AUDITORIA DE SISTEMAS COMPUTACIONALES.
1 Metodología Para Realizar Auditorías De Sistemas ComputacionalesA continuación se detalla la metodología para realizar auditorías de sistemas computacionales, para lo cual estaré presentando sus etapas:
1. Identificar el origen de la auditoria
a. Por solicitud de accionista, socios y dueños
b. Por solicitud expresa de procedencia externa
c. Como consecuencia de emergencias y condiciones especiales
d. Por riesgos y contingencias informáticas
e. Como resultado de los planes de contingencias
f. Por resultados obtenidos de otras auditorias
g. Como parte del programa integral de auditoria
2. Realizar una vista preliminar al área que será evaluada
a. Contacto inicial con funcionarios y empleados del área
b. Identificación preliminar de la problemática del área de sistemas
c. Prever los objetivos iníciales de la auditoria
d. Calcular los recursos y personas necesarias para la auditoria
3. Establecer objetivos de la auditoria
a. Objetivo general
b. Objetivos particulares
c. Objetivos específicos de la ASC
4. Determinar los puntos que serán evaluados en la auditoria
a. Evaluación de las funciones y actividades del personal del área de sistemas
b. Evaluación de la áreas y unidades administrativas del centro de computo
c. Evaluación de la seguridad de los sistemas de información
d. Evaluación de la información, documentación y registros de los sistemas
e. Evaluación de los sistemas, equipos, instalaciones y componentes
f. Elegir los tipos de auditorías que serán utilizados
g. Determinar los recursos que serán utilizados en la auditoria
5. Elaborar planes, programas y presupuestos para realizar la auditoria
a. Elaborar el documento formal de los planes de trabajo de la auditoria
b. Contenido de los planes para realizar la auditoria
c. Elaborar el documento formal de los programas de auditoria
d. Elaborar los programas de actividades para realizar la auditoria
e. Elaborar los presupuestos de la auditoria
6. Identificar los riesgos según su amenaza.
2. PLANES, PROGRAMAS Y PRESUPUESTOS PARA REALIZAR UNA AUDITORIA DE SISTEMAS.
Planes, programas y presupuestos para realizar la auditoria. Antes de realizar una auditoría, la persona encargada, en este caso el auditor, debe realizar una serie de planes, programas y presupuestos, a fin de que su trabajo se realice de manera eficiente.
a. Elaborar el documento formal de los planes de trabajo de la auditoria
b. Contenido de los planes para realizar la auditoria
c. Elaborar el documento formal de los programas de auditoria
d. Elaborar los programas de actividades para realizar la auditoria
e. Elaborar los presupuestos de la auditoria
Debemos tratar de que se cumplan ciertas funciones que son:
Función del Control. Una definición que es correcta y a la cual representa el valor de la Función del Control es la de ayudar a los Funcionarios que tienen responsabilidad Administrativa, Técnica y/u Operacional a que no incurran en falta. Y es por ello que aquí el Control es Creativo, Inteligente, y Constructivo de asesoramiento oportuno a todas las Direcciones o Gerencias a fin de que la Toma de Decisiones sea acertada, segura y se logren los objetivos, con la máxima eficiencia.
El Control de Sistemas e Informática, consiste en examinar los recursos, las operaciones, los beneficios y los gastos de las producciones (servicios y/o productos de los Sistemas Informáticos), de los Organismos sujetos a control, con la finalidad de evaluar la eficacia y eficiencia Administrativa Técnica y/u Operacional de los Organismos, en concordancia con los principios, normas, técnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas (Planes, Programas y Presupuestos, Diseño, Software, Hardware, Seguridad, Respaldos y otros) adoptados por la Organización para su dinámica de Gestión en salvaguarda de los Recursos del Estado.
Existe otra definición sobre el "control técnico" en materia de Sistemas e Informática, y esta se orienta a la revisión del Diseño de los Planes, Diseños de los Sistemas, la demostración de su eficacia, la Supervisión compulsa de rendimientos, Pruebas de Productividad de la Gestión - Demanda llamada "Pruebas intermedias", el análisis de resultados, niveles y medios de seguridad, respaldo, y el almacenamiento. Así mismo medición de la vida útil del Sistema Informático adoptado por la Organización bajo control.
Objetivos de la Auditoría y Control de Sistemas e Informática.
Los principales objetivos que constituyen a la auditoría Informática son:
Los principales objetivos que constituyen a la auditoría Informática son:
· El control de la función informática (Sistema de Información - SI y la Tecnología de la Información -TI).
