Business">
1.0 Conceptos para Auditoria de Si
1.0 Conceptos para Auditoria de Si
1.0 Conceptos para Auditoria de Si
DE SISTEMA DE
INFORMACION
TESINA/ARTI
CULO
70%
DEFINICION DE AUDITORIA
Auditoría
Auditoría es:
1. Es el proceso que comprende las tareas a evaluar y analizar
ciertos procesos, dependiendo el área al que se aplique, donde
el auditor debe estar encaminado a la búsqueda de problemas
existentes y a la vez buscar soluciones para estos problemas.
Existen auditorías de diferentes tipos que son aplicadas a las empresas, regularmente cada una de ellas se
hacen por áreas. Por ejemplo, existen auditorías fiscales, contables, financieras, sociables, de calidad, de
operaciones, entre otras más.
SISTEMA DE INFORMACION
La segunda definición a mencionar es la de un Sistema de
Información, conocido por sus siglas como SI.
Dentro de un SI se da una interacción entre las personas, los datos, software, hardware; y si no
se cuenta con ellos, bases de datos físicas que funcionan como registros, además de otros
medios de comunicación y tecnología, acompañados de normas y reglamentos de la
empresa.
OBJETIVOS DE UN SISTEMA DE INFORMACION
• Auditoría operacional: este tipo de auditoría se desempeña por un profesional cualificado para ello y tiene como objetivo valorar la empresa y
su gestión para aumentar la eficacia y la eficiencia, hacia una mejora importante en la productividad. No tiene porqué desarrollarse por alguien interno
de la empresa, sino que la propia Dirección podrá contratar a un profesional especializado en ello. El auditor analizará el sistema y propondrá ideas con
mejoras útiles.
• Auditoría de sistemas o especiales: en este grupo encontramos otro tipo de auditorías dirigidas a evaluar otro tipo de factores no económicos,
como es el caso de la auditoría de software, entre otros muchos.
• Auditoría informática: Casi todas las empresas dependen de sistemas informáticos. Por ello, es preciso realizar cada cierto tiempo una evaluación
de los mismos y, si el caso lo exige, actualizarlos y adaptarlos a los requerimientos del contexto. Los dos principales tipos de auditoría informática son las que
se realizan en sistemas informáticos (SIC) y las de procesos electrónicos de datos (PED).
• Auditoría pública gubernamental: se desarrolla por el Tribunal de Cuentas gracias a las competencias adquiridas por la Ley Orgánica de
1984.
• Auditoría integral: esta auditoría evalúa por completo toda la información financiera, estructura de la organización, los sistemas de control
interno, cumplimiento de leyes y objetivos empresariales para dar una visión global y certera del cumplimiento de la empresa.
• Auditoría forense: se realizan en las investigaciones criminales con el objetivo de esclarecer los hechos ocurridos.
• Auditoría fiscal: esta auditoría se realiza con el objetivo de velar por el cumplimiento de las leyes tributarias, para que las empresas y
organizaciones paguen sus impuestos de forma correcta.
• Auditoría financiera: también denominada auditoría contable. Se encarga de examinar y revisar los estados financieros y la preparación de
informes de acuerdo a normas contables establecidas.
• Auditoría de recursos humanos: se utiliza para hacer una revisión de la plantilla, las necesidades que posee la empresa y la gestión del
talento.
• Auditoría ambiental: se analizan todas las actividades de la empresa para controlar e intentar reducir al máximo el impacto que poseen el
medioambiente.
EJEMPLO No. 1. AUDITORIA DE REDES
La auditoría de redes es el conjunto de medidas que se toman con el fin de realizar un análisis
completo de la situación general y los datos de una determinada red o de un conjunto de redes. El
objetivo de este estudio es determinar que la red en cuestión cumple con todos los requisitos de
seguridad y está protegida mediante las nuevas amenazas así como ante posibles ataques o
problemas propios de un sector concreto. Una auditoría de red, por tanto, nos da información
relevante sobre la situación de los datos y el cumplimiento de políticas, regulaciones y medidas de
seguridad recomendadas.
COMO SE REALIZA UNA AUDITORIA DE
REDES
Una auditoría de las redes de una empresa se realiza siguiendo una sería de pasos. No
obstante, primero hay que analizar sobre que tipo de red se va a realizar el estudio. Los
distintos perfiles de auditorías de redes son los siguientes:
• Física o digital. La auditoría de red puede realizarse a la parte física de la red, es decir,
al hardware y demás elementos físicos que componen dicha red. También puede
dedicarse a la parte lógica de la misma. En ambos casos, el objetivo es comprobar que
se cumplen las condiciones exigidas de rendimiento y seguridad.
• Interna o externa. La auditoría de redes de manera interna es aquella que revisa los
protocolos utilizados así como los elementos de configuración. Por su parte, la externa
sería aquella centrada en analizar elementos de acceso como firewalls, routers, o
configuraciones IDS/IPS.
