Trabajo Aspectos Generales de la Auditoria de Sistemas y Amenazas sobre los Activos Informáticos
República
Bolivariana de Venezuela
Especialización en Auditoria de Tecnología de Información Financiera
y Seguridad de Datos
Auditoria de TIC / Prof. –Miguel Ángel Martínez
Semestre
I Sección “B” – Núcleo: La Floresta
Aspectos Generales de la Auditoria de Sistemas y Amenazas
sobre los Activos Informáticos
Elaborado por:
Borjas Karelys
V – 27.797.270
Espinal
Sandra V – 15.794.254
Fernández
Carlos V – 19.465.768
Parada Keily
V – 23.925.443
Caracas, Mayo de 2024
INTRODUCCIÓN
En el mundo actual, los sistemas de
información son esenciales para el funcionamiento de las organizaciones. Estos
sistemas almacenan, procesan y transmiten datos importantes y cruciales para el
negocio, por lo que es fundamental garantizar que operen de manera segura,
confiable y eficiente.
Además, la auditoría puede identificar
vulnerabilidades en los sistemas de información que podrían ser explotadas por
personas malintencionadas, lo que puede ocasionar pérdidas económicas, daños a
la reputación o incluso la interrupción del negocio, la auditoría de sistemas
ayuda a verificar que la organización cumpla con estas regulaciones como son la
privacidad de datos y la protección de activos;
En la era digital actual, los activos
informáticos se han convertido en elementos esenciales para el funcionamiento
de las organizaciones. Estos activos, que incluyen datos, hardware, software y
redes, almacenan información vital para el negocio y son la base de muchos
procesos críticos. Sin embargo, estos activos también están expuestos a una
amplia gama de amenazas que pueden poner en riesgo la seguridad, la
confidencialidad, la integridad y la disponibilidad de la información.
Las amenazas a los activos informáticos son
cualquier evento o circunstancia que pueda causar daño o perjuicio a estos
activos. Estas amenazas pueden provenir de diversas fuentes, tanto internas
como externas:
Es fundamental que las organizaciones tomen
medidas para proteger sus activos informáticos de estas amenazas, implementar
controles de seguridad adecuados.
La protección de los activos informáticos es
una responsabilidad continua. Las organizaciones deben revisar y actualizar
periódicamente sus medidas de seguridad para mantenerse al día con las últimas
amenazas.
ASPECTOS GENERALES DE LA AUDITORIA DE
SISTEMAS
¿Qué es una
auditoría de sistemas?
Una
auditoría de sistemas es un proceso independiente y objetivo que evalúa los
sistemas de información de una organización para garantizar que sean
confiables, seguros y eficientes. Se centra en examinar los controles internos
de la organización para identificar riesgos, evaluar su efectividad y
recomendar mejoras.
Los objetivos de una auditoría de
sistemas son:
·
Garantizar la
confiabilidad de la información: La
información debe ser precisa, completa y confiable para que la organización
pueda tomar decisiones informadas.
· Proteger la seguridad de la información: La información debe protegerse contra el acceso no autorizado, la
divulgación, la alteración o la destrucción.
· Garantizar la eficiencia de los sistemas de información: Los sistemas de información deben ser
eficientes y efectivos para apoyar las operaciones de la organización.
· Cumplimiento de las regulaciones: Los sistemas de información deben cumplir con todas las leyes y
regulaciones aplicables.
La auditoría de sistemas es beneficiosa
para las organizaciones porque:
·
Mejora el
control interno: La auditoría de
sistemas puede ayudar a identificar y corregir debilidades en los controles
internos de la organización.
· Reduce el riesgo de fraude y error: La auditoría de sistemas puede ayudar a prevenir el fraude y el
error en el procesamiento de datos.
· Mejora la toma de decisiones: La auditoría de sistemas puede proporcionar información valiosa
para la toma de decisiones estratégicas.
· Aumenta la confianza de los stakeholders: La auditoría de sistemas puede aumentar la confianza de los
stakeholders en la organización y sus sistemas de información.
LA AUDITORÍA INTERNA Y LAS NUEVAS TECNOLOGÍAS
La
auditoría interna se encuentra en un proceso constante de evolución para
adaptarse a los nuevos entornos y desafíos que enfrentan las organizaciones.
Las nuevas tecnologías, como la inteligencia artificial, el big data, la nube y
la robótica, están teniendo un impacto significativo en la forma en que las
empresas operan y gestionan sus riesgos.
