Auditoría Informática Definición, métodos, tipos Planeación de la auditoria

Definiciones y consideraciones Exámen de las demostraciones y registros administrativos. (Holmes) Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos No es una evaluación para detectar errores y señalar fallas Persigue el fin de evaluar y mejorar la eficacia/eficiencia de una organización

Objetivos de la AI Control de la función informática El análisis de la eficiencia de los sistemas informáticos Verificación de la normativa general de la empresa en el ámbito informático Revisión de la eficaz gestión de los recursos materiales y humanos informáticos

Éxito de la AI Estudiar hechos no opiniones Investigar las causas no los efectos Atender razones no excusas No confiar en la memoria, preguntar constantemente Criticar objetivamente y a fondo todos los informes y datos recabados Registrar TODO

Tipos de AI Interna  Los recursos y personas pertenecen a la empresa auditada  Es remunerada  La organización la controla Externa  Los recursos y personas no pertenecen a la empresa auditada  Es remunerada  Distancia entre auditores y auditados: mayor objetividad

Ventajas de la AII y la AUE Tamaño de la organización Niveles de confiabilidad Ambiente organizacional Presupuesto Activos informáticos auditables

Alcances de la AI Tener el claro el objetivo Conocer el ambiente Limites del sistema Control de integridad de registros  Para aplicaciones de registros comunes Control de validación de errores  Detectar y corregir errores Deben figurar en el informe final  Lo incluyente  Lo excluyente

Síntomas de necesidad Descoordinación y desorganización  Concordancia con los objetivos  Desvíos importantes del plan operativo anual  Alta rotación de personal – Cambios grandes Mala imagen – Insatisfacción de los usuarios  Software  Hardware  Plazos de entregas

Síntomas de necesidad Debilidades económicas-financieras  Incremento de costos  Justificación de inversiones informáticas  Desviaciones presupuestarias  Costos y plazos de nuevos proyectos Inseguridad  Lógica  Física  Confidencialidad  Carencia de planes de contingencias

Fundamentos de la AI Sistemas informáticos OPERATIVOS Controles técnicos generales  Software y hardware compatibles  Software de base y de aplicación compatibles $$$ y ocio  Productos comunes y compatibles (desarrollo interno de productos de software) Controles técnicos específicos  Cuotas en disco

Consideraciones en una AI? Control de la entrada de datos  Captura, calendario, transmisión, integridad y calidad de los datos. Debe especificase la norma/procedimiento. Planificación y recepción de aplicaciones  Por parte del área de desarrollo de sistemas Centro de control y seguimiento de trabajos  Batch  Tiempo Real

La AI en del desarrollo de proyectos / aplicaciones Análisis Diseño Programación Prueba Implantación Seguimiento

Consideraciones de la AI en el desarrollo de sistemas Revisión de las metodologías utilizadas  Modularidad, ampliaciones y mantenimiento Control interno de las aplicaciones  Para casa fase del proceso Satisfacción de usuarios Control de procesos y ejecuciones de programas críticos

La AI de Sistemas SO  Actualización de versión  Incompatibilidades con el software de aplicación Otro software de Base Software de Teleproceso Administración de Bases de Datos Investigación y Desarrollo

La AI de comunicaciones y redes Redes nodales Concentradores MAN WAN Wi-Fi Multiplexores Líneas telefónicas (proveedores externos)..entre otros aspectos

Auditoría de la Seguridad Informática Física  Equipos  Infraestructura  Amenazas naturales…etc Lógica  Datos, procesos, programas y usuarios Planes de contingencia-desastres Piratería/hackers Ataques víricos

Que debe tener? Elementos administrativos Políticas de seguridad Organización y división de responsabilidades Seguridad física y contra catástrofes Practicas de seguridad del personal Elementos técnicos y procedimientos Sistemas de seguridad de equipos y de sistemas locales y remotos Aplicación de los sistemas de seguridad, incluyendo datos y archivos Rol de los auditores internos y externos Planes de desastres y su prueba

Estudio INICIAL de una AI Constitución legal - Antecedentes Organigrama Departamentos Relaciones jerárquicas y funcionales Flujos de información – Cursogramas Planos - Layout

Entorno Operacional de una AI Situación geográfica de los sistemas  Donde están los centros de procesos de datos  Responsables de cada CPD  Estándares de trabajo de cada CPD Arquitectura y configuración de Hardware y Software  Según fichas de relevamiento adjuntas Inventario de hardware y software Comunicación y redes de datos

Entrono de Aplicaciones Volumen, antigüedad y complejidad de las aplicaciones Metodología de diseño Documentación Bases de Datos  Cantidad  Complejidad

Tarea a exponer próxima clase por los grupos…… CRMR  Computer  Resource  Management  Review Evaluación de la gestión de los recursos informáticos por medio del management.  ¿Es lo mismo que la AI?