• Inalámbrica o mediante cableado. Según el método de conexión que utilicen los
distintos equipos que conforman la red. Las redes inalámbricas deben comprobar que
se realiza un correcto aprovechamiento de las herramientas de cifrado, necesarias
para proteger la información durante la transmisión de datos.
EJEMPLO No. 2 AUDITORIA DE SOFTWARE
La Auditoría de Software es un proceso que estudia y analiza los
sistemas operativos de la empresa para mejorarlos y actualizarlos.
Tiene como objetivo conocer cómo se adquiere y utiliza el soporte
lógico de un Sistema Informático (SI) para localizar posibles errores
y, al mismo tiempo, mejorar los activos de software.
La Auditoria de Software se centra en un estudio Conocer cuál es el estado del sistema operativo de la empresa
sobre el programa de administración de software que es esencial para el buen funcionamiento de la misma. Para ello,
utiliza una organización. Su objetivo es conocer a través de la auditoría de software se pueden evaluar los
cómo se adquiere, distribuye y utiliza el soporte programas informáticos utilizados durante el desarrollo de la
lógico de un sistema informático para detectar actividad laboral; revisar el inventario de software; comprobar la
posibles incidencias y, a su vez, optimizar los
seguridad e integridad de las bases de datos; controlar
activos de software. La realización de auditorías de
las herramientas y programas informáticos puede
periódicamente los ficheros generados; revisar la obtención de
llevarse a cabo tanto de forma interna, como medida copias de seguridad o incorporar las diversas actualizaciones
preventiva de la organización, o externa, para evitar informáticas.
el uso fraudulento de la licencia de un software. Los procedimientos de evaluación, verificación y solución
del sistema informático proporcionan a la empresa un mejor
rendimiento tanto de las inversiones ya realizadas como de las
futuras, posicionándose por delante de otras empresas
competidoras.
EJEMPLO No. 3 AUDITORIA DE SEGURIDAD
Una auditoría de seguridad informática se podría definir como la evaluación del nivel de
madurez en seguridad de una organización, donde se analizan las políticas y procedimientos de
seguridad definidos por la misma y se revisa su grado de cumplimiento. También, las medidas
técnicas y organizativas implantadas para garantizar la seguridad. Desde UNIR analizamos más
en profundidad en qué consiste una auditoría de seguridad informática y sus tipologías.
–Internas: son realizadas por personal propio de la organización con o sin apoyo de
personal externo.
Objetivo de la auditoría:Se describe la razón por la cual se puso en marcha este proceso y, si es el caso, se mencionan los objetivos de
segundo o tercer orden.
• Alcance:
Se especifican los departamentos, áreas, secciones o delegaciones en las que se llevó a cabo la auditoría y se describe brevemente el
grado de intervención que se realizó en cada uno de ellos.
• Criterios de la auditoría:
En función de los objetivos, se procede a nombrar los criterios que se tuvieron en cuenta para auditar la empresa y los indicadores
empleados.
• Equipo auditor:
Se nombran a los miembros del equipo de trabajo que ha realizado la auditoría, en cabeza, claro está, del auditor jefe. Cuanto mejor
queden especificadas las funciones de cada uno, mayor claridad tendrá el proceso.
En este caso se habla de la duración del proceso, fecha de inicio y de finalización, así como del lugar en que se efectuó.
• Hallazgos:
Constituye sin duda la parte más importante del documento. Con un lenguaje claro, conciso y directo, sus autores mencionan lo que
descubrieron durante el proceso de auditoría. En este sentido, la norma ISO 19011 recomienda seguir el esquema del Orden de Sistema
de Gestión, el cual habla de describir los requisitos cumplidos y aquellos que, por diversas razones, hayan quedado pendientes.
• Conclusiones:
Por último, el equipo auditor redactará una serie de conclusiones sobre el proceso en términos claros y específicos. Esta información es
la que servirá para implementar soluciones que mejoren la situación interna de la empresa.
AREAS DE APLICACION
AREAS DE APLICACION
AREAS DE APLICACION
AREAS DE APLICACION
AREAS DE APLICACION
PALABRAS CLAVES EN UNA AUDITORIA IMPACTO
RIESGO
CONTROL
REVISION
AMENAZA
VULNERABILIDAD
TALLER No.2 – Fecha 21-1-2022/sustentación
28/1/2022
• Como equipo contratante, se desea que usted analice este escenario y emita sus opiniones de cuales fueron las posibles
fallas seguridad u otroas que se identifica y que fueron las causantes del incidente
• Que medidas prevención deben ser considerados a implementar
• Que impactos o riesgos se presentaron en el caso
• Cuales serias sus recomendaciones para que estos nos vuelva a ocurrir.