Auditoría Informática

Definición, métodos, tipos

Planeación de la auditoria

Definiciones y consideraciones

Exámen de las demostraciones y registros administrativos. (Holmes)

Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos

No es una evaluación para detectar errores y señalar fallas

Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organización

Objetivos de la AIControl de la función informáticaEl análisis de la eficiencia de los sistemas

informáticosVerificación de la normativa general de la

empresa en el ámbito informáticoRevisión de la eficaz gestión de los

recursos materiales y humanos informáticos

Éxito de la AIEstudiar hechos no opinionesInvestigar las causas no los efectosAtender razones no excusasNo confiar en la memoria, preguntar

constantementeCriticar objetivamente y a fondo todos los

informes y datos recabadosRegistrar TODO

Tipos de AIInterna

Los recursos y personas pertenecen a la empresa auditada

Es remuneradaLa organización la controla

ExternaLos recursos y personas no pertenecen a la

empresa auditadaEs remuneradaDistancia entre auditores y auditados: mayor

objetividad

Ventajas de la AII y la AUE

Tamaño de la organizaciónNiveles de confiabilidadAmbiente organizacionalPresupuestoActivos informáticos auditables

Alcances de la AITener el claro el objetivoConocer el ambienteLimites del sistemaControl de integridad de registros

Para aplicaciones de registros comunesControl de validación de errores

Detectar y corregir erroresDeben figurar en el informe final

Lo incluyenteLo excluyente

Síntomas de necesidadDescoordinación y desorganización

Concordancia con los objetivosDesvíos importantes del plan operativo anualAlta rotación de personal – Cambios grandes

Mala imagen – Insatisfacción de los usuariosSoftwareHardwarePlazos de entregas

Síntomas de necesidad

Debilidades económicas-financierasIncremento de costosJustificación de inversiones informáticasDesviaciones presupuestariasCostos y plazos de nuevos proyectos

InseguridadLógicaFísicaConfidencialidadCarencia de planes de contingencias

Fundamentos de la AISistemas informáticos OPERATIVOSControles técnicos generales

Software y hardware compatiblesSoftware de base y de aplicación compatibles

$$$ y ocioProductos comunes y compatibles (desarrollo

interno de productos de software)Controles técnicos específicos

Cuotas en disco

Consideraciones en una AI?

Control de la entrada de datosCaptura, calendario, transmisión, integridad y calidad

de los datos. Debe especificase la norma/procedimiento.

Planificación y recepción de aplicacionesPor parte del área de desarrollo de sistemas

Centro de control y seguimiento de trabajosBatchTiempo Real

La AI en del desarrollo de proyectos / aplicaciones

AnálisisDiseñoProgramaciónPruebaImplantaciónSeguimiento

Consideraciones de la AI en el desarrollo de sistemas

Revisión de las metodologías utilizadasModularidad, ampliaciones y mantenimiento

Control interno de las aplicacionesPara casa fase del proceso

Satisfacción de usuariosControl de procesos y ejecuciones de

programas críticos

La AI de Sistemas

SOActualización de versiónIncompatibilidades con el software de

aplicación

Otro software de BaseSoftware de TeleprocesoAdministración de Bases de DatosInvestigación y Desarrollo

La AI de comunicaciones y redes

Redes nodalesConcentradoresMANWANWi-FiMultiplexoresLíneas telefónicas (proveedores externos)..entre otros aspectos

Auditoría de la Seguridad Informática

FísicaEquiposInfraestructuraAmenazas naturales…etc

LógicaDatos, procesos, programas y usuarios

Planes de contingencia-desastresPiratería/hackersAtaques víricos

Que debe tener?Elementos administrativosPolíticas de seguridadOrganización y división de responsabilidadesSeguridad física y contra catástrofesPracticas de seguridad del personalElementos técnicos y procedimientosSistemas de seguridad de equipos y de sistemas locales

y remotosAplicación de los sistemas de seguridad, incluyendo

datos y archivosRol de los auditores internos y externosPlanes de desastres y su prueba

Estudio INICIAL de una AI

Constitución legal - AntecedentesOrganigramaDepartamentosRelaciones jerárquicas y funcionalesFlujos de información – Cursogramas

Entorno Operacional de una AI

Situación geográfica de los sistemasDonde están los centros de procesos de datosResponsables de cada CPDEstándares de trabajo de cada CPD

Arquitectura y configuración de Hardware y SoftwareSegún fichas de relevamiento adjuntas

Inventario de hardware y softwareComunicación y redes de datos

Entrono de AplicacionesVolumen, antigüedad y complejidad de las

aplicacionesMetodología de diseñoDocumentaciónBases de Datos

CantidadComplejidad

Tarea a exponer próxima clase por los grupos……

CRMRComputerResourceManagementReview

Evaluación de la gestión de los recursos informáticos por medio del management.¿Es lo mismo que la AI?

