auditores informaticos

download auditores informaticos

of 21

Transcript of auditores informaticos

Universidad Tecnolgica de Cd Jurez

Auditoria Informtica

Metodologa de auditora en la institucin educativa

Araiza EdgarAlamo JuanLira Luis

Fecha de entrega: 1-7-13

Principios aplicables para auditoria informticaComo funcin principal se deber ver como se puede conseguir la mxima eficacia y rentabilidad del medio informtico y presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones ms idneas segn los problemas detectados en el sistema informtico (si es que existe algn problema). Una vez estudiado el sistema informtico a auditar, los auditores (nosotros) debemos establecer los requisitos mnimos, aconsejables y ptimos para su finalidad para la que ha sido diseado.En seguida se presentan los diversos aspectos a considerar:PRINCIPIO DE CALIDAD.- servicios a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. Si a primera vista las condiciones no son las ptimas se deber negar a realizar la auditoria hasta que se garantice un mnimo de condiciones tcnicas.

PRINCIPIO DE CAPACIDAD.- Debe ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar un avance tcnico. Es deseable que se fortalezca la certificacin profesional, de la docencia que labora en el entorno. Esta certificacin que deber tener a plazo de validez acorde con la evolucin de las nuevas tecnologas de la informacin, debera estar validada y garantizada por la metodologa empleada para acreditar dicha especializacin. PRINCIPIO DE CONCENTRACION EN EL TRABAJO. deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente controlada, Por el contrario, si es admisible el que, una vez analizados en profundidad los aspectos a tener en cuenta y obtenidas las correspondientes conclusiones, se contrasten las mismas a tenor de la experiencia adquirida y reflejada en anteriores informes, ya que este modo de actuar permite detectar posibles omisiones en el rea. Este comportamiento profesional permitir dedicar a su usuario la mayor parte de los recursos posibles obtenidos de sus conocimientos y experiencias previas con una completa atencin durante la ejecucin de la auditora.PRINCIPIO DE CONFIANZA.-facilitar e incrementar la confianza del auditoreo en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos. Este principio requiere, el mantener una confianza en las indicaciones aceptndolas sin reservas como vlidas.

PRINCIPIO DE DISCRECIN.- aplicable al auditor y el auditado ya que deber en todo momento mantener una cierta discrecin en la divulgacin de datos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria.PRINCIPIO DE ECONOMA.- proteger, en la medida de sus conocimientos econmicos, evitando generar gastos innecesarios en el ejercicio de su actividad. As como tener en cuenta la economa de medios materiales o humanos, eludiendo utilizar aquellos que no se precisen, lo que redundar en reducciones de gastos no justificados. En las recomendaciones y conclusiones realizadas en base a su trabajo deber as mismo eludir, incitar o proponer actuaciones que puedan generar gastos innecesarios o desproporcionados.

PRINCIPIO DE FORMACIN CONTINUADA Este principio impone el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta.

PRINCIPIO DE INTEGRIDAD MORAL Este principio, inherentemente ligado a la dignidad de la persona, obliga a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad, y a evitar participar, voluntaria o inconscientemente, en cualquier acto de corrupcin personal o de terceras personas.

PRINCIPIO DE NO DISCRIMINACIN.- su actuacin deber mantener una igualdad de trato profesional con la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse.

PRINCIPIO DE PUBLICIDAD ADECUADA La oferta y promocin de los servicios debern en todo momento ajustarse a las caractersticas, condiciones y finalidad perseguidas, siendo contraria a la tica profesional la difusin de publicidad falsa o engaosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios.

Procedimiento para la ejecucin de la auditoriaUna planificacin adecuada es el primer paso necesario para realizar auditoras de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoria as como los riesgos del negocio y control asociado.A continuacin se menciona algunas de las reas que deben ser cubiertas durante la planificacin de la auditoria:a.Comprensin del negocio y de su ambiente.Al planificar una auditoria, el auditor de sistemas debe tener una comprensin de suficiente del ambiente total que se revisa. Debe incluir una comprensin general de las diversas prcticas comerciales y funciones relacionadas con el tema de la auditoria, as como los tipos de sistemas que se utilizan. El auditor de sistemas tambin debe comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigir requisitos de integridad de sistemas de informacin y de control que no estn presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensin del negocio son: Recorrer las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisin de planes estratgicos a largo plazo. Revisin de informes de auditoras anteriores.b.Riesgo y materialidad de auditora.Se puede definir los riesgos de auditora como aquellos riesgos de que la informacin pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoria pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusin de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoria. En una auditoria de sistemas de informacin, la definicin de riesgos materiales depende del tamao o importancia del ente auditado as como de otros factores. El auditor de sistemas debe tener una cabal comprensin de estos riesgos de auditora al planificar. Una auditoria tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamao de la muestra es lo suficientemente grande, o se utiliza procedimientos estadsticos adecuados se llega a minimizar la probabilidad del riesgo de deteccin. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mnimo, pero ese error combinado con otros, puede convertir en un error material para todo el sistema. La materialidad en la auditoria de sistemas debe ser considerada en trminos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario.

