Sunteți pe pagina 1din 8

REPBLICA BOLIVARIANA DE VENEZUELA

UNIVERSIDAD NACIONAL EXPERIMENTAL

RMULO GALLEGOS

REA DE INGENIERA DE SISTEMAS

INFORME DE
AUDITORIA
INFORMATICA

INTEGRANTE

VICTOR PAIPAY C.I : 24.173.209

Auditoria Informtica
La Auditora Informtica es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la
integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organizacin,
utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.

Permiten detectar de Forma Sistemtica el uso de los recursos y los flujos de informacin
dentro de una Organizacin y determinar qu Informacin es crtica para el cumplimiento
de su Misin y Objetivos, identificando necesidades, falsedades, costes, valor y barreras,
que obstaculizan flujos de informacin eficientes. En si la auditora informtica tiene 2 tipos
las cuales son:

AUDITORIA INTERNA: Es aquella que se hace desde dentro de la empresa; sin contratar
a personas ajena, en el cual los empleados realizan esta auditora trabajan ya sea para la
empresa que fueron contratados o simplemente algn afiliado a esta.

AUDITORIA EXTERNA: Como su nombre lo dice es aquella en la cual la empresa contrata


a personas de afuera para que haga la auditora en su empresa. Auditar consiste
principalmente en estudiar los mecanismos de control que estn implantados en una
empresa u organizacin, determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar
para la consecucin de los mismos.

Tipos de Auditoria en Informtica


Dentro de la auditora informtica destacan los siguientes tipos (entre otros):

Auditora de la gestin: la contratacin de bienes y servicios, documentacin de los


programas, etc.

Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las medidas
de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de Proteccin
de Datos.

Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis de
los flujo gramas.

Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y


calidad de los datos.

Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad,


integridad, confidencialidad, autenticacin y no repudio.

Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando


ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta.
Tambin est referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes,
etc.) y protecciones del entorno.

Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas


de informacin.

Auditora de las comunicaciones. Se refiere a la auditora de los procesos de autenticacin


en los sistemas de comunicacin.

Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.

Importancia de la Auditora Informtica ahora

La auditora permite a travs de una revisin independiente, la evaluacin de actividades,


funciones especficas, resultados u operaciones de una organizacin, con el fin de evaluar
su correcta realizacin. Este autor hace nfasis en la revisin independiente, debido a que
el auditor debe mantener independencia mental, profesional y laboral para evitar cualquier
tipo de influencia en los resultados de la misma.

la tcnica de la auditora, siendo por tanto aceptables equipos multidisciplinarios formados


por titulados en Ingeniera Informtica e Ingeniera Tcnica en Informtica y licenciados en
derecho especializados en el mundo de la auditora.

Importancia de una auditoria en Informtica


El progreso de la tecnologa de la computacin y la informtica, est mejorando da a da,
esto a la vez genera problemas en el desarrollo de oportunidades y lleva a cometer
errores. Entonces para que no suceda eso es necesario revisar e inspeccionar los
proyectos que es el trabajo de la auditoria para poder brindar un mejor trabajo de control a
la sociedad. La oficina de la auditoria trabaja bajo inspeccin de las regulaciones y leyes
propias de auditoria, en la construccin de sistemas de control para la ejecucin de
proceso, almacenamiento de datos, revisin, etc. Debido a la probabilidad de cometer
errores es sugerido a las instituciones que estn bajo inspeccin por lo menos una vez al
ao y que tengan clases sobre el control y manejo de sistemas, de esta forma se puede
evitar la prdida de datos por un mal manejo.

Principales puntos por los cuales es importante realizar una auditoria:

- La alta sistematizacin

- Las nuevas tecnologas

- La automatizacin de los controles

- Integracin de informacin

- Importancia de la informacin

Herramienta y tcnica para realizar una auditoria en informtica

Evaluacin

consiste en analizar mediante pruebas la calidad y cumplimiento de funciones, actividades


y procedimientos que se realizan en una organizacin o rea.

Inspeccin

la inspeccin permite evaluar la eficiencia y eficacia del sistema, en cuanto a operacin y


procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo.

Confirmacin

el aspecto ms importante en la auditoria es la confirmacin de los hechos y la certificacin


de los datos que se obtienen en la revisin, ya que el resultado final de la auditoria es la
emisin de un dictamen donde el auditor expone sus opiniones, este informe es aceptado
siempre y cuando los datos sean veraces y confiables

Comparacin: es la comparacin de los datos obtenidos en un rea o en toda la


organizacin y cotejando esa informacin con los datos similares o iguales de otra
organizacin con caractersticas semejantes.

