AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN

REVISIÓN  Controles y las medidas de seguridad que se aplican EVALUACIÓN

                          A los recursos de un sistema de información

OBJETIVOS DE LA AIS

Ø  Presentar recomendaciones en función de fallas detectadas.

Ø  Determinar si la información que brindan los S. I. es útil.

Ø  Inspeccionar el desarrollo de los nuevos sistemas.

Ø  Verificar que se cumplan las normas y políticas de los procedimientos.

TIPOS DE AIS

Interna.- Aplicada con el personal que labora en la empresa.

Externa.- Se contrata a una firma especializada para realizar la misma.

CISA.- Certificación Internacional de Auditoria de Sistemas

AUDITORIA INFORMÁTICA EXTERNA

Las empresas recurren a la auditoría externa cuando existen:

Ø  Síntomas de descoordinación.

Ø  Síntomas de debilidades económicas.

Ø  Síntomas de mala imagen.

Ø  Síntomas de inseguridad.

ASPECTOS FUNDAMENTALES EN LA AUDITORIA DE LA S. I.

A. I. EN EL DESARROLLO DE APLICACIONES

Cada una de las fases de desarrollo de las aplicaciones informáticas debe ser sometida a un minucioso control a fin de evitar un inmenso significativo de los costos así como también la insatisfacción de los usuarios.

A. I. DE LOS DATOS DE ENTRADA

Se analiza la captura de información en soporte compatible con los sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos, la correcta transmisión de datos entre entornos diferentes, se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a las normas establecidas.

A. I. DE LOS SISTEMAS

Se Audita:

S. O.- Verificar si la versión instalada permite el total funcionamiento del software que sobre ella se instala, sino es así, determina la causa software de aplicación.

S.A.- Determina el uso de las aplicaciones instaladas:

 .docx, .xlsx, .pptx, .accdb

COMUNICACIONES.- Verificar el uso y el rendimiento de la red, sea el más adecuado.

TÉCNICAS DE AUDITORÍA

Existen varias técnicas de auditoría entre las cuales se mencionan:

LOTES DE PRUEBA

Transacciones simuladas que se ingresan al sistema a fin de verificar el funcionamiento del mismo.

Entre los datos que se incluyen en la prueba se tienen:

Ø  Datos de Excepción

Ø  Datos Lógicos

Ø  Transacciones erróneas

AUDITORIA PARA EL COMPUTADOR

Permite determinar si el uso de los equipos de computación es el idóneo. Mediante esta técnica, se detectan equipos sobre y subutilizados.

PRUEBA DE MINI COMPAÑÍA

Revisiones periódicas que se realizan a los sistemas a fin de determinar nuevas necesidades.

PELIGROS INFORMÁTICOS

INCENDIOS

Los recursos informáticos son sensibles a los incendios, como por ejemplo:

Reportes impresos, cintas, discos, etc.

INUNDACIONES

Se recomienda que el departamento de cómputo se encuentre en un nivel alto. La planta baja y el sótano, son propensos a las inundaciones.

ROBOS

Fuga de información confidencial de la empresa.

FRAUDES

Modificaciones de los datos dependiendo de los intereses particulares.

MEDIDAS DE CONTINGENCIA

Mecanismos utilizados para contrarrestar la pérdida o daño de la información, bien sea intencional o accidental.

La más utilizada es la copia de seguridad  (backup)

MEDIDAS DE PROTECCIÓN

Medidas utilizadas para garantizar la seguridad física de los datos:

Aquellos equipos donde se genera la información crítica, deben tener un UPS, de igual manera el suministro de corriente eléctrica para el área de informática debe ser independiente del resto de las áreas.

Ø  Antivirus

Ø  UPS

Ø  S. A. Mantenimiento

Ø  Firewall

Ø  Antispyware

Ø  Elistar

Ø  Bitlocker

Ø  Freezer

MEDIDAS DE CONTROL DE SEGURIDAD

Mecanismo utilizado para garantizar la seguridad lógica de los datos.

En los sistemas multiusuarios se debe restringir el acceso a la información, mediante un nombre de usuario (login) y una contraseña (password).

Del mismo modo se debe restringir el acceso a los sistemas en horas no laborables, salvo casos excepcionales.