auditoria fisica y desarrollo
TRANSCRIPT
INSTITUTO
TECNOLOGICO
SUPERIOR
“RIOBAMBA” INFORMATICA Y MULTIMEDIA AUDITORIA
II
INTRODUCCION
La auditoría nace como un órgano de control de algunas instituciones estatales
y privadas. Su función inicial es estrictamente económico-financiera, y los
casos inmediatos se encuentran en las peritaciones judiciales y las
contrataciones de contables expertos por parte de Bancos Oficiales.
La función auditora debe ser absolutamente independiente; no tiene carácter
ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa
tomar las decisiones pertinentes. La auditoría contiene elementos de análisis,
de verificación y de exposición de debilidades y disfunciones. Aunque pueden
aparecer sugerencias y planes de acción para eliminar las disfunciones y
debilidades antedichas; estas sugerencias plasmadas en el Informe final
reciben el nombre de Recomendaciones.
Las funciones de análisis y revisión que el auditor informático realiza, puede
chocar con la psicología del auditado, ya que es un informático y tiene la
necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del
auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor
es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los
plazos demasiado breves de los que suelen disponer para realizar su tarea.
Además del chequeo de los Sistemas, el auditor somete al auditado a una serie
de cuestionario. Dichos cuestionarios, llamados Check List, son guardados
celosamente por las empresas auditoras, ya que son activos importantes de su
actividad. Las Check List tienen que ser comprendidas por el auditor al pie de
la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener
resultados distintos a los esperados por la empresa auditora. La Check List
puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El
cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo una
metodología precisa puede desentrañar las causas por las cuales se realizan
actividades teóricamente inadecuadas o se omiten otras correctas.
El auditor sólo puede emitir un juicio global o parcial basado en hechos y
situaciones incontrovertibles, careciendo de poder para modificar la situación
analizada por él mismo.
III
INDICE
INTRODUCCION _________________________________________________________ 2
INDICE _________________________________________________________________ 3
INDICE DE IMAGENES _____________________________________________________ 4
AUDITORIA _____________________________________________________________ 1
1 AUDITORÍA FÍSICA ______________________________________________________ 1 1.1 La seguridad física ___________________________________________________________ 1 1.2 Objetivos de la auditoria. ______________________________________________________ 2 1.3 Técnicas y herramientas de auditor. _____________________________________________ 2 1.4 Responsabilidades de los Auditores ______________________________________________ 2 1.5 Fases de la auditoria física _____________________________________________________ 3
2 AUDITORIA DE DESARROLLO ______________________________________________ 3 2.1 AUDITORIA DE DESARROLO DE SISTEMAS _________________________________________ 4 2.2 LA AUDITORIA INFORMÁTICA DEL DESARROLLO DE PROYECTOS _______________________ 4 2.3 CONSIDERACIONES DE AUDITORIA DE DESARROLLO DE SISTEMAS______________________ 5 2.4 ETAPAS DE LA AUDITORIA DE UN SISTEMA INFORMÁTICO ____________________________ 5
3 AUDITORIA DE RED ______________________________________________________ 5 3.1 Etapas a implementar en la Auditoría de Redes ____________________________________ 6 3.2 Estrategia de Saneamiento _____________________________________________________ 6 3.3 Plan de Contención___________________________________________________________ 7
4 PLAN DEL AUDITOR _____________________________________________________ 8 4.1 Metodología _____________________________________________________________ 9 4.2 Etapas de la metodología de auditoría _____________________________________ 10
5 INFORME DEL AUDITOR _________________________________________________ 11
6 BIBLIOGRAFIA _________________________________________________________ 12
IV
INDICE DE IMAGENES
Foto 1 Auditoria de desarrollo ____________________________________________________________ 3 Foto 2 Auditoria desarrollo ______________________________________________________________ 4 Foto 3 Auditoria de red _________________________________________________________________ 5 Foto 4 Auditoria red ____________________________________________________________________ 6 Foto 5 Plan del auditor _________________________________________________________________ 8 Foto 6 plan ___________________________________________________________________________ 9 Foto 7 informe _______________________________________________________________________ 11
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
1 SEXTO SEMESTRE
AUDITORIA
1 AUDITORÍA FÍSICA
La Auditoria Física no se limita a comparar solo la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad.
Seguridad Física Garantiza la integridad de los activos humanos, lógicos y materiales del Objeto a analizar.
