Christian Vasquez Semana1 - EVALUACIÓN DE PROCESOS INFORMÁTICOS

 

EVALUACIÓN DE PROCESOS INFORMÁTICOS SEMANA 1.

Christan Alejandro Vásquez Lolli 08 de noviembre de 2021

 

INTRODUCCIÓN Ese ejercicio consise en elaborar un cuadro descriptvo de las fases de una audioría informátca. El enreg en regabl able e será será realiz realizado ado en forma formao o Word, Word, ide ident ntcan cando do las eapas eapas requ requeri eridas das,, con un descri descripo porr explic exp licatv atvo o de cada cada una, una, y una dif diferen erencia ciació ción n enre enre aud audio ioría ría infor informát mátca ca y aud audio ioría ría de seguri seguridad dad informátca, realizando un ejemplo de una siuación real donde se aplique cada una de esas fases.

 

DESARROLLO De acuerdo a lo esudiado en la presene semana, debemos enender primeramene en qué consise cons ise una audioria audioria.. Según la Real Academia Academia Española Española,, dene dene audioría audioría como: “Revisión sisemátca de una actvidad o de una siuación para evaluar el cumplimieno de las reglas o crierios objetvos a que aquellas deben someerse.” Existendo varios tpos de audioria en cada rubro laboral, enendiendo por ano que el proceso de audiar, consise en un metculoso pr proc oces eso o si sis sem emát átco co,, in inde depe pend ndien iene e y docu docume men nad ado o en x ca cant ntda dad d de co copi pias as pa para ra lo loss involu inv olucra crado dos, s, permit permitend endo o su audic audición ión el ob obene enerr eviden evidencia ciass objetv objetvas as sobre sobre deerm deermina inado do proceso y así poder omar decisiones de adminisración de mejor manera, sancionar, denunciar, subsanar, ec.; de manera que cumplan los crierios esablecidos por su iniciación. Exisen dos tpos de audioría:  

 Auditoría Interna: La que es aplicada con el personal que labora l abora en la empresa.  Auditoría Externa: Se conraa a una rma especializada para realizar la misma.

La audioría Inerna, ofrece algunas venajas en relación a la exerna, en primer lugar, es menos cososa, pueso que se realiza con el mismo personal, y por oro lado, no se corre el riesgo de que personas exrañas conozcan la información generada denro de la rma. Sin embargo, tene sus sus limi limiac acio ione nes, s, enr enre e las las cu cual ales es se menc mencio iona nan: n: la po poca ca espe especi cial aliz izac ació ión n que que te tene nen n lo loss inegranes en la maeria conlleva al hecho de que se escapen algunos dealles denro del pr proc oces eso o (o (omi misió sión n de dee deecc cció ión n de erro errore res) s) y por por o oro ro la lado do se co corr rre e el ri ries esgo go de que que se “encub “en cubran ran”” decie decienci ncias. as. Es factb factble le que, que, denro denro del proces proceso o de au audi diorí oría, a, las person personas as no informen de alguna anomalía a n “de no perjudicar al amigo”. Aplicando la audioría exerna, exise menor margen de error, pueso que las personas que se encargan de realizarla son especialisas en el área. Enonces, deben ser pocos los errores que se deecen y las sugerencias aporadas son muy valiosas. Del mismo modo exise poco margen de encubrimieno, ya que son personas ajenas a la rma lo que da inicio a una investgación sumarial adminisratva. adminisratva. Un ejemplo claro puede ser cuando rabajé en Carabineros como CPR (adminisratvo) el año 2012 en la comuna comuna de Valparaís Valparaíso o las comisarias comisarias con sus debidos debidos compua compuadore dores, s, utlizaban utlizaban WINDOWS XP UNATENDENDED EDITION o WINDOWS U.E , esa versión del Sisema Operatvo XP el cual debe su nombre a la forma en la que se insala, sin inervención del usuario nal, el usuario solo ineracúa en la primera eapa o modo exo de la insalación cuando selecciona la partción o el disco duro a formaear y luego para seleccionar los programas que insalará de manera desaendida en un menú denominado Windows Pos Insall o WPI para abreviar, siendo esa copia inervenida no siendo acrediada por Microso por lo que dio origen a un sumario

 

inerno adminisratvo a raíz de la denuncia realizada por la misma Microso en conra de Carabineros de Chile por la NO COMPRA DE VERSIONES CD DE WINDOWS XP ORIGINAL en aquellos enonces, debiendo el deparameno de informátca de Carabineros T.I.C. realizar una audioria conjunamene con el deparameno de asunos inernos (ineligencia) de Carabineros a n de subsanar las observaciones que podrían conllevar a una revisión por pare de la Conraloría General de la Republica y por pare del consejo de defensa del esado por fraude al sco. Dado el caso anerior, así como oras empresas que podemos revisar en la inerne opan por la realización de audiorías exernas cuando se evidencian sínomas de Descoordinación, Sínomas de Mala Imagen, Sínomas de Debilidades Económicas, Sínomas de Inseguridad.

