Está en la página 1de 63

UNERG BIENVENIDOS A LA ASIGNATURA ELECTIVA DE ARAE II

AUDITORIA DE SISTEMAS
Prof. Carlos Ramos Telfono: 0426-5300650 Correo: Cajova@gmail.com

PLAN DE EVALUACION
Primer Corte

Estrategia

Fecha
Todo el Corte

Tema

Intervencin/
Asesora

9
9 12

Varios
Pautas Clases

Trabajo de campo Parcial

PLAN DE EVALUACION
Segundo Corte

Estrategia Intervencin/
Asesora/ Clase a distancia

% 9

Fecha
Todo el Corte

Tema Varios

Trabajo de campo Exposiciones Publicadas en Internet

9
12

Fases de la I a la V
Sistemas de Seguridad

PLAN DE EVALUACION
Tercer Corte

Estrategia Intervencin/
Asesora/ Clase a distancia

% 12

Fecha
Todo el Corte

Tema Varios

Trabajo de campo Trabajo de campo

12
16

Todas las Fases


Todas las Fases

Formar Equipos del Trabajo de Campo

Equipos de 3 4 Integrantes. Seleccionar Sistema. Tomar datos de los Integrantes.

Establecer el Orden de los grupos. Elegir un Jefe de Grupo.

TRABAJO DE CAMPO (PRELIMINAR)

Portada Introduccin Datos de la empresa Auditora Datos de la empresa Auditada Datos del tutor Empresarial Organigramas

TRABAJO DE CAMPO (PRELIMINAR)

Descripcin general de los procesos de la Empresa Alcance del trabajo de Auditoria Carta Compromiso de la empresa (firmada y sellada) Entrega el

Expediente (Carpeta)

Datos del grupo (Nombre, Logo, Correo electrnico, Titulo del trabajo) Datos de los integrantes (Nombre, Cedula, Correo, Numero Telefnico) Espacios para fecha, actividades, observaciones. Varias hojas Entregar

Exposicin
Con el grupo del Trabajo de Campo. Debe aplicar las herramientas de multimedia Entregar en un sobre de Manila:

* 7 Trpticos.

* 7 Planillas de Cooevaluacin.

Temas de Exposicin
1.- Auditoria de la seguridad Personal. 2.- Auditoria de la seguridad del Software de Aplicacin. 3.- Auditoria de la seguridad de Software. 4.- Auditoria de la seguridad Telecomunicaciones. Fsica y del
de los datos y en Sistemas en

Temas de Exposicin

5.- Auditoria de la seguridad en el rea de Operaciones. 6.- Auditoria de la seguridad en Minicomputadoras y en Microcomputadoras.

AUDITORIA

Viene del latn Auditorius y de esta proviene auditor, que tiene la virtud de or y revisar cuentas, encaminado a un objetivo especifico que es el de evaluar la eficiencia y eficacia con que esta operando un sistema.

CONCEPTOS DE ALGUNOS EXPERTOS EN LA MATERIA


AUDITORIA DE SISTEMAS:
a)

La verificacin de controles en el procedimiento de la informtica, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomen-daciones a la gerencia.

CONCEPTOS DE ALGUNOS EXPERTOS EN LA MATERIA


AUDITORIA DE SISTEMAS:
La actividad dirigida a verificar y juzgar informacin. c) El proceso de recoleccin de evidencia para determinar si un sistema automatizado: salvaguarda, mantiene integridad de los datos, consume recursos eficientemente
b)

CONCEPTOS DE ALGUNOS EXPERTOS EN LA MATERIA AUDITORIA DE SISTEMAS:


d) Es el examen o revisin de carcter Objetivo (independiente) Critico (Evidencias) Sistemtico (normas) Selectivo (muestras) Profesional (imparcial) . . .

AUDITORIA DE SISTEMAS
Conjunto de pasos, mtodos, tcnicas, procesos que se encargan de la evaluacin de normas, controles, tcnicas, procedimientos, para determinar las debilidades y fortalezas que tiene la organizacin y a su vez brindar confiabilidad, veracidad, precisin, oportunidad, seguridad de la informacin que se procesa a travs de los sistemas de informacin.

