Este documento presenta una introducción general a la auditoría informática, incluyendo sus definiciones, objetivos, tipos, métodos y consideraciones clave. Explica los conceptos de auditoría interna y externa, y destaca la importancia de planificar adecuadamente una auditoría para evaluar aspectos como los sistemas operativos, controles, desarrollo de aplicaciones y seguridad informática de una organización.
2. Definiciones y consideraciones
Exámen de las demostraciones y
registros administrativos. (Holmes)
Observa la exactitud, integridad y
autenticidad de tales demostraciones,
registros y documentos
No es una evaluación para detectar
errores y señalar fallas
Persigue el fin de evaluar y mejorar la
eficacia/eficiencia de una organización
3. Objetivos de la AI
Control de la función informática
El análisis de la eficiencia de los sistemas
informáticos
Verificación de la normativa general de la
empresa en el ámbito informático
Revisión de la eficaz gestión de los
recursos materiales y humanos
informáticos
4. Éxito de la AI
Estudiar hechos no opiniones
Investigar las causas no los efectos
Atender razones no excusas
No confiar en la memoria, preguntar
constantemente
Criticar objetivamente y a fondo todos los
informes y datos recabados
Registrar TODO
5. Tipos de AI
Interna
Los recursos y personas pertenecen a la empresa
auditada
Es remunerada
La organización la controla
Externa
Los recursos y personas no pertenecen a la
empresa auditada
Es remunerada
Distancia entre auditores y auditados: mayor
objetividad
6. Ventajas de la AII y la AUE
Tamaño de la organización
Niveles de confiabilidad
Ambiente organizacional
Presupuesto
Activos informáticos auditables
7. Alcances de la AI
Tener el claro el objetivo
Conocer el ambiente
Limites del sistema
Control de integridad de registros
Para aplicaciones de registros comunes
Control de validación de errores
Detectar y corregir errores
Deben figurar en el informe final
Lo incluyente
Lo excluyente
8. Síntomas de necesidad
Descoordinación y desorganización
Concordancia con los objetivos
Desvíos importantes del plan operativo anual
Alta rotación de personal – Cambios grandes
Mala imagen – Insatisfacción de los usuarios
Software
Hardware
Plazos de entregas
9. Síntomas de necesidad
Debilidades económicas-financieras
Incremento de costos
Justificación de inversiones informáticas
Desviaciones presupuestarias
Costos y plazos de nuevos proyectos
Inseguridad
Lógica
Física
Confidencialidad
Carencia de planes de contingencias
10. Fundamentos de la AI
Sistemas informáticos OPERATIVOS
Controles técnicos generales
Software y hardware compatibles
Software de base y de aplicación compatibles
$$$ y ocio
Productos comunes y compatibles (desarrollo
interno de productos de software)
Controles técnicos específicos
Cuotas en disco
11. Consideraciones en una AI?
Control de la entrada de datos
Captura, calendario, transmisión, integridad y calidad
de los datos. Debe especificase la
norma/procedimiento.
Planificación y recepción de aplicaciones
Por parte del área de desarrollo de sistemas
Centro de control y seguimiento de trabajos
Batch
Tiempo Real
12. La AI en del desarrollo de proyectos /
aplicaciones
Análisis
Diseño
Programación
Prueba
Implantación
Seguimiento
13. Consideraciones de la AI en el desarrollo
de sistemas
Revisión de las metodologías utilizadas
Modularidad, ampliaciones y mantenimiento
Control interno de las aplicaciones
Para casa fase del proceso
Satisfacción de usuarios
Control de procesos y ejecuciones de
programas críticos
14. La AI de Sistemas
SO
Actualización de versión
Incompatibilidades con el software de
aplicación
Otro software de Base
Software de Teleproceso
Administración de Bases de Datos
Investigación y Desarrollo
15. La AI de comunicaciones y redes
Redes nodales
Concentradores
MAN
WAN
Wi-Fi
Multiplexores
Líneas telefónicas (proveedores externos)
