SlideShare uma empresa Scribd logo

Importancia TIC Auditoría

Transferir como DOC, PDF
R
roumi2010
Turismo
1 de 13
Universidad Central Empresa y Sociedad del Conocimiento Importancia de las Tics en la Auditoría. Empresa y Sociedad del Conocimiento Profesor: Jorge Israel Integrantes: Giselle Aranguiz Nadia Cabello Eduardo Riquelme Karla Rivas Jenny Rodríguez Romina Silva Santiago 12 de junio de 2010. 1
Universidad Central Empresa y Sociedad del Conocimiento Introducción: En este informe veremos la importancia que tiene la Tecnología de la Información y de la Comunicación en la Auditoria, en como se ha convertido en un recurso imprescindible en el trabajo diario del controlador financiero y el auditor y del complejo proceso de este procedimiento que requiere herramientas informáticas adecuadas para el desempeño de nuestra función como futuros Auditores. Para introducirnos en el tema principal debemos saber ¿Qué son las Tic? Tecnologías: Aplicación de los conocimientos científicos para facilitar la realización de las actividades humanas. Supone la creación de productos, instrumentos, lenguajes y métodos al servicio de las personas. Información: Datos que tienen significado para determinados colectivos. La información resulta fundamental para las personas, ya que a partir del proceso cognitivo de la información que obtenemos continuamente con nuestros sentidos vamos tomando las decisiones que dan lugar a todas nuestras acciones. Comunicación: Transmisión de mensajes entre personas. Como seres sociales las personas, además de recibir información de los demás, necesitamos comunicarnos para saber más de ellos, expresar nuestros pensamientos, sentimientos y deseos, coordinar los comportamientos de los grupos en convivencia, etc. Tecnologías de la Información y la comunicación (TIC) : Cuando unimos estas tres palabras hacemos referencia al conjunto de avances tecnológicos que nos proporcionan la informática, las telecomunicaciones y las tecnologías audiovisuales, que comprenden los desarrollos relacionados con los ordenadores, Internet, la telefonía, los "mas media", las aplicaciones multimedia y la realidad virtual. Estas tecnologías básicamente nos proporcionan información, herramientas para su proceso y canales de comunicación. 2
Universidad Central Empresa y Sociedad del Conocimiento La aparición de la informática ha supuesto una revolución en la contabilidad. La creación de programas contables específicos en un entorno Windows, acercó las aplicaciones informáticas al usuario, haciendo que fueran más fáciles de utilizar y más versátiles. El siguiente paso, fue la revolución de las comunicaciones, especialmente de Internet, así como la ampliación del abanico de posibilidades de la contabilidad a actividades tales como la banca electrónica y el envío de declaraciones fiscales por Internet que facilitaron el intercambio de datos con mayor facilidad, fiabilidad y rapidez. Hay que señalar además, que el nacimiento y posterior regulación de la Firma electrónica reconocida como medio de autentificar los mensajes enviados haciendo muy difícil su falsificación, incrementa en gran medida el interés de las nuevas tecnologías de la información y la comunicación (TIC). Los profesionales TIC, auditores informáticos, pasan por ser los recursos cualificados para contribuir a la construcción de la confianza en la Administración Electrónica, configurándose como los garantes de la prestación de servicios de calidad, y en la consecución de las políticas públicas relacionadas. La función de la Auditoria Informática en las organizaciones, comienza con la implantación de un proceso para supervisar el control de las tecnologías y de los procesos asociados, y la evolución hacia un enfoque proactivo participando en otras fases del ciclo del control. Las distintas áreas operativas de las organizaciones se sostienen y apoyan cada vez más en los servicios de las tecnologías de la información y las comunicaciones (TIC), que han acompañado la automatización y el crecimiento de todos los procesos productivos, y la prestación de nuevos servicios. Como consecuencia, son muchas las organizaciones en las que la información y la tecnología que la soporta representan los activos más valiosos, y a su vez, reconocen los beneficios potenciales que las nuevas tecnologías les pueden proporcionar. La productividad de cualquier organización depende del funcionamiento interrumpido de los sistemas TIC, transformando a todo el entorno como un proceso crítico adicional. Por tanto, se requiere contar con una efectiva administración de los riesgos asociados con las TIC, y que viene dada por: - La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente Dependencia de la información y de los sistemas que la proporcionan. - El incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas a las que están expuestos. - La importancia y magnitud de los costes y las inversiones TIC. - La desconfianza que los procedimientos automatizados o los servicios electrónicos pudieran provocar en el colectivo usuario y en los ciudadanos en general. 3
Universidad Central Empresa y Sociedad del Conocimiento - El potencial de las nuevas tecnologías de la información es tal que pueden llegar a introducir importantes cambios en la organización, y en las prácticas de su actividad, para crear nuevas oportunidades y reducir costos. Resulta de ello el rol básico que debe desempeñar la función de Auditoria Informática O Auditoria de los Sistemas de Información, en una organización: supervisión de los controles efectivamente implementados y determinación de la eficiencia de los mismos. Dada la especialización de los controles a supervisar, es indudable que en la Administración Pública el perfil de los profesionales TIC es el idóneo para asumir y realizar directamente esas funciones, ayudando a las organizaciones a fortalecer la confianza en los servicios prestados, en especial los enmarcados dentro de la Administración Electrónica. Los Auditores informáticos pueden recomendar cambios en los procesos de negocios para lograr los objetivos económicos o sociales de la organización. También es posible que las investigaciones revelen fraudes, desperdicios o abusos. Los auditores informáticos modernos proceden de manera sistemática en sus estudios, planificando sus acciones y enfocándose en las áreas de mayor riesgo. Dada la dependencia creciente de las organizaciones en las TIC y el surgimiento de normativa para su buen gobierno, el auditor informático también trabaja como consejero empresarial, asesorando en cuanto al establecimiento de políticas y estándares que aseguren la información y el control de las TIC. Es así que los profesionales TIC de la Administración tienen ante si un reto en su carrera profesional: realizar tareas propias de la función de auditoria, para contribuir a la mejora de la calidad de los servicios prestados a los ciudadanos. 4