Las
nuevas tecnologías pueden ayudar a la auditoría interna de diversas maneras,
incluyendo:
·
Automatización
de tareas: Las tareas repetitivas
y manuales pueden automatizarse utilizando herramientas como la inteligencia
artificial y el aprendizaje automático, lo que libera tiempo para que los
auditores se centren en tareas más estratégicas y de mayor valor.
· Análisis de datos: Las
grandes cantidades de datos que generan las organizaciones pueden analizarse
utilizando herramientas de big data para identificar patrones, tendencias y
anomalías que podrían indicar riesgos.
· Pruebas de control continuo: Las pruebas de control pueden realizarse de forma continua y en
tiempo real utilizando herramientas de monitoreo y análisis de logs.
· Auditoría remota: Las
auditorías pueden realizarse de forma remota utilizando herramientas de
videoconferencia y colaboración en línea.
Si
bien las nuevas tecnologías ofrecen muchas oportunidades para mejorar la
auditoría interna, también presentan algunos desafíos, como:
·
Necesidad de
nuevas habilidades: Los auditores
internos necesitan desarrollar nuevas habilidades para utilizar las nuevas
tecnologías de manera efectiva.
· Costo de las herramientas: Las herramientas tecnológicas pueden ser costosas, lo que puede
suponer un obstáculo para algunas organizaciones.
· Preocupaciones de seguridad: Es importante garantizar que las nuevas tecnologías se utilicen de
forma segura y que los datos se protejan adecuadamente.
· Integración con los sistemas existentes: Las nuevas tecnologías deben integrarse con los sistemas existentes
de la organización para funcionar de manera efectiva.
Las organizaciones pueden prepararse
para utilizar nuevas tecnologías en la auditoría interna de las siguientes
maneras:
·
Evaluar las
necesidades de la organización: Es
importante evaluar las necesidades específicas de la organización para
determinar qué tecnologías serían más beneficiosas.
· Desarrollar una estrategia: La organización debe desarrollar una estrategia para la
implementación de nuevas tecnologías en la auditoría interna.
· Proporcionar capacitación a los auditores: Los auditores deben recibir
capacitación sobre cómo utilizar las nuevas tecnologías.
· Invertir en herramientas tecnológicas: La organización debe invertir en las herramientas tecnológicas
necesarias.
· Establecer controles de seguridad: Es importante establecer controles de seguridad para proteger los
datos y los sistemas.
En
los últimos años, ha habido una creciente preocupación por una posible crisis de la auditoría en el mundo.
Esta preocupación se basa en una serie de eventos y tendencias que han puesto
en duda la credibilidad y la eficacia de la profesión auditora.
Algunos de los eventos y tendencias que han contribuido
a la percepción de una crisis de auditoría incluyen:
·
Escándalos
financieros de alto perfil: En los
últimos años, ha habido una serie de escándalos financieros de alto perfil que
han involucrado a grandes empresas y sus auditores. Estos escándalos han dañado
la confianza del público en la profesión auditora y han planteado dudas sobre
la calidad de las auditorías.
· Aumento de la complejidad empresarial: Las empresas se han vuelto cada vez más complejas en los últimos
años, lo que ha dificultado la auditoría de sus estados financieros. Esto ha
llevado a que los auditores se basen más en modelos de auditoría basados en el
riesgo, que pueden ser menos efectivos para detectar fraudes y errores.
· Presión sobre los auditores para reducir costos: Los auditores han estado bajo una
presión cada vez mayor para reducir costos en los últimos años. Esto ha llevado
a que algunos auditores reduzcan el alcance de sus auditorías o incluso omitan
procedimientos de auditoría importantes.
· Falta de independencia de los auditores: Ha habido algunas preocupaciones sobre la independencia de los
auditores, ya que algunos auditores también brindan servicios de consultoría a
las mismas empresas que auditan. Esto puede crear un conflicto de intereses y
hacer que los auditores sean menos propensos a informar sobre irregularidades.
Se
han tomado una serie de medidas para abordar la crisis de la auditoría,
incluyendo:
·
Fortalecimiento
de las normas de auditoría: Se han
fortalecido las normas de auditoría para exigir más rigor y transparencia en el
proceso de auditoría.
· Aumento de la supervisión de los auditores: Se ha aumentado la supervisión de los
auditores para garantizar que cumplan con las normas y regulaciones aplicables.
