Motivo de la Auditoria Informática
6
Motivo de la Auditoria Informática Realizar una revisión y evaluación, de los aspectos más importantes de los equipos de computación y sistemas automáticos de procesamiento y flujo de la información, con el propósito de dar un dictamen final sobre alternativas para el mejoramiento y administración eficaz de los procesos infor máticos 7. OBJETIVO FUNDAMENTAL DE LA AUDITORÍA INFORMÁTICA OPERATIVIDAD La operatividad es una función de mínimos consistente en que la organización y las maquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su actividad cuando los Sistemas están operativos, es el principal objetivo el de mantener tal situación. Tal objetivo debe conseguirse tanto a nivel global como parcial. La operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos Generales de Operatividad y Controles Técnicos Específicos de Operatividad, previos a cualquier actividad de aquel. Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación de diversos productos de Software básico, con el consiguiente riesgo de abonar más de una vez el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir también con los productos de Software básico desarrollados por el personal de Sistemas Interno, sobre todo cuando los diversos equipos están ubicados en Centros de Proceso de Datos geográficamente alejados. Lo negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no será posible la interconexión e intercomunicación de todos los Centros de Proceso de Datos si no existen productos comunes y compatibles.
-
Upload
christian-aranzamendi -
Category
Documents
-
view
201 -
download
5
Transcript of Motivo de la Auditoria Informática
Motivo de la Auditoria Informática
Realizar una revisión y evaluación, de los aspectos más importantes de los equipos de computación y sistemas automáticos de procesamiento y flujo de la información, con el propósito de dar un dictamen final sobre alternativas para el mejoramiento y administración eficaz de los procesos informáticos
7. OBJETIVO FUNDAMENTAL DE LA AUDITORÍA INFORMÁTICAOPERATIVIDAD
La operatividad es una función de mínimos consistente en que la organización y las maquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su actividad cuando los Sistemas están operativos, es el principal objetivo el de mantener tal situación. Tal objetivo debe conseguirse tanto a nivel global como parcial.
La operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos Generales de Operatividad y Controles Técnicos Específicos de Operatividad, previos a cualquier actividad de aquel.
Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación de diversos productos de Software básico, con el consiguiente riesgo de abonar más de una vez el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir también con los productos de Software básico desarrollados por el personal de Sistemas Interno, sobre todo cuando los diversos equipos están ubicados en Centros de Proceso de Datos geográficamente alejados.
Lo negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no será posible la interconexión e intercomunicación de todos los Centros de Proceso de Datos si no existen productos comunes y compatibles.
Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal son parámetros de asignación automática de espacio en disco* que dificulten o impidan su utilización posterior por una Sección distinta de la que lo generó. También, los periodos de retención de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la pérdida de información es un hecho que podrá producirse con facilidad, quedando inoperativa la explotación de alguna de las Aplicaciones mencionadas. * Parámetros de asignación automática de espacio en disco:
Todas las Aplicaciones que se desarrollan son super-parametrizadas, es decir, que tienen un montón de parámetros que permiten configurar cual va a ser el comportamiento del Sistema.
Una Aplicación va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no analizó cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico,
puede ocurrir que un día la Aplicación reviente, se caiga. Si esto sucede en medio de la operatoria y la Aplicación se cae, el volver a levantarla, con la nueva asignación de espacio, si hay que hacer reconversiones o lo que sea, puede llegar a demandar muchísimo tiempo, lo que significa un riesgo enorme.
OBJETIVOS DE LA AUDITORIA INFORMATICA:
La Auditoría Informática la podemos definir como “el conjunto de procedimientos y técnicas para evaluar y controlar un sistema informático con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informáticas y generales prefijades en la organización”.
La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.
La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en que se sustenta.
En un principio hablaremos de todo lo relacionado con la seguridad, luego trateremos todo aquello relacionado con la eficacia y terminar con la evalución del sistema informático.
Los aspectos relativos al control de la Seguridad de la Información tiene tres líneas básicas en la auditoria del sistema de información:
Aspectos generales relativos a la seguridad. En este grupo de aspectos habría que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles sabotajes, seguridad físics de las instalaciones, del personal informático, etc.
