AUDITORIA   FÍSICA      AUDITORIA   DE LA OFIMÁTICA      AUDITORIA   DE LA DIRECCIÓN      AUDITORIA   DE LA EXPLOTACIÓN   ...
Garantiza la integridad de los activos humanos, lógicos y material de unCPD.No están claras los límites , dominios y respo...
AntesEl nivel adecuado de seguridad física , o grado deseguridad, es un conjunto de acciones utilizadas para evitarel fall...
DuranteDesastre: es cualquier evento , que cuando ocurre, tiene la capacidadde interrumpir e normal proceso de una empresa...
Durante  *Designar , entre los distintos tipos existentes, un centro  alternativo de proceso de datos.  *Asegurar la capac...
Después*Errores y omisiones*Cobertura de fidelidad*Transporte de medios*Contratos con proveedores y de mantenimiento
Edificio :  Debe encargarse a peritos especializadosLas áreas en que el auditor chequea directamente :  Organigrama de la ...
Centro de proceso de datos e instalaciones   * Entorno en donde se encuentra el CPD   * Sala de Host   * Sala de operadore...
Debieran estar accesibles:  * Políticas , normas y planes de seguridad  * Auditorías anteriores, generales o parciales  * ...
Técnicas:   * Observación de las instalaciones, sistemas, cumplimiento de normas y     procedimientos, etc. ( tanto de esp...
Considerando la metodología de ISACA (Information SystemsAudit and Control Association)  * Fase 1 Alcance de la Auditoría ...
Sistema informatizado que genera, procesa, almacena , recupera, comunicay presenta datos relacionados con el funcionamient...
Escritorio Virtual:    Un único panel representado por la pantalla del computador, que sustituya la mesa    de trabajo tra...
* Adquisición poco planificada* Desarrollos ineficaces e ineficientes* Falta de conciencia de los usuarios acerca de la se...
Determinar si el inventario ofimático refleja conexactitud los equipos y aplicaciones existentes en laorganización:  Mecan...
Determinar y evaluar la política de mantenimiento definida en laorganización:   Revisión de contratos y si incluyen a todo...
Compatibilidad e integración en el entorno operativoDeterminar si los usuarios cuentan con suficiente formación y la docum...
Determinar si existen garantías para proteger los acceso no autorizados a lainformación reservada de la empresa y la integ...
Auditoría Informática de Explotación:Auditoría Informática de Explotación:La Explotación Informática se ocupa de producir ...
Planificación y Recepción de Aplicaciones:Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo,verif...
* Las  Aplicaciones que son Batch son Aplicaciones que cargan mucha información durante el día y durante la noche se corre...
Operación. Salas de Ordenadores:Se intentarán analizar las relaciones personales y la coherencia decargos y salarios, así ...
Centro de Control de Red y Centro de Diagnosis:El Centro de Control de Red suele ubicarse en el área de producción de Expl...
Satisfaccióndeusuarios:Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarsefracasada si no sirve...
AUDITORIA DE DIRECCIONSiempre en una organización se dice que esta es un reflejo de las características de sudirección, lo...
Principales areas de la auditoria informatica
Principales areas de la auditoria informatica
Próxima SlideShare
Cargando en…5
×

Principales areas de la auditoria informatica

7.203 visualizaciones

Publicado el

Principales áreas de la auditoría informática

Publicado en: Educación
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
7.203
En SlideShare
0
De insertados
0
Número de insertados
7
Acciones
Compartido
0
Descargas
150
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Principales areas de la auditoria informatica