Enfocándonos al área del Deparameno TI en deerminada empresa exise un tpo de audioria conoci con ocida da como como la “Auditoría Informáca” , siendo esa un proceso de revisión y conrol de medidas de seguridad para audiar recursos informátcos sean de índole sicos o lógicos de una deerminada empresa desde el puno de ecnologías audiables, de personal, de uso de soware, sisemas de organización, planes y proocolos , organigramas, reglamenos inernos, siendo su objetvo principal la de garantzar la contnuidad y operatvidad de los procesos informátcos, dando así la posibilidad de procesar la información o daos obenidos mediane un informe minucioso que muesre los niveles de recursos informátcos validando los procesos en cada una de sus pares o áreas de la organización respeco a legislación vigene, es decir, leyes, normas ISO,proocolos, ISO,prooco los, ec. Por el conrario, la “Auditoria de Seguridad Informáca” , consise en el proceso de audición que analiza vulnerabilidades en recursos informátcos de la oalidad de la organización desde niveles gerenciales hasa el últmo deparameno, haciendo hincapié en especial a los recursos hardware y soware ales como sisema operatvos, aplicaciones como SAP,ERP, SOFTLAND, vulnerabilidades, servidores, rouers, conectvidad inrane, ec, por lo que se cenra en análisis de la seguridad exisene a nivel equipo y de red informátca incluyendo así la revisión de proocolos de seguridad ano de dispositvos hardware como de aplicaciones que puedan ser objetvos de una vulnerabilidad informátca, implicando medidas de subsanación, conrol, de seguridad, inegridad y condencialidad en los daos audiados.

 

Resumen Auditoría Informáca:

Fase I: Conocimientos del Sistema

1.1. Aspectos Legales y Polícas Internas. Sobre estos elementos está construido el sistema de control y por lo tanto constuyen el marco de referencia para su evaluación, es donde se determina que se evaluará. Ejemplo: Ejempl o: Esclar Esclarece ecerr si de acu acuerd erdo o a bases bases del esta estado do y fondos fondos,, exisó exisó una compra compra de COPIAS COPIAS DE  WINDOWS o NO y vericar si las key de cada sistema operavo es ORIGINAL de MICROSOFT.

 

1.2. Caracteríscas del Sistema Operavo. • Organigrama del área que parcipa • Manual de funciones de las personas que parcipan en los procesos del sistema • Informes de auditoría realizadas anteriormente. Ejemplo: Parcipa en la audición personal del departamento TIC de la Policía y personal externo de Microso Chile, se entrega a cada parte de los interesados manual para debida scalización y registros o historial de auditorías previas. 1.3. Caracteríscas de la aplicación de computadora • Manual técnico de la aplicación del sistema • funcionarios (usuarios) autorizados para administrar la aplicación • Equipos ulizados en la aplicación de computadora • Seguridad de la aplicación (claves de acceso) • Procedimientos para generación y almacenamiento de los archivos de la aplicación. Ejemplo: Ejempl o: Se det detect ecta a que los comput computado adores res son son modelo modelo DELL, DELL, edi editad tados os por por depart departame amento nto TIC de Carabine Cara bineros, ros, se revisan revisan actas de entrega, entrega, se revisa revisa protocol protocolos os de uso, revisión revisión de usuarios usuarios y datos datos almacenados de cada uno.

Fase II: Análisis de transacciones y recursos

2.1. Denición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. 2.2. Análisis de las transacciones • Establecer el ujo de los documentos funcionamiento y recorrido de los procesos. 2.3. Análisis de los recursos • Idencar y codicar los recursos que parcipan en el sistema 2.4. Relación entre transacciones y recursos

 

Ejemplo: Revisión detallada de ROOTS, USUARIOS ADMINISTRATIVOS, INVITADOS, USOS, COMPRAS, ETC. Fase III: Análisis de riesgos y amenazas

3.1. Idencación de riesgos • Daños sicos o destrucción de los recursos • Pérdida por fraude o desfalco • Extravío de documentos fuente, archivos o informes • Robo de disposivos o medios de almacenamiento • Interrupción de las operaciones del negocio • Pérdida de integridad de los datos • Ineciencia de operaciones • Errores Ejemplo: Se determinó que los equipos mantenían registros de serie borrados, algunos computadores no correspondían a los inventariados, otros habían perdido su vida úl y guraban en inventarios, otros eran donaciones, no siendo posible encontrar facturas de compras y posibles fallas de instalación al no ser una versión original validada. 3.2. Idencación de las amenazas      

 Amenazas sobre los equipos: equipos:  Amenazas sobre documentos documentos fuente  Amenazas sobre programas programas de aplicaciones

3.3. Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a parr de la observación de los recursos en su ambiente real de funcionamiento.