Universidad Central Empresa y Sociedad del Conocimiento Servicios de Auditoria de Tecnologías de la Información La Auditoria de las Tecnologías de la Información y las Comunicaciones está adquiriendo cada vez una mayor importancia debido a la necesidad de garantizar la seguridad, continuidad y disponibilidad de las infraestructuras informáticas sobre las que se sustentan los procesos de negocio de toda empresa u organismo, necesitando adicionalmente que todos estos procesos se realicen de forma eficiente. Por otro lado, los entornos legislativos actuales hacen referencia a la obligatoriedad de acreditar el cumplimiento de sus normas mediante Auditorias de Sistemas de Información y como parte inherente de la Auditoría Financiera, se está requiriendo cada vez más que los Sistemas de Información sean, a su vez, auditados. Dirección estratégica de las TICS: auditando los Sistemas de Información Un servicio muy útil a la hora de gestionar los Sistemas de Información (SI) de una empresa o sus Tecnologías de la Información y Comunicaciones (TIC) son las Auditorias. Una Auditoría es una radiografía de una parte de una empresa u organización. Las auditorías pueden ser externas (Hechas por un consultor externo a la organización) o Internas (Hechas por gente de la misma organización). El objetivo de una Auditoría es descubrir las causas de problemas en el funcionamiento, la verificación de presuntas causas o simplemente mejorar su funcionamiento. Algunos ejemplos son: • Auditoría técnica de sistemas para conocer el estado actual del hardware de la empresa (Estado, Antigüedad, Si es el adecuado, etc.), • Auditoría de la explotación para conocer el estado actual de los elementos de una explotación (Licencias, Recursos de explotación, ), • Auditoría de las redes de la empresa y evaluar su adecuación, seguridad, etc. 5
Universidad Central Empresa y Sociedad del Conocimiento La información obtenida de la auditoría debe servir a la dirección de la empresa para la toma de decisiones, como por ejemplo: Implementar un software u otro según sus necesidades, Conocer los puntos flacos de la infraestructura de la empresa, Realizar un plan de mejora de los SI de la empresa, Implementar medidas para reducir costes, etc. El tipo de auditoría puede variar (puede ser interna o externa, auditoría de objetivos, etc.). No obstante, como común denominador, el ciclo de vida básico de una auditoría es el siguiente: 1- Inicio de la auditoría: Contrato y definición del alcance. La definición del alcance de la auditoría es un punto crítico, hay que acotar exactamente el trabajo ha hacer para obtener los resultado deseados (Mucha gente no presta atención a esto). 2- Revisión de la documentación y preparación de las actividades: Aquí se define el plan de auditoría, se organiza la inspección y se preparan los documentos de trabajo (Formularios, Listas de verificación, etc.). 3- Desarrollo del plan de auditoría 4- Preparación del informe de la auditoría y presentación de resultados: Una vez finalizadas las acciones del plan de auditoría se debe preparar el informe de auditoría donde debe aparecer toda la documentación de la auditoría y sus conclusiones. También debe realizarse la presentación de los resultados a la persona auditada y asegurarse que son comprendidos. En resumen, la auditoría es una herramienta poco conocida y muy valiosa a la hora de tomar decisiones en lo que a TIC/SI se refiere. Una auditoría (externa o interna) nos brinda la información necesaria para tomar decisiones sobre una base sólida y con garantías de éxito. 6
Universidad Central Empresa y Sociedad del Conocimiento Problemas en las TICS. En el mundo de las TICs, como en cualquier otro, son varios los problemas a los que los administradores se deben enfrentar, aunque los peores son aquellos que no son evidentes. Hemos identificado ‘situaciones a evitar’ que causan importantes pérdidas monetarias y que afectan a la productividad. Los usuarios acceden a servicios externos El rápido crecimiento de las tecnologías Web 2.0 ha puesto herramientas potentes, gratuitas y fáciles de usar al alcance de todos, incluyendo los empleados que utilizan estos servicios para facilitar y simplificar las tareas corporativas. Como ejemplo, hay empleados que colaboran en la creación de un informe utilizando Google, se comunican con proveedores a través del Messenger o, incluso, utilizan herramientas de gestión SAAS (software por pago) en proyectos críticos. En la mayoría de los casos, estas herramientas se utilizan sin la supervisión del personal de TI. Sin embargo, este tipo de situación puede causar problemas para todos. Los empleados que descubren problemas de acceso a los servicios esenciales se pueden encontrar con que el personal de TI no dispone de la preparación adecuada para proporcionarles ayuda. Por otra parte, el personal de TI se enfrenta ahora a la posibilidad de una infección de malware que entre por estos puntos. Así, los responsables de Tecnología deben asegurar que los servicios externos forman parte de cualquier discusión sobre las aplicaciones necesitadas por los departamentos. Las encuestas pueden ayudar a la hora de darnos una pista sobre los servicios externos utilizados así como las herramientas que proporcionan información sobre las estadísticas de uso. 7
Universidad Central Empresa y Sociedad del Conocimiento Los datos sensibles des encriptados están siendo transmitidos Su negocio dispone de lo que usted considera una configuración de red estándar y segura. Un cortafuego protege todo el tráfico interno. Servidores Web y otros sistemas que requieren un acceso directo a Internet disponen de túneles encriptados a las fuentes de datos dentro de los cortafuegos. Más allá de esta configuración tradicional, muchas empresas podrían beneficiarse con otras opciones de encriptación. Por ejemplo, el hecho de que una red se encuentre dentro de los cortafuegos no significa que ésta esté protegida. Incluso aquellos empleados con un poco de destreza tecnológica tienen a su alcance herramientas que permiten escanear las redes para rastrear información sensible, desde datos empresariales a las nóminas del personal. Los administradores de redes deben pensar como hackers y utilizar las mismas herramientas de rastreo que estos para identificar todos los datos, moviéndose por la red. Si pueden ver esta información, cualquier otro usuario también la puede ver. Una vez identificados estos datos descubiertos, las conexiones se pueden robustecer con seguridad. Las aplicaciones Web están repletas de fallos de seguridad Aunque son ya muchas las compañías que se han puesto ‘serias’ en cuando a la implementación de parches y actualizaciones de las aplicaciones, esta práctica no cubre el perfil entero de la seguridad de aplicaciones. La razón radica en que existen aplicaciones corporativas que se suelen descartar o ignorar en las políticas de actualizaciones y, frecuentemente, éstas contienen información sensible. 8
