Es una actividad de apoyo vital para el
mantenimiento de la infraestructura crítica de una
nación, tanto en el sector público como privado.
su
objetivo
Es una opinión o juicio, para lo cual se aplican técnicas de
auditoria de general aceptación y conocimiento técnico
específico.
dado que
La información es considerada un activo
tan o más importante que cualquier
otro en una organización.
pasos para iniciar una gestión responsable de la seguridad
Identificar la estructura física (hardware,topología)
Lógica (software, aplicaciones)
(sea un equipo, red, intranet, extranet),
haciendo
Un análisis de Vulnerabilidad, para saber
en qué grado de exposición nos
encontramos.
en
esencia
Es una serie de mecanismos mediante los cuáles se pone a
prueba una red informática, evaluando su desempeño y
seguridad, a fin de lograr una utilización más eficiente y
segura de la información.
TIPOS DE AUDITORÍA
Auditoría Interna
realizada con recursos materiales y
personas que pertenecen a la
empresa auditada.
existe
Por expresa decisión de la
Empresa, o sea, que puede
optar por su disolución en
cualquier momento
ventajas
Puede actuar periódicamente realizando Revisiones
globales, como parte de su Plan Anual y de su
actividad normal.
Una empresa con auditoria interna debe
contratar la auditoria externa por:
Necesidad de auditar una materia de gran especialización,
para la cual los servicios propios no están suficientemente
capacitados.
Contrastar algún Informe interno con el que resulte
del externo, en aquellos supuestos de emisión
interna de graves recomendaciones que chocan con
la opinión generalizada de la propia empresa.
Servir como mecanismo protector de posibles
auditorías informáticas externas decretadas por la
misma empresa
Auditoría Externa
Realizada por personas afines a la empresa
auditada; es siempre remunerada.
presupone
Una mayor objetividad que en la Auditoría
Interna, debido al mayor distanciamiento
entre auditores y auditados
Tipos y clases de auditoría
Nota:
Cada Área Especifica puede ser auditada desde los siguientes criterios generales:
Desde su propio funcionamiento interno.
Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de
cumplimiento de las directrices de ésta.
Desde la perspectiva de los usuarios, destinatarios reales de la informática.
Desde el punto de vista de la seguridad que ofrece la Informática en general o
la rama auditada.
Paso de ser una función de ayuda al auditor financiero a ser una
función que desarrolla un trabajo, y seguirá haciéndolo en el
futuro.
Donde el auditor informático informático pasa a ser auditor, consultor y asesor en:
seguridad
control
interno
eficiencia y
eficacia
tecnología
informática
continuidad de
operaciones
gestión de
riesgos
donde el departamento interno de auditoria debe tener
un:
Jefe del
departamento
Gerente de auditoría informática
Staff de auditores
informáticos
ESTÁNDARES, DIRECTRICES,
PROCEDIMIENTOS Y GUÍAS DE
AUDITORÍA
Estándares
Los estándares tiene como objeto facilitar el
comercio internacional
Las series de normas ISO relacionadas con la calidad constituyen
lo que se denomina familia de normas, las que abarcan distintos
aspectos relacionados con la calidad
Tales como
ISO 9000
Sistemas de Gestión de Calidad, Fundamentos, vocabulario,
requisitos, elementos del sistema de calidad, calidad en
diseño, fabricación, inspección, instalación, venta, servicio
post venta, directrices para la mejora del desempeño.
ISO 10000
Guías para implementar Sistemas de Gestión de Calidad/ Reportes
Técnicos Guía para planes de calidad, para la gestión de proyectos,
para la documentación de los SGC, para la gestión de efectos
económicos de la calidad, para aplicación de técnicas estadísticas
en las Normas ISO 9000. Requisitos de aseguramiento de la calidad
para equipamiento de medición, aseguramiento de la medición.
ISO 14000
Sistemas de Gestión Ambiental de las Organizaciones. Principios
ambientales, etiquetado ambiental, ciclo de vida del producto,
programas de revisión ambiental, auditorías.
