UNIVERSIDAD TECNOLOGICA DE IZUCAR DE

MATAMOROS.

ADMINISTRACION DE LA FUNCION INFORMATICA.

LIC: MIGUEL ANGEL BENITEZ LAUREL.

ALUMNO: GERARDO CARPIO SANCHEZ

TRABAJO II.
a) Los formatos de las herramientas necesarias para el ejercicio de
una auditoria en una organizacin.
b) El Formato de planeacin de cada actividad para la aplicacin de la
auditoria informtica.
c) Qu tipo de auditora informtica hay? Explique
d) Cmo determinamos la aplicacin de un tipo de auditora
informtica especifica?

TICSI 3B

12

DE JULIO 2011.

a) Los formatos de las herramientas necesarias para el

ejercicio de una auditoria en una organizacin.
Profesin

Actividades y conocimientos deseables

Informtico Generalista

Con experiencia amplia en ramas distintas. Deseable que su labor

se haya desarrollado en Explotacin y en Desarrollo de Proyectos.
Conocedor de Sistemas.

Experto en Desarrollo de Proyectos

Amplia experiencia como responsable de proyectos. Experto

analista. Conocedor de las metodologas de Desarrollo ms
importantes.

Tcnico de Sistemas

Experto en Sistemas Operativos y Software Bsico. Conocedor de

los productos equivalentes en el mercado. Amplios conocimientos
de Explotacin.

Experto en Bases de Datos y Administracin de Con experiencia en el mantenimiento de Bases de Datos.

las mismas.
Conocimiento de productos compatibles y equivalentes. Buenos
conocimientos de explotacin
Experto en Software de Comunicacin

Alta especializacin dentro de la tcnica de sistemas.

Conocimientos profundos de redes. Muy experto en Subsistemas
de teleproceso.

Experto en Explotacin y Gestin de CPDS

Responsable de algn Centro de Clculo. Amplia experiencia en

Automatizacin de trabajos. Experto en relaciones humanas.
Buenos conocimientos de los sistemas.

Tcnico de Organizacin

Experto organizador y coordinador. Especialista en el anlisis de

flujos de informacin.

Tcnico de evaluacin de Costes

Economista con conocimiento de Informtica. Gestin de costes.

b) El Formato de planeacin de cada actividad para la

aplicacin de la auditoria informtica.
reas generales, se establecen las siguientes divisiones de Auditora Informtica: de Explotacin,
de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas Especificas de la
Auditora Informtica ms importantes.
Areas Especficas

Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad

Cada Area Especifica puede ser auditada desde los siguientes criterios generales:

Desde su propio funcionamiento interno.

Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de

cumplimiento de las directrices de sta.

Desde la perspectiva de los usuarios, destinatarios reales de la informtica.

Desde el punto de vista de la seguridad que ofrece la Informtica en general o la rama

auditada.

La decisin de abordar una Auditora Informtica de Seguridad Global en una empresa, se

fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Se
elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las
que est sometida una instalacin y los "Impactos" que aquellas puedan causar cuando se
presentan. Las matrices de riesgo se representan en cuadros de doble entrada <<AmenazaImpacto>>, en donde se evalan las probabilidades de ocurrencia de los elementos de la
matriz.

Impacto

Amenaza

1: Improbable
2: Probable

Error
Destruccin

Incendio

Sabotaje

..

3: Certeza
-: Despreciable

de Hardware
Borrado de
Informacin

Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones:

1.

Autorizaciones

2.

Controles Automticos

3.

Vigilancia

4.

Registros

En las siguientes Checklists, las respuestas se calificarn de 1 a 5, siendo1 la ms deficiente y 5 la

mxima puntuacin.
Control de Accesos: Autorizaciones

Existe un nico responsable de implementar la poltica de autorizaciones de entrada en el Centro de Clculo?

Existe alguna autorizacin permanente de estancia de personal ajeno a la empresa?

Quines saben cuales son las personas autorizadas?
Adems de la tarjeta magntica de identifica-cin, hay que pasar otra especial?
Se pregunta a las visitas si piensan visitar el Centro de Clculo?
Se preveen las visitas al Centro de Clculo con 24 horas al menos?
TOTAL AUTORIZACIONES

Control de Accesos: Controles Automticos

Cree Ud. que los Controles Automticos son adecuados?

Quedan registradas todas las entradas y salidas del Centro de Clculo?
Al final de cada turno, Se controla el nmero de entradas y salidas del personal de Operacin?
Puede salirse del Centro de Clculo sin tarjeta magntica?
TOTAL CONTROLES AUTOMATICOS

Control de Accesos: Vigilancia

Hay vigilantes las 24 horas?

Existen circuitos cerrados de TV exteriores?
Identificadas las visitas, Se les acompaa hasta la persona que desean ver?
Conocen los vigilantes los terminales que deben quedar encendidos por la noche?
TOTAL VIGILANCIA

Control de Accesos: Registros

Existe una adecuada poltica de registros?

Se ha registrado alguna vez a una persona?
Se abren todos los paquetes dirigidos a personas concretas y no a Informtica?
Hay un cuarto para abrir los paquetes?
TOTAL REGISTROS

c) Qu tipo de auditora informtica hay?

