Auditoría Informática

Definición, métodos, tipos

Planeación de la auditoria
Definiciones y consideraciones
 Exámen de las demostraciones y registros
administrativos. (Holmes)
 Observa la exactitud, integridad y
autenticidad de tales demostraciones,
registros y documentos
 No es una evaluación para detectar
errores y señalar fallas
 Persigue el fin de evaluar y mejorar la
eficacia/eficiencia de una organización
 Objetivos de la AI
 Control de la función informática
 El análisis de la eficiencia de los sistemas
informáticos
 Verificación de la normativa general de la
empresa en el ámbito informático
 Revisión de la eficaz gestión de los
recursos materiales y humanos
informáticos
 Éxito de la AI
 Estudiar hechos no opiniones
 Investigar las causas no los efectos
 Atender razones no excusas
 No confiar en la memoria, preguntar
constantemente
 Criticar objetivamente y a fondo todos los
informes y datos recabados
 Registrar TODO
 Tipos de AI
 Interna
Los recursos y personas pertenecen a la empresa
auditada
Es remunerada
La organización la controla
 Externa
Los recursos y personas no pertenecen a la
empresa auditada
Es remunerada
Distancia entre auditores y auditados: mayor
objetividad
 Ventajas de la AII y la AUE
 Tamaño de la organización
 Niveles de confiabilidad
 Ambiente organizacional
 Presupuesto
 Activos informáticos auditables
 Alcances de la AI
 Tener el claro el objetivo
 Conocer el ambiente
 Limites del sistema
 Control de integridad de registros
 Para aplicaciones de registros comunes
 Control de validación de errores
 Detectar y corregir errores
 Deben figurar en el informe final
 Lo incluyente
 Lo excluyente
 Síntomas de necesidad
 Descoordinación y desorganización
 Concordancia con los objetivos
 Desvíos importantes del plan operativo anual
 Alta rotación de personal – Cambios grandes
 Mala imagen – Insatisfacción de los usuarios
 Software
 Hardware
 Plazos de entregas
 Síntomas de necesidad
 Debilidades económicas-financieras
 Incremento de costos
 Justificación de inversiones informáticas
 Desviaciones presupuestarias
 Costos y plazos de nuevos proyectos
 Inseguridad
 Lógica
 Física
 Confidencialidad
 Carencia de planes de contingencias
Fundamentos de la AI
 Sistemas informáticos OPERATIVOS
 Controles técnicos generales
Software y hardware compatibles
Software de base y de aplicación compatibles
 $$$ y ocio
Productos comunes y compatibles (desarrollo
interno de productos de software)
 Controles técnicos específicos
Cuotas en disco
 Consideraciones en una AI?
 Control de la entrada de datos
 Captura, calendario, transmisión, integridad y calidad
de los datos. Debe especificase la
norma/procedimiento.
 Planificación y recepción de aplicaciones
 Por parte del área de desarrollo de sistemas
 Centro de control y seguimiento de trabajos
 Batch
 Tiempo Real
La AI en del desarrollo de proyectos /
aplicaciones
 Análisis
 Diseño
 Programación
 Prueba
 Implantación
 Seguimiento
Consideraciones de la AI en el desarrollo
de sistemas
 Revisión de las metodologías utilizadas
Modularidad, ampliaciones y mantenimiento
 Control interno de las aplicaciones
Para casa fase del proceso
 Satisfacción de usuarios
 Control de procesos y ejecuciones de
programas críticos
La AI de Sistemas
 SO
Actualización de versión
Incompatibilidades con el software de
aplicación
 Otro software de Base
 Software de Teleproceso
 Administración de Bases de Datos
 Investigación y Desarrollo
La AI de comunicaciones y redes
 Redes nodales
 Concentradores
 MAN
 WAN
 Wi-Fi
 Multiplexores
 Líneas telefónicas (proveedores externos)
 ..entre otros aspectos
Auditoría de la Seguridad Informática
 Física
Equipos
Infraestructura
Amenazas naturales…etc
 Lógica
Datos, procesos, programas y usuarios
 Planes de contingencia-desastres
 Piratería/hackers
 Ataques víricos
 Que debe tener?
 Elementos administrativos
 Políticas de seguridad
 Organización y división de responsabilidades
 Seguridad física y contra catástrofes
 Practicas de seguridad del personal
 Elementos técnicos y procedimientos
 Sistemas de seguridad de equipos y de sistemas locales
y remotos
 Aplicación de los sistemas de seguridad, incluyendo
datos y archivos
 Rol de los auditores internos y externos
 Planes de desastres y su prueba
 Estudio INICIAL de una AI
 Constitución legal - Antecedentes
 Organigrama
 Departamentos
 Relaciones jerárquicas y funcionales
 Flujos de información – Cursogramas
 Planos - Layout
Entorno Operacional de una AI
 Situación geográfica de los sistemas
Donde están los centros de procesos de datos
Responsables de cada CPD
Estándares de trabajo de cada CPD
 Arquitectura y configuración de Hardware
y Software
Según fichas de relevamiento adjuntas
 Inventario de hardware y software
 Comunicación y redes de datos
Entrono de Aplicaciones
 Volumen, antigüedad y complejidad de las
aplicaciones
 Metodología de diseño
 Documentación
 Bases de Datos
Cantidad
Complejidad
 Tarea a exponer próxima clase por los
grupos……
 CRMR
Computer
Resource
Management
Review
 Evaluación de la gestión de los recursos
informáticos por medio del management.
¿Es lo mismo que la AI?
 CRMR
 Evaluación de la gestión de recursos
informáticos
 Es una evaluación de la eficiencia de utilización
de los recursos por medio de la administración.
 No es una AI
 Proporciona soluciones rápidas a problemas
concretos y evidentes
 Aplicable a problemas de deficiencia
organizativas y gerenciales.
CRMR – Áreas de aplicación
 Gestión de Datos
 Control de operaciones
 Control y utilización de recursos
materiales y humanos
 Interfaces y relaciones con usuarios
 Planificación
 Organización y administración
CRMR – Objetivo
Evaluar el grado de bondad
o ineficiencia de los
procedimientos y métodos
de gestión que se observan
en un CPD
CRMR – Alcances

