introducción a la auditoria de sistemas

22
INTRODUCCIÓN A LA AUDITORIA DE SISTEMAS Ing. Gina Paola Maestre G.

Upload: cachipropio

Post on 10-Aug-2015

1.717 views

Category:

Documents


0 download

TRANSCRIPT

INTRODUCCIÓN A LA AUDITORIA DE SISTEMAS Ing. Gina Paola Maestre G.

Sistemas De Información.

Proveer adecuadamente de datos e información a la organización, mediante el uso de tecnologías de información, siendo esa información relevante para las actividades continuamente cambiantes de la organización y/o sus miembros.

Un todo organizado jerárquicamente, conformado por personas inmersas en una cultura organizacional y sometidas a unas políticas establecidas, las cuales valiéndose de sus capacidades intelectuales y de medios como la tecnología, llevan a cabo procesos de comunicación, convirtiendo datos en información y conocimiento que llegan a ser el flujo que da vida a las funciones del negocio, y le permite controlarse y sobrevivir en el entorno cambiante al que pertenece.

Definición Para que?

SI y TI en las organizaciones La protección de los SI

se ha convertido en una prioridad

Importancia que tiene la buena administración de la información en la consecución de los objetivos del negocio

TI en las organizaciones

La TI ha causado un aumento en la complejidad de las organizaciones

, ocasionando que día a día se requiera más de su uso;

Ante la ineludible necesidad de fiabilidad en los SI de la organización, se han vuelto fundamentales procesos como la auditoría de sistemas de información, pues contribuyen a las organizaciones a protegerse frente a los probables riesgos e incidentes a los que se exponen con el uso de TI.

INCIDENCIAS DE LA IMPLANTACIÓN DE LAS TI EN LAS ORGANIZACIONES

Era tecnológica?

Debemos admitir que la revolución provocada por la tecnología digital ha tenido

un impacto más amplio, en menos tiempo y con más fuerza,

a consecuencia de la globalización y proliferación de estas, además han generado cambios culturales y mentales en la sociedad y han afectado la manera de vivir, de trabajar y de hacer negocios..

Sociedad del Conocimiento?

Sociedad de la información?

Nuevas TIC?

Era digital?

INCIDENCIAS DE LA IMPLANTACIÓN DE LAS TI EN LAS ORGANIZACIONES

Organizacional

Logran importantes mejoras, al automatizar los procesos operativos, suministrar la plataforma de información necesaria para la toma de decisiones y lo más importante, su implantación logra ventajas competitivas y reduce la ventaja de los rivales

Oficinas virtuales y otras muchas modalidades que permiten hacer negocios “a distancia”.

Funciones de supervisión y control han sido transferidas de las personas a las máquinas, mejorando la habilidad de los administradores para coordinar y controlar las actividades

INCIDENCIAS DE LA IMPLANTACIÓN DE LAS TI EN LAS ORGANIZACIONES

Organizacional

Han visto afectadas las actividades y tareas que se realizan dentro de la organización (se requiere, entre otras cosas, mayor flexibilidad), cambiando la forma de trabajar (más autonomía, nivel de desafío, etc). Otras Habilidades y Destrezas

Los trabajadores han sido partícipes de transformaciones psicológicas con la introducción de la informática (inseguridades, dependencias, desconocimientos, sensación de atraso, entre otras).

La forma de comunicarse, de relacionarse, también se ha visto transformada al variar la frecuencia de los contactos y el tipo de interacciones entre las personas

INCIDENCIAS DE LA IMPLANTACIÓN DE LAS TI EN LAS ORGANIZACIONES

Tecnológico

Además de las ventajas de las TI en las organizaciones planteadas anteriormente, a continuación se mostrará un fenómeno muy común generado en las organizaciones relacionado con fallas en el manejo de TI, lo que ha afectado el impacto positivo de estas en las organizaciones.

