Professional Documents
Culture Documents
SISTEMAS
AUDITORIA EN INFORMATICA
Antecedentes
Terminologa
Referencias
Inicialmente la informtica apoy las reas de
contabilidad, nminas, etc., lo que origin la
necesidad de conocer y medir dicho apoyo a estas
reas y a toda la empresa.
-> Se origina el proceso de la auditora a sistemas
de informacin o auditoria de sistemas.
Luego cubri las reas de negocio en todos los
niveles, por medio de productos y servicios
variados, con el uso de computadoras personales,
redes locales, telecomunicaciones y una diversidad
de componentes de tecnologa, contribuyendo con
la integracin empresarial.
Estado actual
Todas las actividades de la sociedad buscan
apoyarse en la tecnologa informtica.
El control y seguridad de los recursos de
informtica es una necesidad creciente.
La Informtica se enfoc hacia la sistematizacin
de las reas de un negocio.
(Tecnologas y Sistemas de Informacin).
Tendencia a obtener una solucin integrada y
actualizada.
Las entidades deben contar con controles,
polticas y procedimientos que aseguren a
los niveles directivos, que los recursos
humanos, materiales y financieros estn
adecuadamente orientados a la rentabilidad
y competitividad del negocio.
La improductividad, mal servicio y carencia
de soluciones totales de la funcin
informtica, fueron, son y seguirn siendo
mal de muchas organizaciones.
QuseesperadeInformtica?
SATISFACCIN de la demanda de SISTEMAS y TECNOLOGIAS
de INFORMACIN
Personas
Datos
Aplicativos
Tecnologa
(Hard., Soft., BD, Comunics.)
Procesos
La Direccin de TI
Problemas:
Debilidades en la planeacin del negocio (informtica)
Resultados negativos (improductividad, duplicidad de
funciones, etc) de los SI (Desarrollo, Mantenimiento.
Operacin).
Falta de actualizacin de personal informtico.
Capacitacin deficiente de los usuarios de los SI
Deficiente involucramiento de los usuarios en el
desarrollo e implantaciones de soluciones informticas.
Administracin deficiente de los proyectos (Falta de un
proceso de anlisis costo/beneficio, metodologas de
planeacin y desarrollo no estandarizadas, poco uso de
tcnicas formales, falta proceso formal de planeacin)
Involucramiento mnimo de la alta direccin
Importancia de la auditoria en informtica
La tecnologa informtica es una herramienta que
brinda rentabilidad y ventaja competitiva; pero
puede originar costos y desventajas si no es bien
llevada.
Cmo saber si se est administrando y dirigiendo de manera correcta la
funcin informtica?
Es necesario auditar o evaluar la funcin de informtica?
Quines lo haran?.
La solucin es realizar evaluaciones oportunas
y completas de la funcin informtica, a cargo
de personal calificado (consultores externos,
auditores en informtica).
La funcin informtica se ha convertido en una
herramienta permanente y necesaria, en un
aliado confiable y oportuno, de los procesos
principales de los negocios.
Es posible auditar la funcin informtica, si se
implementan los controles y esquemas de
seguridad requeridos para su aprovechamiento
ptimo.
=> Evaluar, formal y peridicamente, la funcin
de informtica integrada al proceso de negocios.
La funcin del auditor no es ser un polica; se
orienta a ser un punto de control, confianza y
un facilitador de soluciones.
Orientacin del auditor:
Conducir a la empresa a la bsqueda
permanente de la salud ptima de los recursos
de informtica y de todos los elementos
relacionados con ella.
II. Terminologa
de la
auditoria en informtica
Informtica
Campo que se encarga del estudio y aplicacin prctica de la
tecnologa, mtodos, tcnicas y herramientas relacionados con
las computadoras y el manejo de la informacin por medios
electrnicos.
Se divide en grandes ramas o se integra a otros elementos
tecnolgicos y administrativos para fortalecer las empresas.
