2. METODOLOGIA DE UNA
AUDITORIA DE SISTEMAS
• Existen cuatro fases básicas para realizar una auditoria.
•
•
•
•
Estudio preliminar
Revisión y evaluación de controles y la seguridad.
Examen detallado de áreas criticas.
Comunicación de los resultados
3. METODOLOGIA
• Estudio preliminar
• Define grupo de trabajo y el programa de auditoria.
• Realizar visitas a la unidad de informática para conocer la
gestión.
• Se evalúa el control interno a través de entrevistas y
cuestionarios al personal para obtener información.
• Ser evalúan plan de actividades, manuales, políticas y
reglamentos.
4. METODOLOGIAS
•
•
•
•
•
•
Revisión y evaluación de controles y la seguridad
Revisión de diagramas de flujos de procesos
Realización de pruebas de cumplimiento de las seguridades
Revisión de aplicaciones de áreas criticas
Revisión de procesos históricos (backups y logs)
Revisión de documentación y archivos
5. METODOLOGIAS
• Examen detallado de áreas criticas
• En base a las fases anteriores y los puntos de control básicos
se definen los puntos vulnerables a los que hay que hacer un
análisis profundo.
• Establece definitivamente el grupo de trabajo y la distribución
del mismo.
• Establece objetivos y recursos que usara así como
metodología y duración.
• En base a lo anterior se elabora el plan de trabajo.
6. METODOLOGIAS
• Comunicar los resultados
• Se elabora un borrador del informe, el cual antes debe ser
discutido y analizado con los ejecutivos de la empresa.
• Después del análisis se llega a un informe definitivo, el cual se
puede presentar en forma de matriz, cuadros o redacción
lineal (viñetas).
• Se destacan los problemas encontrados, los efectos y las
recomendaciones.
7. Definiendo
Sistemas de Información-> Informática
• Auditoria en Informática
• La auditoria en informática es la revisión y la evaluación de los
controles, sistemas, procedimientos de informática; de los
equipos de cómputo, su utilización, eficiencia y seguridad.
• De la organización que participa en el procesamiento de la
información, a fin de que por medio del señalamiento de
medios alternativos se logre una utilización más eficiente y
segura de la información que servirá para una adecuada toma
de decisiones.
8. Investigación Preliminar
• Se deberá observar el estado general del área, su situación dentro
de la organización, si existe la información solicitada, si es o no
necesaria y la fecha de su última actualización.
9. Investigación Preliminar
Administración
• Se recopila la información para obtener una visión general por
medio de observaciones, entrevistas preliminares y solicitud
de documentos para definir el objetivo y alcances del
departamento.
• Para analizar y dimensionar la estructura por auditar se debe
solicitar:
• A NIVEL DEL ÁREA DE INFORMÁTICA:
• Objetivos a corto y largo plazo.
• RECURSOS MATERIALES Y TECNICOS:
• Solicitar documentos sobre los equipos, número de
ellos, localización y características.
10. Investigación Preliminar
Administración
• Documentos técnicos y registros:
• Estudios de viabilidad.
• Número de equipos, localización y las características (de los
equipos instalados y por instalar y programados)
• Fechas de instalación de los equipos y planes de instalación.
• Contratos vigentes de compra, renta y servicio de
mantenimiento.
• Contratos de seguros.
• Convenios que se tienen con otras instalaciones.
• Configuración de los equipos y capacidades actuales y máximas.
• Planes de expansión.
• Ubicación general de los equipos.
• Políticas de operación.
• Políticas de uso de los equipos.
11. Investigación Preliminar
Sistemas
• Descripción general de los sistemas instalados y de los que
estén por instalarse que contengan volúmenes de
información.
•
•
•
•
•
•
•
Manual de formas.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.
12. Investigación Preliminar
Información
• Se solicita información:
• No se tiene y se necesita
• No se tiene y no se necesita
• Se tiene la información:
•
•
•
•
•
Se usa
Es incompleta
No esta actualizada
No es adecuada
Se usa, esta actualizada, esta completa y es la adecuada
13. Investigación Preliminar
Información
• Casos de análisis
• Caso #1:No se tiene y no se necesita, se debe evaluar la causa
por la que no es necesaria.
• Caso #2: No se tiene pero es necesaria, se debe recomendar
que se elabore de acuerdo con las necesidades y con el uso
que se le va a dar.
• Caso #3: De que se tenga la información pero no se utilice, se
debe analizar por que no se usa.
• Caso #4: De que se tenga la información, se debe analizar si se
usa, si esta actualizada, si es la adecuada y si esta completa.
14. Investigación Preliminar
Pensamiento Critico
• Estudiar hechos y no opiniones (no se toman en cuenta los
rumores ni la información sin fundamento)
• Investigar las causas, no los efectos.
• Atender razones, no excusas.
• No confiar en la memoria, preguntar constantemente.
• Criticar objetivamente y a fondo todos los informes y los datos
recabados.
16. Investigación Preliminar
Perfil Auditor
• Ejemplo:
• Puesto: Auditor Junior
• Estudios: 7mo. Semestre de Licenciatura en Informática o
carrera afín (Graduado preferible)
• Experiencia: un año como técnico de soporte del área de
informática o un año como programador en cualquier
lenguaje (comprobable)
• Competencias: análisis de sistemas, office avanzado, redes y
administración de proyectos, manejo de Windows y Linux.
• Buena Presentación
• Sueldo: Q 6500.00 + prestaciones de ley
17. Sumario
•
•
•
•
•
•
•
•
Cuatro fases básicas de una auditoria informática
Definiendo auditoria de sistemas
Investigación preliminar
Administración
Sistemas
Información
Pensamiento critico
Perfil de los participantes