BIENVENIDOS - - -      --    

domingo, 29 de mayo de 2011

UNIDAD Nº 4 ESTANDARES DE DOCUMENTACION DE AUDITORIA



 

Metodología para realizar auditorías de sistemas computacionales
Se pueden desarrollar una serie de actividades y técnicas que nos pueden ayudar a realizar la auditoria de información:


Inventario físico.
                                         
 Es el proceso de identificación y categorización de los recursos de información de una forma sistemática. De esta forma, se proporciona una fotografía de lo que la organización posee en términos de recursos de información en un momento determinado.
 Masificación de la información (Infomap). Constituye una forma gráfica de representar los recursos de información que hay en la organización y las interrelaciones entre éstos. El mapa de recursos indica hasta qué punto los recursos de información son básicos, de qué modo se encuentran posicionados (geográficamente, departamentalmente, desde un punto de vista técnico), cómo interactúan, quién los utiliza, quién es el responsable, etc.

Análisis de las necesidades de información.

 Tiene como finalidad principal determinar qué información requieren los empleados y la dirección de la organización para desarrollar sus papeles y alcanzar los objetivos.
Gráficos de procesos y flujos de trabajo. Los gráficos de procesos junto con los flujos de trabajo pueden constituir una buena herramienta de trabajo en el ámbito de las auditorias de la información.

Procesos de control y verificación.

En una auditoria de la información, se deben establecer también los procesos de control y verificación. El resultado de estos procesos puede consistir en un informe o, incluso, un certificado que confirme que todo es correcto o que incluya recomendaciones de mejora. Hay que tener presente que el mapa de recursos de información, o mapa documental, puede constituir uno de los principales resultados del proceso de la auditoria de información. En el caso del mapa documental, éste detalla qué documentos se encuentran dentro de la organización, a qué tipo de funciones se encuentran vinculados y dan respuesta, quién tiene la responsabilidad y el acceso a esos documentos, en qué soporte están disponibles, dónde y cómo se encuentran accesibles y qué relación o nivel de integración tienen con el resto de los sistemas de información de la organización. También se establece la localización de todos los documentos dentro de los estándares y los procedimientos de la organización, así como su valor para el conocimiento corporativo



Papeles de trabajo para la auditoría de sistemas computaciones
A lo largo de todo el trabajo de auditoría, el auditor debe guardar las pruebas evidentes de lo realizado, no solo como recordatorio fundado de su actuación con las necesarias matizaciones para emitir el informe, sino como medio de demostrar, en cualquier momento, la amplitud y la evidencia de los hechos, y poder expresar los procedimientos de auditoría utilizados, así como la interpretación dada en cada caso a los hechos, con las conclusiones obtenidas.
Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadas por terceros ajenos al auditor o equipo de auditores. No deberán destruirse antes de que haya transcurrido el tiempo que establecen las obligaciones derivadas de las leyes y de las necesidades de la práctica profesional. Su destrucción o pérdida, así como la difusión no autorizada, acarrearía responsabilidad para el auditor.
 Estructura de contenidos. Cuando hablamos de papeles de trabajo, nos estamos refiriendo al conjunto de documentos preparados por un auditor, que le permite disponer de una información y de pruebas efectuadas durante su actuación profesional en la empresa, así como las decisiones tomadas para formar su opinión.
 Su misión es ayudar en la planificación y la ejecución de la auditoría, ayudar en la supervisión y revisión de la misma y suministrar evidencia del trabajo llevado a cabo para respaldar la opinión del auditor.
 Han de ser detallados y completos los papales de trabajo y deben estar diseñados para presentar la información requerida de forma clara y plena de significado. Estos deben elaborarse en el momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar su custodia sin peligro y su confidencialidad.
En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes:
- Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo.
- Presentar informes a las partes interesadas.
 - Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente.
 - Facilitar la continuidad del trabajo en el caso de que un área deba ser terminada por persona distinta de la que la inició.
 - Facilitar la labor de revisiones posteriores y servir para la información y evaluación personal.

Tipos de papeles de trabajo.

