Introducción
En el mundo donde vivimos y en donde ha evolucionado a pasos agigantados debe existir la necesidad de cada día mejorar nuestros recursos. Los auditores tiene la virtud de oír y revisar cuentas pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.
El impacto e importancia que tienen las auditorias informáticas y la seguridad de redes es que permite restringir el acceso al computador, de tal modo que solo el personal autorizado pueda utilizarlo.
Esto permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.
Definición De Auditoría:
Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas a los actos y eventos de carácter económico, con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.
La auditoría se clasifica en Auditoría Financiera y Operativa.
La Auditoría Financiera:
Efectúa un examen sistemático de los estados financieros, los registros y las operaciones correspondientes, para determinar la observancia de los principios de contabilidad generalmente aceptados, de las políticas de la administración y de la planificación.
La Auditoría Operativa:
Cae dentro de la definición general de auditoría y se define:
"un examen sistemático de las actividades de una organización (ó de un segmento estipulado de las mismas) en relación con objetivos específicos, a fin de evaluar el comportamiento, señalar oportunidades de mejorar y generar recomendaciones para el mejoramiento o para potenciar el logro de objetivos".
Auditoría de Sistemas:
La Auditoría de Software es un término general que se refiere a la investigación y al proceso de entrevistas que determina cómo se adquiere, distribuye y usa el software en la organización.
Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información.
La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Objetivos Generales de una Auditoría de Sistemas:
• Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD (departamento de procesamiento de datos )
• Incrementar la satisfacción de los usuarios de los sistemas computarizados
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
• Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
• Seguridad de personal , datos hardware , software e instalaciones
• Apoyo de función informática a las metas y objetivos de la organización
• Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
• Minimizar existencias de riesgos en el uso de tecnologías de información
• Decisiones de inversión y gastos innecesarios
• Capacitación y educación sobre controles en los Sistemas de Información.
Objetivos Específicos De La Auditoria De Sistemas:
1. Participación en el desarrollo de nuevos sistemas:
Evaluación de controles
Cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
Respaldos, proveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
Resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes.
Fraudes
Control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas
Utilitarios.
Control sobre la utilización de los sistemas operativos
Programas utilitarios.
8. Auditoría de la base de datos.
estructura sobre la cual se desarrollan las aplicaciones...
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos ,además dar recomendaciones a la alta gerencia para mejorar un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa.
La Auditoría De Sistemas Debe Abarcar Tres Grandes Áreas:
1. Auditoría de Infra Estructura Física y Lógica.
2. Auditoría de Aplicaciones y estaciones de trabajo.
3. Auditoría de Sistemas y su Administración.
Este tipo de auditorías generalmente son realizadas por un equipo de expertos en diferentes ramas de la informática, con el objetivo de poder revisar a fondo el área asignada y utilizar herramientas de software que permitan obtener un análisis en cada área, con lo cual podrán analizar y dictaminar el estatus de un departamento de informática.
Fines De La Auditoria De Sistemas:
Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas de información.
Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.
ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA Y SUS PROCEDIMIENTOS.
Complejidad de los sistemas.
uso de lenguajes.
metodologías, son parte de las personas y su experiencia.
Centralización.
departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas.
Controles del computador.
Controles manuales, hoy automatizados (procedimientos programados) .
Confiabilidad electrónica.
debilidades de las máquinas y tecnología.
Transmisión y registro de la información en medios magnéticos, óptico y otros.
almacenamiento en medios que deben acceder a través del computador mismo.
Centros externos de procesamiento de datos.
Dependencia externa.
RAZONES PARA LA EXISTENCIA DE LA FUNCION DE AUDITORIA DE SISTEMAS.
La Información Es Un Recurso Clave En La Empresa Para:
Planear el futuro, controlar el presente y evaluar el pasado.
Las operaciones de la empresa dependen cada vez más de la sistematización.
Los riesgos tienden a aumentar, debido a:
Pérdida de información
Pérdida de activos.
Pérdida de servicios/ventas.
La sistematización representa un costo significativo para
la empresa en cuanto a: hardware, software y personal.
Los problemas se identifican sólo al final.
El permanente avance tecnológico.
Requerimientos Del Auditor De Sistemas.
Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político.
Entendimiento del efecto de los sistemas en la organización.
Entendimiento de los objetivos de la auditoría.
Conocimiento de los recursos de computación de la empresa.
Conocimiento de los proyectos de sistemas.
