Asignatura Auditoría y justificación administrativas
Datos del alumno
Fecha
Apellidos: Niño Cendales 21-11-2014 Nombre: Alex Orlando
Acc t i v i d a d e s A Práctica: Deiniciones Además de las lect!ras " visionados recomendados en las secciones previas se propon proponen en reali reali#ar$ #ar$ como activi actividad dad eval!ati eval!ativa$ va$ !n traba% traba%o$ o$ &!e pro!ndi pro!ndice ce en las dei deini nici cion ones es de a!di a!dito tor' r'aa ino inorm rmát átic ica$ a$ cont contro roll inte intern rnoo " (obi (obier erno no corp corpor orat ativ ivoo pro!ndi#ando en las relaciones entre estos conceptos e il!strando todo ello !n caso est!dio )icticio o real* +l traba%o tendrá !na extensi,n m'nima de pá(inas de las &!e al menos 2 deberán dedicarse al caso est!dio.
/ol!ci,n AUDITORIA DE ITE!A ITE!A a a!ditor'a en inormática es la revisi,n " la eval!aci,n de los controles$ sistemas$ procedimientos de inormática de los e&!ipos de c,mp!to$ s! !tili#aci,n$ eiciencia " se(!ridad$ de la or(ani#aci,n &!e participan en el procesamiento de la inormaci,n$ a in de &!e por medio del señalamiento de c!rsos alternativos se lo(re !na !tili#aci,n más eiciente " se(!ra de la inormaci,n &!e servirá para !na adec!ada toma de decisiones. a a!ditor'a en inormática deberá comprender no s,lo la eval!aci,n de los e&!ipos de c,mp!to$ de !n sistema o procedimiento espec'ico$ sino &!e además abrá de eval!ar los sistemas de inormaci,n en (eneral desde s!s entradas$ procedimientos$ controles$ arcivos$ se(!ridad " obtenci,n de inormaci,n. a a!ditor'a en inormática es de vital importancia para el b!en desempeño de los sistemas de inormaci,n$ "a &!e proporciona los controles necesarios para &!e los sistemas sean coniables " con !n b!en nivel de se(!ridad. Además debe eval!ar todo )inormática$ or(ani#aci,n de centros de inormaci,n$ ard3are " sot3are).
TE!A " # Actividades
Asignatura Auditoría y justificación administrativas
Datos del alumno
Fecha
Apellidos: Niño Cendales 21-11-2014 Nombre: Alex Orlando
$%A&EA'I(& DE %A AUDITOR)A E& I&FOR!*TI'A Para acer !na adec!ada planeaci,n de la a!ditor'a en inormática$ a" &!e se(!ir !na serie de pasos previos &!e permitirán dimensionar el tamaño " caracter'sticas de área dentro del or(anismo a a!ditar$ s!s sistemas$ or(ani#aci,n " e&!ipo. +n el caso de la a!ditor'a en inormática$ la planeaci,n es !ndamental$ p!es abrá &!e acerla desde el p!nto de vista de los dos ob%etivos: •
+val!aci,n de los sistemas " procedimientos.
•
+val!aci,n de los e&!ipos de c,mp!to.
Para acer !na planeaci,n eica#$ lo primero &!e se re&!iere es obtener inormaci,n (eneral sobre la or(ani#aci,n " sobre la !nci,n de inormática a eval!ar. Para ello es preciso acer !na investi(aci,n preliminar " al(!nas entrevistas previas$ con base en esto planear el pro(rama de traba%o$ el c!al deberá incl!ir tiempo$ costo$ personal necesario " doc!mentos a!xiliares a solicitar o orm!lar d!rante el desarrollo de la misma. $ERO&A% $ARTI'I$A&TE na de las partes más importantes dentro de la planeaci,n de la a!ditor'a en inormática es el personal &!e deberá participar " s!s caracter'sticas. no de los es&!emas (eneralmente aceptados para tener !n adec!ado control es &!e el personal &!e interven(an est5 debidamente capacitado$ con alto sentido de moralidad$ al c!al se le exi%a la optimi#aci,n de rec!rsos )eiciencia* " se le retrib!"a o compense %!stamente por s! traba%o. Con estas bases se debe considerar las caracter'sticas de conocimientos$ práctica proesional " capacitaci,n &!e debe tener el personal &!e intervendrá en la a!ditor'a. +n primer l!(ar se debe pensar &!e a" personal asi(nado por la or(ani#aci,n$ con el s!iciente nivel para poder coordinar el desarrollo de la a!ditor'a$ proporcionar toda la inormaci,n &!e se solicite " pro(ramar las re!niones " entrevistas re&!eridas.
