Recolección de información para una auditoria informática

Observación

Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del área informática y los sistemas de software, permite recolectar la información directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el área. En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área informática y los sistemas de una organización con el propósito de percibir, examinar, o analizar los eventos que se presentan en el desarrollo de las actividades del área o de un sistema que permita evaluar el cumplimiento de las funciones, operaciones y procedimientos.

Entrevistas

Esta técnica es la más utilizada por lo auditores ya que a través de esta se obtiene información sobre lo que esta auditando, además de tips que permitirán conocer más sobre los puntos a evaluar o analizar. La entrevista en general es un medio directo para la recolección de información para la captura de los datos informados por medio de grabadoras digitales o cualquier otro medio. En la entrevista, el auditor interroga, investiga y conforma directamente sobre los aspectos que se está auditando. En su aplicación se utiliza una guía general de la entrevista, que contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando para profundizar y preguntar sobre el tema.

Cuestionarios

Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una opción sobre el aspecto evaluado.

Encuestas

Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre otros juicios de la función informática. No existen reglas para el uso de las encuestas, solo los que regulan los aspectos técnicos y estadísticos tales como la elección del universo y la muestra, que se contemplan dentro de la aplicación de métodos probabilísticos y estadísticos para hacer la mejor elección de las muestras y recolección de opiniones.

Inventarios

Consiste en hacer un recuento físico de lo que se está auditando, con el fin de compararlo con lo que existe en los documentos en la misma fecha. Consiste en comparar las cantidades reales existentes con las que debería haber para comprobar que sean iguales, de lo contrario iniciar la investigación de la diferencia para establecer las causas. Con la aplicación de esta herramienta de la auditoria tradicional, el auditor de sistemas también puede examinar las existencias de los elementos disponibles para el funcionamiento del área informática o del sistema, contabilizando los equipos de cómputo, la información y los datos de la empresa, los programas, periféricos, consumibles, documentos, recursos informáticos, y demás aspectos que se  desee conocer, con el fin de comparar la cantidad real con las existencias que se registran en los documentos.

Tipos y Clases de Auditoria

TIPOS Y CLASES DE AUDITORIA

El departamento de informática posee una actividad proyectada al exterior al usuario aunque el exterior sea la misma empresa.

La auditoria informática esta compuesta por áreas generales y áreas especificas.

ÁREAS GENERALES DE LA AUDITORÍA INFORMÁTICA:

AUDITORIA INFORMÁTICA DE USUARIO: Se hace esta distinción para controlar a la informática interna, en donde se hace la informática cotidiana y real.

AUDITORIA DE ACTIVIDADES INTERNAS: Se encarga de realizar el control del funcionamiento del departamento de informática con el exterior, con el usuario, se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz requiere el apoyo continuo de su Dirección frente al "exterior".

AUDITORÍA INFORMÁTICA DE DIRECCIÓN: Se basa en revisar y controlar las interrelaciones entre la informática y la empresa,

AUDITORÍA DE SEGURIDAD: Siendo el equipo de computación un instrumento que estructura gran cantidad de información, confidencial para individuos, empresas o instituciones, y la misma puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus.

AREAS ESPECÍFICAS:

Dentro de estas áreas, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos.

Cada área Específica puede ser auditada desde los siguientes criterios generales:

· Desde su propio funcionamiento interno.

· Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta.

· Desde la perspectiva de los usuarios, destinatarios reales de la informática.

· Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada.

Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada.

Auditoría Informática de Explotación:

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. Para realizar la Explotación Informática se dispone de una materia prima, los Datos, que sea necesario transformar, y que se sometan previamente a controles de integridad y calidad. La transformación se realiza por medio del Proceso informático, el cual está gobernado por programas. Obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario. Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones. La Explotación Informática se divide en tres grandes áreas:

Ø Planificación.

Ø Producción.

Ø Soporte Técnico.

Auditoría Informática de Desarrollo de Proyectos o Aplicaciones:

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizables tiene la empresa. Muy escuetamente, una aplicación recorre las siguientes fases:

· Prerrequisitos del Usuario (único o plural) y del entorno

· Análisis funcional

· Diseño

· Análisis orgánico (Pre programación y Programación)

· Pruebas

· Entrega a Explotación y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo de los costes, podrá producirse la insatisfacción del usuario. Finalmente, la auditoría deberá comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros.

Auditoría Informática de Sistemas:

Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de Sistemas.

Auditoría Informática de Comunicaciones y Redes:

Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real. El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte. Como en otros casos, la auditoría de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales.

