Auditoría informática CAP II

Auditora informtica

La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de informacin eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia.

Los objetivos de la auditora Informtica son:

El anlisis de la eficiencia de los Sistemas Informticos

La verificacin del cumplimiento de la Normativa en este mbito

La revisin de la eficaz gestin de los recursos informticos.

Sus beneficios son:

Mejora la imagen pblica.

Confianza en los usuarios sobre la seguridad y control de los servicios de TI.

Optimiza las relaciones internas y del clima de trabajo.

Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).

Genera un balance de los riesgos en TI.

Realiza un control de la inversin en un entorno de TI, a menudo impredecible.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:

Desempeo

Fiabilidad

Eficacia

Rentabilidad

Seguridad

Privacidad

Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:

Gobierno corporativo

Administracin del Ciclo de vida de los sistemas

Servicios de Entrega y Soporte

Proteccin y Seguridad

Planes de continuidad y Recuperacin de desastres

La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, COSO e ITIL.

Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin

Las principales herramientas de las que dispone un auditor informtico son:

Observacin

Realizacin de cuestionarios

Entrevistas a auditados y no auditados

Muestreo estadstico

Flujogramas

Listas de chequeo

Tipos de auditoria.

Sistemas de Informacin

Un sistema y administracin degenerados para cubrir una necesidad u objetivo. Dichos elementos formarn parte de alguna de las

personas

datos

actividades

Recursos materiales en general (generalmentecomunicacin

Todos estos elementos interactan para procesar los datos (incluidmanuales y automticos) y dan lugar ade la manera ms adecuada posible en una determinada organizacin, en funcin de sus objetivos.

Habitualmente el trmino se usa de manera errnea como sinniinformacin informticomateriales de un sistema de informacin estn constituidos casi en su totalidad por sistemas informticos. Estrictamente hablando, un sistema de qu disponer de dichos recursos (aunque en la prctica esto no suela ocurrir). Se podra decir entonces que los sistemas de informacin informticos son una subclase o un subconjunto de los sistemas de informacin en general

En informticautilice para obtener,recibir datos, para satisfacer una necesidad de informacin

Un sistema de informacin es un fin de apoyar las actividades de una empresa o negocio. Teniendo muy en cuenta el equipo computacional necesario

Sistemas de Informacin

sistema de informaciny administracin degenerados para cubrir una necesidad u objetivo. Dichos elementos formarn parte de alguna de las siguientes categoras:

personas

datos

actividades

o tcnicas de trabajoRecursos materiales en general (generalmentecomunicacin, aunque no necesariamente).

Todos estos elementos interactan para procesar los datos (incluidmanuales y automticos) y dan lugar ade la manera ms adecuada posible en una determinada organizacin, en funcin de sus objetivos.

Habitualmente el trmino se usa de manera errnea como sinniinformacin informticomateriales de un sistema de informacin estn constituidos casi en su totalidad por sistemas informticos. Estrictamente hablando, un sistema de qu disponer de dichos recursos (aunque en la prctica esto no suela ocurrir). Se podra decir entonces que los sistemas de informacin informticos son una subclase o un subconjunto de los sistemas de informacin en general

informtica, un sistema de informacin es cualquier sistemautilice para obtener,recibir datos, para satisfacer una necesidad de informacin


Sistemas de Informacin (SI

de informacin

(SI) es un conjunto de elementos orientados al tratamiento y administracin de

datos e informacingenerados para cubrir una necesidad u objetivo. Dichos elementos formarn parte de

siguientes categoras:

o tcnicas de trabajoRecursos materiales en general (generalmente

, aunque no necesariamente).

Todos estos elementos interactan para procesar los datos (incluidmanuales y automticos) y dan lugar ade la manera ms adecuada posible en una determinada organizacin, en funcin de

Habitualmente el trmino se usa de manera errnea como sinniinformacin informtico, en parte porque en la mayor parte de los casos los recursos materiales de un sistema de informacin estn constituidos casi en su totalidad por sistemas informticos. Estrictamente hablando, un sistema de qu disponer de dichos recursos (aunque en la prctica esto no suela ocurrir). Se podra decir entonces que los sistemas de informacin informticos son una subclase o un subconjunto de los sistemas de informacin en general

, un sistema de informacin es cualquier sistemautilice para obtener,

almacenarrecibir datos, para satisfacer una necesidad de informacin


SI)

(SI) es un conjunto de elementos orientados al tratamiento informacin

generados para cubrir una necesidad u objetivo. Dichos elementos formarn parte de siguientes categoras:

o tcnicas de trabajo

Recursos materiales en general (generalmente, aunque no necesariamente).

