Planeacin de la auditoria Definiciones y consideraciones Exmen de las demostraciones y registros administrativos. (Holmes) Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos No es una evaluacin para detectar errores y sealar fallas Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organizacin Objetivos de la AI Control de la funcin informtica El anlisis de la eficiencia de los sistemas informticos Verificacin de la normativa general de la empresa en el mbito informtico Revisin de la eficaz gestin de los recursos materiales y humanos informticos xito de la AI Estudiar hechos no opiniones Investigar las causas no los efectos Atender razones no excusas No confiar en la memoria, preguntar constantemente Criticar objetivamente y a fondo todos los informes y datos recabados Registrar TODO Tipos de AI Interna Los recursos y personas pertenecen a la empresa auditada Es remunerada La organizacin la controla Externa Los recursos y personas no pertenecen a la empresa auditada Es remunerada Distancia entre auditores y auditados: mayor objetividad Ventajas de la AII y la AUE Tamao de la organizacin Niveles de confiabilidad Ambiente organizacional Presupuesto Activos informticos auditables Alcances de la AI Tener el claro el objetivo Conocer el ambiente Limites del sistema Control de integridad de registros Para aplicaciones de registros comunes Control de validacin de errores Detectar y corregir errores Deben figurar en el informe final Lo incluyente Lo excluyente Sntomas de necesidad Descoordinacin y desorganizacin Concordancia con los objetivos Desvos importantes del plan operativo anual Alta rotacin de personal Cambios grandes Mala imagen Insatisfaccin de los usuarios Software Hardware Plazos de entregas Sntomas de necesidad Debilidades econmicas-financieras Incremento de costos Justificacin de inversiones informticas Desviaciones presupuestarias Costos y plazos de nuevos proyectos Inseguridad Lgica Fsica Confidencialidad Carencia de planes de contingencias Fundamentos de la AI Sistemas informticos OPERATIVOS Controles tcnicos generales Software y hardware compatibles Software de base y de aplicacin compatibles $$$ y ocio Productos comunes y compatibles (desarrollo interno de productos de software) Controles tcnicos especficos Cuotas en disco Consideraciones en una AI? Control de la entrada de datos Captura, calendario, transmisin, integridad y calidad de los datos. Debe especificase la norma/procedimiento. Planificacin y recepcin de aplicaciones Por parte del rea de desarrollo de sistemas Centro de control y seguimiento de trabajos Batch Tiempo Real La AI en del desarrollo de proyectos / aplicaciones Anlisis Diseo Programacin Prueba Implantacin Seguimiento Consideraciones de la AI en el desarrollo de sistemas Revisin de las metodologas utilizadas Modularidad, ampliaciones y mantenimiento Control interno de las aplicaciones Para casa fase del proceso Satisfaccin de usuarios Control de procesos y ejecuciones de programas crticos La AI de Sistemas SO Actualizacin de versin Incompatibilidades con el software de aplicacin Otro software de Base Software de Teleproceso Administracin de Bases de Datos Investigacin y Desarrollo La AI de comunicaciones y redes Redes nodales Concentradores MAN WAN Wi-Fi Multiplexores Lneas telefnicas (proveedores externos) ..entre otros aspectos Auditora de la Seguridad Informtica Fsica Equipos Infraestructura Amenazas naturalesetc Lgica Datos, procesos, programas y usuarios Planes de contingencia-desastres Piratera/hackers Ataques vricos Que debe tener? Elementos administrativos Polticas de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes Practicas de seguridad del personal Elementos tcnicos y procedimientos Sistemas de seguridad de equipos y de sistemas locales y remotos Aplicacin de los sistemas de seguridad, incluyendo datos y archivos Rol de los auditores internos y externos Planes de desastres y su prueba Estudio INICIAL de una AI Constitucin legal - Antecedentes Organigrama Departamentos Relaciones jerrquicas y funcionales Flujos de informacin Cursogramas Planos - Layout Entorno Operacional de una AI Situacin geogrfica de los sistemas Donde estn los centros de procesos de datos Responsables de cada CPD Estndares de trabajo de cada CPD Arquitectura y configuracin de Hardware y Software Segn fichas de relevamiento adjuntas Inventario de hardware y software Comunicacin y redes de datos Entrono de Aplicaciones Volumen, antigedad y complejidad