1. TRABAJO DE AUDITORIA INFORMATICA
PRINCIPALES ÁREAS DE LA AUDITORIA INFORMÁTICA
NOMBRE: LUIS TIPAN
• SEMESTRE: SEXTO SISTEMAS
• AÑO: 2012-2013
2. AUDITORIA FISICA
• que se va a desarrollar la actividad
profesional, no limitándose a
comprobar que existen los medios
físicos, sino también su funcionalidad,
racionalidad y seguridad.
• La seguridad física garantiza la
integridad de los activos humanos,
lógicos y materiales en un centro de
procesamiento de información.
Existen tres momentos para responder
ante una falla en esta área,
relacionados con la cronología de la
misma
3. Áreas de la Seguridad Física
AREA FISICA
Fuentes de la auditoría física
• La revisión de la construcción y el • Auditorías anteriores
estado de la infraestructura del • Contratos de Seguros, de Proveedores y
de Mantenimiento
edificio en sí mismo no es un
• Entrevistas con el personal de seguridad,
objeto del que pueda diagnosticar informático y de otras actividades
un auditor, sino que tendrá que (limpieza y mantenimiento…)
apoyarse de peritos • Actas e informes de técnicos y
independientes que den respuesta consultores
a sus preguntas para lograr la • Plan de contingencia y valoración de las
valoración. pruebas
• Informes sobre accesos y visitas
• Las áreas en las que el auditor ha
• Informes sobre pruebas de evacuación
de interesarse personalmente ante diferentes tipos de amenaza
tienen relación directa con el • Informes sobre evacuaciones reales
hecho informático, como lo son: • Políticas de personal
4. La Auditoría Ofimática
• La Ofimática se define como los programas o aplicaciones que en
conjunto sirven de herramienta para generar, procesar, almacenar,
recuperar, comunicar y presentar la información en un lugar de trabajo,
así como de forma doméstica
• El software de ofimática comprende una serie de aplicaciones que se distribuyen
de forma conjunta para así mismo ser empleadas simultáneamente en diversos
sistemas
• Usualmente estas herramientas de ofimática incluyen:
• Aplicaciones de productividad personal
• Administradores de Bases de Datos
• Hojas de cálculo
• Procesadores de Textos
• Presentadores de ideas
• Gráficos
5. Economía, eficacia y eficiencia
• Determinar si el inventario ofimático refleja
con exactitud los equipos y aplicaciones
existentes en la organización
• Determinar y evaluar el procedimiento de
adquisiciones de equipos y aplicaciones
• Determinar y evaluar la política de
mantenimiento definida en la organización
• Evaluar la calidad de las aplicaciones del
entorno ofimático desarrollada por el
personal de la propia organización
• Evaluar la corrección del procedimiento
existente para la realización de los
cambios de versiones y aplicaciones
• Determinar si los usuarios cuentan con la
suficiente formación y la documentación
de apoyo necesaria para desarrollar sus
tareas de un modo eficaz y eficiente
• Determinar si el sistema existente se ajusta
a las necesidades reales de la organización
6. La Auditoría de la Dirección
Siempre en una organización se dice que esta es un Planificar
reflejo de las características de su - Evaluar
dirección, los modos y maneras de - Plan estratégico.
actuar de aquella están - Recursos asignados a cada plan de proyecto.
- Organizar y coordinar
influenciadas por la filosofía y Se va a realizar de acuerdo con lo planeado, el
personalidad del director. director debe establecer los flujos de
Acciones de un Director información para que no haya fallas.
• Planificar. (este acorde al plan - Organizar
estratégico (conocimiento a
evaluar acciones a realizar)). El proceso de organizar consiste en estructurar
- Lectura y análisis de actas, recursos, los flujos de información y los controles
que permiten alcanzar los objetivos marcados
acuerdos, etc. por la calificación. Para poder evaluar y dar
- Lectura y análisis de informes seguimiento a estas funciones se establece un
gerenciales. comité de informática que afectan a toda la
- Entrevistas con el mismo director empresa y permite a los usuarios como las
del departamento y con los actividades de la organización no solo de su área,
se pueden fijar las prioridades.
directores de otras áreas. El auditor debe asegurarse que exista esté
. comité y que cumpla su papel adecuadamente
7. AUDITORIA DE LA DIRECCIÓN DE GESTIÓN
Planificar Organizar y coordinar
• Si durante el proceso de • Comprobar que existan descripciones de
planificación se toma en cuenta el funciones y responsabilidades documentadas y
plan estratégico de la empresa, se actualizadas del Departamento de Informática.