El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso. Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organización.

Auditoría informática

Observación

Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del área informática y los sistemas de software, permite recolectar la información directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el área. En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área informática y los sistemas de una organización con el propósito de percibir, examinar, o analizar los eventos que se presentan en el desarrollo de las actividades del área o de un sistema que permita evaluar el cumplimiento de las funciones, operaciones y procedimientos.

Entrevistas

Esta técnica es la más utilizada por lo auditores ya que a través de esta se obtiene información sobre lo que esta auditando, además de tips que permitirán conocer más sobre los puntos a evaluar o analizar. La entrevista en general es un medio directo para la recolección de información para la captura de los datos informados por medio de grabadoras digitales o cualquier otro medio. En la entrevista, el auditor interroga, investiga y conforma directamente sobre los aspectos que se está auditando. En su aplicación se utiliza una guía general de la entrevista, que contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando para profundizar y preguntar sobre el tema.

Cuestionarios

Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una opción sobre el aspecto evaluado.

Encuestas

Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre otros juicios de la función informática. No existen reglas para el uso de las encuestas, solo los que regulan los aspectos técnicos y estadísticos tales como la elección del universo y la muestra, que se contemplan dentro de la aplicación de métodos probabilísticos y estadísticos para hacer la mejor elección de las muestras y recolección de opiniones.

Inventarios

Consiste en hacer un recuento físico de lo que se está auditando, con el fin de compararlo con lo que existe en los documentos en la misma fecha. Consiste en comparar las cantidades reales existentes con las que debería haber para comprobar que sean iguales, de lo contrario iniciar la investigación de la diferencia para establecer las causas. Con la aplicación de esta herramienta de la auditoria tradicional, el auditor de sistemas también puede examinar las existencias de los elementos disponibles para el funcionamiento del área informática o del sistema, contabilizando los equipos de cómputo, la información y los datos de la empresa, los programas, periféricos, consumibles, documentos, recursos informáticos, y demás aspectos que se  desee conocer, con el fin de comparar la cantidad real con las existencias que se registran en los documentos.

Auditoria

Es la investigación, consulta, revisión, verificación, comprobación y evidencia aplicada a la Empresa. Es el examen realizado por el personal cualificado e independiente de acuerdo con Normas de Contabilidad; con el fin de esperar una opinión que muestre lo acontecido en el negocio; requisito fundamental es la independencia.

Se define también la Auditoría como un proceso sistemático, que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas a los actos o eventos de carácter económico – administrativo, con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas. Se practica por profesionales calificados e independientes, de conformidad con normas y procedimientos técnicos.

La Auditoría juega un papel fundamental en el mantenimiento de estas empresas que se necesitan, por cuanto implica el control de los recursos de los cuales ella dispone, a su vez la calidad de las Auditorías es uno de los temas más importantes a perfeccionar en esta rama, pues de esto depende la confiabilidad de los estados de control de nuestras empresas.

La Supervisión de las Auditorias constituye un aspecto de vital de importancia según las tendencias actuales, por cuanto significa la comprobación y seguridad de que éstas se hayan realizado cumpliendo con los principios y normas establecidos para el ejercicio de la Auditoria y permiten evaluar la correspondencia del dictamen emitido por el grupo de auditores con la situación real de la entidad auditada.

Concepto de parte de nuestro equipo sobre la seguridad informática.

Después de varias investigaciones nuestro equipo llega a la conclusión, es la forma que utilizamos para proteger la información que se maneja en la empresa o a nivel personal ya que son datos muy valiosos y por medio de los cuales se pueden ademas de tener información muy privada , por eso utilizamos los medios de seguridad para que no se pueda acceder de manera sencilla, podemos utilizar varios tipos de seguridad tales como: 

A) Colocar claves a los usuarios para proteger de las personas que no queremos que acedan a nuestra información.

B) Asignar las permiso-logia de los usuarios para que no puedan entrar a alguna información privada.

C) También utilizar Firewall para resguardar nuestros datos.

D) Proteger por medio de los antivirus ya que no queremos que la información posea de datos maliciosos.

E) La protección de un sistema de circuito cerrado o CCTV para saber si alguien entro, que fue lo que sucedió si se llega a presentar algún evento.

F) El protocolo de seguridad AAA.

G) Otro protocolo de seguridad como lo es el SYSLOG.

Hay muchas mas formas para proteger la seguridad de nuestra información pero nosotros queremos darles unos pequeños datos de los mas importantes que consideramos, espero que sea de su agrado nuestro pequeño aporte con el tema.