Auditoria
Enviado por luis • 5 de Noviembre de 2013 • 1.213 Palabras (5 Páginas) • 174 Visitas
¿Qué es una Auditoria de Sistema?
La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; los equipos de cómputo, su utilización, eficiencia y seguridad, la organización que participan en el procesamiento de la información a fin de que por medio del señalamiento de vías alternativas se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
Importancia de una Auditoria
La auditoría desempeña un papel crucial para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.
Tipos de Auditoria
1. Auditoría de seguridad interna: En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno.
2. Auditoría de seguridad perimetral: En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores.
3. Test de intrusión: Es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada.
4. Análisis forense: Es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.
5. Auditoría de páginas web: Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código SQL, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
6. Auditoría de código de aplicaciones: Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado
Objetivos generales de una Auditoría de Sistemas
• Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD.
• Incrementar la satisfacción de los usuarios de los sistemas computarizados.
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
• Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
• Seguridad de personal, datos, hardware, software e instalaciones.
• Apoyo de función informática a las metas y objetivos de la organización.
• Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.
• Minimizar existencias de riesgos en el uso de Tecnología de información.
• Decisiones de inversión y gastos innecesarios.
• Capacitación y educación sobre controles en los Sistemas de Información
• Justificativos para efectuar una Auditoría de Sistemas.
• Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos).
• Desconocimiento en el nivel directivo de la situación informática de la empresa
• Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
• Descubrimiento de fraudes efectuados con el computador.
• Falta de una planificación informática.
• Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano
• Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.
• Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción.
Elementos de una Auditoria
Los elementos que deben constituir una auditoría de información son:
• Identificación de los recursos y los flujos de información.
• Valoración del uso efectivo que se hace de las tecnologías de la información disponibles.
• Control y racionalización de costes.
• Marketing de la unidad y de sus productos informativos.
• Diseño de las tareas de las personas que trabajan con información dentro de la unidad.
Factores y metodología.
1. Planes y Objetivos: Examinar y discutir con la dirección el estado actual de los planes y objetivos.
2. Organización: Estudiar la estructura de la organización en el área que se valora.
Comparar la estructura presente con la que aparece en la gráfica de organización de la empresa, (si es que la hay).
Asegurarse de si se concede o no una plena estimación a los principios de una buena organización, funcionamiento y departamentalización.
3. Políticas y Prácticas: Hacer un estudio para ver qué acción (en el caso de requerirse) debe ser emprendida para mejorar la eficacia de políticas y prácticas.
...