Nos han aportado una enorme frescura, con ideas que no se nos habían ocurrido ”

Gabinete prensa Metges de Catalunya

 
¡CONTACTA AHORA! 902 74 79 72
 
 
OFERTA
 
 
 

Auditoría de Sistemas

Leer en Google Leer en Yahoo RSS

RSS es un sencillo formato de datos que es utilizado para redifundir contenidos a suscriptores de un sitio web. El formato permite distribuir contenido sin necesidad de un navegador, utilizando un software disenado para leer estos contenidos RSS (agregador).

Para una mejor productividad empresarial, los responsables de los sistemas, que usan los distintos departamentos o áreas de negocio, deben conocer los riesgos derivados de una inadecuada gestión de sistemas y los beneficios generados por una gestión óptima.

Sistemas de la información

Objetivos generales de la Auditoría de Sistemas de la Información

  • Evaluar la fiabilidad
  • Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad
  • Revisar la seguridad de los entornos y sistemas.
  • Analizar la garantía de calidad de los Sistemas de Información
  • Analizar los controles y procedimientos tanto organizativos como operativos.
  • Verificar el cumplimiento de la normativa y legislación vigentes
  • Elaborar un informe externo independiente.
  • Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS

Objetivos para una buena gestión de los Sistemas de la Información en una empresa

  • Asegurar una mayor integridad, confidencialidad y confiabilidad de la información.
  • Seguridad del personal, los datos, el hardware, el software y las instalaciones.
  • Minimizar existencias de riesgos en el uso de Tecnología de información
  • Conocer la situación actual del área informática para lograr los objetivos.
  • Apoyo de función informática a las metas y objetivos de la organización.
  • Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos.
  • Incrementar la satisfacción de los usuarios de los sistemas informáticos.
  • Capacitación y educación sobre controles en los Sistemas de Información.
  • Buscar una mejor relación costo-beneficio de los sistemas automáticos.
  • Decisiones de inversión y gastos innecesarios.

Más información sobre auditoría sistemas

Hemos seleccionado los siguientes articulos para usted:

  • Conceptos de Auditoría de Sistemas, Fuente externa: monografias.com
  • El enemigo en casa: infracciones informáticas de los trabajadores., Fuente externa: .e-directivos.com
  • Características de la auditoria tecnológica, Síntomas de necesidad de una auditoria informática, Fuente externa: monografias.com

Conceptos de Auditoría de Sistemas

La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:Auditoría de Sistemas es:

* La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

La actividad dirigida a verificar y juzgar información.

El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

* El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado:

Daños, Salvaguarda activos, Destrucción, Uso no autorizado, Robo, Mantiene Integridad de Información Precisa, los datos Completa, Oportuna, Confiable, Alcanza metas, Contribución de la organizacion, la función informática, Consume recursos, Utiliza los recursos adecuadamente, eficientemente en el procesamiento de la información

* Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a:

* Eficiencia en el uso de los recursos informáticos
* Validez de la información
* Efectividad de los controles establecidos

El enemigo en casa: infracciones informáticas de los trabajadores.