Universidad Central Empresa y Sociedad del Conocimiento Los problemas en las empresas La topología actual de aplicaciones empresariales es mixta y está compuesta tanto por programas internos como externos. Muchos de estos programas no son más que pequeños scripts. Y estos son precisamente los que más riesgo conllevan porque son sencillos y fáciles de descifrar. Las compañías deben tener a mano un listado de todas las aplicaciones Web y scripts que residen en la red. Asegúrese de que dispone de las últimas versiones de las aplicaciones y componentes que hay detrás de los wikis y blogs, por ejemplo. En el caso de aplicaciones customizadas, mantenga un fichero de los scripts que éstas puedan incorporar. Esto significa la monitorización periódica de servicios de seguridad como CERT y las páginas Web o comunidades que ofrecen estos servicios. Asegurar la integridad de las aplicaciones que son un punto de entrada a la red corporativa es una inversión sin precio. Datos no auditables Una buena auditoría de los datos almacenados en su organización es un deber común en las industrias reguladas, pero es una tarea pendiente para muchas de las nuevas empresas. Las industrias reguladas, como son Banca, Seguros y Sanidad, están acostumbradas al proceso de auditorías periódicas y disponen de un banco de conocimientos sobre la ubicación de los datos. Sin embargo, las industrias emergentes no son tan detallistas. Esta discrepancia en el ciclo de datos requiere una estrategia doble que asegure tanto el cumplimiento de las normas como la seguridad de la información. La seguridad afecta tanto a la protección de la información como a la aplicación de parches para asegurar que las aplicaciones funcionan como deben. Una buena manera de evitar problemas de cumplimiento de normas es la implementación estricta de políticas que monitorizan cada modificación de los servidores y los dispositivos de red. 9
Universidad Central Empresa y Sociedad del Conocimiento Escasos recursos de almacenamiento Las facturas de los sistemas de almacenamiento que ha adquirido para su empresa frente a la utilización actual, sugieren que su organización dispone de mucha capacidad. Sin embargo, un sistema de ficheros ineficiente puede poner en riesgo la capacidad de un recurso esencial. Los administradores deben evaluar los requerimientos de capacidad y rendimiento de las aplicaciones junto con los recursos disponibles de almacenamiento. Las organizaciones pueden maximizar la utilización de capacidad y mantener un nivel de rendimiento aceptable. Su IP podría ser deficiente Más que nunca, las organizaciones dependen de sus redes IP para todo tipo de tareas. En muchas compañías, puntos de acceso inalámbricos, teléfonos VOIP y cámaras de seguridad ofrecen nuevas opciones de disminuir el número de líneas físicas y cables de suministro de energía. Una falta de Business Intelligence La BI no es una tecnología nueva. Las grandes empresas, especialmente las del sector financiero y de sanidad, han utilizado herramientas de BI durante muchos años. Las medianas y pequeñas empresas que no implementan estas tecnologías se enfrentan a problemas de competitividad. Lejos de ser tecnologías sólo aptas para empresas grandes, las herramientas de análisis han evolucionado de tal manera que son asequibles incluso para organizaciones más modestas. No cabe duda que estas herramientas pueden marcar una diferencia importante en los servicios y productos de una compañía que llegan al mercado, incrementando la rentabilidad de transacciones comerciales. Pero para poder aprovechar estas herramientas hay que comprometerse a unificar la tecnología y los procesos de negocio en una organización. Esto significa una infraestructura óptimamente configurada con herramientas que recogen la información pertinente de una transacción. 10
Universidad Central Empresa y Sociedad del Conocimiento Los consultores han de vigilarse Las promesas de costes reducidos y plazos cortos pueden abrir las puertas a una serie de errores que no benefician a nadie. Los consultores suelen tomar atajos poco correctos para cumplir los plazos de cumplimiento. Quizás envían datos sensibles inalámbricamente sin las protecciones adecuadas. Quizás utilizan software no licenciado para monitorizar o gestionar algún componente del despliegue. O quizás abren un agujero en sus cortafuegos para obtener un acceso directo y después se olvidan en cerrarlo. Las compañías deben especificar claramente las normas de conducta y establecer un sistema de evaluación medible. En el contrato, las compañías deben decretar el comportamiento mínimo aceptable con respecto a las licencias, la seguridad, documentación y gestión de cambios. Finalmente, ha de haber una evaluación a posteriori para comprobar el cumplimiento de objetivos y asegurar que la infraestructura no haya sufrido ningún daño colateral. 11
Universidad Central Empresa y Sociedad del Conocimiento Conclusión El incremento masivo en el uso de medios informáticos, ya sea de ordenadores en los puestos de trabajo como en las aplicaciones de tecnología cada vez más sofisticada, y en la prestación de servicios a los ciudadanos mediante la Administración Electrónica, han llevado a la necesidad de adaptar las técnicas de auditoria tradicionales para poder hacer frente a esos cambios. Una vez planteadas y reconocidas las nuevas exigencias de control, surge la necesidad de contar con un marco metodológico para organizar las actividades de Auditoria, y así definir las pautas y los controles a considerar en las futuras actuaciones de auditoria. Esto se sustenta en el hecho que el uso de una metodología contrastada contribuye a: - Salvar las brechas existentes entre riesgos del proceso de gestión, necesidades de control y aspectos técnicos. Esto es debido a que los riesgos de un proceso de gestión no son los mismos que los riesgos a que se expone el sistema de información que le da apoyo. La Auditoria Informática debe intentar asegurar que ambos están controlados, o sea, ajustados a las necesidades de control, o a lo que se asuma controlar, y a los medios y recursos técnicos disponibles. - Determinar el alcance de la tarea de auditoria e identificar los controles mínimos, que debe estar dirigida no sólo a auditores informáticos, sino también a los gestores y a los usuarios. - Observar e incorporar los estándares y regulaciones nacionales o internacionales. Al contar con una metodología se podrán tener predefinidos los procedimientos de actuación, que aunque sólo lleguen a definir el qué y el cómo hacer las actuaciones, permitirán generar resultados homogéneos por los distintos miembros del equipo auditor. Asimismo, el marco metodológico adoptado tendrá que definir las pautas y los controles a realizar con relación a los sistemas de información, tecnologías de hardware, seguridad, planificación, desarrollo de sistemas, etc. 12
Universidad Central Empresa y Sociedad del Conocimiento 13