Explique
AUDITORIA FISICA
Activos informticos, observaciones donde estn y que existan en
el inventario, prevencin y seguridad. Todos estos activos estn
fsicamente seguros y adecuados, posibles fallas fsicas, saber
si se tiene un plan especfico despus de un desastre,
identificar cules son sus planes de accin para la seguridad en
cuanto a un desastre.
Comprueba la existencia de los medios fsicos y tambin su
funcionalidad, racionalidad y seguridad.
sta garantiza la integridad de los activos humanos, lgicos y
materiales de centro de cmputo.
Areas de conocimiento de la auditoria fsica
Organigrama respectivo de la empresa, auditoras internas
pasadas, administracin de la seguridad (asignar
responsabilidades a cada una de las personas), centro de procesos
de datos (identificar cada una de las salas que se debe
asegurar), equipos y comunicaciones (de manera especfica),
seguridad fsica del personal (informacin que se debe tener).
Lista donde est la informacin
Manual de procedimientos, jefes de departamento, recursos

humanos, altos directivos reglamentos y cursos de capacitacin.

Herramientas
Entrevistas, cuestionarios, encuestas y grficas.
AUDITORIA OFIMATICA
Estudio de una aplicacin a la cual debemos evaluar, saber si
realmente sirve para su requerimiento, previo a compra de
software se haya hecho un estudio para saber si realmente lo est
utilizando de la manera ms adecuada.
La Ofimtica
Sistema automatizado surge genera, procesa, almacena, recupera,
comunica y presenta datos relacionados con el funcionamiento de
la oficina.
Determinar si el inventario ofimtico de los equipos reflejan
con exactitud el nmero de equipos y aplicaciones reales.
Determinar y evaluar el procedimiento de adquisicin de equipos
y aplicaciones.
Determinar y evaluar la poltica de mantenimiento definida en
la organizacin.
Evaluar la calidad de las aplicaciones del entorno ofimtico
desarrollado por el propio personal de la organizacin.
Evaluar la correccin del procedimiento existente para la
realizacin de cambios de versiones y aplicaciones.
Determinar si los usuarios cuentan con suficiente informacin y
la documentacin de apoyo para la realizacin de sus actividades
de un modelo eficaz y eficiente.
Determinar si el sistema existe y si realmente cumple con las
necesidades de la organizacin.
Anomalas
- Seguridad.- Determinar si existen garantas suficientes para
proteger los accesos no autorizados a la informacin reservada a
la empresa y a la integridad de la misma.

AUDITORIA DE DIRECCION
Siempre en una organizacin se dice que esta es un reflejo de las
caractersticas de su direccin, los modos y maneras de actuar de
aquella estn influenciadas por la filosofa y personalidad del
director.
Acciones de un Director
Planificar. (Este acorde al plan estratgico (conocimiento a
evaluar acciones a realizar)).
- Lectura y anlisis de actas, acuerdos, etc.

- Lectura y anlisis de informes gerenciales.

- Entrevistas con el mismo director del departamento y con los
directores de otras reas.
Organizar.
Controlar.
Coordinar.
AUDITORIA DE LA DIRECCIN DE GESTIN
- Planificar
- Evaluar
- Plan estratgico.
- Recursos asignados a cada plan de proyecto.
- Organizar y coordinar
Se va a realizar de acuerdo con lo planeado, el director debe
establecer los flujos de informacin para que no haya fallas.
- Organizar
El proceso de organizar consiste en estructurar recursos, los
flujos de informacin y los controles que permiten alcanzar los
objetivos marcados por la calificacin. Para poder evaluar y dar
seguimiento a estas funciones se establece un comit de
informtica que afectan a toda la empresa y permite a los
usuarios como las actividades de la organizacin no solo de su
rea, se pueden fijar las prioridades.
El auditor debe asegurarse que exista est comit y que cumpla su
papel adecuadamente.
Las acciones a realizar por el auditor son:
Verificar que exista una normativa interna donde se especifique
las funciones del comit.
Entrevistar a miembros de este para conocer por parte de ellos
funciones que realmente realizan.
Existe comit de informtica
- Normativa interna.
- Entrevistas a los representantes de los usuarios para conocer
si entienden y si estn de acuerdo con el comit.
- Entrevista con los miembros.
Criterio para asignar a los miembros del comit.
AUDITORIA DE MANTENIMIENTO
- Evala la etapa del mantenimiento (4 a 6 meses la duracin del
mantenimiento.
- Importancia (etapa del mantenimiento (15 das a 1 mes
(mantenimiento con cambios)) "mayor costo".
- Evaluar trabajo.
- Lista de revisiones.
- Existe documentacin para el requerimiento de cambios.

- Documentacin de los cambios.

- Pruebas de las modificaciones (lista de prueba y su
observacin).
- La aceptacin de pruebas, con la cual se liberan los cambios.
- Logstica (por procedimientos) para realizar el cambio de
modificaciones (versiones) del servidor de produccin.

AUDITORIA DE BASE DE DATOS

1. Confidencialidad.
- Identificar el archivo documento que listen los perfiles de
usuarios.
- Verificar que el documento tenga el tipo de acceso "ad hoc" al
grupo de usuarios.
- Realizar encuestas y aplicar cuestionarios para verificar que
los perfiles realmente hayan sido aplicados.
- Revisar los usuarios en el sistema manejador de base de datos y
canalizar los perfiles con el documento arriba mencionado.
PUNTOS A LOS QUE SE ENFOCA EL AUDITOR
Control y seguridad de la base de datos (se tenga siempre una
lista de los usuarios as como tambin diferentes perfiles, tipos
de usuarios, documentacin sobre cambios, accesos limitados, etc.

d) Cmo determinamos la aplicacin de un tipo de

auditora informtica especifica?
Se determina dependiendo de
vamos a auditar, podra ser
auditoria fsica, auditoria
auditoria de mantenimiento,

cada caso, dependiendo el lugar que

como vimos en la pregunta anterior,
ofimtica, auditoria de direccin,
auditoria de base de datos etc.

Cada uno tiene puntos especficos.