Auditoría Informática Definición, métodos, tipos Planeación de la auditoria
Definiciones y consideraciones
Exámen de las demostraciones y registros administrativos. (Holmes)
Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos
No es una evaluación para detectar errores y señalar fallas
Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organización
Objetivos de la AI
Control de la función informática
El análisis de la eficiencia de los sistemas
informáticos
Verificación de la normativa general de la
empresa en el ámbito informático
Revisión de la eficaz gestión de los
recursos materiales y humanos
informáticos
Éxito de la AIEstudiar hechos no opiniones
Investigar las causas no los efectos
Atender razones no excusas
No confiar en la memoria, preguntar
constantemente
Criticar objetivamente y a fondo todos los
informes y datos recabados
Registrar TODO
Tipos de AI Interna
Los recursos y personas pertenecen a la empresa auditada
Es remunerada
La organización la controla
Externa
Los recursos y personas no pertenecen a la empresa auditada
Es remunerada
Distancia entre auditores y auditados: mayor objetividad
Ventajas de la AII y la AUE
Tamaño de la organización
Niveles de confiabilidad
Ambiente organizacional
Presupuesto
Activos informáticos auditables
Alcances de la AI
Tener el claro el objetivo
Conocer el ambiente
Limites del sistema
Control de integridad de registrosPara aplicaciones de registros comunes
Control de validación de erroresDetectar y corregir errores
Deben figurar en el informe finalLo incluyente
Lo excluyente
Síntomas de necesidad
Descoordinación y desorganización
Concordancia con los objetivos
Desvíos importantes del plan operativo anual
Alta rotación de personal – Cambios grandes
Mala imagen – Insatisfacción de los usuarios
Software
Hardware
Plazos de entregas
Síntomas de necesidad
Debilidades económicas-financierasIncremento de costos
Justificación de inversiones informáticas
Desviaciones presupuestarias
Costos y plazos de nuevos proyectos
InseguridadLógica
Física
Confidencialidad
Carencia de planes de contingencias
Fundamentos de la AISistemas informáticos OPERATIVOS
Controles técnicos generalesSoftware y hardware compatibles
Software de base y de aplicación compatibles$$$ y ocio
Productos comunes y compatibles (desarrollo interno de productos de software)
Controles técnicos específicosCuotas en disco
Consideraciones en una AI?
Control de la entrada de datos
Captura, calendario, transmisión, integridad y calidad de
los datos. Debe especificase la norma/procedimiento.
Planificación y recepción de aplicaciones
Por parte del área de desarrollo de sistemas
Centro de control y seguimiento de trabajos
Batch
Tiempo Real
La AI en del desarrollo de proyectos /
aplicaciones
Análisis
Diseño
Programación
Prueba
Implantación
Seguimiento
Consideraciones de la AI en el desarrollo
de sistemas
Revisión de las metodologías utilizadas
Modularidad, ampliaciones y mantenimiento
Control interno de las aplicaciones
Para casa fase del proceso
Satisfacción de usuarios
Control de procesos y ejecuciones de
programas críticos
La AI de Sistemas
SO
Actualización de versión
Incompatibilidades con el software de
aplicación
Otro software de Base
Software de Teleproceso
Administración de Bases de Datos
Investigación y Desarrollo
La AI de comunicaciones y redes
Redes nodales
Concentradores
MAN
WAN
Wi-Fi
Multiplexores
Líneas telefónicas (proveedores externos)
..entre otros aspectos
Auditoría de la Seguridad Informática
FísicaEquipos
Infraestructura
Amenazas naturales…etc
LógicaDatos, procesos, programas y usuarios
Planes de contingencia-desastres
Piratería/hackers
Ataques víricos
Que debe tener? Elementos administrativos
Políticas de seguridad
Organización y división de responsabilidades
Seguridad física y contra catástrofes
Practicas de seguridad del personal
Elementos técnicos y procedimientos
Sistemas de seguridad de equipos y de sistemas locales y remotos
Aplicación de los sistemas de seguridad, incluyendo datos y archivos
Rol de los auditores internos y externos
Planes de desastres y su prueba
Estudio INICIAL de una AI
Constitución legal - Antecedentes
Organigrama
Departamentos
Relaciones jerárquicas y funcionales
Flujos de información – Cursogramas
Planos - Layout
Entorno Operacional de una AI
Situación geográfica de los sistemasDonde están los centros de procesos de datos
Responsables de cada CPD
Estándares de trabajo de cada CPD
Arquitectura y configuración de Hardware y SoftwareSegún fichas de relevamiento adjuntas
Inventario de hardware y software
Comunicación y redes de datos
Entrono de Aplicaciones
Volumen, antigüedad y complejidad de las
aplicaciones
Metodología de diseño
Documentación
Bases de Datos
Cantidad
Complejidad
Tarea a exponer próxima clase por los
grupos……
CRMR
Computer
Resource
Management
Review
Evaluación de la gestión de los recursos
informáticos por medio del management.