Recomendados

Cobit
CobitCobit
Cobitlilianaaburto
 
COMPONENTES, PRINCIPIOS Y PUNTOS DE INTERÉS COSO 2013 - 28.MAR.2015 – Dr. MI...
COMPONENTES, PRINCIPIOS Y PUNTOS DE INTERÉS COSO 2013 - 28.MAR.2015 – Dr. MI...COMPONENTES, PRINCIPIOS Y PUNTOS DE INTERÉS COSO 2013 - 28.MAR.2015 – Dr. MI...
COMPONENTES, PRINCIPIOS Y PUNTOS DE INTERÉS COSO 2013 - 28.MAR.2015 – Dr. MI...miguelserrano5851127
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitArmando Perez
 
Métricas de Seguridad
Métricas de Seguridad Métricas de Seguridad
Métricas de Seguridad jose_calero
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Asignar los recursos y sistemas computacionales para la auditoria
Asignar los recursos y sistemas computacionales para la auditoriaAsignar los recursos y sistemas computacionales para la auditoria
Asignar los recursos y sistemas computacionales para la auditoriaCenit Boss
 
AMBIENTE DE CONTROL
AMBIENTE DE CONTROLAMBIENTE DE CONTROL
AMBIENTE DE CONTROLVICTOR31651306
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 

Recomendados

Cobit
CobitCobit
Cobitlilianaaburto
 
COMPONENTES, PRINCIPIOS Y PUNTOS DE INTERÉS COSO 2013 - 28.MAR.2015 – Dr. MI...
COMPONENTES, PRINCIPIOS Y PUNTOS DE INTERÉS COSO 2013 - 28.MAR.2015 – Dr. MI...COMPONENTES, PRINCIPIOS Y PUNTOS DE INTERÉS COSO 2013 - 28.MAR.2015 – Dr. MI...
COMPONENTES, PRINCIPIOS Y PUNTOS DE INTERÉS COSO 2013 - 28.MAR.2015 – Dr. MI...miguelserrano5851127
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitArmando Perez
 
Métricas de Seguridad
Métricas de Seguridad Métricas de Seguridad
Métricas de Seguridad jose_calero
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Asignar los recursos y sistemas computacionales para la auditoria
Asignar los recursos y sistemas computacionales para la auditoriaAsignar los recursos y sistemas computacionales para la auditoria
Asignar los recursos y sistemas computacionales para la auditoriaCenit Boss
 
AMBIENTE DE CONTROL
AMBIENTE DE CONTROLAMBIENTE DE CONTROL
AMBIENTE DE CONTROLVICTOR31651306
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
Control interno
Control internoControl interno
Control internoadrianmontijo
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informaticajanethvalverdereyes
 
COSO
COSOCOSO
COSOjavicorelli
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Uccoamz
 
Presentacion coso 21102018
Presentacion coso 21102018Presentacion coso 21102018
Presentacion coso 21102018Edgar Garcia
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informaticonehifi barreto
 
Modelo coco
Modelo cocoModelo coco
Modelo cocojAzMi_N
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS
LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS
LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS DIEGO MORA
 
Papeles de trabajo2
Papeles de trabajo2Papeles de trabajo2
Papeles de trabajo2lauliet9
 
Auditor basada riesgos
Auditor basada riesgosAuditor basada riesgos
Auditor basada riesgosGaby Moreno
 
Normas generales de control gubernamental
Normas generales de control gubernamentalNormas generales de control gubernamental
Normas generales de control gubernamentalVictor Mamani Silva
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaUbaldin Gómez Carderón
 
Taac II
Taac IITaac II
Taac IIluismarlmg
 
Sistema de control interno
Sistema de control internoSistema de control interno
Sistema de control internodrosca
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaEnrique Cabello
 
Riesgo de auditoria
Riesgo de auditoriaRiesgo de auditoria
Riesgo de auditoriaJairo Michél
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Importancia de las tic’s en la auditoría
Importancia de las tic’s en la auditoríaImportancia de las tic’s en la auditoría
Importancia de las tic’s en la auditoríaroumi2010
 
Auditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionAuditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionJUNJI - Junta Nacional de Jardines Infantiles
 

Mais conteúdo relacionado

Mais procurados

control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informaticajanethvalverdereyes
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Uccoamz
 
Presentacion coso 21102018
Presentacion coso 21102018Presentacion coso 21102018
Presentacion coso 21102018Edgar Garcia
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informaticonehifi barreto
 
Modelo coco
Modelo cocoModelo coco
Modelo cocojAzMi_N
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS
LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS
LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS DIEGO MORA
 
Papeles de trabajo2
Papeles de trabajo2Papeles de trabajo2
Papeles de trabajo2lauliet9
 
Auditor basada riesgos
Auditor basada riesgosAuditor basada riesgos
Auditor basada riesgosGaby Moreno
 
Normas generales de control gubernamental
Normas generales de control gubernamentalNormas generales de control gubernamental
Normas generales de control gubernamentalVictor Mamani Silva
 
Sistema de control interno
Sistema de control internoSistema de control interno
Sistema de control internodrosca
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 

Mais procurados (20)

Control interno
Control internoControl interno
Control interno
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informatica
 
COSO
COSOCOSO
COSO
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Ucc
 
Presentacion coso 21102018
Presentacion coso 21102018Presentacion coso 21102018
Presentacion coso 21102018
 
Control interno informatico
Control interno informaticoControl interno informatico
Control interno informatico
 
Modelo coco
Modelo cocoModelo coco
Modelo coco
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
 
LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS
LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS
LA ETICA DEL AUDITOR DE SISTEMAS INFORMATICOS
 
Papeles de trabajo2
Papeles de trabajo2Papeles de trabajo2
Papeles de trabajo2
 
Auditor basada riesgos
Auditor basada riesgosAuditor basada riesgos
Auditor basada riesgos
 
Normas generales de control gubernamental
Normas generales de control gubernamentalNormas generales de control gubernamental
Normas generales de control gubernamental
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Taac II
Taac IITaac II
Taac II
 
Sistema de control interno
Sistema de control internoSistema de control interno
Sistema de control interno
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Riesgo de auditoria
Riesgo de auditoriaRiesgo de auditoria
Riesgo de auditoria
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
 

Destaque

Importancia de las tic’s en la auditoría
Importancia de las tic’s en la auditoríaImportancia de las tic’s en la auditoría
Importancia de las tic’s en la auditoríaroumi2010
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Presentación corporativa www.adjudicacionestic.com
Presentación corporativa www.adjudicacionestic.comPresentación corporativa www.adjudicacionestic.com
Presentación corporativa www.adjudicacionestic.comLuis Santamaría Lerena
 
8 simuladores financieros
8 simuladores financieros8 simuladores financieros
8 simuladores financierosanita andrea
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TITabodiaz
 
introduccion a las redes de computadoras
introduccion a las redes de computadoras introduccion a las redes de computadoras
introduccion a las redes de computadorasWillian Yanza Chavez
 
Las tics en power point
Las tics en power pointLas tics en power point
Las tics en power pointNacho Casco
 