Sistemas de informacin
Redes y comunicaciones
Bases de datos
Desarrollo de sistemas
Soporte a usuarios
Planeacin informtica
Investigacin de nuevas tecnologas
Sistemas de Informacin:
Conjunto de mdulos computacionales organizados e
interrelacionados de manera formal para la administracin y
uso eficiente de todos los recursos (humanos, materiales,
tecnolgicos, etc.) de un rea de la empresa (manufactura,
administracin, direccin, etc.); para representar los procesos
reales y orientar los procedimientos, polticas y funciones
inherentes al logro eficientemente las metas y objetivos del
negocio.
Pueden orientarse al apoyo de:
Niveles operativos.
Niveles tcticos.
Niveles estratgicos.
Sistemas de Informacin Estratgicos:
Proporcionan a la alta direccin una serie de parmetros y
acciones encaminadas a la toma de decisiones que apoyarn
en el seguimiento de la rentabilidad y eficiencia respecto de la
competencia.
Metodologa: Conjunto de etapas estructuradas de
manera que brinden a los interesados los parmetros
de accin, en el desarrollo de sus proyectos,
siguientes:
Plan general y detallado, tareas y acciones, tiempos,
aseguramiento de calidad, involucrados, etapas,
revisiones, responsables, recursos, etc.
Tcnicas: Procedimientos y pasos ordenados que se
usan en el desarrollo de un proyecto con el propsito
de finalizar las etapas definidas en el procesos
metodolgico, tales como: Anlisis de sistemas, Diseo de
sistemas, Anlisis costo beneficio, Grficas de control
tiempos, etc.
Herramientas: Elementos fsicos utilizados para
llevar a cabo las acciones y pasos definidos en la
tcnica.
Auditoria
Proceso formal y necesario para las empresas con el fin de
asegurar que todos sus activos sean protegidos
adecuadamente.
Conjunto de tareas realizadas por un especialista para la
evaluacin o revisin de polticas y procedimientos
relacionados con las reas Administrativa, Financiera,
Operativa, Informtica y/o de gestin de una empresa.
Tareas:
Estudiar y actualizar permanentemente las reas
susceptibles de revisin
Apegarse a las normas, polticas, procedimientos y
tcnicas de auditoria establecidas por los organismos
aceptados a nivel internacional.
Evaluacin y verificacin de las reas requeridas, por la
alta direccin o responsables directos del negocio.
Elaboracin del informe (debilidades y recomendaciones).
Auditoria en informtica
Proceso formal ejecutado por especialistas del rea de auditoria y de
informtica; orientado a la verificacin y aseguramiento de que las
polticas y procedimientos establecidos para el manejo y uso adecuado
de la tecnologa informtica, se lleven a cabo de forma oportuna y
eficiente.
Actividades ejecutadas por profesionales del rea de informtica y
auditoria para evaluar el grado de cumplimiento de polticas controles y
procedimientos correspondientes al uso de recursos de informtica;
asegurando que operen en un ambiente de seguridad y control eficientes.
Proceso metodolgico cuyo propsito principal es evaluar todos los
recursos (humanos, financieros, tecnolgicos, etc.) relacionados con la
funcin de informtica, para garantizar al negocio que stos operan con
criterios de integracin y desempeo altamente satisfactorios, que
apoyen la productividad y rentabilidad de la organizacin.
III. La Auditora en informtica y
su entorno
1. Entorno en Informtica.
2. Objetivos auditor informtico
3. Apoyo a la estrategia del negocio.
El Entorno en Informtica
Las actividades de una organizacin afectan
sectores especficos de la sociedad; asimismo,
los hechos y actividades externas al negocio
tienen un grado de impacto en el mismo.
Tales hechos factores externos pueden ser:
Econmicos
Polticos
Culturales
Tecnolgicos
Sociales
Otros.
Los negocios definen estrategias de planeacin
con las que afrontar los factores externos, para
minimizar su impacto negativo o sacar ventaja
estratgica de los mismos.
La Auditora en informtica siendo un proceso
bsico de evaluacin y control en el uso de los
recursos tecnolgicos para el logro de las
estrategias; debe contemplar el entendimiento del
entorno del negocio como parte de sus actividades
primarias.