Seguridad lógica.
Seguridad física.
Seguridad de las comunicaciones.
1.1 La seguridad física
Existen tres tipos de seguridad:
Seguridad lógica. Seguridad física. Seguridad de las comunicaciones.
Antes
Obtener y mantener un nivel adecuado de seguridad física sobre los activos.
Seguridad física es el conjunto de acciones utilizadas para evitar algún fallo.
Durante
Ejecutar un plan de contingencia adecuado.
Desastre es cualquier evento que puede interrumpir el proceso normal de una empresa.
La probabilidad de que ocurra un desastre es muy baja, pero si ocurre será fatal para la empresa.
Un plan de recuperación de desastres constituye en el plan de contingencia.
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
2 SEXTO SEMESTRE
Después
Los seguros compensan en parte los gastos y pérdidas.
Algunos seguros existentes son:
Centros de procesos y equipamiento. Reconstrucción de medios de software. Gastos extra. Interrupción del negocio. Documentos y registros valiosos. Errores y omisiones. Cobertura de fidelidad. Transporte de medios. Contratos con proveedores y de mantenimiento.
1.2 Objetivos de la auditoria.
Los objetivos van en un orden lógico “de afuera a dentro”:
Edificio Instalaciones Equipamiento y telecomunicaciones. Datos Persona.
1.3 Técnicas y herramientas de auditor.
Su fin es obtener evidencia física. Técnicas
Observación Revisión analítica de documentación, políticas, normas, contratos etc. Entrevistas Consultas
Herramientas
Cuaderno de campo / Grabadora de audio Cámara fotográfica / Cámara de video.
Su uso debe ser discreto y siempre con consentimiento del personal
1.4 Responsabilidades de los Auditores
Revisar los controles relativos a Seguridad Física Revisar el cumplimento de los procedimientos
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
3 SEXTO SEMESTRE
Evaluar Riesgos Revisión de cumplimiento de las Políticas y Normas sobre
Seguridad Física Efectuar Auditorias programadas e imprevistas Emitir informes y efectuar el seguimiento de las
recomendaciones Revisar los Planes de Seguridad y Contingencia. Emitir informes y recomendaciones
1.5 Fases de la auditoria física
Alcance de la Auditoria Adquisición de Información General Administración y Planificación Plan de Autoría Resultado de las pruebas Conclusiones y Comentarios Borrador del Informe Discusión con los responsables de área Informe Final
2 AUDITORIA DE DESARROLLO
Foto 1 Auditoria de desarrollo
Podemos definir el desarrollo de sistemas informáticos como el proceso mediante el cual el conocimiento humano y el uso de las ideas son llevados a las computadoras; de manera que pueda realizar las tareas para la cual fue desarrollada. Para que esto sea utilizado deberán, funcionar adecuadamente, ser de fácil manejo, adecuarse a la empresa para la que fue diseñada y debe ayudar al personal a realizar su trabajo de forma eficiente.
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
4 SEXTO SEMESTRE
2.1 AUDITORIA DE DESARROLO DE SISTEMAS
Foto 2 Auditoria desarrollo
La función de desarrollo es una evolución del llamado análisis y programación
de sistemas y aplicaciones. A su vez, engloba muchas áreas, tantas como
sectores tiene la empresa. Muy concisamente, una Aplicación recorre las
siguientes fases:
Animaciones (Periquitos, Adornos), del Usuario (único o plural) y del
entorno.
Análisis funcional.
Diseño.
Análisis orgánico (Pre-programación y Programación).
Pruebas.
Entrega a Explotación y alta para el Proceso.
Estas fases deben estar sometidas a un exigente control interno, caso
contrario, además del disparo de los costes, podrá producirse la insatisfacción
del usuario. Finalmente, la auditoria deberá comprobar la seguridad de los
programas en el sentido de garantizar que los ejecutados por la maquina sean
exactamente los previstos y no otros.
2.2 LA AUDITORIA INFORMÁTICA DEL DESARROLLO DE PROYECTOS
Prerrequisitos del Usuario (único o plural) y del entorno Análisis funcional Diseño Análisis orgánico (Pre programación y Programación) Pruebas Entrega a Explotación y alta para el Proceso.
