Este documento resume la segunda semana de una auditoría informática. Incluye evaluación de riesgos y criticidad de la información, amenazas, planes de contingencia y pruebas de viabilidad. También cubre principios deontológicos del auditor informático como maximizar eficiencia, evitar conflictos de interés, prestar servicios con capacidad y cautela.
RETO MES DE ABRIL .............................docx
Auditoría IT riesgos
1. Auditoria Informática ING. RICARDO DE JESÚS BUSTAMANTE GONZÁLEZ Resumen de la segunda semana Ricardo Mena Martínez Lic. en Informática
2. Evaluación de riesgos criticidad de información Es ver que tan critica la información que se maneja. por ejemplo hay un software que se dedica a capturar las conversaciones de MSN y para el administrador es critico tener ese software. cuando se dice que es critica es indispensable ya que puede haber fuga de información vital de la empresa tecnología usada el cambio de hardware cambia constante y rápidamente, como el cambio de equipo de computo, ya que es de vital importancia actualizar el equipo de computo ya que si no se realiza se va quedando obsoleto y Marco de la legalidad hay que tener en cuenta que se tiene que tener su debida licencia del equipo. pero además el precio lo dice todo ya que se nota en la calidad y el tipo de producto Sector/Entidad se especifica a cerca d un lugar Momento cualidad es la característica que tiene algo o analizar algo que no se puede medir tan fácilmente con algo fisco pero se debe de tener un proceso para poder tomar medidas de calidad.
3. Amenazas es un riesgo pero el peso de las amenazas a veces puede ser muy critico pero también se debe de tener en cuenta que es lo que se quiera solucionar. para poder saber la medición de las amenazas se tienen herramientas. por ejemplo la fuga de información se lleva tiempo y determinar las causas para solucionar el problema en caso que sea necesario se debe determinar si se debe despedir personal y también en caso de capacitar personal nuevo. por ejemplo si en la fuga de información se debe de considerar si es rentable ósea la información que se llevaron tiene el mismo valor que en caso que se ha realizado un hacer con el riesgo:-eliminarlo-disminuirlo-transferirlo (intercambiar a otra área donde menos daño haga)-asumirlo
4. * plan de contingencia tener en cuenta los mínimos requisitos identificar las alternativas de solución de los posibles problemas que puedan suceder y hacer una relación de costo, beneficio para cada una de esas alternativas
5. *Documentación del plan de contingencia 1.- objetivo del plan ( no se puede empezar a realizar un trabajo si no se tiene un objetivo en mente. tampoco se puede tener un plan de auditoria si no se tiene un objetivo) 2.- Modo de Ejecución ( no se puede llegar a realizar una auditoria de golpe, se tiene que llegar y presentar con las personas y realizarla) 3.- tiempo de utilización ( saber que tiempo se va a tardar la auditoria, planear bien los tiempos y si son varios los departamentos dividirlos) 4.- Costos estimados ( no se puede caer en el error en dar un costo para una empresa y otro costo para otro. tener el mismo tipo de costo para el mismo rubro ósea tener un estándar, llevar un registro de las auditorias realizadas) 5.- Recursos necesarios ( no se puede llegar a hacer una auditoria sin llevar lo que se requiera, para eso hay que ir en vehículo nunca en camión. todos los artículos que se llevan son muy costosos, por ejemplo una auditoria en video el equipo es costoso hasta 400 mil pesos) 6.- evento a partir del cual se llevara en marcha ( existen eventos específicos, siempre en base a un evento sucedido, y de ese evento se parte a realizar la auditoria) 7.- personas encargadas de llevar el plan y sus responsabilidades(el plan es una cosa y la auditoria es otra, el plan se realiza) 8.- validación de plan de contingencias( el plan de contingencias debe estar evaluado por alguien. por ejemplo protección civil es quien debe de recomendar que se debe hacer y que se requiere para las instalaciones. por ejemplo en las instalaciones, revisa lo que es el piso el tipo de techo etc.)
6. Pruebas de viabilidad ( del mismo tema plan de contingencias) 1.- Ponen de manifiesto que: -los procedimientos están completos - que los materiales y registros están disponibles -que los backup de software, documentación y trabajo en procesos, son los adecuados y están actualizados - que el personal ha sido entrenado adecuadamente
7. 2.- Definir y documentar las pruebas del plan 3.- desarrollar planes para pruebas especificas 4.- ejecutar las pruebas y documentarlas 4.1- Observador 4.2 formularios 4.3 sesiones informativas log de equipos 4.4 herramientas 5.- actualizar el plan de contingencia de acuerdo a los resultados obtenidos en las pruebas 5.1 establecer procedimientos y calendarios de mantenimiento 5.2 desarrollar procedimientos y lista de distribución
8. Principios deontológicos del auditor informático El auditor deberá conseguir la máxima eficiencia y rentabilidad de los medios informáticos de la empresa auditada El auditor deberá evitar estar ligado a determinados intereses Principios de calidad El auditor deberá prestar servicios con los medios a su alcance Libertad de utilización de los mismos Condiciones técnicas adecuadas Principio de capacidad El auditor debe de estar plenamente capacitado para la realización de la auditoria encomendada Debe de ser plenamente consiente del alcance de sus conocimientos y aptitudes para desarrollar la auditoria Principio de cautela: el auditor debe evitar que el auditado se embargue en proyectos de futuro fundamentados en instrucciones sobre la evolución de las nuevas tecnologías de al información