· El análisis de la eficiencia de los SI y la TI.
· La verificación del cumplimiento de la Normativa General de la Organización.
· La verificación de los Planes, Programas y Presupuestos de los Sistemas Informáticos.
· La revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
· La revisión y verificación de Controles Técnicos Generales y Específicos de Operatividad.
· La revisión y verificación de las Seguridades.
o De Cumplimiento de normas y estándares.
o De Sistema Operativo.
o De Seguridad de Software.
o De Seguridad de Comunicaciones.
o De Seguridad de Base de Datos.
o De Seguridad de Proceso.
o De Seguridad de Aplicaciones.
o De Seguridad Física.
o De Suministros y Reposiciones.
o De Contingencias.
· El análisis del control de resultados.
· El análisis de verificación y de exposición de debilidades y disfunciones.
El auditor informático. Es el profesional que ha de cuidar y velar por la correcta utilización de los diversos recursos de la organización y debe comprobar que se esté llevando acabo un eficiente y eficaz Sistema de Información y la Tecnología de la Información.
· Creatividad.
o Sistemas Informáticos de Baja Performance creativa.
o Deficiente manejo de Imaginación y Creatividad para las Producciones de Servicios.
o No permite variabilidad y atención a Usuarios.
o Falta de una buena Integración de la Información y Difusión del Organismo con la Sociedad, a través de medios y del internet.
o Pocos Servicios Creativos, donde el usuario manifiesta su descontento.
o Exceso de monotonía y rutina de procesos administrativos y técnicos.
o Deficiente nivel de Proceso de la Investigación y Desarrollo Creativo.
o Usuarios se quejan por engorrosos procedimientos Informáticos.
· Inteligencia.-
o La Organización no cuenta con Formación de Conocimientos en Sistemas y Tecnología Informática.
o Exceso de averías en los Sistemas Informáticos.
o No hay Capacitación ni entrenamiento de nuevas Tecnologías.
o Tratamiento de la Tecnología para la Inteligencia Empresarial muy deficiente.
o Los Estándares de Productividad son bajos.
o Bajo Índice de Producción de Servicio (Planificación, Producción y Soporte Técnico),
o Usuarios salen conformes con la resolución de problemas (Relacionados a los Sistemas Informáticos).
o Informática de Comunicaciones, Tele Comunicaciones y Redes; no se encuentra Integrado a los Procesos Intranet, Extranet e Internet.
o Los Controles Inteligentes de procesos son deficientes.
o Deficiente nivel de Investigación y Desarrollo Tecnológico.
o Alto Índice de desatendidos y asuntos pendientes (Relacionados a Tecnologías de la Información).
· Personalidad.-
o Carencia de Identidad, Rumbo y de Mística Laboral y Personal.
o Síntomas de mala Imagen.
o Baja Productividad de Trabajo.
o Alto Índice de estrés laboral.
o Pérdida de credibilidad del Organismos.
o Usuarios manifiestan su descontento con el trato y atención.
· Organización.-
o Desorganización estructural y Funcional.
o Descoordinación Funcional Horizontal - Vertical.
o Demasiado Centralismo Funcional y Operativo de los Sistemas Informáticos.
o Alto riesgo de Inseguridad Operativa, de Tecnología y de Información.
o Las áreas de Producción, Desarrollo, Sistemas, Comunicaciones y Seguridad en estado Crítico.
o Usuarios manifiestan excesiva desubicación en los desplazamientos por la organización.
o Usuarios manifiestan descontento porque no se cumplen con los plazos de entrega de resultados periódicos.
· Dirección.-
o Carencia de Objetivos, Estrategias y Planes de los Sistemas e Informática.
o Toma de Decisiones deficientes por Tecnologías de la Información inadecuadas.
o Los Programas de Auditorías y Control no logra recomponer fallas.
o Descoordinación en la Toma de decisiones.
o Desviaciones Presupuestarias significativas.
o Incremento desmesurado de costos y gastos.
o Carencia de Proyectos de Sistemas e Informática.
o Baja adopción de Medidas del Plan de Contingencias.
o Usuarios se quejan por ineficacias de Resoluciones en Niveles Directivos.
Herramientas y Técnicas para la Auditoría Informática:
Cuestionarios.
Entrevistas.
Formularios Checklist.
Formularios Virtuales,
Pruebas de Consistencias.
Inventarios y Valorizaciones.
Historias de cambios y mejoras.
Reporte de Bases de Datos y Archivos
Reportes de Estándares.
