Auditoría en sistemas de TI Introducción Hablar de auditoría, implica realizar un examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, en cooperación con los interesados para verificar la concordancia de la realidad con lo establecido y la adecuación al objetivo buscado. La auditoría informática sirve para mejorar ciertas características en la empresa como: ⚫ Eficiencia ⚫ Eficacia ⚫ Rentabilidad ⚫ Seguridad Dentro de la auditoría existe una figura llamada auditor y se trata de una persona capacitada para evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. El auditor debe contar con varias características, entre las que destacan: ⚫ Habilidad para comunicarse efectivamente y dar un trato adecuado a las personas ⚫ Mantenerse actualizado en el área profesional. ⚫ Debe tener cuidado profesional para estar atento a los errores intencionales o de omisión, ineficiencia, desperdicio, inefectividad y del conflicto de intereses. Existen diversos tipos de auditorías; sin embargo y dado nuestro interés, nos centraremos en una sola: la auditoría en informática. Este tipo de auditoría es un proceso de recolección y evaluación de evidencias con el fin de determinar si son salvaguardados los activos de los sistemas y recursos informáticos. Es importante señalar que la auditoría en informática: ⚫ No es auditoría contable: El auditor no investiga la parte de la gestión económica que se hace con computadoras para descubrir fraudes o incorrecciones. ⚫ No es policía informática: El auditor no busca programas ilegales o delitos cometidos a través de internet. Por tanto, sus objetivos son: ⚫ Analizar la eficiencia de los sistemas informáticos ⚫ Verificar el cumplimiento de la normativa en este ámbito ⚫ Revisar la eficaz gestión de los recursos informáticos Dado que su campo de actuación es muy amplio, se pueden clasificar: De acuerdo al tipo de síntomas que la motivan: ◦ Correctiva ◦ Detectiva ◦ Preventiva De acuerdo a la procedencia del personal que la realiza ◦ Interna ◦ Externa Independientemente del tipo de auditoría en informática del que se trate, todos contienen las siguientes fases: 1. Planeación 2. Desarrollo 3. Presentación de conclusiones y formación del plan de mejoras Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las siguientes actividades: a) Solicitud del análisis y diseño de los sistemas en desarrollo y en operación b) Solicitud de la documentación de los sistemas en operación (manuales técnicos, de c) operación del usuario, diseño de archivos y programas) Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas) Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado Entrevista con los usuarios de los sistemas Evaluación directa de la información obtenida contra las necesidades y requerimientos del usuario h) Análisis objetivo de la estructuración y flujo de los programas i) Análisis y evaluación de la información recopilada d) e) f) g) Actividad: 1. Formar equipos de 5 a 6 personas 2. Elegir un sistema desarrollado por cualquier integrante del equipo para ser auditado 3. Cada equipo deberá seleccionar y solicitar a otro equipo el sistema a auditar (deberán asegurarse que cada equipo audite un sistema diferente). 4. Realizar las actividades de los incisos a) a la i) de la lista anterior 5. Para el inciso f) deberán seleccionar a un integrante de su equipo, quien utilizará la aplicación antes de ser entrevistado. 6. Preparar una presentación que contenga: Portada 5% Índice 5% Introducción 10% Desarrollo de los incisos a) al i) 60% Conclusiones 20% El tiempo destinado para que cada equipo haga su presentación en clase, será mínimo 10 minutos y máximo 20. La fecha de la presentación será el martes 1 de diciembre de 2015 durante la sesión de clase, y deberá enviarse a gabrielaaguascalientes@hotmail.com antes de ese día a las 17:30 hrs. Consideraciones: La sesión comenzará en punto de las 17:30 hrs. Todos los integrantes de cada equipo deberán participar en la presentación en cuestión, por lo que todos sus integrantes deberán estar físicamente en la sesión desde su inicio. No se aceptarán por ningún motivo, documentos después de la fecha y hora estipulada. Deberán cuidar la redacción y ortografía (en caso de no hacerlo, cada descuido al respecto restará 1% de la evaluación final de este proyecto.)