Todos estos elementos interactan para procesar los datos (incluidmanuales y automticos) y dan lugar ade la manera ms adecuada posible en una determinada organizacin, en funcin de

Habitualmente el trmino se usa de manera errnea como sinni, en parte porque en la mayor parte de los casos los recursos

materiales de un sistema de informacin estn constituidos casi en su totalidad por sistemas informticos. Estrictamente hablando, un sistema de qu disponer de dichos recursos (aunque en la prctica esto no suela ocurrir). Se podra decir entonces que los sistemas de informacin informticos son una subclase o un subconjunto de los sistemas de informacin en general

, un sistema de informacin es cualquier sistemaalmacenar, manipular, administrar, controlar, procesar, transmitir o

recibir datos, para satisfacer una necesidad de informacin

Un sistema de informacin es un conjunto de elementos qfin de apoyar las actividades de una empresa o negocio. Teniendo muy en cuenta el equipo computacional necesario

(SI) es un conjunto de elementos orientados al tratamiento informacin, organizados y listos para su uso posterior,

generados para cubrir una necesidad u objetivo. Dichos elementos formarn parte de

Recursos materiales en general (generalmente, aunque no necesariamente).

Todos estos elementos interactan para procesar los datos (incluidmanuales y automticos) y dan lugar a

informacinde la manera ms adecuada posible en una determinada organizacin, en funcin de



, un sistema de informacin es cualquier sistema, manipular, administrar, controlar, procesar, transmitir o


conjunto de elementos qfin de apoyar las actividades de una empresa o negocio. Teniendo muy en cuenta el

(SI) es un conjunto de elementos orientados al tratamiento , organizados y listos para su uso posterior,


Recursos materiales en general (generalmente

recursos informticos y de

Todos estos elementos interactan para procesar los datos (incluidinformacin

ms elaborada, que se distribuye de la manera ms adecuada posible en una determinada organizacin, en funcin de



, un sistema de informacin es cualquier sistema, manipular, administrar, controlar, procesar, transmitir o


conjunto de elementos que interactan entre s con el fin de apoyar las actividades de una empresa o negocio. Teniendo muy en cuenta el




Todos estos elementos interactan para procesar los datos (incluidos los procesos ms elaborada, que se distribuye

de la manera ms adecuada posible en una determinada organizacin, en funcin de

Habitualmente el trmino se usa de manera errnea como sinnimo de, en parte porque en la mayor parte de los casos los recursos

materiales de un sistema de informacin estn constituidos casi en su totalidad por sistemas informticos. Estrictamente hablando, un sistema de informacin no tiene por qu disponer de dichos recursos (aunque en la prctica esto no suela ocurrir). Se podra decir entonces que los sistemas de informacin informticos son una subclase o

, un sistema de informacin es cualquier sistema

computacional, manipular, administrar, controlar, procesar, transmitir o

ue interactan entre s con el fin de apoyar las actividades de una empresa o negocio. Teniendo muy en cuenta el




os los procesos ms elaborada, que se distribuye


mo de

sistema de , en parte porque en la mayor parte de los casos los recursos

materiales de un sistema de informacin estn constituidos casi en su totalidad por informacin no tiene por

qu disponer de dichos recursos (aunque en la prctica esto no suela ocurrir). Se podra decir entonces que los sistemas de informacin informticos son una subclase o

computacional

que se , manipular, administrar, controlar, procesar, transmitir o





os los procesos ms elaborada, que se distribuye


sistema de , en parte porque en la mayor parte de los casos los recursos

materiales de un sistema de informacin estn constituidos casi en su totalidad por informacin no tiene por

qu disponer de dichos recursos (aunque en la prctica esto no suela ocurrir). Se podra decir entonces que los sistemas de informacin informticos son una subclase o

que se , manipular, administrar, controlar, procesar, transmitir o


Para que el sistema de informacin pueda operar y el recurso humano que interacta con el Sistema de Informacin, el cual est formado por las personas que utilizan el sistema