C.

Tcnicas de evaluacin de Riesgos.Al determinar qu reas funcionales o temas de auditora que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoria, el auditor de sistemas debe evaluar esos riesgos y determinar cules de esas reas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluacin de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditoria. Garantizar que se ha obtenido la informacin pertinente de todos los niveles gerenciales, y garantiza que las actividades de la funcin de auditora se dirigen correctamente a las reas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base para la organizacin de la auditoria a fin de administrar eficazmente el departamento. Proveer un resumen que describa como el tema individual de auditora se relaciona con la organizacin global de la empresa as como los planes del negocio.d.Objetivos de controles y objetivos de auditora.El objetivo de un control es anular un riesgo siguiendo alguna metodologa, el objetivo de auditora es verificar la existencia de estos controles y que estn funcionando de manera eficaz, respetando las polticas de la empresa y los objetivos de la empresa. As pues tenemos por ejemplo como objetivos de auditora de sistemas los siguientes: La informacin de los sistemas de informacin deber estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditora se consiguen mediante los procedimientos de auditora.e.Procedimientos de auditora.Algunos ejemplos de procedimientos de auditora son: Revisin de la documentacin de sistemas e identificacin de los controles existentes. Entrevistas con los especialistas tcnicos a fin de conocer las tcnicas y controles aplicados. Utilizacin de software de manejo de base de datos para examinar el contenido de los archivos de datos. Tcnicas de diagramas de flujo para documentar aplicaciones automatizadas.

Procedimiento realizado para ejecutar la auditoria.1.Anlisis2.Planeacin3.Identificar el origen de la auditoria4.Realizar una visita preliminar al rea a evaluar5.Establecer los objetivos de la auditoria6.Determinar los puntos que sern evaluados7.Elaborar planes, programas y presupuestos8.Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos para la auditoria.9.Asignar los recursos y sistemas computacionales para la auditoria10.Elaboracin de checklist11.Evaluacin12.Resultado preliminar

Planear la auditoria Informtica.Objetivo de la auditoria informticaLa Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.

Alcance de la Auditora InformticaEl alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria informtica, se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales puntos han sido omitidos.

Metodologa de la Auditoria.Estudio PreliminarDefinir grupo de trabajo, programa de auditora, visitas para conocer detalles, elaborar cuestionario para obtencin de informacin, solicitud de plan de actividades, entre otros.

Revisin y evaluacin de control de seguridad-Revisin de diagramas y flujos de procesos-Revisin de las aplicaciones de las reas criticas-Documentacin-Archivos y otras actividades

Examen detallado de reas criticasCon las fases anteriormente mencionadas se descubrirn las reas crticas y sobre ellas establecer motivos, objetivos, alcance, recursos, metodologa de trabajo, duracin, plan de trabajo y anlisis del problema.Comunicacin de ResultadosSe elaborara del borrador del informe a ser discutido con los directivos de la empresa hasta llegar al definitivo.Debe contener:-Motivos de la auditoria.-Objetivos-Alcance-Elementos importantes del rea informtica

AUDITORIA COBACH #9(CENTRO DE COMPUTO)Objetivo.Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.Actividades a EvaluarSeguridad del personalDatos HardwareSoftwareInstalacionesInfraestructuraSeguridadUtilidadConfianzaPrivacidad

A continuacin se declaran en formatos legibles los parmetros auditables.

CUESTIONARIO DE CONTROL C1

Aulas de informtica Institucin EducativaR/PT

Cuestionario de ControlC1

DominioAdquisicin e Implementacin

ProcesoAI3: Adquirir y mantener la arquitectura tecnolgica

Objetivo de ControlEvaluacin de Nuevo Hardware

Cuestionario

PreguntaSINON/A

Se cuenta con un inventario de todos los equipos que integran el centro de cmputo?

