TRABAJO COLABORATIVO UNO

TRABAJO COLABORATIVO N.1

EDUAR YEN MOSQUERA DIANA PATRICIA ALVAREZ RESTREPO ESTEFANI GUEVARA DÁVILA JOHANA ANDREA PULIDO BELLO

PRESENTADO A:

CARMEN ADRIANA AGUIRRE CABRERA Tutora

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA “UNAD” ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA AUDITORIA DE SISTEMAS GRUPO: 90168_35 2010

INTRODUCCION En esta actividad encontraremos las diferentes técnicas para auditar y sus aplicaciones y algunos medios para la recolecta de información. Es innegable la importancia de la tecnología de información como factor critico de éxito para las organizaciones. La toma de conciencia en las empresas de los riesgos inherentes a la actividad informática y de la necesidad de protección de altas inversiones que se dedican al diseño e implementación de Sistemas de Información, han permitido el desarrollo de la Auditoria de Sistemas en nuestro medio. Es la AUDITORIA DE SISTEMAS la encargada de liderar el montaje y desarrollo de la función de control en los ambientes computarizados, integrar la Auditoria de Sistemas con las demás áreas de la auditoria para contribuir a la modernización y eficiencia de esta función, realizar evaluaciones de riesgos en ambientes de sistemas y diseñar los controles apropiados para disminuir esos riesgos, además de participar en el desarrollo de los Sistemas de información, aportando el elemento de control y evaluar la administración de los recursos de información en cualquier organización.

OBJETIVOS

 Diseñar un procedimiento para realizar auditorías de información en instalaciones que permita diagnosticar el estado de la Gestión Informática, y proponer las acciones para su mejora.  Elaborar un marco teórico actualizado sobre los sistemas de gestión de información y auditorías de información.  Diseñar un procedimiento para realizar Auditorías de información.  Evaluar la pertinencia del procedimiento mediante el Método de Criterio de Expertos.  Determinar si la empresa cumple con los objetivos de salvaguardar la información correctamente.  Aplicar las técnicas de auditoría.  Distinguir entre las diferentes técnicas de auditoría.  Diseñar instrumentos de recolección de información

1. Elabore un mapa conceptual, donde detalle las diferentes técnicas de auditoría.

TECNICAS DE AUDITORIA

ES Un conjunto de herramientas que utiliza el auditor para la realización de su trabajo

SE DIVIDEN EN Verbales o testimoniales Permiten conseguir información de forma oral al interior o fuera de la Entidad, las verbales son la entrevista y la encuesta, cuestionari os

Documental es

Físicas

Analíticas

Consisten en obtener información escrita para soportar las afirmacione s, Análisis o estudios realizados por los auditores.

Consisten en verificar en forma directa y paralela, la manera como los Responsabl es desarrollan y documenta n los procesos o procedimie ntos

Son aquellas desarrollad as por el propio auditor a través de cálculos, Estimacion es, comparacio nes, ,

Informáticas

Más comúnment e conocidas como Técnicas de Auditoría Asistidas por Computado r (TAAC),

EN ELLAS TENEMOS

Entrevistas cuestionari o encuestas

Compro bación afirmaci ón

Inspección, Observació n, Comparació n, Revisión selectiva, Rastreo

Análisis, Concilia ción, Cálculo, Tabulaci ón

TAAC

2. El grupo debe identificar una empresa, e indagar si el sistema de información cumple con los objetivos organizacionales y de salvaguardia de la información, para lo cual, debe elaborar un instrumento de recolección de información que contenga preguntas preliminares o introductorias, informativas, de análisis o de evaluación, y de admisión o confirmación. COMPUTADORES MYM

Caso de espionaje informático en la empresa. Una empresa sospechaba, que el sistema central de información estaba siendo manipulado por personal no autorizado. A consecuencia de lo antes mencionado se procedió a realizar una estricta auditoria informática. El objeto del presente trabajo supone la intervención de un equipo de auditores informáticos, quienes cuentan con la asistencia de un Abogado, quien debe asesorarlos en materia de recolección de pruebas para poder verificar la eficaz iniciación de un proceso penal. Se trata de un espionaje informático cometido por un empleado de la empresa de cierto rango jerárquico, puede no existir el acceso ilegitimo, puesto que es factible que dicho empleado cuente con la autorización para acceder a la información valiosa. En definitiva se trata de un individuo que efectúa la técnica de acceso no programado al sistema desde adentro de la empresa con el objetivo de obtener la información de sustancial valor comercial para la empresa, la que, generalmente es vendida a la competencia. El equipo de auditoría debe recaudar evidencias comprobatorias para confirmar que la empresa fue víctima de un delito informático. Es importante recolectar información de carácter estrictamente informático (impresiones de listados de archivos, carpetas, e.t.c. Se debe realizar la incautación de hardware, terminales, routers, e.t.c siempre y cuando se trate de material de propiedades la empresa. Es importante que este material sea sellado con el fin de garantizar su inalterabilidad e intangibilidad lo que se supone por ejemplo que todos los puertos y entradas del hardware deben ser anulados de manera que no se puedan alterar.