· Mejora de la calidad de la educación y la formación de los
auditores: Se ha mejorado la
calidad de la educación y la formación de los auditores para garantizar que
tengan las habilidades y el conocimiento necesarios para realizar auditorías de
alta calidad.
· Promoción de la independencia de los auditores: Se han tomado medidas para promover la
independencia de los auditores, como la prohibición de que los auditores
brinden ciertos servicios de consultoría a las mismas empresas que auditan.
Se
han tomado medidas para abordar la crisis de la auditoría, aún queda mucho por
hacer. La profesión auditora aún enfrenta una serie de desafíos, y es
importante que las partes interesadas continúen trabajando juntas para mejorar
la calidad y la eficacia de las auditorías.
FASES DE LA
AUDITORÍA: ESTRATEGIAS
Las fases de la auditoría son un
conjunto de etapas secuenciales que se llevan a cabo para realizar un examen
exhaustivo y objetivo de los sistemas de información de una organización. Cada
fase tiene sus propios objetivos y estrategias específicas, y todas ellas son
esenciales para garantizar una auditoría exitosa.
Las
principales fases de la auditoría son:
1. Planificación:
·
Estrategia: Establecer el alcance, los objetivos y
el enfoque de la auditoría.
· Actividades: Definir el
alcance de la auditoría, incluyendo los sistemas, procesos y actividades a ser
examinados.
· Establecer los objetivos de la
auditoría, que deben ser específicos, medibles, alcanzables, relevantes y con
un plazo determinado (SMART).
· Desarrollar un plan de auditoría
detallado, que incluya el cronograma, los recursos necesarios y las
responsabilidades de cada miembro del equipo auditor.
· Identificar y evaluar los riesgos de
la auditoría, y desarrollar estrategias para mitigarlos.
· Comunicarse con los con los grupos
interesados (stakeholders) de la auditoría, incluyendo la gerencia, los
auditores internos y los usuarios finales de los sistemas.
2. Recopilación de información:
·
Estrategia: Obtener una comprensión profunda de los
sistemas de información de la organización.
· Actividades:
· Revisar la documentación de los
sistemas, incluyendo manuales, procedimientos, diagramas de flujo y registros.
· Entrevistar al personal clave de la
organización, incluyendo gerentes, usuarios finales y personal de soporte
técnico.
· Observar el funcionamiento de los
sistemas en el entorno real.
· Realizar pruebas de control para
evaluar la efectividad de los controles internos.
· Analizar los datos de los sistemas
para identificar patrones y tendencias.
3. Evaluación de riesgos:
·
Estrategia: Identificar y evaluar los riesgos
potenciales para los sistemas de información de la organización.
Actividades:
· Utilizar técnicas de análisis de
amenazas y vulnerabilidades (ADV) para identificar los riesgos potenciales.
· Evaluar la probabilidad y el impacto
potencial de cada riesgo.
· Determinar la efectividad de los
controles internos existentes para mitigar los riesgos.
· Priorizar los riesgos en función de su
probabilidad e impacto.
4. Pruebas de controles:
·
Estrategia: Verificar que los controles internos
sean efectivos y funcionen como se espera.
· Realizar pruebas de control para cada
tipo de control interno, como controles preventivos, detectivos y correctivos.
· Utilizar técnicas de pruebas de
control adecuadas, como pruebas de recorrido, pruebas de transacciones y
pruebas de controles generales.
· Documentar los resultados de las
pruebas de control.
· Evaluar la suficiencia y efectividad
de las pruebas de control.
5. Informe de auditoría:
·
Estrategia: Comunicar los hallazgos, conclusiones y
recomendaciones de la auditoría a los individuos o grupos de interés (stakeholders)
Actividades:
· Redactar un informe de auditoría
claro, conciso y completo.
· El informe debe incluir:
· Una descripción del alcance y los
objetivos de la auditoría.
· Los hallazgos de la auditoría,
incluyendo las pruebas realizadas y los resultados obtenidos.
· Las conclusiones de la auditoría,
basadas en los hallazgos.
· Las recomendaciones para mejorar los
sistemas de información de la organización.
· Presentar el informe de auditoría a la
gerencia y a otros individuos relevantes.
· Obtener la aprobación de la gerencia
en el informe de auditoría.
· Seguir la implementación de las
recomendaciones de la auditoría.
Estrategias
adicionales para una auditoría exitosa:
·
Utilizar un
enfoque basado en riesgos: Enfocarse
en los riesgos más importantes para la organización.