En función de la fuente de la que procedan los papeles de trabajo, éstos se podrán clasificar en tres grupos:
a) Preparados por la entidad auditada. Se trata de toda aquella documentación que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos.
b) Confirmaciones de terceros. Una parte del trabajo de auditoría consiste en la verificación de los saldos que aparecen en el balance de situación a auditar.
c) Preparados por el auditor. Este último grupo estará formado por toda la documentación elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes capítulos de los estados financieros, cuentas, transacciones,… Sistemas de archivo. Un complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo. En él deben figurar recopilados todos los documentos utilizados en la actuación profesional, así como cuantas informaciones se consideren de interés, tanto para el presente como para el futuro.

 Se pueden distinguir dos tipos de archivos: expediente de ejercicio y permanente.
El contenido de este archivo se refiere a documentos y papeles de trabajo cuya vigencia se limita al período de realización de la auditoría.
 a) Archivo general Agrupa toda información referente a la organización de la auditoría, al mismo tiempo recogerá la documentación en la que se han ido reflejando los principales problemas que se han planteado en la ejecución de la auditoría y las conclusiones a las que a ha ido llegando el auditor. De esta forma, podríamos destacar como apartados importantes de la sección general del expediente del ejercicio:
 - Estados financieros a auditar
- Proceso de planificación y programas de auditoría
- Informe sobre el sistema de control interno contable
- Indicación de quién realizó los procedimientos de auditoría y cuándo fueron realizados
- Constancia de que el trabajo realizado por colaboradores ha sido supervisado y revisado
- Puntos de informe
-Correspondencia con el cliente y resumen de las conversaciones mantenidas
- Hechos posteriores
- Terminación de la auditoría

b) Archivo por áreas de trabajo

Informes de auditoria
Objetivos

Destacar la importancia que tiene el saber presentar profesionalmente los informes de auditoría computacionales. El auditor tiene que ser muy cuidadoso al plasmar en libro, documento o escrito porque  es como dar un sello personal. Procedimientos para elaborar el informe. En el informe de auditoría, también llamado dictamen, se reportan las situaciones encontradas durante la evaluación, pero se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados. Los procedimientos para elaborar dicho informe se compone de los siguientes pasos.

 1. Aplicar instrumentos de recopilación
2. Registrar el formato de situaciones encontrada.
3. Comentar las situaciones encontrada con los auditados.
4. Analizar, depurar y corregir las desviaciones encontradas.
5. Presentar informe y dictamen final a los directivos de la empresa.
6. Comentar las situaciones encontrada con los auditados.

 Una vez identificada las siguientes situaciones encontrada, es responsabilidad del encargado de la auditoria comentar cada una de esas desviaciones con el personal responsable de la operación o sistema de información o función auditada. Además, comentarlo con los auditados esto permite preparar las posibles soluciones para esas desviaciones.
 Encontrar causas de las desviaciones con los auditados. También se recomienda encontrar de manera más fidedigna y confiable las causas que generan cada una de las desviaciones, a fin de reportarla en el informe lo más apegado posible a la realidad. Es necesario tener pendiente que al conocer las desviaciones que se le imputan, el auditado tratara de defenderse, señalando las causas que generaron cada una de las desviaciones encontradas, así directamente al escuchar la voz del auditado el auditor puede comprobar o ratificar las causas que había planteado. No obstante, como es natural, en las reuniones muchos de los auditados trataran de evadir o justificar su responsabilidad en las desviaciones e incluso, en algunos casos extremos, pueden hasta negar la existencia o conocimiento de la situación que se le imputa.

 Elaboración del informe final y el dictamen del auditor: En ese informe el auditor solo debe incluir lo más relevante de la evaluación, incluyendo su opinión. En este informe es que denota la importancia de su actividad al señalar en qué situación estaba la empresa o departamento antes de la evaluación por los auditores. El informe es algo práctico y corto, cabe aclarar que la razón de plasmar este informe en tan poco espacio es que los directivos de una empresa, por lo general, tienen poco conocimiento del el lenguaje que se maneja en los sistema computacionales.

 Características fundamentales: Se pueden identificar dos características fundamentales en los informes de auditoría en los sistemas computacionales los cuales siempre se refieren al contenido del informe y la forma de presentarlo. Dichas características son la siguiente:

Características de fondo: Se refiere al cuidado que debe tener el auditor de sistema al revisar que el contenido total del dictamen de auditoría sea acorde con lo que realmente tiene que señalar acerca de la revisión afectada, refiriéndose exclusivamente al contenido del informe. Para esto tiene que tener en cuenta diversos aspectos los como que el documento sea veraz, confiable, oportuno, objetivo, claro, completo y que el lector de dicho dictamen o resumen sea pueda entender con facilidad dicho informe.