DIAPOSITIVAS LAS TIC
DIAPOSITIVAS LAS TIC DIAPOSITIVAS LAS TIC
DIAPOSITIVAS LAS TIC oscaromero123
 
Presentación power point tic (tecnologías de la información y la comunicación)
Presentación power point tic (tecnologías de la información y la comunicación)Presentación power point tic (tecnologías de la información y la comunicación)
Presentación power point tic (tecnologías de la información y la comunicación)Anita Salazar Solano
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaLion Mendz
 
Auditoria de sistemas de informacion
Auditoria de sistemas de informacionAuditoria de sistemas de informacion
Auditoria de sistemas de informacionAnairam Campos
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICAManuel Medina
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaLeidy Andrea Sanchez
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
TAREA COLABORATIVA I AUDITORIA "EL ALTAVOZ"
TAREA COLABORATIVA I AUDITORIA "EL ALTAVOZ"TAREA COLABORATIVA I AUDITORIA "EL ALTAVOZ"
TAREA COLABORATIVA I AUDITORIA "EL ALTAVOZ"ELISABET248
 
Independencia del auditor
Independencia del auditorIndependencia del auditor
Independencia del auditorFRANSMAR698
 

Destaque (20)

Importancia de las tic’s en la auditoría
Importancia de las tic’s en la auditoríaImportancia de las tic’s en la auditoría
Importancia de las tic’s en la auditoría
 
Auditoria De Tecnologia De Informacion
Auditoria De Tecnologia De InformacionAuditoria De Tecnologia De Informacion
Auditoria De Tecnologia De Informacion
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Presentación corporativa www.adjudicacionestic.com
Presentación corporativa www.adjudicacionestic.comPresentación corporativa www.adjudicacionestic.com
Presentación corporativa www.adjudicacionestic.com
 
8 simuladores financieros
8 simuladores financieros8 simuladores financieros
8 simuladores financieros
 
2. las tic en auditoria
2. las tic en auditoria2. las tic en auditoria
2. las tic en auditoria
 
Auditoria
Auditoria Auditoria
Auditoria
 
Auditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TIAuditoria Informatica al Departamento de TI
Auditoria Informatica al Departamento de TI
 
introduccion a las redes de computadoras
introduccion a las redes de computadoras introduccion a las redes de computadoras
introduccion a las redes de computadoras
 
Las tics en power point
Las tics en power pointLas tics en power point
Las tics en power point
 
DIAPOSITIVAS LAS TIC
DIAPOSITIVAS LAS TIC DIAPOSITIVAS LAS TIC
DIAPOSITIVAS LAS TIC
 
Presentación power point tic (tecnologías de la información y la comunicación)
Presentación power point tic (tecnologías de la información y la comunicación)Presentación power point tic (tecnologías de la información y la comunicación)
Presentación power point tic (tecnologías de la información y la comunicación)
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoría
 
Auditoria de sistemas de informacion
Auditoria de sistemas de informacionAuditoria de sistemas de informacion
Auditoria de sistemas de informacion
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemas
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisa
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
TAREA COLABORATIVA I AUDITORIA "EL ALTAVOZ"
TAREA COLABORATIVA I AUDITORIA "EL ALTAVOZ"TAREA COLABORATIVA I AUDITORIA "EL ALTAVOZ"
TAREA COLABORATIVA I AUDITORIA "EL ALTAVOZ"
 
Independencia del auditor
Independencia del auditorIndependencia del auditor
Independencia del auditor
 

Semelhante a Importancia TIC Auditoría

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaSaeta de Dios
 
Auditoria de sistemas 2
Auditoria de sistemas 2Auditoria de sistemas 2
Auditoria de sistemas 2Kelly-A
 
Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Jose Olivera
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaJuan Prieto
 
Control interno y auditoría de sistemas
Control interno y auditoría de sistemasControl interno y auditoría de sistemas
Control interno y auditoría de sistemasDoris Suquilanda
 
Solemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimientoSolemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimientoArthur Oyarzun
 
Ensayo tics
Ensayo ticsEnsayo tics
Ensayo ticsmilton
 
Las tic’s como herramientas de apoyo a la gestión empresarial
Las tic’s como herramientas de apoyo a la gestión empresarialLas tic’s como herramientas de apoyo a la gestión empresarial
Las tic’s como herramientas de apoyo a la gestión empresarialCristian Salazar C.
 
Trabajo sist. inf.gerencial
Trabajo sist. inf.gerencialTrabajo sist. inf.gerencial
Trabajo sist. inf.gerenciallinapalomeque
 
Importancia y uso de las tics en la administracion
Importancia y uso de las tics en la administracionImportancia y uso de las tics en la administracion
Importancia y uso de las tics en la administracionNeidis Martinez
 
SIE impacto en las organizaciones
SIE impacto en las organizacionesSIE impacto en las organizaciones
SIE impacto en las organizacionesUACH
 

Semelhante a Importancia TIC Auditoría (20)

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria de sistemas 2
Auditoria de sistemas 2Auditoria de sistemas 2
Auditoria de sistemas 2
 
Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Importancia de las tics
Importancia de las ticsImportancia de las tics
Importancia de las tics
 
Control interno y auditoría de sistemas
Control interno y auditoría de sistemasControl interno y auditoría de sistemas
Control interno y auditoría de sistemas
 
Solemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimientoSolemne empresa y sociedad del conocimiento
Solemne empresa y sociedad del conocimiento
 
Las tics como ayuda empresarial
Las tics como ayuda empresarialLas tics como ayuda empresarial
Las tics como ayuda empresarial
 
Ensayo tics
Ensayo ticsEnsayo tics
Ensayo tics
 
AUDITORIA DE GESTION INFORMATICA
AUDITORIA DE GESTION INFORMATICAAUDITORIA DE GESTION INFORMATICA
AUDITORIA DE GESTION INFORMATICA
 
Tania tics
Tania ticsTania tics
Tania tics
 
Las tic’s como herramientas de apoyo a la gestión empresarial
Las tic’s como herramientas de apoyo a la gestión empresarialLas tic’s como herramientas de apoyo a la gestión empresarial
Las tic’s como herramientas de apoyo a la gestión empresarial
 
S8 javier pérez_informe
S8 javier pérez_informeS8 javier pérez_informe
S8 javier pérez_informe
 
Trabajo sist. inf.gerencial
Trabajo sist. inf.gerencialTrabajo sist. inf.gerencial
Trabajo sist. inf.gerencial
 
