LA AUDITORIA DE SISTEMAS

¿Qué es la auditoria de sistemas?
Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión informática y si estas han brindado el soporte adecuado a los objetivos y metas del negocio.

OBJETIVOS DE LA AUDITORIA DE SISTEMAS:
1. Comprobar el adecuado uso y resguardo de los recursos informáticos de la institución.

2. Comprobar la consistencia y confiabilidad de los sistemas de información

3. Evaluar los controles implantados antes los riesgos en el uso de tecnología de información.

4. Comprobar el grado de seguridad, confiabilidad y privacidad del ambiente informático.

5. Establecer el cumplimiento de la normatividad afecta de orden gubernamental e institucional.

JUSTIFICACION DEL DESARROLLO DE LA AUDITORIA DE SISTEMAS:
1) Incremento del presupuesto asignado al Área de Sistemas.
2) Desconocimiento de la Alta Dirección de la situación informática de la empresa.
3) Falta total o parcial de seguridades lógicas y físicas que garanticen razonablemente un soporte adecuado a los objetivos del negocio.
4) Descubrimientos de delitos informáticos efectuados con los recursos informáticos.
5) Falta de una planificación informática.
6) Que el Área de Sistemas no funciona correctamente, debido a falta de políticas, objetivos, normas, metodología, estándares, delegación de autoridad, asignación de tareas y adecuada administración del recurso humano.
7) Descontento general de las Áreas Usuarios con el apoyo y soporte informático que brinda el Área de Sistemas.
8) Carencia de documentación de los sistemas de información
9) Evaluación y resultados de la tercerizacion (outsourcing)
10) Inversiones realizadas sin la obtención de resultados favorables.

TIPOS DE AUDITORIA DE SISTEMAS:
1. Auditoría a la conectividad.
2. Auditoría a los sistemas de información.
3. Auditoría al desarrollo de proyectos informáticos y aplicaciones.
4. Auditoría a la explotación de información.
5. Auditoría a la Seguridad Informática.

1. Auditoría a la conectividad.
• Descripción Del nivel perimetral: Internet, aplicaciones web, servidores, correo electrónico, enlace a sucursales, etc.
• Compromiso De seguridad del nivel de perímetro:
i. Ataque a la red corporativa
ii. Ataque a los usuarios remotos
iii. Ataque desde un socio comercial
iv. Ataque desde una sucursal
v. Ataque a servicios Internet
vi. Ataque desde Internet
• Proteccion del perimetro:
i. Servidores de seguridad
ii. Bloqueo de puertos
de comunicación
iii. Traducción de direcciones IP y puertos
iv. Redes privadas virtuales
v. Protocolos de túnel
vi. Cuarentena en VPN
vii.


2. Auditoría a los sistemas de información: se busca: confidencialidad, integridad, disponibilidad y auditabilidad de la sistemas de información

3. Auditoría al desarrollo de proyectos informáticos y aplicaciones: Control de proyectos en las fases de Identificación, Diseño, Seguimiento y Evaluación.




4. Auditoría a la explotación de información: La auditoria a la explotación informática, se ocupa de verificar los resultados informáticos fruto de una transformación realizada por medio de un proceso(s) informático(s) de todo tipo como:
• Listados
• Archivos generados magnéticamente
• Las ordenes y procesos automatizadas creados y modificados
• La calidad de información (transformación e integridad)
• Los controles implantados (integridad, confiabilidad y calidad)

Para realizar la auditoria a la explotación informática se dispone de una materia prima que es los datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad.
La auditoria a la explotación informática se divide en:
• Control de entrada, proceso y salida de datos
• Planificación y recepción de aplicaciones
• Centro de control y seguimiento de trabajos
• Batch y tiempo real
• Operación (Salas de Ordenadores / Centro de Computo / Data Center)
• Centro de control de red (Adm. de Red)
• Servicio de help desk

5. Auditoría a la Seguridad Informática.

Tipos de Amenazas
A) Suplantación
o Falsificar mensajes de correo electrónico
o Reproducir paquetes de autenticación
B) Alteración
o Alterar datos durante la transmisión
o Cambiar datos en archivos
C) Repudio
o Eliminar un archivo esencial y denegar este hecho
o Adquirir un producto y negar posteriormente que se ha adquirido.
D) Divulgación de Información
o Exponer la información en mensajes de error
o Exponer el código de los sitios Web
E) Denegación de Servicio
o Inundar una red con paquetes de sincronización
o Inundar una red con paquetes ICMP falsificados
F) Elevación de Privilegios
o Explotar la saturación de un búfer para obtener privilegios en el sistema
o Obtener privilegios de administrador de forma ilegítima