  1. 1. AUDITORIA FÍSICA AUDITORIA DE LA OFIMÁTICA AUDITORIA DE LA DIRECCIÓN AUDITORIA DE LA EXPLOTACIÓN AUDITORIA DEL DESARROLLOCarlos Ledesma
  2. 2. Garantiza la integridad de los activos humanos, lógicos y material de unCPD.No están claras los límites , dominios y responsabilidades de los tres tiposde seguridad que a los usuarios les interesa: seguridad lógica, seguridadfísica y seguridad de las comunicacionesSe deben tener medidas para atender los riesgos de fallos, local o general.Medidas…Antes Obtener y mantener un nivel adecuado de seguridad física sobre los activosDurante Ejecutar un plan de contingencia adecuadoDespués Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo.
  3. 3. AntesEl nivel adecuado de seguridad física , o grado deseguridad, es un conjunto de acciones utilizadas para evitarel fallo, o aminorar las consecuencias.Es un concepto general , no solo informático, en las que laspersonas hagan uso particular o profesional de los entornosfísicos. Ubicación del edificio Ubicación del CPD Compartimentación Elementos de construcción Potencia eléctrica Sistemas contra incendios Control de accesos Selección del personal Seguridad de los medios Medidas de protección Duplicación de los medios
  4. 4. DuranteDesastre: es cualquier evento , que cuando ocurre, tiene la capacidadde interrumpir e normal proceso de una empresa.Se debe contar con los medios para afrontarlo cuando éste ocurra.Los medios quedan definidos en el Plan de recuperación de desastres,junto con el centro alternativo de proceso de datos, constituyen el Plande Contingencia.Plan de contingencia inexcusablemente debe: Realizar un análisis de riesgos de sistemas críticos Establecer un período crítico de recuperación Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso. Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos Establecer objetivos de recuperación que determinen el período de tiempo (horas, dias , semanas) entre la declaración del desastre y el momento en que el centro alternativo puede procesar las aplicaciones críticas.
  5. 5. Durante *Designar , entre los distintos tipos existentes, un centro alternativo de proceso de datos. *Asegurar la capacidad de las comunicaciones *Asegurar la capacidad de los servicios de Back-upDespués*De la gama de seguros pueden darse: * Centro de proceso y equipamiento * Reconstrucción de medios de software * Gastos extra ( continuidad de las operaciones y permite compensar la ejecución del plan de contingencia) * Interrupción del negocio ( cubre pérdidas de beneficios netos causados por la caida de sistemas) * Documentos y registros valiosos
  6. 6. Después*Errores y omisiones*Cobertura de fidelidad*Transporte de medios*Contratos con proveedores y de mantenimiento
  7. 7. Edificio : Debe encargarse a peritos especializadosLas áreas en que el auditor chequea directamente : Organigrama de la empresa Dependencias orgánicas, funcionales y jeráraquicas. Separación de funciones y rotación del personal Da la primera y más amplia visión del Centro de Proceso Auditoría Interna Personal, planes de auditoria, historia de auditorias físicas Administración de la seguridad Director o responsable de la seguridad integral Responsable de la seguridad informática Administradores de redes Administradores de Base de datos Responsables de la seguridad activa y pasiva del entorno físico Normas, procedimientos y planes existentes
  8. 8. Centro de proceso de datos e instalaciones * Entorno en donde se encuentra el CPD * Sala de Host * Sala de operadores * Sala de impresoras * Cámara acorazada * Oficinas * Almacenes * Instalaciones eléctricas * Aire acondicionadoEquipos y comunicaciones * Host, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones.Seguridad física del personal * Accesos seguros * Salidas seguras * Medios y rutas de evacuación, extinción de incendios, sistemas de bloqueos de puertas y ventanas * Normas y políticas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal
  9. 9. Debieran estar accesibles: * Políticas , normas y planes de seguridad * Auditorías anteriores, generales o parciales * Contratos de seguros, de proveedores y de mantenimiento * Actas e informes de técnicos y consultores * Informes de accesos y visitas * Informes sobre pruebas de evacuación * Políticas del personal * Inventarios de soportes ( cintoteca , back-up, procedimientos de archivos, controles de salida y recuperación de soporte, control de copias, etc.)
  10. 10. Técnicas: * Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos, etc. ( tanto de espectador como actor) * Revisión analítica de: * Documentación sobre construcción y preinstalaciones * Documentación sobre seguridad física * Políticas y normas de actividad de sala * Normas y procedimientos sobre seguridad física de los datos * Contratos de seguros y de mantenimiento * Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio) * Consultas a técnicos y peritos que formen parte de la plantilla o independientesHerramientas: * Cuaderno de campo/ grabadora de audio * Máquina fotográfica / cámara de video * Su uso debe ser discreto y con autorización
  11. 11. Considerando la metodología de ISACA (Information SystemsAudit and Control Association) * Fase 1 Alcance de la Auditoría * Fase 2 Adquisición de Información general * Fase 3 Administración y Planificación * Fase 4 Plan de auditoría * Fase 5 Resultados de las Pruebas * Fase 6 Conclusiones y Comentarios * Fase 7 Borrador del Informe * Fase 8 Discusión con los Responsables de Area * Fase 9 Informe Final * Informe – anexo al informe – carpeta de evidencias * Fase 10 Seguimiento de las modificaciones acordadas
