para la empresa: la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoría de Sistemas.
- 25. La auditoria puede ser externa, interna o mixta, coincidiendo con los tipos de observación de participantes, no participantes y semi−participantes. Cada uno de estos tipos de auditoria tiene las ventajas o inconveniencias, sin embargo la auditoria mixta es la mas recomendable, por que reúne las ventajas y elimina en gran parte los inconvenientes de las otras dos.Tipos de auditorías
- 26. Tipos de Auditoría informáticaAuditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis del tratamiento de dichos datos.Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones del entorno. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
- 27. Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea.El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.Resultados de las auditorías