Características de forma: Estas características se refieren a la manera en que el auditor debe presentar el informe en cuanto al estilo de redacción, el contenido en partes, apartados, apéndices, tipo y tamaño de las hojas y el tipo de letra; también en lo relativo en la forma de utilizar la redacción, ortografía, sintaxis, gramática y demás componentes del lenguaje y todo lo relacionado con la presentación del documento.

 Características de la presentación del informe. Otras de las características más importantes de un informe de auditoría de sistemas computacionales son los atributos que deben tener la redacción y la presentación del informe; para lograr mejores resultados en la elaboración del citado informe, el auditor debe tomar en cuenta las características que proponemos a continuación: Claridad, efectividad, Confiabilidad, positividad, Propiedad, sintaxis, Concisión, Sencillez, Asertividad, Exactitud, Familiaridad y Veracidad.

Técnicas de evaluación aplicables en una auditoria de sistemas computacionales
En la auditoria de sistemas computacionales se utilizan una serie de herramientas tradicionales de auditoría, así como técnicas de valoración que permite hacer una evaluación más eficiente de los sistemas computacionales. Como profesional especializado en la rama, el auditor de sistemas computacionales utilizas estas técnicas pues le ayudan a examinar y evaluar correctamente los diferentes aspectos del ambiente de sistemas en el que realiza su trabajo. Estas técnicas, métodos, procedimientos o herramientas son:

 Examen: Consiste en analizar y poner a prueba la calidad y el cumplimiento de las funciones, actividades y operaciones que se realizan cotidianamente en una empresa, es utilizado para evaluar los registros, planes, presupuestos, programas, controles y todo lo demás aspectos que afectan la administración y control de una empresa o de las áreas que la integran. En la auditoria de sistemas computacionales podemos entender el examen como: El análisis, prueba o demostración al que se somete algún fenómeno o hecho relacionado con la gestión administrativa de un centro de cómputo, de sus componentes o de la operación del sistema procesados de información, con el propósito de evaluar el cumplimiento de sus funciones, actividades y operaciones, así como el cumplimiento del procesamiento de datos y la emisión de información que se requiere en la empresa o en las áreas que la integren.

Inspección: La inspección en sistemas computacionales es Sinónimo de supervisión, ya que trata de examinar la forma en que se desarrollan las actividades de un área de sistemas computacionales, a fin de evaluar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones; también tiene como propósito monitorear el desarrollo cotidiano de las funciones, actividades y operaciones normales de las empresa, para evaluar y si es necesario, corregir su desarrollo beneficio. Esta herramienta es aplicada de acuerdo con las características específicas de cada centro de cómputo o de cada sistema computacional, un ejemplo de los posibles aspectos del ambiente de sistemas computacionales donde puede ser aplicada es: La inspección de los sistemas de seguridad y protección de las instalaciones, equipo, personal y de los propios sistemas de procesamiento, con el propósito de dictaminar sobre su eficiencia y confiabilidad.

 Confirmación: Es uno de los aspectos fundamentales para la credibilidad de una auditoria es la confirmación de los hechos y la certificación de los datos obtenidos durante la revisión; ya que el resultado final de una auditoria es la emisión de un dictamen en el que el auditor vierte sus opiniones, la característica fundamental de una auditoria, cualquiera que sea su tipo, es la autenticidad con la que el auditor emite sus opiniones, sean a favor o en contra. En los sistemas computacionales su fin es confirmar la oportunidad, veracidad de los gastos de nomina del personal de la empresa , comparando los resultados de una quincena con los cálculos manuales de esa misma quincena, validar las desviaciones encontradas en los procesamientos, revisar las licencias de software instalados en los sistemas computacionales y confirmar la confiabilidad de las protecciones , contraseñas y demás medidas de seguridad establecidas para el acceso a la información y a los sistemas de la empresa.

Comparación: Esta debe ser aplicada de acuerdo a las necesidades y características específicas del área de sistemas o del propio sistemas que va a ser auditado. Con la comparación de información se pueden encontrar las similitudes y diferencias entre ambas áreas o empresa, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas. En la auditoria de sistemas computacionales, la comparación de los datos en el sistemas computacionales que va a ser elevado con los datos de algún sistemas similar o igual para avalar y comprobar que los procesamientos sean similares o iguales y que los resultados sean confiables, verídicos, oportunos y que satisfagan las necesidades de procesamiento del área de cómputo de la empresa.

