AUDITORIA TECNOLOGIA INFORMATICA

FERNANDO RADA BARONA

Auditoria TI

El ambiente informático en la empresa

Auditoria TI

Motivada por lo especializado de lasactividades de cómputo, así como por el avance quehan tenido los sistemas en los últimos años, hasurgido una nueva necesidad de evaluación para losauditores, quienes requieren una especializacióncada vez más profunda en sistemas TI para dedicarsea este tipo de auditorías.

Por ello nació la necesidad de evaluar no sólolos sistemas, sino también la información, suscomponentes y todo lo que está relacionado condichos sistemas.

Auditoria TI: Definición

Es la revisión técnica, especializada yexhaustiva que se realiza a los sistemas TI, softwaree información utilizados en una empresa, seanindividuales, compartidos y/o de redes, así como asus instalaciones, telecomunicaciones, mobiliario,equipos periféricos y demás componentes.

Dicha revisión se realiza de igual manera a lagestión informática, el aprovechamiento de susrecursos, las medidas de seguridad y los bienes deconsumo necesarios para el funcionamiento delcentro de cómputo.

Auditoria TI: Definición

El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado:

Tiene Daños Salvaguarda activos Permite el uso no autorizado Mantiene Integridad de Información, precisa,

completa, oportuna, y confiable Alcanza metas organizacionales Contribución de la función informática Consume recursos, utiliza recursos adecuadamente Es eficiente en el procesamiento de información

Tipos especializados de Auditoria TI

1.- Auditoria de la computadora:Es la auditoría que se realiza con el

apoyo de los equipos de cómputo y susprogramas para evaluar cualquier tipo deactividades y operaciones, nonecesariamente computarizadas, pero sísusceptibles de ser automatizadas; dichaauditoría se realiza también a las actividadesdel propio centro de sistemas y a suscomponentes.

Tipos especializados de Auditoria TI

2.- Auditoria sin la computadoraEn este tipo de auditoría se busca evaluar a

los sistemas desde una óptica tradicional,contando con el apoyo de las técnicas yprocedimientos de evaluación acostumbrados ysin el uso de los sistemas TI, aunque éstos seanlos que se evalúen.Por lo general, esta auditoría se enfoca en losaspectos operativos, financieros, administrativos ydel personal de los centros de sistemas TI.

Tipos especializados de Auditoria TI

3.- Auditoria a la Gestión InformáticaEsta auditoría es, por lo general, de

carácter administrativo y operacional; con surealización se busca evaluar la actividadadministrativa de los centros de cómputo, contodo lo que conlleva esta gestión.

Se enfoca exclusivamente a la revisión delas funciones y actividades de tipo administrativoque se realizan dentro de un centro de cómputo,tales como la planeación, organización, direccióny control de dicho centro

Tipos especializados de Auditoria TI

4.- Auditoria al sistema de computo:Esta auditoría es más especializada y concreta, y está enfocada hacia la actividad y operación de sistemas TI, con mucho más de evaluación técnica y especializada de éstos y de todo lo relacionado con esta especialidad.

Tipos especializados de Auditoria TI

5.- Auditoria alrededor de la computadoraEn este tipo de auditoría se trata de

evaluar todo lo que involucra la actividad delos sistemas TI, procurando, de ser posible,dejar a un lado todos los aspectosespecializados, técnicos y específicos de lossistemas, a fin de evaluar únicamente lasactividades vinculadas que se llevan a caboalrededor de éstos.

Tipos especializados de Auditoria TI

6.- Auditoria de seguridad de los sistemas TIHablar de seguridad es un aspecto muyimportante en los sistemas TI, lo cual enalgunos casos puede estar relacionado conotras auditorías. Sin embargo, por loespecializado y profundo del tema, esindispensable que se evalúe por separado;

Tipos especializados de Auditoria TI

6.- Auditoria a los sistemas de redesEs reciente el crecimiento e importanciaque han cobrado las redes de cómputo,razón por la cual es necesario enfocar laauditoría hacia este campo específico; noobstante, en ciertos casos, estaevaluación podría estar contemplada enalgunos tipos de auditoría TI.

Tipos especializados de Auditoria TI

7.- Auditoria Integral a los sistemas de computo

Esta definición trata de agrupar a todoslos tipos de auditoría que se analizan enestas conceptualizaciones, buscandoconcentrar todas las evaluaciones bajo unamisma auditoría con un enfoque global delárea de sistemas, según su tipo y tamaño.

