Auditoria _informatica.ppt
-
Upload
indhira1516 -
Category
Documents
-
view
15 -
download
0
Transcript of Auditoria _informatica.ppt
Auditoría Informática
Definición, métodos, tipos
Planeación de la auditoria
Definiciones y consideraciones
Exámen de las demostraciones y registros administrativos. (Holmes)
Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos
No es una evaluación para detectar errores y señalar fallas
Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organización
Objetivos de la AIControl de la función informáticaEl análisis de la eficiencia de los sistemas
informáticosVerificación de la normativa general de la
empresa en el ámbito informáticoRevisión de la eficaz gestión de los
recursos materiales y humanos informáticos
Éxito de la AIEstudiar hechos no opinionesInvestigar las causas no los efectosAtender razones no excusasNo confiar en la memoria, preguntar
constantementeCriticar objetivamente y a fondo todos los
informes y datos recabadosRegistrar TODO
Tipos de AI Interna
Los recursos y personas pertenecen a la empresa auditada
Es remunerada La organización la controla
Externa Los recursos y personas no pertenecen a la
empresa auditada Es remunerada Distancia entre auditores y auditados: mayor
objetividad
Ventajas de la AII y la AUE
Tamaño de la organizaciónNiveles de confiabilidadAmbiente organizacionalPresupuestoActivos informáticos auditables
Alcances de la AI Tener el claro el objetivo Conocer el ambiente Limites del sistema Control de integridad de registros
Para aplicaciones de registros comunes Control de validación de errores
Detectar y corregir errores Deben figurar en el informe final
Lo incluyente Lo excluyente
Síntomas de necesidad Descoordinación y desorganización
Concordancia con los objetivos Desvíos importantes del plan operativo anual Alta rotación de personal – Cambios grandes
Mala imagen – Insatisfacción de los usuarios Software Hardware Plazos de entregas
Síntomas de necesidad
Debilidades económicas-financieras Incremento de costos Justificación de inversiones informáticas Desviaciones presupuestarias Costos y plazos de nuevos proyectos
Inseguridad Lógica Física Confidencialidad Carencia de planes de contingencias
Fundamentos de la AISistemas informáticos OPERATIVOSControles técnicos generales
Software y hardware compatibles Software de base y de aplicación compatibles
$$$ y ocio Productos comunes y compatibles (desarrollo
interno de productos de software)Controles técnicos específicos
Cuotas en disco
Consideraciones en una AI?
Control de la entrada de datos Captura, calendario, transmisión, integridad y calidad
de los datos. Debe especificase la norma/procedimiento.
Planificación y recepción de aplicaciones Por parte del área de desarrollo de sistemas
Centro de control y seguimiento de trabajos Batch Tiempo Real
La AI en del desarrollo de proyectos / aplicaciones
AnálisisDiseñoProgramaciónPruebaImplantaciónSeguimiento
Consideraciones de la AI en el desarrollo de sistemas
Revisión de las metodologías utilizadas Modularidad, ampliaciones y mantenimiento
Control interno de las aplicaciones Para casa fase del proceso
Satisfacción de usuariosControl de procesos y ejecuciones de
programas críticos
La AI de Sistemas
SO Actualización de versión Incompatibilidades con el software de
aplicación
Otro software de BaseSoftware de TeleprocesoAdministración de Bases de DatosInvestigación y Desarrollo
La AI de comunicaciones y redes
Redes nodalesConcentradoresMANWANWi-FiMultiplexoresLíneas telefónicas (proveedores externos)..entre otros aspectos
Auditoría de la Seguridad Informática
Física Equipos Infraestructura Amenazas naturales…etc
Lógica Datos, procesos, programas y usuarios
Planes de contingencia-desastresPiratería/hackersAtaques víricos
Que debe tener? Elementos administrativos Políticas de seguridad Organización y división de responsabilidades Seguridad física y contra catástrofes Practicas de seguridad del personal Elementos técnicos y procedimientos Sistemas de seguridad de equipos y de sistemas locales
y remotos Aplicación de los sistemas de seguridad, incluyendo
datos y archivos Rol de los auditores internos y externos Planes de desastres y su prueba
Estudio INICIAL de una AI
Constitución legal - AntecedentesOrganigramaDepartamentosRelaciones jerárquicas y funcionalesFlujos de información – CursogramasPlanos - Layout
Entorno Operacional de una AI
Situación geográfica de los sistemas Donde están los centros de procesos de datos Responsables de cada CPD Estándares de trabajo de cada CPD
Arquitectura y configuración de Hardware y Software Según fichas de relevamiento adjuntas
Inventario de hardware y softwareComunicación y redes de datos
Entrono de AplicacionesVolumen, antigüedad y complejidad de las
aplicacionesMetodología de diseñoDocumentaciónBases de Datos
Cantidad Complejidad
Tarea a exponer próxima clase por los grupos……
CRMR Computer Resource Management Review
Evaluación de la gestión de los recursos informáticos por medio del management. ¿Es lo mismo que la AI?