TE!A " # Actividades
Asignatura Auditoría y justificación administrativas
Datos del alumno
Fecha
Apellidos: Niño Cendales 21-11-2014 Nombre: Alex Orlando
6ste es !n p!nto m!" importante "a &!e$ de no tener el apo"o de la alta direcci,n$ ni contar con !n (r!po m!ltidisciplinario en el c!al est5n presentes !na o varias personas del área a a!ditar$ ser'a casi imposible obtener inormaci,n en el momento " con las caracter'sticas deseadas. E+A%UA'I(& DE% DEARRO%%O DE% ITE!A +n esta etapa del sistema se deberán a!ditar los pro(ramas$ s! diseño$ el len(!a%e !tili#ado$ interconexi,n entre los pro(ramas " caracter'sticas del ard3are empleado )total o parcial* para el desarrollo del sistema. Al eval!ar !n sistema de inormaci,n se tendrá presente &!e todo sistema debe proporcionar inormaci,n para planear$ or(ani#ar " controlar de manera eica# " oport!na$ para red!cir la d!plicidad de datos " de reportes " obtener !na ma"or se(!ridad en la orma más econ,mica posible. De ese modo contará con los me%ores elementos para !na adec!ada toma de decisiones. Al tener !n proceso distrib!ido$ es preciso considerar la se(!ridad del movimiento de la inormaci,n entre nodos. +l proceso de planeaci,n de sistemas debe deinir la red ,ptima de com!nicaciones$ los tipos de mensa%es re&!eridos$ el tráico esperado en las l'neas de com!nicaci,n " otros actores &!e aectan el diseño. +s importante considerar las variables &!e aectan a !n sistema: !bicaci,n en los niveles de la or(ani#aci,n$ el tamaño " los rec!rsos &!e !tili#a. 'O&TRO% DE $RO,E'TO Debido a las caracter'sticas propias del análisis " la pro(ramaci,n$ es m!" rec!ente &!e la implantaci,n de los sistemas se retrase " se lle(!e a s!ceder &!e !na persona lleva traba%ando varios años dentro de !n sistema o bien &!e se presenten irre(!laridades en las &!e los pro(ramadores se ponen a reali#ar actividades a%enas a la direcci,n de inormática. Para poder controlar el avance de los sistemas$ "a &!e 5sta es !na actividad de di'cil eval!aci,n$ se recomienda &!e se !tilice la t5cnica de administraci,n por pro"ectos para s! adec!ado control. Para tener !na b!ena administraci,n por pro"ectos se re&!iere &!e el analista o el pro(ramador " s! %ee inmediato elaboren !n plan de traba%o en el c!al se especii&!en actividades$ metas$ personal participante " tiempos. +ste plan debe ser revisado
TE!A " # Actividades
Asignatura Auditoría y justificación administrativas
Datos del alumno
Fecha
Apellidos: Niño Cendales 21-11-2014 Nombre: Alex Orlando
peri,dicamente )semanal$ mens!al$ etc.* para eval!ar el avance respecto a lo pro(ramado. a estr!ct!ra estándar de la planeaci,n de pro"ectos deberá incl!ir la acilidad de asi(nar ecas predeinidas de terminaci,n de cada tarea. Dentro de estas ecas debe estar el calendario de re!niones de revisi,n$ las c!ales tendrán dierentes niveles de detalle. TI$O DE AUDITOR)A +xisten al(!nos tipos de a!ditor'a entre las &!e la A!ditor'a de /istemas inte(ra !n m!ndo paralelo pero dierente " pec!liar resaltando s! eno&!e a la !nci,n inormática. +s necesario recalcar como análisis de este c!adro &!e A!ditor'a de /istemas no es lo mismo &!e A!ditor'a 7inanciera. +ntre los principales eno&!es de A!ditor'a tenemos los si(!ientes: 7inanciera •
•
8eracidad de estados inancieros Preparaci,n de inormes de ac!erdo a principios contables
Operacional •
+icacia
•
+conom'a
/istemas •
/e preoc!pa de la !nci,n inormática
7iscal •
/e dedica a observar el c!mplimiento de las le"es iscales
Administrativa •
Anali#a: o(ros de los ob%etivos de la Administraci,n Desempeño de !nciones
administrativas Calidad •
+val9a: 5todos ediciones Controles de los bienes " servicios
TE!A " # Actividades
Asignatura Auditoría y justificación administrativas
Datos del alumno
Fecha
Apellidos: Niño Cendales 21-11-2014 Nombre: Alex Orlando
/ocial •
;evisa la contrib!ci,n a la sociedad as' como la participaci,n en actividades socialmente orientadas
E-E!$%O AUDITOR)A Metodología para la Auditoría Informática de la Seguridad de la Intranet de un Sistema.