La proliferación de las nuevas tecnologías en la empresa conlleva también la proliferación de nuevos peligros. Ya no son sólo los ataques y sabotajes informáticos desde el exterior, sino las infracciones desde dentro, las producidas por los propios empleados, y contra las que las organizaciones son, al parecer, más vulnerables. Hace poco más de un mes, la firma Landwell de Abogados y Asesores Fiscales, perteneciente a PricewaterhouseCoopers, presentaba un excelente estudio titulado Actos desleales de trabajadores usando sistemas informáticos, el cual merece la pena conocer con algo de detalle en estas páginas. El estudio se ha elaborado a partir del análisis de informes, sentencias, autos y procedimientos judiciales de 393 casos reales sufridos por empresas españolas y protagonizados por trabajadores en plantilla, durante el trienio 2001-2003; y se ha completado con entrevistas personales con los responsables de las compañías afectadas. Para empezar, el informe reconoce que se desconoce el nivel de incidencia en el conjunto total de las empresas españolas, ya que una gran parte de las empresas afectadas por este tipo de acciones prefieren llegar a un acuerdo amistoso y no divulgar los hechos. Las infracciones más habituales que han sido detectadas son así sistematizadas en el estudio: Creación de empresa paralela, utilizando activos inmateriales de la empresa. Consiste en la explotación en una empresa de nueva creación, de la propiedad intelectual, la propiedad industrial o el know how de la empresa en la que el trabajador trabaja. Generalmente, el trabajador constituye la nueva compañía antes de solicitar la baja voluntaria y realiza un proceso de trasvase de información mediante soportes informáticos o a través de Internet. Es posible que el trabajador actúe aliado con otros compañeros de la empresa. Daños informáticos y uso abusivo de recursos informáticos. Los daños informáticos se producen generalmente como respuesta a un conflicto laboral o a un despido que el trabajador considera injusto. Consisten en la destrucción, alteración o inutilización de los datos, programas o cualquier otro activo inmaterial albergado en redes, soportes o sistemas informáticos de la empresa. Los casos más habituales son los virus informáticos, el sabotaje y las bombas lógicas, programadas para que tengan efecto unos meses después de la baja del trabajador. También es habitual el uso abusivo de recursos informáticos, especialmente el acceso a Internet. Información confidencial y datos personales. Consiste en el acceso no autorizado y en la posterior revelación a terceros, generalmente competidores o clientes, de información confidencial de la empresa. En algunas ocasiones, la revelación la realizan trabajadores que tienen un acceso legítimo, pero con obligación de reserva, a la información posteriormente divulgada. En este capítulo también se contempla la cesión no autorizada a terceros de datos personales de trabajadores y clientes. Amenazas, injurias y calumnias. El medio utilizado habitualmente es el correo electrónico corporativo, aunque también se han utilizado cuentas anónimas, e incluso se ha suplantado la identidad de otro trabajador de la misma empresa. En el caso de las amenazas, se busca un beneficio material o inmaterial para el trabajador. Si el beneficio no se produce, el trabajador llevará a cabo la conducta anunciada en el mensaje amenazador. En el caso de las injurias y las calumnias, se busca desacreditar a la empresa, o a alguno de sus directivos. También se han producido insultos a clientes habituales o a clientes potenciales de la empresa con el que el trabajador tenía algún conflicto. Infracción propiedad intelectual e introducción de obras de la empresa en redes P2P. Consiste en la copia de activos inmateriales de la empresa, especialmente obras protegidas por la propiedad intelectual, con el fin de cederlas posteriormente a terceros. En los últimos dos años se han dado casos de difusión a través de Internet, mediante el uso de redes de intercambio de ficheros (peer to peer). De esta manera, una multitud de usuarios acceden de forma gratuita a programas de ordenador desprotegidos, información o contenidos multimedia. Intercambio de obras de terceros a través de redes P2P. Este es el caso más habitual y se detecta generalmente en el curso de una auditoría de seguridad informática, mediante el análisis del caudal de datos transferido por los trabajadores a través de la red corporativa. En algunas ocasiones, se ha detectado directamente la instalación del programa P2P o el uso de puertos típicos para el acceso a redes P2P. Este caso es especialmente grave, ya que la empresa se convierte en proveedora directa de copias no autorizadas de música, películas y programas de ordenador. Infracción de derechos de propiedad industrial. El caso más habitual ha sido la infracción de marcas de la empresa mediante el registro del nombre de dominio por parte del trabajador. En algunos casos, se ha creado una página web con contenidos ofensivos para conseguir un mayor efecto nocivo para la empresa o para obtener una suma de dinero por la transferencia. Ante la aparición de esta clase de situaciones, ¿cuál ha sido la estrategia de respuesta de las empresas? El informe de Landwell nos dice que la mayoría de las empresas prefieren encomendar la investigación de los posibles actos desleales de un trabajador a un equipo interno, generalmente formado por miembros del departamento de RRHH y del departamento de sistemas. Sólo un 22 por ciento de las empresas que sospechan de un empleado deciden externalizar la investigación. El tipo de investigación depende de la intención de la empresa de llegar a un acuerdo o plantear una reclamación judicial. Cuando se toma la decisión de llevar la infracción a los tribunales, la obtención de las evidencias electrónicas se encarga a un tercero, con el fin de conseguir mayor objetividad y valor probatorio. El procedimiento de recopilación de las evidencias debe respetar los derechos del trabajador para que sea válido judicialmente. Una investigación se inicia a partir de las sospechas e indicios generados por la propia conducta del trabajador, por un consumo de recursos poco usual o por el descubrimiento de los efectos de la infracción. No obstante, Sólo el 26 por ciento de las infracciones detectadas acaban en los tribunales. El resto de las infracciones son objeto de un acuerdo privado o de una sesión finalizada con aveniencia en un organismo de mediación y conciliación laboral. En general, las empresas prefieren solucionar sus conflictos de forma privada y ello incide en la forma de investigar y tratar las posibles infracciones de sus trabajadores. Ahora bien, si los daños producidos están previstos en la cobertura de un seguro, es muy probable que la empresa deba plantear una reclamación judicial para poder solicitar la correspondiente compensación económica.

Características de la auditoria tecnológica

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, con sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.
Del mismo modo, los Sistemas Informáticos o tecnológicos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informática en general, o a la auditoria de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoria de Organización Informática o tecnológica
Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Síntomas de necesidad de una auditoria informática:

Las empresas acuden a las auditorias externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

* Síntomas de descoordinación y desorganización:

No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.

* Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

* Síntomas de debilidades económico-financiero:

- Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

* Síntomas de Inseguridad: Evaluación de nivel de riesgos

- Seguridad Lógica
- Seguridad Física
- Confidencialidad
[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]

* Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.