Revisin Documental
para recopilar informacin relacionada con la actividad, operacin o funcin que se realiza
en el rea informtica, as como tambin se puede observar anticipadamente su
cumplimiento

Matriz DOFA

este es un mtodo de anlisis y diagnstico usado para la evaluacin de un centro de


cmputo, que permite la evaluacin del desempeo de los sistemas software, aqu se
evalan los factores internos y externos, para que el auditor puede evaluar el cumplimiento
de la misin y objetivo general del rea de informtica de la organizacin.

Como hacer una auditoria en redes

El objetivo de una auditoria de redes es determinar la situacin actual, fortalezas y


debilidades, de una red de datos. Una empresa necesita saber en qu situacin est la red
para tomar decisiones sustentadas de reemplazo o mejora.

En todos estos aos de experiencia en redes, me he dado cuenta que cuando existen
muchos problemas en la red, cuando baja la disponibilidad, cuando la red est saturada,
cuando se quiere implementar nuevas funciones y la red no lo soporta o cuando los costos
operativos se hacen cada vez ms caros entonces es un buen momento para pensar en
contratar una auditora de redes, es decir, un anlisis y diagnstico de la red, para saber
con exactitud la situacin actual. Para ello, tiene que ser un tercero el que haga este
trabajo, porque si lo hace el mismo administrador de red, seria juez y parte. La auditora de
redes podra formar parte de una auditora de sistemas ms integral.

Para hacer una auditora de redes utilizo una metodologa, creada por m, respaldado por
20 aos haciendo esta labor. La metodologa se basa principalmente en el modelo de
referencia OSI, estndares como el TIA-942, Tire, norma de cableado estructurado
ANSI/TIA/EIA-568-B, ANSI/TIA/EIA-569-A y las mejores prcticas en el mercado.

La auditora de redes, se inicia evaluando la parte fsica de la red, condiciones del


cableado estructurado, mantenimiento de la sala de servidores, gabinetes de
comunicacin, etiquetado de los cables, orden , limpieza. Comparado con las mejores
prcticas y referenciados con los estndares. En esta parte, tambin se consideran el
mantenimiento de los equipos de comunicaciones, tener un inventario actualizado de los
equipos de red, garantas.

Luego se realiza el levantamiento de informacin, anlisis y diagnstico de la configuracin


lgica de la red, es decir; plan ir, tabla de van, diagrama de van, diagrama topolgico,
situacin del spaning-tree, configuracin de los equipos de red.

Despus de revisar toda esa informacin se procede a realizar una evaluacin cuantitativa
de diversos conceptos los cuales nos darn una valoracin final sobre la situacin de la
red. El resultado de la auditoria de la red no es cualitativo sino cuantitativo, utilizando una
escala de Likert.

Objetivo en la auditoria en Redes


Fsica o lgica?

Cuando se considera la proteccin de la informacin y de los dispositivos de red, las


auditoras pueden clasificarse en revisiones de seguridad fsica y lgica. Por un lado, la
revisin de seguridad fsica est orientada en conocer y evaluar los mecanismos de
proteccin del hardware y del cableado, mientras que las revisiones lgicas tienen como
propsito verificar y evaluar las medidas de proteccin sobre la informacin y los procesos.

En este sentido, la auditora de seguridad fsica en redes puede considerar la revisin de


las conexiones y su apego a normas de cableado estructurado establecidas por
organismos como ANSI o ISO, as como medidas que protegen tanto el cableado como los
dispositivos de red, incluso controles aplicados sobre los cuartos de servidores (sites). En
tanto, las evaluaciones lgicas consideran mecanismos de control de acceso a la red,
privilegios de cuentas con autorizacin para conexiones o los protocolos utilizados, por
mencionar algunos ejemplos.

Interna o externa?

Tambin, con base en la configuracin de la red, la auditora puede considerar revisiones


de red interna y externa. Las revisiones externas son aqullas que se llevan a cabo desde
fuera del permetro y pueden incluir la evaluacin de configuraciones, revisin de reglas en
firewalls, configuracin de IDS/IPS y listas de control de acceso en routers, entre otras
actividades.

La red interna, en cambio, puede considerar la revisin de la configuracin de segmentos


de red, protocolos utilizados, servicios desactualizados o topologas empleadas.

Red cableada o inalmbrica?

