viernes, 17 de febrero de 2012

Auditoria

De forma concreta.

La Auditoría es una función de dirección cuya finalidad es analizar y apreciar, con vistas a las eventuales las acciones correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión.

Actividad que realiza.

-Planificacion del trabajo
-Evaluacion de riesgos
-Elaboracion de programas de auditoria
-Revision de informes de auditoria y papeles de trabajo
-Contacto con el cliente auditado

-Ejecucion de programa de auditoria
-Elaboracion de papeles de trabajo
-Elaboracion de informes de control interno

Contexto

Ejemplo

Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, etc. La Aplicación lo puede graficar, tirar en números, puede hacer reportes, etc.…"

Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.

El sistema integral de seguridad debe comprender:
Elementos administrativos
Definición de una política de seguridad
Organización y división de responsabilidades
Seguridad física y contra catástrofes (incendio, terremotos, etc.)
Prácticas de seguridad del personal
Elementos técnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.
Aplicación de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeación de programas de desastre y su prueba.


Referentes.

Segun Gustavo Alonso Cepeda

La recopilación y evaluación de datos sobre información de una entidad para determinar e informar sobre el grado de correspondencia entre la información y los criterios establecidos. La auditoría debe ser realizada por una persona competente e independiente.

Segun Kell Zeigler
Es el examen objetivo, sistemático y profesional de las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones.


Auditoria Informatica

De forma concreta

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.

Actividades que realiza

*El análisis de la eficiencia de los Sistemas Informáticos
*La verificación del cumplimiento de la Normativa en este ámbito
*La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:
*Desempeño
*Fiabilidad
*Eficacia
*Rentabilidad
*Seguridad
*Privacidad

Contexto

Auditoria informática frente a un caso de espionaje informático en una empresa.

Una empresa sospechaba, que el sistema central de información estaba siendo manipulado por personal no autorizado. A consecuencia de lo antes mencionado se procedió a realizar una estricta auditoria informática.

El objeto del presente trabajo supone la intervención de un equipo de auditores informáticos, quienes cuentan con la asistencia de un Abogado, quien debe asesorarlos en materia de recolección de pruebas para poder verificar la eficaz iniciación de un proceso penal. Se trata de un espionaje informático cometido por un empleado de la empresa de cierto rango jerárquico, puede no existir el acceso ilegitimo, puesto que es factible que dicho empleado cuente con la autorización para acceder a la información valiosa.

En definitiva se trata de un individuo que efectúa la técnica de acceso no programado al sistema desde adentro de la empresa con el objetivo de obtener la información de sustancial valor comercial para la empresa, la que, generalmente es vendida a la competencia. El equipo de auditoria debe recaudar evidencias comprobatorias para confirmar que la empresa fue victima de un delito informático.

Es importante recolectar información de carácter estrictamente informático (impresiones de listados de archivos, carpetas, e.t.c. Se debe realizar la incautación de hardware, terminales, routers, e.t.c siempre y cuando se trate de material de propiedad de la empresa. Es importante que este material sea sellado con el fin de garantizar su inalterabilidad e intangibilidad lo que se supone por ejemplo que todos los puertos y entradas del hardware deben ser anulados de manera que no se puedan alterar.

Referntes

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.

Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.


Auditor

Concretamente

Se llama auditor (o contralor en algunos países de América Latina) a la persona capacitada y experimentada que se designa por una autoridad competente, para revisar, examinar y evaluar los resultados de la gestión administrativa y financiera de una dependencia o entidad (dependencia= institución de gobierno, entidad= empresas particulares o sociedades) con el propósito de informar o dictaminar acerca de ellas, realizando las observaciones y recomendaciones pertinentes para mejorar su eficacia y eficiencia en su desempeño. Originalmente la palabra que se define significa "oidor" u "oyente".

Actividad que realiza

a) Consultar y consensuar con el cliente el alcance de la auditoría.
b) Obtener la información de respaldo relevante como ser los detalles de actividades, los productos, los servicios, en la empresa y sus areas de actuación, los detalles de previas auditorias realizadas al auditado.
c) Formación del equipo auditor.
d) Dirigir las actividades del equipo auditor.
e) Preparar las comunicaciones.
f) Coordinar la preparación de los documentos y procedimientos detallados de trabajo y reunir al equipo auditor.
g) Representar al equipo auditor en discusiones con el auditado, antes, durante y después de la auditoría.
h) Realizar los informes de la auditoría para el cliente.


Norma

Regla o conjunto de reglas que hay que seguir para llevar a cabo una acción, porque está establecido o ha sido ordenado de ese modo.

De forma mas concrecta

Las normas son documentos técnico-legales con las siguientes características:
Contienen especificaciones técnicas de aplicación voluntaria.
Son elaborados por consenso de las partes interesadas:
Fabricantes.
Administraciones.
Usuarios y consumidores.
Centros de investigación y laboratorios.
Asociaciones y Colegios Profesionales.
Agentes Sociales, etc.
Están basados en los resultados de la experiencia y el desarrollo tecnológico.
Son aprobados por un organismo nacional, regional o internacional de normalización reconocido.
Están disponibles al público.

Las normas ofrecen un lenguaje de punto común de comunicación entre las empresas, la Administración pública, los usuarios y consumidores. Las normas establecen un equilibrio socioeconómico entre los distintos agentes que participan en las transacciones comerciales, base de cualquier economía de mercado, y son un patrón necesario de confianza entre cliente y proveedor.

Ejemplos:

+NORMAS TECNICAS

+NORMAS DE ETIQUETA

+NORMAS MORALES

+NORMAS RELIGIOSAS

+NORMAS JURIDICAS


Estandar

Producto de software o hardware que cumple determinadas reglas fijadas por acuerdo internacional, nacional o industrial.

Que es lo más habitual o corriente, o que reúne las características comunes a la mayoría: medida estándar.