sábado, 7 de noviembre de 2015

TEMA UNIDAD II- DESARROLLO DE LA AUDITORÍA INFORMÁTICA

En esta ocasion abordare subtemas de la unidad II de la asignatura Auditoría de Sistemas de Tecnológias de Información.

No sin antes dar una breve introduccion de lo que es el desarrollo de la auditoría bien pues ,esta fase es la que se considera como la etapa de observacion, porque nos proporciona el tiempo para recolectar datos , observar situaciones y claro detectar deficiencias.

Considero que esta etapa es de suma importancia para el auditor y el auditado ya que, no solamente se detectan deficiencias sino que tambien se llevan a cabo las entrevistas previstas en la fase de planificacion, se completan cuestionarios que durante la auditoria puedan surgir. 
Al igual pienso que la etapa de desarrollo de la auditoria es aquella donde se debe observar a detalle todos los procedimientos realizados ya sean los que efectuan en los procesos informaticos o los que llevan a cabo los usuarios.

2.1 PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA 

La planeacion de la auditoría informática es de suma importancia ya que es donde se enfocan a tres objetivos principales que son: Evaluar los sistemas y procedimientos, Evaluar el equipo de cómputo y la evaluación administrativa de los procesos electrónicos.
Para una buena aplicación de auditoría informática se debe de seguir varios fases para obtener información y saber medir tiempos y recursos que serán necesarios, las fases son las siguientes: 
  1.  Conocimientos del Sistema
  2. Análisis de las Transacciones y Recursos
  3. Análisis de Riesgos y Amenazas
  4. Análisis de Controles
  5. Evaluación de Controles
  6. Informe de Auditoría
  7. Seguimiento de Sugerencias
Antes de aplicar toda auditoría informática se debe tener conocimiento de las normas que rigen las TI ya que sin estas no se arrojarían resultados especificos al área auditada. Existen estándares como Moprosof, IEEE, ISO 9001, ISO 27000  entre muchas otras más, que en lo personal considero se deben de tomar en cuenta para respaldar los resultados y claro la evaluación a los sistemas administrativos y operativos del área correspondiente.



2.2 Evaluación de la Seguridad

La seguridad al momento de auditar es de suma importancia tanto para el auditor como para la empresa porque gracias a esto la empresa sabra que nivel de seguridad tienen sus sistemas de informacion. Bien pues un a auditoría de seguridad Informática es un estudio que comprende el análisis de sistemas para identificar y posteriormente corregir las distintas vulnerabilidades que pudieran surgir.
Existen dos tipos de modelos de seguridad: 
  • Modelo Abstracto
  • Modelo Concreto   
Estos modelos de seguridad sirven para  proveer un sistema que ayude a comprender los diferentes conceptos. 
Esta evaluación tambien cuenta con fases a seguir para el éxito de la misma.
  1. Enumeración de redes, topologías y protocolos
  2. Identificación de los sistemas operativos instalados
  3. Análisis de servicios y aplicaciones
  4. Detección, comprobación y evaluación de vulnerabiliaddes
  5. Análisis de las comunicaciones
  6.  Medidas especifícas de corrección 
Así como se debe de evaluar la seguridad de los sistemas tambien es importante la seguridad de la empresa y de sus empleados, esto ¿por que? Pues bien, hoy en día la información es lo más valioso para los intrusos informáticos así que considero en lo personal que la seguridad en los sistemas de información debe ser fundamental y en constante monitoreo, para evitar fraudes, robo de información etc.
 
 
El diagrama de flijo que muestro hace referencia al proceso que se debe de seguir para la identificación de riegos.

2.3 Selección de Proveedores
 
Este tema solamente abarca el hecho de saber seleccionar a un buen auditor con las capacidades y con el perfil adecuado para agilizar la auditoría.

Los procedimientos para la selección del auditor son:
  • Selección de candidatos: Se toma en cuenta la formación profesional,experiencia, habilidades y experiencia de capacitación.
  • Calificación: Se aplica un cuestionario a los candidatos y en base a éste se determinan sus capacidades, los resultados definen si es un auditor líder o un auditor común.
  • Evaluación del desempeño: Tiene el objetivo de dar a conocer el fuerte del auditor y mantener un grupo de auditores competentes.
 Os dejo el siguiente vídeo como referencia
 
 
 2.4 Licenciamiento de Software
 
Todo software se rige por licencias de uso, es decir,  cuando un usuario realiza la compra de un programa (ej. office,photoshop) no quiere decir que es el dueño/propietario de él, solamente adquiere el derecho de uso.
Hay diferentes tipos de sw:
  • SW de Propietario
  • Sw shareware/ de evaluación
  • Sw de demostración
  • Sw  libre
  • Sw de dominio Público
  • Sw semi-libre
  • Sw freeware
Cada tipo de Software tiene su enfoque en el que aplica la licencia por decir algo.

2.5 Evaluación de SW y HW
 
Básicamente este tema abarca la importancia que es la evaluación tanto del Software como del Hardware ya que es el área de TI que interesa auditar. Por ejemplo si se detecta que su infraestructura en el Hardware hay deficiencias por ende los resultados serán severos y en el software igual detectarán fallas.
Es importante calificar el nivel de seguridad que tiene el hw y sw como ya lo mencione anteriormente, si no hay seguridad en la organización tanto fisíca como estructural en cada departamento el informe de auditoría tendra muchas incidencias.
2.6 Evaluación de la Red  

Este tipo de evaluación se relaciona con la seguridad que tiene para el acceso de usuarios al igual se encarga de evaluar la eficiencia, rápidez y eficacia del envío y recepción de información.

Para reforzar mi opinión sobre cada subtema del tema principal les dejo el siguiente video que contetiza la importancia de una auditoría informática.

https://www.youtube.com/watch?v=eg4n0zknJQM 
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)