PDF de programación - AUDITORÍA DE SISTEMAS Y TECNOLOGÍAS DE INFORMACIÓN

UNIVERSIDAD DEL ACONCAGUA
FACULTAD DE CIENCIAS ECONÓMICAS Y JURÍDICAS
CONTADOR PÚBLICO NACIONAL









































Alumno: PEREYRA, Gabriel Eduardo
Año de cursado: 2007
Profesor: DRIBAN, Osvaldo
Tema: “AUDITORÍA DE SISTEMAS Y
TECNOLOGÍAS DE INFORMACIÓN”
Fecha y Lugar de Presentación: Mendoza,
Octubre de 2009



AAUUDDIITTOORRÍÍAA DDEE

SSIISSTTEEMMAASS

YY

TTEECCNNOOLLOOGGÍÍAASS

DDEE

IINNFFOORRMMAACCIIÓÓNN
















































Índice Analítico



Introducción ............................................................................................................................... 5
Capítulo I: Auditoría Continua .................................................................................................. 9
1. ¿Desaparecen los rastros de auditoría? .............................................................................. 9
2. Concepto de Auditoría Continua...................................................................................... 11
2.1. Situación actual de la Auditoría Continua ................................................................ 14
2.2. Monitoreo Continuo para obtener pistas de auditoría digitales ................................ 17
3. Archivo Auditor ............................................................................................................... 19
3.1. Aportes del archivo Auditor...................................................................................... 19
3.2. Requisitos del Archivo Auditor ................................................................................ 20
4. Servidor de Auditoría....................................................................................................... 21
4.1 Modelo conceptual..................................................................................................... 23
4.2. Etapas para instalar un Servidor de Auditoría........................................................... 25
4.3. Descripción del funcionamiento ............................................................................... 25
4.4. Aportes del Servidor de Auditoría ............................................................................ 26
Capítulo II: Auditoría de Tecnologías de Información............................................................ 29
1. Ámbitos de la Auditoría Informática ............................................................................... 29
2. Administración................................................................................................................. 33
2.1 Análisis de la estructura organizacional..................................................................... 34
2.2. Análisis de los recursos humanos ............................................................................. 36
2.3. Análisis de las normas y políticas del área de sistemas ............................................ 38
2.4. Análisis de la situación presupuestaria y financiera ................................................. 38
2.5. Documentos para la gestión del área Sistemas ......................................................... 39
3. Explotación u Operaciones .............................................................................................. 43
4. Desarrollo......................................................................................................................... 45
5. Justificación de una Auditoría Informática...................................................................... 49
Capítulo III: Seguridad Informática......................................................................................... 52
1. Antecedentes .................................................................................................................... 52
2. Conceptos relacionados con Seguridad Informática........................................................ 54





4

3. Evaluación del Riesgo...................................................................................................... 58
4. Medidas de Seguridad Informática .................................................................................. 59
5. Plan de Seguridad Informática......................................................................................... 59
6. Planes de Contingencia .................................................................................................... 63
Conclusiones ............................................................................................................................ 66
Bibliografía .............................................................................................................................. 70







































Introducción




A lo largo de éste trabajo se van a desarrollar tres ejes principales:
En primer lugar, una de las características de los sistemas de información actuales es la
tendencia a la supresión del papel como medio de soporte de los datos; por cuestiones
operativas los sistemas informáticos procuran eliminar la documentación física relacionada a
las transacciones que procesan, las razones son: más disponibilidad de datos, mayor velocidad
de procesamiento y menores costos. Esta situación hace que la documentación física
relacionada con las operaciones de la empresa gradualmente desaparezca, por ende, se pierden
las correspondientes pistas de auditoría de las transacciones.

Se rescata la afirmación “muerte de la cultura del papel”; se cree que es una tendencia
irreversible y que se propaga permanentemente a nuevos ámbitos. Cada día se encuentra
mayor cantidad de operaciones que se ejecutan totalmente en forma electrónica, sin
documentación física que las perfeccione.

En segundo lugar, no debe confundirse el uso del computador para realizar una auditoría
a un sistema de información con un trabajo de auditoría de la informática. Son muchas las
actividades en las que el computador puede ayudar al auditor de sistemas para realizar su tarea
(comparación entre datos, detectar información fuera de rango o de márgenes establecidos
como normales, etc.), sin embargo, ello no implica que esté haciendo Auditoría Informática:
La auditoría convencional, referida siempre a los sistemas de información económico-
financieros y contables, goza en la actualidad de un bagaje histórico suficiente como para
considerarla como una actividad cuasi ordinaria. La irrupción de la Informática en el tejido
empresarial y social, propició el uso de ésta como herramienta para la realización de
aquéllas. Se llegaba así al concepto de Auditoría con el auxilio de la Informática1.

la Informática y

El enorme desarrollo de

las Comunicaciones modificaron
sustancialmente los modelos de control y gestión de las empresas. Su gran trascendencia
como factor básico en la creación de los Sistemas de Información de las organizaciones, hizo
que la Informática se convirtiera en sujeto directo de Gestión. Los Ordenadores se expanden
y se interconexionan, los Sistemas se articulan, y se generan complejas organizaciones

1 ACHA ITURMENDI, Juan J., Auditoría informática en la empresa (Madrid, Paraninfo, 1996) pág. 13.

6




informáticas que han de manejar grandes y complejos recursos. Consecuentemente, aparece
la necesidad de establecer revisiones de eficiencia de las propias organizaciones
informáticas. El lector debe advertir que se incide sobre el concepto de Organización
Informática, y no de la Informática o de los Ordenadores. Así, nos encontramos con el reto
de analizar, hallar conclusiones razonadas, descubrir debilidades y expresar juicios objetivos
sobre un conjunto muy complejo cuyo soporte es el Ordenador. Y es un reto por la dificultad
de aunar la función auditora y la función informática. En efecto, existen excelentes Auditores
y excelentes Informáticos, pero no es habitual la simbiosis necesaria de ambos. La razón de
tal escasez, se halla seguramente en la relativa juventud de esta profesión y en la experiencia
informática previa que el auditor ha de poseer. La acusación más importante, en muchos
casos fundada, que puede hacerse a la auditoría informática es la de su no existencia
“legal”. Aun en los momentos actuales, resulta difícil acceder a unos principios y reglas de
uso generalizados y admitidos en el entorno informático y por el informático. Del mismo
modo, es arduo encontrar alguna metodología medianamente elaborada para la realización
de las Auditorías informáticas.

Ahora se verán algunas definiciones de Auditoría Informática:

• Es el conjunto de técnicas, actividades y procedimientos destinados a analizar,
evaluar, verificar y recomendar en asuntos relativos a la planificación, control,
eficacia, seguridad y adecuación del servicio informático de la empresa, con
vistas a mejorar en rentabilidad, seguridad y eficacia2.

• Es el Conjunto de Procedimientos y Técnicas para evaluar y controlar total o
parcialmente un Sistema Informático, con el fin de proteger sus activos y
recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo
con la normativa informática y en general existente en cada empresa, y para
conseguir la eficacia exigida en el marco de la organización correspondiente3.

¿Cómo estar seguro de la calidad del entorno informático? ¿Qué controles hay que
poner en práctica para obtener la confiabilidad requerida a los datos producidos por las
computadoras?

La Auditoría Informáti