Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 8 vistas

    Auditoria

    Cargado por

    Jhonatan praxedes salazar zepeda

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Auditoria

    Cargado por

    Jhonatan praxedes salazar zepeda
    8 vistas30 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    8 vistas30 páginas

    Auditoria

    Cargado por

    Jhonatan praxedes salazar zepeda

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 30

    Fases de Auditoria Informática

    Seguridad y Auditoria de Sistemas


    Fases de la Auditoria Informática

    Fase I: Conocimientos del Sistema


    Fase II: Análisis de transacciones y recursos
    Fase III: Análisis de riesgos y amenazas
    Fase IV: Análisis de controles
    Fase V: Evaluación de Controles
    Fase VI: El Informe de auditoria
    Fase VII: Seguimiento de las Recomendaciones
    Fase I: Conocimientos del Sistema
    Aspectos Legales y Políticas Internas.
    • Sobre estos elementos está construido el sistema de control y por lo
    tanto constituyen el marco de referencia para su evaluación.

    Características del Sistema Operativo.


    • Organigrama del área que participa en el sistema
    • Manual de funciones de las personas que participan en los procesos
    del sistema
    • Informes de auditoría realizadas anteriormente

    Características de la aplicación de computadora


    • Manual técnico de la aplicación del sistema
    • Funcionarios (usuarios) autorizados para administrar la aplicación
    • Equipos utilizados en la aplicación de computadora
    • Seguridad de la aplicación (claves de acceso)
    • Procedimientos para generación y almacenamiento de los archivos de
    la aplicación.
    Fase II: Análisis de transacciones y recursos
    Definición de las transacciones.
    • Dependiendo del tamaño del sistema, las transacciones se dividen en
    procesos y estos en subprocesos. La importancia de las transacciones
    deberá ser asignada con los administradores.

    Análisis de las transacciones


    • Establecer el flujo de los documentos
    • En esta etapa se hace uso de los flujogramas ya que facilita la visualización
    del funcionamiento y recorrido de los procesos.

    Análisis de los recursos


    • Identificar y codificar los recursos que participan en el sistemas
    • Relación entre transacciones y recursos
    Fase III: Análisis de riesgos y amenazas

    Identificación de riesgos Identificación de las amenazas

    • Daños físicos o destrucción de los • Amenazas sobre los equipos:


    recursos • Amenazas sobre documentos fuente
    • Pérdida por fraude o desfalco • Amenazas sobre programas de
    • Extravío de documentos fuente, aplicaciones
    archivos o informes
    • Robo de dispositivos o medios de Relación entre
    almacenamiento recursos/amenazas/riesgos
    • Interrupción de las operaciones del
    negocio
    • Pérdida de integridad de los datos • La relación entre estos elementos
    • Ineficiencia de operaciones deberá establecerse a partir de la
    • Errores observación de los recursos en su
    ambiente real de funcionamiento.
    Fase IV: Análisis de controles
    4.1.Codificación de controles
    Los controles se aplican a los diferentes grupos utilizadores de recursos, luego
    la identificación de los controles deben contener una codificación la cual
    identifique el grupo al cual pertenece el recurso protegido.

    4.2.Relación entre recursos/amenazas/riesgos


    La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie)
    identificado. Para cada tema debe establecerse uno o más controles.

    4.3.Análisis de cobertura de los controles requeridos


    Este análisis tiene como propósito determinar si los controles que el auditor
    identificó como necesarios proveen una protección adecuada de los recursos.
    Fase V: Evaluación de Controles
    Objetivos de la evaluación
    • Verificar la existencia de los controles requeridos
    • Determinar la operatividad y suficiencia de los controles
    existentes

    Plan de pruebas de los controles


    • Incluye la selección del tipo de prueba a realizar.
    • Debe solicitarse al área respectiva, todos los elementos
    necesarios de prueba.

    Pruebas de controles

    Análisis de resultados de las pruebas


    Fase VI: Informe de Auditoria
    Informe detallado de recomendaciones
    Evaluación de las respuestas
    Informe resumen para la alta gerencia
    Este informe debe prepararse una vez obtenidas y analizadas las respuestas
    de compromiso de la áreas.
    • Introducción: objetivo y contenido del informe de auditoria
    • Objetivos de la auditoría
    • Alcance: cobertura de la evaluación realizada
    • Opinión: con relación a la suficiencia del control interno del sistema
    evaluado
    • Hallazgos
    • Recomendaciones
    Fase VII: Seguimiento de Recomendaciones

    • Informes del seguimiento.