· Involucrar a los a los grupos de interés stakeholders: Comunicarse con los stakeholders de la
auditoría durante todo el proceso.
· Utilizar herramientas y técnicas de auditoría adecuadas: Seleccionar las herramientas y técnicas
de auditoría más apropiadas para el alcance y los objetivos de la auditoría.
· Mantener una actitud profesional y objetiva: Ser imparcial y objetivo en la
evaluación de los sistemas de información de la organización.
· Documentar adecuadamente todo el trabajo de auditoría: Mantener registros detallados de todas
las actividades de auditoría.
DELITOS
INFORMÁTICOS
Delito informático, crimen genérico o crimen
electrónico, que agobia con operaciones ilícitas realizadas por medio de Internet o que tienen como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet. Sin embargo, las categorías que
definen un delito informático son aún mayores y complejas y
pueden incluir delitos tradicionales como el fraude, el robo, chantaje, falsificación y la
malversación de caudales públicos en los cuales ordenadores y redes han sido
utilizados. Con el desarrollo de la programación y de Internet, los delitos informáticos se han vuelto más frecuentes y sofisticados.
Existen actividades delictivas que se realizan por
medio de estructuras electrónicas que van ligadas a un sin número
de herramientas delictivas que buscan infringir y dañar todo
lo que encuentren en el ámbito informático: ingreso ilegal a sistemas, interceptado ilegal de redes, interferencias,
daños en la información (borrado, dañado, alteración o supresión de
data crédito), mal uso de artefactos, chantajes, fraude
electrónico, ataques a sistemas, robo de bancos, ataques realizados por hackers, violación de los derechos
de autor, pornografía infantil, pedofilia en Internet, violación de
información confidencial y muchos otros.
En Venezuela Concibe como bien jurídico la
protección de los sistemas informáticos que contienen, procesan, resguardan y
transmiten la información. Están contemplados en la Ley Especial contra los Delitos Informáticos, de
30 de octubre de 2001.
RIESGOS Y FRAUDES INFORMÁTICAS
El fraude es una actividad engañosa e ilícita que,
por medio estrategias de manipulación de información, ocultamiento, y
actuaciones de mala fe, se logra obtener
un beneficio personal, en muchos casos económico que perjudica sorpresivamente al defraudado
Es tal, la problemática ocasionada por este
fenómeno social, que constantemente empresas alrededor del mundo se han
quebrado por actividades fraudulentas provocadas muchas veces por sus
propios empleados, y otras se han visto perjudicadas en el
rendimiento de sus ingresos o capacidad operativa
Es por esto que existen organizaciones que han
optado por aplicar múltiples estrategias en pro de una cultura de
prevención del fraude, para disminuir las probabilidades de que este surja
y poder determinar los riesgos de fraude existentes en una organización.
La importancia de la prevención radica en que esta
crea una cultura o ambiente de control, y que por medio del control
interno se crean políticas que delimitan las actuaciones de los empleados
y directivos, y se gestiona el riesgo desde el punto de vista de prevenirlo.(Garcia,
Carriazo, & Mena, 2019)
De la misma forma es importante anotar, que
existen diferentes tipos de riesgo de fraude, pero en la actualidad existe
uno muy asociado a la modernidad de las organizaciones, y este es el
fraude informático, que se asocia al perjuicio económico que comete una
persona por medio de la manipulación de datos, medios o programas
informáticos, (Mayer Lux, L & Calderón, G, 2020 se puede decir que
este es un riesgo asociado a la modernidad de las empresas, y que está
relacionado intrínsecamente con la tecnología, bien sabemos que las
organizaciones cada vez más utilizan tecnología para llevar a cabo
actividades y operaciones con más eficiencia, pero que a la vez
esto ha generado un nuevo riesgo de fraude, y es
el fraude informático, de igual forma no se puede mirar desde el
punto de vista de un impedimento que trunca los procesos de las empresas,
pero si desde el punto de vista preventivo, tanto el control
interno de la empresa como sus directivos en general, deben considerar
este riesgo, evaluarlo y darle debido seguimiento,
POSICIÓN DE LA AUDITORÍA ANTE LOS DELITOS
INFORMÁTICOS
"El auditor informático es el encargado de la
verificación y certificación de la informática dentro de las organizaciones,
deberá contar con un perfil que le permita poder desempeñar su trabajo con la
calidad y la efectividad esperada". Bill Gates.