Tema 1
Tema 1Tema 1
Tema 1
 
Importancia y uso de las tics en la administracion
Importancia y uso de las tics en la administracionImportancia y uso de las tics en la administracion
Importancia y uso de las tics en la administracion
 
Analisis critico (oag)
Analisis critico (oag)Analisis critico (oag)
Analisis critico (oag)
 
SIE impacto en las organizaciones
SIE impacto en las organizacionesSIE impacto en las organizaciones
SIE impacto en las organizaciones
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Cobit
CobitCobit
Cobit
 

Importancia TIC Auditoría

  • 1. Universidad Central Empresa y Sociedad del Conocimiento Importancia de las Tics en la Auditoría. Empresa y Sociedad del Conocimiento Profesor: Jorge Israel Integrantes: Giselle Aranguiz Nadia Cabello Eduardo Riquelme Karla Rivas Jenny Rodríguez Romina Silva Santiago 12 de junio de 2010. 1
  • 2. Universidad Central Empresa y Sociedad del Conocimiento Introducción: En este informe veremos la importancia que tiene la Tecnología de la Información y de la Comunicación en la Auditoria, en como se ha convertido en un recurso imprescindible en el trabajo diario del controlador financiero y el auditor y del complejo proceso de este procedimiento que requiere herramientas informáticas adecuadas para el desempeño de nuestra función como futuros Auditores. Para introducirnos en el tema principal debemos saber ¿Qué son las Tic? Tecnologías: Aplicación de los conocimientos científicos para facilitar la realización de las actividades humanas. Supone la creación de productos, instrumentos, lenguajes y métodos al servicio de las personas. Información: Datos que tienen significado para determinados colectivos. La información resulta fundamental para las personas, ya que a partir del proceso cognitivo de la información que obtenemos continuamente con nuestros sentidos vamos tomando las decisiones que dan lugar a todas nuestras acciones. Comunicación: Transmisión de mensajes entre personas. Como seres sociales las personas, además de recibir información de los demás, necesitamos comunicarnos para saber más de ellos, expresar nuestros pensamientos, sentimientos y deseos, coordinar los comportamientos de los grupos en convivencia, etc. Tecnologías de la Información y la comunicación (TIC) : Cuando unimos estas tres palabras hacemos referencia al conjunto de avances tecnológicos que nos proporcionan la informática, las telecomunicaciones y las tecnologías audiovisuales, que comprenden los desarrollos relacionados con los ordenadores, Internet, la telefonía, los "mas media", las aplicaciones multimedia y la realidad virtual. Estas tecnologías básicamente nos proporcionan información, herramientas para su proceso y canales de comunicación. 2
  • 3. Universidad Central Empresa y Sociedad del Conocimiento La aparición de la informática ha supuesto una revolución en la contabilidad. La creación de programas contables específicos en un entorno Windows, acercó las aplicaciones informáticas al usuario, haciendo que fueran más fáciles de utilizar y más versátiles. El siguiente paso, fue la revolución de las comunicaciones, especialmente de Internet, así como la ampliación del abanico de posibilidades de la contabilidad a actividades tales como la banca electrónica y el envío de declaraciones fiscales por Internet que facilitaron el intercambio de datos con mayor facilidad, fiabilidad y rapidez. Hay que señalar además, que el nacimiento y posterior regulación de la Firma electrónica reconocida como medio de autentificar los mensajes enviados haciendo muy difícil su falsificación, incrementa en gran medida el interés de las nuevas tecnologías de la información y la comunicación (TIC). Los profesionales TIC, auditores informáticos, pasan por ser los recursos cualificados para contribuir a la construcción de la confianza en la Administración Electrónica, configurándose como los garantes de la prestación de servicios de calidad, y en la consecución de las políticas públicas relacionadas. La función de la Auditoria Informática en las organizaciones, comienza con la implantación de un proceso para supervisar el control de las tecnologías y de los procesos asociados, y la evolución hacia un enfoque proactivo participando en otras fases del ciclo del control. Las distintas áreas operativas de las organizaciones se sostienen y apoyan cada vez más en los servicios de las tecnologías de la información y las comunicaciones (TIC), que han acompañado la automatización y el crecimiento de todos los procesos productivos, y la prestación de nuevos servicios. Como consecuencia, son muchas las organizaciones en las que la información y la tecnología que la soporta representan los activos más valiosos, y a su vez, reconocen los beneficios potenciales que las nuevas tecnologías les pueden proporcionar. La productividad de cualquier organización depende del funcionamiento interrumpido de los sistemas TIC, transformando a todo el entorno como un proceso crítico adicional. Por tanto, se requiere contar con una efectiva administración de los riesgos asociados con las TIC, y que viene dada por: - La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente Dependencia de la información y de los sistemas que la proporcionan. - El incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas a las que están expuestos. - La importancia y magnitud de los costes y las inversiones TIC. - La desconfianza que los procedimientos automatizados o los servicios electrónicos pudieran provocar en el colectivo usuario y en los ciudadanos en general. 3
  • 4. Universidad Central Empresa y Sociedad del Conocimiento - El potencial de las nuevas tecnologías de la información es tal que pueden llegar a introducir importantes cambios en la organización, y en las prácticas de su actividad, para crear nuevas oportunidades y reducir costos. Resulta de ello el rol básico que debe desempeñar la función de Auditoria Informática O Auditoria de los Sistemas de Información, en una organización: supervisión de los controles efectivamente implementados y determinación de la eficiencia de los mismos. Dada la especialización de los controles a supervisar, es indudable que en la Administración Pública el perfil de los profesionales TIC es el idóneo para asumir y realizar directamente esas funciones, ayudando a las organizaciones a fortalecer la confianza en los servicios prestados, en especial los enmarcados dentro de la Administración Electrónica. Los Auditores informáticos pueden recomendar cambios en los procesos de negocios para lograr los objetivos económicos o sociales de la organización. También es posible que las investigaciones revelen fraudes, desperdicios o abusos. Los auditores informáticos modernos proceden de manera sistemática en sus estudios, planificando sus acciones y enfocándose en las áreas de mayor riesgo. Dada la dependencia creciente de las organizaciones en las TIC y el surgimiento de normativa para su buen gobierno, el auditor informático también trabaja como consejero empresarial, asesorando en cuanto al establecimiento de políticas y estándares que aseguren la información y el control de las TIC. Es así que los profesionales TIC de la Administración tienen ante si un reto en su carrera profesional: realizar tareas propias de la función de auditoria, para contribuir a la mejora de la calidad de los servicios prestados a los ciudadanos. 4
