Auditora Informtica

Definicin, mtodos, tipos Planeacin de la auditoria

07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Definiciones y consideraciones
 Examen de las demostraciones y registros administrativos. (Holmes)  Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos  No es una evaluacin para detectar errores y sealar fallas. Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organizacin
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Objetivos de la AI
 Control de la funcin informtica  El anlisis de la eficiencia de los sistemas informticos  Verificacin de la normativa general de la empresa en el mbito informtico  Revisin de la eficaz gestin de los recursos materiales y humanos informticos
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

xito de la AI
 Estudiar hechos no opiniones  Investigar las causas no los efectos  Atender razones no excusas  No confiar en la memoria, preguntar constantemente  Criticar objetivamente y a fondo todos los informes y datos recabados  Registrar TODO
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Clasificacin de Auditora
 Interna
Los recursos y personas pertenecen a la empresa auditada Es remunerada La organizacin la controla

 Externa
Los recursos y personas no pertenecen a la empresa auditada Es remunerada Distancia entre auditores y auditados: mayor objetividad
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Ventajas de la AII y la AIE

 Tamao de la organizacin  Niveles de confiabilidad  Ambiente organizacional  Presupuesto  Activos informticos auditables

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

Alcances de la AI
 Tener el claro el objetivo  Conocer el ambiente  Limites del sistema  Control de integridad de registros
Para aplicaciones de registros comunes

 Control de validacin de errores

Detectar y corregir errores

 Deben figurar en el informe final

Lo incluyente Lo excluyente
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Sntomas de necesidad
 Descoordinacin y desorganizacin
 Concordancia con los objetivos  Desvos importantes del plan operativo anual  Alta rotacin de personal Cambios grandes

 Mala imagen Insatisfaccin de los usuarios

 Software  Hardware  Plazos de entregas

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

Sntomas de necesidad
 Debilidades econmicas-financieras
 Incremento de costos  Justificacin de inversiones informticas  Desviaciones presupuestarias  Costos y plazos de nuevos proyectos

 Inseguridad
 Lgica  Fsica  Confidencialidad  Carencia de planes de contingencias
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Fundamentos de la AI
 Sistemas informticos OPERATIVOS  Controles tcnicos generales
Software y hardware compatibles Software de base y de aplicacin compatibles
$$$ y ocio

Productos comunes y compatibles (desarrollo interno de productos de software)

 Controles tcnicos especficos

Cuotas en disco
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Consideraciones en una AI?

 Control de la entrada de datos
Captura, calendario, transmisin, integridad y calidad de los datos. Debe especificase la norma/procedimiento.

 Planificacin y recepcin de aplicaciones

Por parte del rea de desarrollo de sistemas

 Centro de control y seguimiento de trabajos

Batch Tiempo Real

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

La AI en del desarrollo de proyectos / aplicaciones

 Anlisis  Diseo  Programacin  Prueba  Implantacin  Seguimiento

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

Consideraciones de la AI en el desarrollo de sistemas

 Revisin de las metodologas utilizadas
Modularidad, ampliaciones y mantenimiento

 Control interno de las aplicaciones

Para casa fase del proceso

 Satisfaccin de usuarios  Control de procesos y ejecuciones de programas crticos

07/07/2011 04:23 p.m. AUDITORA INFORMTICA

La AI de Sistemas
 SO
Actualizacin de versin Incompatibilidades con el software de aplicacin

 Otro software de Base  Software de Teleproceso  Administracin de Bases de Datos  Investigacin y Desarrollo
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

La AI de comunicaciones y redes
 Redes nodales  Concentradores  MAN  WAN  Wi-Fi  Multiplexores  Lneas telefnicas (proveedores externos)  ..entre otros aspectos
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Auditora de la Seguridad Informtica

 Fsica
Equipos Infraestructura Amenazas naturalesetc

 Lgica
Datos, procesos, programas y usuarios

 Planes de contingencia-desastres  Piratera/hackers  Ataques vricos

07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Que debe tener?

Elementos administrativos Polticas de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes Practicas de seguridad del personal Elementos tcnicos y procedimientos Sistemas de seguridad de equipos y de sistemas locales y remotos  Aplicacin de los sistemas de seguridad, incluyendo datos y archivos  Rol de los auditores internos y externos  Planes de desastres y su prueba
      
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Estudio INICIAL de una AI

 Constitucin legal - Antecedentes  Organigrama  Departamentos  Relaciones jerrquicas y funcionales  Flujos de informacin Cursogramas  Planos - Layout

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

Entorno Operacional de una AI

 Situacin geogrfica de los sistemas
Donde estn los centros de procesos de datos Responsables de cada CPD Estndares de trabajo de cada CPD

 Arquitectura y configuracin de Hardware y Software

Segn fichas de relevamiento adjuntas

 Inventario de hardware y software  Comunicacin y redes de datos

07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Entrono de Aplicaciones
 Volumen, antigedad y complejidad de las aplicaciones  Metodologa de diseo  Documentacin  Bases de Datos
Cantidad Complejidad

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

Tarea a exponer prxima clase por los grupos

 CRMR
Computer Resource Management Review

 Evaluacin de la gestin de los recursos informticos por medio del management.

