Download - Auditoria informatica
![Page 1: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/1.jpg)
Auditoría Informática
Definición, métodos, tipos
Planeación de la auditoria
![Page 2: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/2.jpg)
Definiciones y consideraciones
Exámen de las demostraciones y registros administrativos. (Holmes)
Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos
No es una evaluación para detectar errores y señalar fallas
Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organización
![Page 3: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/3.jpg)
Objetivos de la AIControl de la función informáticaEl análisis de la eficiencia de los sistemas
informáticosVerificación de la normativa general de la
empresa en el ámbito informáticoRevisión de la eficaz gestión de los
recursos materiales y humanos informáticos
![Page 4: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/4.jpg)
Éxito de la AIEstudiar hechos no opinionesInvestigar las causas no los efectosAtender razones no excusasNo confiar en la memoria, preguntar
constantementeCriticar objetivamente y a fondo todos los
informes y datos recabadosRegistrar TODO
![Page 5: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/5.jpg)
Tipos de AIInterna
Los recursos y personas pertenecen a la empresa auditada
Es remuneradaLa organización la controla
ExternaLos recursos y personas no pertenecen a la
empresa auditadaEs remuneradaDistancia entre auditores y auditados: mayor
objetividad
![Page 6: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/6.jpg)
Ventajas de la AII y la AUE
Tamaño de la organizaciónNiveles de confiabilidadAmbiente organizacionalPresupuestoActivos informáticos auditables
![Page 7: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/7.jpg)
Alcances de la AITener el claro el objetivoConocer el ambienteLimites del sistemaControl de integridad de registros
Para aplicaciones de registros comunesControl de validación de errores
Detectar y corregir erroresDeben figurar en el informe final
Lo incluyenteLo excluyente
![Page 8: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/8.jpg)
Síntomas de necesidadDescoordinación y desorganización
Concordancia con los objetivosDesvíos importantes del plan operativo anualAlta rotación de personal – Cambios grandes
Mala imagen – Insatisfacción de los usuariosSoftwareHardwarePlazos de entregas
![Page 9: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/9.jpg)
Síntomas de necesidad
Debilidades económicas-financierasIncremento de costosJustificación de inversiones informáticasDesviaciones presupuestariasCostos y plazos de nuevos proyectos
InseguridadLógicaFísicaConfidencialidadCarencia de planes de contingencias
![Page 10: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/10.jpg)
Fundamentos de la AISistemas informáticos OPERATIVOSControles técnicos generales
Software y hardware compatiblesSoftware de base y de aplicación compatibles
$$$ y ocioProductos comunes y compatibles (desarrollo
interno de productos de software)Controles técnicos específicos
Cuotas en disco
![Page 11: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/11.jpg)
Consideraciones en una AI?
Control de la entrada de datosCaptura, calendario, transmisión, integridad y calidad
de los datos. Debe especificase la norma/procedimiento.
Planificación y recepción de aplicacionesPor parte del área de desarrollo de sistemas
Centro de control y seguimiento de trabajosBatchTiempo Real
![Page 12: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/12.jpg)
La AI en del desarrollo de proyectos / aplicaciones
AnálisisDiseñoProgramaciónPruebaImplantaciónSeguimiento
![Page 13: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/13.jpg)
Consideraciones de la AI en el desarrollo de sistemas
Revisión de las metodologías utilizadasModularidad, ampliaciones y mantenimiento
Control interno de las aplicacionesPara casa fase del proceso
Satisfacción de usuariosControl de procesos y ejecuciones de
programas críticos
![Page 14: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/14.jpg)
La AI de Sistemas
SOActualización de versiónIncompatibilidades con el software de
aplicación
Otro software de BaseSoftware de TeleprocesoAdministración de Bases de DatosInvestigación y Desarrollo
![Page 15: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/15.jpg)
La AI de comunicaciones y redes
Redes nodalesConcentradoresMANWANWi-FiMultiplexoresLíneas telefónicas (proveedores externos)..entre otros aspectos
![Page 16: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/16.jpg)
Auditoría de la Seguridad Informática
FísicaEquiposInfraestructuraAmenazas naturales…etc
LógicaDatos, procesos, programas y usuarios
Planes de contingencia-desastresPiratería/hackersAtaques víricos
![Page 17: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/17.jpg)
Que debe tener?Elementos administrativosPolíticas de seguridadOrganización y división de responsabilidadesSeguridad física y contra catástrofesPracticas de seguridad del personalElementos técnicos y procedimientosSistemas de seguridad de equipos y de sistemas locales
y remotosAplicación de los sistemas de seguridad, incluyendo
datos y archivosRol de los auditores internos y externosPlanes de desastres y su prueba
![Page 18: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/18.jpg)
Estudio INICIAL de una AI
Constitución legal - AntecedentesOrganigramaDepartamentosRelaciones jerárquicas y funcionalesFlujos de información – CursogramasPlanos - Layout
![Page 19: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/19.jpg)
Entorno Operacional de una AI
Situación geográfica de los sistemasDonde están los centros de procesos de datosResponsables de cada CPDEstándares de trabajo de cada CPD
Arquitectura y configuración de Hardware y SoftwareSegún fichas de relevamiento adjuntas
Inventario de hardware y softwareComunicación y redes de datos
![Page 20: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/20.jpg)
Entrono de AplicacionesVolumen, antigüedad y complejidad de las
aplicacionesMetodología de diseñoDocumentaciónBases de Datos
CantidadComplejidad
![Page 21: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/21.jpg)
Tarea a exponer próxima clase por los grupos……
CRMRComputerResourceManagementReview
Evaluación de la gestión de los recursos informáticos por medio del management.¿Es lo mismo que la AI?