  • 5. Universidad Central Empresa y Sociedad del Conocimiento Servicios de Auditoria de Tecnologías de la Información La Auditoria de las Tecnologías de la Información y las Comunicaciones está adquiriendo cada vez una mayor importancia debido a la necesidad de garantizar la seguridad, continuidad y disponibilidad de las infraestructuras informáticas sobre las que se sustentan los procesos de negocio de toda empresa u organismo, necesitando adicionalmente que todos estos procesos se realicen de forma eficiente. Por otro lado, los entornos legislativos actuales hacen referencia a la obligatoriedad de acreditar el cumplimiento de sus normas mediante Auditorias de Sistemas de Información y como parte inherente de la Auditoría Financiera, se está requiriendo cada vez más que los Sistemas de Información sean, a su vez, auditados. Dirección estratégica de las TICS: auditando los Sistemas de Información Un servicio muy útil a la hora de gestionar los Sistemas de Información (SI) de una empresa o sus Tecnologías de la Información y Comunicaciones (TIC) son las Auditorias. Una Auditoría es una radiografía de una parte de una empresa u organización. Las auditorías pueden ser externas (Hechas por un consultor externo a la organización) o Internas (Hechas por gente de la misma organización). El objetivo de una Auditoría es descubrir las causas de problemas en el funcionamiento, la verificación de presuntas causas o simplemente mejorar su funcionamiento. Algunos ejemplos son: • Auditoría técnica de sistemas para conocer el estado actual del hardware de la empresa (Estado, Antigüedad, Si es el adecuado, etc.), • Auditoría de la explotación para conocer el estado actual de los elementos de una explotación (Licencias, Recursos de explotación, ), • Auditoría de las redes de la empresa y evaluar su adecuación, seguridad, etc. 5
  • 6. Universidad Central Empresa y Sociedad del Conocimiento La información obtenida de la auditoría debe servir a la dirección de la empresa para la toma de decisiones, como por ejemplo: Implementar un software u otro según sus necesidades, Conocer los puntos flacos de la infraestructura de la empresa, Realizar un plan de mejora de los SI de la empresa, Implementar medidas para reducir costes, etc. El tipo de auditoría puede variar (puede ser interna o externa, auditoría de objetivos, etc.). No obstante, como común denominador, el ciclo de vida básico de una auditoría es el siguiente: 1- Inicio de la auditoría: Contrato y definición del alcance. La definición del alcance de la auditoría es un punto crítico, hay que acotar exactamente el trabajo ha hacer para obtener los resultado deseados (Mucha gente no presta atención a esto). 2- Revisión de la documentación y preparación de las actividades: Aquí se define el plan de auditoría, se organiza la inspección y se preparan los documentos de trabajo (Formularios, Listas de verificación, etc.). 3- Desarrollo del plan de auditoría 4- Preparación del informe de la auditoría y presentación de resultados: Una vez finalizadas las acciones del plan de auditoría se debe preparar el informe de auditoría donde debe aparecer toda la documentación de la auditoría y sus conclusiones. También debe realizarse la presentación de los resultados a la persona auditada y asegurarse que son comprendidos. En resumen, la auditoría es una herramienta poco conocida y muy valiosa a la hora de tomar decisiones en lo que a TIC/SI se refiere. Una auditoría (externa o interna) nos brinda la información necesaria para tomar decisiones sobre una base sólida y con garantías de éxito. 6
  • 7. Universidad Central Empresa y Sociedad del Conocimiento Problemas en las TICS. En el mundo de las TICs, como en cualquier otro, son varios los problemas a los que los administradores se deben enfrentar, aunque los peores son aquellos que no son evidentes. Hemos identificado ‘situaciones a evitar’ que causan importantes pérdidas monetarias y que afectan a la productividad. Los usuarios acceden a servicios externos El rápido crecimiento de las tecnologías Web 2.0 ha puesto herramientas potentes, gratuitas y fáciles de usar al alcance de todos, incluyendo los empleados que utilizan estos servicios para facilitar y simplificar las tareas corporativas. Como ejemplo, hay empleados que colaboran en la creación de un informe utilizando Google, se comunican con proveedores a través del Messenger o, incluso, utilizan herramientas de gestión SAAS (software por pago) en proyectos críticos. En la mayoría de los casos, estas herramientas se utilizan sin la supervisión del personal de TI. Sin embargo, este tipo de situación puede causar problemas para todos. Los empleados que descubren problemas de acceso a los servicios esenciales se pueden encontrar con que el personal de TI no dispone de la preparación adecuada para proporcionarles ayuda. Por otra parte, el personal de TI se enfrenta ahora a la posibilidad de una infección de malware que entre por estos puntos. Así, los responsables de Tecnología deben asegurar que los servicios externos forman parte de cualquier discusión sobre las aplicaciones necesitadas por los departamentos. Las encuestas pueden ayudar a la hora de darnos una pista sobre los servicios externos utilizados así como las herramientas que proporcionan información sobre las estadísticas de uso. 7
  • 8. Universidad Central Empresa y Sociedad del Conocimiento Los datos sensibles des encriptados están siendo transmitidos Su negocio dispone de lo que usted considera una configuración de red estándar y segura. Un cortafuego protege todo el tráfico interno. Servidores Web y otros sistemas que requieren un acceso directo a Internet disponen de túneles encriptados a las fuentes de datos dentro de los cortafuegos. Más allá de esta configuración tradicional, muchas empresas podrían beneficiarse con otras opciones de encriptación. Por ejemplo, el hecho de que una red se encuentre dentro de los cortafuegos no significa que ésta esté protegida. Incluso aquellos empleados con un poco de destreza tecnológica tienen a su alcance herramientas que permiten escanear las redes para rastrear información sensible, desde datos empresariales a las nóminas del personal. Los administradores de redes deben pensar como hackers y utilizar las mismas herramientas de rastreo que estos para identificar todos los datos, moviéndose por la red. Si pueden ver esta información, cualquier otro usuario también la puede ver. Una vez identificados estos datos descubiertos, las conexiones se pueden robustecer con seguridad. Las aplicaciones Web están repletas de fallos de seguridad Aunque son ya muchas las compañías que se han puesto ‘serias’ en cuando a la implementación de parches y actualizaciones de las aplicaciones, esta práctica no cubre el perfil entero de la seguridad de aplicaciones. La razón radica en que existen aplicaciones corporativas que se suelen descartar o ignorar en las políticas de actualizaciones y, frecuentemente, éstas contienen información sensible. 8