AUDITORIA DE SISTEMAS

IMPORTACIA: se basa en que al evaluar y buscar mejoras o fallas estamos encontrando controles internos y externamente en busca de aumentar la imagen de la organizacin una auditoria realizada a tiempo puede evitar la quiebra de una empresa

CARACTERISTICAS

a) IMPARCIAL

b) RAPIDA

c) COMPLETA

Segn el ente que la aplique: * Interna * Externa Segn el sistema auditado: - Preventiva: * Sistema en Desarrollo. - Correctiva: * Sistema en Produccin. * Centro de Computo.

CLASIFICACIN

Segn la Periodicidad: * Peridicas * No Peridicas

CLASIFICACIN

Perfil del Auditor

Conocimientos en Sistemas y auditoria Honesto Habilidades para la expresin Responsable Objetivo Critico Disciplinado, Ordenado Perspicaz, suspicaz, Audaz Experimentado (opcional)

RESPONSABILIDADES DEL AUDITOR LIDER

Consultar y consensuar con el cliente el alcance de la auditoria. Formacin del equipo auditor. Definir normas y criterios con su equipo. Dirigir las actividades del equipo auditor. Preparar las comunicaciones. Coordinar las preparaciones de los documentos y procedimientos detallados de trabajo.

Rol del Auditor de sistemas


Auditor

Consultor

Analista de Riesgo
Auditor de sistemas

Debe participar como consultor en el desarrollo de los sistemas, desde el estudio de factibilidad hasta el diseo e implementacin. Acta como consultor asegurndose de que existan los controles necesarios y pistas de auditoria en el diseo de los sistemas nuevos.

CONSULTOR:

CONSULTOR:

Entrevista a personal profesional y no profesional del rea de procesamiento de datos. Asesora en la adquisicin de nuevas tecnologas. Realiza recomendaciones generales.

AUDITOR:

Se realiza a los sistemas existentes, chequea y verifica los controles existentes en el Software, identifica errores y vulnerables en lo referente a la seguridad de los sistemas y reporta sus hallazgos en la gerencia.

AUDITOR: Revisa documentos, analiza el flujo de datos dentro de un sistema utilizando para ello el cdigo fuente, realiza muestreos estadsticos, prueba y validacin de datos en forma automtica y verifica que la informacin en ciertos registros es completa y fidedigna.

AUDITOR:

Utiliza Software de auditoria de sistemas para acceder y probar segmentos particulares de las bases de datos y registros de los archivos maestros, sin que estos sean modificados.

ANALISTA DE RIESGO
Se involucra en la preparacin del analista de riesgos de los sistemas actuales.

Participa en el desarrollo del PLAN DE CONTINGENCIA.

Participa en las pruebas del Plan de Contingencia.

PLAN DE CONTINGENCIA
El analista de riesgo de informtica creara para las empresas y departamentos un Plan de Contingencias informticas que incluya almenos los siguientes puntos:

a) Continuar con las operaciones de la unidad administrativa con procedimientos informticos alternos. b) Tener los respaldos de informacin en un lugar seguro, fuera del lugar donde se encuentran los equipos.

PLAN DE CONTINGENCIAS

PLAN DE CONTINGENCIAS

c) Tener los apoyos por medios magnticos o en forma documental, de las operaciones necesarias para reconstruir los archivos daados. d) Contar con un instructivos de operaciones para

PLAN DE CONTINGENCIAS

PLAN DE CONTINGENCIAS

f) Ejecutar pruebas de funcionali-dad del plan. g) Mantener revisiones del plan a fin de efectuar las actualiza-ciones respectivas.

AUDITORIA DE SISTEMAS
Roles del Auditor:
AUDITOR ANALISTA DE RIESGO CONSULTOR.

CONTROLES

Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas, para verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.

CLASIFICACIN GENERAL DE LOS CONTROLES

PREVENTIVOS:

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violacin.

CLASIFICACIN GENERAL DE LOS CONTROLES

DETECTIVOS:

Son aquellos que no evitan que ocurran las causas de riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

CLASIFICACIN GENERAL DE LOS CONTROLES

CORRECTIVOS:

Ayudan a la investigacin y correccin de las causas del riesgo.