establecen mecanismos de Examinar la descripción de las funciones para
sincronización entre sus grandes evaluar si existe una adecuada separación de
éstas, y observar las actividades desempeñadas
hitos y los proyectos informáticos por el personal del departamento para analizar el
asociados y se tiene en cuenta grado de cumplimiento de las funciones que
aspectos de cambios están documentadas para cada puesto.
organizacionales, entorno
• Comprobar que existen estándares de
legislativo, evolución tecnológica, funcionamiento y procedimientos que gobiernen
organización informática, recursos, la actividad del Departamento de Informática, así
etc. como la documentación de descripciones de
• Si se presta la adecuada puestos dentro del mismo. De igual forma, se
consideración a las nuevas TI’s , debe evaluar el proceso por el que los
siempre desde el punto de vista de estándares, procedimientos y puestos de trabajo
su contribución a los fines de la son desarrollados, aprobados, distribuidos y
empresa y no como actualizados, y verificar que refleja las
actividades realizadas en la práctica.
experimentación tecnológica.
8. AUDITORIA DE LA EXPLOTACIÓN
La Explotación Informática se ocupa de
producir resultados informáticos de
todo tipo: listados impresos, ficheros
soportados magnéticamente para otros
informáticos, ordenes automatizadas
para lanzar o modificar procesos
industriales, etc. La explotación
informática se puede considerar como
una fabrica con ciertas peculiaridades
que la distinguen de las reales. Para
realizar la Explotación Informática se
dispone de una materia prima, los Datos,
que es necesario transformar, y que se
someten previamente a controles de
integridad y calidad. La transformación
se realiza por medio del Proceso
informático, el cual está gobernado por
programas.
9. AUDITORIA DE LA EXPLOTACIÓN
E INTEGRIDAD
Control de Entrada de Datos Centro de Control y Seguimiento de Trabajos
• Se analizará la captura de la información en Se analizará cómo se prepara, se lanza y se
soporte compatible con los Sistemas, el sigue la producción diaria. Básicamente, la
cumplimiento de plazos y calendarios de
tratamientos y entrega de datos; la explotación Informática ejecuta procesos por
correcta cadenas o lotes sucesivos (Batch*), o en
• transmisión de datos entre entornos tiempo real (Tiempo Real*). Mientras que las
diferentes. Se verificará que los controles Aplicaciones de Teleproceso están
de integridad y calidad de datos se realizan permanentemente activas y la función de
de acuerdo a Norma.
Explotación se limita a vigilar y recuperar
incidencias, el trabajo Batch absorbe una
• Planificación y Recepción de Aplicaciones
buena parte de los efectivos de Explotación.
• Se auditarán las normas de entrega de
Aplicaciones por parte de Desarrollo, En muchos Centros de Proceso de Datos,
verificando su cumplimiento y su calidad de éste órgano recibe el nombre de Centro de
interlocutor único. Deberán realizarse Control de Batch. Este grupo determina el
muestreos selectivos de la Documentación éxito de la explotación, en cuanto que es uno
de las Aplicaciones explotadas. Se
de los factores más importantes en el
mantenimiento de la producción
10. La Auditoría del Desarrollo
La auditoría de desarrollo trata de
verificar la existencia y aplicación de
procedimientos control adecuados
que permitan garantizar que el
desarrollo de SI se ha llevado a cabo
siguiendo los principios de
ingeniería de SW (entendiéndose
por Ingeniería de SW el
establecimiento y uso de principios
de ingeniería robustos, orientados a
obtener SW económico que sea
fiable, cumpla con los requisitos
previamente establecidos y funcione
de manera eficiente sobre máquinas
reales)
11. Auditoría de la organización y
administración del área de desarrollo
El área de desarrollo debe tener cometidos asignados dentro del departamento y una
organización que permita el cumplimiento de los mismos.
Se deben establecer en forma clara las funciones del área de desarrollo, por lo que se debe
comprobar que: existe un documento que contiene las funciones que corresponden al área,
aprobado por la dirección de informática y que se respeta
Debe especificarse el organigrama con la relación de puestos del área, así como del personal y
el puesto que cada uno ocupa. Debe existir un procedimiento para la promoción del personal.
Se debe comprobar que: existe un organigrama con la estructura organizacional del área, la
descripción de cada puesto, requisitos mínimos de formación y experiencia y la dependencia
jerárquica; existe un manual de organización que regula las relaciones entre puestos; están
establecidos los procedimientos de promoción del personal a puestos superiores, teniendo
siempre en cuenta la experiencia y formación
El área debe tener y difundir su propio plan a corto, mediano y largo plazo. Se debe
comprobar que: El plan existe, es claro y realista; los recursos actuales y los que se planifica se
integrarán posteriormente son suficientes