Informes de Auditoría de los
Sistemas Computacionales
Liliana Nieto
ISAE Universidad
Grupo Lei #6
Auditoria Herramienta Informática
La auditoria informática es un proceso llevado a cabo por
profesionales especialmente capacitados para el efecto, y que
consiste en recoger, agrupar y evaluar evidencias para determinar
si un sistema de información salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo eficazmente los
fines de la organización, utiliza eficientemente los recursos, y
cumple con las leyes y regulaciones establecidas. Permiten
detectar de forma sistemática el uso de los recursos y los flujos de
información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y
objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de información eficientes.
Tipos de Auditoria Información
Auditoria Informática De Explotación
La explotación informática se ocupa de producir resultados, tales como
listados, archivos soportados magnéticamente, ordenes automatizadas,
modificación de procesos, etc. Para realizar la explotación informática
se dispone de datos, las cuales sufren una transformación y se someten
a controles de integridad y calidad.
Auditoria Informática De Desarrollo De Proyectos O Aplicaciones
La función de desarrollo es una evaluación del llamado Análisis de
programación y sistemas. Así por ejemplo una aplicación podría tener
las siguientes fases:
1.
2.
3.
4.
5.
Prerrequisitos del usuario y del entorno
Análisis funcional
Diseño Análisis orgánico (reprogramación y programación
Pruebas
Explotación
Tipos de Auditoria de Información
Auditoria Informática De Comunicación Y Redes
Este tipo de auditoria deberá inquirir o actuar sobre los índices de
utilización de las líneas contratadas con información sobre tiempos de uso
y de no uso, deberá conocer la topología de la red de comunicaciones, ya
sea la actual o la desactualizada. Deberá conocer cuantas líneas existen,
como son, donde están instaladas, y sobre ellas hacer una suposición de
inoperatividad informática
Auditoria De La Seguridad Informática
Se debe tener presente la cantidad de información almacenada en el
computador, la cual en muchos casos puede ser confidencial, ya sea para
los individuos, las empresas o las instituciones, lo que significa que se
debe cuidar del mal uso de esta información, de los robos, los fraudes,
sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se
debe también cuidar la información
Objetivos de la Auditoria Informática

El control de la función informática
 El análisis de la eficiencia de los Sistemas Informáticos
 La verificación del cumplimiento de la Normativa en este ámbito