INCIDENCIAS DE LA IMPLANTACIÓN DE LAS TI EN LAS ORGANIZACIONES

Tecnológico

Este fenómeno es conocido en la literatura como ”despilfarro computacional”, esta relacionado con el uso inadecuado y derroche sin medida de los recursos informáticos de una empresa, lo que en múltiples ocasiones lleva a que la tecnología se vuelva contra la empresa, se haga cara y peligrosa, entorpeciendo continuamente los procesos de trabajo en lugar de facilitarlos, causando un efecto dañino sobre los objetivos del negocio.

Hernández Jiménez Ricardo, Administración de la función informática. Factor AFI. Trillas. México, D. F. 2003.

INCIDENCIAS DE LA IMPLANTACIÓN DE LAS TI EN LAS ORGANIZACIONES

Los gerentes, usuarios y profesionales de TI conservan la idea de relacionar la TI solo con computadoras, dejando de lado a las personas, instalaciones, software, recursos de datos y las redes. Lo anterior puede llevar a una definición errada de los recursos de TI, lo cual contribuye a no contar con un enfoque formal para la adecuada administración de TI.

Se observa en las organizaciones una gran falta administrativa informática. Dicho problema tiene básicamente una razón de fondo: el área de informática ha sido estructurada por personas sin un conocimiento administrativo adecuado.

Concepción errada de la TI

Desequilibrio de la carga en el área de informática

INCIDENCIAS DE LA IMPLANTACIÓN DE LAS TI EN LAS ORGANIZACIONES

Son pocas las empresas que realizan ajustes a sus sistemas software obligadas por cambios operativos o legales. Son más las que los hacen por que sus diseñadores no poseían métodos de análisis, diseño y programación que garantizaran su calidad.

Compromisos por parte de los gerentes de TI a desarrollar e implementar sistemas software para el negocio en tiempo record, ordenando a los profesionales de TI, cumplir las fechas que ofrecen incluso a expensas de la calidad de los resultados, sin tomar en cuenta los riesgos de hacerlo ni las posibilidades reales desde el punto de vista técnico de dichos profesionales

Análisis, diseño y mantenimiento de los sistemas software

Evaluación de compromisos de trabajo

INCIDENCIAS DE LA IMPLANTACIÓN DE LAS TI EN LAS ORGANIZACIONES

El área de informática se conformó de manera prácticamente aislada y con independencia absoluta del resto de la organización, se produjo desconfianza y rechazo por parte de los usuarios ubicados en otros departamentos. Esto sentó las bases para una falta de comunicación entre usuarios y profesionales de TI,

Adquisición de hardware y software para solucionar sus problemas de procesamiento de datos, sin hacer una evaluación de su compatibilidad con la tecnología de la empresa y de las habilidades de sus usuarios de TI para utilizarlo

Alejamiento y falta de colaboración de los departamentos usuarios hacia el área de informática.

La deslumbrante adquisición de software y hardware

INCIDENCIAS DE LA IMPLANTACIÓN DE LAS TI EN LAS ORGANIZACIONES

Es frecuente que en las organizaciones se trabaje de forma artesanal en el área de informática, pues no existen ni se implementan, estándares de diseño y programación de sistemas, técnicas de documentación, descripción de puestos, funciones y responsabilidades, determinación de calendario, entre otros aspectos que contribuyen al éxito del trabajo que allí se realiza.

No se controlan las modificaciones realizadas a los sistemas software del negocio. Los profesionales de TI, cuando realizan un cambio, ya sea obligado o por solicitud de los usuarios, surgido como consecuencia de variantes operativas o legales, generalmente no se controlan o la prueba de estos no es muy exhaustiva además que no son documentados, lo que genera fallas en la operatividad de las aplicaciones que afectan directamente toda la organización.

Metodologías de trabajo en el área

de informática

Control necesario de cambios en los sistemas software

INCIDENCIAS DE LA IMPLANTACIÓN DE LAS TI EN LAS ORGANIZACIONES

Muchos de los miembros del área de informática no conocen con certeza la definición de sus puestos y mucho menos los alcances y límites de sus funciones y responsabilidades, por tanto trabajan directamente a petición de sus jefes, aún en actividades que no les corresponden;

Cuando se hace caso omiso a la capacitación de profesionales y usuarios de TI, el riesgo de pérdidas importantes siempre esta latente, ya sea por que la calidad de sus productos deja mucho que desear, por que los desperdicios por no saber trabajar elevan los precios de los productos, o por que los costos de sus procesos de trabajo mal configurado disminuyen drásticamente las utilidades de la empresa. .