CRMR Evaluación de la gestión de recursos
informáticos Es una evaluación de la eficiencia de utilización
de los recursos por medio de la administración. No es una AI Proporciona soluciones rápidas a problemas
concretos y evidentes Aplicable a problemas de deficiencia
organizativas y gerenciales.
CRMR – Áreas de aplicación
Gestión de DatosControl de operacionesControl y utilización de recursos
materiales y humanosInterfaces y relaciones con usuariosPlanificaciónOrganización y administración
CRMR – Objetivo
Evaluar el grado de bondad o ineficiencia de los
procedimientos y métodos de gestión que se observan
en un CPD
CRMR – Alcances
Reducidos: señalar áreas de actuación con potencialidad inmediata de obtención de beneficios
Medio: establece conclusiones y recomendaciones
Amplia: incluye planes de accion en concordancia con las recomendaciones realizadas
CRMR – Que necesito?
Datos del mantenimiento preventivo del hardware Informe de anomalías de los sistemas Procedimientos de emergencia Monitoreo de sistemas Rendimiento de sistemas Mantenimiento de librería de programas Gestión de espacio en disco Documentación de entrega de aplicaciones Utilización de CPU, canales y datos Datos de paginación de sistemas Volumen total y libre de almacenamiento Ocupación media de disco Manuales de procedimiento ..entre las mas importantes
CRMR – Mas información?
http://www.msc-inc.net/Documents/CRMR/CRMR.htm
Planeación de la AI
Permite dimensional el tamaño y las características del área dentro de la organización a auditar
Sistemas Organización Equipos
Herramientas a utilizar
EntrevistasVisitas a la organizaciónEstudio de documentación y antecedentesCuestionariosEncuestasAporte de la clase..
Entrevista a USUARIOS
Determinar el universoDefinir el objetivo
Relevamiento de datos Comprobación de datos
Diseñarlas – Ver diseños apunte
Planeación de la AI
Estudio Preliminar Administración Sistemas
Personal Capacitado – practica profesional Valores morales y éticos Eficiente Pensar en los roles!!! Multidisciplinario
Solo técnicos …NO..Porque?
Evaluación de sistemasSistemas aislados vs. entrelazadosPlan estratégico de sistemas
Cuestionario adjunto (practica)…
Evaluación del Análisis Políticas, procedimientos y normas Origen/fuente de la aplicación
Plan estratégico Usuario Inventario de sistemas
A desarrollar En desarrollo Desarrollada
• Modificaciones, con problemas, etc
Documentación y registros usados en la elaboración del sistema
Evaluación del diseño lógicoAnalizar las especificaciones del sistema
Que debe hacer? Como, cuando, en que orden, etc.
Analizar la participación Usuario Auditoria interna (área)
Comparar lo entregado como documento y lo que el sistema realmente hace
Evaluación del desarrollo del sistema
Se auditan Programas Diseño de programas Lenguaje utilizado Interconexión entre programas
Red Características del hardware utilizado
La administración de proyectos
Tiene como finalidad el control del avance de lo sistemas en una organización
Requiere de líder de proyectos Debe confeccionarse un plan y su seguimiento
respectivo Actividades/Recursos Metas Tiempos/prioridades Costos Personal involucrado/Gestión de desempeño
Control de Diseño de sistemas y programas
Acorde a las especificaciones funcionales desde: Análisis
Ambigüedades Omisiones
Diseño Errores Debilidades Omisiones
Programación Claridad Modularidad Verificación
Instructivos de operación
Diagramas Flujo E/S
Diseño de formulariosMensajes de erroresParámetrosFormulas
PruebasModularesDe sistemaDe aceptaciónParalelas
CONTROLES De datos
Fuente Volumen Frecuencia Acceso Cifras de control
De operación Calidad e integridad de la documentación para el
proceso en una computadora Procedimientos e instructivos formales de operación Estandarización y cumplimiento de los procedimientos
CONTROLES De salida De medios de almacenamiento masivo
Acceso a los medios Documentación de los soportes Copias de seguridad …ver cuestionarios en apunte
De Mantenimiento Total : Correctivo y preventivo Por demanda in situ En banco
Orden en un CPDReglas
Orden Cuidado Lugares físicos de almacenamiento de medios Funcionalidad de muebles ….ver cuestionario apunte
Evaluación de la configuración del CPD
Evaluar posibles cambios de hardwareModificación de equipos
Reducir costos o tiempos de proceso
Utilización de periféricos