CRMR Evaluación de la gestión de recursos informáticos Es una evaluación de la eficiencia de utilización de los recursos por medio de la administración. No es una AI Proporciona soluciones rápidas a problemas concretos y evidentes Aplicable a problemas de deficiencia organizativas y gerenciales.

CRMR – Áreas de aplicación Gestión de Datos Control de operaciones Control y utilización de recursos materiales y humanos Interfaces y relaciones con usuarios Planificación Organización y administración

CRMR – Objetivo Evaluar el grado de bondad o ineficiencia de los procedimientos y métodos de gestión que se observan en un CPD

CRMR – Alcances Reducidos: señalar áreas de actuación con potencialidad inmediata de obtención de beneficios Medio: establece conclusiones y recomendaciones Amplia: incluye planes de accion en concordancia con las recomendaciones realizadas

CRMR – Que necesito? Datos del mantenimiento preventivo del hardware Informe de anomalías de los sistemas Procedimientos de emergencia Monitoreo de sistemas Rendimiento de sistemas Mantenimiento de librería de programas Gestión de espacio en disco Documentación de entrega de aplicaciones Utilización de CPU, canales y datos Datos de paginación de sistemas Volumen total y libre de almacenamiento Ocupación media de disco Manuales de procedimiento..entre las mas importantes

CRMR – Mas información? inc.net/Documents/CRMR/CRMR.htm

Planeación de la AI Permite dimensional el tamaño y las características del área dentro de la organización a auditar  Sistemas  Organización  Equipos

Herramientas a utilizar Entrevistas Visitas a la organización Estudio de documentación y antecedentes Cuestionarios Encuestas Aporte de la clase..

Entrevista a USUARIOS Determinar el universo Definir el objetivo  Relevamiento de datos  Comprobación de datos Diseñarlas – Ver diseños apunte

Planeación de la AI Estudio Preliminar  Administración  Sistemas Personal  Capacitado – practica profesional  Valores morales y éticos  Eficiente  Pensar en los roles!!!  Multidisciplinario Solo técnicos …NO..Porque?

Evaluación de sistemas Sistemas aislados vs. entrelazados Plan estratégico de sistemas  Cuestionario adjunto (practica)…

Evaluación del Análisis Políticas, procedimientos y normas Origen/fuente de la aplicación  Plan estratégico  Usuario  Inventario de sistemas A desarrollar En desarrollo Desarrollada Modificaciones, con problemas, etc Documentación y registros usados en la elaboración del sistema

Evaluación del diseño lógico Analizar las especificaciones del sistema  Que debe hacer?  Como, cuando, en que orden, etc. Analizar la participación  Usuario  Auditoria interna (área) Comparar lo entregado como documento y lo que el sistema realmente hace

Evaluación del desarrollo del sistema Se auditan  Programas  Diseño de programas  Lenguaje utilizado  Interconexión entre programas Red  Características del hardware utilizado

La administración de proyectos Tiene como finalidad el control del avance de lo sistemas en una organización Requiere de líder de proyectos Debe confeccionarse un plan y su seguimiento respectivo  Actividades/Recursos  Metas  Tiempos/prioridades  Costos  Personal involucrado/Gestión de desempeño

Control de Diseño de sistemas y programas Acorde a las especificaciones funcionales desde:  Análisis Ambigüedades Omisiones  Diseño Errores Debilidades Omisiones  Programación Claridad Modularidad Verificación

Instructivos de operación Diagramas  Flujo  E/S Diseño de formularios Mensajes de errores Parámetros Formulas

Pruebas Modulares De sistema De aceptación Paralelas

CONTROLES De datos  Fuente  Volumen  Frecuencia  Acceso  Cifras de control De operación  Calidad e integridad de la documentación para el proceso en una computadora  Procedimientos e instructivos formales de operación  Estandarización y cumplimiento de los procedimientos

CONTROLES De salida De medios de almacenamiento masivo  Acceso a los medios  Documentación de los soportes  Copias de seguridad  …ver cuestionarios en apunte De Mantenimiento  Total : Correctivo y preventivo  Por demanda in situ  En banco

Orden en un CPD Reglas  Orden  Cuidado  Lugares físicos de almacenamiento de medios  Funcionalidad de muebles  ….ver cuestionario apunte

Evaluación de la configuración del CPD Evaluar posibles cambios de hardware Modificación de equipos  Reducir costos o tiempos de proceso Utilización de periféricos