INSTITUTO

TECNOLOGICO

SUPERIOR

“RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA

II

INTRODUCCION

La auditoría nace como un órgano de control de algunas instituciones estatales

y privadas. Su función inicial es estrictamente económico-financiera, y los

casos inmediatos se encuentran en las peritaciones judiciales y las

contrataciones de contables expertos por parte de Bancos Oficiales.

La función auditora debe ser absolutamente independiente; no tiene carácter

ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa

tomar las decisiones pertinentes. La auditoría contiene elementos de análisis,

de verificación y de exposición de debilidades y disfunciones. Aunque pueden

aparecer sugerencias y planes de acción para eliminar las disfunciones y

debilidades antedichas; estas sugerencias plasmadas en el Informe final

reciben el nombre de Recomendaciones.

Las funciones de análisis y revisión que el auditor informático realiza, puede

chocar con la psicología del auditado, ya que es un informático y tiene la

necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del

auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor

es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los

plazos demasiado breves de los que suelen disponer para realizar su tarea.

Además del chequeo de los Sistemas, el auditor somete al auditado a una serie

de cuestionario. Dichos cuestionarios, llamados Check List, son guardados

celosamente por las empresas auditoras, ya que son activos importantes de su

actividad. Las Check List tienen que ser comprendidas por el auditor al pie de

la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener

resultados distintos a los esperados por la empresa auditora. La Check List

puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El

cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo una

metodología precisa puede desentrañar las causas por las cuales se realizan

actividades teóricamente inadecuadas o se omiten otras correctas.

El auditor sólo puede emitir un juicio global o parcial basado en hechos y

situaciones incontrovertibles, careciendo de poder para modificar la situación

analizada por él mismo.

III

INDICE

INTRODUCCION _________________________________________________________ 2

INDICE _________________________________________________________________ 3

INDICE DE IMAGENES _____________________________________________________ 4

AUDITORIA _____________________________________________________________ 1

1 AUDITORÍA FÍSICA ______________________________________________________ 1 1.1 La seguridad física ___________________________________________________________ 1 1.2 Objetivos de la auditoria. ______________________________________________________ 2 1.3 Técnicas y herramientas de auditor. _____________________________________________ 2 1.4 Responsabilidades de los Auditores ______________________________________________ 2 1.5 Fases de la auditoria física _____________________________________________________ 3

2 AUDITORIA DE DESARROLLO ______________________________________________ 3 2.1 AUDITORIA DE DESARROLO DE SISTEMAS _________________________________________ 4 2.2 LA AUDITORIA INFORMÁTICA DEL DESARROLLO DE PROYECTOS _______________________ 4 2.3 CONSIDERACIONES DE AUDITORIA DE DESARROLLO DE SISTEMAS______________________ 5 2.4 ETAPAS DE LA AUDITORIA DE UN SISTEMA INFORMÁTICO ____________________________ 5

3 AUDITORIA DE RED ______________________________________________________ 5 3.1 Etapas a implementar en la Auditoría de Redes ____________________________________ 6 3.2 Estrategia de Saneamiento _____________________________________________________ 6 3.3 Plan de Contención___________________________________________________________ 7

4 PLAN DEL AUDITOR _____________________________________________________ 8 4.1 Metodología _____________________________________________________________ 9 4.2 Etapas de la metodología de auditoría _____________________________________ 10

5 INFORME DEL AUDITOR _________________________________________________ 11

6 BIBLIOGRAFIA _________________________________________________________ 12

IV

INDICE DE IMAGENES

Foto 1 Auditoria de desarrollo ____________________________________________________________ 3 Foto 2 Auditoria desarrollo ______________________________________________________________ 4 Foto 3 Auditoria de red _________________________________________________________________ 5 Foto 4 Auditoria red ____________________________________________________________________ 6 Foto 5 Plan del auditor _________________________________________________________________ 8 Foto 6 plan ___________________________________________________________________________ 9 Foto 7 informe _______________________________________________________________________ 11

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

1 SEXTO SEMESTRE

AUDITORIA

1 AUDITORÍA FÍSICA

La Auditoria Física no se limita a comparar solo la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad.

Seguridad Física Garantiza la integridad de los activos humanos, lógicos y materiales del Objeto a analizar.

Seguridad lógica.

Seguridad física.

Seguridad de las comunicaciones.

1.1 La seguridad física

Existen tres tipos de seguridad:

Seguridad lógica. Seguridad física. Seguridad de las comunicaciones.