  • 9. Universidad Central Empresa y Sociedad del Conocimiento Los problemas en las empresas La topología actual de aplicaciones empresariales es mixta y está compuesta tanto por programas internos como externos. Muchos de estos programas no son más que pequeños scripts. Y estos son precisamente los que más riesgo conllevan porque son sencillos y fáciles de descifrar. Las compañías deben tener a mano un listado de todas las aplicaciones Web y scripts que residen en la red. Asegúrese de que dispone de las últimas versiones de las aplicaciones y componentes que hay detrás de los wikis y blogs, por ejemplo. En el caso de aplicaciones customizadas, mantenga un fichero de los scripts que éstas puedan incorporar. Esto significa la monitorización periódica de servicios de seguridad como CERT y las páginas Web o comunidades que ofrecen estos servicios. Asegurar la integridad de las aplicaciones que son un punto de entrada a la red corporativa es una inversión sin precio. Datos no auditables Una buena auditoría de los datos almacenados en su organización es un deber común en las industrias reguladas, pero es una tarea pendiente para muchas de las nuevas empresas. Las industrias reguladas, como son Banca, Seguros y Sanidad, están acostumbradas al proceso de auditorías periódicas y disponen de un banco de conocimientos sobre la ubicación de los datos. Sin embargo, las industrias emergentes no son tan detallistas. Esta discrepancia en el ciclo de datos requiere una estrategia doble que asegure tanto el cumplimiento de las normas como la seguridad de la información. La seguridad afecta tanto a la protección de la información como a la aplicación de parches para asegurar que las aplicaciones funcionan como deben. Una buena manera de evitar problemas de cumplimiento de normas es la implementación estricta de políticas que monitorizan cada modificación de los servidores y los dispositivos de red. 9
  • 10. Universidad Central Empresa y Sociedad del Conocimiento Escasos recursos de almacenamiento Las facturas de los sistemas de almacenamiento que ha adquirido para su empresa frente a la utilización actual, sugieren que su organización dispone de mucha capacidad. Sin embargo, un sistema de ficheros ineficiente puede poner en riesgo la capacidad de un recurso esencial. Los administradores deben evaluar los requerimientos de capacidad y rendimiento de las aplicaciones junto con los recursos disponibles de almacenamiento. Las organizaciones pueden maximizar la utilización de capacidad y mantener un nivel de rendimiento aceptable. Su IP podría ser deficiente Más que nunca, las organizaciones dependen de sus redes IP para todo tipo de tareas. En muchas compañías, puntos de acceso inalámbricos, teléfonos VOIP y cámaras de seguridad ofrecen nuevas opciones de disminuir el número de líneas físicas y cables de suministro de energía. Una falta de Business Intelligence La BI no es una tecnología nueva. Las grandes empresas, especialmente las del sector financiero y de sanidad, han utilizado herramientas de BI durante muchos años. Las medianas y pequeñas empresas que no implementan estas tecnologías se enfrentan a problemas de competitividad. Lejos de ser tecnologías sólo aptas para empresas grandes, las herramientas de análisis han evolucionado de tal manera que son asequibles incluso para organizaciones más modestas. No cabe duda que estas herramientas pueden marcar una diferencia importante en los servicios y productos de una compañía que llegan al mercado, incrementando la rentabilidad de transacciones comerciales. Pero para poder aprovechar estas herramientas hay que comprometerse a unificar la tecnología y los procesos de negocio en una organización. Esto significa una infraestructura óptimamente configurada con herramientas que recogen la información pertinente de una transacción. 10
  • 11. Universidad Central Empresa y Sociedad del Conocimiento Los consultores han de vigilarse Las promesas de costes reducidos y plazos cortos pueden abrir las puertas a una serie de errores que no benefician a nadie. Los consultores suelen tomar atajos poco correctos para cumplir los plazos de cumplimiento. Quizás envían datos sensibles inalámbricamente sin las protecciones adecuadas. Quizás utilizan software no licenciado para monitorizar o gestionar algún componente del despliegue. O quizás abren un agujero en sus cortafuegos para obtener un acceso directo y después se olvidan en cerrarlo. Las compañías deben especificar claramente las normas de conducta y establecer un sistema de evaluación medible. En el contrato, las compañías deben decretar el comportamiento mínimo aceptable con respecto a las licencias, la seguridad, documentación y gestión de cambios. Finalmente, ha de haber una evaluación a posteriori para comprobar el cumplimiento de objetivos y asegurar que la infraestructura no haya sufrido ningún daño colateral. 11
  • 12. Universidad Central Empresa y Sociedad del Conocimiento Conclusión El incremento masivo en el uso de medios informáticos, ya sea de ordenadores en los puestos de trabajo como en las aplicaciones de tecnología cada vez más sofisticada, y en la prestación de servicios a los ciudadanos mediante la Administración Electrónica, han llevado a la necesidad de adaptar las técnicas de auditoria tradicionales para poder hacer frente a esos cambios. Una vez planteadas y reconocidas las nuevas exigencias de control, surge la necesidad de contar con un marco metodológico para organizar las actividades de Auditoria, y así definir las pautas y los controles a considerar en las futuras actuaciones de auditoria. Esto se sustenta en el hecho que el uso de una metodología contrastada contribuye a: - Salvar las brechas existentes entre riesgos del proceso de gestión, necesidades de control y aspectos técnicos. Esto es debido a que los riesgos de un proceso de gestión no son los mismos que los riesgos a que se expone el sistema de información que le da apoyo. La Auditoria Informática debe intentar asegurar que ambos están controlados, o sea, ajustados a las necesidades de control, o a lo que se asuma controlar, y a los medios y recursos técnicos disponibles. - Determinar el alcance de la tarea de auditoria e identificar los controles mínimos, que debe estar dirigida no sólo a auditores informáticos, sino también a los gestores y a los usuarios. - Observar e incorporar los estándares y regulaciones nacionales o internacionales. Al contar con una metodología se podrán tener predefinidos los procedimientos de actuación, que aunque sólo lleguen a definir el qué y el cómo hacer las actuaciones, permitirán generar resultados homogéneos por los distintos miembros del equipo auditor. Asimismo, el marco metodológico adoptado tendrá que definir las pautas y los controles a realizar con relación a los sistemas de información, tecnologías de hardware, seguridad, planificación, desarrollo de sistemas, etc. 12
  • 13. Universidad Central Empresa y Sociedad del Conocimiento 13