CRMREvaluación de la gestión de recursos

informáticosEs una evaluación de la eficiencia de utilización

de los recursos por medio de la administración.No es una AIProporciona soluciones rápidas a problemas

concretos y evidentesAplicable a problemas de deficiencia

organizativas y gerenciales.

CRMR – Áreas de aplicación

Gestión de DatosControl de operacionesControl y utilización de recursos

materiales y humanosInterfaces y relaciones con usuariosPlanificaciónOrganización y administración

CRMR – Objetivo

Evaluar el grado de bondad o ineficiencia de los procedimientos y métodos

de gestión que se observan en un CPD

CRMR – Alcances

Reducidos: señalar áreas de actuación con potencialidad inmediata de obtención de beneficios

Medio: establece conclusiones y recomendaciones

Amplia: incluye planes de accion en concordancia con las recomendaciones realizadas

CRMR – Que necesito?

Datos del mantenimiento preventivo del hardware Informe de anomalías de los sistemas Procedimientos de emergencia Monitoreo de sistemas Rendimiento de sistemas Mantenimiento de librería de programas Gestión de espacio en disco Documentación de entrega de aplicaciones Utilización de CPU, canales y datos Datos de paginación de sistemas Volumen total y libre de almacenamiento Ocupación media de disco Manuales de procedimiento ..entre las mas importantes

CRMR – Mas información?

http://www.msc-inc.net/Documents/CRMR/CRMR.htm

Planeación de la AI

Permite dimensional el tamaño y las características del área dentro de la organización a auditar

SistemasOrganizaciónEquipos

Herramientas a utilizar

EntrevistasVisitas a la organizaciónEstudio de documentación y

antecedentesCuestionariosEncuestasAporte de la clase..

Entrevista a USUARIOS

Determinar el universoDefinir el objetivo

Relevamiento de datosComprobación de datos

Diseñarlas – Ver diseños apunte

Planeación de la AI

Estudio PreliminarAdministraciónSistemas

PersonalCapacitado – practica profesionalValores morales y éticosEficientePensar en los roles!!!Multidisciplinario

Solo técnicos …NO..Porque?

Evaluación de sistemas

Sistemas aislados vs. entrelazadosPlan estratégico de sistemas

Cuestionario adjunto (practica)…

Evaluación del AnálisisPolíticas, procedimientos y normasOrigen/fuente de la aplicación

Plan estratégicoUsuario Inventario de sistemas

A desarrollarEn desarrolloDesarrollada

• Modificaciones, con problemas, etc

Documentación y registros usados en la elaboración del sistema

Evaluación del diseño lógico

Analizar las especificaciones del sistemaQue debe hacer?Como, cuando, en que orden, etc.

Analizar la participaciónUsuarioAuditoria interna (área)

Comparar lo entregado como documento y lo que el sistema realmente hace

Evaluación del desarrollo del sistema

Se auditanProgramasDiseño de programasLenguaje utilizadoInterconexión entre programas

Red

Características del hardware utilizado

La administración de proyectos

Tiene como finalidad el control del avance de lo sistemas en una organización

Requiere de líder de proyectos Debe confeccionarse un plan y su seguimiento

respectivoActividades/RecursosMetasTiempos/prioridadesCostosPersonal involucrado/Gestión de desempeño

Control de Diseño de sistemas y programas

Acorde a las especificaciones funcionales desde:Análisis

AmbigüedadesOmisiones

DiseñoErroresDebilidadesOmisiones

ProgramaciónClaridadModularidadVerificación

Instructivos de operación

DiagramasFlujoE/S

Diseño de formulariosMensajes de erroresParámetrosFormulas

PruebasModularesDe sistemaDe aceptaciónParalelas

CONTROLESDe datos

FuenteVolumenFrecuenciaAccesoCifras de control

De operaciónCalidad e integridad de la documentación para el

proceso en una computadoraProcedimientos e instructivos formales de operaciónEstandarización y cumplimiento de los procedimientos

CONTROLESDe salidaDe medios de almacenamiento masivo

Acceso a los mediosDocumentación de los soportesCopias de seguridad…ver cuestionarios en apunte

De MantenimientoTotal : Correctivo y preventivoPor demanda in situEn banco

Orden en un CPDReglas

OrdenCuidadoLugares físicos de almacenamiento de mediosFuncionalidad de muebles….ver cuestionario apunte

Evaluación de la configuración del CPD

Evaluar posibles cambios de hardwareModificación de equipos

Reducir costos o tiempos de proceso

Utilización de periféricos