Antes

Obtener y mantener un nivel adecuado de seguridad física sobre los activos.

Seguridad física es el conjunto de acciones utilizadas para evitar algún fallo.

Durante

Ejecutar un plan de contingencia adecuado.

Desastre es cualquier evento que puede interrumpir el proceso normal de una empresa.

La probabilidad de que ocurra un desastre es muy baja, pero si ocurre será fatal para la empresa.

Un plan de recuperación de desastres constituye en el plan de contingencia.

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

2 SEXTO SEMESTRE

Después

Los seguros compensan en parte los gastos y pérdidas.

Algunos seguros existentes son:

Centros de procesos y equipamiento. Reconstrucción de medios de software. Gastos extra. Interrupción del negocio. Documentos y registros valiosos. Errores y omisiones. Cobertura de fidelidad. Transporte de medios. Contratos con proveedores y de mantenimiento.

1.2 Objetivos de la auditoria.

Los objetivos van en un orden lógico “de afuera a dentro”:

Edificio Instalaciones Equipamiento y telecomunicaciones. Datos Persona.

1.3 Técnicas y herramientas de auditor.

Su fin es obtener evidencia física. Técnicas

Observación Revisión analítica de documentación, políticas, normas, contratos etc. Entrevistas Consultas

Herramientas

Cuaderno de campo / Grabadora de audio Cámara fotográfica / Cámara de video.

Su uso debe ser discreto y siempre con consentimiento del personal

1.4 Responsabilidades de los Auditores

Revisar los controles relativos a Seguridad Física Revisar el cumplimento de los procedimientos

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

3 SEXTO SEMESTRE

Evaluar Riesgos Revisión de cumplimiento de las Políticas y Normas sobre

Seguridad Física Efectuar Auditorias programadas e imprevistas Emitir informes y efectuar el seguimiento de las

recomendaciones Revisar los Planes de Seguridad y Contingencia. Emitir informes y recomendaciones

1.5 Fases de la auditoria física

Alcance de la Auditoria Adquisición de Información General Administración y Planificación Plan de Autoría Resultado de las pruebas Conclusiones y Comentarios Borrador del Informe Discusión con los responsables de área Informe Final

2 AUDITORIA DE DESARROLLO

Foto 1 Auditoria de desarrollo

Podemos definir el desarrollo de sistemas informáticos como el proceso mediante el cual el conocimiento humano y el uso de las ideas son llevados a las computadoras; de manera que pueda realizar las tareas para la cual fue desarrollada. Para que esto sea utilizado deberán, funcionar adecuadamente, ser de fácil manejo, adecuarse a la empresa para la que fue diseñada y debe ayudar al personal a realizar su trabajo de forma eficiente.

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

4 SEXTO SEMESTRE

2.1 AUDITORIA DE DESARROLO DE SISTEMAS

Foto 2 Auditoria desarrollo

La función de desarrollo es una evolución del llamado análisis y programación

de sistemas y aplicaciones. A su vez, engloba muchas áreas, tantas como

sectores tiene la empresa. Muy concisamente, una Aplicación recorre las

siguientes fases:

Animaciones (Periquitos, Adornos), del Usuario (único o plural) y del

entorno.

Análisis funcional.

Diseño.

Análisis orgánico (Pre-programación y Programación).

Pruebas.

Entrega a Explotación y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso

contrario, además del disparo de los costes, podrá producirse la insatisfacción

del usuario. Finalmente, la auditoria deberá comprobar la seguridad de los

programas en el sentido de garantizar que los ejecutados por la maquina sean

exactamente los previstos y no otros.

2.2 LA AUDITORIA INFORMÁTICA DEL DESARROLLO DE PROYECTOS

Prerrequisitos del Usuario (único o plural) y del entorno Análisis funcional Diseño Análisis orgánico (Pre programación y Programación) Pruebas Entrega a Explotación y alta para el Proceso.

