290 likes | 665 Views
Auditoria de Sistemas. Ing. En Sist . Héctor Samuel Recinos Agustín. Libro Texto: Auditoría en Informática, Autor: Echenique García, José Antonio. U.M.G, Segundo Semestre 2013. Metodología para realizar auditorías de sistemas computacionales:. P1. Identificar el origen de la Auditoría.
E N D
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín. Libro Texto: Auditoría en Informática, Autor: Echenique García, José Antonio. U.M.G, Segundo Semestre 2013
Metodología para realizar auditorías de sistemas computacionales: P1. Identificar el origen de la Auditoría. • Por solicitud expresa de procedencia interna: • A petición de socios, accionistas y dueños. • Por orden de la dirección general. • Por orden de las gerencias o departamentos a nivel superior. • A solicitud de funcionarios y empleados de otros. • Por solicitud expresa de procedencia externa: • Por mandato de autoridades judiciales. • Por ordenamiento de autoridades fiscales. • Por revisiones de seguridad social y del trabajo. • Por revisiones de otras autoridades. • Por solicitud de proveedores y acreedores. • Por solicitud de distribuidores y desarrolladores de software y hardware. • A petición de empresas externas.
Metodología para realizar auditorías de sistemas computacionales: P1. Identificar el origen de la Auditoría. • Como consecuencia de emergencias y condiciones especiales: • De procedencia interna • De procedencia externa • Por riesgos y contingencias informáticas: • Riesgos y contingencias del personal informática. • Riesgos y contingencias físicas • Riesgos y contingencias operativas (lógicas) • Riesgos y contingencias de software. • Riesgos y contingencias en las bases de datos. • Riesgos y contingencias en el área de sistemas.
Metodología para realizar auditorías de sistemas computacionales: P1. Identificar el origen de la Auditoría. • Como resultado de los planes de contingencia: • Por la carencia de planes de contingencia. • Por la elaboración de planes de contingencia. • Por la aplicación de los planes de contingencia. • Por resultados obtenidos de otros auditorías. • Como parte del programa integral de auditoría.
Metodología para realizar auditorías de sistemas computacionales: • P2. Realizar una visita preliminar al área que será evaluada. • Visita preliminar de arranque. • Contacto inicial con funcionarios y empleados del área. • Identificación preliminar de la problemática del área de sistemas. • Prever los objetivos iniciales de la auditoría. • Calcular los recursos y personas necesarias para la auditoría. • P3. Establecer los objetivos de la auditoría: • Objetivo general. • Objetivos particulares. • Objetivos específicos de la auditoría de sistemas computacionales.
Metodología para realizar auditorías de sistemas computacionales: • P4. Determinar los puntos que serán evaluados en la auditoría. • Evaluación de funciones y actividades del personal área de sistemas. • Evaluación de las áreas y unidades administrativas del centro de cómputo. • Evaluación de la seguridad de los sistemas de información • Evaluación de la información, documentación y registros de los sistemas. • Evaluación de los sistemas, equipos, instalaciones y componentes. • Evaluación de los recursos humanos del área de sistemas. • Evaluación del hardware. • Evaluación del software. • Evaluación de la información y las bases de datos. • Evaluación de otros recursos informáticos. • Evaluación de equipos, instalaciones y demás componentes. • Elegir los tipos de auditoría que serán utilizados. • Determinar los recursos que serán utilizados en la auditoría. • Calcular los recursos y personas necesarias para la auditoría.
Metodología para realizar auditorías de sistemas computacionales: • P4. Determinar los puntos que serán evaluados en la auditoría (Continuación) • Calcular los recursos y personas necesarias para la auditoría. • Personal para la auditoría de sistemas. • Personal del área que será evaluada. • Apoyo de los sistemas y equipos técnicos e informáticos. • Apoyos materiales y administrativos. • Otros apoyos. • Recursos económicos. • P5. Elaborar planes, programas y presupuestos para realizar la auditoría. • Elaborar el documento formal de los planes de trabajo para la auditoría. • Carátula de identificación del plan de auditoría. • Indice de contenido. • Definición de objetivos. • Delimitación de estrategias para el desarrollo de la auditoría. • Planes de auditoría. • Definición de normas, políticas y lineamientos para el desarrollo de la auditoría de sistemas.