Tipos especializados de Auditoria TI

8.- Auditoria ergonómica de sistemas TI Uno de los aspectos menos analizados

en el área de sistemas es la afectación quecausan el mobiliario y los propios sistemasTI en los usuarios de computadoras; estosaspectos pueden llegar a influir en elbienestar, salud y rendimiento de losusuarios, razón por la cual se debenconsiderar mediante una auditoríaespecializada.

Objetivos de la Auditoria

I.- Realizar una revisión independiente delas actividades, áreas o funcionesespeciales de una institución, a fin deemitir un dictamen profesional sobre larazonabilidad de sus operaciones yresultados.

Objetivos de la Auditoria

II.- Realizar una revisión especializada,desde un punto de vista profesional yautónomo, del aspecto contable,financiero y operacional de las áreas deuna empresa.

Objetivos de la Auditoria

III.- Evaluar el cumplimiento de losplanes, programas, políticas, normas ylineamientos que regulan la actuación delos empleados y funcionarios de unainstitución, así como evaluar lasactividades que se desarrollan en susáreas y unidades administrativas.

Objetivos de la Auditoria

IV.- Dictaminar de manera profesional eindependiente sobre los resultadosobtenidos por una empresa y sus áreas,así como sobre el desarrollo de susfunciones y el cumplimiento de susobjetivos y operaciones.

¿Cuál debe ser el objetivo de la revisión de control al control interno de T.I.?

Verificar que la dependencia o entidadcuente con la estructura de control internoadecuada para la administración y usoracional de los recursos asignados atecnologías de información.

•Evaluando la eficiencia y efectividad de loscontroles internos aplicados a la adquisición yoperación de las TI.

•Evaluando la seguridad, integridad yoportunidad de la información generada por TI

¿Cómo alcanzar ese objetivo?

Convergencia tecnológica entre lastelecomunicaciones, los microprocesadores y lacomputación que permite el proceso,transmisión y almacenamiento de informaciónque puede ser datos, audio o video en formatodigital.

¿Qué significa el término Tecnología de Información?

Ejemplos de T.I. (electrónica, informática y telecomunicaciones):

• Internet/Intranet•Redes (por satélite o cable, telefonía fija omovil, servidores y grandes almacenadores deinformación)

•T.V. digital•Equipos multimedia de CD-ROM•Ordenadores (computadoras personales ylaptops)

•Telecomunicaciones fijas y móviles•Sistemas de información automatizados denóminas, presupuesto, contabilidad, etc.

¿De qué depende la realización de una revisión de control a Evaluación de Control Interno a la Tecnología de Información?

•Naturaleza, complejidad, infraestructurainformática y automatización de lasoperaciones de la Institución.

•Personal capacitado en el OIC.

¿Cuáles son los aspectos básicos sujetos de revisión en laEvaluación de Control Interno a la Tecnología deInformación?

Planeación estratégica y ámbito organizacional.Función de T.I. (administración y operación).Desarrollo y mantenimiento de sistemas.Sistemas operativos.Seguridad física, lógica y de datos.Adquisición de tecnología.Plan de contingencias.Software/hardware, internet/intranet, redes y telecomunicaciones.

¿Cuál es la parte sustantiva de este aspecto de revisión deT.I.?

Verificar que exista en la dependencia o entidad un Programa Institucional de Desarrollo Informático (PIDI) o Plan Estratégico de Tecnologías de Información.

Verificar que dicho Programa o Plan esté alineado a los fines de la APF en general y en particular a la consecución de los objetivos institucionales, así como a su misión y visión.

Planeación estratégica y ámbito organizacional

¿Cuál es la parte sustantiva de este aspecto de revisión deT.I.?

Evaluar los mecanismos de control para:

Las bibliotecas física y lógica de los medios magnéticos, software y datos.

La administración de la base de datos y sistema operativo.

La seguridad, integridad y confiabilidad de equipos, software e información.

Función de T.I. (Administración y operaciones)

¿Cuál es la parte sustantiva de este aspecto de revisión deT.I.?

Verificar que los sistemas en desarrollo estén respaldados y documentados en forma adecuada.

Verificar que existan mecanismos de control y mantenimiento para asegurar la protección de los sistemas y de la información que operan.

Desarrollo y mantenimiento de sistemas

¿Cuál es la parte sustantiva de este aspecto de revisión deT.I.?

Comprobar la integridad y confiabilidad de los programas y datos del sistema automatizado de información.