  12. 12. Sistema informatizado que genera, procesa, almacena , recupera, comunicay presenta datos relacionados con el funcionamiento de la oficina [Schill]Ejemplos: aplicaciones específicas ara la gestión de tareas como Hojas de cálculo o Procesadores de texto, Herramientas para la gestión de documentos, como control de expedientes o sistemas de almacenamiento óptico de información, Agendas y bases de datos personales; Sistemas de trabajo en grupo como el correo electrónico o el control de flujo de trabajo;La evolución ha sido tal que hoy en día , parece incuestionable que losproductos desarrollados en plataformas microinformaticas ofrecenprestaciones y una relación costo/beneficio muy superiores a lassoluciones sobre computadores centralizados.Este desarrollo de sistemas ofimáticos ha mantenido dos paradigmasfundamentales: El escritorio virtual El trabajo cooperativo (CSCW, computed Supported Cooperative Work)
  13. 13. Escritorio Virtual: Un único panel representado por la pantalla del computador, que sustituya la mesa de trabajo tradicional, y donde se encuentren disponibles todas las herramientas necesarias para desarrollar las actividades del oficinista. La interfaz debe parecer natural al usuario y debe ser fácil de aprender y utilizar.El Trabajo Cooperativo: Puede considerarse como una extensión del concepto de integración de aplicaciones. Según Kraemer es como una multiplicidad de actividades coordinadas, desarrolladas por un conjunto de participantes y soportadas por un sistema informático. Lo anterior implica permitir intercambiar la información necesaria en los diversos procesos de la organización y/o con otras organizaciones. Controles de auditoríaExisten dos características peculiares de los entornos ofimáticos: La distribución de las aplicaciones por los diferentes departamentos de la organización en lugar de encontrarse en una única ubicación centralizada; y El traslado de la responsabilidad sobre ciertos controles de los sistemas de información a usuarios finales no dedicados profesionalmente a la informática, que pueden no comprender de un modo adecuado la importancia de los mismos y la forma de realizarlos
  14. 14. * Adquisición poco planificada* Desarrollos ineficaces e ineficientes* Falta de conciencia de los usuarios acerca de la seguridad de la información* Utilización de copias ilegales de aplicaciones* Procedimientos de copias de seguridad deficientes* Escasa formación del personal* Ausencia de documentación suficienteLos controlesSe presentan agrupados siguiendo criterios relacionados con aspectos de economía, eficacia y eficiencia; seguridad y condicionantes legales, son los suficientemente generales para servir de base en la elaboración del guion de trabajo de la labor del equipo auditor
  15. 15. Determinar si el inventario ofimático refleja conexactitud los equipos y aplicaciones existentes en laorganización: Mecanismos para garantizar que los equipos adquiridos son inventariados. Realizar conciliación Identificación de diferenciasDeterminar y evaluar el procedimiento deadquisiciones de equipos y aplicaciones Políticas Revisión cumplimiento de políticas Consideración de otros mecanismos que optimicen el proceso actual de adquisición
  16. 16. Determinar y evaluar la política de mantenimiento definida en laorganización: Revisión de contratos y si incluyen a todo el inventario Garantías Registro de incidencias producidas Tiempo de atención de las incidencias y mecanismosEvaluar la calidad de las aplicaciones del entorno ofimático desarrolladapor personal de la propia organización: Responsables del desarrollo Metodologías y test de pruebas Ambiente de desarrollo vs ambiente explotación Reporte de incidencias y seguimientoEvaluar la corrección del procedimiento existente para la realización de loscambios de versiones y aplicaciones: Procedimientos y mecanismos formales para la autorización, aprobación, adquisición de nuevas aplicaciones y cambios de versiones Comprobación del cumplimiento sobre lo instalado en usuarios
  17. 17. Compatibilidad e integración en el entorno operativoDeterminar si los usuarios cuentan con suficiente formación y la documentaciónde apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente : Plan de formación y/o capacitación Utilización real de las últimas versiones en los usuariosDeterminar si el sistema existente se ajusta a las necesidades reales de laorganización: Obsolescencia de equipos Uso de equipos y labores sobre éstos Detección de nuevas necesidades
  18. 18. Determinar si existen garantías para proteger los acceso no autorizados a lainformación reservada de la empresa y la integridad de la mismaDeterminar si el procedimiento de generación de las copias de respaldo es fiable ygarantiza la recuperación de la información en caso de necesidadDeterminar si está garantizado el funcionamiento ininterrumpido de aquellasaplicaciones cuya caída podría suponer pérdidas de integridad de la información yaplicacionesDeterminar el grado de exposición ante la posibilidad de intrusión de virusDeterminar si en el entorno ofimático se producen situaciones que puedan suponerinfracciones a lo dispuesto por ley de protección de datos de carácter personalDeterminar si en el entorno ofimático se producen situaciones que puedan suponerinfracciones a los dispuesto por la ley sobre propiedad intelectual.
