Auditora Informtica

Definicin, mtodos, tipos

Planeacin de la auditoria
Definiciones y consideraciones
Exmen de las demostraciones y registros
administrativos. (Holmes)
Observa la exactitud, integridad y
autenticidad de tales demostraciones,
registros y documentos
No es una evaluacin para detectar
errores y sealar fallas
Persigue el fin de evaluar y mejorar la
eficacia/eficiencia de una organizacin
Objetivos de la AI
Control de la funcin informtica
El anlisis de la eficiencia de los sistemas
informticos
Verificacin de la normativa general de la
empresa en el mbito informtico
Revisin de la eficaz gestin de los
recursos materiales y humanos
informticos
xito de la AI
Estudiar hechos no opiniones
Investigar las causas no los efectos
Atender razones no excusas
No confiar en la memoria, preguntar
constantemente
Criticar objetivamente y a fondo todos los
informes y datos recabados
Registrar TODO
Tipos de AI
Interna
Los recursos y personas pertenecen a la empresa
auditada
Es remunerada
La organizacin la controla
Externa
Los recursos y personas no pertenecen a la
empresa auditada
Es remunerada
Distancia entre auditores y auditados: mayor
objetividad
Ventajas de la AII y la AUE
Tamao de la organizacin
Niveles de confiabilidad
Ambiente organizacional
Presupuesto
Activos informticos auditables
Alcances de la AI
Tener el claro el objetivo
Conocer el ambiente
Limites del sistema
Control de integridad de registros
Para aplicaciones de registros comunes
Control de validacin de errores
Detectar y corregir errores
Deben figurar en el informe final
Lo incluyente
Lo excluyente
Sntomas de necesidad
Descoordinacin y desorganizacin
Concordancia con los objetivos
Desvos importantes del plan operativo anual
Alta rotacin de personal Cambios grandes
Mala imagen Insatisfaccin de los usuarios
Software
Hardware
Plazos de entregas
Sntomas de necesidad
Debilidades econmicas-financieras
Incremento de costos
Justificacin de inversiones informticas
Desviaciones presupuestarias
Costos y plazos de nuevos proyectos
Inseguridad
Lgica
Fsica
Confidencialidad
Carencia de planes de contingencias
Fundamentos de la AI
Sistemas informticos OPERATIVOS
Controles tcnicos generales
Software y hardware compatibles
Software de base y de aplicacin compatibles
$$$ y ocio
Productos comunes y compatibles (desarrollo
interno de productos de software)
Controles tcnicos especficos
Cuotas en disco
Consideraciones en una AI?
Control de la entrada de datos
Captura, calendario, transmisin, integridad y calidad de
los datos. Debe especificase la norma/procedimiento.
Planificacin y recepcin de aplicaciones
Por parte del rea de desarrollo de sistemas
Centro de control y seguimiento de trabajos
Batch
Tiempo Real
La AI en del desarrollo de proyectos /
aplicaciones
Anlisis
Diseo
Programacin
Prueba
Implantacin
Seguimiento
Consideraciones de la AI en el desarrollo
de sistemas
Revisin de las metodologas utilizadas
Modularidad, ampliaciones y mantenimiento
Control interno de las aplicaciones
Para casa fase del proceso
Satisfaccin de usuarios
Control de procesos y ejecuciones de
programas crticos
La AI de Sistemas
SO
Actualizacin de versin
Incompatibilidades con el software de
aplicacin
Otro software de Base
Software de Teleproceso
Administracin de Bases de Datos
Investigacin y Desarrollo
La AI de comunicaciones y redes
Redes nodales
Concentradores
MAN
WAN
Wi-Fi
Multiplexores
Lneas telefnicas (proveedores externos)
..entre otros aspectos
Auditora de la Seguridad Informtica
Fsica
Equipos
Infraestructura
Amenazas naturalesetc
Lgica
Datos, procesos, programas y usuarios
Planes de contingencia-desastres
Piratera/hackers
Ataques vricos
Que debe tener?
Elementos administrativos
Polticas de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes
Practicas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad de equipos y de sistemas locales
y remotos
Aplicacin de los sistemas de seguridad, incluyendo
datos y archivos
Rol de los auditores internos y externos
Planes de desastres y su prueba
Estudio INICIAL de una AI
Constitucin legal - Antecedentes
Organigrama
Departamentos
Relaciones jerrquicas y funcionales
Flujos de informacin Cursogramas
Planos - Layout
Entorno Operacional de una AI
Situacin geogrfica de los sistemas
Donde estn los centros de procesos de datos
Responsables de cada CPD
Estndares de trabajo de cada CPD
Arquitectura y configuracin de Hardware
y Software
Segn fichas de relevamiento adjuntas
Inventario de hardware y software
Comunicacin y redes de datos
Entrono de Aplicaciones
Volumen, antigedad y complejidad de las
aplicaciones
Metodologa de diseo
Documentacin
Bases de Datos
Cantidad
Complejidad
Tarea a exponer prxima clase por los
grupos
CRMR
Computer
Resource
Management
Review
Evaluacin de la gestin de los recursos
informticos por medio del management.
Es lo mismo que la AI?
CRMR
Evaluacin de la gestin de recursos
informticos
Es una evaluacin de la eficiencia de utilizacin
de los recursos por medio de la administracin.
No es una AI
Proporciona soluciones rpidas a problemas
concretos y evidentes
Aplicable a problemas de deficiencia
organizativas y gerenciales.
CRMR reas de aplicacin
Gestin de Datos
Control de operaciones
Control y utilizacin de recursos
materiales y humanos
Interfaces y relaciones con usuarios
Planificacin
Organizacin y administracin
CRMR Objetivo
Evaluar el grado de bondad
o ineficiencia de los
procedimientos y mtodos
de gestin que se observan
en un CPD
CRMR Alcances
Reducidos: sealar reas de actuacin
con potencialidad inmediata de obtencin
de beneficios
Medio: establece conclusiones y
recomendaciones
Amplia: incluye planes de accion en
concordancia con las recomendaciones
realizadas
CRMR Que necesito?
Datos del mantenimiento preventivo del hardware
Informe de anomalas de los sistemas
Procedimientos de emergencia
Monitoreo de sistemas
Rendimiento de sistemas
Mantenimiento de librera de programas
Gestin de espacio en disco
Documentacin de entrega de aplicaciones
Utilizacin de CPU, canales y datos
Datos de paginacin de sistemas
Volumen total y libre de almacenamiento
Ocupacin media de disco
Manuales de procedimiento
..entre las mas importantes
CRMR Mas informacin?
http://www.msc-
inc.net/Documents/CRMR/CRMR.htm
Planeacin de la AI
Permite dimensional el tamao y las
caractersticas del rea dentro de la
organizacin a auditar

