uso práctico de la metodología en auditoría informática
DESCRIPTION
Describe algunas pautas y herramientas para trabajar con la metodología de la auditoría informática. Referencias: HERNÁNDEZ HERNÁNDEZ, Enrique. Auditoría en Informática. Un enfoque práctico, 2ª Edición, México: Compañía Editorial Continental, 2000 •Gomez Vieites, Alvaro. Enciclopedia de la Seguridad Informática. México: Alfaomega, 2007.TRANSCRIPT
![Page 1: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/1.jpg)
Uso práctico de la Metodología
![Page 2: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/2.jpg)
La importancia de conocer con exactitud
cuáles áreas, requieren de auditoría, radica
en que sus recursos suelen ser importantes
para el negocio. Una mala interpretación de
las prioridades y necesidades de evaluación
de cada una podría tener un alto costo para
la organización.
![Page 3: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/3.jpg)
COMPONENTES QUE SE EVALUARÁN
POR ÁREA DE REVISIÓN • Grado de formalización en el negocio: Forma,
políticas y procedimientos
• Grado de Cumplimiento: Políticas y procedimientos, manera de llevarlo a cabo, periodicidad, responsabilidad
• Grado de Actualización: Adecuación a requerimientos, Autorización de los cambios, responsables de los cambios.
• Grado de acercamiento a estándares: Comparación de estándares Nal y Internal., debilidad o inexistencia, recomendaciones, adaptación a características del negocio.
![Page 4: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/4.jpg)
OBJETIVOS PRINCIPALES DEL
AUDITOR
Detectar debilidades y
carencias
Encontrar soluciones
Consolidarlas en soluciones
integrales y de valor agregado.
![Page 5: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/5.jpg)
Políticas y procedimientos por área
de revisión
• Deben ser ejecutadas formal y oportunamente, garantizando que las funciones y servicios relacionados con informática se lleven a cabo con eficiencia para el apoyo estratégico.
• A medida que la función informática establezca políticas y control y asegure su cumplimientos brindará continuidad a la operación de recursos informáticos.
![Page 6: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/6.jpg)
METODOS y TECNICAS
• Se debe especificar los métodos y técnicas
requeridas para evaluar de manera
completa y eficiente las áreas
seleccionadas.
![Page 7: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/7.jpg)
CUESTIONARIOS POR
COMPONENTES
• Representan una ayuda muy valiosa para el auditor en informática durante el desarrollo del proyecto, ya que son material elaborado, revisado, adaptado y documentado en forma previa.
• Ventajas: – Objetivos y alcances predefinidos
– Fáciles de aplicar, entender y contestar
– Orientados a que las respuestas sean fáciles de entender y analizar.
![Page 8: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/8.jpg)
POLITICAS Y PROCEDIMIENTOS
DE CONTROL REQUERIDOS POR
ÁREAS
![Page 9: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/9.jpg)
ADMINISTRACIÓN DE INFORMÁTICA
• Misión, Visión y objetivos
• Organigrama
• Políticas Informáticas
• Capacitación permanente
• Uso de Metodologías, técnicas y herramientas estándares.
• Parámetros de medición
• Análisis costo /beneficio
• Relación Dirección – área informática
• Ubicación estratégica del área informática
• Comité de informática
• Metas, objetivos y planes
• Evaluación Periódica
![Page 10: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/10.jpg)
Control Interno
• Procedimientos formales para el procesamiento de información.
• Supervisión permanente
• Totalidad de la Información
• Autorización
• Exactitud
• Mantenimiento
• Actualización
• Procedimientos formales para la operación de la información.