Revisión documental: Es la forma más importante de evaluar a las empresas; además no solo sirve para aplicaciones en una auditoria tradicional, sino también como un importante apoyo en los diferentes tipo de auditoría de sistemas computacionales; claro esta adoptándola a las características especificas de evaluación de los sistemas computacionales. La revisión documental avala los registros de operaciones y actividades de una empresa, principalmente en aquellos casos donde la evaluación está enfocada a los aspectos financieros, registros de los activos y a cualquier otro aspecto contable y administrativo de la empresa. Esta técnica se aplica verificando el registro correcto de datos en documentos formales de la empresa, con mucha frecuencia la emisión de sus resultados financieros. En los sistemas computacionales es utilizada para evaluar el desarrollo de las operaciones y funcionamiento del sistema, revisar el uso y registro adecuado de los documentos del software, verificar la existencia y actualización de registros formales para la administración y control de operación del sistema.

 Acta testimonial: Es un documento de carácter formal, que por su representatividad, importancia y posibles alcances de carácter legal y jurídico es uno de los documentos vitales. La importancia de este radica en que con su uso se pueden evidenciar pruebas fehacientes, circunstanciales, probatorias para comprobar desviaciones en el área auditada y es utilizada para testimoniar los robos, desapariciones o cualquier aspecto relacionado con la desaparición de algún bien de la empresa, para fincar responsabilidades por deficiencia en las actividades de la empresa; aunque puede ser levantada en cualquier otra incidencia de las actividades cotidiana de una empresa.

Matriz de evaluación: Es uno de los documentos de recopilación más versátiles y de mayor utilidad para el auditor de sistemas computacionales, debido a que a través de esta es posible recopilar una gran cantidad de información relacionada con las actividades realizadas en esta área de informática, esta herramienta consiste en una matriz de seis columnas de las cuales la primera corresponde a la descripción, y las otras cinco a un criterio de evaluación descendente o ascendente (Exc., Bueno, Suf., Reg., Deficiente).

Matriz dofa: es un acrónimo de Debilidades, Oportunidades, Fortalezas y amenazas de la empresa, las cuales son analizadas cada una por separado en cuanto a su presencia interna y a la influencia que la empresa recibe del exterior. El fundamento para la aplicación de la matriz DOFA en una auditoria de sistemas computacionales, es que mediante la misma se pueden estudiar las influencias que afectan el comportamiento del área de sistemas computacionales de una empresa, tanto las quien recibe de su ambiente interior como exterior, ya sean de la propia empresa o de sus proveedores, desarrolladores o del entrono donde este establecida.


Técnicas especiales de auditoría de sistemas computacionales
Diagramas del círculo de evaluación. Herramienta de apoyo para la evaluación de los sistemas computacionales. Para valorar visualmente: El comportamiento de los sistemas que están siendo auditados. Su cumplimiento Sus limitaciones. Durante las diferentes etapas: Estudio Preliminar, Análisis del Sistema, Diseño Conceptual, Diseño Detallado, Programación, Pruebas, Implantación. Diagramas del círculo de evaluación. ¿Que Podemos Evaluar Con Esta Herramienta? Seguridad en el área de sistemas computacionales. Evaluación administrativa del área de sistemas.

Evaluación de los sistemas computacionales Seguridad en el área de sistemas computacionales: Acceso físico al área de sistemas. Acceso, uso, mantenimiento y resguardo de las bases de datos. Del personal informático. De las instalaciones del área de sistemas. Plan de contingencias. Seguridad lógica del sistema.

Evaluación administrativa del área de sistemas De la misión, visión, objetivos, estrategias, planes, programas, estructura de la organización, perfil de puestos.

Evaluación de la documentación de sistemas, de la seguridad y la protección de los archivos informáticos, instalaciones.

 Evaluación de la capacitación, adiestramiento y promoción del personal.

 Evaluación del desarrollo de proyectos informáticos, estandarización de metodologías, programas, equipos, sistemas, mobiliario. Lista de verificación (o lista de chequeo).Instrumento que contiene criterios o indicadores a partir de los cuales se miden y evalúan las características del objeto, comprobando si cumple con los atributos establecidos. La lista de verificación se utiliza básicamente en la práctica de la investigación que forma parte del proceso de evaluación.