PRINCIPALES CONTROLES FSICOS Y LGICOS

AUTENTICIDAD: (verifica la identidad) 1.- Passwords 2.- Firmas digitales EXACTITUD: (asegura la coherencia de
los datos)

1.- Validacin de campos 2.- Validacin de excesos

PRINCIPALES CONTROLES FSICOS Y LGICOS

TOTALIDAD: (evita la omisin de


registros)

1.- Conteo de Registros 2.- Cifras de control

REDUNDANCIA: (evitan la duplicidad de


datos)

1.- Cancelacin de lotes 2.- Verificacin de secuencias

PRINCIPALES CONTROLES FSICOS Y LGICOS

PRIVACIDAD: (asegura la proteccin de


los datos)

1.- Compactacin 2.- Encriptacin

EXISTENCIA: (asegura la proteccin de


los datos)

1.- Bitcora de estado 2.- Mantenimiento de Archivos

PRINCIPALES CONTROLES FSICOS Y LGICOS

PROTECCIN DE ARCHIVOS: (evita la

destruccin o corrupcin de la informacin o Hardware)

1.- Extintores 2.- Passwords

METODOLOGIA PARA REALIZAR UNA AUDITORIA A UN SISTEMA EN PRODUCCIN

METODOLOGIA PARA REALIZAR UNA AUDITORIA A UN SISTEMA EN PRODUCCIN

FASE I : PLAN DE TRABAJO


Es la fase de definicin y preparacin de la Auditoria y el cronograma de trabajo, ya en esta fase se ha seleccionado el equipo Auditor, de acuerdo a lo establecido en los anexos A y B de la Norma ISO 10011-2. En la seleccin de los Auditores, generalmente participan el Auditor principal o lder conjunta-mente con el cliente y en pocos casos los auditados.

FASE I : PLAN DE TRABAJO

ACTIVIDADES:

Seleccionar el Sistema a Auditar. Estudiar la Metodologa para Auditar el Sistema. Disear el Formato para el Plan de Trabajo. Determinar las actividades para cada una de las fases de la Metodologa. Estimar la duracin, recursos y resultados para cada una de las fases. Elaborar el Plan de Trabajo.

Formato para realizar el Plan de Trabajo


Identificacin y Logo de la Empresa Auditora
Inicio y fin de la Auditoria.
TITULO DEL TRABAJO FASE # NOMBRE OBJETIVO DE LA FASE
Actividades Responsable Fecha Ubicacin Tiempo Representante de la Empresa Observaciones Recursos

Identificacin y Logo de la Empresa Auditada

Nota: Este Formato no es Estndar.

FASE II :

LEVANTAMIENTO DE LA INFORMACIN

ACTIVIDADES:

Revisar toda la bibliografa existente. Elaborar el glosario de trminos. Elaborar el cronograma de entrevistas. Establecer las preguntas para cada una de las entrevistas. Realizar las entrevistas. Elaborar el levantamiento de la informacin. Disear un modelo Grafico del sistema.

Formato para Realizar el Cronograma de las Entrevistas


EL MISMO MEMBRETE YA ESTABLECIDO
TITULO DEL TRABAJO FASE # NOMBRE CROGRAMA DE ENTREVISTAS

Nombre

Cargo

Departamento

Fecha

Hora

Lugar

Responsable

Observaciones

Recursos

Nota: Este Formato no es Estndar.

Formato para Realizar el Levantamiento de la Informacin


EL MISMO MEMBRETE YA ESTABLECIDO
TITULO DEL TRABAJO FASE # NOMBRE LEVANTAMIENTO DE LA INFORMACIN NOMBRE Y APELLIDO: CARGO: FECHA: AUDITORES: HORA: DEPARTAMENTO: LUGAR:

Resumen de la Entrevista

Nota: Este Formato no es Estndar.

FASE III : NAVEGACIN DEL SISTEMA

ACTIVIDADES:

Efectuar un respaldo del sistema. Verificar el funcionamiento del sistema. Imprimir todas las pantallas principales. Ubicar las debilidades, a nivel de pantallas que presenta el sistema. Recolectar las evidencias. Elaborar el Cuadro de debilidades. Elaborar la Carta Estructurada del Sistema.

