Auditora Informtica

Definicin, mtodos, tipos

Planeacin de la auditoria

Definiciones y consideraciones
Exmen de las demostraciones y
registros administrativos. (Holmes)
Observa la exactitud, integridad y
autenticidad de tales demostraciones,
registros y documentos
No es una evaluacin para detectar
errores y sealar fallas
Persigue el fin de evaluar y mejorar la
eficacia/eficiencia de una organizacin

Objetivos de la AI
Control de la funcin informtica
El anlisis de la eficiencia de los sistemas
informticos
Verificacin de la normativa general de la
empresa en el mbito informtico
Revisin de la eficaz gestin de los
recursos materiales y humanos
informticos

xito de la AI
Estudiar hechos no opiniones
Investigar las causas no los efectos
Atender razones no excusas
No confiar en la memoria, preguntar
constantemente
Criticar objetivamente y a fondo todos los
informes y datos recabados
Registrar TODO

Tipos de AI
Interna
Los recursos y personas pertenecen a la empresa
auditada
Es remunerada
La organizacin la controla

Externa
Los recursos y personas no pertenecen a la
empresa auditada
Es remunerada
Distancia entre auditores y auditados: mayor
objetividad

Ventajas de la AII y la AUE

Tamao de la organizacin
Niveles de confiabilidad
Ambiente organizacional
Presupuesto
Activos informticos auditables

Alcances de la AI
Tener el claro el objetivo
Conocer el ambiente
Limites del sistema
Control de integridad de registros
Para aplicaciones de registros comunes

Control de validacin de errores

Detectar y corregir errores

Deben figurar en el informe final

Lo incluyente
Lo excluyente

Sntomas de necesidad
Descoordinacin y desorganizacin
Concordancia con los objetivos
Desvos importantes del plan operativo anual
Alta rotacin de personal Cambios grandes

Mala imagen Insatisfaccin de los usuarios

Software
Hardware
Plazos de entregas

Sntomas de necesidad
Debilidades econmicas-financieras
Incremento de costos
Justificacin de inversiones informticas
Desviaciones presupuestarias
Costos y plazos de nuevos proyectos

Inseguridad
Lgica
Fsica
Confidencialidad
Carencia de planes de contingencias

Fundamentos de la AI
Sistemas informticos OPERATIVOS
Controles tcnicos generales
Software y hardware compatibles
Software de base y de aplicacin compatibles
$$$ y ocio

Productos comunes y compatibles (desarrollo

interno de productos de software)

Controles tcnicos especficos

Cuotas en disco

Consideraciones en una AI?

Control de la entrada de datos
Captura, calendario, transmisin, integridad y calidad
de los datos. Debe especificase la
norma/procedimiento.

Planificacin y recepcin de aplicaciones

Por parte del rea de desarrollo de sistemas

Centro de control y seguimiento de trabajos

Batch
Tiempo Real

La AI en del desarrollo de proyectos /

aplicaciones
Anlisis
Diseo
Programacin
Prueba
Implantacin
Seguimiento

Consideraciones de la AI en el desarrollo
de sistemas
Revisin de las metodologas utilizadas
Modularidad, ampliaciones y mantenimiento

Control interno de las aplicaciones

Para casa fase del proceso

Satisfaccin de usuarios
Control de procesos y ejecuciones de
programas crticos

La AI de Sistemas
SO
Actualizacin de versin
Incompatibilidades con el software de
aplicacin

Otro software de Base

Software de Teleproceso
Administracin de Bases de Datos
Investigacin y Desarrollo

La AI de comunicaciones y redes
Redes nodales
Concentradores
MAN
WAN
Wi-Fi
Multiplexores
Lneas telefnicas (proveedores externos)
..entre otros aspectos

Auditora de la Seguridad Informtica

Fsica
Equipos
Infraestructura
Amenazas naturalesetc

Lgica
Datos, procesos, programas y usuarios

Planes de contingencia-desastres
Piratera/hackers
Ataques vricos

Que debe tener?