Un sistema de informacin realiza cuatro actividades bsicas: entrada, almacenamiento, procesamiento y salida de informacin. (Peralta, 2008) Un sistema de informacin es el sistema de personas, registros de datos y actividades que procesa los datos y la informacin en cierta organizacin, incluyendo manuales de procesos o procesos automatizados

Tcnicamente es un conjunto de componentes relacionados que recoge o recibe, procesa, almacena y distribuye informacin para apoyar la toma de decisiones, coordinacin y control de una organizacin. Los sistemas de informacin tambin, pueden ayudar a los administradores y trabajadores a analizar problemas, visualizar sujetos completos y crear productos nuevos.

Datos vs Informacin

Informacin significa los datos que han sido modificados para que sean tiles y significativos para el ser humano

Datos son trazos o partes de hechos representando eventos en una organizacin o el ambiente fsico antes de ser organizados para que las personas puedan entenderlos

Tecnologas de la Informacin (TI) Es necesario establecer que la tecnologa de la informacin (TI) se entiende

como "aquellas herramientas y mtodos empleados para recabar, retener, manipular o distribuir informacin. La tecnologa de la informacin se encuentra generalmente asociada con las computadoras y las tecnologas afines aplicadas a la toma de decisiones (Bologna y Walsh, 1997: 1).

La tecnologa de la Informacin (TI) est cambiando la forma tradicional de hacer las cosas, las personas que trabajan en gobierno, en empresas privadas, que dirigen personal o que trabajan como profesional en cualquier campo utilizan la TI cotidianamente mediante el uso de Internet, las tarjetas de crdito, el pago electrnico de la nmina, entre otras funciones; es por eso que la funcin de la TI en los procesos de la empresa como manufactura y ventas se han expandido grandemente. La primera generacin de computadoras estaba destinada a guardar los registros y monitorear el desempeo operativo de la empresa, pero la informacin no era oportuna ya que el anlisis obtenido en un da determinado en realidad describa lo que haba pasado una semana antes. Los avances actuales hacen posible capturar y utilizar la informacin en el momento que se genera, es decir, tener procesos en lnea. Este hecho no slo ha cambiado la forma de hacer el trabajo y el lugar de trabajo sino que tambin ha tenido un gran impacto en la forma en la que las empresas compiten (Alter, 1999).

Utilizando eficientemente la tecnologa de la informacin se pueden obtener ventajas competitivas, pero es preciso encontrar procedimientos acertados para mantener tales ventajas como una constante, as como disponer de cursos y recursos alternativos de accin para adaptarlas a las necesidades del momento, pues las ventajas no siempre son permanentes. El sistema de informacin tiene que modificarse y actualizarse con regularidad si se desea percibir ventajas competitivas continuas. El uso creativo de la tecnologa de la informacin puede proporcionar a los administradores una nueva herramienta para diferenciar sus recursos humanos, productos y/o servicios respecto de sus competidores (Alter, 1999). Este tipo de preeminencia competitiva puede traer consigo otro grupo de estrategias, como es el caso de un sistema flexible y las normas justo a tiempo, que permiten producir una variedad ms amplia de productos a un precio ms bajo y en menor tiempo que la competencia.

Las tecnologas de la informacin representan una herramienta cada vez ms importante en los negocios, sin embargo el implementar un sistema de informacin de una empresa no garantiza que sta obtenga resultados de manera inmediata o a largo plazo.

En la implementacin de un sistema de informacin intervienen muchos factores siendo uno de los principales el factor humano. Es previsible que ante una situacin de cambio el personal se muestre renuente a adoptar los nuevos procedimientos o que los desarrolle plenamente y de acuerdo a los lineamientos que se establecieron. De todo lo anterior es necesario hacer una planeacin estratgica tomando en cuenta las

necesidades presentes y futuras de la empresa. As como una investigacin preliminar y estudio de factibilidad del proyecto que deseamos.

Se conoce como tecnologa de informacin (TI) a la utilizacin de tecnologa

especficamente computadoras y ordenadores electrnicos - para el manejo y procesamiento de informacin

especficamente la captura, transformacin, almacenamiento, proteccin, y recuperacin de datos e informacin.