Sistemas
Organizacin
Equipos
Herramientas a utilizar
Entrevistas
Visitas a la organizacin
Estudio de documentacin y antecedentes
Cuestionarios
Encuestas
Aporte de la clase..
Entrevista a USUARIOS
Determinar el universo
Definir el objetivo
Relevamiento de datos
Comprobacin de datos
Disearlas Ver diseos apunte
Planeacin de la AI
Estudio Preliminar
Administracin
Sistemas
Personal
Capacitado practica profesional
Valores morales y ticos
Eficiente
Pensar en los roles!!!
Multidisciplinario
Solo tcnicos NO..Porque?
Evaluacin de sistemas
Sistemas aislados vs. entrelazados
Plan estratgico de sistemas
Cuestionario adjunto (practica)
Evaluacin del Anlisis
Polticas, procedimientos y normas
Origen/fuente de la aplicacin
Plan estratgico
Usuario
Inventario de sistemas
A desarrollar
En desarrollo
Desarrollada
Modificaciones, con problemas, etc
Documentacin y registros usados en la
elaboracin del sistema
Evaluacin del diseo lgico
Analizar las especificaciones del sistema
Que debe hacer?
Como, cuando, en que orden, etc.
Analizar la participacin
Usuario
Auditoria interna (rea)
Comparar lo entregado como documento
y lo que el sistema realmente hace
Evaluacin del desarrollo del sistema
Se auditan
Programas
Diseo de programas
Lenguaje utilizado
Interconexin entre programas
Red
Caractersticas del hardware utilizado
La administracin de proyectos
Tiene como finalidad el control del avance de lo
sistemas en una organizacin
Requiere de lder de proyectos
Debe confeccionarse un plan y su seguimiento
respectivo
Actividades/Recursos
Metas
Tiempos/prioridades
Costos
Personal involucrado/Gestin de desempeo
Control de Diseo de sistemas y
programas
Acorde a las especificaciones funcionales
desde:
Anlisis
Ambigedades
Omisiones
Diseo
Errores
Debilidades
Omisiones
Programacin
Claridad
Modularidad
Verificacin
Instructivos de operacin
Diagramas
Flujo
E/S
Diseo de formularios
Mensajes de errores
Parmetros
Formulas
Pruebas
Modulares
De sistema
De aceptacin
Paralelas
CONTROLES
De datos
Fuente
Volumen
Frecuencia
Acceso
Cifras de control
De operacin
Calidad e integridad de la documentacin para el
proceso en una computadora
Procedimientos e instructivos formales de operacin
Estandarizacin y cumplimiento de los procedimientos
CONTROLES
De salida
De medios de almacenamiento masivo
Acceso a los medios
Documentacin de los soportes
Copias de seguridad
ver cuestionarios en apunte
De Mantenimiento
Total : Correctivo y preventivo
Por demanda in situ
En banco
Orden en un CPD
Reglas
Orden
Cuidado
Lugares fsicos de almacenamiento de medios
Funcionalidad de muebles
.ver cuestionario apunte
Evaluacin de la configuracin del CPD
Evaluar posibles cambios de hardware
Modificacin de equipos
Reducir costos o tiempos de proceso
Utilizacin de perifricos