AUDITORIA INFORMATICA Y DE SISTEMAS

TEMA Metodologas para Auditoria Informtica

Ing. Ing. De Sistemas

AUDITORIA INFORMATICA Y DE SISTEMAS

Alcances
Siendo el mtodo un modo ordenado de decir o hacer una cosa determinada, podemos decir que la metodologa es un conjunto de mtodos que se siguen en una investigacin cientfica, lo cual significa que cada proceso cientfico debe estar sujeto a una disciplina de proceso definida con anterioridad a la cual se le da el nombre de metodologa. La metodologa se hace necesaria en materias como la informtica, ya que sus aspectos son muy complejos y la cual se utiliza en cada doctrina que compone dicha materia, siendo de gran ayuda en la auditoria de los sistemas de informacin.

Ing. Ing. De Sistemas

METODOLOGIAS PARA LA AUDITORIA INFORMATICA

1.

Metodologa para la Auditoria Informtica

Las metodologas de auditora informtica son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen en gran profesionalidad y formacin continua. Solo existen dos tipos de metodologas para la auditora informtica:

Controles Generales Metodologas de los auditores internos

Ing. Ing. De Sistemas

AUDITORIA INFORMATICA Y DE SISTEMAS

1. Metodologa para la Auditoria Informtica Controles Generales.- son las polticas y procedimientos que se Generales. aplican a la totalidad o a gran parte de los sistemas de informacin de una entidad, incluyendo la infraestructura y plataformas TI de la organizacin auditada y ayudan a asegurar su correcto funcionamiento. El objetivo aqu es dar una opinin sobre la fiabilidad de los datos para la auditora.

Ing. Ing. De Sistemas

AUDITORIA INFORMATICA Y DE SISTEMAS

Ing. Ing. De Sistemas

AUDITORIA INFORMATICA Y DE SISTEMAS

Metodologas de los auditores internos Estn formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. En ella tambin se define el objetivo de la misma, que habr que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genricos, con una orientacin de los controles a revisar. El auditor interno debe crear sus metodologas necesarias para auditar los distintos aspectos o reas en el plan auditor.

Ing. Ing. De Sistemas

AUDITORIA INFORMATICA Y DE SISTEMAS

Metodologa ROA (Risk Oriented Approach) /Enfoque orientado a riesgos

En la actualidad existen tres tipos de metodologas de auditoria informtica: R.O.A. (RISK ORIENTED APPROACH): Diseada por Arthur Andersen. CHECKLIST (cuestionarios) AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de base de Datos DB2; paquete de seguridad RACF, etc.). En s las tres metodologas estn basadas en la minimizacin de los riesgos, que se conseguir en funcin de que existan los controles y de que stos funcionen. En consecuencia el auditor deber revisar estos controles y su funcionamiento.

Ing. Ing. De Sistemas

AUDITORIA INFORMATICA Y DE SISTEMAS

Metodologa ROA (Risk Oriented Approach) Es La metodologa utilizada en la evaluacin de riesgos llamada tambin Metodologa ROA por sus siglas en ingles (Risk Oriented Approach), la cual es recomendada por ISACA. Esta evaluacin de riesgos se desarrolla sobre determinadas reas de aplicacin y bajo tcnicas de Checklist (cuestionarios) adaptados a cada entorno especifico; deber tenerse en cuenta que determinados controles se repetiran en diversas reas de riesgo. Esto debido a que dichos controles tienen incidencia independiente en cada una y, que se pretende poder analizar cada rea independientemente, es necesaria dicha repeticin. As mismo los controles gerenciales y algunos controles de caractersticas especiales, como pueden ser los de base de datos, se aplicarn teniendo en cuenta las particularidades de cada entorno.

Ing. Ing. De Sistemas

AUDITORIA INFORMATICA Y DE SISTEMAS

Metodologa ROA (Risk Oriented Approach) Fases de la autoevaluacin Riesgo en la continuidad del proceso Riesgos en la eficacia del servicio informtico Riesgo en la eficiencia del servicio informtico Riesgos econmicos directos Riesgos de la seguridad lgica Riesgos de la seguridad fsica

Ing. Ing. De Sistemas

AUDITORIA INFORMATICA Y DE SISTEMAS

Metodologas Cuantitativas y Cualitativas

a.Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo, estn diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados unos valores numricos, estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito. b. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/gua). Basadas en mtodos estadsticos y lgica borrosa, que requiere menos recursos humanos / tiempo que las metodologas cuantitativas.

Ing. Ing. De Sistemas

AUDITORIA INFORMATICA Y DE SISTEMAS

Metodologas Cuantitativas y Cualitativas Conclusin: La metodologa cuantitativa es aquella que permite la obtencin de informacin a partir de la cuantificacin de los datos sobre variables, mientras que la metodologa cualitativa, evitando la cuantificacin de los datos, produce registros narrativos de los fenmenos investigados. En este tipo de metodologa los datos se obtienen por medio de la observacin y las entrevistas, entre otros. Como vemos, la diferencia ms importante entre la metodologa cuantitativa y la cualitativa radica en que la primera logra sus conclusiones a travs de la correlacin entre variables cuantificadas, y as poder realizar generalizaciones y producir datos objetivos, mientras que la segunda estudia la relacin entre las variables obtenidas a partir de la observacin en contextos estructurales y situacionales.

Ing. Ing. De Sistemas