uso práctico de la metodología en auditoría informática
DESCRIPTION
Describe algunas pautas y herramientas para trabajar con la metodología de la auditoría informática. Referencias: HERNÁNDEZ HERNÁNDEZ, Enrique. Auditoría en Informática. Un enfoque práctico, 2ª Edición, México: Compañía Editorial Continental, 2000 •Gomez Vieites, Alvaro. Enciclopedia de la Seguridad Informática. México: Alfaomega, 2007.TRANSCRIPT
Uso práctico de la Metodología
La importancia de conocer con exactitud
cuáles áreas, requieren de auditoría, radica
en que sus recursos suelen ser importantes
para el negocio. Una mala interpretación de
las prioridades y necesidades de evaluación
de cada una podría tener un alto costo para
la organización.
COMPONENTES QUE SE EVALUARÁN
POR ÁREA DE REVISIÓN • Grado de formalización en el negocio: Forma,
políticas y procedimientos
• Grado de Cumplimiento: Políticas y procedimientos, manera de llevarlo a cabo, periodicidad, responsabilidad
• Grado de Actualización: Adecuación a requerimientos, Autorización de los cambios, responsables de los cambios.
• Grado de acercamiento a estándares: Comparación de estándares Nal y Internal., debilidad o inexistencia, recomendaciones, adaptación a características del negocio.
OBJETIVOS PRINCIPALES DEL
AUDITOR
Detectar debilidades y
carencias
Encontrar soluciones
Consolidarlas en soluciones
integrales y de valor agregado.
Políticas y procedimientos por área
de revisión
• Deben ser ejecutadas formal y oportunamente, garantizando que las funciones y servicios relacionados con informática se lleven a cabo con eficiencia para el apoyo estratégico.
• A medida que la función informática establezca políticas y control y asegure su cumplimientos brindará continuidad a la operación de recursos informáticos.
METODOS y TECNICAS
• Se debe especificar los métodos y técnicas
requeridas para evaluar de manera
completa y eficiente las áreas
seleccionadas.
CUESTIONARIOS POR
COMPONENTES
• Representan una ayuda muy valiosa para el auditor en informática durante el desarrollo del proyecto, ya que son material elaborado, revisado, adaptado y documentado en forma previa.
• Ventajas: – Objetivos y alcances predefinidos
– Fáciles de aplicar, entender y contestar
– Orientados a que las respuestas sean fáciles de entender y analizar.
POLITICAS Y PROCEDIMIENTOS
DE CONTROL REQUERIDOS POR
ÁREAS
ADMINISTRACIÓN DE INFORMÁTICA
• Misión, Visión y objetivos
• Organigrama
• Políticas Informáticas
• Capacitación permanente
• Uso de Metodologías, técnicas y herramientas estándares.
• Parámetros de medición
• Análisis costo /beneficio
• Relación Dirección – área informática
• Ubicación estratégica del área informática
• Comité de informática
• Metas, objetivos y planes
• Evaluación Periódica
Control Interno
• Procedimientos formales para el procesamiento de información.
• Supervisión permanente
• Totalidad de la Información
• Autorización
• Exactitud
• Mantenimiento
• Actualización
• Procedimientos formales para la operación de la información.
• Procedimientos formales para el uso adecuado de H&S, aplicaciones, recursos externos
• Procedimientos formales de evaluación
CICLO DE DESARROLLO E
IMPLANTACIÓN DE SI
• Metodología formal
• Técnicas formales
• Herramientas
• Etapas del Desarrollo
• Tareas y actividades
• Funciones y responsabilidades
• Productos terminados
• Puntos de revisión y aceptación
• Capacitación en el uso de metodología
• Etapas de desarrollo
• Tareas y actividades
• Planeación y desarrollo
• Evaluaciones periódicas
• Actualización formal y oportuna
SISTEMAS DE INFORMACIÓN
• Uso formas del desarrollo del SI de Metodología Estándar
• Técnicas estándares
• Herramientas estándares
• Procedimientos que asegure que cada desarrollo emana de la planeación
• Técnicas de análisis t diseño
• Técnicas de programación
• Procedimiento formal de
aceptación de usuarios al SI
• Procedimiento para revisión y posinstalación
• Manuales técnicos, de operación y del usuario
• Procedimiento de captura, validación, actualización y mantenimiento de datos.
• Evaluación y compra de SI
MANTENIMIENTO
• Registro de S&H
• Función de Control de Inventario
• Programas de mantenimiento preventivo
• Bitácoras de mantenimiento correctivo
• Políticas y procedimientos relativos al mantenimiento de la red de comunicaciones
• Procedimientos de mantenimiento indicados a usuarios
• Evaluación del costo preventivo
• Estadísticas de los costos o pérdidas por falta de mantenimiento preventivo
• Estadísticas elementos que requieran mantenimiento
• Responsables directos de la función de mantenimiento
• Aprobación formal del mantenimiento
• Costos bajos y esporádicos.
REDES
• Justificación formal de la instalación de Red Local
• Planeación formal de etapas de implantación de red
• Documento que indique como administrar y operar la red
• Responsable directo
• Justificación de software
• Accesos no autorizados
• Respaldo de la información
• Respaldo de datos y equipos de red
• Límites en el uso de la red
• Uso de red local
• Definición formal de usuarios
• Procedimientos para acceso no autorizado
• Políticas uso de red
• Procedimientos de seguridad
Telecomunicaciones
• Justificación formal
• Planeación formal
• Administración y operación
• Responsable directo
• Integración de equipo a la red
• Definición de usuarios
• Procedimientos de
respaldo
• Políticas de seguridad
• Mantenimiento y reemplazo de red
• Procesos de apoyo
• Uso de la red
• Seguridad al conectarse a otras redes
HARDWARE
• Plan de evaluación, compra e instalación
• Análisis costo /beneficio
• Aprobación formal de Adquisición
• Contrato legal de compra
• Inventario
• Orientación para
integración con otra tecnología
• Políticas de reemplazo
• Capacitación del personal
• Función del responsable
• Registro de usuarios
• Registro de ubicación
SOFTWARE
• Plan de evaluación, compra e instalación
• Análisis C/B
• Aprobación de adquisición
• Contrato legal
• Inventario formal
• Procedimiento de actualización
• Orientación del software
• Reemplazo
• Seguridad
• Capacitación del personal
• Originalidad del S
• Función del responsable
• Clasificación del software y su uso en el negocio.
SEGURIDAD
• Plan de seguridad
• Aprobación del plan
• Plan de contingencias
• Seguridad en recursos
• Políticas alta dirección
• Implantación de
seguridad
• Seguridad de datos,
equipo, tecnología y
usuarios.
• Concientización y
actualización
• Evaluación periódica
• Costo de seguridad
• Estándares Nal. E
Internal.
PLANEACIÓN DE INFORMÁTICA
• Comité formal
• Proceso formal
• Metodología
• Desarrollo
• C/B
• Aceptación de proyectos
• Técnicas y herramientas
formales.
• Documentación
• Difusión
• Administración
• Actualización
• Involucramiento permanente y formal del comité