Auditoría Informática

Definición, métodos, tipos

Planeación de la auditoria

Definiciones y consideraciones

Exámen de las demostraciones y registros administrativos. (Holmes)

Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos

No es una evaluación para detectar errores y señalar fallas

Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organización

Objetivos de la AIControl de la función informáticaEl análisis de la eficiencia de los sistemas

informáticosVerificación de la normativa general de la

empresa en el ámbito informáticoRevisión de la eficaz gestión de los

recursos materiales y humanos informáticos

Éxito de la AIEstudiar hechos no opinionesInvestigar las causas no los efectosAtender razones no excusasNo confiar en la memoria, preguntar

constantementeCriticar objetivamente y a fondo todos los

informes y datos recabadosRegistrar TODO

Tipos de AI Interna

Los recursos y personas pertenecen a la empresa auditada

Es remunerada La organización la controla

Externa Los recursos y personas no pertenecen a la

empresa auditada Es remunerada Distancia entre auditores y auditados: mayor

objetividad

Ventajas de la AII y la AUE

Tamaño de la organizaciónNiveles de confiabilidadAmbiente organizacionalPresupuestoActivos informáticos auditables

Alcances de la AI Tener el claro el objetivo Conocer el ambiente Limites del sistema Control de integridad de registros

Para aplicaciones de registros comunes Control de validación de errores

Detectar y corregir errores Deben figurar en el informe final

Lo incluyente Lo excluyente

Síntomas de necesidad Descoordinación y desorganización

Concordancia con los objetivos Desvíos importantes del plan operativo anual Alta rotación de personal – Cambios grandes

Mala imagen – Insatisfacción de los usuarios Software Hardware Plazos de entregas

Síntomas de necesidad

Debilidades económicas-financieras Incremento de costos Justificación de inversiones informáticas Desviaciones presupuestarias Costos y plazos de nuevos proyectos

Inseguridad Lógica Física Confidencialidad Carencia de planes de contingencias

Fundamentos de la AISistemas informáticos OPERATIVOSControles técnicos generales

Software y hardware compatibles Software de base y de aplicación compatibles

$$$ y ocio Productos comunes y compatibles (desarrollo

interno de productos de software)Controles técnicos específicos

Cuotas en disco

Consideraciones en una AI?

Control de la entrada de datos Captura, calendario, transmisión, integridad y calidad

de los datos. Debe especificase la norma/procedimiento.

Planificación y recepción de aplicaciones Por parte del área de desarrollo de sistemas

Centro de control y seguimiento de trabajos Batch Tiempo Real

La AI en del desarrollo de proyectos / aplicaciones

AnálisisDiseñoProgramaciónPruebaImplantaciónSeguimiento

Consideraciones de la AI en el desarrollo de sistemas

Revisión de las metodologías utilizadas Modularidad, ampliaciones y mantenimiento

Control interno de las aplicaciones Para casa fase del proceso

Satisfacción de usuariosControl de procesos y ejecuciones de

programas críticos

La AI de Sistemas

SO Actualización de versión Incompatibilidades con el software de

aplicación

Otro software de BaseSoftware de TeleprocesoAdministración de Bases de DatosInvestigación y Desarrollo

La AI de comunicaciones y redes

Redes nodalesConcentradoresMANWANWi-FiMultiplexoresLíneas telefónicas (proveedores externos)..entre otros aspectos

Auditoría de la Seguridad Informática

Física Equipos Infraestructura Amenazas naturales…etc

Lógica Datos, procesos, programas y usuarios

Planes de contingencia-desastresPiratería/hackersAtaques víricos

Que debe tener? Elementos administrativos Políticas de seguridad Organización y división de responsabilidades Seguridad física y contra catástrofes Practicas de seguridad del personal Elementos técnicos y procedimientos Sistemas de seguridad de equipos y de sistemas locales

y remotos Aplicación de los sistemas de seguridad, incluyendo

datos y archivos Rol de los auditores internos y externos Planes de desastres y su prueba

Estudio INICIAL de una AI

Constitución legal - AntecedentesOrganigramaDepartamentosRelaciones jerárquicas y funcionalesFlujos de información – CursogramasPlanos - Layout

Entorno Operacional de una AI

Situación geográfica de los sistemas Donde están los centros de procesos de datos Responsables de cada CPD Estándares de trabajo de cada CPD

Arquitectura y configuración de Hardware y Software Según fichas de relevamiento adjuntas

Inventario de hardware y softwareComunicación y redes de datos

Entrono de AplicacionesVolumen, antigüedad y complejidad de las

aplicacionesMetodología de diseñoDocumentaciónBases de Datos

Cantidad Complejidad

Tarea a exponer próxima clase por los grupos……

CRMR Computer Resource Management Review

Evaluación de la gestión de los recursos informáticos por medio del management. ¿Es lo mismo que la AI?