Entorno del negocio (ejemplos)
Factor Externo Acciones de la
empresa
Responsabilidad
del auditor
informtica
Comentarios
Adecuacin al
uso de nuevos
mercados (e-
commerce)
Es poltica de la
empresa la
expansin y
adaptacin de los
procedimientos y
recursos al uso de
nuevos mercados
Verificar que los
sistemas de
informacin
contemplen esta
disposicin de
manera formal y
oportuna
Emana como una
necesidad, dentro
de la globalizacin
Auge en el uso
de las
tecnologas de
comunicacin y
computacin
mviles
Se define como
estratgico que
exista una red
privada virtual entre
empresas y
entidades de la
organizacin por
este medio
Constatar que
exista un proyecto
de costo-beneficio
para desarrollar la
infraestructura
tecnologica e
implementar los
servicios de
computacin mvil
que se requieran
Con esta accin se
obtiene una ventaja
competitiva.
Permite una
integracin ms
eficiente entre las
entidades del
negocio.
Alinear TI con el Negocio
OPERACIONES DE TI
Como afectan los
cambios y las fallas de
TI al Negocio?
Cul es el impacto ?
Cul es el costo para
el negocio?
Operaciones del Negocio
Cmo los cambios
del Negocio afectan
los sistemas de TI
TI est listo y capaci-
tado para soportar las
iniciativas estratgicas
del negocio?
Impacto de
TI sobre el
Negocio
Impacto del
Negocio
en TI
No hay ms proyectos de TI , solo proyectos del Negocio
soportados por la Tecnologa
Adoptar una Perspectiva de Servicio
A : Focalizada en Servicios de TI
Soportando el Negocio
Servicios de TI
Prioridades
Del Negocio
Procesos de TI
De: Focalizada en los
Componentes de Tecnologa
El entorno en la informtica (I)
La funcin de informtica debe estructurar
sus servicios y proyectos con base en los
requerimientos especficos o estrategias del
negocio, apoyndose en el uso de TICs.
El auditor en informtica deber verificar la
existencia de un anlisis costo-beneficio y el
empleo de estndares en cada proyecto de
inversin orientado a la implementacin de
nueva tecnologa.
El entorno en la informtica (II)
Mantendr un proceso de seguimiento de los
recursos de tecnologa, metodologas, tcnicas,
procedimientos y polticas de informtica que
aseguren calidad y productividad en esta rea.
Las TICs estn desarrollando continuamente
soluciones ms eficientes; por lo que el rea
involucrada en su empleo, deber ejecutar las
acciones que aseguren el mejor uso de la
informacin, cumpliendo los requisitos de control
esperados: exactitud, totalidad, autorizacin,
actualizacin, etc. para brindar a la organizacin
resultados eficientes y de calidad.
Principales Controles fsicos y lgicos
Autenticidad.- Permiten verificar la identidad (Passwords, Firma digitale)
Exactitud.- Aseguran la coherencia de los datos (Validacin de campos,
Validacin de excesos)
Totalidad.- Evitan la omisin de registros as como garantizan la conclusin de
un proceso de envo (Conteo de registros, Cifras de control)
Redundancia.- Evitan la duplicidad de datos (Cancelacin de lotes, Verificacin
de secuencias)
Privacidad.- Aseguran la proteccin de los datos (Compactacin, Encriptacin)
Existencia.- Aseguran la disponibilidad de los datos (Bitcora de estados,
Mantenimiento de activos)
Proteccin de Activos.- Destruccin o corrupcin de informacin o del
hardware (Extintores, Passwords)
Efectividad.- Aseguran el logro de los objetivos (Encuestas de satisfaccin,
Medicin de niveles de servicio)
Eficiencia.- Aseguran uso ptimo de los recursos (Anlisis costo-beneficio)
En el entorno de la informtica se han desarrollado:
Mejores equipos de cmputo.
Lenguajes de programacin y aplicaciones
de Software ms flexibles y dinmicos.
Innovaciones tecnolgicas en redes y
telecomunicaciones.