Estructura organizacional en el área de informática

Capacitación de profesionales y usuarios de TI

AUDITORIA DE SISTEMAS

La Auditoría de Sistemas de Información es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organización y utiliza eficientemente los recursos.”

Touriño Marina, Jornada de riesgos seguridad y confianza para el negocio electrónico. 2000

Auditoria de Sistemas- AdSI

AUDITORIA DE SISTEMAS- concepto

Autor Definición

Luís Carlos Gómez Flórez . Auditoría de Sistemas de Información

Examen crítico de una situación sometida a estudio por parte de expertos que emiten una opinión profesional producto de aplicar un determinado procedimiento para establecer la fiabilidad de un sistema,

Gonzalo A. Rivas. Auditoría Informática

“Examen metódico del servicio informático en particular, realizado de una forma puntual y de modo discontinuo a instancias de la dirección, con la intención de ayudar a mejorar conceptos como la seguridad, eficacia, y rentabilidad del servicio o sistemas auditados.”

ISACA (1997)

Abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

bajo cualquiera de las definiciones anteriores prevalece la idea de examen, de una revisión de procedimientos y actividades relacionadas con la función informática y los sistemas de información de la organización, en la cual se emite una opinión profesional al respecto, verificando que estos presentan adecuadamente la realidad que pretenden reflejar y cumplen las condiciones para los que han sido creados.

En general…

Objetivos El trabajo del auditor ha de consistir en la identificación, definición, descripción y posiblemente, valoración de riesgos y a su vez la concepción, construcción e implantación y uso de mecanismos de control para los riesgos considerados como críticos y que pueden afectar el desempeño del sistema de información”

Evaluar la eficiencia y eficacia con que se esta operando los sistemas de información, la verificación de cumplimiento de normativas generales y la eficaz gestión de recursos informáticos materiales y humanos.

Apoyar a la administración de las empresas, con opiniones y recomendaciones orientadas a mejorar los controles en las diferentes actividades de los sistemas de información.

Tipos de AdSI

Debido al auge de las TI y a la búsqueda, por parte de las organizaciones, de seguridad y control en el manejo de su información, la auditoría de sistemas de información, se ha ampliado a diferentes áreas, que le permiten realizar un mejor análisis de las diferentes problemáticas que se presentan.

Auditoría de la Dirección o de la Gestión Informática

Auditoría de la Explotación

Auditoría de la calidad

Auditoría de las Bases de Datos

Auditoría de Redes

Auditoría de seguridad

Tipos de AdSI

Sirve para evaluar la gestión administrativa del departamento de sistemas así como el cumplimiento adecuado de las funciones, operaciones y actividades de carácter administrativo que ayudan a satisfacer las necesidades de información de las áreas de la empresa que utilizan sistemas computacionales

Consiste en la revisión del proceso completo de desarrollo de proyectos por parte de la empresa auditada. El análisis se basa en cuatro aspectos fundamentales: revisión de las metodologías utilizadas, control interno de las aplicaciones, satisfacción de los usuarios y control de procesos y ejecuciones de programas críticos

Auditoría de la Dirección Auditoría del Desarrollo

Tipos de AdSI

Su propósito es suministrar una valoración independiente sobre la conformidad de un plan de aseguramiento de la calidad del software.

Abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas.

Auditoría de la Calidad Auditoría de Seguridad

Tipos de AdSI

Consiste en controlar y registrar las acciones de determinados usuarios de la BD, y así a poder realizar la auditoría de las aplicaciones que utilizan esta tecnología.

Se encarga de la revisión de la topología de Red y determinación de posibles mejoras, análisis de caudales, grados de utilización. y disponibilidad de la red que satisfaga las necesidades empresariales tanto actuales como futuras.

Auditoría de las Bases de Datos

Auditoría de Redes