Compatibilidades e Uniformidades.
Software de Interrogación:
Certificados, Garantías, otros del Software.
Fotografías o Tomas de Valor (Imágenes).
Diseño de Flujos y de la red de Información.
Planos de Distribución e Instalación (Para Estudio y Revisión).
Listado de Proveedores.
Otros.
3. DEFINIR RIESGOS INFORMATICOS
Un riesgo es un problema potencial que puede ocurrir en un procesador segmentado. Típicamente los riesgos se clasifican en tres tipos: riesgos de datos, riesgos de salto o de control y riesgos estructurales.
El Riesgo en auditoría representa la posibilidad de que el auditor exprese una opinión errada en su informe debido a que los estados financieros o la información suministrada a él estén afectados por una distorsión material o normativa.
Hay que tomar en cuenta que el análisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daños de cada recurso de una institución contra todas las posibles amenazas, es decir terminaríamos con un sinnúmero de grafos de riesgo que deberíamos analizar y clasificar. Por otro lado, hay que reconocer que la mayoría de las organizaciones
4. CLASIFICACIÓN DE LOS RIESGOS INFORMATICOS.
Los negocios pueden fallar o sufrir pérdidas como un resultado de un variedad de causas. Las diferencias en esas causas y sus efectos constituyen las bases para diferenciar los riesgos, los cuales se pueden clasificar así:
Inherente, de Control y de Detección. El riesgo inherente es la posibilidad de que existan errores significativos en la información auditada, al margen de la efectividad del control interno relacionado; son errores que no se pueden prever.
El riesgo de control está relacionado con la posibilidad de que los controles internos imperantes no prevén o detecten fallas que se están dando en sus sistemas y que se pueden remediar con controles internos más efectivos.
El riesgo de detección está relacionado con el trabajo del auditor, y es que éste en la utilización de los procedimientos de auditoría, no detecte errores en la información que le suministran. El riesgo de auditoria se encuentra así: RA = RI x RC x RD
La organización que está expuesta a perdidas
Los elementos que conforman las causas de pérdidas financieras
Un peligro que puede causar la pérdida (amenaza a riesgo).
Riesgos dinámicos: Son el resultado de cambios en la economía que surgen de dos conjuntos de factores:
1. Factores del entorno exterior; la economía, la industria, competidores y clientes.2. Otros factores que pueden producir las pérdidas que constituyen las bases del riesgo especulativo son las decisiones de la administración de la organización.
Riesgos estáticos: Estos riesgos surgen de otras causas distintas a los cambios de la economía tales como: deshonestidad o fallas humanas.
Riesgo especulativo: Describe una situación que espera una posibilidad de pérdida o ganancia. Un buen ejemplo es una situación aventurada o del azar.
Riesgo puro: Designa aquellas situaciones que solamente generan pérdida o ganancia, un ejemplo es la posibilidad de pérdida en la compra de un bien (automóviles, casas, etc.). Los riesgos puros pueden ser clasificados de la siguiente forma:
- Riesgo Personal : Consiste en la posibilidad de pérdida sujeta a los siguientes peligros : muerte prematura, enfermedad e incapacidades
- Riesgos de las posesiones: Abarcan 2 distintos tipos de pérdida que son: pérdidas directas por destrucción de bienes, y pérdidas indirectas causados por las consecuencias de las pérdidas directas o gastos adicionales.
- Riesgos de Responsabilidades: Su peligro básico consiste en el perjuicio de otras personas o daño de una propiedad por negligencia o descuido.
- Riesgos físicos: Se tienen en esta clase por ejemplo: El exceso de ruido, Iluminación inadecuada, exposición a radiaciones, instalaciones eléctricas inadecuadas.
- Riesgos químicos: Se tienen en esta clase por ejemplo: Exposición a vapores de los solventes, humo de combustión y gases.
- Riesgos biológicos: Hongos y bacterias.
- Riesgos psicosociales: Ingresos económicos injustos, monotonía, falta de incentivos y motivación.
- Riesgos ergonómicos: Puesto de trabajo incomodo, Posición corporal forzada, movimiento repetitivo al operar máquinas, etc.