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
5 SEXTO SEMESTRE
2.3 CONSIDERACIONES DE AUDITORIA DE DESARROLLO DE
SISTEMAS
Revisión de las metodologías utilizadas. Control interno de aplicaciones Satisfacción de usuarios Control de procesos y ejecuciones de programas críticos
2.4 ETAPAS DE LA AUDITORIA DE UN SISTEMA INFORMÁTICO
Exploración Planeamiento Supervisión Ejecución Informe Seguimiento
3 AUDITORIA DE RED
Foto 3 Auditoria de red
Una Auditoría de Redes es, en esencia, una serie de mecanismos mediante
los cuales se pone a prueba una red informática, evaluando su desempeño y
seguridad, a fin de lograr una utilización más eficiente y segura de la
información. El primer paso para iniciar una gestión responsable de la
seguridad es identificar la estructura física (hardware, topología) y lógica
(software, aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y
hacerle un Análisis de Vulnerabilidad para saber en qué grado de exposición
nos encontramos; así, hecha esta "radiografía" de la red, se procede a localizar
sus falencias más críticas, para proponer una Estrategia de Saneamiento de
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
6 SEXTO SEMESTRE
los mismos; un Plan de Contención ante posibles incidentes; y un
Seguimiento Continuó del desempeño del sistema de ahora en más.
Foto 4 Auditoria red
3.1 Etapas a implementar en la Auditoría de Redes
Éste es sin duda el punto más crítico de toda la Auditoría, ya que de él
dependerá directamente el curso de acción a tomar en las siguientes etapas y
el éxito de éstas. Nuestro equipo cuenta con la tecnología y la capacidad
necesaria para elaborar detallados reportes sobre el grado de vulnerabilidad
del sistema, a través de análisis remotos y relevamientos locales.
7 Espe jos puede implementar exclusivamente esta estapa en la auditoría de
su red, para que en función de los reportes su personal de redes y directivos
implementen las etapas sucesivas tomando las acciones que consideren
necesarias.
3.2 Estrategia de Saneamiento
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
7 SEXTO SEMESTRE
Identificadas las "brechas" en la red, se procede a "parchearlas", bien sea
actualizando el software afectado, reconfigurándolo de una mejor manera ó
remplazándolo por otro que consideremos más seguro y de mejor desempeño.
En este sentido, 7 Espe jos no posee ningún acuerdo con ninguna compañía
de software, y probablemente le ofrecerá soluciones de Software Libre, de alta
performance y muy bajo costo.
Las bases de datos, los servidores internos de correo, las comunicaciones sin
cifrar, las estaciones de trabajo... todo los puntos críticos deben reducir el
riesgo. En los casos más extremos, la misma infraestructura física de la red
deberá ser replanteada, reorganizando y reconfigurando sus switches, routers y
firewalls.
3.3 Plan de Contención
La red ha sido replanteada, el software ha sido reconfigurado (o rediseñado) y
el riesgo ha sido reducido; aún así, constamente se están reportando nuevos
fallos de seguridad y la posibilidad de intrusión siempre está latente. Un disco
rígido puede fallar, una base de datos puede corromporse o una estación de
trabajo puede ser infectada por un virus in the wild (virus bien reciente de
rápida propagación); para ello hay que elaborar un "Plan B", que prevea un
incidente aún después de tomadas las medidas de seguridad, y que dé
respuesta ante posibles eventualidades.
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
8 SEXTO SEMESTRE
4 PLAN DEL AUDITOR
Foto 5 Plan del auditor
El plan auditor informático es el documento en que se define esta función y el trabajo que realiza dentro de la entidad en que se encuadra. Su contenido debe estar orientado con la estrategia organizativa y con el resto de los planes auditores. En un plan auditor diferenciamos:
Funciones: Ubicación de la auditoría informática dentro de la empresa, sus funciones, estructura del departamento y recursos que aglutina.
Procedimientos: Manera en que se realizarán las distintas tareas de las auditorías.
Tipos de auditorías que se realizan.
Sistema de evaluación y los aspectos que evalúa.
Lista de distribución de informes.
Seguimiento de las acciones correctoras.
Planes de trabajo y su periodicidad.
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
9 SEXTO SEMESTRE
El plan auditor informático se concreta en la práctica, entre otros aspectos, en una metodología de trabajo que determina los hitos desde el inicio de la auditoría informática, ya sea por auditor interno o externo, hasta la entrega del informe final y la manera de alcanzarlos.
