tipos de auditoria informática

LOGO

TIPOS DE AUDITORIA

INFORMÁTICA

Adm. De S. Eliana Marisol Monroy Matallana

U. Santo Tomás

HERNÁNDEZ HERNÁNDEZ , Enrique. Auditoría en

Informática. Un enfoque práctica, 2ª Edición,

México: Compañía Editorial Continental, 2000

AUDITORÍA DURANTE EL CICLO DE

DESARROLLO E IMPLANTACIÓN DE SISTEMAS

DE INFORMACIÓN

• OBJETIVOS:

• Asegurar que exista un proceso metodológico

durante el ciclo de implantación y desarrollo

• Confirmar que el personal conozca la

metodología

• Evaluar el nivel de estandarización que tiene la

metodología

• Exponer recomendaciones pertinentes

• Comprobar que exista un proceso de formación

formal.

ACTIVIDADES

• Comparar proyectos de planeación

• Concertar citas con el personal

• Revisar formularios correspondientes

• Efectuar entrevistas

• Elaborar borrador de informe

• Revisarlo con el encargado de la función de

auditoría

• Elaborar y documentar formalmente el informe

REQUISITOS

• Formalizar el apoyo de la alta dirección para

que se brinden las facilidades necesarias

• Conocimiento del auditor acerca de los

aspectos a evaluar

• Técnicas para obtener y evaluar la información

• MS PROJECT

LOGO

MANTENIMIENTO

• Hardware

• Software

• Sistemas de información

• Red de Comunicación

OBJETIVOS

• Comprobar la existencia de políticas y

procedimientos formales relativos al

mantenimiento preventivo y correctivo

• Ver que el mantenimiento efectuado a los

elementos mencionados garantice la

continuidad de las operaciones principales del

negocio.

• Asegurar que el mantenimiento sea más

preventivo que correctivo

• Verificar que existan funciones asignadas de

manera formal

• Establecer medidas que garanticen la

continuidad de las operaciones

• Desarrollo y registro de Actividades de

mantenimiento preventivo y correctivo

ACTIVIDADES

Verificar proyectos de planeación

Concertar citas

Revisar formularios

Clasificar y almacenar la información

Elaborar, revisar el informe

Documentar soluciones y recomendaciones

Algunos Aspectos a Evaluar

¿Existe una lista de hardware del negocio?

¿Se cuenta con manuales o procedimientos

para el manejo de equipos?

¿Existen registros de actividades de

mantenimiento?

¿Quién es el responsable de controlar la

actividades de mantenimiento?

Señale si existe algún sistemas que apoye la

administración del mantenimiento:

Calendarios de Mantenimientos

Niveles de servicio

Costos del Mantenimiento

Causas y Soluciones del mantenimiento

Tareas, fechas y responsables.

Existe un procedimiento para la actualización del

hardware

Responsables de la ejecución seguimiento y

autorización del mantenimiento (Estadísticas)

LOGO

REDES

Y

TELECOMUNICIONES

Administración

Instalación

Operación y Seguridad

OBJETIVOS

Asegurar que exista una función formal de la

administración de redes y telecomunicaciones

Existan procedimientos y controles para:

Administración de redes, instalación, operación,

mantenimiento

Detectar el grado de confianza, satisfacción y

desempeño que brindan las redes al negocio

Establecer parámetros de medición del

desempeño

Determinar que existen suficientes controles y

procedimientos

Instalar solamente el software autorizado.

ALGUNOS ASPECTOS A EVALUAR

¿La empresa cuenta con redes locales?

¿Cuántos equipos y periféricos conforman la

red?

¿Algún personal externo interviene en las

funciones de administración de redes?

¿Quiénes son los responsables de la seguridad y

control para garantizar el uso adecuado y la

protección de los SI?

¿Se cuenta con manuales de operación de red?

¿La red posee controles de acceso a personas

no autorizadas?

¿Existe una protección física adecuada a la

red?

¿Se contempla un seguro que proteja las

componentes de red?

Se han tomado en cuenta acciones o

consideraciones que ayuden al mejoramiento

de la red: Evaluación Periódica

Capacitación

Respaldo de Información

Seguridad

Planes de Contingencia

LOGO

HARDWARE

Administración

Instalación

Operación y seguridad

OBJETIVOS

Garantizar que exista función formal para

administración, instalación, operación y

seguridad del hardware

Detectar grado de confianza, desempeño,

satisfacción,

Evaluar el grado de compatibilidad e integridad

entre computadores

ASPECTOS A EVALUAR

¿La empresa cuenta con PC, servidores,

estaciones de trabajo, minicomputadores?

¿Cuántos tipos de equipo tiene?

¿Qué garantiza que se está utilizando la

tecnología de hardware más adecuada para el

negocio?

¿las compras de los diferentes elementos del

equipo, así como su instalación se derivan de

un proceso de planeación y evaluación formal?

LOGO

SOFTWARE

Administración

Legalización e Instalación

Operación y seguridad

OBJETIVOS

Asegurar que exista una función formal para la

administración de software, la instalación,

operación, seguridad y actualización.

Detectar el grado de confianza, desempeño,

satisfacción del software existente

Asegurar un proceso formal para adquisición de

software

Evaluar el grado de soporte que se brinda a los

usuarios

Determinar si existen suficientes controles y

procedimientos

Evaluar acciones de

actualización de

software

Asegurar que solo se

encuentre instalado

software legalizado

Evaluar el grado de

integración del

software

Aspectos a Evaluar

¿Qué software hay instalado y cuáles son las

versiones correspondientes?

Existe una administración formal del software

¿Cómo aseguran que el software fue comprado

legalmente?

¿Cómo se realiza el proceso de actualización

de software?

LOGO

SEGURIDAD

Hardware

Aplicaciones de Software

Plan de Contingencia y Recuperación

OBJETIVOS

Verificar que existan PPC relativos a la

seguridad dentro de la organización

Comprobar que el personal conozca los planes

y políticas de seguridad

Evaluar el grado de compromiso por parte de la

dirección y los usuarios

Asegurar la disponibilidad y continuidad de los

SI

Garantizar la confidencialidad, confiabilidad,

totalidad y exactitud de la información

Constatar que se brinde la seguridad necesaria

a los equipos

Comprobar los seguros para H, S, y SI

Confirmar la presencia de una función

responsable de las administración de la

seguridad en:

Recursos humanos, materiales, financieros

relacionados con la tecnología informática

Recursos tecnológicos

ASPECTOS POR EVALUAR

¿Hay políticas y procedimientos relativos al uso

y protección del hardware?

¿Existen controles de acceso a hardware?

¿Hay políticas de reemplazo de hardware?

¿La ubicación física de equipo de cómputo es

la más adecuada pensando en los diversos

desastres o contigencias que se pueden

presentar?

¿Hay procedimientos que garanticen la

continuidad?

¿Existen procedimientos, personal o tecnología

encargada de salvaguardar los equipos?

¿Existen procedimientos y registros de salidas y

entradas de hardware?

¿Existen políticas relativas al uso y protección

del software?

¿Considera que tanto la dirección como el

personal están conscientes de que los recursos

relacionados con la informática representan

activos para la empresa?

¿Existen planes de contingencia y de

recuperación de operaciones para desastres?

¿Si no tienen plan de contingencias, qué

acciones se han tomado para enfrentar las

eventualidades?