 Reducidos: señalar áreas de actuación

con potencialidad inmediata de obtención
de beneficios
 Medio: establece conclusiones y
recomendaciones
 Amplia: incluye planes de accion en
concordancia con las recomendaciones
realizadas
CRMR – Que necesito?
 Datos del mantenimiento preventivo del hardware
 Informe de anomalías de los sistemas
 Procedimientos de emergencia
 Monitoreo de sistemas
 Rendimiento de sistemas
 Mantenimiento de librería de programas
 Gestión de espacio en disco
 Documentación de entrega de aplicaciones
 Utilización de CPU, canales y datos
 Datos de paginación de sistemas
 Volumen total y libre de almacenamiento
 Ocupación media de disco
 Manuales de procedimiento
 ..entre las mas importantes
CRMR – Mas información?

 http://www.msc-
inc.net/Documents/CRMR/CRMR.htm
Planeación de la AI
 Permite dimensional el tamaño y las
características del área dentro de la
organización a auditar

Sistemas
Organización
Equipos
Herramientas a utilizar

 Entrevistas
 Visitas a la organización
 Estudio de documentación y antecedentes
 Cuestionarios
 Encuestas
 Aporte de la clase..
Entrevista a USUARIOS

 Determinar el universo
 Definir el objetivo
Relevamiento de datos
Comprobación de datos
 Diseñarlas – Ver diseños apunte
Planeación de la AI
 Estudio Preliminar
 Administración
 Sistemas
 Personal
 Capacitado – practica profesional
 Valores morales y éticos
 Eficiente
 Pensar en los roles!!!
 Multidisciplinario
 Solo técnicos …NO..Porque?
 Evaluación de sistemas
 Sistemas aislados vs. entrelazados
 Plan estratégico de sistemas
Cuestionario adjunto (practica)…
 Evaluación del Análisis
 Políticas, procedimientos y normas
 Origen/fuente de la aplicación
 Plan estratégico
 Usuario
 Inventario de sistemas
 A desarrollar
 En desarrollo
 Desarrollada
• Modificaciones, con problemas, etc
 Documentación y registros usados en la
elaboración del sistema
Evaluación del diseño lógico
 Analizar las especificaciones del sistema
Que debe hacer?
Como, cuando, en que orden, etc.
 Analizar la participación
Usuario
Auditoria interna (área)
 Comparar lo entregado como documento
y lo que el sistema realmente hace
Evaluación del desarrollo del sistema

 Se auditan
Programas
Diseño de programas
Lenguaje utilizado
Interconexión entre programas
 Red
Características del hardware utilizado
La administración de proyectos
 Tiene como finalidad el control del avance de lo
sistemas en una organización
 Requiere de líder de proyectos
 Debe confeccionarse un plan y su seguimiento
respectivo
 Actividades/Recursos
 Metas
 Tiempos/prioridades
 Costos
 Personal involucrado/Gestión de desempeño
 Control de Diseño de sistemas y
programas
 Acorde a las especificaciones funcionales
desde:
 Análisis
 Ambigüedades
 Omisiones
 Diseño
 Errores
 Debilidades
 Omisiones
 Programación
 Claridad
 Modularidad
 Verificación
 Instructivos de operación
 Diagramas
Flujo
E/S
 Diseño de formularios
 Mensajes de errores
 Parámetros
 Formulas
 Pruebas
 Modulares
 De sistema
 De aceptación
 Paralelas
 CONTROLES
 De datos
 Fuente
 Volumen
 Frecuencia
 Acceso
 Cifras de control
 De operación
 Calidad e integridad de la documentación para el
proceso en una computadora
 Procedimientos e instructivos formales de operación
 Estandarización y cumplimiento de los procedimientos
 CONTROLES
 De salida
 De medios de almacenamiento masivo
 Acceso a los medios
 Documentación de los soportes
 Copias de seguridad
 …ver cuestionarios en apunte
 De Mantenimiento
 Total : Correctivo y preventivo
 Por demanda in situ
 En banco
 Orden en un CPD
 Reglas
Orden
Cuidado
Lugares físicos de almacenamiento de medios
Funcionalidad de muebles
….ver cuestionario apunte
Evaluación de la configuración del CPD

 Evaluar posibles cambios de hardware

 Modificación de equipos
Reducir costos o tiempos de proceso
 Utilización de periféricos