de las aplicaciones Metodologa de diseo Documentacin Bases de Datos Cantidad Complejidad Tarea a exponer prxima clase por los grupos CRMR Computer Resource Management Review Evaluacin de la gestin de los recursos informticos por medio del management. Es lo mismo que la AI? CRMR Evaluacin de la gestin de recursos informticos Es una evaluacin de la eficiencia de utilizacin de los recursos por medio de la administracin. No es una AI Proporciona soluciones rpidas a problemas concretos y evidentes Aplicable a problemas de deficiencia organizativas y gerenciales. CRMR reas de aplicacin Gestin de Datos Control de operaciones Control y utilizacin de recursos materiales y humanos Interfaces y relaciones con usuarios Planificacin Organizacin y administracin CRMR Objetivo Evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un CPD CRMR Alcances Reducidos: sealar reas de actuacin con potencialidad inmediata de obtencin de beneficios Medio: establece conclusiones y recomendaciones Amplia: incluye planes de accion en concordancia con las recomendaciones realizadas CRMR Que necesito? Datos del mantenimiento preventivo del hardware Informe de anomalas de los sistemas Procedimientos de emergencia Monitoreo de sistemas Rendimiento de sistemas Mantenimiento de librera de programas Gestin de espacio en disco Documentacin de entrega de aplicaciones Utilizacin de CPU, canales y datos Datos de paginacin de sistemas Volumen total y libre de almacenamiento Ocupacin media de disco Manuales de procedimiento ..entre las mas importantes CRMR Mas informacin? http://www.msc- inc.net/Documents/CRMR/CRMR.htm Planeacin de la AI Permite dimensional el tamao y las caractersticas del rea dentro de la organizacin a auditar
Sistemas Organizacin Equipos Herramientas a utilizar Entrevistas Visitas a la organizacin Estudio de documentacin y antecedentes Cuestionarios Encuestas Aporte de la clase.. Entrevista a USUARIOS Determinar el universo Definir el objetivo Relevamiento de datos Comprobacin de datos Disearlas Ver diseos apunte Planeacin de la AI Estudio Preliminar Administracin Sistemas Personal Capacitado practica profesional Valores morales y ticos Eficiente Pensar en los roles!!! Multidisciplinario Solo tcnicos NO..Porque? Evaluacin de sistemas Sistemas aislados vs. entrelazados Plan estratgico de sistemas Cuestionario adjunto (practica) Evaluacin del Anlisis Polticas, procedimientos y normas Origen/fuente de la aplicacin Plan estratgico Usuario Inventario de sistemas A desarrollar En desarrollo Desarrollada Modificaciones, con problemas, etc Documentacin y registros usados en la elaboracin del sistema Evaluacin del diseo lgico Analizar las especificaciones del sistema Que debe hacer? Como, cuando, en que orden, etc. Analizar la participacin Usuario Auditoria interna (rea) Comparar lo entregado como documento y lo que el sistema realmente hace Evaluacin del desarrollo del sistema Se auditan Programas Diseo de programas Lenguaje utilizado Interconexin entre programas Red Caractersticas del hardware utilizado La administracin de proyectos Tiene como finalidad el control del avance de lo sistemas en una organizacin Requiere de lder de proyectos Debe confeccionarse un plan y su seguimiento respectivo Actividades/Recursos Metas Tiempos/prioridades Costos Personal involucrado/Gestin de desempeo Control de Diseo de sistemas y programas Acorde a las especificaciones funcionales desde: Anlisis Ambigedades Omisiones Diseo Errores Debilidades Omisiones Programacin Claridad Modularidad Verificacin Instructivos de operacin Diagramas Flujo E/S Diseo de formularios Mensajes de errores Parmetros Formulas Pruebas Modulares De sistema De aceptacin Paralelas CONTROLES De datos Fuente Volumen Frecuencia Acceso Cifras de control De operacin Calidad e integridad de la documentacin para el proceso en una computadora Procedimientos e instructivos formales de operacin Estandarizacin y cumplimiento de los procedimientos CONTROLES De salida De medios de almacenamiento masivo Acceso a los medios Documentacin de los soportes Copias de seguridad ver cuestionarios en apunte De Mantenimiento Total : Correctivo y preventivo Por demanda in situ En banco Orden en un CPD Reglas Orden Cuidado Lugares fsicos de almacenamiento de medios Funcionalidad de muebles .ver cuestionario apunte Evaluacin de la configuracin del CPD Evaluar posibles cambios de hardware Modificacin de equipos Reducir costos o tiempos de proceso Utilizacin de perifricos