INTRODUCCION
La Informática hoy, está subsumida en la gestión integral de
la empresa, y por eso las normas y estándares propiamente informáticos deben
estar, por lo tanto, sometidos a los generales de la misma. Las organizaciones
informáticas forman parte de lo que se ha denominado el "management"
o gestión de la empresa. debido a su importancia en el funcionamiento de una
empresa, existe la Auditoria Informática
QUE ES AUDITORIA
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.
CONCEPTO DE AUDITORIA
Es un examen que se realiza con carácter objetivo, crítico,
sistemático y selectivo con el fin de evaluar la eficacia y
eficiencia del uso adecuado de los recursos informáticos, de la
gestión. informática y si estas han brindado el soporte adecuado
a los objetivos y metas del negocio.
La Auditoria de Tecnología de Información (T.I.) como se le conoce
actualmente, (Auditoria informática o Auditoria de sistemas en nuestro
medio), se ha consolidado en el mundo entero como cuerpo de
conocimientos cierto y consistente, respondiendo a la acelerada evolución
de la tecnología informática de los últimos 10 años
La INFORMACIÓN: Es considerada un activo tan o más importante que
cualquier otro en una organización.
Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas practicas
dedicadas a la evaluación y aseguramiento de la calidad, seguridad,
razonabilidad, y disponibilidad de la INFORMACIÓN tratada y almacenada a
través del computador y equipos afines, así como de la eficiencia, eficacia y
economía con que la administración de un ente están manejando dicha INFORMACIÓN y todos los recursos físicos y humanos asociados para su
adquisición, captura, procesamiento, transmisión, distribución, uso y
almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio,
para lo cual se aplican técnicas de auditoria de general aceptación y
conocimiento técnico específico.
OBJETIVO DE UNA AUDITORIA INFORMÁTICA
La Auditoria Informática deberá comprender no sólo
la evaluación de los equipos de cómputo, de un
sistema o procedimiento específico, sino que además
habrá de evaluar los sistemas de información en
general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtención de
información.
Esta es de vital importancia para el buen desempeño
de los sistemas de información, ya que proporciona
los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad. Además
debe evaluar todo: informática, organización de
centros de información, hardware y software.
ALCANCE DE UNA AUDITORIA INFORMÁTICA
El alcance ha de definir con precisión el entorno y los
límites en que va a desarrollarse la auditoria
informática, se complementa con los objetivos de
ésta.
El alcance ha de figurar expresamente en el Informe
Final, de modo que quede perfectamente
determinado no solamente hasta que puntos se ha
llegado, sino cuales materias fronterizas han sido
omitidas
CUESTIONARIO:
Conjunto de preguntas a las que el sujeto puede responder oralmente o por
escrito, cuyo fin es poner en evidencia determinados aspectos.
CARACTERÍSTICAS:
Las auditorias informáticas se materializan recabando información y
documentación de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes entornos.
EL TRABAJO DE CAMPO DEL AUDITOR:
Consiste en lograr toda la
información necesaria para la emisión de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados también evidencias.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas,
sino diferentes y muy específicos para cada situación, y muy cuidados en su
fondo y su forma.
ENTREVISTAS:
La entrevista es una de las actividades personales más importante
del auditor; en ellas, éste recoge más información, y mejor matizada,
que la proporcionada por medios propios puramente técnicos o por
las respuestas escritas a cuestionarios.
El auditor informático experto entrevista al auditado siguiendo un
cuidadoso sistema previamente establecido, consistente en que bajo
la forma de una conversación correcta y lo menos tensa posible, el
auditado conteste sencillamente y con pulcritud a una serie de
preguntas variadas, también sencillas. Sin embargo, esta sencillez es
solo aparente
CHECKLIST:
El auditor profesional y experto es aquél que reelabora muchas veces sus
cuestionarios en función de los escenarios auditados. Tiene claro lo que
necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de
análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de
someter al auditado a unas preguntas estereotipadas que no conducen a nada.
Muy por el contrario, el auditor conversará y hará preguntas “normales”, que en
realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de
sus Checklists.
Existen dos palabras muy importantes que son riesgo y seguridad:
• Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas pérdidas para las empresas.
• Seguridad: Es una forma de protección contra los riesgos
• Los riesgos mas perjudiciales son a las tecnologías de información y comunicaciones.
En la actualidad gracias a la infinidad de posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el ámbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informáticos son más latentes.
• Fraudes.
• Falsificación.
• Venta de información.
• Destrucción de la información.
Existen dos palabras muy importantes que son riesgo y seguridad:
• Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas pérdidas para las empresas.
• Seguridad: Es una forma de protección contra los riesgos
• Los riesgos mas perjudiciales son a las tecnologías de información y comunicaciones.
En la actualidad gracias a la infinidad de posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el ámbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informáticos son más latentes.
• Fraudes.
• Falsificación.
• Venta de información.
• Destrucción de la información.
PRINCIPALES ATACANTES
HACKER
LAMMER
COPYHACKER
CRACKER
RIESGOS EN EL CENTRO DE CÓMPUTO
Factores Físicos
Factores ambientales
Factores humanos
RIESGO.
Es la probabilidad de que suceda un evento, impacto o
consecuencia adversos. Se entiende también como la
medida de la posibilidad y magnitud de los impacto adversos, siendo la consecuencia del peligro, y está
en relación con la frecuencia con que se presente el
evento.
EVIDENCIA.
El auditor obtendrá la certeza suficiente y
apropiada a través de la ejecución de sus
comprobaciones de procedimientos para
permitirle emitir las conclusiones sobre las que
fundamentar su opinión acerca del estado del
sistema de Informático. 