El ingeniero en sistemas (generalmente es un equipo de técnicos con un líder a cargo de la actividad) que tiene la responsabilidad de ejecutar la auditoría de sistemas, primero que nada debe concertar reuniones de trabajo con los responsables de las áreas administrativas, recursos humanos, seguridad industrial, con el objetivo de conocer cual es la visión que tiene la empresa u organización del valor de la información y rol que tiene el departamento de IT de forma global.
Al establecer estos puntos de vista, y tomar nota de los mismos, podrá empezar su labor de auditoría en el área, ya que generalmente las fortalezas o debilidades de un departamento de informática inician por el concepto global (visión, misión, metas, objetivos empresariales u organizacionales) que tiene una empresa del área a auditar.
Las personas que pueden realizar una auditoria de sistemas sopn personas capacitadas por diferentes empresas que brindan sus servicios Con el objetivo de reducir los errores.
Las herramientas que se utilizan en la auditoria de sistemas primeros son los sistemas de información de la empresa, la gestión integral y las normas y estándares propiamente informáticos que deben de estar sometidos a evaluaciones.
En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado la gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende debido a su importancia en el funcionamiento de una empresa, existe la Auditoría de sistemas ,con el único objetivo que constituya a la auditoría de sistemas el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
Riesgos Asociados Al Area De Ti:
Hardware
- Descuido o falta de protección: Condiciones inapropiadas, mal
manejo, no observancia de las normas.
- Destrucción.
Software:
-uso o acceso,
- copia,
- modificación,
- destrucción,
- hurto,
- errores u omisiones.
Archivos:
- Usos o acceso,
- copia, modificación, destrucción, hurto.
Organización:
- Inadecuada: no funcional, sin división de funciones.
- Falta de seguridad,
- Falta de políticas y planes.
Personal:
- Deshonesto, incompetente y descontento.
Usuarios:
- Enmascaramiento, falta de autorización, falta de conocimiento de su función.
Conducir la auditoría es una de las partes más críticas de un Programa de Administración de Software, porque la auditoría ayuda a la organización a tomar decisiones que optimicen sus activos de software.
Una de las razones por las que las organizaciones no maximizan su inversión en activos de software es que no hay información exacta disponible.
La recopilación de toda la información necesaria es un proceso intenso, especialmente cuando se hace por primera vez.
Otro problema es que la perspectiva de una auditoría puede ser vista con algunas reservas por algunos directivos de la organización, preocupados porque pueda interrumpir el flujo de trabajo, y por algunos usuarios finales que pueden ser forzados a abandonar sus programas o procedimientos favoritos.
Una de las formas de evitar las objeciones y dejar de lado estos problemas es planificar cuidadosamente la Auditoría de Software y comunicar su valor por adelantado.
Los siguientes factores favorecerán la colaboración entre la gerencia y el personal a través del proceso de planificación, el cual es una llave para el éxito de cualquier auditoría de software.
Establecer y acordar una serie clara de objetivos y comunicarla a todos los empleados asociados con la auditoría.
Focalizarse en los resultados que se requieran de la auditoría y discutir las áreas donde se crea pueda haber problemas.
Identificar las áreas simples pero muchas veces olvidadas que necesitan ser consideradas, tales como:
Acceso a sitios y creación de mapas de esas locaciones
Conocer con anticipación los log-on scripts de seguridad o claves.
Horario de la auditoría (durante el día, noche o fin de semana).
Diseñar el plan y el cronograma de la auditoría, así como también las herramientas de auditoría que serán usadas.
Asignar recursos para cada elemento específico de la auditoría.
Recursos para la Auditoría: Herramientas de la Auditoría
Las herramientas de auditoría ofrecen una gran cantidad de servicios diseñados para asistir en la auditoría de software.
Hay cuatro grandes tipos de herramientas de auditoría:
Programas para inventario: que están diseñados para tomar un inventario del software existente instalado y generar un reporte.
Programas de medición: que monitorean el uso del software en una red, asistiendo a la administración de las licencias de red.
Programas de Administración de redes: que combinan la medición, inventario y otras tareas en un conjunto de software.
Programas y Administración de Software: que incluyen el inventario, medición y administración y también asisten con la instalación de software, distribución, protección anti-virus, mesa de ayuda y otras funciones de administración.
Decisiones de "Compra" Versus "Desarrollo interno"
Determinar quien conducirá físicamente la auditoría es la primera decisión a tomar en cuanto a los recursos.
Existen ciertas ventajas y desventajas al decidir "desarrollar" (una auditoría conducida por personal interno) o "comprar" (una auditoría conducida por consultores externos).
