Auditora Informtica

Definicin, mtodos, tipos

Planeacin de la auditoria

Definiciones y consideraciones
Exmen

de las demostraciones y registros

administrativos. (Holmes)
Observa la exactitud, integridad y
autenticidad de tales demostraciones,
registros y documentos
No es una evaluacin para detectar
errores y sealar fallas
Persigue el fin de evaluar y mejorar la
eficacia/eficiencia de una organizacin

Objetivos de la AI
Control

de la funcin informtica
El anlisis de la eficiencia de los sistemas
informticos
Verificacin de la normativa general de la
empresa en el mbito informtico
Revisin de la eficaz gestin de los
recursos materiales y humanos
informticos

xito de la AI
Estudiar

hechos no opiniones
Investigar las causas no los efectos
Atender razones no excusas
No confiar en la memoria, preguntar
constantemente
Criticar objetivamente y a fondo todos los
informes y datos recabados
Registrar TODO

Tipos de AI
Interna

Los recursos y personas pertenecen a la empresa

auditada
Es remunerada
La organizacin la controla

Externa

Los recursos y personas no pertenecen a la

empresa auditada
Es remunerada
Distancia entre auditores y auditados: mayor
objetividad

Ventajas de la AII y la AUE

Tamao

de la organizacin
Niveles de confiabilidad
Ambiente organizacional
Presupuesto
Activos informticos auditables

Alcances de la AI
Tener

el claro el objetivo
Conocer el ambiente
Limites del sistema
Control de integridad de registros

Para aplicaciones de registros comunes

Control

Detectar y corregir errores

Deben

de validacin de errores

figurar en el informe final

Lo incluyente
Lo excluyente

Sntomas de necesidad
Descoordinacin

Concordancia con los objetivos

Desvos importantes del plan operativo anual
Alta rotacin de personal Cambios grandes

Mala

y desorganizacin

imagen Insatisfaccin de los usuarios

Software
Hardware
Plazos de entregas

Sntomas de necesidad
Debilidades

econmicas-financieras

Incremento de costos
Justificacin de inversiones informticas
Desviaciones presupuestarias
Costos y plazos de nuevos proyectos

Inseguridad

Lgica
Fsica
Confidencialidad
Carencia de planes de contingencias

Fundamentos de la AI
Sistemas

informticos OPERATIVOS
Controles tcnicos generales
Software

y hardware compatibles
Software de base y de aplicacin compatibles
$$$

y ocio

Productos

comunes y compatibles (desarrollo

interno de productos de software)

Controles
Cuotas

tcnicos especficos

en disco

Consideraciones en una AI?

Control

de la entrada de datos

Captura, calendario, transmisin, integridad y calidad

de los datos. Debe especificase la
norma/procedimiento.

Planificacin

Por parte del rea de desarrollo de sistemas

Centro

y recepcin de aplicaciones

de control y seguimiento de trabajos

Batch
Tiempo Real

La AI en del desarrollo de proyectos /

aplicaciones
Anlisis
Diseo
Programacin
Prueba
Implantacin
Seguimiento

Consideraciones de la AI en el desarrollo
de sistemas
Revisin

de las metodologas utilizadas

Modularidad,

Control
Para

ampliaciones y mantenimiento

interno de las aplicaciones

casa fase del proceso

Satisfaccin

de usuarios
Control de procesos y ejecuciones de
programas crticos

La AI de Sistemas
SO
Actualizacin

de versin
Incompatibilidades con el software de
aplicacin
Otro

software de Base
Software de Teleproceso
Administracin de Bases de Datos
Investigacin y Desarrollo

La AI de comunicaciones y redes
Redes

nodales
Concentradores
MAN
WAN
Wi-Fi
Multiplexores
Lneas telefnicas (proveedores externos)
..entre otros aspectos

Auditora de la Seguridad Informtica

Fsica

Equipos
Infraestructura
Amenazas naturalesetc

Lgica

Datos, procesos, programas y usuarios

Planes

de contingencia-desastres
Piratera/hackers
Ataques vricos

Que debe tener?

Elementos administrativos
Polticas de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes
Practicas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad de equipos y de sistemas locales
y remotos
Aplicacin de los sistemas de seguridad, incluyendo
datos y archivos
Rol de los auditores internos y externos
Planes de desastres y su prueba

Estudio INICIAL de una AI

Constitucin

legal - Antecedentes
Organigrama
Departamentos
Relaciones jerrquicas y funcionales
Flujos de informacin Cursogramas
Planos - Layout

Entorno Operacional de una AI

Situacin

geogrfica de los sistemas

Donde

estn los centros de procesos de datos

Responsables de cada CPD
Estndares de trabajo de cada CPD
Arquitectura

y Software
Segn

y configuracin de Hardware

fichas de relevamiento adjuntas

Inventario

de hardware y software
Comunicacin y redes de datos

Entorno de Aplicaciones
Volumen,

antigedad y complejidad de las

aplicaciones
Metodologa de diseo
Documentacin
Bases de Datos
Cantidad
Complejidad

Tarea a exponer prxima clase por los

grupos
CRMR
Computer
Resource
Management
Review

Evaluacin

de la gestin de los recursos

informticos por medio del management.
Es

lo mismo que la AI?