Riesgo particular: Son pérdidas que surgen de eventos individuales antes que surjan de un grupo entero. Desempleo, guerra, inflación, terremotos son todos riesgos fundamentales; el incendio de una casa y el robo de un banco son riesgos particulares
5. MATRIZ DE RIESGOS INFORMATICOS. METRICAS UTILIZADAS.
La Matriz para el Análisis de Riesgo, es una Herramientas para la colaboración, información y comunicación seguras” y fue punto clave en analizar y determinar los riesgos en el manejo de los datos e información de las organizaciones. La Matriz, no dará un resultado detallado sobre los riesgos y peligros de cada recurso de la institución, sino una mirada aproximada y generalizada de los riesgos.MÉTRICAS UTLIZADAS EN AUDITORIA DE SISTEMA.
Métricas de los riesgos: medidas preventivas y reactivas del hombre, de las organizaciones y de los sistema tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.Tres tipos diferentes de métricas de medición son: métricas técnicas, métricas Bang y métricas de punto de función.
a. Métricas Técnicas. Estas métricas se derivan de una relación empírica según las medidas contables del dominio de información del software y de evaluaciones de complejidad. Ejemplo,
número de entradas usuario– cada una de las entradas de datos.
Número de salidas usuario – cada una de las salidas de datos.
Número de peticiones usuario – cada generación de un evento.
Número de archivos – cada tabla, archivo
Número de interfaces externas – son interfaces, discos, copias de seguridad, transmisiones de datos.
b- Métricas bang. Estas ayudan a evaluar el análisis y diseño, proporcionan medidas de la complejidad, y ayudan a diseñar pruebas más efectivas. Estas métricas se dividen en : Medidas del análisis, medidas de especificación, medidas de diseño.
c- Métricas de punto de función de Albrecht. Miden la aplicación desde una perspectiva del usuario dejando de lado los detalles de codificación, estos evalúan con fiabilidad:
•El valor comercial de un sistema para el usuario
•Tamaño del proyecto, costo y tiempo de desarrollo
•Calidad y productividad de lo programado
•Esfuerzo de adaptación, modificación y mantenimiento
•Posibilidad de desarrollo propio
•Beneficios de implementación en 4GL
6. IMPACTO QUE PUEDEN TENER LOS RIESGOS INFORMATICOS.
Conocimiento del impacto cuantificado en la corporación
Es esencial entender los riesgos en términos de probabilidad de un evento capaz de generar alguna situación de este tipo, y en términos del valor temporal de la exposición a un peligro en caso de producirse dicho riesgo. Asimismo, los riesgos necesitan ser cuantificados para cada aplicación empresarial esencial. Conociendo estos dos parámetros, las personas encargadas de tomar decisiones pueden plasmar estos valores en un sencillo gráfico bidimensional, asignando las prioridades de reducción/solución de riesgos a diferentes aplicaciones. Además de esto, se puede definir y aplicar una política de forma efectiva y sistemática a toda la empresa, para ocuparse de diferentes riesgos o de múltiples categorías de riesgos.
Se entiende por PLAN DE CONTINGENCIA o PLAN DE EMERGENCIA, los procedimientos alternativos al orden normal de una empresa, cuyo fin es permitir el normal funcionamiento de esta, aun cuando alguna de sus funciones se viese dañada por un accidente interno o externo.
Que una organización prepare sus planes de contingencia, no significa que reconozca la ineficacia de su empresa, sino que supone un avance a la hora de superar cualquier eventualidad que puedan acarrear pérdidas o importantes pérdidas y llegado el caso no solo materiales sino personales.
El Plan de Emergencia
Una Planificación de Contingencias debe ser también un Plan de Emergencia que contenga los siguientes elementos:
a) La naturaleza de la contingencia
b) Las repercusiones operativas de la contingencia
c) Las respuestas viables
d) Las implicaciones financieras de las respuestas
e) Cualquier efecto en otro proceso
Se deberán valorar los diferentes escenarios, esta actividad es la más intuitiva y sin embargo una de las más importantes ya que sienta las bases de toda la planificación posterior. Para establecer escenarios es necesario formular distintas hipótesis, aunque estas se basen en todos los conocimientos disponibles, nunca se debe eliminar el elemento de imprevisibilidad.
8. EJEMPLO DE PLAN DE CONTINGENCIA.
Hacer un respaldo de toda la información importante que se guarda dentro de la empresa, previendo que pueda acontecer un catástrofe, inundación, daño en los equipos, borrón de la información guardada, etc., este back up se debe guardar en un lugar seguro, pero diferente de las instalaciones donde ejerce la empresa u organización y sobre todo, debe ubicarse en un lugar seguro.
Por otro lado, dentro de la organización se deben tener extintores por cualquier incendio, sistemas de alarma para en caso de inundaciones, y sobre todo unos buenos seguros.
No hay comentarios:
Publicar un comentario