You are on page 1of 7

Auditoria y Seguridad en SI NRC 3620 Metodologías y Métodos de Auditorias de ASI

León Vitteri, Karol 000064361 18/08/2011

Metodologías de Auditorias de Sistemas de Información

1. CRMR Computer Resource Management Review

1.1 Resumen CRMR son las siglas de “Computer resource management review”, su traducción más adecuada, Evaluación de la gestión de recursos informáticos. En cualquier caso, esta terminología quiere destacar la posibilidad de realizar una evaluación de eficiencia de utilización de los recursos por medio del Management. Proporciona soluciones rápidas a problemas concretos y evidentes.

1.2 Áreas de Aplicación: Las áreas en que el método de CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicación señaladas en el apartado anterior. Son éstas:       Gestión de Datos. Control de Operaciones. Control y utilización de recursos materiales y humanos. Interfaces y relaciones con usuarios. Planificación. Organización y administración.

1

Medio. Aumentar la productividad. tendrán como finalidad algunas de las que se relacionan:      Identificar y fijar responsabilidades. Se establecen tres clases: 1. ordinaria. 1. antes de comenzar el trabajo. tal y como se hace en la auditoría informática 2 .3 Objetivos CRMR tiene por objetivos fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y métodos de gestión que se observan en un Centro de Proceso de Datos. Karol 000064361 18/08/2011 Ciertamente. el CRMR no es adecuado para evaluar la procedencia de la adquisición de nuevo equipos (Capacity Planning) o para revisar muy a fondo los caminos críticos o las holguras de un complejo Proyecto. Mejorar la flexibilidad de realización de actividades. 1. el CRMR ya establece conclusiones y Recomendaciones. Las Recomendaciones que se emitan como resultado de la aplicación del CRMR. En este caso.Auditoria y Seguridad en SI NRC 3620 Metodologías y Métodos de Auditorias de ASI León Vitteri. El resultado consiste en señalar las áreas de actuación con potencialidad inmediata de obtención de beneficios. 2. Disminuir costos. Mejorar los métodos y procedimientos de Dirección. Reducido.4 Alcance Se fijarán los límites que abarcará el CRMR.

Esto debido a que dichos controles tienen incidencia independiente en cada una y. Esta evaluación de riesgos se desarrolla sobre determinadas áreas de aplicación y bajo técnicas de Checklist (cuestionarios) adaptados a cada entorno específico.2 Resumen Es la metodología utilizada en la evaluación de riesgos llamada también Metodología ROA por sus siglas en ingles (Risk Oriented Approach). 2.Auditoria y Seguridad en SI NRC 3620 Metodologías y Métodos de Auditorias de ASI León Vitteri. es necesaria dicha repetición. Karol 000064361 18/08/2011 3. Amplio. aportando técnicas de implementación de las Recomendaciones. 3 . que se y pretende algunos poder analizar de cada área independientemente.1 Autor Arthur Andersen 2. como pueden ser los de base de datos. ROA Risk Oriented Approach 2. Así mismo los controles gerenciales controles características especiales. se aplicarán teniendo en cuenta las particularidades de cada entorno. El CRMR incluye Planes de Acción. a la par que desarrolla las conclusiones.

pretendiendo con el análisis de estos riesgos mejorar la calidad de servicio. 2. e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes.3.3 Fases de Autoevaluación 2.2 Riesgos en la eficacia del servicio informático Entenderemos como eficacia del servicio la realización de los trabajos encomendados.4 Riesgos económicos directos En cuanto a estos riesgos se analizarán aquellas posibilidades de desembolsos directos inadecuados.Auditoria y Seguridad en SI NRC 3620 Metodologías y Métodos de Auditorias de ASI León Vitteri. ya sea a nivel económico o técnico. 4 . Así pues. los riesgos en al eficacia serán aquellos que alteren dicha realización o que afecten a la exactitud de los resultados ofrecidos por el servicio informático. 2.3 Riesgo en la eficiencia del servicio informático Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos.3. llegar a perjudicar gravemente a la empresa o incluso también a paralizarla. 2. por ende.3. Karol 000064361 18/08/2011 2.1 Riesgo en la continuidad del proceso Son aquellos riesgos de situaciones que pudieran afectar a la realización del trabajo informático o incluso que pudieran llegar a paralizarlo. y. gastos varios que no deberían producirse.3.