Análisis de la diagramación de sistemas. Análisis de la diagramación de sistemas. Unas de las principales herramientas para el análisis y diseño de los sistemas computacionales. El analista puede representar: Los flujos de información., actividades, operaciones, procesos y otros aspectos que intervienen en el desarrollo de los propios sistemas El programador puede visualizar el panorama específico del sistema, para elaborar de manera más precisa la codificación de instrucciones para el programa. Análisis de la diagramación de sistemas. El auditor puede utilizar esta herramienta para el diseño de sistemas de diferentes formas en una auditoria de sistemas, de acuerdo con su experiencia, conocimientos y habilidades, mismas que debe canalizar en los siguientes sentidos: Solicitar los diagramas del sistema. Analizar el diagrama del sistema. Elaborar un diagrama del sistema. Verificar la documentación de los sistemas a través de sus diagramas.

Propuesta de puntos que se deben evaluar en una auditoría de sistemas computacionales
En el desarrollo de sistemas se debe emplear la misma metodología que utilizan los
diseñadores de sistemas o el equipo de trabajo asignado. Mientras que el objetivo
primario del auditor es evaluar la suficiencia de los controles internos, el objetivo
del diseñador de sistemas es satisfacer las necesidades de los usuarios; ambos deberían
compartir el deseo de ver que se logran los objetivos de cada uno.


Participación del auditor

Aún cuando el auditor esté interesado en todos los aspectos del nuevo sistema, debe
velar porque se establezcan todos los controles de aplicación. Su principal función
es asegurar que los sistemas, recientemente implantados incluyan características
de control sólidas y confiables. En términos generales es ayudar a prevenir que
se implanten sistemas de aplicación que tengan riesgos importantes.
El auditor participa en el proceso de desarrollo de sistemas revisando la documentación
generada como producto final de ciertas actividades de desarrollo de sistemas.
En estas actividades su interés se concentrará primordialmente en el desarrollo
e implantación de controles de aplicación adecuados. El auditor necesita reconocer que su participación durante el desarrollo de los sistemas puede amenazar su independencia y deberá tomar medidas para evitar esta pérdida. Estas medidas incluyen:
* Permanecer organizacionalmente independiente del grupo de sistema. Esto significa
que el auditor no es un miembro en propiedad del grupo de desarrollo de sistema
y no le quita la dirección del proyecto al gerente del grupo del proyecto.
* Redactar los informes independientemente del grupo del proyecto. Las opiniones
del auditor, sus recomendaciones y sus evaluaciones no deberían incluirse en los
informes de status del proyecto puesto que el emisor de los informes (usualmente
el gerente del grupo del proyecto) tiene autoridad editorial para modificar las
declaraciones del auditor.
 * Investigar independientemente del grupo del proyecto. El grupo del proyecto puede
estar restringido a ciertos contactos y cierta autoridad, pero el auditor tiene
libre acceso a la información y al personal de la organización.

Programa de trabajo

1.        Establecer el planeamiento preliminar del trabajo de auditoría: En este primer
paso se obtiene un conocimiento inicial de las actividades del sistema y evaluarlas
en relación con los objetivos de auditoría, a fin de determinar el alcance preliminar.
2.       Participación del Auditor en el Desarrollo de Sistemas: Determinar el grado de participación del auditor en cada fase del ciclo de vida del sistema, una vez
que ha sido identificado. Los auditores de sistema necesitan participar en el proceso
de desarrollo de los sistemas para garantizar que los nuevos sistemas de información
diseñen las medidas adecuadas de auditoría y de control. Los dos tipos de autorización donde se involucra el auditor son: El auditor debe tener un grado de participación mediante un acuerdo y revisión de las fases.
3.        Acuerdo: Es el acuerdo formal con el contenido del producto tangible. En caso de
desacuerdo, la persona responsable de evaluar el producto tangible prepara un memorando indicando su posición y los items que requieren solución y lo envía o remite al siguiente nivel superior gerencial.
4.       Revisión: Los productos tangibles son presentados para información solamente; pueden hacerse comentarios pero ellos no son decisivos.
5.         Revisión de Productos Finales: Acordar y revisar las actividades y el producto
final de cada fase del ciclo de vida del desarrollo del sistema. El auditor debe
revisar que las firmas de aprobación para todos los productos tangibles están plasmadas en el control de aceptación de etapas. Así mismo el auditor debe preparar los papeles de trabajo con el propósito de evidenciar y documentar los resultados de la investigación del proyecto y que sirvan como material de referencia para esfuerzos futuros.
6.       Identificar las fuentes de información para las revisiones y/o pruebas de auditoría:
Este paso incluye la identificación de las fuentes de información que se requieren
en los procesos de prueba y revisión. Las fuentes de información proveen los medios
para la revisión y documentación de las actividades de auditoría y verificación
de controles.