Destacar la importancia que tiene el saber
presentar profesionalmente los informes de auditoría computacionales. El
auditor tiene que ser muy cuidadoso al plasmar en libro, documento o escrito
porque es como dar un sello personal. Procedimientos para elaborar el informe.
En el informe de auditoría, también llamado dictamen, se reportan las
situaciones encontradas durante la evaluación, pero se deben incluir las causas
que originan esas situaciones y las posibles sugerencias para solucionar los
problemas encontrados.
Los procedimientos para elaborar dicho informe se
componen de los siguientes pasos.
1. Aplicar instrumentos de recopilación
2. Registrar el formato de situaciones encontrada.
3. Comentar las situaciones encontrada con los
auditados.
4. Analizar, depurar y corregir las desviaciones
encontradas.
5. Presentar informe y dictamen final a los
directivos de la presa.
6. Comentar las situaciones encontrada con los
auditados.
Una vez identificada las siguientes situaciones
encontrada, es responsabilidad del encargado de la auditoría comentar cada una
de esas desviaciones con el personal responsable de la operación o sistema de
información o función auditada. Además, comentarlo con los auditados esto
permite preparar las posibles soluciones para esas desviaciones.
Encontrar causas de las desviaciones con los
auditados: También se recomienda encontrar de manera más fidedigna y
confiable las causas que generan cada una de las desviaciones, a fin de
reportarla en el informe lo más apegado posible a la realidad. Es necesario
tener pendiente que al conocer las desviaciones que se le imputan, el auditado
tratara de defenderse, señalando las causas que generaron cada una de las
desviaciones encontradas, así directamente al escuchar la voz del auditado el
auditor puede comprobar o ratificar las causas que había planteado. No
obstante, como es natural, en las reuniones muchos de los auditados trataran de
evadir o justificar su responsabilidad en las desviaciones e incluso, en
algunos casos extremos, pueden hasta negar la existencia o conocimiento de la
situación que se le imputa.
Elaboración del informe final y el dictamen del
auditor: En ese informe el auditor solo debe incluir lo más relevante de la
evaluación, incluyendo su opinión. En este informe es que denota la importancia
de su actividad al señalar en qué situación estaba la empresa o departamento
antes de la evaluación por los auditores. El informe es algo práctico y corto,
cabe aclarar que la razón de plasmar este informe en tan poco espacio es que
los directivos de una empresa, por lo general, tienen poco conocimiento del
lenguaje que se maneja en los sistemas computacionales.
CONCLUSION
La auditoría de sistemas es un proceso
fundamental para garantizar el correcto funcionamiento, la seguridad y la
confiabilidad de los sistemas de información de una organización.
En definitiva, la
auditoría de sistemas es una herramienta esencial para ayudar a las
organizaciones a proteger sus activos de información, cumplir con las
regulaciones y mejorar su rendimiento.
Las amenazas a los activos informáticos son
cada vez más sofisticadas y frecuentes, lo que representa un riesgo
significativo para las organizaciones. Estas amenazas pueden provenir de
diversas fuentes, tanto internas como externas, y pueden tener un impacto
considerable en las operaciones de una organización. i
Es fundamental que las organizaciones tomen
medidas para proteger sus activos informáticos de todas las amenazas que se
presentan.
es
fundamental que las organizaciones tomen medidas para proteger sus activos
implementando controles de seguridad adecuados que pueden incluir firewalls, sistemas de
detección de intrusiones y software antivirus, también capacitando
a los empleados, manteniendo los sistemas actualizados, realizando copias de
seguridad de los datos y desarrollando un plan de respuesta a incidentes la protección de los activos informáticos es
una responsabilidad continua.
Las organizaciones deben revisar y actualizar
periódicamente sus medidas de seguridad para mantenerse al día con las últimas
amenazas porque son un riesgo significativo
para las organizaciones.
RECOMENDACIONES
Es importante que las organizaciones
implementen un programa de auditoría de sistemas regular para identificar y
corregir riesgos de manera preventiva.
- La auditoría de sistemas debe ser
realizada por auditores calificados e independientes.
- La gerencia de la organización debe
estar comprometida con el proceso de auditoría de sistemas y debe tomar
las medidas necesarias para implementar las recomendaciones de los
auditores.
REFERENCIAS
BIBLIOGRAFICAS
https://www.gapauditores.com/blog/auditoria-sistemas-informacion/
https://es.wikipedia.org/wiki/Delito_inform%C3%A1tico
Comentarios
Publicar un comentario