Cuadro Comparativo CRMR ROA Realiza una evaluación de eficiencia Realiza una evaluación de riesgos de utilización de los recursos Sus áreas de aplicación de son Desarrolla sobre determinadas áreas Datos. 2. 2. de aplicación de controles gerenciales. Dichos cuestionarios podrán ser contestados mediante dos sistemas indicados en los mismos. procedimientos y métodos de gestión 5 .3. Tiene por objetivos evaluar el grado de Tiene como objetivo la identificación y bondad o ineficiencia de los control y minimización de riesgos. especialmente Gestión Control de Operaciones.3. 3.3.Auditoria y Seguridad en SI NRC 3620 Metodologías y Métodos de Auditorias de ASI León Vitteri.5 Riesgos de la seguridad lógica Todos aquellos que posibiliten accesos no autorizados ala información mecanizada mediante técnicas informáticas o de otro tipos. Karol 000064361 18/08/2011 2.7 Valoración de resultados La autoguía se compone de una serie de cuestionarios de control.6 Riesgos de la seguridad física Comprenderán todos aquellos que actúen sobre el deterioro o aprobación de elementos de información de una forma meramente física.

Proporciona soluciones rápidas a Necesita análisis detallados problemas concretos y evidentes. Cuadro 3. aportando Utiliza técnicas de Checklist técnicas de implementación de las Recomendaciones.1 6 .Auditoria y Seguridad en SI NRC 3620 Metodologías y Métodos de Auditorias de ASI que se observan en un Centro de Proceso de Datos. León Vitteri. a la par que desarrolla las conclusiones. dependiendo del área de aplicación. Karol 000064361 18/08/2011 Incluye Planes de Acción.

google.itchetumal.com.ht m http://www.itson.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.pdf http://es.edu.pe/url?sa=t&source=web&cd=2&sqi=2&ved=0CCEQFj AB&url=http%3A%2F%2Fwww.scribd.ub. http://www.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2. Editorial RA-MA.ub.edu. Auditoría Informática.edu.Auditoria y Seguridad en SI NRC 3620 Metodologías y Métodos de Auditorias de ASI León Vitteri. Karol 000064361 18/08/2011 BIBLIOGRAFIA    PIATTINI.mx%2Fdii%2Fepadilla%2FMETODOLOGIA%25 20DE%2520LA%2520AUDITORIA%2520INFORMATICA_PIATTINI%2520Y%2520DEL%2 520PESO.ht m http://www.com/doc/58983979/Metodologias-Para-Auditoria http://www. Un enfoque práctico.scribd. Mario y Emilio del Peso.com/doc/58983979/Metodologias-Para-Auditoria 7 .mx/paginasvar/Maestros/mduran/Archivos/METOD OLOGIA%20DE%20UNA%20AUDITORIA%20DE%20SISTEMAS.doc&rct=j&q=risk%20oriented%20approach%20auditoria%20informatic a&ei=ot1NToOdNOHC0AHWhJSOBw&usg=AFQjCNGgCdiPvmXtr4zwRpDVDDxCP-lsg&cad=rja     http://es.

.

 :- 0/: .7.

.8.90/7..

30307.

.:/947.

952094/4.

952094/4 9 2 O 995.

.

 440 .42 50.

297#5'! 8 . 049%4 /  $  :8"/ !.%       &% #  #%*!%%    !$ /4./7. O 995..9 678 470390/ . 31472./ 86 .00- . .0/ "  :7995 9843 2/05./.9 84:7.9. .:/947.5574. 7..:78.

.

7-/ .42.08 8.

/4.

.

 O 995.094/44.7. :/947.8 !.

.

7. :- 0/: .

90/7...8.

30307.

:/947..

952094/4.

952094/4 9 2 O 995.

.

 0/: 2.09:2. 9.

8.7.5.3..

089748..

3.2/:7.

.48.7.

%     & &% #  $$%$ 5/1 O 995.

.

08 8.42.7-/ .

/4.

.

7.8 !.    . :/947.094/44.