AUDITORÍA INFORMÁTICA DE EXPLOTACIÓN

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados

impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para
lanzar o modificar procesos industriales, etc. La explotación informática se puede considerar como
una fábrica con ciertas peculiaridades que la distinguen de las reales.
Para realizar la Explotación Informática se dispone de una materia prima, los Datos, que sea necesario
transformar, y que se sometan previamente a controles de integridad y calidad. La transformación se
realiza por medio del Proceso informático, el cual está gobernado por programas.
ALCANCES
Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones. Se divide
en tres grandes áreas: Planificación, Producción y Soporte Técnico, en la que cada cual tiene varios
grupos. Para llevarla a cabo se auditarán las normas de entrega de Aplicaciones por parte de
Desarrollo, verificando su cumplimiento y su calidad de interlocutor único. Deberán realizarse
muestreos selectivos de la Documentación de las Aplicaciones explotadas. Se inquirirá sobre la
anticipación de contactos con Desarrollo para la planificación a medio y largo plazo.
Se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados
magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos
industriales, etc. Obtenido el producto final, los resultados son sometidos a varios controles de
calidad y, finalmente, son distribuidos al cliente, al usuario. En ocasiones, el propio cliente realiza
funciones de reelaboración del producto terminado.
INSTRUMENTOS
CUESTIONARIO: Se materializan recabando información y documentación de todo tipo. Los informes
finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o
fortaleza de los diferentes entornos. Estos cuestionarios no deben ni pueden ser repetidos para
instalaciones distintas, si no diferentes y muy específicas para cada situación.
ENTREVISTA: Es una de las actividades personales más importantes de un auditor; en ellas, este
recoge más información, y mejor matizada, que la proporcionada por medios propios puramente
técnicos o por las respuestas escritas cuestionarios.
El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente
establecido consiste en que bajo la forma de una conversación correcta y lo menos tensa posible, el
auditado contestes sencillamente una serie de preguntas variadas.
PROGRAMAS: ACD Auditor: Software de gestión para sectores como el de auditoría de cuentas,
administración concursal, asesoría financiera y cuentas anuales. Ofrece las siguientes características:
-Gestión completa de la información.
-Herramienta para impulsar el trabajo en equipo.
-Hojas de trabajo en pocos minutos.
-Documentación necesaria y bien organizada.
-Muestreo estadístico.
-Control de cambios.
-Automatismo en todos los niveles.
-Máximo dinamismo y personalización.
EJEMPLOS
Alcance de la auditoria
a) Esta auditoria comprende el sistema de información (Sistema para la consignación de equipos
SICOE), desarrollado para la empresa de TELVEN, con respecto al cumplimiento del proceso "Gestión
de la explotación" de la norma COBIT
b) Evaluación del personal y coherencia de cargos de la propia institución
c) Normas y Procedimientos del área de informática
Objetivos
Realizar un informe de Auditoría con el objeto de verificar la adecuación de las funciones que sirven
de apoyo a los sistemas de información
Cliente: TELVEN
Fecha de Auditoria: 22/04/2008
Dominio: Suministro y Mantenimiento
Proceso: Gestión de la Explotación
Título: Cuestionario de Control Interno
¿Qué es SPAN, RSAPN y ERSPAN?
Antes de aprender cómo configurar SPAN, RSAPN y ERSPAN, conviene saber en qué consisten. SPAN
(switched port analyzer) permite capturar el tráfico que entra y sale de los puertos de un switch.
Luego los envía a otro host conectado a su red; no importa que este sea un sniffer.
Por su lado, el RSAPN (remote switched port analyzer) también se enfoca en capturar el tráfico y darle
salida mediante un puerto switch, enviándolo a cualquier otro puerto de la red. Utiliza una VLAN
específica llamada Remote SPAN VLAN, que mueve a los usuarios de un lugar de origen a otro en
función de lo que queramos. Algo crucial a lq hora de saber cómo configurar SPAN, RSAPN y ERSPAN.
El ERSPAN (encapsulated remote switched port analyzer) es una función que solo es compatible con
algunos modelos/IOS, como es el caso del Cisco Catalyst serie 6500. Nos permite capturar tráfico de
uno o más puertos de origen o VLANs y enviarlo a cualquier otro destino. A diferencia de los otros dos
tipos, con él podemos enviar a los usuarios a través de una red ruteada; hay que tenerlo en
cuenta, con el objetivo de conocer cómo configurar SPAN, RSAPN y ERSPAN.
ESTÁNDARES DE AUDITORÍA
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría
informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA (Certified Information Systems Auditor) es una de
las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección
consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando
horas (puntos) para no perder la certificación.