Pasos de una Auditoria de SI


Fases de un estudio de auditoria
 
·         Estudio preliminar
·         Revisión y evaluación de controles y seguridades
·         Examen detallado de áreas criticas
·         Comunicación de resultados


Procedimientos de auditoría:
  • Revisión de la documentación de sistemas e identificación de los controles existentes.
  • Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados.
  • Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos.
  • Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.
Auditoria Informática

·         La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta.

·         También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional.

·         Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

·         En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco.


·         Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus.

·         El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.

·         La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica.

·         La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan.

·         Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

·         La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

·         Un método eficaz para proteger sistemas de computación es el software de control de acceso.

·         Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial.

·         Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.

·         La seguridad informática se la puede dividir como:

·         Área General (Seguridad Global de una Instalación Informática).

·         Área Específica (seguridad de Explotación, seguridad de las Aplicaciones, etc.).

·         Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.
·         El sistema integral de seguridad debe comprender:
·         Elementos administrativos.
·         Definición de una política de seguridad.
·         Organización y división de responsabilidades.
·         Seguridad física y contra catástrofes (incendio, terremotos, etc.)
·         Prácticas de seguridad del personal.
·         Elementos técnicos y procedimientos.
·         Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.
·         Aplicación de los sistemas de seguridad, incluyendo datos y archivos.
·         El papel de los auditores, tanto internos como externos.
·         Planeación de programas de desastre y su prueba.
·         La decisión de abordar una Auditoría Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida.
·         Se elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las que está sometida una instalación y los "Impactos" que aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros de doble entrada<< Amenaza-Impacto>>, en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz:


Fuente: Auditoria informática. L.I. Ivette Jiménez Martínez. myslide.es/documents/auditoria-informatica-li-ivette-jimenez...

 

0 comentarios:

Publicar un comentario