Es lo mismo que la AI?
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

CRMR
 Evaluacin de la gestin de recursos informticos  Es una evaluacin de la eficiencia de utilizacin de los recursos por medio de la administracin.  No es una AI  Proporciona soluciones rpidas a problemas concretos y evidentes  Aplicable a problemas de deficiencia organizativas y gerenciales.
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

CRMR reas de aplicacin

 Gestin de Datos  Control de operaciones  Control y utilizacin de recursos materiales y humanos  Interfaces y relaciones con usuarios  Planificacin  Organizacin y administracin
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

CRMR Objetivo
Evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un CPD
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

CRMR Alcances
 Reducidos: sealar reas de actuacin con potencialidad inmediata de obtencin de beneficios  Medio: establece conclusiones y recomendaciones  Amplia: incluye planes de accion en concordancia con las recomendaciones realizadas
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

CRMR Que necesito?

              Datos del mantenimiento preventivo del hardware Informe de anomalas de los sistemas Procedimientos de emergencia Monitoreo de sistemas Rendimiento de sistemas Mantenimiento de librera de programas Gestin de espacio en disco Documentacin de entrega de aplicaciones Utilizacin de CPU, canales y datos Datos de paginacin de sistemas Volumen total y libre de almacenamiento Ocupacin media de disco Manuales de procedimiento ..entre las mas importantes
AUDITORA INFORMTICA

07/07/2011 04:23 p.m.

CRMR Mas informacin?

 http://www.mscinc.net/Documents/CRMR/CRMR.htm

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

Planeacin de la AI
 Permite dimensional el tamao y las caractersticas del rea dentro de la organizacin a auditar
Sistemas Organizacin Equipos

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

Herramientas a utilizar
 Entrevistas  Visitas a la organizacin  Estudio de documentacin y antecedentes  Cuestionarios  Encuestas  Aporte de la clase..

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

Entrevista a USUARIOS
 Determinar el universo  Definir el objetivo
Relevamiento de datos Comprobacin de datos

 Disearlas Ver diseos apunte

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

Planeacin de la AI
 Estudio Preliminar
Administracin Sistemas

 Personal
Capacitado practica profesional Valores morales y ticos Eficiente Pensar en los roles!!! Multidisciplinario
 Solo tcnicos NO..Porque?
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Evaluacin de sistemas
 Sistemas aislados vs. entrelazados  Plan estratgico de sistemas
Cuestionario adjunto (practica)

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

Evaluacin del Anlisis

 Polticas, procedimientos y normas  Origen/fuente de la aplicacin
Plan estratgico Usuario Inventario de sistemas
 A desarrollar  En desarrollo  Desarrollada
Modificaciones, con problemas, etc

 Documentacin y registros usados en la elaboracin del sistema

07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Evaluacin del diseo lgico

 Analizar las especificaciones del sistema
Que debe hacer? Como, cuando, en que orden, etc.

 Analizar la participacin
Usuario Auditoria interna (rea)

 Comparar lo entregado como documento y lo que el sistema realmente hace

07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Evaluacin del desarrollo del sistema

 Se auditan
Programas Diseo de programas Lenguaje utilizado Interconexin entre programas
Red

Caractersticas del hardware utilizado

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

La administracin de proyectos
 Tiene como finalidad el control del avance de lo sistemas en una organizacin  Requiere de lder de proyectos  Debe confeccionarse un plan y su seguimiento respectivo
Actividades/Recursos Metas Tiempos/prioridades Costos Personal involucrado/Gestin de desempeo
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Control de Diseo de sistemas y

programas
 Acorde a las especificaciones funcionales desde:
Anlisis Diseo
 Ambigedades  Omisiones  Errores  Debilidades  Omisiones  Claridad  Modularidad  Verificacin
AUDITORA INFORMTICA

Programacin

07/07/2011 04:23 p.m.

Instructivos de operacin
 Diagramas
Flujo E/S

 Diseo de formularios  Mensajes de errores  Parmetros  Formulas

07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Pruebas
 Modulares  De sistema  De aceptacin  Paralelas

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

CONTROLES
 De datos
Fuente Volumen Frecuencia Acceso Cifras de control

 De operacin
Calidad e integridad de la documentacin para el proceso en una computadora Procedimientos e instructivos formales de operacin Estandarizacin y cumplimiento de los procedimientos
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

CONTROLES
 De salida  De medios de almacenamiento masivo
Acceso a los medios Documentacin de los soportes Copias de seguridad ver cuestionarios en apunte

 De Mantenimiento
Total : Correctivo y preventivo Por demanda in situ En banco
07/07/2011 04:23 p.m. AUDITORA INFORMTICA

Orden en un CPD
 Reglas
Orden Cuidado Lugares fsicos de almacenamiento de medios Funcionalidad de muebles .ver cuestionario apunte

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA

Evaluacin de la configuracin del CPD

 Evaluar posibles cambios de hardware  Modificacin de equipos
Reducir costos o tiempos de proceso

 Utilizacin de perifricos

07/07/2011 04:23 p.m.

AUDITORA INFORMTICA