Auditora Informtica

Definicin, mtodos, tipos Planeacin de la auditoria

Definiciones y consideraciones
Exmen de las demostraciones y registros administrativos. (Holmes) Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos No es una evaluacin para detectar errores y sealar fallas Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organizacin

Objetivos de la AI
Control de la funcin informtica El anlisis de la eficiencia de los sistemas informticos Verificacin de la normativa general de la empresa en el mbito informtico Revisin de la eficaz gestin de los recursos materiales y humanos informticos

xito de la AI
Estudiar hechos no opiniones Investigar las causas no los efectos Atender razones no excusas No confiar en la memoria, preguntar constantemente Criticar objetivamente y a fondo todos los informes y datos recabados Registrar TODO

Tipos de AI
Interna
Los recursos y personas pertenecen a la empresa auditada Es remunerada La organizacin la controla

Externa
Los recursos y personas no pertenecen a la empresa auditada Es remunerada Distancia entre auditores y auditados: mayor objetividad

Ventajas de la AII y la AUE

Tamao de la organizacin Niveles de confiabilidad Ambiente organizacional Presupuesto Activos informticos auditables

Alcances de la AI
Tener el claro el objetivo Conocer el ambiente Limites del sistema Control de integridad de registros
Para aplicaciones de registros comunes

Control de validacin de errores

Detectar y corregir errores

Deben figurar en el informe final

Lo incluyente Lo excluyente

Sntomas de necesidad
Descoordinacin y desorganizacin
Concordancia con los objetivos Desvos importantes del plan operativo anual Alta rotacin de personal Cambios grandes

Mala imagen Insatisfaccin de los usuarios

Software Hardware Plazos de entregas

Sntomas de necesidad
Debilidades econmicas-financieras
Incremento de costos Justificacin de inversiones informticas Desviaciones presupuestarias Costos y plazos de nuevos proyectos

Inseguridad
Lgica Fsica Confidencialidad Carencia de planes de contingencias

Fundamentos de la AI
Sistemas informticos OPERATIVOS Controles tcnicos generales
Software y hardware compatibles Software de base y de aplicacin compatibles
$$$ y ocio

Productos comunes y compatibles (desarrollo interno de productos de software)

Controles tcnicos especficos

Cuotas en disco

Consideraciones en una AI?

Control de la entrada de datos
Captura, calendario, transmisin, integridad y calidad de los datos. Debe especificase la norma/procedimiento.

Planificacin y recepcin de aplicaciones

Por parte del rea de desarrollo de sistemas

Centro de control y seguimiento de trabajos

Batch Tiempo Real

La AI en del desarrollo de proyectos / aplicaciones

Anlisis Diseo Programacin Prueba Implantacin Seguimiento

Consideraciones de la AI en el desarrollo de sistemas

Revisin de las metodologas utilizadas
Modularidad, ampliaciones y mantenimiento

Control interno de las aplicaciones

Para casa fase del proceso

Satisfaccin de usuarios Control de procesos y ejecuciones de programas crticos

La AI de Sistemas
SO
Actualizacin de versin Incompatibilidades con el software de aplicacin

Otro software de Base Software de Teleproceso Administracin de Bases de Datos Investigacin y Desarrollo

La AI de comunicaciones y redes
Redes nodales Concentradores MAN WAN Wi-Fi Multiplexores Lneas telefnicas (proveedores externos) ..entre otros aspectos

Auditora de la Seguridad Informtica

Fsica
Equipos Infraestructura Amenazas naturalesetc

Lgica
Datos, procesos, programas y usuarios

Planes de contingencia-desastres Piratera/hackers Ataques vricos

Que debe tener?

Elementos administrativos Polticas de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes Practicas de seguridad del personal Elementos tcnicos y procedimientos Sistemas de seguridad de equipos y de sistemas locales y remotos Aplicacin de los sistemas de seguridad, incluyendo datos y archivos Rol de los auditores internos y externos Planes de desastres y su prueba

Estudio INICIAL de una AI

Constitucin legal - Antecedentes Organigrama Departamentos Relaciones jerrquicas y funcionales Flujos de informacin Cursogramas Planos - Layout

Entorno Operacional de una AI

Situacin geogrfica de los sistemas
Donde estn los centros de procesos de datos Responsables de cada CPD Estndares de trabajo de cada CPD

Arquitectura y configuracin de Hardware y Software

Segn fichas de relevamiento adjuntas

Inventario de hardware y software Comunicacin y redes de datos

Entrono de Aplicaciones
Volumen, antigedad y complejidad de las aplicaciones Metodologa de diseo Documentacin Bases de Datos
Cantidad Complejidad

Tarea a exponer prxima clase por los grupos

CRMR
Computer Resource Management Review

Evaluacin de la gestin de los recursos informticos por medio del management.