Aspectos relativos a la confidencialidad y seguridad de la información. Estos aspectos se refieren no solo a la protección del material, el logicial, los soportes de la información, sino también al control de acceso a la propia información (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma).
Aspectos jurídicos y económicos relativos a la seguridad de la información. En este grupo de aspectos se trata de analizar la adecuada aplicación del sistema de información en la empresa en cuanto al derecho a la intimidad y el derecho a la información, y controlar los cada vez más frecuentes delitos informáticos que se
cometen en la empresa. La propia dinamicidad de las tecnologías de la información y su cada vez más amplia aplicación en la empresa, ha propiciado la aparición de estos delitos informáticos. En general, estos delitos pueden integrarse en dos grandes grupos: delitos contra el sistema informático y delitos cometidos por medio del sistema informático. En el primer grupo se insertan figuras delictivas tipificadas en cualquier código penal, como hurto, robo, revelación de secretos, etc..., y otro conjunto de delitos que ya no es tan frecuente encontrar, al menos con carácter general, perfectamente tipifiados, como el denominado “hurto de tiempo”, destrucción de logiciales y datos, delitos contra la propiedad (material, terminales, cintas magneticas,...).
En el conjunto de delitos informáticos cometido por medio de sistenas informáticos cabría señalar, siempre con carácter doloso, manipulaciones fraudulentas de logiciales, informaciones contenidas en bases de datos, falsificaciones, estafas, etc...
Merece la pena por su frecuencia y la dificultad de prueba el llamado “hurto de uso”. Este delito suele producirse cuando se utilizan los eqipos informáticos de una organización para fines privados (trabajos externos, simple diversión,...). Los prejuicios, sobre todo económicos, que para la empresa puede significar esta modalidad de hurto de “tiempo máquina”, pueden ser cuantiso, sobre todo cuando en el mismo interviene además el elemento comunicaciones. Se trata, en definitiva, de la utilización de unos equipos si tener derecho a ello o para un uso distinto del autorizado, y en el que lo lesionado no es la propiedad, sino una de las facultadas inherentes a la misma.
De la misma manera, a través de la auditoria del sistema de información sera necesario controlar el adecuado equilibrio entre riesgos y costes de seguridad y la eficacia del propio sistema.
En cuanto a la Eficacia del Sistema, esta vendrá determinada, basicamente, por la aportación a la empresa de una información válida, exacta, completa, actualizada y oportuna que ayude a la adopción de decisiones, y todo ello medido en términos de calidad, plazo y coste. Sin el adecuado control, mendiante la realización de auditorías al sistema de información, esos objetivos serían díficiles de conseguir, con la siguiente repercusión en una adecuada dirección y gestión en la empresa.
Uno de los aspectos más significativos de la Auditoría Informática se refiere a los datos relativos a la Rentabilidad del Sistema, homogeneizadas en unidades económicas de cuenta.
La rentabilidad del sistema debe ser medida mediante el análisis de tres valores fundamentales: la evaluación de los costes actuales, la comparación de esos costes actuales con magnitudes representativas de la organización, y la comparación de los costes del sistema de información de la empresa con los de empresas similares, preferentemente del mismo sector de actividad.
Como evaluar de forma concreta estos tres aspectos fundamentales, que conforman la rentabilidad del sistema de información, es lo que se analiza seguidamente.
Evalución de los costes actuales. Conocer, en términos económicos, los costes que para una empresa supone su sistema de información, constituye uno de los aspectos básicos de la auditoría informática. Se trata de cuantificar los costes de los distintos elementos que configuran el sistema de información y que en términos generales son los siguientes:
Hardware. Se trata de analizar la evolución histórica del hardware en la empresa, justificando dicha evolución. Es importante conocer el coste del material (unidad central, periféricos, soporte,...) durante los últimos cinco años. También será necesario analizar la utilización de cada elemento hardware de la configuración, cifrandola en horas/mes, asegurando que la configuración utilizada se corresponde con el menor valor utilización/coste, y examinar la coherencia del mismo.
Software. Análisis de los costes relativos al sistema lógico, tanto en sus aspectos relativos a la esplotación (adecuación del sistema operativo, versión del software utilizado,...) como en los aspectos relativos a la programación de las distintas aplicaciones (prioridades de ejecución, lenguaje utilizado, ...).