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

5 SEXTO SEMESTRE

2.3 CONSIDERACIONES DE AUDITORIA DE DESARROLLO DE

SISTEMAS

Revisión de las metodologías utilizadas. Control interno de aplicaciones Satisfacción de usuarios Control de procesos y ejecuciones de programas críticos

2.4 ETAPAS DE LA AUDITORIA DE UN SISTEMA INFORMÁTICO

Exploración Planeamiento Supervisión Ejecución Informe Seguimiento

3 AUDITORIA DE RED

Foto 3 Auditoria de red

Una Auditoría de Redes es, en esencia, una serie de mecanismos mediante

los cuales se pone a prueba una red informática, evaluando su desempeño y

seguridad, a fin de lograr una utilización más eficiente y segura de la

información. El primer paso para iniciar una gestión responsable de la

seguridad es identificar la estructura física (hardware, topología) y lógica

(software, aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y

hacerle un Análisis de Vulnerabilidad para saber en qué grado de exposición

nos encontramos; así, hecha esta "radiografía" de la red, se procede a localizar

sus falencias más críticas, para proponer una Estrategia de Saneamiento de

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

6 SEXTO SEMESTRE

los mismos; un Plan de Contención ante posibles incidentes; y un

Seguimiento Continuó del desempeño del sistema de ahora en más.

Foto 4 Auditoria red

3.1 Etapas a implementar en la Auditoría de Redes

Éste es sin duda el punto más crítico de toda la Auditoría, ya que de él

dependerá directamente el curso de acción a tomar en las siguientes etapas y

el éxito de éstas. Nuestro equipo cuenta con la tecnología y la capacidad

necesaria para elaborar detallados reportes sobre el grado de vulnerabilidad

del sistema, a través de análisis remotos y relevamientos locales.

7 Espe jos puede implementar exclusivamente esta estapa en la auditoría de

su red, para que en función de los reportes su personal de redes y directivos

implementen las etapas sucesivas tomando las acciones que consideren

necesarias.

3.2 Estrategia de Saneamiento

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

7 SEXTO SEMESTRE

Identificadas las "brechas" en la red, se procede a "parchearlas", bien sea

actualizando el software afectado, reconfigurándolo de una mejor manera ó

remplazándolo por otro que consideremos más seguro y de mejor desempeño.

En este sentido, 7 Espe jos no posee ningún acuerdo con ninguna compañía

de software, y probablemente le ofrecerá soluciones de Software Libre, de alta

performance y muy bajo costo.

Las bases de datos, los servidores internos de correo, las comunicaciones sin

cifrar, las estaciones de trabajo... todo los puntos críticos deben reducir el

riesgo. En los casos más extremos, la misma infraestructura física de la red

deberá ser replanteada, reorganizando y reconfigurando sus switches, routers y

firewalls.

3.3 Plan de Contención

La red ha sido replanteada, el software ha sido reconfigurado (o rediseñado) y

el riesgo ha sido reducido; aún así, constamente se están reportando nuevos

fallos de seguridad y la posibilidad de intrusión siempre está latente. Un disco

rígido puede fallar, una base de datos puede corromporse o una estación de

trabajo puede ser infectada por un virus in the wild (virus bien reciente de

rápida propagación); para ello hay que elaborar un "Plan B", que prevea un

incidente aún después de tomadas las medidas de seguridad, y que dé

respuesta ante posibles eventualidades.

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

8 SEXTO SEMESTRE

4 PLAN DEL AUDITOR

Foto 5 Plan del auditor

El plan auditor informático es el documento en que se define esta función y el trabajo que realiza dentro de la entidad en que se encuadra. Su contenido debe estar orientado con la estrategia organizativa y con el resto de los planes auditores. En un plan auditor diferenciamos:

Funciones: Ubicación de la auditoría informática dentro de la empresa, sus funciones, estructura del departamento y recursos que aglutina.

Procedimientos: Manera en que se realizarán las distintas tareas de las auditorías.

Tipos de auditorías que se realizan.

Sistema de evaluación y los aspectos que evalúa.

Lista de distribución de informes.

Seguimiento de las acciones correctoras.

Planes de trabajo y su periodicidad.

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

9 SEXTO SEMESTRE

El plan auditor informático se concreta en la práctica, entre otros aspectos, en una metodología de trabajo que determina los hitos desde el inicio de la auditoría informática, ya sea por auditor interno o externo, hasta la entrega del informe final y la manera de alcanzarlos.