Metodologas, tcnicas y herramientas para
la administracin de la funcin informtica y
la planeacin y desarrollo de sistemas.
Integracin de especialidades profesionales
en asociaciones reconocidas formalmente.
Concepto Caractersticas Impacto en el proceso de AI
Hardware
Servidores
Redes
Computadoras
porttiles
Impresoras
Dispositivos de
almacenamiento
Telecomunicaci
ones
- datos
- voz
- video
Permiten alimentar
procesar, generar,
transmitir y almacenar los
datos de los SI
(estratgicos, tcticos y
operativos del negocio)
El Hw sufre cambios de
manera dinmica, su
desempeo y perfoman-
ce han mejorado :
Almacenamiento
Procesamiento
Portabilidad
Escalabilidad
Conectividad
Otros
Utilizacin de los equipos
de computo para consulta,
captura, proceso y
generacin de reportes a fin
de evaluar y diagnosticar la
situacin de los sistemas.
Evaluacin de SI a travs
de accesos remotos y en
lnea.
Auditar cada tarea en el
lugar de los hechos,
Registrar y monitorear
gran cantidad de
actividades inherentes al
uso de TICs.
Concepto Caractersticas Impacto en el proceso de
auditoria en informtica
Software
Base y
Aplicado
(Herr. Gestin y
comunicacin)
Especializado
Auditora
Seguridad
Desempeo
CASE
Mtodo
Tcnicas
Herramientas
Son los elementos
lgicos
Permiten la sistemati-
zacin computacional
de los procesos de
negocio.
Se ha conseguido la
automatizacin de
actividades de
desarrollo de sistemas
a travs de las
computadoras y en
gran medida la
planeacin de
sistemas.
El personal de informtica,
programa rutinas de control y
evaluacin de procesos en los
sistemas o genera reprocesos
y respaldos de la informacin
por auditar.
El auditor en informtica
domina ambos campos
auditoria e informtica-, es el
enlace ideal para la evalua-
cin de SI y el uso eficiente de
todos los recursos, servicios y
productos de TICs en el
negocio.
Una organizacin, tambin esta afectada por
otros factores del entorno, por lo que se hace
necesario que la funcin de auditora en
informtica se mantenga actualizada y enterada
de los aspectos que rodean a los negocios.
Es necesario documentarse mediante:
lecturas de boletines, peridicos o revistas especia-
lizadas y acceso a BD nacionales e internacionales
participacin en conferencias, eventos y en asocia-
ciones especializadas
contacto permanente con proveedores lderes de
productos y servicios de la tecnologa informtica
anlisis permanente de los procesos bsicos de
negocio y de sus competidores clave.
En general, hay que considerar elementos formales para aplicar
oportunamente el cambio organizacional, cultural y tecnolgico,
que conlleve a facilitar el reposicionamiento y la competitividad del
negocio, tales como:
Planeacin estratgica
Evaluacin permanente de los procesos y flujos de datos.
Reingeniera de negocios, Investigacin de mercados.
Estudio y asimilacin del aspecto social, cultural, poltico,
econmico y tecnolgico del entorno.
Compromiso de todos los niveles de la empresa con la
calidad y satisfaccin del cliente.
Orientar los recursos a los procesos fundamentales del
negocio.
Considerar el recurso humano como la pieza clave de la
organizacin.
La Direccin de TI
CLIENTES
PRODUCTOS y SERVICIOS
Aplicativos
Infraestructura
TALENTOS (RrHh)
Bases de Datos
Relaciones
Aplicaciones
disponibles
Instalacin y
Soporte de
Infraestructura
Conocimiento
PROVEEDORES
TI
Stakeholders
Stakeholders
5 dimensiones
Alineamiento estratgico con el negocio
concordantes con visin, misin y lineamientos
estratgicos de la organizacin
Entrega de valor de acuerdo a intereses del cliente,
considerando costos, plazos y otras restricciones
Gestin de recursos
personas, aplicaciones, informacin, infraestructura
Gestin de riesgos
identificados, priorizados, cuantificados, comunicados
Gestin de rendimiento
medicin, seguimiento y mejora