 

Fase IV: Análisis de controles

4.1. Codicación de controles Los controles se aplican a los diferentes grupos ulizadores de recursos, luego la idencación de los contro con troles les deb debe e conten contener er una co codi dicac cación ión la cual cual iden idenque que el grupo grupo al cual cual perten pertenece ece el recurs recurso o  protegido. 4.2. Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema. Para cada tema debe establecerse uno o más controles. 4.3. Análisis de cobertura de los controles requeridos Este análisis ene como propósito determinar si los controles que el auditor idencó como necesarios proveen una protección adecuada de los recursos. Fase V: Evaluación de Controles

5.1. Objevos de la evaluación • Vericar la existencia de los controles requeridos • Determinar la operavidad y suciencia de los controles existentes 5.2. Plan de pruebas de los controles

• Incluye la selección del tipo de prueba a realizar. • Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. 5.3. Pruebas de controles 5.4. Análisis de resultados de las pruebas Fase VI: Informe de Auditoria

6.1. Informe detallado de recomendaciones 6.2. Evaluación de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas. • Introducción: objetivo y contenido del d el informe de auditoria • Objetivos de la auditoría • Alcance: cobertura de la evaluación realizada • Opinión: con relación a la suficiencia del control interno del sistema evaluado • Hallazgos • Recomendaciones

 

Fase VII: Seguimiento de Recomendaciones

7.1. Informes del seguimiento 7.2. Evaluación de los controles implantados Fin de la sesión. Revisión Evaluación Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Información Auditoría Informática Objetivos      

CONCLUSIÓN

 

La Audioría es el procedimieno de revisión e inspección de la operaoria de una empresa, generalmene asociado a los procesos conables o nancieros. Ese proceso se puede ejecuar inernamene o conar conar con un agene exerno que la realice. Exisen audiorías audiorías a distnas áreas o al sis sisem ema a genera generall de la org organ aniza izació ción. n. Alguna Algunass de ellas ellas analiz analizan an el queha quehacer cer nanci nanciero ero-conable; los procesos adminisratvos; la gestón operacional y los sisemas informátco informátcos. s.

La auditoría debe vericar que se cumplan a cabalidad cada una de las fases del desarrollo del  sistema. Se deben chequear los instrumentos y métodos empleados para la determinación determinación de los requerimientos, las herramientas que se ulizan para la construcción del sistema, evaluar el   protopo que va a ser mostrado mostrado a los usuarios y vericar que se hagan las l as pruebas al sistema antes de ser implantado. Recuerde: es preferible esperar un poco más por un sistema probado y  ajustado a las necesidades que querer implantar “en dos días” un soware que no ayudará en nada a los procesos empresariales, por el contrario: entorpecerá los mismos.

La materia prima para la generación de la información son los datos de entrada, es por ello que todo proceso de auditoría informáca debe contemplar el estudio de los mismos. Bajo esta  premisa, es importante importante llevar un control control del origen de los datos que se introduc introducen en al sistema y en la medida de lo posible, el responsable de la introducción de los mismos.

En érminos generales, una audioría tene 3 eapas: planicación, ejecución y elaboración de inform inf orme e y plan plan de acción acción.. En partc partcula ular, r, la audio audioría ría informá informátc tca a tene tene 7 fases: fases: a. Fa Fase se I: Conocimienos del sisema b. Fase II: Análisis de ransacciones y recursos c. Fase III: Análisis de riesgos y amenazas d. Fase IV: Análisis de conroles e. Fase V: Evaluación de conroles f. Fase VI: El informe de audioría g. Fase VII: Seguimieno de las recomendaciones.

 

REFERENCIAS BIBLIOGRÁFICAS

 





IACC (2020). Los procesos informácos y la auditoría informáca. Evaluación de Procesos Informácos. Semana 1. (2019, 07). Fases de Auditoría A uditoría Informáca. Academia Edu. Obtenido 11, 2021, de hps://www.academia.edu/35354616/Fases_de_la_auditori hps://www.academia.edu/35354616/Fases_ de_la_auditoria_Informaca a_Informaca (2019, 06). Auditoria Carabineros Deciente. Sistema informáco Carabineros.. Obtenido 11, ecial/nocias/reportajes/reportajeseportajes/reportajes2021, de hps://www.biobiochile.cl/esp hps://www.biobiochile.cl/especial/nocias/r reportajes/2019/06/28/auditoria-a-carabin reportajes/2019/06/28/au ditoria-a-carabineros-revela-fragil eros-revela-fragil-sistema-informaco-qu -sistema-informaco-que-costo-mase-costo-masde-674-millones-de-pesos.shtml