Foto 6 plan

4.1 Metodología

La auditoría informática debe respaldarse en un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en la empresa. Al igual que otras funciones en el negocio, la auditoría informática efectúa sus tareas y actividades mediante una metodología. Con un método garantiza que las cualidades de cada auditor sean orientadas a trabajar en equipo para la obtención de resultados de alta calidad y de acuerdo a estándares predeterminados. El objetivo es brindar a los responsables de dichas áreas un camino estructurado por el que obtengan los resultados esperados por la empresa, siguiendo un plan. Se requiere un buen dominio y uso constante de los siguientes aspectos complementarios: Técnicas

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

10 SEXTO SEMESTRE

Herramientas de productividad Habilidades personales

Conocimientos técnicos y administrativos

Experiencia en los campos de auditoría e informática

Conocimiento de los factores del negocio y del medio externo al mismo

Actualización permanente

Comunicación constante con asociaciones nacionales e internacionales

relacionadas. El uso de un proceso de trabajo metodológico y estándar en la función de auditoría informática genera las siguientes ventajas:

- Las tareas y productos terminados de los proyectos se encuentran definidos y formalizados en un documento al alcance de los auditores informáticos.

- Se facilita en alto grado la administración y seguimiento de los

proyectos, pues la metodología obliga a la planificación detallada de cada proyecto bajo criterios estándares.

- Facilita la superación profesional y humana de los individuos, ya que

orienta los esfuerzos hacia la especialización, responsabilidad, estructuración y depuración de las funciones del auditor.

4.2 Etapas de la metodología de auditoría

La metodología de auditoría de seguridad de la Intranet se estructura en seis etapas que detallamos a continuación: Definición de ámbito y objetivos

Diagnóstico

Etapa de justificación

Etapa de adecuación

Etapa de formalización:

Etapa de desarrollo e implantación

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

11 SEXTO SEMESTRE

Presentación del informe final

5 INFORME DEL AUDITOR

Foto 7 informe

En si todos los encuestados respondieron la totalidad de las preguntas. Todos

tienen la misma respuesta en la pregunta sobre la inteligencia artificial, todos

dicen prácticamente lo mismo acerca de lo que es la auditoria de sistemas en

que es un sistema de revisión, evaluación, verificación y evalúa la eficiencia y

eficacia con que se está operando los sistemas y corregir los errores de dicho

sistema. Todos los encuestados mostraron una características muy similares

de las personas que van a realizan la auditoria; debe haber un contador, un

ingeniero de sistemas, un técnico y que debe tener conocimientos, práctica

profesional y capacitación para poder realizar la auditoria.

Todos los encuestados conocen los mismos tipos de auditoría, Económica,

Sistemas, Fiscal, Administrativa.

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

12 SEXTO SEMESTRE

Para los encuestados el principal objetivo de la auditoria de sistemas es

Asegurar una mayor integridad, confidencialidad y confiabilidad de la

información mediante la recomendación de seguridades y controles.

Mirando en general a todos los encuestados se puede ver que para ellos la

auditoria de sistemas es muy importante porque en los sistemas esta toda la

información de la empresa y del buen funcionamiento de esta depende gran

parte del funcionamiento de una empresa y que no solo se debe comprender

los equipos de computo sino también todos los sistemas de información desde

sus entradas, procedimientos, controles, archivos, seguridad y obtención de

información.

La auditoria de los sistemas de informática es de mucha importancia ya que

para el buen desempeño de los sistemas de información, ya que proporciona

los controles necesarios para que los sistemas sean confiables y con un buen

nivel de seguridad.

La auditoria de sistemas es la revisión y la evaluación de los controles,

sistemas, procedimientos de informática; de los equipos de cómputo, su

utilización, eficiencia y seguridad, de la organización que participan en el

procesamiento de la información, a fin de que por medio del señalamiento de

cursos alternativos se logre una utilización más eficiente y segura de la

información que servirá para

Una adecuada toma de decisiones.

Apoyo de función informática a las metas y objetivos de la organización.

Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente

informático.

Incrementar la satisfacción de los usuarios de los sistemas informáticos.

Capacitación y educación sobre controles en los Sistemas de Información.

6 BIBLIOGRAFIA http://seguridad.7espejos.com/auditoria

http://www.google.com.ec/url?sa=t&source=web&cd=4&ved=0CCYQFjA

D&url=http%3A%2F%2Fwww.uned.es%2F413057%2Felena%2Fpractica.

doc&rct=j&q=PLAN%20DEL%20AUDITOR%20INFORMATICO&ei=E

G2JTK6qH4aBlAfUhpneDg&usg=AFQjCNESAuaPwTxd8amqvBmZFtJ6

fh9dEw

INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”

INFORMATICA Y MULTIMEDIA

AUDITORIA

13 SEXTO SEMESTRE