 La revisión de la eficaz gestión de los recursos informáticos.
 Evaluación de los costes actuales. Conocer, en términos económicos, los costes
que para una empresa supone su sistema de información. Se trata de cuantificar
los costes de los distintos elementos que configuran el sistema de información y
que en términos generales son los siguientes:
1. Hardware. Se trata de analizar la evolución histórica del hardware en la
empresa, justificando dicha evolución.
2. Software. Análisis de los costes relativos al sistema lógico, tanto en sus aspectos
relativos a la explotación (adecuación del sistema operativo, versión del
software utilizado, como en los aspectos relativos a la programación de las
distintas aplicaciones (prioridades de ejecución, lenguaje utilizado, ...).
Áreas en la Auditoria Informática
Auditoría de la gestión: la contratación de bienes y
servicios, documentación de los programas, etc.
Auditoría legal del Reglamento de Protección de Datos:
Cumplimiento legal de las medidas de seguridad exigidas
por el Reglamento de desarrollo de la Ley Orgánica de
Protección de Datos.
Auditoría de los datos: Clasificación de los datos, estudio
de las aplicaciones y análisis de los flujo gramas.
Auditoría de las bases de datos: Controles de acceso, de
actualización, de integridad y calidad de los datos.
Áreas en la Auditoria Informática
Auditoría de la seguridad: Referidos a datos e información
verificando disponibilidad,
integridad, confidencialidad,
autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la
organización, evitando ubicaciones de riesgo, y en algunos casos
no revelando la situación física de esta. También está referida a
las protecciones externas (arcos de seguridad, CCTV, vigilantes,
etc.) y protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de
autenticación de los sistemas de información.
Auditoría de las comunicaciones. Se refiere a la auditoria de
los procesos de autenticación en los sistemas de comunicación.
Elaboración de un Informe Auditoria
El Informe de Auditoría indica:‡
1) Alcance
2) ‡Objetivos
3) ‡Período de cobertura‡Naturaleza y extensión del trabajo de auditoría
4) Organización‡
5) Destinatarios del informe
6) ‡Restricciones
7) ‡Hallazgos
8) ‡Conclusiones
9) ‡Recomendaciones
Elaboración de un Informe Final Auditoria
I.
Estilo y Contenido: Objetivo, claro, conciso, constructivo y
oportuno
II. ‡Apropiado a los destinatarios.‡
III. Identificar organización auditada‡
IV. Objetivos (lo que trata de cumplir la auditoría)
V. Alcance: naturaleza, tiempo y extensión del trabajo de
auditoría
VI. ‡Área funcional
VII.‡Período de auditoría
VIII.‡Sistemas de información, aplicaciones o entornos audita
IX. Hallazgos significativos de la auditoría (causas y riesgos)
X. Conclusión: evaluación del auditor sobre el área auditada
XI. Recomendaciones, para realizar acciones correctivas
XII. Nombre, Dirección y Datos Registrales del Auditor
XIII. Firma del Auditor
XIV.Fecha de emisión del informe
Elaboración de un Informe Final Auditoria
Estructura del Informe
1. Título o Identificación del Informe Distinguirlo de otros informes
2. Fecha de Comienzo
3. Miembros del Equipo Auditor
4. Entidad auditada
5. Objetivos
6. Alcance y Enfoque de la Auditoría
Estándares, especificaciones, prácticas y procedimientos utilizados
Excepciones aplicadas
7. Materias consideradas en la auditoría
Situación actual‡
Hechos importantes
Hechos consolidados
Tendencias, de situación futura
Puntos débiles y amenazas (hecho = debilidad)
‡Hecho encontrado
‡Consecuencias del hecho
‡Repercusión del hecho (influencias sobre otros aspectos)‡
Conclusión del hecho
7.Recomendaciones
Ejemplo de un Informe Auditoria
1) A los accionistas y directorio de “Ejemplo S.A”, Sociedad Anónima:
2) La auditoria comenzó el 30 de marzo de 2009
3) El presente informe, realizado por “U Central auditores”
4) plantea un estudio profesional de los diversos factores que pueden estar
influyendo en las operaciones de la empresa auditada “Ejemplo S.A.”, a fin de
brindar una asesoría y recomendación a las posibles soluciones que garanticen un
optimo resultado
5)Objetivos de la auditoría
:• Correcto funcionamiento de la estructura organizacional de la GI
• Evaluar la efectividad del sistema de control interno existente
• Verificar la existencia e implementación de un plan maestro de informática u otro
documento equivalente
• Verificar la existencia e implementación de un comité informático o equivalente a
nivel gerencial
•
Ejemplo de un Informe Auditoria
6)Alcance de auditoría:
Esta auditoría fue aplicada en todas las áreas que se encuentran en
ejecución, a sus S.I y a sus herramientas de sistemas como a la parte
física de éstas.
Estándares Usados
. Nuestra responsabilidad es la de expresar una “opinión” respecto de la
seguridad en los SI de la empresa y sobre la eficiencia de sus controles
aplicados , El análisis y el informe presentado por nuestro grupo de
trabajo es acorde a los principios indicados en Cobit, normas ISO
y respecto a las leyes vigentes en Chile
Planificación de una Auditoria
Una planificación adecuada es el primer paso necesario para realizar
auditorias de sistema eficaces. El auditor de sistemas debe
comprender el ambiente del negocio en el que se ha de realizar la
auditoria así como los riesgos del negocio y control asociado.
Hay 7 partes importantes de la planificación de la auditoria :
1) Plan previo
2) Obtención de antecedentes de el cliente
3) Obtener información sobre las obligaciones legales del cliente
4) Realización de procedimientos analíticos preliminares
5) Evaluación de la importancia y el riesgo
6) Conocimiento de la estructura del control interno
7) Evaluación del riesgo de control
Planificación de un Informe Auditoria
A continuación se menciona algunas de las áreas que deben ser cubiertas durante la
planificación de la auditoria:
Comprensión del negocio y de su ambiente.
. Debe incluir una comprensión general de las diversas prácticas comerciales y
funciones relacionadas con el tema de la auditoria, así como los tipos de sistemas que
se utilizan.
Riesgo y materialidad de auditoria
•Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no
existen controles compensatorios relacionados que se puedan establecer. Riesgo de
Control: Cuando un error material no puede ser evitado o detectado en forma
oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el
auditor realice pruebas exitosas a partir de un procedimiento inadecuado
Normas De Auditoria
Las normas de Auditoria Generalmente Aceptadas (NAGAS) son los principios
fundamentales de auditoria a los que deben enmarcarse su desempeño los auditores
durante el proceso de la auditoria. El cumplimiento de estas normas garantiza la
calidad
del
trabajo
profesional
del
auditor
Instrumentos para Realizar una
Auditoria
LCLint (Splint) una herramienta que comprueba posibles problemas en
programas escritos en C. Se encarga de buscar muchos de los errores más
habituales, pero además localiza posibles violaciones de información
oculta, modificaciones inconsistentes de estados, usos inconsistentes de
variables globales, errores en la gestión de la memoria, comparticiones
peligrosas de datos o usos de alias inesperados, usos de memoria no
definidos, de referencias al puntero nulo .
.
Flawfindel examina el código fuente buscando fallos de seguridad
.Busca funciones con problemas conocidos. Como desbordamientos de
buffer), errores de formato condiciones de, posibles problemas de uso de
metacaracteres en la shell y generadores de números, la aplicación nos
dará un informe con todos los posibles errores
SPIKE : es una util
reproducción
.
herramienta de análisis de protocolo y de
Recursos para Realizar una Auditoria
Recursos Materiales
Proporcionados por cliente en su mayoría
Software: paquetes de auditoría del equipo auditor, compiladores
Hardware: PCs, impresoras, líneas de comunicación ±
Determinación de incremento de carga del auditado y consenso en fechas
y duración de actividades de auditoría
Recursos Humanos
Cantidad depende del alcance de la auditoría
Perfil depende de la materia a auditar
Bibliografía

http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

http://vbarreto.ve.tripod.com/keys/audi/audi01.html

http://html.rincondelvago.com/auditoria-informatica_1.html

http://www.gestiopolis.com/recursos2/documentos/fulldocs/rrhh/audirrhh.h
tm

http://www.eumed.net/libros/2006a/jcmn/2e.htm

http://es.scribd.com/doc/32292825/Fases-de-Metodologia-de-AuditoriaInformatica

http://www.wikilearning.com/tutorial/atacando_linuxherramientas_para_realizar_auditorias/4250-2

http://software.hispavista.com/s/Flawfinder
Descargar

Diapositiva 1