Elementos administrativos
Polticas de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes
Practicas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad de equipos y de sistemas locales
y remotos
Aplicacin de los sistemas de seguridad, incluyendo
datos y archivos
Rol de los auditores internos y externos
Planes de desastres y su prueba

Estudio INICIAL de una AI

Constitucin legal - Antecedentes
Organigrama
Departamentos
Relaciones jerrquicas y funcionales
Flujos de informacin Cursogramas
Planos - Layout

Entorno Operacional de una AI

Situacin geogrfica de los sistemas
Donde estn los centros de procesos de datos
Responsables de cada CPD
Estndares de trabajo de cada CPD

Arquitectura y configuracin de Hardware

y Software
Segn fichas de relevamiento adjuntas

Inventario de hardware y software

Comunicacin y redes de datos

Entrono de Aplicaciones
Volumen, antigedad y complejidad de las
aplicaciones
Metodologa de diseo
Documentacin
Bases de Datos
Cantidad
Complejidad

Planeacin de la AI
Permite dimensional el tamao y las
caractersticas del rea dentro de la
organizacin a auditar
Sistemas
Organizacin
Equipos

Herramientas a utilizar
Entrevistas
Visitas a la organizacin
Estudio de documentacin y
antecedentes
Cuestionarios
Encuestas

Entrevista a USUARIOS
Determinar el universo
Definir el objetivo
Relevamiento de datos
Comprobacin de datos

Disearlas Ver diseos apunte

Planeacin de la AI
Estudio Preliminar
Administracin
Sistemas

Personal
Capacitado practica profesional
Valores morales y ticos
Eficiente
Pensar en los roles!!!
Multidisciplinario
Solo tcnicos NO..Porque?

Evaluacin de sistemas
Sistemas aislados vs. entrelazados
Plan estratgico de sistemas
Cuestionario adjunto (practica)

Evaluacin del Anlisis

Polticas, procedimientos y normas
Origen/fuente de la aplicacin
Plan estratgico
Usuario
Inventario de sistemas
A desarrollar
En desarrollo
Desarrollada
Modificaciones, con problemas, etc

Documentacin y registros usados en la

elaboracin del sistema

Evaluacin del diseo lgico

Analizar las especificaciones del sistema
Que debe hacer?
Como, cuando, en que orden, etc.

Analizar la participacin
Usuario
Auditoria interna (rea)

Comparar lo entregado como documento

y lo que el sistema realmente hace

Evaluacin del desarrollo del sistema

Se auditan
Programas
Diseo de programas
Lenguaje utilizado
Interconexin entre programas
Red

Caractersticas del hardware utilizado

La administracin de proyectos
Tiene como finalidad el control del avance de lo
sistemas en una organizacin
Requiere de lder de proyectos
Debe confeccionarse un plan y su seguimiento
respectivo
Actividades/Recursos
Metas
Tiempos/prioridades
Costos
Personal involucrado/Gestin de desempeo

Control de Diseo de sistemas y

programas
Acorde a las especificaciones funcionales
desde:
Anlisis
Ambigedades
Omisiones

Diseo
Errores
Debilidades
Omisiones

Programacin
Claridad
Modularidad
Verificacin

Instructivos de operacin
Diagramas
Flujo
E/S

Diseo de formularios
Mensajes de errores
Parmetros
Formulas

Pruebas
Modulares
De sistema
De aceptacin
Paralelas

CONTROLES
De datos
Fuente
Volumen
Frecuencia
Acceso
Cifras de control

De operacin
Calidad e integridad de la documentacin para el
proceso en una computadora
Procedimientos e instructivos formales de operacin
Estandarizacin y cumplimiento de los procedimientos

CONTROLES
De salida
De medios de almacenamiento masivo
Acceso a los medios
Documentacin de los soportes
Copias de seguridad
ver cuestionarios en apunte

De Mantenimiento
Total : Correctivo y preventivo
Por demanda in situ
En banco

Orden en un CPD
Reglas
Orden
Cuidado
Lugares fsicos de almacenamiento de medios
Funcionalidad de muebles
.ver cuestionario apunte

Evaluacin de la configuracin del CPD

Evaluar posibles cambios de hardware
Modificacin de equipos
Reducir costos o tiempos de proceso

Utilizacin de perifricos