INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
II
INTRODUCCION
La auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su función inicial es estrictamente económico-financiera, y los casos inmediatos se encuentran en las peritaciones judiciales y las contrataciones de contables expertos por parte de Bancos Oficiales. La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el nombre de Recomendaciones. Recomendaciones. Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea. Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente por las empresas auditoras, ya que son activos importantes de su actividad. Las Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check List puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo una metodología precisa puede desentrañar las causas por las cuales se realizan actividades teóricamente inadecuadas o se omiten otras correctas. El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo. mismo.
III
INDICE
INTRODUCCION ___________________________ ______________ _________________________ _________________________ __________________ _____ 2 INDICE _________________________________________________________________ 3 INDICE DE IMAGENES __________________________ _____________ ________________________ ________________________ ________________ ___ 4 AUDITORIA _____________________________________________________________ 1
1
AUDITORÍA FÍSICA ______________________________ ______________________________________________________ ________________________ 1 1.1 1.2 1.3 1.4 1.5
2
AUDITORIA DE DESARROLLO ______________________________________________ ______________________________________________ 3 2.1 2.2 2.3 2.4
3
AUDITORIA DE DESARROLO DE SISTEMAS _________________________________________ 4 LA AUDITORIA INFORMÁTICA INFORMÁTICA DEL DESARROLLO DESARROLLO DE PROYECTOS PROYECTOS _______________________ 4 CONSIDERACIONES DE AUDITORIA AUDITORIA DE DESARROLLO DE SISTEMAS______________________ SISTEMAS_______________ _______ 5 ETAPAS DE LA AUDITORIA DE UN SISTEMA INFORMÁTICO ____________________________ 5
AUDITORIA DE RED ______________________________ ______________________________________________________ ________________________ 5 3.1 3.2 3.3
4
La seguridad seguridad física ____________________________ _________________________________________________________ _______________________________ __ 1 Objetivos de la auditoria. ______________________________________________________ 2 Técnicas y herramientas herramientas de auditor. auditor. _____________________________ _____________________________________________ ________________ 2 Responsabilidades de los Auditores ______________________________ ______________________________________________ ________________ 2 Fases de la auditoria física _____________________________________________________ 3
Etapas a implementar implementar en la la Auditoría de de Redes ______________________________ ____________________________________ ______ 6 Estrategia de Saneamiento____________________________ _____________________________________________________ _________________________ 6 Plan de Contención___________________________________________________________ 7
PLAN DEL AUDITOR AUDITOR ______________________________________ _____________________________________________________ _______________ 8
4.1 4.2
Metodología _____________________________________________________________ 9 Etapas de la metodología de auditoría _____________________________________ 10
5
INFORME DEL AUDITOR _________________________________________________ _________________________________________________ 11
6
BIBLIOGRAFIA _________________________________________________________ _________________________________________________________ 12
IV
INDICE DE IMAGENES
Foto 1 Auditoria de desarrollo _____________________________ _____________________________ __ 3 Foto 2 Auditoria desarrollo ______________________________________________________________ 4 Foto 3 Auditoria de red _________________________________________________________________ 5 Foto 4 Auditoria red____________________________ _________________________________________________________ _____________________________ ___________ 6 Foto 5 Plan del auditor ______________________________ ___________________________________________________________ _____________________________ ______ 8 Foto 6 plan ___________________________________________________________________________ 9 Foto 7 informe _______________________________________________________________________ 11
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
AUDITORIA 1 AUDITORÍA FÍSICA La Auditoria Física no se limita a comparar solo la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad. Seguridad Física Garantiza la integridad de los activos humanos, lógicos y materiales del Objeto a analizar. Seguridad lógica. Seguridad física. Seguridad de las comunicaciones. comunicaciones. 1.1
La seguridad física
Existen tres tipos de seguridad:
Seguridad lógica. Seguridad física. Seguridad de las comunicaciones. comunicaciones.