( TEXTO OPCIONAL DE LECTURA ) ERP

Una empresa cuenta con diferentes recursos: humanos, tecnolgicos, materiales, financieros e informacin. A medida que las empresas crecen, el proceso de control de dichos recursos se hace complicado. Ante esta circunstancia, la tecnologa de la informacin ofrece como solucin la implementacin de los ERP (Enterprise Resource Planning o Planeacin de Recursos de la Empresa). Un ERP es un sistema de informacin integral que incorpora los procesos operativos y de negocio. El propsito fundamental de un ERP es otorgar apoyo a los clientes del negocio, tiempos rpidos de respuesta a sus problemas as como un eficiente manejo de informacin que permita la toma oportuna de decisiones y disminucin de los costos totales de operacin.

Hay tres caractersticas que distinguen a un ERP y eso es que son sistemas integrales, modulares y adaptables:

Integrales, porque permiten controlar los diferentes procesos de la compaa entendiendo que todos los departamentos de una empresa se relacionan entre s, es decir, que el resultado de un proceso es punto de inicio del siguiente. Por ejemplo, en una compaa, el que un cliente haga un pedido representa que se cree una orden de venta que desencadena el proceso de produccin, de control de inventarios, de planeacin de distribucin del producto, cobranza, y por supuesto sus respectivos movimientos contables. Si la empresa no usa un ERP, necesitar tener varios programas que controlen todos los procesos mencionados, con la desventaja de que al no estar integrados, la informacin se duplica, crece el margen de contaminacin en la informacin (sobre todo por errores de captura) y se crea un escenario favorable para malversaciones. Con un ERP, el operador simplemente captura el pedido y el sistema se encarga de todo lo dems, por lo que la informacin no se manipula y se encuentra protegida.

Modulares. Los ERP entienden que una empresa es un conjunto de departamentos que se encuentran interrelacionados por la informacin que comparten y que se genera a partir de sus procesos. Una ventaja de los ERP, tanto econmica como tcnicamente es que la funcionalidad se encuentra dividida en mdulos, los cuales pueden instalarse de acuerdo con los requerimientos del cliente. Ejemplo: Ventas, Materiales, Finanzas, Control de Almacn, etc.

Adaptables. Los ERP estn creados para adaptarse a la idiosincrasia de cada empresa. Esto se logra por medio de la configuracin o parametrizacin de los procesos de acuerdo con las salidas que se necesiten de cada uno. Por ejemplo, para controlar inventarios, es posible que una empresa necesite manejar la particin de lotes pero otra empresa no.

Los fabricantes de ERP deben enfrentar dos desafos: adaptar tcnicamente su producto para poder ejecutarse en cualquier plataforma[1] existente en el mercado y garantizar que el ERP se adecuar funcionalmente a los procesos del negocio, cualquiera que sea el giro de la empresa. Esto ltimo se logra ya sea mediante la configuracin de los mdulos estndar (ventas, inventarios, tesorera), la implementacin de add-ons o mdulos especializados (medios masivos, transporte, servicios pblicos, aeronutica) o bien, por medio de desarrollos en el lenguaje propietario del ERP.

Normas Tcnicas Ecuatorianas (NTE) para Tecnologas de la Informacin (TI) aprobadas por el Subcomit de Normas de TI del Instituto Ecuatoriano de Normalizacin - INEN(1).

LISTA DE NORMAS APROBADAS Y VIGENTES

No.

CODIGO TITULO AO PROCESO TI

1 NTE INEN ISO/IEC 27000

Tecnologas de la Informacin - Tcnicas de seguridad - Sistema de gestin de seguridad de la informacin

Descripcin general y vocabulario 2011

SEGURIDAD


Tecnologas de la Informacin. Tcnicas de Seguridad. Sistemas de Gestin de la Seguridad de la Informacin. Requisitos 2010

3 NTE INEN ISO/IEC 27002 Tecnologas de la Informacin. Tcnica de Seguridad. Cdigo de Prctica para la Gestin de la Seguridad de la Informacin 2009