CRMR Evaluación de la gestión de recursos

informáticos Es una evaluación de la eficiencia de utilización

de los recursos por medio de la administración. No es una AI Proporciona soluciones rápidas a problemas

concretos y evidentes Aplicable a problemas de deficiencia

organizativas y gerenciales.

CRMR – Áreas de aplicación

Gestión de DatosControl de operacionesControl y utilización de recursos

materiales y humanosInterfaces y relaciones con usuariosPlanificaciónOrganización y administración

CRMR – Objetivo

Evaluar el grado de bondad o ineficiencia de los

procedimientos y métodos de gestión que se observan

en un CPD

CRMR – Alcances

Reducidos: señalar áreas de actuación con potencialidad inmediata de obtención de beneficios

Medio: establece conclusiones y recomendaciones

Amplia: incluye planes de accion en concordancia con las recomendaciones realizadas

CRMR – Que necesito?

Datos del mantenimiento preventivo del hardware Informe de anomalías de los sistemas Procedimientos de emergencia Monitoreo de sistemas Rendimiento de sistemas Mantenimiento de librería de programas Gestión de espacio en disco Documentación de entrega de aplicaciones Utilización de CPU, canales y datos Datos de paginación de sistemas Volumen total y libre de almacenamiento Ocupación media de disco Manuales de procedimiento ..entre las mas importantes

CRMR – Mas información?

http://www.msc-inc.net/Documents/CRMR/CRMR.htm

Planeación de la AI

Permite dimensional el tamaño y las características del área dentro de la organización a auditar

Sistemas Organización Equipos

Herramientas a utilizar

EntrevistasVisitas a la organizaciónEstudio de documentación y antecedentesCuestionariosEncuestasAporte de la clase..

Entrevista a USUARIOS

Determinar el universoDefinir el objetivo

Relevamiento de datos Comprobación de datos

Diseñarlas – Ver diseños apunte

Planeación de la AI

Estudio Preliminar Administración Sistemas

Personal Capacitado – practica profesional Valores morales y éticos Eficiente Pensar en los roles!!! Multidisciplinario

Solo técnicos …NO..Porque?

Evaluación de sistemasSistemas aislados vs. entrelazadosPlan estratégico de sistemas

Cuestionario adjunto (practica)…

Evaluación del Análisis Políticas, procedimientos y normas Origen/fuente de la aplicación

Plan estratégico Usuario Inventario de sistemas

A desarrollar En desarrollo Desarrollada

• Modificaciones, con problemas, etc

Documentación y registros usados en la elaboración del sistema

Evaluación del diseño lógicoAnalizar las especificaciones del sistema

Que debe hacer? Como, cuando, en que orden, etc.

Analizar la participación Usuario Auditoria interna (área)

Comparar lo entregado como documento y lo que el sistema realmente hace

Evaluación del desarrollo del sistema

Se auditan Programas Diseño de programas Lenguaje utilizado Interconexión entre programas

Red Características del hardware utilizado

La administración de proyectos

Tiene como finalidad el control del avance de lo sistemas en una organización

Requiere de líder de proyectos Debe confeccionarse un plan y su seguimiento

respectivo Actividades/Recursos Metas Tiempos/prioridades Costos Personal involucrado/Gestión de desempeño

Control de Diseño de sistemas y programas

Acorde a las especificaciones funcionales desde: Análisis

Ambigüedades Omisiones

Diseño Errores Debilidades Omisiones

Programación Claridad Modularidad Verificación

Instructivos de operación

Diagramas Flujo E/S

Diseño de formulariosMensajes de erroresParámetrosFormulas

PruebasModularesDe sistemaDe aceptaciónParalelas

CONTROLES De datos

Fuente Volumen Frecuencia Acceso Cifras de control

De operación Calidad e integridad de la documentación para el

proceso en una computadora Procedimientos e instructivos formales de operación Estandarización y cumplimiento de los procedimientos

CONTROLES De salida De medios de almacenamiento masivo

Acceso a los medios Documentación de los soportes Copias de seguridad …ver cuestionarios en apunte

De Mantenimiento Total : Correctivo y preventivo Por demanda in situ En banco

Orden en un CPDReglas

Orden Cuidado Lugares físicos de almacenamiento de medios Funcionalidad de muebles ….ver cuestionario apunte

Evaluación de la configuración del CPD

Evaluar posibles cambios de hardwareModificación de equipos

Reducir costos o tiempos de proceso

Utilización de periféricos