Auditoria ejecutable
0 recomendaciones293 vistas
La auditoría informática evalúa y controla los sistemas informáticos para determinar si cumplen con las normas de la organización y protegen los activos. Incluye la evaluación de equipos, sistemas, procedimientos, archivos, seguridad y obtención de información. Los objetivos son evaluar el cumplimiento de normas y la confiabilidad y seguridad de los sistemas.
Auditoria ejecutable
- 2. INTRODUCCIÓN A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas. El concepto de auditoría es mucho más que esto. La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.
- 3. ¿Qué es auditoría informática? La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos, pues el progreso de la tecnología de la computación y la informática, está mejorando día a día, esto a la vez está causando los problemas de las oportunidades a cometer errores, el revisar e inspeccionar es el trabajo de la auditoria para poder brindar un mejor trabajo de control a la sociedad y para un mejor control de la auditoria informática no nos podemos olvidar del control interno y la veracidad que debe tener, como cuando el sistema está en funcionamiento su evaluación y control se tienen que hacerse siempre.
- 4. OBJETIVOS DE LA AUDITORIA INFORMATICA El objetivo de La Auditoría Informática es evaluar y controlar un sistema informático con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informáticas y generales prefijades en la organización”. La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.
- 5. Programas para auditoría informática En el mercado existen una gran variedad de software o programas para la realización de auditoria informática en las empresas, dentro de los cuales queremos destacar los que son gratuitos como las herramientas CentennialDiscovery, Gasp, Novell ZENworksAsset Management®, y EasyVistaque han sido diseñadas para ayudarles a identificar y realizar un seguimiento del software instalado en sus computadoras y redes. Partiendo de que las auditorías son un componente clave en cualquier plan completo para la gestión de bienes de software
- 6. PRINCIPIOS Y REGLAS DE AUDITORIA. Principio: auditar racionalmente significa explicitar sus finalidades, y deducir de éstas los medios y las acciones de investigación que se consideren necesarios y suficientes. La auditoría informática sólo tiene sentido si se define su finalidad: examen de la eficacia o seguridad de un sistema, de la fiabilidad de una aplicación, verificación de la aplicación,etc... La finalidad está en emitir un juicio sobre el mangement del sistema de Informaciones. Regla : la auditoría informática consiste en comparar uno o varios actos de management, desde uno o varios puntos de vista, con los que deberían ser. La auditoría informática siempre llegará a una conclusión cuando los medios asignados sean suficientes y las acciones sean posibles. La auditoría informática jamás debe empañar su finalidad ni limitarse a lo que es más sencillo de examinar,so pena de que el juicio que emita carezca de valor al caer fuera de la cuestión verdadera. Debe ser completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la solidez de todo el control.
- 7. MEDIOS DISPONIBLES Y ESPECIFICOS DE AUDITORIA.MEDIOS TECNICOS: A.1) Equipo físico y locales. A.2) Software básico.MEDIOS HUMANOS.·MEDIOS FINANCIEROS.
- 8. A.1) Equipo físico y localesComprende el ordenador propiamente dicho, el hardware anejo y los soportes físicos de los ficheros, así como los locales donde se instalan estas máquinas.Aspectos a tener en cuenta:1.- Los equipos físicos y locales han de adaptarse a la finalidad, es decir, a las aplicaciones, tanto cualitativas como cuantitativas.2.- Dada la evolutividad de los objetivos el equipo físico debe ser también evolutivo sin dejar de resultar adecuado y modular.3.- Cada componente del equipo físico de formar parte de un todo homogéneo..4.- Para garantizar la consecución de la finalidad se hace necesario garantizar la seguridad del hardware. Es conveniente disponer de un plan preventivo y curativo para garantizar esa seguridad.El plan preventivodebe prever catástrofes generales ( incendio, inundación,...) así como otros sucesos ( cortes de fluído eléctrico, aumentos de tensión, presencia de polvo,...).El plan curativoestá formado por soluciones de emergencia en circunstancias diversas. Resulta fundamental la salvaguarda en lugares distintos de un número suficiente de generaciones de ficheros, de programas y su modo de empleo.
- 9. A.2) Software básico. Constituye una parte creciente del coste de un sistema. Tiene una importancia primordial en la seguridad de las operaciones pero a medida que va creciendo más compleja es su evaluación.Aspectos a tener en cuenta:1.-El software básico se adapta a las finalidades siempre y cuando permita una correcta utilización del hardware con el lenguaje y en el modo de explotación elegidos para ejecutar las aplicaciones.2.-La evolutividad del software exige una transparencia de su dependencia con respecto a las aplicaciones del equipo físico.3.-Los componentes del software básico deben estar adaptados entre sí y con la configuración del equipo físico siempre en función de la finalidad.4.-La fiabilidad del software básico se consigue mediante el registro de las anomalías para su posterior análisis y rectificación por el constructor aunque el software debe emplear “ ayudas” para diagnóstico de fallos.5.-Para la seguridad del software básico se requiere una protección contra los accesos prohibidos, especialmente en el modo interactivo y en un sistema de base de datos.
- 10. MEDIOS HUMANOS.1.- Las personas tienen su propia finalidad la cuál tratan de satisfacer, aún así en una empresa se ha de respetar la realización de los objetivos definidos, sin quedar bloqueado por la reticencia de rutina y por la ostilidad particular.2.- Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo ha de contar con un escaso número de miembros, incluso resulta aconsejable una rotación de las responsabilidades.3.- Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su vez, debe ser un trabajo organizado y revisado racionalmente.4.- La seguridad comienza por la selección del personal y continúa por el control mutuo en la realización de las tareas más importantes.Aún así, es preciso precaverse contra un posible sabotaje directo o indirecto.5.- Sin información no hay motivación, por tanto los fines y métodos adoptados han de ser comprendidos y aceptados, a la vez que la formación del personal es en sí mismo una finalidad.
- 11. Medios financieros. La elección de los medios financieros ha de considerarse de forma global. No sólo consiste en determinar qué equipos físicos, programas o realizaciones cuestan más o menos, sino también abarca otros aspectos, además del económico, tales como: fiabilidad, velocidad de procesamiento, rentabilidad, etc....Aspectos a tener en cuenta:1.- La adecuación de los medios financieros a la finalidad se mide por la proporción entre los gastos exigidos y los resultados (financieros o no) obtenidos.Los métodos de control de gestión y contabilidad presupuestaria clásicos sirven para prever y posteriormente controlar la adecuación a los objetivos.La evolutividad implica un presupuesto no sólo flexible sino modulado en el tiempo, ya que los costes son importantes.2.- Los métodos clásicos de la contabilidad analítica permiten establecer los estándares de homogeneidad de los medios financieros.También es muy útil verificar periódicamente si los costes imputados son todavía competitivos con relación a un servicio exterior.3.- Para elaborar un sistema equitativo sería preciso que dos servicios semejantes diera lugar a una misma valoración.