UNEDAD Nº3 PROCESO DE AUDITORIA

PROCESO DE AUDITORIA


En este punto se describen la regulación de las mejores prácticas de Auditoría en Informática como administrar los riesgos en tecnología Informática, la auditoría en base a los organismos nacionales e internacionales.

Institute of System Audit and Association, ISACA     


La Information Systems Audit and Control Association –Asociación de Auditoría y Control de Sistemas de Información– ISACA, comenzó en 1967. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association –Asociación de Auditores de Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI.
«Actualmente, los miembros de ISACA –más de 28.000 en todo el mundo– se caracterizan por su diversidad ya que están presentes en más de 100 países y cubren una variedad de puestos profesionales relacionados con TI, como son los Auditores de SI, Consultores, Educadores, Profesionales de Seguridad de SI, Reguladores, Directores Ejecutivos de Información y Auditores Internos, por mencionar sólo algunos.
»En las tres décadas transcurridas desde su creación, ISACA se ha convertido en una organización global que establece las pautas para los profesionales de gobernación, control, seguridad y auditoría de información.
»Su certificación Certified Information Systems Auditor –Auditor Certificado de Sistemas de Información– CISA, es reconocida en forma global y ha sido obtenida por más de 30.000 profesionales. Su nueva certificación Certified Information Security Manager –Gerente Certificado de Seguridad de Información– CISM, se concentra exclusivamente en el sector de gerencia de seguridad de la información. Publica un periódico técnico líder en el campo de control de la información, el Information Systems Control Journal –Periódico de Control de Sistemas de Información.»  Organiza una serie de conferencias internacionales que se concentran en tópicos técnicos y administrativos pertinentes a las profesiones de gobernación de TI y aseguración, control, seguridad de SI. Juntos,ISACA y su IT Governance Institute –Instituto de Gobernación de TI– asociado lideran la comunidad de control de tecnología de la información y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en cambio permanente
Las empresas públicas y privadas están valorando cada día más la creciente importancia que representa mantener sistemas informáticos seguros, confiables y confidenciales, que eviten o prevengan la ocurrencia de errores u operaciones ilegales a partir de debilidades en los sistemas de control.


Certified Information Security Auditor, CISA


La Asociación de Auditoría y Control de Sistemas de Información (ISACA) provee una Certificación en Auditor en Sistemas de Información (CISA), por medio de un examen anual que realiza el Instituto a los candidatos, el cual cubre el conocimiento de actividades requeridas para la función de Auditoría en TI, para lo cual presenta un Manual de Información Técnica para la preparación de los candidatos.
La certificación de CISA (Certified Information Systems Auditor) es otorgada por la (ISACA), desde 1978 y es considerada en la actualidad como un reconocimiento de que se cuenta con los conocimientos teóricos y prácticos necesarios para desempeñarse como Auditor de Sistemas siguiendo los estándares y directrices definidos para una mejor preparación.
La designación de CISA, se considera hoy en día, una ventaja competitiva y resulta de beneficio no solo para las organizaciones que deben cumplir con requerimientos de certificación profesional de sus colaboradores, sino para las personas que buscan un desarrollo profesional y la obtención de certificaciones que ofrecen oportunidades a nivel internacional.