CRMR
Evaluacin

de la gestin de recursos
informticos
Es una evaluacin de la eficiencia de utilizacin
de los recursos por medio de la administracin.
No es una AI
Proporciona soluciones rpidas a problemas
concretos y evidentes
Aplicable a problemas de deficiencia
organizativas y gerenciales.

CRMR reas de aplicacin

Gestin

de Datos
Control de operaciones
Control y utilizacin de recursos
materiales y humanos
Interfaces y relaciones con usuarios
Planificacin
Organizacin y administracin

CRMR Objetivo
Evaluar

el grado de bondad
o ineficiencia de los
procedimientos y mtodos
de gestin que se observan
en un CPD

CRMR Alcances
Reducidos:

sealar reas de actuacin

con potencialidad inmediata de obtencin
de beneficios
Medio: establece conclusiones y
recomendaciones
Amplia: incluye planes de accion en
concordancia con las recomendaciones
realizadas

CRMR Que necesito?

Datos del mantenimiento preventivo del hardware

Informe de anomalas de los sistemas
Procedimientos de emergencia
Monitoreo de sistemas
Rendimiento de sistemas
Mantenimiento de librera de programas
Gestin de espacio en disco
Documentacin de entrega de aplicaciones
Utilizacin de CPU, canales y datos
Datos de paginacin de sistemas
Volumen total y libre de almacenamiento
Ocupacin media de disco
Manuales de procedimiento
..entre las mas importantes

CRMR Mas informacin?

http://www.msc-

inc.net/Documents/CRMR/CRMR.htm

Planeacin de la AI
Permite

dimensional el tamao y las

caractersticas del rea dentro de la
organizacin a auditar
Sistemas
Organizacin
Equipos

Herramientas a utilizar
Entrevistas
Visitas

a la organizacin
Estudio de documentacin y antecedentes
Cuestionarios
Encuestas
Aporte de la clase..

Entrevista a USUARIOS
Determinar

el universo
Definir el objetivo
Relevamiento

de datos
Comprobacin de datos
Disearlas

Ver diseos apunte

Planeacin de la AI
Estudio

Preliminar

Administracin
Sistemas

Personal

Capacitado practica profesional

Valores morales y ticos
Eficiente
Pensar en los roles!!!
Multidisciplinario

Solo tcnicos NO..Porque?

Evaluacin de sistemas
Sistemas

aislados vs. entrelazados

Plan estratgico de sistemas
Cuestionario

adjunto (practica)

Evaluacin del Anlisis

Polticas,

procedimientos y normas
Origen/fuente de la aplicacin

Plan estratgico
Usuario
Inventario de sistemas
A desarrollar
En desarrollo
Desarrollada

Modificaciones, con problemas, etc

Documentacin

y registros usados en la
elaboracin del sistema

Evaluacin del diseo lgico

Analizar

las especificaciones del sistema

Que

debe hacer?
Como, cuando, en que orden, etc.
Analizar

la participacin

Usuario
Auditoria

Comparar

interna (rea)

lo entregado como documento

y lo que el sistema realmente hace

Evaluacin del desarrollo del sistema

Se

auditan

Programas
Diseo

de programas
Lenguaje utilizado
Interconexin entre programas
Red

Caractersticas

del hardware utilizado

La administracin de proyectos
Tiene

como finalidad el control del avance de lo

sistemas en una organizacin
Requiere de lder de proyectos
Debe confeccionarse un plan y su seguimiento
respectivo

Actividades/Recursos
Metas
Tiempos/prioridades
Costos
Personal involucrado/Gestin de desempeo

Control de Diseo de sistemas y

programas
Acorde

desde:

a las especificaciones funcionales

Anlisis
Ambigedades
Omisiones

Diseo
Errores
Debilidades
Omisiones

Programacin
Claridad
Modularidad
Verificacin

Instructivos de operacin
Diagramas
Flujo
E/S

Diseo

de formularios
Mensajes de errores
Parmetros
Formulas

Pruebas
Modulares
De

sistema
De aceptacin
Paralelas

CONTROLES
De

Fuente
Volumen
Frecuencia
Acceso
Cifras de control

De

datos

operacin

Calidad e integridad de la documentacin para el

proceso en una computadora
Procedimientos e instructivos formales de operacin
Estandarizacin y cumplimiento de los procedimientos

CONTROLES
De

salida
De medios de almacenamiento masivo

Acceso a los medios

Documentacin de los soportes
Copias de seguridad
ver cuestionarios en apunte

De

Mantenimiento

Total : Correctivo y preventivo

Por demanda in situ
En banco

Orden en un CPD
Reglas
Orden
Cuidado
Lugares

fsicos de almacenamiento de medios

Funcionalidad de muebles
.ver cuestionario apunte

Evaluacin de la configuracin del CPD

Evaluar

posibles cambios de hardware

Modificacin de equipos
Reducir

costos o tiempos de proceso

Utilizacin

de perifricos