..entre otros aspectos
16. Auditoría de la Seguridad Informática
Física
Equipos
Infraestructura
Amenazas naturales…etc
Lógica
Datos, procesos, programas y usuarios
Planes de contingencia-desastres
Piratería/hackers
Ataques víricos
17. Que debe tener?
Elementos administrativos
Políticas de seguridad
Organización y división de responsabilidades
Seguridad física y contra catástrofes
Practicas de seguridad del personal
Elementos técnicos y procedimientos
Sistemas de seguridad de equipos y de sistemas locales
y remotos
Aplicación de los sistemas de seguridad, incluyendo
datos y archivos
Rol de los auditores internos y externos
Planes de desastres y su prueba
18. Estudio INICIAL de una AI
Constitución legal - Antecedentes
Organigrama
Departamentos
Relaciones jerárquicas y funcionales
Flujos de información – Cursogramas
Planos - Layout
19. Entorno Operacional de una AI
Situación geográfica de los sistemas
Donde están los centros de procesos de datos
Responsables de cada CPD
Estándares de trabajo de cada CPD
Arquitectura y configuración de Hardware
y Software
Según fichas de relevamiento adjuntas
Inventario de hardware y software
Comunicación y redes de datos
20. Entrono de Aplicaciones
Volumen, antigüedad y complejidad de
las aplicaciones
Metodología de diseño
Documentación
Bases de Datos
Cantidad
Complejidad
21. Tarea a exponer próxima clase por los
grupos……
CRMR
Computer
Resource
Management
Review
Evaluación de la gestión de los recursos
informáticos por medio del management.
¿Es lo mismo que la AI?
22. CRMR
Evaluación de la gestión de recursos
informáticos
Es una evaluación de la eficiencia de utilización
de los recursos por medio de la administración.
No es una AI
Proporciona soluciones rápidas a problemas
concretos y evidentes
Aplicable a problemas de deficiencia
organizativas y gerenciales.
23. CRMR – Áreas de aplicación
Gestión de Datos
Control de operaciones
Control y utilización de recursos
materiales y humanos
Interfaces y relaciones con usuarios
Planificación
Organización y administración
24. CRMR – Objetivo
Evaluar el grado de
bondad o ineficiencia de los
procedimientos y métodos
de gestión que se observan
en un CPD
25. CRMR – Alcances
Reducidos: señalar áreas de actuación
con potencialidad inmediata de obtención
de beneficios
Medio: establece conclusiones y
recomendaciones
Amplia: incluye planes de accion en
concordancia con las recomendaciones
realizadas
26. CRMR – Que necesito?
Datos del mantenimiento preventivo del hardware
Informe de anomalías de los sistemas
Procedimientos de emergencia
Monitoreo de sistemas
Rendimiento de sistemas
Mantenimiento de librería de programas
Gestión de espacio en disco
Documentación de entrega de aplicaciones
Utilización de CPU, canales y datos
Datos de paginación de sistemas
Volumen total y libre de almacenamiento
Ocupación media de disco
Manuales de procedimiento
..entre las mas importantes
27. CRMR – Mas información?
http://www.msc-
inc.net/Documents/CRMR/CRMR.htm
28. Planeación de la AI
Permite dimensional el tamaño y las
características del área dentro de la
organización a auditar
Sistemas
Organización
Equipos
33. Evaluación del Análisis
Políticas, procedimientos y normas
Origen/fuente de la aplicación
Plan estratégico
Usuario
Inventario de sistemas
A desarrollar
En desarrollo
Desarrollada
• Modificaciones, con problemas, etc
Documentación y registros usados en la
elaboración del sistema
34. Evaluación del diseño lógico
Analizar las especificaciones del sistema
Que debe hacer?
Como, cuando, en que orden, etc.
Analizar la participación
Usuario
Auditoria interna (área)
Comparar lo entregado como documento
y lo que el sistema realmente hace
35. Evaluación del desarrollo del sistema
Se auditan
Programas
Diseño de programas
Lenguaje utilizado
Interconexión entre programas
Red
Características del hardware utilizado
36. La administración de proyectos
Tiene como finalidad el control del avance de lo
sistemas en una organización
Requiere de líder de proyectos
Debe confeccionarse un plan y su seguimiento
respectivo
Actividades/Recursos
Metas
Tiempos/prioridades
Costos
Personal involucrado/Gestión de desempeño
37. Control de Diseño de sistemas y
programas
Acorde a las especificaciones funcionales
desde:
Análisis
Ambigüedades
Omisiones
Diseño
Errores
Debilidades
Omisiones
Programación
Claridad
Modularidad
Verificación
40. CONTROLES
De datos
Fuente
Volumen
Frecuencia
Acceso
Cifras de control
De operación
Calidad e integridad de la documentación para el
proceso en una computadora
Procedimientos e instructivos formales de operación
Estandarización y cumplimiento de los procedimientos
41. CONTROLES
De salida
De medios de almacenamiento masivo
Acceso a los medios
Documentación de los soportes
Copias de seguridad
…ver cuestionarios en apunte
De Mantenimiento
Total : Correctivo y preventivo
Por demanda in situ
En banco
42. Orden en un CPD
Reglas
Orden
Cuidado
Lugares físicos de almacenamiento de medios
Funcionalidad de muebles
….ver cuestionario apunte
43. Evaluación de la configuración del CPD
Evaluar posibles cambios de hardware
Modificación de equipos
Reducir costos o tiempos de proceso
Utilización de periféricos