UNIVERSIDAD JUAREZ AUTONOMA DE TABASCODivisión Académica multidisciplinaria de los ríos
AUDITORIA INFORMÁTICA
Gabriela Guadalupe Sánchez de la Cruz
Metodologías de auditoria informática
El plan auditor informático Control informático. Sus métodos y
procedimientos. Las herramientas de control
METODOLOGIAS DE AUDITORIA INFORMATICA• Existen dos metodologias de Auditoria Informática:
-Auditorias de Controles Generales -Metodologías de Auditores Internos
- Controles generales: Dan una opinión sobre la habilidad de los datos del computador para la Auditoria financiera” cuyo resultado es un informe donde se destacan las vulnerabilidades encontradas.
- Tiene apartados para definir “pruebas” y anotar sus resultados.
• Metodologia de Auditorias Internas Esta formada por recomendaciones de Plan de trabajo; deberá hacer cuestionarios y definir cuantas pruebas estime oportunas; además debe crear sus metodologías necesarias para auditar áreas o aspectos que defina en el plan auditor.
El plan auditor informáticoEs el esquema mas importante del auditor informáticoLas partes con las que cuenta un plan auditor informático -Funciones: deben describirse las funciones de forma precisa, y la organización interna del departamento, con todo sus recursos
• Procedimiento: Entre ellos están el procedimiento de apertura, el de entrega y discusiones de debilidades, entrega de informe preliminar, cierre de auditoria, redacción de informe final.
Tipos de auditoria que realiza: revisión de la aplicación de facturación, revisión LOPD, revisión de seguridad física, y revisión de control interno.
• Sistema de evaluación esta evaluación suele hacerse en 3 niveles que son, «BIEN», «REGULAR», O «MAL».
• Nivel de exposición. El nivel de exposición es en este caso un número del uno al diez definido subjetivamente y que permite en base a la evaluación final de la ultima auditoria realizada.
• Plan de trabajo anual: estimarse de tiempo de manera racional y componer un calendario que una vez terminado nos dé un resultado de hora de trabajo previstas.
Plan quincenal: Todas las áreas a auditar deben corresponderse con cuestionarios, y deben repetirse en 4 o 5 años de trabajo.
La función de control: • El área informática monta los procesos informáticos seguros • El control interno monta los controles • La auditoria informática evalúa el grado de control.
• En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo.
Control interno informático
Cumplen funciones de control dual en los diferentes
departamentos, que puede ser normativa, marco jurídico, la
funciones del control interno es la siguientes determinar los
propietarios y los perfiles según la clase de información, permitir a
dos personas intervenir como medida de control, realizar planes de
contingencias, dictar normas de seguridad informática, controla la
calidad de software, los costos, los responsables de cada
departamento, control de licencias, manejo de claves de cifrado,
vigilan el cumplimiento de normas y de controles, es clara que esta
medida permite la seguridad informática
Metodologías de la clasificación de la información y de obtención de los procedimientos de control
Los pasos de la metodología son las siguientes:
1. Identificación de la información
2. Inventario de entidades de información residentes y operativas.( Inventario de programas ,
Archivos de datos, estructura de datos ,soportes de información)
3. Identificación de propietarios(Son los que necesitan para trabajo, usan o custodian la información)
4. Definición de jerarquías de información(Suelen ser cuatro)
5. Realizar el plan acciones
6. Implantación y mantenimiento
Metodología
FASE 1. Definición de Objetivo de Control
Tarea 1. Análisis de la empresa. Estudian los procesos, organigramas y funciones.
Tarea 2. Recopilación de estándares, (Se estudian todas las fuentes de información)
FASE II. DEFINICIÓN DE CONTROLES
Tarea 1 Definición de necesidades tecnológicas (hardware y herramientas de control)
Tarea 2. Definición de las necesidades de recursos humanos
Las herramientas de control
Seguridad Lógica del sistema Seguridad lógica complementaria al sistema Seguridad lógica para entornos distribuidos Control de acceso físico. Control de presencia Control de copias Gestión de soportes magnéticos Gestión y control de impresión y envió de listados por red Control de proyectos Control de versiones Control y gestión de incidencias Control de cambios
Las herramientas de control son elementos software que por sus características Funcionales permiten vertebrar un control de una manera más actual y mas automatizada
ADQUISICIÓN INSTALACIÓN E IMPLEMENTACIÓN. FORMACIÓN MANUALES DE PROCEDIMIENTOS DE CONTROL
Todo este complejo proceso es vital hacerlo de modo ordenado y usando un método que permita en todo momento saber que se «quiere» y que se «puede» conseguir con los productos existentes de control d entornos, tratando de suplir con procedimientos de control los huecos que no podamos cubrir con tecnología