Certified Information Security Manager, CISM

También ISACA provee la Certificación para la Administración de la Seguridad de la Información del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organización.
La certificación CISM está diseñada para dar la certeza de que los individuos certificados tengan los conocimientos para ofrecer una eficaz administración y consultoría de seguridad.
Está orientada a profesionales que administran la seguridad de la información en una organización y tienen el conocimiento y la experiencia para montar, implementar y dirigir una estructura de seguridad para administrar el riesgo con eficacia y tienen la responsabilidad de entender la relación entre las necesidades comerciales y la seguridad de TI.
Para obtener esta certificación, los profesionales deben aprobar el examen, adherirse a un código ético y presentar pruebas verificadas de que tienen una experiencia laboral de cinco años en seguridad de la información.
Según la ISACA, menciona los principales objetivos de esta certificación como a continuación se mencionan:
·  Desarrollar modelos de riesgos que midan mejor los riesgos de seguridad y los potenciales impactos sobre el negocio.
·  Aumentar la calidad de la gestión ejecutiva de las nuevas amenazas y las ya existentes, a través de la convergencia entre la organización y las medidas de seguridad
·  Impulsar la unificación del enlace entre la seguridad de las organizaciones y los organismos gubernamentales y legislativos, informándoles de las mejores prácticas en seguridad.
·  Continuar definiendo la cualificación, certificación y formación de los Directores de Seguridad -Chief Security Officer (CSO)/Chief Information Security Officer (CISO)- y otros puestos.

Instituto Mexicano de Auditores Internos, IMAI


El Instituto Mexicano de Auditores Internos, A.C. (IMAI) fue constituido en 1984, está dedicado a la capacitación e investigación en de Auditoría Interna y Control.
A través del IMAI los profesionales de la auditoría interna permanecen actualizados para cumplir con las responsabilidades que tienen a su cargo en diferentes sectores de la industria, el comercio y los servicios, tanto en el sector público como privado y social.
De acuerdo al IMAI su misión es “promover el mejoramiento constante de la Práctica Profesional de la Auditoría Interna, para fortalecer el prestigio de esta profesión y de quienes la practican”.
El objetivo principal del Instituto es “la superación profesional de sus miembros”, mediante lo siguiente:
El mejoramiento de la práctica Profesional de la Auditoría Interna.
Desarrollar y mantener la unión y cooperación efectiva entre los profesionales de la Auditoría Interna.
Promover la difusión de las normas de actuación profesional a través de las cuales los auditores internos puedan medir y regular su propio desempeño y las organizaciones puedan esperar servicios de calidad.
Establecer y mantener el prestigio de la Auditoría Interna a través de la investigación y la divulgación de conocimientos técnicos de enfoques conceptuales relativos al ejercicio profesional de esta disciplina y materias afines.
Establecer y mantener vínculos con otros organismos profesionales o docentes y entidades públicas o privadas, para identificación y desarrollo de aspectos que permitan elevar la calidad de la práctica de la Auditoría Interna y el Control en general, dentro de las organizaciones.

Institute of Internal Auditors, IIA

UNIDAD Nº 2 METODOS DE AUDITORIA

Papel Del Auditor Informático.

Si se entiende que la auditoria informática comprende las tareas de evaluar, analizar los procesos informáticos, el papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas. Además que el auditor Informático debe estar capacitado en los siguientes aspectos:
Deberá ver cuándo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones más idóneas, según los problemas detectados en el sistema informático, siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos.
Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos, aconsejables y óptimos para su adecuación con la finalidad de que cumpla para lo que fue diseñado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos.
 El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases científicas insuficientemente probadas o de imprevisible futuro.
El auditor al igual que otros profesionales (Ej. Médicos, abogados, educadores, etc.) pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía, dado la dificultad práctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos técnicos existente entre al auditor y los auditados (Puede pesar gravemente).
El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarse realizar hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes.
Cuando durante la ejecución de la auditoria, el auditor considere conveniente recabar informe de otros más calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo en idóneas condiciones deberá remitir el mismo a un especialista en la materia o recabar su dictamen para reforzar la calidad y viabilidad global de la auditoria. El auditor debe actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada sobre nuevas tecnologías a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado. El auditor tanto en sus relaciones con el auditado como con terceras personas deberá en todo momento, deberá actuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en el trato personal. (Que en todo momento, como cuando estamos en el bar, cafetería, o fiesta por que los auditores tienen la responsabilidad). El auditor deberá facilitar e incrementar la confianza de auditado en base a una actuación de transparencia, en su actividad profesional sin alardes científico- técnico, que, por su incomprensión, pueden restar credibilidad a los resultados obtenidos y a las directrices aconsejadas.

