Académique Documents
Professionnel Documents
Culture Documents
Objetivo
El alumno establecer los procedimientos de una auditora en informtica para contribuir a la optimizacin de los recursos informticos.
Resultado de aprendizaje
Entregar un documento con base en un caso de estudio que incluya:
Planeacin de la Auditora Informtica Instrumentos Resultados de Auditora.
planeacin herramientas resultados
Auditora Informtica
la auditoria informtica es un examen que se realiza a los sistemas de informacin, con el fin, de evaluar la eficacia y eficiencia de los mismos.
Objetivos de la A.I.
El control total de todo lo relacionado con la informtica empresarial. El estudio de la eficiencia de los Sistemas Informticos. La verificacin del cumplimiento de los parmetros que se establecieron. La revisin de la eficaz gestin de los recursos informticos.
Auditor Informtico
El Auditor informtico debe velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de informacin.
Una adecuada planificacin de una auditoria (Identificacin de objetivos, recursos, diseo de procedimientos de auditoria, ejecucin, pre informe e informe) incluye el diseo de un optimo programa de auditoria.
Programa de auditoria
Este es un conjunto documentado de procedimientos diseados para alcanzar los objetivos de auditoria planificados y las evidencias que satisfacern dichos objetivos.
Programa de auditoria
Constituye entonces, una gua del auditor para documentar los pasos de accin y para sealar la ubicacin del material de evidencia o papeles de trabajo.
Informe Final.
1. Antecedentes generales
Identificacin de la industria, empresa, conocimiento general del sistema u objeto de estudio en donde se desenvolver la auditoria.
-Organizacin: Estructura organizativa del Departamento de Informtica a auditar Entorno de Operacin: Entorno de trabajo Aplicaciones Informticas: Procesos informticos realizados en la empresa auditada Bases de Datos Ficheros
1. Contrastar algn informe interno con el que resulte del externo. 2. Evaluacin del funcionamiento de reas informticas en un determinado departamento. 3. Aumentos de seguridad y fiabilidad. 4. Aumento de calidad. 5. Disminucin de costos o plazos
4. Alcance de la auditoria
Identifica el entorno especfico o unidades de la organizacin que se han de incluir en la revisin; o aplicaciones o mdulos a auditar en un sistema computacional, referido a un periodo de tiempo determinado y lo que se excluye de la auditoria.
5. Identificacin de recursos
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditora.
Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado depende de la materia auditable.
Recursos Humanos
Es igualmente reseable que la auditora en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.
6. Metodologa
En la actualidad existen tres tipos de metodologas de auditora informtica: R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de base de Datos DB2; paquete de seguridad RACF, etc.).
Fases de la evaluacin
Riesgo en la continuidad del proceso Son aquellos riesgos de situaciones que pudieran afectar a la realizacin del trabajo informtico o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o incluso tambin a paralizarla. Riesgos en la eficacia del servicio informtico Entenderemos como eficacia del servicio la realizacin de los trabajos encomendados. As pues, los riesgos en la eficacia sern aquellos que alteren dicha realizacin o que afecten a la exactitud de los resultados ofrecidos por el servicio informtico. Riesgo en la eficiencia del servicio informtico Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos, ya sea a nivel econmico o tcnico, pretendiendo con el anlisis de estos riesgos mejorar la calidad de servicio. Riesgos econmicos directos En cuanto a estos riesgos se analizarn aquellas posibilidades de desembolsos directos inadecuados, gastos varios que no deberan producirse, e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes. Riesgos de la seguridad lgica Todos aquellos que posibiliten accesos no autorizados a la informacin mecanizada mediante tcnicas informticas o de otro tipos. Riesgos de la seguridad fsica Comprendern todos aquellos que acten sobre el deterioro o aprobacin de elementos de informacin de una forma meramente fsica.
METODOLOGIA CHECKLIST
El auditor revisa o audita los controles con la ayuda de una lista de control (checklist) que consta de una serie de preguntas o cuestiones a verificar. La evaluacin consiste en identificar la existencia de unos controles establecidos.
METODOLOGIA CHECKLIST
Las listas de control suelen utilizarse por los auditores, generalmente por auditores con poca experiencia, como una gua de referencia, para asegurar que se han revisado todos los controles.
METODOLOGIA CHECKLIST
En nuestro caso particular se ha dividido la lista de control en los siguientes apartados: Conocimiento del sistema: Inventario Software Planes de contingencia Seguridad
METODOLOGIA CHECKLIST
CONOCIMIENTO DEL SISTEMA: INVENTARIO SI NO N/A
Hay un inventario en la compaa de Sistemas, Hardware y Datos? Ha hecho revisar el inventario por un especialista (auditor, consultor, experto en informtica...) externo a la empresa? Se sabe quines son los propietarios de los elementos del inventario? Se sabe quines son los usuarios de los elementos del inventario? Existe un criterio para valorar cules son los elementos crticos del inventario? Se distingue en ese criterio entre: Riesgos para el negocio, riesgos para el servicio prestado a los clientes y riesgo de parlisis de la gestin de la Compaa?
Han validado ese criterio los jefes de Gestin de la Empresa y los jefes de Informtica?
Se ha realizado, por lo tanto, un ranking de los elementos ms crticos? Se van a comenzar las pruebas y actualizaciones, por lo tanto, siguiendo el orden del ranking?
METODOLOGIA CHECKLIST
CONOCIMIENTO DEL SISTEMA: SOFTWARE SI NO N/A
Ha tenido en cuenta las distintas versiones de los elementos Software? Es posible modificar y mejorar el cdigo fuente de sus programas a medida? Est disponible el cdigo fuente? Se han hecho estudios coste/beneficio sobre si cambiar los sistemas del departamento o mejorarlos? Se han hecho estudios que revelan cul es la manera ms sencilla y menos costosa de cambiar y mejorar el sistema? Ha identificado qu cdigos fuente son propiedad de otras entidades? Existe un contrato de utilizacin con los propietarios? Va a exigirles a los propietarios de dichos cdigos un informe de progresos? Tiene asesoramiento legal para asegurarse de que dichos contratos son correctos y puede exigir compensaciones econmicas en caso de incumplimiento? Ha verificado en general los productos adquiridos recientemente?(contratos de utilizacin, cdigos fuente,...) Su suministrador de software sigue el negocio?
METODOLOGIA CHECKLIST
CONOCIMIENTO DEL SISTEMA: PLANES DE CONTINGENCIA SI NO N/A
El personal de la organizacin sabe que tiene soporte si ocurren problemas? Existen planes de contingencia y continuidad que garanticen el buen funcionamiento del Repositorio o Diccionario de Datos? En el plan se identifican todos los riesgos y sus posibles alternativas?
Tcnicas de auditoria
Las tcnicas de auditora se refieren a los mtodos usados por el auditor para recolectar evidencia. Los ejemplos incluyen, entre otras, la revisin de la documentacin, entrevistas, cuestionarios, anlisis de datos y la observacin fsica.
7. Procedimientos de auditoria
Los procedimientos de auditora son el conjunto de tcnicas aplicadas por el auditor en forma secuencial; desarrolladas para comprender la actividad o el rea objeto del examen; para recopilar la evidencia de auditora; para respaldar una observacin o hallazgo; para confirmar o discutir un hallazgo, observacin o recomendacin con la administracin.
Informacion del rea a auditar.
Recopilacin de Datos.
Soporte de evidencias.
Discusiones de hallazgos.
Recomendaciones .
8. Pre-informe
Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste de opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.
9. Informe Final