Formato para el Cuadro de Debilidades de la Pantalla

EL MISMO MEMBRETE YA ESTABLECIDO


TITULO DEL TRABAJO FASE # NOMBRE CUADRO DE DEBILIDADES DE LA PANTALLA DEBILIDAD UBICACIN EXPLICACIN EVIDENCIA SOLUCIN OBSEVACIN

Nota: Este Formato no es Estndar.

FASE IV : DOCUMENTACIN DE
PROGRAMAS Y ARCHIVOS

ACTIVIDADES:

Obtener los programas fuentes. Imprimir los programas fuentes. Analizar los procedimientos de los programas del sistema. Elaborar la documentacin de los programas y los archivos Ubicar las debilidades de los programas y los archivos

FASE IV : DOCUMENTACIN DE
PROGRAMAS Y ARCHIVOS

ACTIVIDADES:

Recolectar evidencias. Elaborar el cuadro de debilidades de los programas y archivos.

Formato para Documentar los Programas

EL MISMO MEMBRETE YA ESTABLECIDO


TITULO DEL TRABAJO FASE # NOMBRE DOCUMENTACIN DE LOS PROGRAMAS DOCUMENTACIN DEL PROGRAMA NOMBRE DEL MODULO

DIAGRAMA DE FLUJO

COMENTARIOS DEL DIAGRAMA DE FLUJO

OBSERVACIN:

Nota: Este Formato no es Estndar.

Formato para Documentar los Archivos


EL MISMO MEMBRETE YA ESTABLECIDO
TITULO DEL TRABAJO

FASE # NOMBRE
DOCUMENTACIN DE LOS ARCHIVOS

SE DEBE COLOCAR EL ESQUEMA FISICO SELECCIONADO POR EL EQUIPO. EJEMPLO: CAMPO DESCRIPCIN TIPO LONGITUD CLAVE

Nota: Este Formato no es Estndar.

Formato para el Cuadro de Debilidades de Los Programas

EL MISMO MEMBRETE YA ESTABLECIDO


TITULO DEL TRABAJO FASE # NOMBRE CUADRO DE DEBILIDADES DE LOS PROGRAMAS DEBILIDAD UBICACIN EXPLICACIN EVIDENCIA SOLUCIN OBSEVACIN

Nota: Este Formato no es Estndar.

Formato para el Cuadro de Debilidades de Los Archivos

EL MISMO MEMBRETE YA ESTABLECIDO


TITULO DEL TRABAJO FASE # NOMBRE CUADRO DE DEBILIDADES DE LOS ARCHIVOS DEBILIDAD UBICACIN EXPLICACIN EVIDENCIA SOLUCIN OBSEVACIN

Nota: Este Formato no es Estndar.

FASE V : Pruebas de Integridad y


Consistencia.

ACTIVIDADES:

Efectuar un respaldo del sistema Disear las pruebas. Elaborar la documentacin de la pruebas. Aplicar las pruebas y obtener los reportes Elaborar la matriz de prueba.

Formato para Realizar la Matriz de Prueba

EL MISMO MEMBRETE YA ESTABLECIDO


TITULO DEL TRABAJO FASE # NOMBRE MATRIZ DE PRUEBA

Nombre

Descripcin

Aprobada

Rechazada

Ponderacin

Evidencia

Nota: Este Formato no es Estndar.

FASE VI : Evaluacin de la
Documentacin Existente.

ACTIVIDADES:

Recolectar toda la informacin existente. Revisar y evaluar el estado de la documentacin: (cuales documentos existen, condicin en que se encuentran, donde se localizan, quienes lo tienen, quien debera tenerlos, presentacin, vocabulario utilizado, redaccin, ortografa, frecuencia con que se utilizan, entre otros).

FASE VII : Evaluacin de la


Satisfaccin del Usuario.

ACTIVIDADES:

Disear las encuestas. Aplicar las encuestas a los usuarios. Analizar y tabular las respuestas obtenidas Elaborar un informe de satisfaccin del usuario. Graficar los resultados.

FASE VIII :

Informe final de Auditoria.

ACTIVIDADES:

Recopilar todas las debilidades, oportunidades, fortalezas y amenazas encontradas en las tareas anteriores. (DOFA) Emitir recomendaciones generales sobre el sistema. Elaborar el informe final de Auditoria. Realizar una Minuta de clausura de la Auditoria. Elaborar el informe oral de la Auditoria