Tipos de Auditoria Informática.


Auditoria Informática De Explotación: La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una información buena).
Auditoria Informática De Desarrollo De Proyectos O Aplicaciones: La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:
ü  Prerrequisitos del usuario y del entorno
ü   Análisis funcional
ü  Diseño
ü  Análisis orgánico (pre programación y programación)
ü  Pruebas
ü  Explotación
Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la máquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medio por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada).
Auditoria Informática De Sistemas: Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema (Ej. De auditar el cableado estructurado, ancho de banda de una red LAN).
Auditoria Informática De Comunicación Y Redes: Este tipo de auditoría deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización (Debemos conocer los tipos de mapas actuales y anteriores, como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).
Auditoria De La Seguridad Informática: Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.

Campos de Acción de la Auditoria Informática.





Su campo de acción será:
a)            Evaluación administrativa del área de informática.
1.     Los objetivos del área
2.     Metas, planes, políticas y procedimientos de procesos electrónicos estándar.
3.     Organización del área y su estructura orgánica.
4.     Funciones, niveles de autoridad y responsabilidad del área de sistemas.
5.     Integración de los recursos materiales y técnicos
6.     Costos y controles presupuestales
7.     Controles administrativos del área
b) Evaluación de los sistemas, procedimientos, y de la eficiencia que se tiene en el uso de la información.
1.     Análisis de los sistemas y sus diferentes etapas.
2.     Evaluación del diseño lógico del sistema.
3.     Evaluación del desarrollo físico del sistema
4.     Control de proyectos
5.     Control de sistemas y programación
6.     Instructivos y documentación
7.     Formas de implantación
8.     Seguridad lógica y física de los sistemas y sus datos.
9.     Confidencialidad de los sistemas
10.   Controles de mantenimiento y forma de respaldo de los sistemas.
11.   Utilización de los sistemas.
c) Evaluación del proceso de datos y de los equipos de procesamiento.
1.     Controles de los datos fuentes y manejo de cifras de control
2.     Control de operación
3.     Control de salida
4.     Control de asignación de trabajos
5.     Control de asignación de medios de almacenamiento masivos
6.     Control de otros elementos de cómputo
7.     Orden en el Centro de Procesamiento.
8.     Seguridad física y lógica.
9.     Respaldos.

Planeación de la Auditoria Informática.



La definición de los objetivos perseguidos en la auditoria informática debe preceder a la elección de los medios y de las acciones, si se pretende evitar el predominio de estos últimos.
Para lograr un buena planeación es conveniente primero obtener información general sobre la organización y sobre la función informática a evaluar. Para ello es preciso una investigación preliminar y algunas entrevistas previas, para establecer un programa de trabajo en el que se incluirá el tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la AI.

Investigación Preliminar

 

Se debe recopilar información para obtener una visión general del área a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.
La planeación de la auditoría debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito.
Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las áreas de la organización.
Para poder analizar y dimensionar la estructura por auditar se debe solicitar:
1- A nivel Organización Total:
a)      Objetivos a corto y largo plazo
b)      Manual de la Organización
c)       Antecedentes o historia del Organismo
d)      Políticas generales
2- A nivel Área informática:
a)      Objetivos a corto y largo plazo

sábado, 28 de mayo de 2011

UNIDAD Nº1 ELEMENTOS DE LA AUDITORIA DE SISTEMAS


ELEMENTOS DE LA AUDITORIA DE SISTEMAS

Delitos Informáticos

Concepto:
El delito informático implica actividades criminales que en un primer momento los países han tratado de encuadrar en figurar típicas de carácter tradicional, tales como robos o hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etcétera. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha propiciado a su vez la necesidad de regulación por parte del derecho.
Las personas que cometen los "Delitos Informáticos" son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos. Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona que "ingresa" en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes.
Características de los Delitos Informáticos:
1.       Son conductas criminales de cuello blanco, en tanto que un determinado número de personas con ciertos conocimientos (técnicos especializados) puede llegar a cometerlos.
2.      Son acciones ocupacionales, ya que muchas veces se llevan a cabo cuando el sujeto está trabajando.

3.      Son acciones de oportunidad, ya que se aprovecha una acción creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico.
4.      Provocan serias pérdidas económicas, ya que casi siempre producen “beneficios” de más de cinco cifras a aquellos que las realizan.