Tipos de auditoría informática: Ciclo e implantación de un Sistema de información, hardware, software, redes, seguridad física y lógica.

1. LOGO
TIPOS DE AUDITORIA
INFORMÁTICA
HERNÁNDEZ HERNÁNDEZ , Enrique. Auditoría en
Informática. Un enfoque práctica, 2ª Edición,
México: Compañía Editorial Continental, 2000
Adm. De S. Eliana Marisol Monroy Matallana
U. Santo Tomás

2. AUDITORÍA DURANTE EL CICLO DE
DESARROLLO E IMPLANTACIÓN DE SISTEMAS
DE INFORMACIÓN
• OBJETIVOS:
• Asegurar que exista un proceso metodológico
durante el ciclo de implantación y desarrollo
• Confirmar que el personal conozca la
metodología
• Evaluar el nivel de estandarización que tiene la
metodología
• Exponer recomendaciones pertinentes
• Comprobar que exista un proceso de formación
formal.

3. ACTIVIDADES
•
•
•
•
•
•
Comparar proyectos de planeación
Concertar citas con el personal
Revisar formularios correspondientes
Efectuar entrevistas
Elaborar borrador de informe
Revisarlo con el encargado de la función de
auditoría
• Elaborar y documentar formalmente el informe

4. REQUISITOS
• Formalizar el apoyo de la alta dirección para
que se brinden las facilidades necesarias
• Conocimiento del auditor acerca de los
aspectos a evaluar
• Técnicas para obtener y evaluar la información
• MS PROJECT

5. LOGO
MANTENIMIENTO

6. •
•
•
•
Hardware
Software
Sistemas de información
Red de Comunicación

7. OBJETIVOS
• Comprobar la existencia de políticas y
procedimientos formales relativos al
mantenimiento preventivo y correctivo
• Ver que el mantenimiento efectuado a los
elementos mencionados garantice la
continuidad de las operaciones principales del
negocio.

8. • Asegurar que el mantenimiento sea más
preventivo que correctivo
• Verificar que existan funciones asignadas de
manera formal
• Establecer medidas que garanticen la
continuidad de las operaciones
• Desarrollo y registro de Actividades de
mantenimiento preventivo y correctivo

9. ACTIVIDADES
Verificar proyectos de planeación
Concertar citas
Revisar formularios
Clasificar y almacenar la información
Elaborar, revisar el informe
Documentar soluciones y recomendaciones

10. Algunos Aspectos a Evaluar
¿Existe una lista de hardware del negocio?
¿Se cuenta con manuales o procedimientos
para el manejo de equipos?
¿Existen registros de actividades de
mantenimiento?
¿Quién es el responsable de controlar la
actividades de mantenimiento?

11. Señale si existe algún sistemas que apoye la
administración del mantenimiento:
 Calendarios de Mantenimientos
 Niveles de servicio
 Costos del Mantenimiento
 Causas y Soluciones del mantenimiento
 Tareas, fechas y responsables.
Existe un procedimiento para la actualización del
hardware
Responsables de la ejecución seguimiento y
autorización del mantenimiento (Estadísticas)

12. LOGO
REDES
Y
TELECOMUNICIONES

13. Administración
Instalación
Operación y Seguridad
OBJETIVOS
Asegurar que exista una función formal de la
administración de redes y telecomunicaciones
Existan procedimientos y controles para:
Administración de redes, instalación, operación,
mantenimiento

14. Detectar el grado de confianza, satisfacción y
desempeño que brindan las redes al negocio
Establecer parámetros de medición del
desempeño
Determinar que existen suficientes controles y
procedimientos
Instalar solamente el software autorizado.

15. ALGUNOS ASPECTOS A EVALUAR
¿La empresa cuenta con redes locales?
¿Cuántos equipos y periféricos conforman la
red?
¿Algún personal externo interviene en las
funciones de administración de redes?
¿Quiénes son los responsables de la seguridad y
control para garantizar el uso adecuado y la
protección de los SI?
¿Se cuenta con manuales de operación de red?
¿La red posee controles de acceso a personas
no autorizadas?

