Auditoria
Páginas: 14 (3329 palabras)
Publicado: 26 de enero de 2016
U.D. 8
Juan Carlos Pérez González
UD 8. Auditorías
•
•
•
•
•
•
•
Requisitos de seguridade do sistema e dos datos.
Obxectivos da auditoría.
Ámbito da auditoría. Aspectos auditables.
Mecanismos de auditoría. Alarmas e accións correctivas.
Información do rexistro de auditoría.
Técnicas e ferramentas de auditoría.
Informes de auditoría
1. Auditorías. Ámbito y Aspectos Auditables.
La auditoríainformática es un proceso que consiste en recoger, agrupar y evaluar
evidencias para determinar si un sistema de información (SI) salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines
de la organización, utiliza eficientemente los recursos, holita y cumple con las leyes
y regulaciones establecidas. Permiten detectar de forma sistemática el uso delos
recursos y los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos, identificando
necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de
información eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización,determinando si los mismos son adecuados
y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos. Los mecanismos de control pueden
ser directivos, preventivos, de detección, correctivos o de recuperación ante una
contingencia.
Los objetivos de la auditoría son:
• El análisis de la eficiencia de los SI
• La verificacióndel cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
• Desempeño
• Fiabilidad
1
U.D. 8
Juan Carlos Pérez González
• Eficacia
• Rentabilidad
• Seguridad
• Privacidad
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio dela
auditoría informática ha promovido la creación y desarrollo de mejores prácticas como
COBIT o ITIL (consultar en Internet para más información si lo deseaís)
Tipos de Auditoría de Sistemas
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
• Auditoría de la gestión: la contratación de bienes y servicios, documentación de
los programas, etc.
• Auditoría legal delReglamento de Protección de Datos: Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la LOPD
(Ley Orgánica de Protección de Datos)
• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y
análisis de los flujogramas.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de
integridad y calidad de los datos.
•Auditoría de la seguridad: Referidos a datos e información verificando
disponibilidad, integridad, confidencialidad, autenticación y no repudio.
• Auditoría de la seguridad física: Referido a la ubicación de la organización,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física
de esta. También está referida a las protecciones externas (arcos de seguridad,
CCTV,vigilantes, etc.) y protecciones del entorno.
• Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los
sistemas de información.
• Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticación en los sistemas de comunicación.
• Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
2
U.D. 8
Juan Carlos Pérez González
Enla realización de una auditoría informática el auditor puede realizar las siguientes
pruebas:
• Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se
suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de
examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud,
integridad y validez de la información.
• Pruebas de...
Juan Carlos Pérez González
UD 8. Auditorías
•
•
•
•
•
•
•
Requisitos de seguridade do sistema e dos datos.
Obxectivos da auditoría.
Ámbito da auditoría. Aspectos auditables.
Mecanismos de auditoría. Alarmas e accións correctivas.
Información do rexistro de auditoría.
Técnicas e ferramentas de auditoría.
Informes de auditoría
1. Auditorías. Ámbito y Aspectos Auditables.
La auditoríainformática es un proceso que consiste en recoger, agrupar y evaluar
evidencias para determinar si un sistema de información (SI) salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines
de la organización, utiliza eficientemente los recursos, holita y cumple con las leyes
y regulaciones establecidas. Permiten detectar de forma sistemática el uso delos
recursos y los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos, identificando
necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de
información eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización,determinando si los mismos son adecuados
y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos. Los mecanismos de control pueden
ser directivos, preventivos, de detección, correctivos o de recuperación ante una
contingencia.
Los objetivos de la auditoría son:
• El análisis de la eficiencia de los SI
• La verificacióndel cumplimiento de la Normativa en este ámbito
• La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
• Desempeño
• Fiabilidad
1
U.D. 8
Juan Carlos Pérez González
• Eficacia
• Rentabilidad
• Seguridad
• Privacidad
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio dela
auditoría informática ha promovido la creación y desarrollo de mejores prácticas como
COBIT o ITIL (consultar en Internet para más información si lo deseaís)
Tipos de Auditoría de Sistemas
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
• Auditoría de la gestión: la contratación de bienes y servicios, documentación de
los programas, etc.
• Auditoría legal delReglamento de Protección de Datos: Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la LOPD
(Ley Orgánica de Protección de Datos)
• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y
análisis de los flujogramas.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de
integridad y calidad de los datos.
•Auditoría de la seguridad: Referidos a datos e información verificando
disponibilidad, integridad, confidencialidad, autenticación y no repudio.
• Auditoría de la seguridad física: Referido a la ubicación de la organización,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física
de esta. También está referida a las protecciones externas (arcos de seguridad,
CCTV,vigilantes, etc.) y protecciones del entorno.
• Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los
sistemas de información.
• Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticación en los sistemas de comunicación.
• Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
2
U.D. 8
Juan Carlos Pérez González
Enla realización de una auditoría informática el auditor puede realizar las siguientes
pruebas:
• Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se
suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de
examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud,
integridad y validez de la información.
• Pruebas de...
Leer documento completo
Regístrate para leer el documento completo.