Introducción Para entender la necesidad de la reali#aci,n de a!ditor'as inormáticas es necesario comprender el papel destacado " creciente de las tecnolo('as de inormaci,n en n!estra sociedad. Con esta ma"or importancia a ido incrementándose tambi5n la soisticaci,n de los sistemas &!e les dan apo"o. a comple%idad " dimensiones &!e an ad&!irido estos sistemas an eco &!e sea cr'tica la implantaci,n de normas " procedimientos para s! !tili#aci,n$ desarrollo$ implantaci,n " mantenimiento. El .lan auditor inform/tico +l plan a!ditor inormático es el doc!mento en &!e se deine esta !nci,n " el traba%o &!e reali#a dentro de la entidad en &!e se enc!adra. /! contenido debe estar orientado con la estrate(ia or(ani#ativa " con el resto de los planes a!ditores. +n !n plan a!ditor dierenciamos: <
7!nciones: bicaci,n de la a!ditor'a inormática dentro de la empresa$ s!s
!nciones$ estr!ct!ra del departamento " rec!rsos &!e a(l!tina. < Procedimientos: anera en &!e se reali#arán las distintas tareas de las a!ditor'as. < =ipos de a!ditor'as &!e se reali#an. < /istema de eval!aci,n " los aspectos &!e eval9a. < ista de distrib!ci,n de inormes.
TE!A " # Actividades
Asignatura Auditoría y justificación administrativas
< <
Datos del alumno
Fecha
Apellidos: Niño Cendales 21-11-2014 Nombre: Alex Orlando
/e(!imiento de las acciones correctoras. Planes de traba%o " s! periodicidad.
+l plan a!ditor inormático se concreta en la práctica$ entre otros aspectos$ en !na metodolo('a de traba%o &!e determina los itos desde el inicio de la a!ditor'a inormática$ "a sea por a!ditor interno o externo$ asta la entre(a del inorme inal " la manera de alcan#arlos. !etodología a a!ditor'a inormática debe respaldarse en !n proceso ormal &!e ase(!re s! previo entendimiento por cada !no de los responsables de llevar a la práctica dico proceso en la empresa. Al i(!al &!e otras !nciones en el ne(ocio$ la a!ditor'a inormática eect9a s!s tareas " actividades mediante !na metodolo('a. No es recomendable omentar la dependencia en el desempeño de esta importante !nci,n s,lo con base en la experiencia$ abilidades$ criterios " conocimientos sin !na reerencia metodol,(ica. Contar con !n m5todo (aranti#a &!e las c!alidades de cada a!ditor sean orientadas a traba%ar en e&!ipo para la obtenci,n de res!ltados de alta calidad " de ac!erdo a estándares predeterminados. a !nci,n de a!ditor'a inormática a de contar tambi5n con !n desarrollo de actividades basado en !n m5todo de traba%o ormal$ &!e sea entendido por los a!ditores " complementado con t5cnicas " erramientas propias de la !nci,n. +l ob%etivo es brindar a los responsables de dicas áreas !n camino estr!ct!rado por el &!e obten(an los res!ltados esperados por la empresa$ si(!iendo !n plan. +l !so de !n proceso de traba%o metodol,(ico " estándar en la !nci,n de a!ditor'a inormática (enera las si(!ientes venta%as: os rec!rsos orientan s!s es!er#os a la obtenci,n de prod!ctos " servicios de calidad$ con caracter'sticas " re&!isitos com!nes para todos los responsables.