¿Es lo mismo que la AI?
CRMR Evaluación de la gestión de recursos
informáticos
Es una evaluación de la eficiencia de utilización
de los recursos por medio de la administración.
No es una AI
Proporciona soluciones rápidas a problemas
concretos y evidentes
Aplicable a problemas de deficiencia
organizativas y gerenciales.
CRMR – Áreas de aplicación
Gestión de Datos
Control de operaciones
Control y utilización de recursos
materiales y humanos
Interfaces y relaciones con usuarios
Planificación
Organización y administración
CRMR – Objetivo
Evaluar el grado de bondad
o ineficiencia de los
procedimientos y métodos
de gestión que se observan
en un CPD
CRMR – Alcances
Reducidos: señalar áreas de actuación
con potencialidad inmediata de obtención
de beneficios
Medio: establece conclusiones y
recomendaciones
Amplia: incluye planes de accion en
concordancia con las recomendaciones
realizadas
CRMR – Que necesito?
Datos del mantenimiento preventivo del hardware
Informe de anomalías de los sistemas
Procedimientos de emergencia
Monitoreo de sistemas
Rendimiento de sistemas
Mantenimiento de librería de programas
Gestión de espacio en disco
Documentación de entrega de aplicaciones
Utilización de CPU, canales y datos
Datos de paginación de sistemas
Volumen total y libre de almacenamiento
Ocupación media de disco
Manuales de procedimiento
..entre las mas importantes
Planeación de la AI
Permite dimensional el tamaño y las
características del área dentro de la
organización a auditar
Sistemas
Organización
Equipos
Herramientas a utilizar
Entrevistas
Visitas a la organización
Estudio de documentación y antecedentes
Cuestionarios
Encuestas
Aporte de la clase..
Entrevista a USUARIOS
Determinar el universo
Definir el objetivo
Relevamiento de datos
Comprobación de datos
Diseñarlas – Ver diseños apunte
Planeación de la AI
Estudio Preliminar
Administración
Sistemas
Personal
Capacitado – practica profesional
Valores morales y éticos
Eficiente
Pensar en los roles!!!
Multidisciplinario
Solo técnicos …NO..Porque?
Evaluación de sistemas
Sistemas aislados vs. entrelazados
Plan estratégico de sistemas
Cuestionario adjunto (practica)…
Evaluación del Análisis
Políticas, procedimientos y normas
Origen/fuente de la aplicaciónPlan estratégico
Usuario
Inventario de sistemas
A desarrollar
En desarrollo
Desarrollada• Modificaciones, con problemas, etc
Documentación y registros usados en la elaboración del sistema
Evaluación del diseño lógico
Analizar las especificaciones del sistema
Que debe hacer?
Como, cuando, en que orden, etc.
Analizar la participación
Usuario
Auditoria interna (área)
Comparar lo entregado como documento
y lo que el sistema realmente hace
Evaluación del desarrollo del sistema
Se auditan
Programas
Diseño de programas
Lenguaje utilizado
Interconexión entre programas
Red
Características del hardware utilizado
La administración de proyectos
Tiene como finalidad el control del avance de lo
sistemas en una organización
Requiere de líder de proyectos
Debe confeccionarse un plan y su seguimiento
respectivo
Actividades/Recursos
Metas
Tiempos/prioridades
Costos
Personal involucrado/Gestión de desempeño
Control de Diseño de sistemas y
programas
Acorde a las especificaciones funcionales desde:AnálisisAmbigüedades
Omisiones
DiseñoErrores
Debilidades
Omisiones
ProgramaciónClaridad
Modularidad
Verificación
Instructivos de operación
Diagramas
Flujo
E/S
Diseño de formularios
Mensajes de errores
Parámetros
Formulas
CONTROLES De datosFuente
Volumen
Frecuencia
Acceso
Cifras de control
De operaciónCalidad e integridad de la documentación para el
proceso en una computadora
Procedimientos e instructivos formales de operación
Estandarización y cumplimiento de los procedimientos
CONTROLES De salida
De medios de almacenamiento masivo
Acceso a los medios
Documentación de los soportes
Copias de seguridad
…ver cuestionarios en apunte
De Mantenimiento
Total : Correctivo y preventivo
Por demanda in situ
En banco
Orden en un CPD
Reglas
Orden
Cuidado
Lugares físicos de almacenamiento de medios
Funcionalidad de muebles
….ver cuestionario apunte