Con cuanta frecuencia se revisa el inventario?

Se posee de bitcoras de fallas detectadas en los equipos?

Caractersticas de la bitcora (seale las opciones).

La bitcora es llenada por personal especializado? Seala fecha de deteccin de la falla? Seala fecha de correccin de la falla y revisin de que el equipo funcione correctamente? Se poseen registros individuales de los equipos? La bitcora hace referencia a hojas de servicio, en donde se detalla la falla, y las causas que la originaron, as como las refacciones utilizadas?

Se lleva un control de los equipos en garanta, para que a la finalizacin de sta, se integren a algn programa de mantenimiento?

Se cuenta con servicio de mantenimiento para todos los equipos?

Con cuanta frecuencia se realiza mantenimiento a los equipos?

Se cuenta con procedimientos definidos para la adquisicin de nuevos equipos?

Se tienen criterios de evaluacin para determinar el rendimiento de los equipos a adquirir y as elegir el mejor?

Documentos probatorios presentados:

CUESTIONARIO DE CONTROL C2

Aulas de informtica Institucin EducativaR/PT

Cuestionario de ControlC2

DominioAdquisicin e Implementacin

ProcesoAI3: Adquirir y mantener la arquitectura tecnolgica

Objetivo de ControlMantenimiento Preventivo para Hardware

Cuestionario

PreguntaSINON/A

Se lleva un control de los equipos en garanta, para que a la finalizacin de sta, se integren a algn programa de mantenimiento?

Se cuenta con servicio de mantenimiento para todos los equipos?

Con cuanta frecuencia se realiza mantenimiento a los equipos?

Se cuenta con procedimientos definidos para la adquisicin de nuevos equipos?

Se tienen criterios de evaluacin para determinar el rendimiento de los equipos a adquirir y as elegir el mejor?

Documentos probatorios presentados:

CUESTIONARIO DE CONTROL C3

Aulas de informtica Institucin EducativaR/PT

Cuestionario de ControlC3

DominioEntrega de Servicios y Soportes

ProcesoDS12: Administracin de Instalaciones.

Objetivo de ControlEscolta de Visitantes

Cuestionario

PreguntaSINON/A

Las instalaciones (aulas, cubculos y oficinas) fueron diseadas o adaptadas especficamente para funcionar como un centro de cmputo?

Se tiene una distribucin del espacio adecuada, de forma tal que facilite el trabajo y no existan distracciones?

Existe suficiente espacio dentro de las instalaciones de forma que permita una circulacin fluida?

Existen lugares de acceso restringido?

Se cuenta con sistemas de seguridad para impedir el paso a lugares de acceso restringido?

Se cuenta con sistemas de emergencia como son detectores de humo, alarmas, u otro tipo de censores?

Existen sealizaciones adecuadas en las salidas de emergencia y se tienen establecidas rutas de evacuacin?

Se tienen medios adecuados para extincin de fuego en el centro de cmputo?

Se cuenta con iluminacin adecuada y con iluminacin de emergencia en casos de contingencia?

Se tienen sistemas de seguridad para evitar que se sustraiga equipo de las instalaciones?

Se tiene un lugar asignado para papelera y utensilios de trabajo?

Son funcionales los muebles instalados dentro del centro de cmputo: cintoteca, Discoteca, archiveros, mesas de trabajo, etc.?

Existen prohibiciones para fumar, consumir alimentos y bebidas?

Se cuenta con suficientes carteles en lugares visibles que recuerdan estas prohibiciones?

Con cuanta frecuencia se limpian las instalaciones?

Con cuanta frecuencia se limpian los ductos de aire y la cmara de aire que existe debajo del piso falso (si existe)?

Documentos probatorios presentados:

CUESTIONARIO DE CONTROL C4

Aulas de informtica Institucin EducativaR/PT

Cuestionario de ControlC4

DominioEntrega de Servicios y Soportes

ProcesoProteccin contra Factores Ambientales

Objetivo de ControlControles Ambientales

Cuestionario

PreguntaSINON/A

El centro de cmputo tiene alguna seccin con sistema de refrigeracin?

Con cuanta frecuencia se revisan y calibran los controles ambientales?