Foto 6 plan
4.1 Metodología
La auditoría informática debe respaldarse en un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en la empresa. Al igual que otras funciones en el negocio, la auditoría informática efectúa sus tareas y actividades mediante una metodología. Con un método garantiza que las cualidades de cada auditor sean orientadas a trabajar en equipo para la obtención de resultados de alta calidad y de acuerdo a estándares predeterminados. El objetivo es brindar a los responsables de dichas áreas un camino estructurado por el que obtengan los resultados esperados por la empresa, siguiendo un plan. Se requiere un buen dominio y uso constante de los siguientes aspectos complementarios: Técnicas
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
10 SEXTO SEMESTRE
Herramientas de productividad Habilidades personales
Conocimientos técnicos y administrativos
Experiencia en los campos de auditoría e informática
Conocimiento de los factores del negocio y del medio externo al mismo
Actualización permanente
Comunicación constante con asociaciones nacionales e internacionales
relacionadas. El uso de un proceso de trabajo metodológico y estándar en la función de auditoría informática genera las siguientes ventajas:
- Las tareas y productos terminados de los proyectos se encuentran definidos y formalizados en un documento al alcance de los auditores informáticos.
- Se facilita en alto grado la administración y seguimiento de los
proyectos, pues la metodología obliga a la planificación detallada de cada proyecto bajo criterios estándares.
- Facilita la superación profesional y humana de los individuos, ya que
orienta los esfuerzos hacia la especialización, responsabilidad, estructuración y depuración de las funciones del auditor.
4.2 Etapas de la metodología de auditoría
La metodología de auditoría de seguridad de la Intranet se estructura en seis etapas que detallamos a continuación: Definición de ámbito y objetivos
Diagnóstico
Etapa de justificación
Etapa de adecuación
Etapa de formalización:
Etapa de desarrollo e implantación
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
11 SEXTO SEMESTRE
Presentación del informe final
5 INFORME DEL AUDITOR
Foto 7 informe
En si todos los encuestados respondieron la totalidad de las preguntas. Todos
tienen la misma respuesta en la pregunta sobre la inteligencia artificial, todos
dicen prácticamente lo mismo acerca de lo que es la auditoria de sistemas en
que es un sistema de revisión, evaluación, verificación y evalúa la eficiencia y
eficacia con que se está operando los sistemas y corregir los errores de dicho
sistema. Todos los encuestados mostraron una características muy similares
de las personas que van a realizan la auditoria; debe haber un contador, un
ingeniero de sistemas, un técnico y que debe tener conocimientos, práctica
profesional y capacitación para poder realizar la auditoria.
Todos los encuestados conocen los mismos tipos de auditoría, Económica,
Sistemas, Fiscal, Administrativa.
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
12 SEXTO SEMESTRE
Para los encuestados el principal objetivo de la auditoria de sistemas es
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información mediante la recomendación de seguridades y controles.
Mirando en general a todos los encuestados se puede ver que para ellos la
auditoria de sistemas es muy importante porque en los sistemas esta toda la
información de la empresa y del buen funcionamiento de esta depende gran
parte del funcionamiento de una empresa y que no solo se debe comprender
los equipos de computo sino también todos los sistemas de información desde
sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información.
La auditoria de los sistemas de informática es de mucha importancia ya que
para el buen desempeño de los sistemas de información, ya que proporciona
los controles necesarios para que los sistemas sean confiables y con un buen
nivel de seguridad.
La auditoria de sistemas es la revisión y la evaluación de los controles,
sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para
Una adecuada toma de decisiones.
Apoyo de función informática a las metas y objetivos de la organización.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático.
Incrementar la satisfacción de los usuarios de los sistemas informáticos.
Capacitación y educación sobre controles en los Sistemas de Información.
6 BIBLIOGRAFIA http://seguridad.7espejos.com/auditoria
http://www.google.com.ec/url?sa=t&source=web&cd=4&ved=0CCYQFjA
D&url=http%3A%2F%2Fwww.uned.es%2F413057%2Felena%2Fpractica.
doc&rct=j&q=PLAN%20DEL%20AUDITOR%20INFORMATICO&ei=E
G2JTK6qH4aBlAfUhpneDg&usg=AFQjCNESAuaPwTxd8amqvBmZFtJ6
fh9dEw
INSTITUTO TECNOLOGICO SUPERIOR “RIOBAMBA”
INFORMATICA Y MULTIMEDIA
AUDITORIA
13 SEXTO SEMESTRE