COMPUTADORES M Y M Cuenta con un manual de procedimientos relacionados al proceso Controles administrati vos

El sistema de información cuenta con manual de usuario para el proceso de generación de Rips La empresa cuenta con un manual de funciones de acuerdo a la estructura organizacional de la empresa El proceso genera la información necesaria para los clientes inmediatos de la información (resoluciones, normas) En el programa de capacitación cuenta con ítems relacionados al proceso de generación de Rips Los funcionarios se encuentran capacitados en el desarrollo del proceso generación de RIPS

Controles operativos

Existe el registro de la capacitación de los funcionarios Conoce las funciones y su posición en la estructura organizacional de la empresa

I

P

N

V

X

X

OBSERVACIONES Desactualizado a las necesidades actuales

X

Se cuenta con el pero no está acorde con las versiones actuales

x

Desactualizado a las necesidades actuales Se cumple con la información y los tiempos estipulados pero esta tiene errores demográficos Se está implementado un programa que este acorde

X X

X x X El organigrama pegado como fondo de escritorio por dominio

X x

se generan nuevamente los medios magnéticos y se vuelven a radicar para que hallan los soportes

Existe registro de la programación del plan de capacitación x En caso de presentarse glosas correspondientes al envió de RIPS, cual es el procedimiento a seguir Se cuenta con un programa de backups para la información relacionada al proceso de los RIPS Identificación y autenticación Controles técnicos

Existen instructivos para el manejo de los equipos de cómputo relacionados Cuentan con UPS, estabilizadores que mejoren el desempeño de las funciones de los usuarios y brinden seguridad a los equipos

x X X x x

Preocupante que sea el mismo equipo que los genera

HALLAZGOS INCLUYENDO NO CONFORMIDADES Y CONCLUSIONES DE LA AUDITORIA. Nombre de la Empresa: Localización: Diag. 34 N° 21- 87

HALLAZGO

controles administrati vos

controles administrati vos

Tel 7777777

ACCIÓN

SOLUCIÓN

Los manuales se encuentran desactualizados y en mal estado los físicos.

correctiv a

Se debe actualizar: el manual de funciones Manual de procedimientos Manual del usuario de acuerdo de la versiones actualizaciones del sistema de información que manejan en la empresa

Implementar plan de capacitación

correctiv a

Se debe capacitar al personal la digitación y mejorar practicas de registro de información Solicitar a contratistas mejoras en BDUA(bases de datos de afiliados)

Controles técnicos Controles técnicos

COMPUTADORES M Y M

correctiv a Implementar programa de copias de seguridad

preventi va

en las la los las los

Formato Para La Autoevaluación Del Grupo Colaborativo 1 SI 1

Trabajamos siguiendo un plan

2

Trabajamos todos juntos

3

Intentamos resolver la actividad de diferentes maneras

x

4

Resolvimos la actividad

x

5

Repasamos nuestro trabajo para asegurarnos que todos Estamos de acuerdo

x

6

Le asignamos responsabilidades a cada miembro

x

Responsabilidad Dar una opinión a medida que se iva realizan la rúbrica del trabajo 7

NO

x x

Responsable Fuimos responsables con nuestra opinión y cumplimiento de la actividad

Usamos los siguiente materiales o bibliografía Modulo Información del hospital Federico Lleras Camargo

8

Aprendimos: A identificar los tipos de auditorías y como se realiza el proceso, finalizándolo con un consolidado de la información

9

Resolvimos la actividad con la siguiente estrategia: Nos repartimos trabajo y luego nos enviamos mensajes con preguntas o incógnitas que teníamos y luego realizamos como un tipo de debate es decir especificando la mejor respuesta.

10

Lo aprendido lo podemos aplicar en los siguientes contexto Lo podemos aplicar en alguna información obtenida de una sociedad u empresa que debe tener en cuenta los aspectos e identificación de la auditoria.

CONCLUSIONES

Las auditorias informáticas se conforman obteniendo información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes medios. El trabajo del auditor consiste en lograr obtener toda la información necesaria para emitir un juicio global objetivo, siempre amparando las evidencias comprobatorias. El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrónico. También debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar. Toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día, la mayoría de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente.. El éxito de la empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante. La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas. En conclusión la auditoria informática es la indicada para evaluar de manera profunda, una determinada organización a través de su sistema de información automatizado, de aquí su importancia y relevancia.

INFOGRAFÍA •

Adriana Aguirre Cabrera. (2006); Módulo de Auditoria de Sistemas: Bogotá D.C (Colombia): Universidad Nacional abierta y a distancia. UNAD.

• Cornella, Alfons (1999). Cultura Informacional en civismo informacional. El profesional de la información 8(10) p. 44

•

[On línea]. Consultado el día 18 de marzo de 2010 de la World Wide Web: www.monografias.com/.../concepaudit.shtml