Se tiene contrato de mantenimiento para los equipos que proporcionan el control ambiental?

Se tienen instalados y se limpian regularmente los filtros de aire?

Con cuanta frecuencia se limpian los filtros de aire?

Se tiene plan de contingencia en caso de que fallen los controles ambientales?

Documentos probatorios presentados:

CUESTIONARIO DE CONTROL C5

Aulas de informtica Institucin EducativaR/PT

Cuestionario de ControlC5

DominioEntrega de Servicios y Soportes

ProcesoDS12 Administracin de Instalaciones.

Objetivo de ControlSuministro Ininterrumpido de Energa

Cuestionario

PreguntaSINON/A

Se cuenta con instalacin con tierra fsica para todos los equipos?

La instalacin elctrica se realiz especficamente para el centro de cmputo?

Se cuenta con otra Instalacin dentro el centro de cmputo, diferente de la que alimenta a los equipos de cmputo?

La acometida llega a un tablero de distribucin?

El tablero de distribucin est en la sala, visible y accesible?

El tablero considera espacio para futuras ampliaciones de hasta de un 30 % (Considerando que se dispone de espacio fsico para la instalacin de ms equipos)?

La Instalacin es independiente para el centro de cmputo?

La misma instalacin con tierra fsica se ocupa en otras partes del edificio?

La iluminacin est alimentada de la misma acometida que los equipos?

Las reactancias (balastros de las lmparas) estn ubicadas dentro de la sala?

Los ventiladores y aire acondicionado estn conectados en la misma instalacin de los equipos a la planta de emergencia?

Los ventiladores y aire acondicionado estn conectados en la misma instalacin de los equipos al no-break?

Se cuenta con interruptores generales?

Se cuenta con interruptores de emergencia en serie al interruptor general?

Se cuenta con interruptores por secciones aulas?

Se tienen los interruptores rotulados adecuadamente?

Se tienen protecciones contra corto circuito?

Se tiene implementado algn tipo de equipo de energa auxiliar?

Se cuenta con Planta de emergencia?

Se tienen conectadas algunas lmparas del centro de cmputo a la planta de emergencia?

Qu porcentaje de lmparas: % estn conectadas a la planta de emergencia (recomendable el 25 %)?

Documentos probatorios presentados:

CUESTIONARIO DE CONTROL C6

Aulas de informtica Institucin EducativaR/PT

Cuestionario de ControlC6

DominioEntrega de Servicios y Soportes

ProcesoProteccin contra Factores Ambientales

Objetivo de ControlSeguridad Fsica

Cuestionario

PreguntaSINON/A

Se tienen lugares de acceso restringido?

Se poseen mecanismos de seguridad para el acceso a estos lugares?

A este mecanismo de seguridad se le han detectado debilidades?

Tiene medidas implementadas ante la falla del sistema de seguridad?

Con cuanta frecuencia se actualizan las claves o credenciales de acceso?

Se tiene un registro de las personas que ingresan a las instalaciones?

Documentos probatorios presentados:

Dictamen:Nivel de madurez 1 INICIAL: Se aplican algunosprocesos administrativos por elAdministrador de las aulas de informtica pero estos son realizados de manera desorganizada y espontnea, no se hace calendarios de inventarios y mantenimientos de hardware.Hallazgos que soportan el dictamen:En las aulas de informtica no se lleva un registro de mantenimiento y de cambios de hardware, adems no existe personal de mantenimiento dedicado a este proceso, el mantenimiento est sujeto a los recursos econmicos disponibles, el inventario no se actualiza sino hasta cuando se solicita informes por el rector.

Conclusin: Actualmente es difcil definir lo que es un centro de cmputo, puesto que en una organizacin pequea dos equipos PC son todo su centro de cmputo, en una escuela, su centro de cmputo lo conforman sus aulas y las oficinas administrativas, y en un corporativo, su centro de cmputo lo forman varios edificios o un sitio central y oficinas regionales.Para poder englobar todos estos extremos, se definir al centro de cmputo no en funcin del nmero de equipos con que cuente, ni en funcin del espacio que ocupa, sino en cuanto al servicio que proporciona. En este entorno un centro de cmputo es la infraestructura necesaria para satisfacer todas las necesidades de procesamiento de informacin y brindar los servicios que la organizacin requiere, contando para ello con recursos humanos, tcnicos y materiales.