  19. 19. Auditoría Informática de Explotación:Auditoría Informática de Explotación:La Explotación Informática se ocupa de producir resultados informáticos de todotipo: listados impresos, ficheros soportados magnéticamente para otrosinformáticos, ordenes automatizadas para lanzar o modificar procesos industriales,etc.Para realizar la Explotación Informática se dispone de una materia prima, los Datos,que es necesario transformar, y que se someten previamente a controles deintegridad y calidadAuditar Explotación consiste en auditar las secciones que la componen y susinterrelaciones. La Explotación Informática se divide en tres grandes áreas:Planificación, Producción y Soporte Técnico, en la que cada cual tiene variosgrupos.Control de Entrada de Datos:Se analizará la captura de la información en soporte compatible con los Sistemas,el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; lacorrecta transmisión de datos entre entornos diferentes. Se verificará que loscontroles de integridad y calidad de datos se realizan de acuerdo a Norma.
  20. 20. Planificación y Recepción de Aplicaciones:Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo,verificando su cumplimiento y su calidad de interlocutor único. Deberán realizarsemuestreos selectivos de la Documentación de las Aplicaciones explotadas. Seinquirirá sobre la anticipación de contactos con Desarrollo para la planificación amedio y largo plazo.Centro de Control y Seguimiento de Trabajos:Se analizará cómo se prepara, se lanza y se sigue la producción diaria.Básicamente, la explotación Informática ejecuta procesos por cadenas o lotessucesivos (Batch*), o en tiempo real (Tiempo Real*). Mientras que lasAplicaciones de Teleproceso están permanentemente activas y la función deExplotación se limita a vigilar y recuperar incidencias, el trabajo Batch absorbeuna buena parte de los efectivos de Explotación. En muchos Centros de Procesode Datos, éste órgano recibe el nombre de Centro de Control de Batch. Estegrupo determina el éxito de la explotación, en cuanto que es uno de los factoresmás importantes en el mantenimiento de la producción.
  21. 21. * Las Aplicaciones que son Batch son Aplicaciones que cargan mucha información durante el día y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la información, calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta información durante el día, pero todavía no procesa nada. Es solamente un tema de "Data Entry" que recolecta información, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al día siguiente.* Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la información correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas que tienen que responder en Tiempo Real.
  22. 22. Operación. Salas de Ordenadores:Se intentarán analizar las relaciones personales y la coherencia decargos y salarios, así como la equidad en la asignación de turnos detrabajo. Se verificará la existencia de un responsable de Sala en cadaturno de trabajo. Se analizará el grado de automatización de comandos,se verificara la existencia y grado de uso de los Manuales de Operación.Se analizará no solo la existencia de planes de formación, sino elcumplimiento de los mismos y el tiempo transcurrido para cadaOperador desde el último Curso recibido. Se estudiarán los montajesdiarios y por horas de cintas o cartuchos, así como los tiempostranscurridos entre la petición de montaje por parte del Sistema hasta elmontaje real. Se verificarán las líneas de papel impresas diarias y porhoras, así como la manipulación de papel que comportan.
  23. 23. Centro de Control de Red y Centro de Diagnosis:El Centro de Control de Red suele ubicarse en el área de producción de Explotación.Sus funciones se refieren exclusivamente al ámbito de las Comunicaciones, estandomuy relacionado con la organización de Software de Comunicaciones de Técnicas deSistemas. Debe analizarse la fluidez de esa relación y el grado de coordinación entreambos. Se verificará la existencia de un punto focal único, desde el cual seanperceptibles todos las líneas asociadas al Sistema. El Centro de Diagnosis es el ente endonde se atienden las llamadas de los usuarios-clientes que han sufrido averías oincidencias, tanto de Software como de Hardware. El Centro de Diagnosis estáespecialmente indicado para informáticos grandes y con usuarios dispersos en unamplio territorio. Es uno de los elementos que más contribuyen a configurar la imagende la Informática de la empresa. Debe ser auditada desde esta perspectiva, desde lasensibilidad del usuario sobre el servicio que se le dispone. No basta con comprobar laeficiencia técnica del Centro, es necesario analizarlo simultáneamente en el ámbito deUsuario.
  24. 24. Satisfaccióndeusuarios:Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarsefracasada si no sirve a los intereses del usuario que la solicitó .Control de Procesos y Ejecuciones de Programas Críticos :Se ha decomprobar la correspondencia biunívoca y exclusiva entre el programacodificado y su compilación. Si los programas fuente y los programamódulo no coincidieran podría provocar graves y altos costos demantenimiento, hasta fraudes, pasando por acciones desabotaje,espionaje industrial informativo, etc.
  25. 25. AUDITORIA DE DIRECCIONSiempre en una organización se dice que esta es un reflejo de las características de sudirección, los modos y maneras de actuar de aquella están influenciadas por lafilosofía y personalidad del director.Acciones de un Director• Planificar. (este acorde al plan estratégico (conocimiento a evaluar acciones arealizar)).- Lectura y análisis de actas, acuerdos, etc.- Lectura y análisis de informes gerenciales.- Entrevistas con el mismo director Del departamento y con los directores de otrasáreas.• Organizar.• Controlar.• Coordinar.Las enormes sumas que las empresas dedican a la tecnología de la información y de ladependencia de estás con los procesos de la organización hacen necesaria unaevaluación independiente de la función que la gestiona (dirige).

×