Adems, tambin es posible clasificar la revisin en funcin del tipo de red a evaluar, por
ejemplo si se trata de una revisin de red cableada o inalmbrica. Si se trata de redes
inalmbricas, se deber evaluar la conveniencia de los protocolos de cifrado utilizados
para las comunicaciones entre los puntos de acceso y los dispositivos que se conectan a
la red, as como el uso de llaves de cifrado extensas y complejas, que reduzcan la
probabilidad de xito de ataques de fuerza bruta o de diccionario.

En este sentido, tambin es importante llevar a cabo comprobaciones sobre la


vulnerabilidad de los dispositivos, relacionada con ataques comunes a redes inalmbricas,
por ejemplo, suplantacin de puntos de acceso o denegacin de servicio (DoS). Ya hemos
visto por qu es importante este punto, si consideramos el peligro de la mala gestin del
Wi-Fi en empresas.

Revisiones tcnicas o de cumplimiento?

Otro tipo de auditoras estn relacionadas con las personas que llevan a cabo las
revisiones y su especializacin en el tema, por lo tanto se pueden llevar a cabo revisiones
tcnicas y de cumplimiento. Las revisiones tcnicas deben comprender conocimientos de
los protocolos y dispositivos utilizados, de manera que las debilidades puedan ser
identificadas y posteriormente corregidas. Para esto, es importante aplicar la perspectiva
ofensiva, en la cual se simulan ataques, claro est, siempre con la autorizacin debida y
en ambientes controlados (incluyen evaluaciones de vulnerabilidades o pruebas de
penetracin).
Las revisiones de cumplimiento o gestin permiten conocer el estado de apego en las
prcticas que se llevan a cabo en las organizaciones relacionadas con la proteccin de las
redes, en comparacin con lo que establecen documentos especializados, como pueden
ser estndares de seguridad, marcos de referencia o requisitos que deban ser cumplidos.

Como hacer una auditoria en un sistema de informacin

Se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos


que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad,
seguridad y confidencialidad de la informacin que se procesa a travs de los sistemas de
informacin. La auditora de sistemas es una rama especializada de la auditora que
promueve y aplica conceptos de auditora en el rea de sistemas de informacin.

La auditora de los sistemas de informacin se define como cualquier auditora que abarca
la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los
sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no
automticos relacionados con ellos y las interfaces correspondientes.

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia
para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica
con el fin de lograr mayor eficiencia operacional y administrativa

Objetivo especfico de una auditoria de un sistema

1. Participacin en el desarrollo de nuevos sistemas: evaluacin de controles cumplimiento


de la metodologa.

2. Evaluacin de la seguridad en el rea informtica.

3. Evaluacin de suficiencia en los planes de contingencia. respaldos, prever qu va a


pasar si se presentan fallas.

4. Opinin de la utilizacin de los recursos informticos. Resguardo y proteccin de


activos.

5. Control de modificacin las aplicaciones existentes. Fraudes control a las


modificaciones de los programas.

6. Participacin en la negociacin de contratos con los proveedores.

7. Revisin de la utilizacin del sistema operativo y los programas utilitarios. control sobre
la utilizacin de los sistemas operativos programas utilitarios.

8. Auditora de la base de datos. estructura sobre la cual se desarrollan las aplicaciones...

9. Auditora de la red de teleprocesos.

10. Desarrollo de software de auditora. Es el objetivo final de una auditora de sistemas


bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de
las operaciones del rea de procesamiento de datos.

Que es un checklist de seguridad


En este documento se analizan los mtodos (o checklist) para llevar a cabo una auditora
de seguridad exhaustiva y efectiva de un sistema informtico o red. No se trata de discutir
especficamente los detalles tcnicos de la prevencin en los sistemas informticos
especficos, sino que proporcionar una lista de verificacin general para examinar la
seguridad de un sistema informtico. Aunque este documento lo hicimos hace tiempo y ha
envejecido un poco, el checklist para el cuestionario que tendramos que hacer son todava
muy vigentes. La seguridad informtica es un rea en el que debemos de invertir tiempo
para evitar posibles problemas y luego tener que reparar daos.

Este documento no es una gua tcnica detallada que se tenga que tomar como definitiva
o integral, debera comparar con la poltica de gestin de seguridad de la informacin de
su empresa en particular para los pasos a seguir para asegurar su sistema. El autor de
este documento no ser responsable de los daos, directos o indirectos, incurridos en el
seguimiento de este consejo. Si ha sufrido un fallo de seguridad, debera contactar con un
profesional con experiencia en seguridad para evaluar las opciones de recuperacin.

S-ar putea să vă placă și