    • Evaluación de los controles
    implantados.
    Objetivo de la Auditoria:
    Conceptuar sobre organización y
    relaciones entre:
    • El personal,
    • Los recursos de hardware
    y software,
    • Los documentos soporte,
    • El centro de cómputo.

    con el fin de establecer el


    grado de eficiencia de los
    procesos que ejecutan en el
    sistema.
    Se califica un nivel de
    madurez, por cuanto los
    procesos, organización y
    relaciones del área evaluada
    están contenidos en un
    manual de procesos y los
    recursos de hardware y
    software son adecuados.
    Hallazgos que soportan el Dictamen:

    El manual de procesos y perfiles


    no se ha actualizado de acuerdo a
    los módulos del sistema, acorde
    con la estructura de cargos de la
    empresa lo que dificulta ejecutar
    planes de contingencia y
    capacitación cruzada, en caso de
    necesidad de reemplazar o
    rotar personal clave en las
    operaciones y administración del
    sistema.
    Auditoría Informática

    Controles y las Medidas de


    Revisión Seguridad que se Aplican Evaluación
    a los Recursos de un
    Sistema de Información
    Auditoría Informática

    Objetivos:
    • Presentar recomendaciones en función
    de las fallas detectadas.
    • Determinar si la información que brindan
    los Sistemas de Informáticos es útil.
    • Inspeccionar el Desarrollo de los Nuevos
    Sistemas.
    • Verificar que se cumplan las normas y
    políticas de los procedimientos.
    Auditoría Informática

    Tipos

    Interna: Aplicada con el


    personal que labora en la
    empresa.

    Externa: Se contrata a
    una firma especializada
    para realizar la misma.
    Auditoría Informática Externa

    Las empresas recurren a la auditoría externa


    cuando existen:
    • Síntomas de Descoordinación
    • Síntomas de Debilidades Económicas
    • Síntomas de Mala Imagen
    • Síntomas de Inseguridad
    Aspectos Fundamentales
    en la
    Auditoría de los
    Sistemas de Información
    Auditoría Informática de Desarrollo de
    Aplicaciones

    Cada una de las fases del desarrollo de las


    nuevas aplicaciones informáticas deben ser
    sometidas a un minucioso control, a fin de
    evitar un aumento significativo de los
    costos, así como también insatisfacción de
    los usuarios.
    Auditoría de los Datos de Entrada

    Se analizará la captura de la
    información en soporte compatible
    con los Sistemas, el cumplimiento
    de plazos y calendarios de
    tratamientos y entrega de datos.
    La correcta transmisión de datos
    entre entornos diferentes.
    Se verificará que los controles de
    integridad y calidad de datos se
    realizan de acuerdo a las Normas
    establecidas.
    Auditoría Informática de Sistemas
    Se audita:
    •Sistema Operativo:
    Verificar si la versión instalada
    permite el total funcionamiento del
    software que sobre ella se instala,
    si no es así determinar la causa.
    •Software de Aplicación:
    Determinar el uso de las
    aplicaciones instaladas.

    •Comunicaciones:
    Verificar que el uso y el
    rendimiento de la red sea el
    más adecuado .
    Técnicas de Auditoría
    Existen varias técnicas de Auditoría Informática de Sistemas,
    entre las cuales se mencionan:

    • Lotes de Prueba: Transacciones simuladas que se introducen al


    Sistema a fin de verificar el funcionamiento del mismo. Entre los
    datos que se deben incluir en una prueba se tienen:

    • Datos de Excepción.
    • Datos Ilógicos.
    • Transacciones Erróneas
    Técnicas de Auditoría

    • Auditoría para el Computador:


    Permite determinar si el uso de los
    equipos de computación es el
    idóneo.
    Mediante esta técnica, se detectan
    equipos sobre y subutilizados.

    • Prueba de Minicompañía:
    Revisiones periódicas
    que se realizan a los Sistemas a fin
    de determinar nuevas
    necesidades.
    Peligros Informáticos
    • Incendios: Los recursos informáticos son
    muy sensibles a los incendios, como por
    ejemplo reportes impresos, cintas, discos.

    • Inundaciones: Se recomienda que el Departamento


    de computación se encuentre en un nivel alto. La
    Planta Baja y el Sótano son lugares propensos a las
    inundaciones.

    • Robos: Fuga de la información confidencial de la


    empresa.

    • Fraudes: Modificaciones de los datos dependiendo


    de intereses particulares.
    Medidas de Contingencia
    Copias de Seguridad

    Las copias pueden ser totales o


    parciales y la frecuencia varía
    dependiendo de la importancia de
    la información que se genere.

    Se recomienda tener como mínimo dos (2)


    respaldos de la información, uno dentro de la
    empresa y otro fuera de ésta (preferiblemente
    en un Banco en Caja Fuerte).
    Medidas de Protección

    Medidas utilizadas para garantizar


    la Seguridad Física de los Datos.

    Aquellos equipos en donde se


    genera información crítica, deben
    tener un UPS.
    De igual forma, el suministro de
    corriente eléctrica para el área
    informática, debe ser independiente
    del resto de las áreas.
    Medidas de Control y Seguridad
    Mecanismos utilizados para garantizar la Seguridad
    Lógica de los Datos.

    En los Sistemas Multiusuarios se deben restringir


    el acceso a la Información, mediante un nombre
    de usuario (login) y una contraseña (password).

    Del mismo modo, se debe restringir el acceso a


    los Sistemas en horas no laborables salvo casos
    excepcionales.
    Preguntas
    Investigar y ejemplificar:

    Modelos de informes de auditoria


    Informes generales
    Informes ejecutivos
    Para auditorias generales, de seguimiento y especificas.

    También podría gustarte