Metodología para realizar auditorías de sistemas computacionales: • P5.2. Contenido de los planes para realizar la auditoría. • Definir los objetivos finales de la auditoría. • Establecer las estrategias para realizar la auditoría. • Diseñar las etapas, eventos y tareas en que se dividirá la auditoría. • Calcular la duración de las tareas y eventos para satisfacer los objetivos de la auditoría. • Distribuir los recursos que serán utilizados en las diferentes etapas, actividades y tareas de la auditoría. • Confeccionar los planes concretos para la auditoría. • P5.3. Elaborar el documento formal de los programas de auditoría. • Gráfica del programa de actividades. • Definición de las etapas y eventos que se deben llevar a cabo. • Definición de las actividades y tareas.
Metodología para realizar auditorías de sistemas computacionales: • P5.4. Elaborar los programas de actividades para realizar la auditoría. • Definir de manera precisa las etapas de la auditoría. • Identificar concretamente los eventos que se deben llevar a cabo en cada etapa de la auditoría. • Delimitar lo más claramente posible las actividades, tareas y acciones para cada evento. • Distribuir los recursos que serán utilizados en las diferentes etapas, eventos, actividades y tareas. • Calcular la duración de las etapas, actividades y tareas planeadas para la auditoria. • Determinar fechas de inicio y fin de las etapas , actividades y tareas. • P5.5. Elaborar los presupuestos para la auditoría. • Asignación de los costos de los recursos. • Control de los costos de los recursos. • Seguimiento y control de los planes, programas y presupuestos.
Metodología para realizar auditorías de sistemas computacionales: • P6. Identificar y seleccionar los métodos, herramientas instrumentos y procedimientos necesarios para la auditoría. • Establecer la guía de ponderación de los puntos que serán evaluados. • Definir las áreas y puntos de sistemas que serán auditados. • Definir el peso de la ponderación por las áreas y puntos que serán evaluados. • Realizar el documentos de ponderación de la auditoría. • Elaborar la guía de la auditoría. • Determinar las áreas y puntos concretos que serán evaluados en el ambiente de sistemas. • Seleccionar los métodos, procedimientos, herramientas e instrumentos de evaluación. • Elaborar el documento formal de la guía de evaluación. • Elaborar los documentos necesarios para la auditoría. • Diseñar los instrumentos de recopilación de información para la auditoría. • Diseñar los cuestionarios. • Diseñar las guías para realizar entrevistas. • Diseñar los formularios para encuestas. • Diseñar los modelos y formatos para los inventarios del área de sistemas. • Determinar los puntos que serán evaluados con pruebas. • Diseñar las pruebas para la evaluación. • Diseñar los instrumentos y herramientas para pruebas de evaluación.
Metodología para realizar auditorías de sistemas computacionales: • P6. Identificar y seleccionar los métodos, herramientas instrumentos y procedimientos necesarios para la auditoría. (continuación) • Determinar herramientas, métodos y procedimientos para la auditoría de sistemas. • Diseñar las herramientas e instrumentos que serán utilizados en la evaluación. • Establecer los métodos y procedimientos que serán utilizados en la auditoría. • Determinar las técnicas y procesos específicos que serán utilizados en la auditoría. • Elaborar los documentos formales para los procedimientos métodos, herramientas e instrumentos que serán utilizados en la auditoría. • Diseñar los sistemas, programas y métodos de prueba para la auditoría. • Determinar los puntos de interés, programas, bases de datos, archivos y sistemas que serán evaluados mediante programas y pruebas de cómputos. • Diseñar las pruebas, programas y sistemas para realizar las evaluaciones necesarias para el funcionamiento de los sistemas computacionales, bases de datos y archivos. • Aplicar y obtener los resultados de las pruebas, programas y sistemas para realizar las evaluaciones necesarias. • Diseñar, aplicar y evaluar los resultados de los programas, métodos y pruebas de simulación del sistema. • Diseñar otros instrumentos de recopilación., Asignar los recursos y sistemas computacionales para la auditoría. • Asignar los recursos humanos para la realización de la auditoría. • Asignar los recursos informáticos y tecnológicos para la realización de la auditoría. • Asignar los recursos materiales y de consumo para la realización de la auditoría. • Asignar los demás recursos para la realización de la auditoria.
