Auditoria informatica.
Definición.
Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos o de redes, asi como sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados de la información, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computaciones a la empresa.
Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos o de redes, asi como sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados de la información, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computaciones a la empresa.
Auditoria de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.
Auditoria legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
Auditoria de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
Auditoria de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
Auditoria de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
Auditoria de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditoria de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
Auditoria de las comunicaciones: Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
Auditoria de la seguridad en producción: Frente a errores, accidentes y fraudes.
El progreso de la tecnología de la computación y la informática, está mejorando día a día, esto a la vez genera problemas en el desarrollo de oportunidades y lleva a cometer errores. Entonces para que no suceda eso es necesario revisar e inspeccionar los proyectos que es el trabajo de la auditoria para poder brindar un mejor trabajo de control a la sociedad. La oficina de la auditoria trabaja bajo inspección de las regulaciones y leyes propias de auditoria, en la construcción de sistemas de control para la ejecución de proceso, almacenamiento de datos, revisión, etc. Debido a la probabilidad de cometer errores es sugerido a las instituciones que estén bajo inspección por lo menos una vez al año y que tengan clases sobre el control y manejo de sistemas, de esta forma se puede evitar la pérdida de datos por un mal manejo.
Fase I: Conocimientos del Sistema: Aspectos Legales y Políticas Internos. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. Características del Sistema Operativo. Organigrama del área que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditoría realizadas anteriormente Características de la aplicación de computadora Manual técnico de la aplicación del sistema Funcionarios (usuarios) autorizados para administrar la aplicación Equipos utilizados en la aplicación de computadora Seguridad de la aplicación (claves de acceso) Procedimientos para generación y almacenamiento de los archivos de la aplicación.
Fase II: Análisis de transacciones y recursos: Definición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. Análisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujo gramas ya que facilita la visualización del funcionamiento y recorrido de los procesos. Análisis de los recursos Identificar y codificar los recursos que participan en el sistemas Relación entre transacciones y recursos
Fase III: Análisis de riesgos y amenazas: Identificación de riesgos Daños físicos o destrucción de los recursos Pérdida por fraude o desfalco Extravío de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupción de las operaciones del negocio Pérdida de integridad de los datos Ineficiencia de operaciones Errores .Identificación de las amenazas sobre los equipos, sobre documentos fuente, sobre programas de aplicaciones Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.
Fase IV: Análisis de controles: Los controles de seguridad informática usualmente se clasifican en tres categorías: controles físicos, controles lógicos o técnicos y controles administrativos
Fase V: Evaluación de Controles: Objetivos de la evaluación, Verificar la existencia de los controles requeridos, Determinar la operatividad y suficiencia de los controles existentes, Plan de pruebas de los controles, Incluye la selección del tipo de prueba a realizar. Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. Pruebas de controles Análisis de resultados de las pruebas
Fase VI: El Informe de auditoría: Informe detallado de recomendaciones, Evaluación de las respuestas, Informe resumen para la alta gerencia. Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas.
Fase VII: Seguimiento de las Recomendaciones Informes del seguimiento Evaluación de los controles implantados.
Backup y copias espejos de discos duros y medios removibles.
- Software de búsqueda de archivos.
- Google Desktop.
- Software de Recuperación de archivos borrados.
- Análisis de la memoria Ram.
- Análisis de la red.
- Actividad del equipo.
- Borrado definitivo
- Búsqueda de mails, historial de internet, chats.
- Otros: Encase Forensic, CondorLinux, Maltego, impresiones.
http://icci-auditoria-informatica.blogspot.mx/p/tipos-de-ai.html
http://www.enterate.unam.mx/Articulos/2005/octubre/auditoria.htm
https://nuestrofuturo12061.wordpress.com/fases-de-auditoria/
http://www.enterate.unam.mx/Articulos/2005/octubre/auditoria.htm
https://nuestrofuturo12061.wordpress.com/fases-de-auditoria/
No hay comentarios:
Publicar un comentario