Subido por Juan Manuel Galvez

Auditoría en sistemas de TI

Anuncio
Auditoría en sistemas de TI
Introducción
Hablar de auditoría, implica realizar un examen metódico de una situación relativa a un producto,
proceso u organización, en materia de calidad, en cooperación con los interesados para verificar la
concordancia de la realidad con lo establecido y la adecuación al objetivo buscado.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
⚫ Eficiencia
⚫ Eficacia
⚫ Rentabilidad
⚫ Seguridad
Dentro de la auditoría existe una figura llamada auditor y se trata de una persona capacitada
para evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento
de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de
que existan, o bien mejorar la forma de actuación.
El auditor debe contar con varias características, entre las que destacan:
⚫ Habilidad para comunicarse efectivamente y dar un trato adecuado a las personas
⚫ Mantenerse actualizado en el área profesional.
⚫ Debe tener cuidado profesional para estar atento a los errores intencionales o de omisión,
ineficiencia, desperdicio, inefectividad y del conflicto de intereses.
Existen diversos tipos de auditorías; sin embargo y dado nuestro interés, nos centraremos en
una sola: la auditoría en informática. Este tipo de auditoría es un proceso de recolección y
evaluación de evidencias con el fin de determinar si son salvaguardados los activos de los sistemas
y recursos informáticos.
Es importante señalar que la auditoría en informática:
⚫ No es auditoría contable: El auditor no investiga la parte de la gestión económica que se
hace con computadoras para descubrir fraudes o incorrecciones.
⚫ No es policía informática: El auditor no busca programas ilegales o delitos cometidos a
través de internet.
Por tanto, sus objetivos son:
⚫ Analizar la eficiencia de los sistemas informáticos
⚫ Verificar el cumplimiento de la normativa en este ámbito
⚫ Revisar la eficaz gestión de los recursos informáticos
Dado que su campo de actuación es muy amplio, se pueden clasificar:
De acuerdo al tipo de síntomas que la motivan:
◦
Correctiva
◦
Detectiva
◦
Preventiva
De acuerdo a la procedencia del personal que la realiza
◦
Interna
◦
Externa
Independientemente del tipo de auditoría en informática del que se trate, todos contienen las
siguientes fases:
1. Planeación
2. Desarrollo
3. Presentación de conclusiones y formación del plan de mejoras
Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las
siguientes actividades:
a) Solicitud del análisis y diseño de los sistemas en desarrollo y en operación
b) Solicitud de la documentación de los sistemas en operación (manuales técnicos, de
c)
operación del usuario, diseño de archivos y programas)
Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo
de información, formatos, reportes y consultas)
Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos
Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado
Entrevista con los usuarios de los sistemas
Evaluación directa de la información obtenida contra las necesidades y
requerimientos del usuario
h) Análisis objetivo de la estructuración y flujo de los programas
i) Análisis y evaluación de la información recopilada
d)
e)
f)
g)
Actividad:
1. Formar equipos de 5 a 6 personas
2. Elegir un sistema desarrollado por cualquier integrante del equipo para ser auditado
3. Cada equipo deberá seleccionar y solicitar a otro equipo el sistema a auditar (deberán
asegurarse que cada equipo audite un sistema diferente).
4. Realizar las actividades de los incisos a) a la i) de la lista anterior
5. Para el inciso f) deberán seleccionar a un integrante de su equipo, quien utilizará la
aplicación antes de ser entrevistado.
6. Preparar una presentación que contenga:
Portada
5%
Índice
5%
Introducción 10%
Desarrollo de los incisos a) al i) 60%
Conclusiones 20%
El tiempo destinado para que cada equipo haga su presentación en clase, será mínimo 10 minutos
y máximo 20. La fecha de la presentación será el martes 1 de diciembre de 2015 durante la
sesión de clase, y deberá enviarse a [email protected] antes de ese día
a las 17:30 hrs.
Consideraciones:
La sesión comenzará en punto de las 17:30 hrs.
Todos los integrantes de cada equipo deberán participar en la presentación en cuestión, por lo que
todos sus integrantes deberán estar físicamente en la sesión desde su inicio.
No se aceptarán por ningún motivo, documentos después de la fecha y hora estipulada.
Deberán cuidar la redacción y ortografía (en caso de no hacerlo, cada descuido al respecto restará
1% de la evaluación final de este proyecto.)
Descargar