El documento trata sobre las principales áreas de la auditoría informática, incluyendo la auditoría física, ofimática, de la dirección, de la explotación y del desarrollo. Describe los objetivos y actividades clave de cada área de auditoría así como las fuentes de información y los controles relevantes.
1. Principales áreas de la Auditoría
Informática
Nombre: MERY LOPEZ
SEMESTRE : VI SISTEMAS
AÑO: 2013
2. La Auditoría Física
La seguridad física
garantiza la integridad de
los activos humanos,
lógicos y materiales en
un centro de
procesamiento de
información. Existen tres
momentos para
responder ante una falla
en esta área,
relacionados con la
cronología de la misma
3. Fuentes de la auditoría
física
O Políticas, normas y planes sobre seguridad
O Auditorías anteriores
O Contratos de Seguros, de Proveedores y de
Mantenimiento
O Entrevistas con el personal de
seguridad, informático y de otras actividades
(limpieza y mantenimiento…)
O Actas e informes de técnicos y consultores
O Plan de contingencia y valoración de las
pruebas
O Informes sobre accesos y visitas
O Informes sobre pruebas de evacuación ante
diferentes tipos de amenaza
O Informes sobre evacuaciones reales
O Políticas de personal
O Inventarios de soportes (cintoteca, back-
up, procedimientos de archivo, control de
copias, etc.)
4. La Auditoría Ofimática
La Ofimática se define como los programas o aplicaciones
que en conjunto sirven de herramienta para
generar, procesar, almacenar, recuperar, comunicar y
presentar la información en un lugar de trabajo, así como
de forma doméstica
O Usualmente estas herramientas de ofimática incluyen:
O Aplicaciones de productividad personal
O Administradores de Bases de Datos
O Hojas de cálculo
O Procesadores de Textos
O Presentadores de ideas
O Gráficos
5. Economía, eficacia y eficiencia
O aplicaciones existentes en la organización
O Determinar y evaluar el procedimiento de
adquisiciones de equipos y aplicaciones
O Determinar y evaluar la política de
mantenimiento definida en la organización
O Evaluar la calidad de las aplicaciones del
entorno ofimático desarrollada por el personal
de la propia organización
O Evaluar la corrección del procedimiento
existente para la realización de los cambios de
versiones y aplicaciones
6. La Auditoría de la Dirección
De manera general, algunas de
las actividades básicas de la
dirección son
planificar, organizar, coordinar y
controlar
Planificar
Trata de prever la utilización de
las TI’s e la empresa. Existen
varios tipos de planes
informáticos, siendo el principal
el Plan Estratégico de Sistemas
de Información; de este plan se
derivan otros, tales como el Plan
Operativo Anual, de Dirección
Tecnológica, de Arquitectura de
la Información y de
Recuperación de desastres
7. La Auditoría de la
Explotación
El nivel de competencia que existe entre las empresas les obliga a
tomar decisiones rápidas y acertadas, por lo que el funcionamiento
adecuado y la continua actualización de los SI son muy necesarios.
Los recursos de los SI se han de utilizar de forma que permitan la
eficacia y eficiencia de la empresa, además de que deben asegurar la
confidencialidad de sus datos.
O Para hacer el seguimiento y comprobar que el SI está
actuando como debe, éste habrá de disponer de un
control interno que prevenga los eventos no deseados, o
en su defecto que los detecte y los corrija.
O Para esta área de la auditoría es posible seguir la guía
de clasificación de los controles que hace el proyecto
CobiT (es un marco reconocido internacionalmente, que
permite la estandarización de criterio relacionado con
controles sobre TI
8. Clasificación de los controles de las aplicaciones:
O Controles sobre la captura de datos (altas, modificaciones y consultas de
movimientos, mantenimiento de archivos)
O Controles de proceso (entrada de datos repetidos, procesamiento y actualización
de archivos equivocados, entrada de datos ilógicos, pérdida o distorsión de datos
durante el proceso)
O Actividades y tareas
O Necesarias para alcanzar un resultado cuantificable.
O Procesos
O Serie de actividades o tareas unidas.
O Dominios
O Los procesos se agrupan de forma natural dando lugar a los dominios, son cuatro
para CobiT:
O planificación y organización
O adquisición e implementación
O suministro y mantenimiento
O monitorización
9. La Auditoría del Desarrollo
La auditoría de desarrollo trata de
verificar la existencia y aplicación de
procedimientos de control
adecuados que permitan garantizar
que el desarrollo de SI se ha llevado
a cabo siguiendo los principios de
ingeniería de SW (entendiéndose por
Ingeniería de SW el establecimiento y
uso de principios de ingeniería
robustos, orientados a obtener SW
económico que sea fiable, cumpla
con los requisitos previamente
establecidos y funcione de manera
eficiente sobre máquinas reales)
10. Auditoría de la organización
y administración del área de
desarrollo
El área debe tener y difundir su
propio plan a corto, mediano y
largo plazo. Se debe comprobar
que: El plan existe, es claro y
realista; los recursos actuales y
los que se planifica se integrarán
posteriormente son suficientes
para su cumplimiento; se revisa
y actualiza periódicamente en
función de las nuevas
situaciones; se difunde a todos
los empleados
El personal del área de
desarrollo debe contar con la
formación adecuada y estar
motivado para realizar su trabajo