AUDITORíA INFORMATICA

Consiste en verificar el funcionamiento de un sistema de información, aplicando una serie de conocimientos, técnicas y métodos con el propósito de examinar la operatividad del sistema. En el proceso de investigación el auditor comprueba si en los sistemas se están aplicando medidas de seguridad y de control apropiadas para asegurar la integridad de la información. El auditor debe realizar un análisis profundo de todos los componentes que integran el sistema informático. La auditoria informática en una empresa es esencial debido a que un sistema mal diseñado resulta peligroso para la empresa.

La informática esta vinculada en las tareas o transacciones de la empresa debido a esto deben aplicarse las normas y procedimientos informáticos.

ÁREAS DE APLICACIÓN

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizables tiene la empresa. Muy concisamente, una Aplicación recorre las siguientes fases:

Requisitos del Usuario (único o plural) y del entorno.

Análisis funcional.

Diseño.

Análisis orgánico (Reprogramación y Programación).

Pruebas.

Todas las Aplicaciones que se desarrollan son muy parametrizadas, es decir, que tienen un montón de parámetros que permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicación va a usar para tal y tal cosa cierta cantidad de espacio en el disco.

PROCESAMIENTO ELECTRÓNICO DE DATOS Y AUDITORÍA

El auditor debe conocer los equipos electrónicos que utilice su cliente para aprovecharlos al practicar su auditoria. No es necesario que el auditor sea experto en la programación, pero si que conozca los programas de contabilidad que utiliza el cliente.

Los sistemas PED se definen por su complejidad técnica y el grado en que se utilizan en una organización.

Una mejor medida de la complejidad es la capacidad de un sistema en comparación con la capacidad de un sistema calificado como mejor norma, y se define como complejo.

El PED se utiliza en un sistema el cual esta relacionado con la complejidad. Por lo general, cuando más funciones de negocios y contabilidad se realizan mediante computadora, el sistema tiene que irse haciendo más complejo para acomodar las necesidades de procesamiento.

Una forma en que un sistema puede hacerse más complejo es incrementando el número de ciclos de transacciones que se basan en la computadora.

OBJETIVOS DE LA AUDITORÍA DE SISTEMAS

Los principales objetivos que constituyen a la auditoria Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

Es importante saber qué buscan los auditores en una auditoria de cumplimiento. Durante ésta, los auditores buscan evidencias indicativas de:

Que la empresa ha diseñado controles eficaces para resolver sus requisitos de cumplimiento y que no hay errores en el diseño.

Que la empresa aplica consistentemente los controles diseñados y que no existen deficiencias operativas.

Entender los pasos del proceso de auditoria del área informática permite a los administradores de informática saber lo que deben esperar de la auditoria. De esta forma pueden lograr los objetivos de cumplimiento normativo de su empresa y optimizar el proceso de auditoria para completarlo más eficazmente. Posteriormente entregar a la gerencia un informe final con relación a lo auditado.

PROCEDIMIENTOS DE LA AUDITORÍA DE SISTEMAS

Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia.

Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.
Aspectos del medio ambiente informático que afectan el enfoque de la auditoria y sus procedimientos.

• Complejidad de los sistemas.
• Uso de lenguajes.
• Metodologías, son parte de las personas y su experiencia.
• Centralización.
• Controles del computador.
• Controles manuales, hoy automatizados (procedimientos programados).
• Confiabilidad electrónica.
• Debilidades de las máquinas y tecnología.
• Transmisión y registro de la información en medios magnéticos, óptico y otros.
• Almacenamiento en medios que deben acceder a través del computador mismo.
• Centros externos de procesamiento de datos.
• Dependencia externa.

AUDITORÍA A TRAVÉS DEL COMPUTADOR

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad.

La informática ha abierto nuevos horizontes al delincuente, incitando su imaginación, favoreciendo la dificultad de descubrir la manipulación del sistema.

EJEMPLO: Auditoria informática frente a un caso de espionaje informático en una empresa.

Una empresa sospechaba, que el sistema central de información estaba siendo manipulado por personal no autorizado. A consecuencia de lo antes mencionado se procedió a realizar una estricta auditoria informática.

El objeto del presente trabajo supone la intervención de un equipo de auditores informáticos, quienes cuentan con la asistencia de un Abogado, quien debe asesorarlos en materia de recolección de pruebas para poder verificar la eficaz iniciación de un proceso penal. Se trata de un espionaje informático cometido por un empleado de la empresa de cierto rango jerárquico, puede no existir el acceso ilegitimo, puesto que es factible que dicho empleado cuente con la autorización para acceder a la información valiosa.

En definitiva se trata de un individuo que efectúa la técnica de acceso no programado al sistema desde adentro de la empresa con el objetivo de obtener la información de sustancial valor comercial para la empresa, la que, generalmente es vendida a la competencia. El equipo de auditoria debe recaudar evidencias comprobatorias para confirmar que la empresa fue victima de un delito informático.

Es importante recolectar información de carácter estrictamente informático (impresiones de listados de archivos, carpetas, etc.. Se debe realizar la incautación de hardware, terminales, routers, etc. siempre y cuando se trate de material de propiedad de la empresa. Es importante que este material sea sellado con el fin de garantizar su inalterabilidad e intangibilidad lo que se supone por ejemplo que todos los puertos y entradas del hardware deben ser anulados de manera que no se puedan alterar.