Verificar que el sistema contenga y aplique procedimientos y herramientas de control y validación.

Sistemas operativos

¿Cuál es la parte sustantiva de este aspecto de revisión deT.I.?

Verificar que existan políticas de seguridad que incluyan estándares y responsabilidad de la seguridad física y lógica (hardware, software y datos), así como verificar su vigilancia, comunicación y difusión en tiempo y forma.

Determinar que existan controles para identificar, autentificar, certificar y accesarinformación.

Seguridad física, lógica y de datos.

ENFOQUE METODOLÓGICO PARA ADELANTAR LA EVALUACIÓN

MisiónVisión

Estrategia

Factores Críticos de Éxito

ExpectativasFinancieras(Servicios)

Expectativasdel Cliente

(SLM)

ProcesosInternos

(Modelo ITIL -CMM)

Indicadores claves de desempeño

Aprendizajede la Organización

(Estrategia de Cliente)

¿Hacia dónde debe ir la infraestructura de TI?

¿Cómo se puede llegar a ese punto ?

¿Qué acciones realizar para alcanzar los objetivos estratégicos ?

¿Cómo establecer los beneficios y costos de invertir en TI?

Auditoria TI: Objetivos

El propósito fundamental es evaluar el usoadecuado de los sistemas para:- El correcto ingreso de los datos,- El procesamiento adecuado de la información y- La emisión oportuna de sus resultados en la

instituciónIncluye también la evaluación en el

cumplimiento de las funciones, actividades yoperaciones de funcionarios, empleados yusuarios involucrados con los servicios queproporcionan los sistemas TI a la empresa.

Auditoria TI: Objetivos

Buscar una mejor relación costo-beneficio delos sistemas automáticos o computarizadosdiseñados e implantados por el PADIncrementar la satisfacción de los usuarios delos sistemas computarizadosAsegurar una mayor integridad,confidencialidad y confiabilidad de lainformación mediante la recomendación deseguridades y controles.

Auditoria TI: Objetivos

Conocer la situación actual del áreainformática y las actividades y esfuerzosnecesarios para lograr los objetivospropuestos.Seguridad de personal, datos, hardware,software e instalacionesApoyo de función informática a las metas yobjetivos de la organizaciónSeguridad, utilidad, confianza, privacidad ydisponibilidad en el ambiente informático

Auditoria TI: Objetivos

Minimizar existencias de riesgos en eluso de Tecnología de informaciónDecisiones de inversión y gastosinnecesariosCapacitación y educación sobrecontroles en los Sistemas deInformación

Auditoria TI

Los elementos que componen un sistemaTI y por lo tanto son el objeto de estudiode una auditoria son los siguientes:

Esquema: Elementos del Sistema

a) HardwarePlataforma de hardwareTarjeta madreProcesadoresDispositivos periféricosArquitectura del sistemaInstalaciones eléctricas, de datos y de telecomunicacionesInnovaciones tecnológicas de hardware y periféricos

Esquema: Elementos del Sistema

b) SoftwarePlataforma del softwareSistema operativoLenguajes y programas de desarrolloProgramas, paqueterías de aplicación y bases de datosUtilerías, bibliotecas y aplicacionesSoftware de telecomunicaciónJuegos y otros tipos de software

Esquema: Elementos del Sistema

c) Gestión informáticaActividad administrativa del área de sistemasOperación del sistema de cómputoPlaneación y control de actividadesPresupuestos y gastos de los recursos informáticosGestión de la actividad informáticaCapacitación y desarrollo del personal informáticoAdministración de estándares de operación, programación y desarrollo

Esquema: Elementos del Sistema

d) InformaciónAdministración, seguridad y control de la informaciónSalvaguarda, protección y custodia de la informaciónCumplimiento de las características de la información

Esquema: Elementos del Sistema

e) Diseño de sistemasMetodologías de desarrollo de sistemasEstándares de programación y desarrolloDocumentación de sistemasBases de datos

Esquema: Elementos del Sistema

f) Bases de datosAdministración de bases de datosDiseño de bases de datosMetodologías para el diseño y programación de bases de datosSeguridad, salvaguarda y protección de las bases de datos

Esquema: Elementos del Sistema

g) SeguridadSeguridad del área de sistemasSeguridad físicaSeguridad lógicaSeguridad de las instalaciones eléctricas, de datos y detelecomunicacionesSeguridad de la información, redes y bases de datosAdministración y control de las bases de datosSeguridad del personal informático