Tcnicas e Instrumentos en una auditora de sistemas

Alumno: Luis SequedaCdigo: 022058Anlisis de Sistemas 3Prof. Herminia Zambrano

Valencia, 22 de junio de 2015

Tcnicas e instrumentos para auditora

Partimos de la base, que una auditora es la revisin del cumplimiento de una normativa o sistema implantado para verificar su cumplimiento. As mismo, la auditora,es la accin que permite identificar no conformidades o problemas que a simple vista no se ven en todo un SGSI implementado. Por ejemplo las vulnerabilidades que puede tener un sistema de informacin y que la empresa lo utiliza para su funcionamiento o para la prestacin de un servicio. De esta manera se confirma lo queDejan Kosutic, afirma El punto con las auditoras internas es que descubran problemas que de otra forma permaneceran ocultos y, por consiguiente, perjudicaran el negocio. Seamos realistas, cometer errores es humano; por lo tanto, es imposible tener un sistema sin fallas; aunque s es posible tener un sistema que se mejore a s mismo y que aprenda de sus errores. Las auditoras internas son una parte crucial de ese tipo de sistemas.

Para realizar una auditora se requiere de una planificacin previa por parte del equipo auditor. En este sentido, se determina el alcance de la auditora,los instrumentos necesarios para realizarla y las tcnicas para verificacin del cumplimiento de medidas de seguridad.Para la realizacin de las auditoras se deben contemplar:

Revisin de documentacin. Entrevistas. Visitas a instalaciones del auditado y observacin de la operativa habitual. Pruebas tcnicas sobre los sistemas de informacin y comunicaciones.

Revisin de documentacin:

En la leccin anterior,se present de forma general, cada una de las metodologas utilizadas para el proceso de auditora. La metodologa Cobit, presenta una gua prctica o directrices para realizar las auditoras y determinar el grado de cumplimiento. Entrevistas:

Las entrevistas deben se planeadas, identificadas con el objetivo que se persigue de la entrevista. Existen diferentes tipos de entrevistas, sta se hace a travs de cuestionarios abiertos o a travs de cuestionarios cerrados al auditado.El cuestionario es un instrumento que puede ser diseado por el auditor, es decir determinar el tipo de preguntas que disear para aplicar el cuestionario.El tipo de entrevista que se utilice depende de los objetivos que se pretenda lograr con la entrevista. Visitas a instalaciones del auditado y observacin de la operativa habitual:Estas visitas, se realizan para verificacin de las instalaciones de la organizacin auditada con el objetivo de verificacin de condiciones como el acceso fsico por parte de empleados y funcionarios, la seguridad perimetral implementada, la observacin, la forma como trabajan los funcionarios en sus puestos de trabajo, el estado de las conexiones de seguridad, entre otros importantes que consideren en la planificacin de la auditora y se requiere de una exploracin visual. Pruebas tcnicas sobre los sistemas de informacin y comunicaciones:Esta prueba tiene un componente netamente tcnicoa los sistemas de informacin y comunicaciones de la empresa. A diferencia de las anteriores tcnicas,que el auditaje es para verificacin de controles implementados en la organizacin. En esta tcnica de auditora se precisan auditoras sobre:

Auditora de sistemas de control industrial y las TIC

Para este tipo de auditora se hacen pruebas en:

Mecanismos de control de acceso fsico Suministro elctrico Sistemas de control de temperatura y humedad, Sistemas de deteccin y extincin de incendios Sistemas de video vigilancia y alarmas contra intrusiones fsicas.

Auditora tcnica de sistemas, comunicaciones y aplicaciones

En este tipo de auditora se hace pruebas a los sistemas diseado, creados e implementados en la empresa.Las pruebas consisten en:

Anlisis de vulnerabilidades de sistemas o redes. Anlisis de vulnerabilidades dehosts Auditora de aplicaciones

Este tipo de auditoras se pueden realizar a travs de la metodologa OSSTMM y OWASP, la cuales son diseadas para este fin.

Conceptos aplicables de la auditoria

Control: el control es una funcin administrativa: es la fase del proceso administrativo que mide y evala el desempeo y toma la accin correctiva cuando se necesita. de este modo, el control es un proceso esencialmente regulador.

Control interno: se podra decir que la funcin primordial del control interno es regular, hacer ms eficiente el logro de los objetivos de la organizacin.

Control externo: es aquel ejercido por personal externo a la empresa y su propsito es evaluar en qu proporcin las metas y objetivos trazados en las polticas, planes, programas por la administracin de la misma se estn cumpliendo.

Control interno informtico: el control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o la direccin informtica, as como los requerimientos legales.La funcin del control interno informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas.

Control interno informtico suele ser un rgano staff de la direccin del departamento de informtica y est dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.

Como principales objetivos podemos indicar los siguientes:

a) Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.b) Asesorar sobre el conocimiento de las normas.c) Colaborar y apoyar el trabajo de Auditoria informtica, as como de las auditoras externas al grupo.

Papeles de trabajo: son la herramienta y soporte en la planeacin, organizacin y coordinacin del examen de auditora, y a su vez brindan respaldo a la opinin del auditorLos papeles de trabajo son registros que mantiene el auditor de los procedimientos aplicados, pruebas desarrolladas, informacin obtenida y conclusiones pertinentes a que se lleg en el trabajo

Objetivos de los papeles de trabajo:

a) Proporcionar la informacin bsica y fundamental necesaria para facilitar la planeacin, organizacin y desarrollo de todas las etapas del proceso de auditora.b) Respaldar la opinin del auditor permitiendo realizar un examen de supervisin y proporcionando los informes suficientes y necesarios que sern incluidos en el informe de auditora tipos de papeles de trabajo

Archivo permanente: la informacin que aqu se almacena cubre varios perodos de la auditoria y son de utilidad en exmenes posteriores, representando inters para el administrador de la aplicacin y fuente de consulta de aspectos como la naturaleza y justificacin de la aplicacin.

Archivo corriente: se almacena la informacin correspondiente al periodo auditado, constituyndose en evidencia del trabajo desarrollado por el auditor, mostrando todas sus fases y sirviendo como respaldo para presentar los informes respectivos.

Bibliografa

La informacin del presente trabajo se obtuvo de las siguientes pginas web:

http://auditoriadesistemas.bligoo.com.mx/

http://datateca.unad.edu.co/

http://es.slideshare.net/UNEG-AS/unegas-2012inf10-instrumentos-y-tcnicas-aplicables-a-la-auditora-de-sistemas-computacionales