Es lo mismo que la AI?

CRMR
Evaluacin de la gestin de recursos informticos Es una evaluacin de la eficiencia de utilizacin de los recursos por medio de la administracin. No es una AI Proporciona soluciones rpidas a problemas concretos y evidentes Aplicable a problemas de deficiencia organizativas y gerenciales.

CRMR reas de aplicacin

Gestin de Datos Control de operaciones Control y utilizacin de recursos materiales y humanos Interfaces y relaciones con usuarios Planificacin Organizacin y administracin

CRMR Objetivo
Evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un CPD

CRMR Alcances
Reducidos: sealar reas de actuacin con potencialidad inmediata de obtencin de beneficios Medio: establece conclusiones y recomendaciones Amplia: incluye planes de accion en concordancia con las recomendaciones realizadas

CRMR Que necesito?

Datos del mantenimiento preventivo del hardware Informe de anomalas de los sistemas Procedimientos de emergencia Monitoreo de sistemas Rendimiento de sistemas Mantenimiento de librera de programas Gestin de espacio en disco Documentacin de entrega de aplicaciones Utilizacin de CPU, canales y datos Datos de paginacin de sistemas Volumen total y libre de almacenamiento Ocupacin media de disco Manuales de procedimiento ..entre las mas importantes

CRMR Mas informacin?

http://www.mscinc.net/Documents/CRMR/CRMR.htm

Planeacin de la AI
Permite dimensional el tamao y las caractersticas del rea dentro de la organizacin a auditar
Sistemas Organizacin Equipos

Herramientas a utilizar
Entrevistas Visitas a la organizacin Estudio de documentacin y antecedentes Cuestionarios Encuestas Aporte de la clase..

Entrevista a USUARIOS
Determinar el universo Definir el objetivo
Relevamiento de datos Comprobacin de datos

Disearlas Ver diseos apunte

Planeacin de la AI
Estudio Preliminar
Administracin Sistemas

Personal
Capacitado practica profesional Valores morales y ticos Eficiente Pensar en los roles!!! Multidisciplinario
Solo tcnicos NO..Porque?

Evaluacin de sistemas
Sistemas aislados vs. entrelazados Plan estratgico de sistemas
Cuestionario adjunto (practica)

Evaluacin del Anlisis

Polticas, procedimientos y normas Origen/fuente de la aplicacin
Plan estratgico Usuario Inventario de sistemas
A desarrollar En desarrollo Desarrollada
Modificaciones, con problemas, etc

Documentacin y registros usados en la elaboracin del sistema

Evaluacin del diseo lgico

Analizar las especificaciones del sistema
Que debe hacer? Como, cuando, en que orden, etc.

Analizar la participacin
Usuario Auditoria interna (rea)

Comparar lo entregado como documento y lo que el sistema realmente hace

Evaluacin del desarrollo del sistema

Se auditan
Programas Diseo de programas Lenguaje utilizado Interconexin entre programas
Red

Caractersticas del hardware utilizado

La administracin de proyectos
Tiene como finalidad el control del avance de lo sistemas en una organizacin Requiere de lder de proyectos Debe confeccionarse un plan y su seguimiento respectivo
Actividades/Recursos Metas Tiempos/prioridades Costos Personal involucrado/Gestin de desempeo

Control de Diseo de sistemas y

programas
Acorde a las especificaciones funcionales desde:
Anlisis
Ambigedades Omisiones

Diseo
Errores Debilidades Omisiones

Programacin
Claridad Modularidad Verificacin

Instructivos de operacin
Diagramas
Flujo E/S

Diseo de formularios Mensajes de errores Parmetros Formulas

Pruebas
Modulares De sistema De aceptacin Paralelas

CONTROLES
De datos
Fuente Volumen Frecuencia Acceso Cifras de control

De operacin
Calidad e integridad de la documentacin para el proceso en una computadora Procedimientos e instructivos formales de operacin Estandarizacin y cumplimiento de los procedimientos

CONTROLES
De salida De medios de almacenamiento masivo
Acceso a los medios Documentacin de los soportes Copias de seguridad ver cuestionarios en apunte

De Mantenimiento
Total : Correctivo y preventivo Por demanda in situ En banco

Orden en un CPD
Reglas
Orden Cuidado Lugares fsicos de almacenamiento de medios Funcionalidad de muebles .ver cuestionario apunte

Evaluacin de la configuracin del CPD

Evaluar posibles cambios de hardware Modificacin de equipos
Reducir costos o tiempos de proceso

Utilizacin de perifricos