TE!A " # Actividades
Asignatura Auditoría y justificación administrativas
Datos del alumno
Fecha
Apellidos: Niño Cendales 21-11-2014 Nombre: Alex Orlando
as tareas " prod!ctos terminados de los pro"ectos se enc!entran deinidos " ormali#ados en !n doc!mento al alcance de los a!ditores inormáticos. -
/e acilita en alto (rado la administraci,n " se(!imiento de los pro"ectos$ p!es
la metodolo('a obli(a a la planiicaci,n detallada de cada pro"ecto ba%o criterios estándares. 7acilita la s!peraci,n proesional " !mana de los individ!os$ "a &!e orienta los es!er#os acia la especiali#aci,n$ responsabilidad$ estr!ct!raci,n " dep!raci,n de las !nciones del a!ditor. -
+l proceso de capacitaci,n o act!ali#aci,n en el !so de !n proceso metodol,(ico
es más á(il " eiciente$ dado &!e se traba%a sobre tareas " pa!tas perectamente deinidas. Para obtener toda la inormaci,n posible sobre el dia(n,stico del ne(ocio " de inormática$ el a!ditor se apo"ara sobre c!estionarios detallados. Debemos anali#ar las áreas si(!ientes: eguridad física0 Al examinar la se(!ridad 'sica el a!ditor deberá estar preoc!pado por la locali#aci,n 'sica del sistema " desde d,nde se p!ede acceder al mismo. Para la ma"or'a de los sistemas$ tiene sentido instalar el servidor de datos " servidor 3eb en !na abitaci,n con aire acondicionado &!e no ten(a ventanas " sea de di'cil acceso )preeriblemente con acceso controlado por al(9n lector de tar%etas de se(!ridad o sistema de claves de se(!ridad*. Para sistemas más cr'ticos$ p!ede ser tambi5n importante limitar los poseedores de esas tar%etas " cambiar el c,di(o de acceso a la abitaci,n de los servidores de manera re(!lar.
TE!A " # Actividades
Asignatura Auditoría y justificación administrativas
Datos del alumno
Fecha
Apellidos: Niño Cendales 21-11-2014 Nombre: Alex Orlando
+n !nci,n del nivel de se(!ridad re&!erido$ p!de ser necesario comprobar &!e los (!ardias de se(!ridad están ormados para la deensa contra intr!sos. $rocedimientos1 roles y res.onsa2ilidades0 +s !ndamental ase(!rar &!e las pol'ticas p!estas en práctica en la >ntranet para ase(!rar la a!ditor'a " tra#abilidad se !san de manera eectiva. Al(!nos sistemas re&!erirán$ por motivos le(ales ! operacionales$ !n re(istro de transacciones ma"or &!e otros$ pero todos deberán re(istrar los intentos de acceso a la red allidos " s! procedencia )>P ! otro identiicador*. ?+xisten procedimientos implantados para ase(!rar &!e los @a!dit. lo(s o re(istros de a!ditor'a de la actividad del sistema se revisen en b!sca de indicios de actividades maliciosasB ?!i5n los lleva a caboB ?Con &!5 rec!enciaB ?/on eectivosB ?+xisten normas &!e eviten &!e las contraseñas de acceso p!edan ser desc!biertas ácilmenteB Por e%emplo$ ?es obli(atorio &!e las claves de acceso ten(an oco caracteres &!e combinen letras " n9merosB ?7!er#a el sistema a cambiar las claves de acceso re(!larmenteB +s importante &!e el a!ditor contraste &!e los procedimientos no s,lo están escritos en !n doc!mento " olvidados$ sino &!e existe !n conocimiento aceptable por parte de los responsables de s! e%ec!ci,n. Identificación1 autenticación y acceso0 n a!ditor debe vi(ilar no s,lo las r!tas 'sicas al sistema )ard3are*$ sino tambi5n las l,(icas$ esto es$ desde &!5 redes se p!ede acceder al sistema " de &!5 manera. ?+xiste !na red privada virt!al &!e permita el acceso al área local )AN* desde !era del ediicio 'sicoB ?/e permite el acceso al sistema desde sitios 3ebB ?P!ede el personal acceder a la >ntranet desde s!s o(aresB