![Page 22: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/22.jpg)
CRMREvaluación de la gestión de recursos
informáticosEs una evaluación de la eficiencia de utilización
de los recursos por medio de la administración.No es una AIProporciona soluciones rápidas a problemas
concretos y evidentesAplicable a problemas de deficiencia
organizativas y gerenciales.
![Page 23: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/23.jpg)
CRMR – Áreas de aplicación
Gestión de DatosControl de operacionesControl y utilización de recursos
materiales y humanosInterfaces y relaciones con usuariosPlanificaciónOrganización y administración
![Page 24: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/24.jpg)
CRMR – Objetivo
Evaluar el grado de bondad o ineficiencia de los procedimientos y métodos
de gestión que se observan en un CPD
![Page 25: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/25.jpg)
CRMR – Alcances
Reducidos: señalar áreas de actuación con potencialidad inmediata de obtención de beneficios
Medio: establece conclusiones y recomendaciones
Amplia: incluye planes de accion en concordancia con las recomendaciones realizadas
![Page 26: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/26.jpg)
CRMR – Que necesito?
Datos del mantenimiento preventivo del hardware Informe de anomalías de los sistemas Procedimientos de emergencia Monitoreo de sistemas Rendimiento de sistemas Mantenimiento de librería de programas Gestión de espacio en disco Documentación de entrega de aplicaciones Utilización de CPU, canales y datos Datos de paginación de sistemas Volumen total y libre de almacenamiento Ocupación media de disco Manuales de procedimiento ..entre las mas importantes
![Page 27: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/27.jpg)
CRMR – Mas información?
http://www.msc-inc.net/Documents/CRMR/CRMR.htm
![Page 28: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/28.jpg)
Planeación de la AI
Permite dimensional el tamaño y las características del área dentro de la organización a auditar
SistemasOrganizaciónEquipos
![Page 29: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/29.jpg)
Herramientas a utilizar
EntrevistasVisitas a la organizaciónEstudio de documentación y
antecedentesCuestionariosEncuestasAporte de la clase..
![Page 30: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/30.jpg)
Entrevista a USUARIOS
Determinar el universoDefinir el objetivo
Relevamiento de datosComprobación de datos
Diseñarlas – Ver diseños apunte
![Page 31: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/31.jpg)
Planeación de la AI
Estudio PreliminarAdministraciónSistemas
PersonalCapacitado – practica profesionalValores morales y éticosEficientePensar en los roles!!!Multidisciplinario
Solo técnicos …NO..Porque?
![Page 32: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/32.jpg)
Evaluación de sistemas
Sistemas aislados vs. entrelazadosPlan estratégico de sistemas
Cuestionario adjunto (practica)…
![Page 33: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/33.jpg)
Evaluación del AnálisisPolíticas, procedimientos y normasOrigen/fuente de la aplicación
Plan estratégicoUsuario Inventario de sistemas
A desarrollarEn desarrolloDesarrollada
• Modificaciones, con problemas, etc
Documentación y registros usados en la elaboración del sistema
![Page 34: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/34.jpg)
Evaluación del diseño lógico
Analizar las especificaciones del sistemaQue debe hacer?Como, cuando, en que orden, etc.
Analizar la participaciónUsuarioAuditoria interna (área)
Comparar lo entregado como documento y lo que el sistema realmente hace
![Page 35: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/35.jpg)
Evaluación del desarrollo del sistema
Se auditanProgramasDiseño de programasLenguaje utilizadoInterconexión entre programas
Red
Características del hardware utilizado
![Page 36: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/36.jpg)
La administración de proyectos
Tiene como finalidad el control del avance de lo sistemas en una organización
Requiere de líder de proyectos Debe confeccionarse un plan y su seguimiento
respectivoActividades/RecursosMetasTiempos/prioridadesCostosPersonal involucrado/Gestión de desempeño
![Page 37: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/37.jpg)
Control de Diseño de sistemas y programas
Acorde a las especificaciones funcionales desde:Análisis
AmbigüedadesOmisiones
DiseñoErroresDebilidadesOmisiones
ProgramaciónClaridadModularidadVerificación
![Page 38: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/38.jpg)
Instructivos de operación
DiagramasFlujoE/S
Diseño de formulariosMensajes de erroresParámetrosFormulas
![Page 39: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/39.jpg)
PruebasModularesDe sistemaDe aceptaciónParalelas
![Page 40: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/40.jpg)
CONTROLESDe datos
FuenteVolumenFrecuenciaAccesoCifras de control
De operaciónCalidad e integridad de la documentación para el
proceso en una computadoraProcedimientos e instructivos formales de operaciónEstandarización y cumplimiento de los procedimientos
![Page 41: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/41.jpg)
CONTROLESDe salidaDe medios de almacenamiento masivo
Acceso a los mediosDocumentación de los soportesCopias de seguridad…ver cuestionarios en apunte
De MantenimientoTotal : Correctivo y preventivoPor demanda in situEn banco
![Page 42: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/42.jpg)
Orden en un CPDReglas
OrdenCuidadoLugares físicos de almacenamiento de mediosFuncionalidad de muebles….ver cuestionario apunte
![Page 43: Auditoria informatica](https://reader035.vdocumento.com/reader035/viewer/2022081422/5573ff80d8b42a06368b4ab0/html5/thumbnails/43.jpg)
Evaluación de la configuración del CPD
Evaluar posibles cambios de hardwareModificación de equipos
Reducir costos o tiempos de proceso
Utilización de periféricos