Capturas de datos. Análisis de los costes relativos a la captura de datos, de las fuentes de información, tanto internas como externas de la empresa.
Grabación de datos. Es necesario conocer también los costes relativos a la transcripción de datos en los soportes adecuados (costes de personal, equipos y máquinas auxiliares).
Explotación. Análisis de los costes imputados a los factores relativos a la explotación en sentido amplio (tratamiento manual, tiempos de realización de aplicaciones, tiempo de respuesta, control errores, etc...)
Aplicaciones. Se trata de evluar los costes del análisis funcional, el análisis orgánico, la programación, las pruebas de programas, preparación de datos y costes de dasarrollo de cada aplicación medido en horas.
Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas categorias, equilibrio entre esas categorias, remuneraciones salariales, horas extraordinarias), se trata de
analizar los costes de personal directamente relaciondo con el sistema de información. En este apartado deberán tenerse en cuenta también los costes relativos a la formación del personal.
Documentación. Es necesario no sólo verificar que la documentación relativa al sistema de información sea clara, precisa, actualizada y completa, sino tambien los costes relativos a su elaboración y actualización.
Difusión de la inlórmación. Se trata de evaluar los costes de di-fundir la información, es decir, hacer llegar a los usuarios del sistema la información demandada o aquella considerada necesaria en los distintos niveles de la organización.
Se trata, en definitiva, de conocer y analizar los costes que para la empresa supone disponer del sistema de información.
2) Comparación de los costes actuales con magnitudes representativas de la organización. No es suficiente conocer los costes totales del sistema de información; es necesario, además, comparar este coste con magnitudes representativas de la empresa.
Se trata de conocer los porcentajes que en relación con el coste total son imputables al hardware, al software, a la captura de datos, grabación, explotación, aplicaciones, suministros, mantenimiento, personal, documentación y difusión de la información. Conocer la relación de cos-tes/ahorro/productividad del personal (analistas, programadores, operadores, auxiliares, etc.) y analizar la evolución del coste de la hora útil de la memoria central. Pero ese análisis de costes adquiere su especial sig-nificado cuando éstos se relacionan con magnitudes representativas de la empresa, por ejemplo: la cifra de negocios, la cifra de ventas, etc.
El dato de costes del sistema y su comparación con otras magnitudes constituye una valiosa información que deberá ser especificada en las conclusiones de la auditoría informática y que tendrá una notable incidencia respecto a los planteamientos de futuro del sistema de información.
3) Comparación de los costes del sistema de información de la empresa con los de empresas similares. El análisis de costes y su comparación con otras magnitudes representativas, debe completarse, siempre que ello sea posible, con los costes de los sistemas de información de empresas similares a la que es objeto de auditoría.
Es imprescindible conocer los costes que representa la obtención, tratamiento y difusión de la información en la empresa. La información es un recurso de la empresa y por lo tanto un activo de la misma. De ahí la importancia de poder disponer de una comparación de los costes del sistema de información con los de otras empresas. Esa comparación
debe realizarse con empresas del mismo sector. Ello permite comparar el nivel de costes del sistema de información de la empresa auditada con la media del sector.
Los tres aspectos analizados en relación con los costes aportarán una importante información que permitirá adoptar correctas decisiones, a partir de la auditoría realizada sobre el sistema de información de la empresa.
me hablaron sobre el problema de las asistencias de los profesores por medio de la huella digital
q solo un ciclo hicieron eso (el ciclo pasado),tambien me hablaron de la proliferacion de virus(ese virus gusano q oculta tus archivos)eso se debe a q este año la facultad cambio de empresa de antivirus
ahora es mac afee la cosa q esta empresa no actualizo su antivirus y por eso no reconoce este virus q hay en la facultad,ya la facultad se puso en comunicacion hasta le envio correos pero todavia no tienen respuesta de la empresa
otro es q los de soporte crearon un servidor (ellos lo denominan punto 10) este servidor fue creado para todo el personal administrativo para q ahi se envie los documentos,carpetas para asi si la computadora se malograra o se reseteara no se pierda la informacion de esos documentos pero solo pocos del personal administrativo hacen uso de este servidor