TE!A " # Actividades
Asignatura Auditoría y justificación administrativas
Datos del alumno
Fecha
Apellidos: Niño Cendales 21-11-2014 Nombre: Alex Orlando
Para cada p!nto de acceso l,(ico el a!ditor debe comprobar &!e existen medios eectivos de identiicar " a!tenticar los (r!pos de !s!arios a los &!e se permite acceder desde el mismo. Dependiendo del nivel de se(!ridad re&!erido esto p!ede implicar simplemente !sar !s!arios " claves de acceso$ emisi,n de pass3ords de !n solo !so$ !so de claves de encriptaci,n // almacenadas en s!s PCc o !sar claves /+= residentes en !na tar%eta le'da por !n lector especial. Re3uerimientos de la ar3uitectura t4cnica0 +l a!ditor debe (aranti#ar &!e la ar&!itect!ra t5cnica p!ede soportar el nivel de se(!ridad re&!erido. a ar&!itect!ra t5cnica de !na intranet se diseña para permitir el acceso s,lo a !s!arios internos a sistemas " datos internos. Con este escenario$ !n ire3all o servidor prox" p!ede acilitar la p!erta de acceso a trav5s de la c!al los empleados p!edan acceder a >nternet$ pero nadie p!eda acceder al sistema interno desde >nternet. +l ire3all se p!ede !tili#ar tambi5n para restrin(ir los tipos de contenidos a los &!e p!eden acceder en >nternet los !s!arios internos. os empleados con conexiones m,viles (eneralmente !sarán !na red privada virt!al para el acceso. +s importante &!e el a!ditor compr!ebe todas las r!tas de acceso " salida de la intranet$ para ase(!rar &!e s,lo p!edan acceder !s!arios a!tori#ados. Debe comprobarse &!e no existan p!ertas alsas o @bac doors a la intranet desde la extranet )si existe* a trav5s de las c!ales !n acer p!eda acceder a los sistemas internos. na de las bac doors más com!nes en este escenario es no aber desabilitado 7=P en el servidor 3eb de la extranet. Presentaci,n del inorme inal: a !nci,n de la a!ditor'a se materiali#a excl!sivamente por escrito. Por lo tanto la elaboraci,n del inorme inal es el exponente de s! calidad. ;es!lta evidente la necesidad de redactar borradores e inormes parciales previos al inorme inal$ los &!e
TE!A " # Actividades
Asignatura Auditoría y justificación administrativas
Datos del alumno
Fecha
Apellidos: Niño Cendales 21-11-2014 Nombre: Alex Orlando
son elementos de contraste entre opini,n entre a!ditor " a!ditado " &!e p!eden desc!brir allos de apreciaci,n en el a!ditor. Estructura del informe final +l inorme comien#a con la eca de comien#o de la a!ditor'a " la eca de redacci,n del mismo. /e incl!"en los nombres del e&!ipo a!ditor " los nombres de todas las personas entrevistadas$ con indicaci,n de la %eat!ra$ responsabilidad " p!esto de traba%o &!e ostente. /e incorporarán los inormes parciales &!e a"an sido entre(ados. A contin!aci,n se especiicará el ámbito " ob%etivos de la a!ditor'a. /e relacionarán !na por !na las áreas anali#adas: s! sit!aci,n$ s!s debilidades$ las amena#as &!e implican " s!s oport!nidades. 7inalmente se relacionan las recomendaciones$ s! plan de implantaci,n$ se(!imiento " control. +l inorme tiene especial importancia por&!e en 5l a de res!mirse la a!ditor'a reali#ada. /e destina excl!sivamente al responsable máximo de la empresa$ o a la persona concreta &!e encar(o o contrato la a!ditor'a. As' como p!eden existir tantas copias del inorme inal como solicite el cliente$ la a!ditor'a no ará copias del citado inorme.
TE!A " # Actividades