Importancia de la planeación de la Auditoria de Sistemas La función de Auditoría de Sistemas debe generar, como todas las áreas del negocio, un plan de proyectos que justifique el trabajo durante cierto periodo. Con el fin de que esta función se evalúe según su desempeño, con parámetros tangibles y mesurables.
Cada proyecto de auditoría en Sistemas respalda los objetivos Y requerimientos de tres entidades del negocio:
Proceso de planeación del negocio: • Plan de negocio: • Consiste en determinar las estrategias y cursos de • acción del negocio. • Se establece mediante entrevistas y análisis • detallado de cada proceso básico de la • organización.
Proceso de planeación en informática: • Plan de informática: • Consiste en definir el conjunto de proyectos relacionados con la función de informática, en tiempos a corto, mediano y largo plazos. • Cada proyecto debe estar orientado a objetivos y estrategias específicos del negocio, que fueron definidos en el plan de negocio.
Proceso de planeación de la auditoría: • Plan de Auditoría: • Consiste en definir un conjunto de proyectos rde evaluación y verificación de políticas, controles y procedimientos propios de las áreas administrativas, financieras, operativas, etc., del negocio. • Con el objeto de asegurar el buen manejo y la administración de los recursos de la organización.
Proceso de planeación de la Auditoría Informática Plan de Auditoría Informática: • Consta de la definición y formalización de proyectos. • Orientados principalmente al aseguramiento de la calidad y control en los diferentes elementos que se encuentran relacionados con los recursos de informática.
Plan de Auditoría Informática • Este proceso de planeación depende en gran medida del diagnóstico previo que lleve a cabo el auditor en informática sobre la situación que prevalece en cada una de las áreas o servicios de la función de informática. • También se deben considerar las necesidades o prioridades que tenga la alta dirección de auditar o evaluar un área específica de informática
Consideraciones para el plan de Auditoría Informática • Diagnóstico de la situación actual de los sistemas de información en operación. • Debilidades que pueden motivar la auditoría de un sistema de información. • Clasificación de riesgos que representa el uso de hardware y software en la organización. • Evaluación del nivel de riesgo que representa el uso inadecuado de los productos y servicios por el personal de informática y usuarios dentro de la organización.
Consideraciones para el plan de Auditoría Informática, cont. • Revisión de la matriz de riesgos y del pronóstico de proyectos de auditoría en informática con la gerencia o dirección a la que reporta directamente la función de informática. • Presentación del plan de proyectos de la función de auditoría en informática a la alta dirección. • Realización de cada uno de los proyectos de acuerdo con el plan de auditoría en informática. • Integración y formalización de equipos de trabajo. • Aprobación formal de la alta dirección del informe final de la auditoría en informática realizada.
Caso para análisis: • El día anterior al cierre del mes, se presentó una incidencia en la División de Informática: Uno de los equipos de comunicación E1, instalado por el proveedor de acceso a internet, falló en forma inesperada, por lo que se perdió la conectividad de los clientes al sitio Web de la empresa, durante 4 horas, hasta que se pudo obtener el soporte del mismo. Al revisar el equipo, se encontró que los componentes electrónicos se dañaron por la falla de un UPS que había sido reportado como dañado 15 días antes. Al consultar al personal técnico, informaron que por tratarse de equipos externos, no tenían autorización para acceder o manipular el mismo, por lo que se limitaron a reportarlo. Adicionalmente, por norma de la empresa, si un equipo no está registrado en el inventario, no puede comprársele ningún tipo de repuesto o aplicarle servicio. Se le solicita: • Explique 3 implicaciones de tener equipo ajeno a la empresa en la misma. • Los técnicos que analizaron el equipo, procedieron adecuadamente? Por Qué? • Proponga 2 probables mejoras para reducir o mitigar los efectos de este tipo de falla en la empresa.