Antes
Obtener y mantener un nivel adecuado de seguridad física sobre los activos. Seguridad física es el conjunto de acciones utilizadas para evitar algún fallo. Durante
Ejecutar un plan de contingencia adecuado. Desastre es cualquier evento que puede interrumpir el proceso normal de una empresa. La probabilidad de que ocurra un desastre es muy baja, pero si ocurre será fatal para la empresa. Un plan de recuperación de desastres constituye en el plan de contingencia.
1
SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA Después
Los seguros compensan en parte los gastos y pérdidas. Algunos seguros existentes son: Centros de procesos y equipamiento. Reconstrucción de medios de software. Gastos extra. Interrupción del negocio. Documentos y registros valiosos. Errores y omisiones. Cobertura de fidelidad. Transporte de medios. Contratos con proveedores y de mantenimiento.
1.2
Objetivos de la auditoria.
Los objetivos van en un orden lógico “de “ de afuera a dentro”:
Edificio Instalaciones Equipamiento y telecomunicaciones. telecomunicaciones. Datos Persona.
1.3
Técnicas y herramientas de auditor.
Su fin es obtener evidencia física. Técnicas
Observación Revisión analítica de documentación, políticas, normas, contratos etc. Entrevistas Consultas
Herramientas Cuaderno de campo / Grabadora de audio Cámara fotográfica / Cámara de video.
Su uso debe ser discreto y siempre con consentimiento del personal 1.4
Responsabilidades de los Auditores
2
Revisar los controles relativos a Seguridad Física Revisar el cumplimento de los procedimientos
SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
Evaluar Riesgos Revisión de cumplimiento de las Políticas y Normas sobre Seguridad Física Efectuar Auditorias programadas e imprevistas Emitir informes y efectuar el seguimiento de las recomendaciones Revisar los Planes de Seguridad y Contingencia. Emitir informes y recomendaciones
1.5 Fases de la auditoria física
Alcance de la Auditoria Adquisición de Información General Administración y Planificación Plan de Autoría Resultado de las pruebas Conclusiones y Comentarios Borrador del Informe Discusión con los responsables de área Informe Final
2 AUDITORIA DE DESARROLLO
Foto 1 Auditoria de desarrollo
Podemos definir el desarrollo de sistemas informáticos como el proceso mediante el cual el conocimiento humano y el uso de las ideas son llevados a las computadoras; de manera que pueda realizar las tareas para la cual fue desarrollada. Para que esto sea utilizado deberán, funcionar adecuadamente, ser de fácil manejo, adecuarse a la empresa para la que fue diseñada y debe ayudar al personal a realizar su trabajo de forma eficiente.
3
SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA 2.1
AUDITORIA DE DESARROLO DE SISTEMAS
Foto 2 Auditoria desarrollo
La función de desarrollo es una evolución del llamado análisis y programación de sistemas y aplicaciones. A su vez, engloba muchas áreas, tantas como sectores tiene la empresa. Muy concisamente, una Aplicación recorre las siguientes fases:
Animaciones (Periquitos, Adornos), del Usuario (único o plural) plur al) y del entorno. Análisis funcional. Diseño. Análisis orgánico (Pre-programación y Programación). Programación). Pruebas. Entrega a Explotación y alta para el Proceso.
Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo de los costes, podrá producirse la insatisfacción del usuario. Finalmente, la auditoria deberá comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros. 2.2
LA AUDITORIA INFORMÁTICA INFORMÁTICA DEL DESARROLLO DESARROLLO DE PROYECTOS PROYECTOS
4
Prerrequisitos del Usuario (único o plural) y del entorno Análisis funcional Diseño Análisis orgánico (Pre programación y Programación) Pruebas Entrega a Explotación y alta para el Proceso.
SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA 2.3
CONSIDERACIONES SISTEMAS
2.4
DE
AUDITORIA
DE
DESARROLLO
DE
Revisión de las metodologías utilizadas. Control interno de aplicaciones Satisfacción de usuarios Control de procesos y ejecuciones de programas críticos
ETAPAS DE LA AUDITORIA DE UN SISTEMA INFORMÁTICO
Exploración Planeamiento Supervisión Ejecución Informe Seguimiento
3 AUDITORIA DE RED
Foto 3 Auditoria de red
Una Auditoría de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información. El primer paso para iniciar una gestión responsable de la seguridad es identificar la estructura física (hardware, topología) y lógica (software, aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y hacerle un Análisis de Vulnerabilidad para saber en qué grado de exposición nos encontramos; así, hecha esta "radiografía" de la red, se procede a localizar sus falencias más críticas, para proponer una Estrategia de Saneamiento de
5
SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
los mismos; un Plan de Contención ante posibles incidentes; y un Seguimiento Continuó del desempeño del sistema de ahora en más.
Foto 4 Auditoria red
3.1
Etapas a implementar en la Auditoría de Redes
Éste es sin duda el punto más crítico de toda la Auditoría, ya que de él dependerá directamente el curso de acción a tomar en las siguientes etapas y el éxito de éstas. Nuestro equipo cuenta con la tecnología y la capacidad necesaria para elaborar detallados reportes sobre el grado de vulnerabilidad del sistema, a través de análisis remotos y relevamientos locales. 7 Espejos puede implementar exclusivamente esta estapa en la auditoría de su red, para que en función de los reportes su personal de redes y directivos implementen las etapas sucesivas tomando las acciones que consideren necesarias. 3.2
Estrategia de Saneamiento
6
SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
Identificadas las "brechas" en la red, se procede a "parchearlas", bien sea actualizando el software afectado, reconfigurándolo de una mejor manera ó remplazándolo por otro que consideremos más seguro y de mejor desempeño. En este sentido, 7 Espejos no posee ningún acuerdo con ninguna compañía de software, y probablemente le ofrecerá soluciones de Software Libre, de alta performance y muy bajo costo. Las bases de datos, los servidores internos de correo, las comunicaciones sin cifrar, las estaciones de trabajo... todo los puntos críticos deben reducir el riesgo. En los casos más extremos, la misma infraestructura física de la red deberá ser replanteada, r eplanteada, reorganizando y reconfigurando sus switches , routers y firewalls . 3.3 Plan de Contención La red ha sido replanteada, el software ha sido reconfigurado (o rediseñado) y el riesgo ha sido reducido; aún así, constamente se están reportando nuevos fallos de seguridad y la posibilidad de intrusión siempre está latente. Un disco rígido puede fallar, una base de datos puede corromporse o una estación de trabajo puede ser infectada por un virus in the wild (virus bien reciente de rápida propagación); para ello hay que elaborar un "Plan B", que prevea un incidente aún después de tomadas las medidas de seguridad, y que dé respuesta ante posibles eventualidades. eventualidades.
7
SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
4 PLAN DEL AUDITOR
Foto 5 Plan del auditor
El plan auditor informático es el documento en que se define esta función y el trabajo que realiza dentro de la entidad en que se encuadra. Su contenido debe estar orientado con la estrategia organizativa y con el resto de los planes auditores. En un plan auditor diferenciamos: Funciones: Ubicación de la auditoría informática dentro de la empresa, sus funciones, estructura del departamento y recursos r ecursos que aglutina.
Procedimientos: Manera en que se realizarán las distintas tareas de las auditorías.
Tipos de auditorías que se realizan.
Sistema de evaluación y los aspectos que evalúa.
Lista de distribución de informes.
Seguimiento de las acciones correctoras.
Planes de trabajo y su periodicidad.
8
SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
El plan auditor informático se concreta en la práctica, entre otros aspectos, en una metodología de trabajo que determina los hitos desde el inicio de la auditoría informática, ya sea por auditor interno o externo, hasta la entrega del informe final y la manera de alcanzarlos.
