Describe algunas pautas y herramientas para trabajar con la metodología de la auditoría informática.
Referencias:
HERNÁNDEZ HERNÁNDEZ, Enrique. Auditoría en Informática. Un enfoque práctico, 2ª Edición, México: Compañía Editorial Continental, 2000
•Gomez Vieites, Alvaro. Enciclopedia de la Seguridad Informática. México: Alfaomega, 2007.
2. La importancia de conocer con exactitud
cuáles áreas, requieren de auditoría, radica
en que sus recursos suelen ser importantes
para el negocio. Una mala interpretación de
las prioridades y necesidades de evaluación
de cada una podría tener un alto costo para
la organización.
3. COMPONENTES QUE SE EVALUARÁN
POR ÁREA DE REVISIÓN
• Grado de formalización en el negocio: Forma,
políticas y procedimientos
• Grado de Cumplimiento: Políticas y procedimientos,
manera de llevarlo a cabo, periodicidad,
responsabilidad
• Grado de Actualización: Adecuación a
requerimientos, Autorización de los cambios,
responsables de los cambios.
• Grado de acercamiento a estándares: Comparación
de estándares Nal y Internal., debilidad o
inexistencia, recomendaciones, adaptación a
características del negocio.
5. Políticas y procedimientos por área
de revisión
• Deben
ser
ejecutadas
formal
y
oportunamente, garantizando que las
funciones y servicios relacionados con
informática se lleven a cabo con eficiencia
para el apoyo estratégico.
• A medida que la función informática
establezca políticas y control y asegure su
cumplimientos brindará continuidad a la
operación de recursos informáticos.
6. METODOS y TECNICAS
• Se debe especificar los métodos y técnicas
requeridas para evaluar de manera
completa
y
eficiente
las
áreas
seleccionadas.
7. CUESTIONARIOS POR
COMPONENTES
• Representan una ayuda muy valiosa para el
auditor en informática durante el desarrollo del
proyecto, ya que son material elaborado,
revisado, adaptado y documentado en forma
previa.
• Ventajas:
– Objetivos y alcances predefinidos
– Fáciles de aplicar, entender y contestar
– Orientados a que las respuestas sean fáciles de
entender y analizar.
9. ADMINISTRACIÓN DE INFORMÁTICA
Misión, Visión y objetivos •
Organigrama
•
Políticas Informáticas
Capacitación
•
permanente
•
• Uso de Metodologías,
técnicas y herramientas •
estándares.
• Parámetros de medición
• Análisis costo /beneficio
•
•
•
•
Relación Dirección –
área informática
Ubicación estratégica del
área informática
Comité de informática
Metas, objetivos y planes
Evaluación Periódica
10. Control Interno
• Procedimientos formales •
para el procesamiento de
información.
• Supervisión permanente •
• Totalidad de la
Información
• Autorización
•
• Exactitud
• Mantenimiento
• Actualización
Procedimientos formales
para la operación de la
información.
Procedimientos formales
para el uso adecuado de
H&S, aplicaciones,
recursos externos
Procedimientos formales
de evaluación
11. CICLO DE DESARROLLO E
IMPLANTACIÓN DE SI
Metodología formal
Técnicas formales
Herramientas
Etapas del Desarrollo
Tareas y actividades
Funciones y
responsabilidades
• Productos terminados
• Puntos de revisión y
aceptación
•
•
•
•
•
•
• Capacitación en el uso
de metodología
• Etapas de desarrollo
• Tareas y actividades
• Planeación y desarrollo
• Evaluaciones periódicas
• Actualización formal y
oportuna
12. SISTEMAS DE INFORMACIÓN
• Uso formas del desarrollo
del SI de Metodología
Estándar
• Técnicas estándares
• Herramientas estándares
• Procedimientos que
asegure que cada
desarrollo emana de la
planeación
• Técnicas de análisis t
diseño
• Técnicas de programación
• Procedimiento formal de
•
•
•
•
aceptación de usuarios al
SI
Procedimiento para
revisión y posinstalación
Manuales técnicos, de
operación y del usuario
Procedimiento de captura,
validación, actualización y
mantenimiento de datos.
Evaluación y compra de SI
13. MANTENIMIENTO
• Registro de S&H
• Función de Control de
Inventario
• Programas de mantenimiento
preventivo
• Bitácoras de mantenimiento
correctivo
• Políticas y procedimientos
relativos al mantenimiento de
la red de comunicaciones
• Procedimientos de
mantenimiento indicados a
usuarios
• Evaluación del costo
preventivo
• Estadísticas de los costos o
pérdidas por falta de
mantenimiento preventivo
• Estadísticas elementos que
requieran mantenimiento
• Responsables directos de la
función de mantenimiento
• Aprobación formal del
mantenimiento
• Costos bajos y esporádicos.
14. REDES
• Justificación formal de la •
instalación de Red Local
• Planeación formal de
•
etapas de implantación de •
red
•
• Documento que indique
como administrar y operar •
la red
• Responsable directo
•
• Justificación de software •
• Accesos no autorizados
• Respaldo de la información
Respaldo de datos y
equipos de red
Límites en el uso de la red
Uso de red local
Definición formal de
usuarios
Procedimientos para
acceso no autorizado
Políticas uso de red
Procedimientos de
seguridad
15. Telecomunicaciones
• Justificación formal
• Planeación formal
•
• Administración y
•
operación
• Responsable directo •
• Integración de equipo •
a la red
•
• Definición de usuarios
• Procedimientos de
respaldo
Políticas de seguridad
Mantenimiento y
reemplazo de red
Procesos de apoyo
Uso de la red
Seguridad al
conectarse a otras
redes
16. HARDWARE
• Plan de evaluación,
compra e instalación
• Análisis costo
/beneficio
• Aprobación formal de
Adquisición
• Contrato legal de
compra
• Inventario
• Orientación para
•
•
•
•
•
integración con otra
tecnología
Políticas de reemplazo
Capacitación del
personal
Función del
responsable
Registro de usuarios
Registro de ubicación
17. SOFTWARE
• Plan de evaluación,
compra e instalación
• Análisis C/B
• Aprobación de
adquisición
• Contrato legal
• Inventario formal
• Procedimiento de
actualización
• Orientación del software
• Reemplazo
• Seguridad
• Capacitación del
personal
• Originalidad del S
• Función del responsable
• Clasificación del
software y su uso en el
negocio.
18. SEGURIDAD
Plan de seguridad
Aprobación del plan
Plan de contingencias •
Seguridad en recursos
Políticas alta dirección •
•
Implantación de
•
seguridad
• Seguridad de datos,
•
•
•
•
•
•
equipo, tecnología y
usuarios.
Concientización y
actualización
Evaluación periódica
Costo de seguridad
Estándares Nal. E
Internal.
19. PLANEACIÓN DE INFORMÁTICA
Comité formal
Proceso formal
Metodología
Desarrollo
C/B
Aceptación de
proyectos
• Técnicas y
herramientas
•
•
•
•
•
•
•
•
•
•
•
formales.
Documentación
Difusión
Administración
Actualización
Involucramiento
permanente y formal
del comité