auditoria de sistemas

LAS AUDITORIAS INTERNAS Y EXTERNAS

La auditoria interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoria interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.

Por otro lado, la auditoria externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoria Interna, debido al mayor distanciamiento entre auditores y auditados.

La auditoria informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoria externa, las cuales no son tan perceptibles como en las auditorias convencionales. La auditoria interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorias, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

La auditoria informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.

Una auditoría se realiza con base a un patron o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorias de informática. Dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información.

Razones para Efectuar una Auditoria de Sistemas

Aumento considerable e injustificado del presupuesto del PAD

Desconocimiento en el nivel directivo de la situación informática de la empresa

Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.

Descubrimiento de fraudes efectuados con el computador

Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas.

Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados

Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción

CONTROLES APLICADOS EN LA AUDITORIA DE SISTEMAS
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplo: Sistemas de claves de acceso

Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: Procedimientos de validación

Controles Correctivos

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.

Controles físicos y lógicos

Autenticidad: Permiten verificar la identidad

Exactitud: Aseguran la coherencia de los datos

Totalidad: Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió

Redundancia: Evitan la duplicidad de datos

Privacidad: Aseguran la protección de los datos

Existencia: Aseguran la disponibilidad de los datos

Protección de Activos: Destrucción o corrupción de información o del hardware

Efectividad: Aseguran el logro de los objetivos

Eficiencia: Aseguran el uso óptimo de los recursos

Controles automáticos o lógicos

Periodicidad de cambio de claves de acceso

Definir una combinación de alfanuméricos en claves de acceso, para redefinir claves es necesario considerar los tipos de claves que existen:

Individuales: Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

Grupales: Las claves grupales o globales serán manejadas por varios funcionarios quienes serán responsables mancomunadamente de las actividades relacionadas con el uso de las mismas.

Verificación de datos de entrada, incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.

Conteo de registros, consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.

Utilizar software de seguridad en los microcomputadores el cual permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo. Algunos programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.