Foto 6 plan
4.1 Metodología
La auditoría informática debe respaldarse en un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en la empresa. Al igual que otras funciones en el negocio, la auditoría informática efectúa sus tareas y actividades mediante una metodología. Con un método garantiza que las cualidades de cada auditor sean orientadas a trabajar en equipo para la obtención de resultados de alta calidad y de acuerdo a estándares predeterminados. predeterminados. El objetivo es brindar a los responsables de dichas áreas un camino estructurado por el que obtengan los resultados esperados por la empresa, siguiendo un plan. Se requiere un buen dominio y uso constante de los siguientes aspectos complementarios:
9
Técnicas SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
Herramientas de productividad
Habilidades personales
Conocimientos técnicos y administrativos
Experiencia en los campos de auditoría e informática
Conocimiento de los factores del negocio y del medio externo al mismo
Actualización permanente
Comunicación constante con asociaciones asociaciones nacionales e internacionales relacionadas.
El uso de un proceso de trabajo metodológico y estándar en la función de auditoría informática genera las siguientes ventajas: -
Las tareas y productos terminados de los proyectos se encuentran definidos y formalizados en un documento al alcance de los l os auditores informáticos.
-
Se facilita en alto grado la administración y seguimiento de los proyectos, pues la metodología obliga a la planificación detallada de cada proyecto bajo criterios crit erios estándares.
-
Facilita la superación profesional y humana de los individuos, ya que orienta los esfuerzos hacia la especialización, e specialización, responsabilidad, responsabilidad, estructuración y depuración de las funciones del auditor.
4.2
Etapas de la metodología de auditoría
La metodología de auditoría de seguridad de la Intranet se estructura en seis etapas que detallamos a continuación:
Definición de ámbito y objetivos
Diagnóstico
Etapa de justificación
Etapa de adecuación
Etapa de formalización:
Etapa de desarrollo e implantación
10
SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
Presentación del informe final
5 INFORME DEL AUDITOR
Foto 7 informe
En si todos los encuestados respondieron la totalidad de las preguntas. Todos tienen la misma respuesta en la pregunta sobre la inteligencia artificial, todos dicen prácticamente lo mismo acerca de lo que es la auditoria de sistemas en que es un sistema de revisión, evaluación, verificación y evalúa la eficiencia y eficacia con que se está operando los sistemas y corregir los errores de dicho sistema. Todos los encuestados mostraron una características muy similares de las personas que van a realizan la auditoria; debe haber un contador, un ingeniero de sistemas, un técnico y que debe tener conocimientos, práctica profesional y capacitación para poder realizar la auditoria. Todos los encuestados conocen los mismos tipos de auditoría, Económica, Sistemas, Fiscal, Administrativa.
11
SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
Para los encuestados el principal objetivo de la auditoria de sistemas es Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. Mirando en general a todos los encuestados se puede ver que para ellos la auditoria de sistemas es muy importante porque en los sistemas esta toda la información de la empresa y del buen funcionamiento de esta depende gran parte del funcionamiento de una empresa y que no solo se debe comprender los equipos de computo sino también todos los sistemas de información desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. La auditoria de los sistemas de informática es de mucha importancia ya que para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. La auditoria de sistemas es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para Una adecuada toma de decisiones.
Apoyo de función informática a las metas y objetivos de la organización. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático. Incrementar la satisfacción de los usuarios de los sistemas informáticos. Capacitación y educación sobre controles en los Sistemas de Información .
6 BIBLIOGRAFIA http://seguridad.7espejos.com/auditoria http://www.google.com.ec/url?sa=t&source=web&cd=4&ved=0CCYQFjA D&url=http%3A%2F%2Fwww.uned.es%2F413057%2Felena%2Fpractica. doc&rct=j&q=PLAN%20DEL%20AUDITOR%20INFORMATICO&ei=E G2JTK6qH4aBlAfUhpneDg&usg=AFQjCNESAuaPwTxd8amqvBmZFtJ6 fh9dEw
12
SEXTO SEMESTRE
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
13
SEXTO SEMESTRE