AUDITORÍA INFORMÁTICA
Organización del departamento de Auditoría Informática Catalina Fernández Arias Alejandro Rojas Arrieta Elmer Alpízar Sánchez Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo Auditoría de Comunicaciones y Redes Auditoría de Seguridad Informática Auditoría de Base de Datos Esta se encarga de monitorear, medir, asegurar y registrar los accesos a toda la información almacenada en las bases de datos. Entre sus objetivos se encuentran: Evitar el acceso externo Imposibilitar el acceso interno a usuarios no autorizados Autorizar el acceso solo a los usuarios autorizados Auditoría de Base de Datos Donde se debe aplicar esta auditoria ? En toda empresa que conste con un Sistema de Base de Datos con información sumamente importante para su desarrollo y datos confidenciales de usuarios externos. Ejemplos: Bancos, Supermercados, Colegios y Universidades. Auditoría de Desarrollo Para tratar la auditoría de desarrollo es necesario, en primer lugar, definir las funciones o tareas, las funciones que tradicionalmente se asignan al área son: Planificación del área y participación en la elaboración del plan estratégico de informática Desarrollo de nuevos sistemas Estudio de nuevos lenguajes, técnicas, metodologías, estándares, herramientas, etc. Establecimiento de un plan de formación para el personal adscrito al área Establecimiento de normas y controles para todas las actividades que se realizan en el área y comprobación de su observancia. Auditoría de Desarrollo El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente. Se debe comprobar que: Existe una orden de aprobación del proyecto firmada por un órgano competente. En el documento de aprobación están definidos de forma clara y precisa los objetivos del mismo y las restricciones. Se han identificado las unidades de la organización a las que afecta Auditoría de Redes Mecanismos que prueban una red informática, evaluando la seguridad y su desempeño, para lograr mayor eficiencia y aseguramiento de la información Metodología Estructura física(hardware, topología) Estructura lógica(software, aplicaciones) Auditoría de Redes Etapas Análisis de vulnerabilidades: Punto más crítico de toda la auditoría Estrategia de saneamiento: Identificar los agujeros en la red y proceder repáralos, actualizando el software afectado, reconfigurándolo de mejor manera o reemplazándolo por otro similar Plan de contención: Elaborar Plan B, que prevea un incidente después de tomadas las medidas de seguridad. Seguimiento Continuo del desempeño del sistema: La seguridad no es un producto, es un proceso. Auditoria de Seguridad Informática La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. • • La Seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. Igualmente, a este ámbito pertenece la política de Seguros. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. Se ha tratado con anterioridad la doble condición de la Seguridad Informática: Como Área General y como Área Específica (seguridad de Explotación, seguridad de las Aplicaciones, etc.). Funciones de Auditoría Informática Su propósito general más importante es el de dar recomendaciones orientadas al fortalecimiento de los controles identificados como débiles y que por esa razón, constituyen factores de riesgo para la organización. De este modo la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de la auditoría: • • Objetivos de protección de activos e integridad de datos. Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia. Perfiles Profesionales de la función de Auditoría de Sistemas • • • • Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general. Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial . Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen. Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad. Funciones a Desarrollar por la función de la Auditoría Informática o Verificación del control interno o Análisis de la gestión de los sistemas de información o Análisis de la integridad, fiabilidad y certeza de la información o Auditoria de riesgos operativos de los circuitos de información o Análisis de la gestión de los riesgos de la información o Verificación del nivel de continuidad o Análisis del estado del arte tecnológico de la instalación revisada o El auditor informático es responsable para establecer los objetivos de control que reduzcan o eliminen la exposición al riesgo de control interno. Organización de la función de la Auditoría Informática • • • • Sistema de Información: son soportes básicos para la gestión y control del negocio, siendo así uno de los requerimientos básicos de cualquier organización Departamento de Sistema de Información: Se encarga de llevar una organización para cumplir el objetivo de dichos sistemas, los recursos que los manejan y las inversiones que se ponen a su disposición. Auditoria Informática: Es una función de control de la gestión de los sistemas y del departamento de sistemas de información. Auditor Informático general: s un profesional dedicado al análisis de sistemas de información e informáticos que está especializado en algunas de las múltiples ramas de la auditoria informática
© Copyright 2024