16. ¿Existe una protección física adecuada a la
red?
¿Se contempla un seguro que proteja las
componentes de red?
Se han tomado en cuenta acciones o
consideraciones que ayuden al mejoramiento
de la red:





Evaluación Periódica
Capacitación
Respaldo de Información
Seguridad
Planes de Contingencia

17. LOGO
HARDWARE

18. Administración
Instalación
Operación y seguridad

19. OBJETIVOS
Garantizar que exista función formal para
administración, instalación, operación y
seguridad del hardware
Detectar grado de confianza, desempeño,
satisfacción,
Evaluar el grado de compatibilidad e integridad
entre computadores

20. ASPECTOS A EVALUAR
¿La empresa cuenta con PC, servidores,
estaciones de trabajo, minicomputadores?
¿Cuántos tipos de equipo tiene?
¿Qué garantiza que se está utilizando la
tecnología de hardware más adecuada para el
negocio?
¿las compras de los diferentes elementos del
equipo, así como su instalación se derivan de
un proceso de planeación y evaluación formal?

21. LOGO
SOFTWARE

22. Administración
Legalización e Instalación
Operación y seguridad

23. OBJETIVOS
Asegurar que exista una función formal para la
administración de software, la instalación,
operación, seguridad y actualización.
Detectar el grado de confianza, desempeño,
satisfacción del software existente
Asegurar un proceso formal para adquisición de
software
Evaluar el grado de soporte que se brinda a los
usuarios
Determinar si existen suficientes controles y
procedimientos

24. Evaluar acciones de
actualización de
software
Asegurar que solo se
encuentre instalado
software legalizado
Evaluar el grado de
integración
del
software

25. Aspectos a Evaluar
¿Qué software hay instalado y cuáles son las
versiones correspondientes?
Existe una administración formal del software
¿Cómo aseguran que el software fue comprado
legalmente?
¿Cómo se realiza el proceso de actualización
de software?

26. LOGO
SEGURIDAD

27. Hardware
Aplicaciones de Software
Plan de Contingencia y Recuperación

28. OBJETIVOS
Verificar que existan PPC relativos a la
seguridad dentro de la organización
Comprobar que el personal conozca los planes
y políticas de seguridad
Evaluar el grado de compromiso por parte de la
dirección y los usuarios
Asegurar la disponibilidad y continuidad de los
SI
Garantizar la confidencialidad, confiabilidad,
totalidad y exactitud de la información

29. Constatar que se brinde la seguridad necesaria
a los equipos
Comprobar los seguros para H, S, y SI
Confirmar la presencia de una función
responsable de las administración de la
seguridad en:
 Recursos humanos, materiales, financieros
relacionados con la tecnología informática
 Recursos tecnológicos

30. ASPECTOS POR EVALUAR
¿Hay políticas y procedimientos relativos al uso
y protección del hardware?
¿Existen controles de acceso a hardware?
¿Hay políticas de reemplazo de hardware?
 ¿La ubicación física de equipo de cómputo es
la más adecuada pensando en los diversos
desastres o contigencias que se pueden
presentar?
¿Hay procedimientos que garanticen la
continuidad?

31. ¿Existen procedimientos, personal o tecnología
encargada de salvaguardar los equipos?
¿Existen procedimientos y registros de salidas y
entradas de hardware?
 ¿Existen políticas relativas al uso y protección
del software?
¿Considera que tanto la dirección como el
personal están conscientes de que los recursos
relacionados con la informática representan
activos para la empresa?

32. ¿Existen planes de contingencia y de
recuperación de operaciones para desastres?
 ¿Si no tienen plan de contingencias, qué
acciones se han tomado para enfrentar las
eventualidades?