ISO 19011
Directrices para la Auditoría de los SGC y/o Ambiental
Aplicacion de la Norma 9001 - 2000
Se puede aplicar en cualquier tipo de organización, ya sea con o sin fines de
lucro, manufacturera o de servicios, grande, mediana o pequeña
proceso de Aseguramiento de la Calidad
Compromiso real y participación de los directivos
Involucramiento de todos los empleados
Comunicación
Capacitación de todas las áreas de la organización
Definición clara de responsabilidades
Disponibilidad de recursos dedicados a la
implementación del SGC (responsables, tiempos,
dinero, espacios físicos para reuniones, etc.)
Realización de un diagnóstico de calidad
Comprensión de los requerimientos de los clientes
Fijación de políticas y objetivos de calidad
Establecimiento de un plan de calidad
Ordenamiento de la documentación existente
Creación de la documentación del SGC s/
norma ISO (Manual de Calidad,
procedimientos, instrucciones de trabajo)
Puesta a punto o calibración de máquinas, equipos, etc.
Diseño e implementación de mecanismos de mejora continua
Definición, planificación e implementación de actividades de medición y
seguimiento necesarias para asegurar el cumplimiento de las exigencias
de la norma
Directrices
Una auditoría se realiza con base a un patrón o
conjunto de directrices o buenas practicas sugeridas.
Existen estándares orientados a
servir a las auditorias de
informática tal como:
COBIT
Dentro de los objetivos definidos como parámetro, se
encuentra el "Garantizar la Seguridad de los Sistemas".
ISO 27002
se conforma como un código internacional de
buenas prácticas de seguridad de la información
ISO 27001.
Definen los requisitos de auditoría y
sistemas de gestión de seguridad
Procedimientos
Conjunto de técnicas de investigación
aplicables a un grupo de hechos o
circunstancias que nos sirven para
fundamentar la opinión del auditor
dentro de una auditoría.
donde encontraremos diferentes
procedimientos a seguir tales como:
Análisis de datos
Dentro de este trabajo, desarrollaremos diversos tipos de
técnicas y procedimientos de auditoría, de los cuales
destacan el análisis de datos, ya que para las organizaciones
el conjunto de datos o información son de tal importancia que
es necesario verificarlos y comprobarlos
Comparación de programas
Esta técnica se emplea para efectuar una comparación
de código (fuente, objeto o comandos de proceso)
entre la versión de un programa en ejecución y la
versión de un programa piloto que ha sido modificado
en forma indebida, para encontrar diferencias.
Mapeo y rastreo de programas
esta técnica emplea un software
especializado que permite
analizar los programas en
ejecución, indicando el número
de veces que cada línea de
código es procesada y las de las
variables de memoria que
estuvieron presentes.
Análisis de código de programas
Se emplea para analizar los programas
de una aplicación. El análisis puede
efectuarse en forma manual (en cuyo
caso sólo se podría analizar el código
ejecutable).
Datos de prueba
Se emplea para verificar que los
procedimientos de control incluidos los
programas de una aplicación funcionen
correctamente.
Datos de prueba integrados
Técnica muy similar a la anterior, con
la diferencia de que en ésta se debe
crear una entidad, falsa dentro de los
sistemas de información.
Análisis de bitácoras
existen
varios tipos de bitácoras que pueden ser
analizadas por el auditor, ya sea en forma
manual o por medio de programas
especializados.
tales como
bitácoras de fallas del equipo
bitácoras de fallas del equipo
bitácoras de uso
de recursos
bitácoras de procesos ejecutados
Simulación paralela
Técnica muy utilizada que consiste en desarrollar
programas o módulos que simulen a los
programas de un sistema en producción.
su objetivo
procesar los dos programas o módulos de
forma paralela e identificar diferencias entre
los resultados de ambos.
Monitoreo
Datos de prueba integrados
Técnica muy similar a la anterior, con
la diferencia de que en ésta se debe
crear una entidad, falsa dentro de los
sistemas de información.