La organización puede querer ahorrar dólares de su presupuesto al usar el personal de TI, personal administrativo o voluntario.
Datos compilados indican que para cualquier organización de más de 1.000 estaciones de trabajo, una auditoría interna no es de costo efectivo.
El planeamiento de proyecto para la auditoría puede demorar tanto como 20 horas por 100 equipos si lo lleva a cabo personal interno sin entrenamiento, y el proceso de inventario típicamente lleva 30 minutos o más por estación de trabajo.
La compilación de datos y conciliación tomará horas adicionales. Globalmente, para 1.000 estaciones de trabajo, la investigación ha demostrado que una auditoría interna será prácticamente el doble de onerosa que una auditoría conducida por una firma de consultoría externa.
Parte de este costo diferencial es que los auditores externos ya tienen los formularios, herramientas y plantillas para llevar a cabo la tarea especialmente si esta es la primera auditoría que se lleva a cabo en la organización.
Hay tres maneras de conducir una auditoría:
Llevar a cabo la auditoría internamente usando la información de esta guía y otros recursos sugeridos.
Llevar a cabo la auditoría internamente, pero contratar un consultor externo para que asista en el proceso y provea herramientas esenciales.
Contratar una firma de consultoría externa para que tome a su cargo todos los servicios.
Metodología de una Auditoria
Existen algunas metodologías de auditorias de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases
básicas de un proceso de revisión:
Estudio preliminar
Revisión y evaluación de controles y seguridades
Examen detallado de áreas criticas
Comunicación de resultados.
Estudio preliminar.- Incluye definir el grupo de trabajos el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, entrevistas con los principales funcionarios del PAD.
Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.
Examen detallado de áreas criticas.-Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.
Comunicación de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz cuadros o redacción simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoría.
El informe debe contener lo siguiente:
Motivos de la Auditoría
Objetivos
Alcance
Estructura Orgánico-Funcional del área Informática
Configuración del Hardware y Software instalado
Control Interno
Resultados de la Auditoría
Caso Práctico
A continuación se presenta unas políticas en Informática establecida como propuesta a fin de ilustrar el trabajo realizado de una auditoría de sistemas enfocada en los controles de Organización y planificación.
Esta política fue creada con la finalidad de que satisfaga a un grupo de empresas jurídicamente establecidas con una estructura departamental del Área de Sistemas integrada por: Dirección, Subdirección, Jefes Departamentales del Área de Sistemas en cada una de las empresas que pertenecen al grupo.
Así mismo los Departamentos que la componen son: Departamento de Desarrollo de Sistemas y Producción, Departamento de Soporte Técnico y Departamento de redes y comunicación, Departamento de Desarrollo de proyectos
Para el efecto se ha creado una administración de Sistemas que efectúa reuniones periódicas a fin de regular y normar el funcionamiento del área de Sistemas y un Comité en el que participan personal del área de Sistemas y personal administrativo
Estándares De Seguridad De La Información
ISO/IEC 27000-series: La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).
COBIT: Objetivos de Control para la información y Tecnologías relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoria y Control de Sistemas de Información, (ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992.
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información.
ITIL: La Information Technology Infrastructure Library ("Biblioteca de Infraestructura de Tecnologías de Información"), frecuentemente abreviada ITIL, es un marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. ITIL resume un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir de guía para que abarque toda infraestructura, desarrollo y operaciones de TI.
CONCLUSIONES
La Auditoría de sistemas es la fase de investigación del Plan de Administración de Software. En este paso, la organización recopila los datos necesarios para tomar sus decisiones de inversión.
Prepararse para la auditoría requiere algunas decisiones críticas, tales como conducir la auditoría internamente o contratar consultores para llevar a cabo la tarea y decidir qué tipo de software de auditoría debería usarse para el inventario físico de las estaciones de trabajo y los discos de la red.
Hay muchas posibilidades para elegir, por lo tanto es importante evaluar más de un producto y elegir solo aquellos que estén alineados con las prioridades y propósitos de auditoría de la organización.
Las empresas se deben de someter a un control estricto de evaluación de eficacia y eficiencia. Hoy en día, el 90 por ciento de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente. La empresa hoy, debe precisar informatizarse.
El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informático propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldrá a adelante. En cuanto al trabajo de la auditoría de sistemas , podemos remarcar que se precisa de gran conocimiento de Informática, seriedad, capacidad, minuciosidad y responsabilidad, la auditoría de Sistemas debe hacerse por gente altamente capacitada, una auditoría mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas.
No hay comentarios:
Publicar un comentario