• Procedimientos formales para el uso adecuado de H&S, aplicaciones, recursos externos
• Procedimientos formales de evaluación
![Page 11: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/11.jpg)
CICLO DE DESARROLLO E
IMPLANTACIÓN DE SI
• Metodología formal
• Técnicas formales
• Herramientas
• Etapas del Desarrollo
• Tareas y actividades
• Funciones y responsabilidades
• Productos terminados
• Puntos de revisión y aceptación
• Capacitación en el uso de metodología
• Etapas de desarrollo
• Tareas y actividades
• Planeación y desarrollo
• Evaluaciones periódicas
• Actualización formal y oportuna
![Page 12: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/12.jpg)
SISTEMAS DE INFORMACIÓN
• Uso formas del desarrollo del SI de Metodología Estándar
• Técnicas estándares
• Herramientas estándares
• Procedimientos que asegure que cada desarrollo emana de la planeación
• Técnicas de análisis t diseño
• Técnicas de programación
• Procedimiento formal de
aceptación de usuarios al SI
• Procedimiento para revisión y posinstalación
• Manuales técnicos, de operación y del usuario
• Procedimiento de captura, validación, actualización y mantenimiento de datos.
• Evaluación y compra de SI
![Page 13: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/13.jpg)
MANTENIMIENTO
• Registro de S&H
• Función de Control de Inventario
• Programas de mantenimiento preventivo
• Bitácoras de mantenimiento correctivo
• Políticas y procedimientos relativos al mantenimiento de la red de comunicaciones
• Procedimientos de mantenimiento indicados a usuarios
• Evaluación del costo preventivo
• Estadísticas de los costos o pérdidas por falta de mantenimiento preventivo
• Estadísticas elementos que requieran mantenimiento
• Responsables directos de la función de mantenimiento
• Aprobación formal del mantenimiento
• Costos bajos y esporádicos.
![Page 14: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/14.jpg)
REDES
• Justificación formal de la instalación de Red Local
• Planeación formal de etapas de implantación de red
• Documento que indique como administrar y operar la red
• Responsable directo
• Justificación de software
• Accesos no autorizados
• Respaldo de la información
• Respaldo de datos y equipos de red
• Límites en el uso de la red
• Uso de red local
• Definición formal de usuarios
• Procedimientos para acceso no autorizado
• Políticas uso de red
• Procedimientos de seguridad
![Page 15: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/15.jpg)
Telecomunicaciones
• Justificación formal
• Planeación formal
• Administración y operación
• Responsable directo
• Integración de equipo a la red
• Definición de usuarios
• Procedimientos de
respaldo
• Políticas de seguridad
• Mantenimiento y reemplazo de red
• Procesos de apoyo
• Uso de la red
• Seguridad al conectarse a otras redes
![Page 16: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/16.jpg)
HARDWARE
• Plan de evaluación, compra e instalación
• Análisis costo /beneficio
• Aprobación formal de Adquisición
• Contrato legal de compra
• Inventario
• Orientación para
integración con otra tecnología
• Políticas de reemplazo
• Capacitación del personal
• Función del responsable
• Registro de usuarios
• Registro de ubicación
![Page 17: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/17.jpg)
SOFTWARE
• Plan de evaluación, compra e instalación
• Análisis C/B
• Aprobación de adquisición
• Contrato legal
• Inventario formal
• Procedimiento de actualización
• Orientación del software
• Reemplazo
• Seguridad
• Capacitación del personal
• Originalidad del S
• Función del responsable
• Clasificación del software y su uso en el negocio.
![Page 18: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/18.jpg)
SEGURIDAD
• Plan de seguridad
• Aprobación del plan
• Plan de contingencias
• Seguridad en recursos
• Políticas alta dirección
• Implantación de
seguridad
• Seguridad de datos,
equipo, tecnología y
usuarios.
• Concientización y
actualización
• Evaluación periódica
• Costo de seguridad
• Estándares Nal. E
Internal.
![Page 19: Uso práctico de la metodología en Auditoría Informática](https://reader036.vdocuments.site/reader036/viewer/2022082401/5573fbdcd8b42a06368b4714/html5/thumbnails/19.jpg)
PLANEACIÓN DE INFORMÁTICA
• Comité formal
• Proceso formal
• Metodología
• Desarrollo
• C/B
• Aceptación de proyectos
• Técnicas y herramientas
formales.
• Documentación
• Difusión
• Administración
• Actualización
• Involucramiento permanente y formal del comité