1

UNIVERSIDAD AUSTRAL DE CHILE

FACULTAD DE CIENCIAS ECONOMICAS Y ADMINISTRATIVAS

ESCUELA DE AUDITORIA

SISTEMA DE INFORMACIÓN ADMINISTRATIVA

Primer Informe

PROFESOR

Cristian Salazar Concha

INTEGRENTES

José Luis Alvarado Olivera

Álvaro Javier Burgos Navarro

Franco Ángelo Michel Osses Ríos

Camilo Esteban Ruiz Stuardo

2

1. Definir Auditoria Informática

La auditoría informática representa el análisis y evaluación de un firme de sistema de información para detectar y rectificar bloqueos, la duplicación y la pérdida de información. Los objetivos de esta auditoría son mejorar la precisión, la pertinencia, la seguridad y oportunidad de la información registrada.1

1The Informatics Audit – A Collaborative Process, Disponible en: http://revistaie.ase.ro/content/53/12%20Ciurea.pdf pag 2Business Dictionary, Disponible en: http://www.businessdictionary.com/definition/information-audit.html, 2010.

3

2. ¿Que abarca la auditoria informática?2

La auditoría en informática es diferente y más compleja que la auditoría en la contabilidad, ya que necesitan los auditores especializados en campo de las TI. Cuando aplicaciones y sistemas que se auditan, los auditores debe comprobar que las normas y procedimientos fueron respetado en relación con el desarrollo y la utilización de de estos productos de software.

3. ¿Quiénes pueden realizar auditoria informática?3

El proceso de auditoría puede ser llevada a cabo por un equipo con los siguientes mínimos miembros:

-Un auditor jefe de certificación de la informaciónAuditor de Sistemas (CISA emitido por ISACA);

-Un experto en pruebas de penetración, la certificaciónPruebas de penetración con licencia (LPT) emitido porla Comisión Europea Consejo.

4. ¿Qué software existen de auditoría informática?4

Existen el Meycor cobIT, sirve para diagnosticar el estado de la organización respecto de:

-Nivel de Seguridad-Nivel de Calidad-Nivel de Eficacia en TI-Nivel de Eficiencia en TI

2 The Informatics Audit – A Collaborative Process, Disponible en: http://revistaie.ase.ro/content/53/12%20Ciurea.pdf pag 23The Informatics Audit – A Collaborative Process, Disponible en: http://revistaie.ase.ro/content/53/12%20Ciurea.pdf pag 2-3 OM 389/2007, Disponible en: http://www.mcsi.ro/Minister/Domenii-deactivitate-ale-MCSI/TehnologiaInformatiei/Servicii-electronice/internetbanking4 Mayor información Disponible en http://www.slideshare.net/meme694/software-para-auditora-informtica

4

5. ¿Cuál o Cuáles de la(s) consultora(s) pertenecientes a las Big Four realizan auditorias informáticas?

Dentro de los servicios que esta consultora realiza se encuentra los de:5

Auditoría de sistemas informáticos Seguridad y controles de sistemas de información Auditoría de contenidos y transacciones de comercio electrónico Seguridad y controles en Internet

Asesoría en la efectividad del uso de la tecnología de la información, ayudando a las empresas a planificar, organizar e implementar el uso de la tecnología para apoyar de mejor forma los requerimientos y necesidades del negocio (Ej. estrategia de TI, selección de sistemas, arquitectura tecnológica, gestión e implementación de soluciones tecnológicas).6

5 http://www.deloitte.com/view/es_CL/cl/servicios/audit/index.htm6 http://www.eychile.cl/?page_id=26

5

7

asesoramos tecnológicamente a sus clientes con el fin de propiciar una pertinente toma de decisiones, dentro del escenario estratégico a mediano y largo plazo. Por ello los acompañamos implantando soluciones integrales y a escala, que van de la mano con el crecimiento de cada compañía. Las tecnologías de la información (IT) deben ir siempre un paso adelante en el crecimiento de las empresas y es por ello que nuestro equipo de expertos alinea la visión con un plan estratégico de IT, apoyados en un profundo conocimiento de cada industria y sus cadenas de valor.

Ofrece Gestión de los riesgos derivados del uso de la tecnología para la consecución de sus objetivos estratégicos de negocio. Desde IRM revisamos el entorno de control de la función informática y ayudamos a identificar y gestionar los riesgos relacionados con la seguridad de la información.8

6. ¿Qué es la seguridad informática?9

Asegurar los recursos informáticos (Información, Programas) de una persona o grupo de personas, para que estos no sean comprometidos de una forma peligrosa para el dueño de los recursos y de una forma ventajosa para la persona que busca beneficios de la obtención de dichos recursos.

7 http://www.pwc.com/cl/es/eficiencia-de-tecnologias-de-informacion/index.jhtml8 http://www.kpmg.com/cl/es/whatwedo/audit01/information/Paginas/default.aspx9 http://www.formacionyeducacion.com/programa-estudio.cfm?id=3292&tipo=2Nota: La información proporcionada respecto de la pregunta numero 5 corresponde a los servicios que ofrece en Chile cada una de las Big Four, detallando este en sus sitios web.

6

7. ¿Que abarca la seguridad informática?10

Estos son los alcances de la seguridad informática:

Integridad • Proteger la información de modificaciones no autorizadas.

Confidencialidad • Proteger la información de divulgaciones no autorizadas.

Disponibilidad• Asegurar que el sistema este siempre disponible cada vez que se le

requieraNo repudio

• El usuario no puede negar la acción o acciones que realizo.

8. ¿Cuáles son los estándares internacionales para auditar los sistemas de información?11

Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):

Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.

Estándares Habituales en las auditorias informáticas en el sector público y privado.

Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA)

The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA)

Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)

Los estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO).

SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA

El Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI)

10 http://www.formacionyeducacion.com/programa-estudio.cfm?id=3292&tipo=211 www.adacsi.org.ar/files/es/content/146/Standards.docNota: La información referenciada con los números 9 y 10 se obtuvieron de la una presentación Power Point descargada del sitio web www.formacionyeducacion.com

7

Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información.

Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado por el comité de estándares del instituto de administración de proyectos.

Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon.

Administración de seguridad de información: Aprendiendo de organizaciones líderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)

8

9