Tecnologa de la Informacin - Tcnicas de seguridad

Gestin del riesgo en la seguridad de la Informacion 2011


Tecnologia de la Informacin

Tecnicas de Seguridad

Gestin de la Seguridad de la Informacin - Medicin 2011


Tecnologas de la Informacin

Tcnicas de seguridad - Gestin del riesgo en la seguridad de la Informacion 2011


Tecnologas de la Informacin - Tcnicas de Seguridad

Requisitos para Organizaciones que Proveen Auditora y Certificacin de Sistemas de Gestin de la Seguridad de la Informacin

2011


Informtica para la Salud. Gestin de la Seguridad de la Informacin para la Salud utilizando la NTE INEN-ISO/IEC 27002 2011

9 NTE INEN ISO/IEC 27033-1


Tcnicas de seguridad

Seguridad de redes. Parte 1. Visin General y Conceptos. 2012

10

NTE INEN-ISO/IEC 20000-1:2009 Gestin del servicio: Especificaciones 2009

SOPORTE 11

NTE INEN-ISO/IEC

20000-2:2009 Gestin del servicio: Cdigo de buenas prcticas 2009

12

NTE INEN-ISO/IEC 26300:2009

Formato de documento abierto para aplicaciones de oficina ODF (Open Document Format) versin 1.0 2009

INTEROPERABILIDAD

13

NTE INEN ISO 19005-1

Gestin de Documentos. Formato de fichero de documento electrnico para la conservacin a largo plazo. Parte 1. Uso del PDF 1.4 (PDF/A-). 2011

14

NTE INEN ISO/IEC 29363


Interoperabilidad de Servicios Web

Perfil de Enlace Simple SOAP WS-I. versin 1.0. 2011

15

NTE INEN ISO/IEC 23026

Ingeniera de software

Prctica recomendada para el Internet

Ingeniera, administracin y ciclo de vida de sitios Web 2011

DESARROLLO DE SOFTWARE

16

NTE INEN ISO/IEC TR 29138-1

Tecnologas de la informacin - Consideraciones de accesibilidad para personas con discapacidades. Parte 1: Resumen de necesidades del usuario. 2012

17

NTE INEN ISO/IEC TR 29138-2

Tecnologas de la informacin - Consideraciones de accesibilidad para personas con discapacidad. Parte 2 Inventario de las Normas. 2012

18

NTE INEN ISO/IEC 14888-1

Tecnologa de la Informacin


Firmas digitales con anexo

parte 1 - Generalidades 2011

CERTIFICACION / FIRMADO ELECTRONICA

19

NTE INEN ISO/IEC 18033-1

Tecnologas de la informacin


Algoritmos de encriptacin

Parte 1: Generalidades 2012

20

NTE INEN ISO/IEC TR 14516

Tecnologas de la Informacin - Tcnicas de Seguridad - Directrices para el uso y gestin de servicios confiables de terceras partes 2012

21

NTE INEN ISO/IEC 15489-1 Informacin y documentacin. Gestin de documentos. Parte 1: Generalidades 2012

GESTION DOCUMENTAL

22

NTE INEN ISO/IEC 15489-2 Informacin y Documentacin. Gestin de documentos. Parte 2. Directrices. 2012

23

NTE INEN 2410:2010 (2)

Informacin y Documentacin: Elaboracin de oficios, oficios circulares, memorandos, memorandos circulares y circulares. 2010

(1) El INEN por medio del Subcomit Tcnico de Tecnologas de la Informacin (TI) homologa y aprueba regularmente normas de la Organizacin para Estndares Internacionales (ISO, sigls en Ingls) en materia de TI como Normas Tcnicas Ecuatorianas (NTE) para TI. El Subcomit es presidido desde el 2009 por un representante de la Subsecretara de TI de la Secretara Nacional de la Administracin Pblica (SNAP). Las NTE INEN son publicadas en el Registro Oficial. (2) La norma fue aprobada a solicitud de la Subsecretara de TI de la Secretara Nacional de la Administracin Pblica (SNAP) a fin de estandarizar el formato de oficios, memos y circulares en el Sistema de Gestin Documental del Gobierno, denominado Quipux.

This document was created with Win2PDF available at http://www.daneprairie.com.The unregistered version of Win2PDF is for evaluation or non-commercial use only.

Auditoría informática CAP II

Documents

Transcript of Auditoría informática CAP II