Tipos de auditoria informática
1 recomendación2,224 vistas
El documento presenta un enfoque práctico para la auditoría de sistemas de información, destacando objetivos y actividades específicas durante el desarrollo e implementación de sistemas. Se abordan aspectos como mantenimiento de hardware y software, administración de redes, y seguridad, con énfasis en la documentación y formalización de procedimientos y controles. Se sugieren evaluaciones para verificar el cumplimiento de políticas y asegurar la continuidad de las operaciones en el entorno informático.
Tipos de auditoria informática
- 1. LOGO TIPOS DE AUDITORIA INFORMÁTICA HERNÁNDEZ HERNÁNDEZ , Enrique. Auditoría en Informática. Un enfoque práctica, 2ª Edición, México: Compañía Editorial Continental, 2000 Adm. De S. Eliana Marisol Monroy Matallana U. Santo Tomás
- 2. AUDITORÍA DURANTE EL CICLO DE DESARROLLO E IMPLANTACIÓN DE SISTEMAS DE INFORMACIÓN • OBJETIVOS: • Asegurar que exista un proceso metodológico durante el ciclo de implantación y desarrollo • Confirmar que el personal conozca la metodología • Evaluar el nivel de estandarización que tiene la metodología • Exponer recomendaciones pertinentes • Comprobar que exista un proceso de formación formal.
- 3. ACTIVIDADES • • • • • • Comparar proyectos de planeación Concertar citas con el personal Revisar formularios correspondientes Efectuar entrevistas Elaborar borrador de informe Revisarlo con el encargado de la función de auditoría • Elaborar y documentar formalmente el informe
- 4. REQUISITOS • Formalizar el apoyo de la alta dirección para que se brinden las facilidades necesarias • Conocimiento del auditor acerca de los aspectos a evaluar • Técnicas para obtener y evaluar la información • MS PROJECT
- 6. • • • • Hardware Software Sistemas de información Red de Comunicación
- 7. OBJETIVOS • Comprobar la existencia de políticas y procedimientos formales relativos al mantenimiento preventivo y correctivo • Ver que el mantenimiento efectuado a los elementos mencionados garantice la continuidad de las operaciones principales del negocio.
- 8. • Asegurar que el mantenimiento sea más preventivo que correctivo • Verificar que existan funciones asignadas de manera formal • Establecer medidas que garanticen la continuidad de las operaciones • Desarrollo y registro de Actividades de mantenimiento preventivo y correctivo
- 9. ACTIVIDADES Verificar proyectos de planeación Concertar citas Revisar formularios Clasificar y almacenar la información Elaborar, revisar el informe Documentar soluciones y recomendaciones
- 10. Algunos Aspectos a Evaluar ¿Existe una lista de hardware del negocio? ¿Se cuenta con manuales o procedimientos para el manejo de equipos? ¿Existen registros de actividades de mantenimiento? ¿Quién es el responsable de controlar la actividades de mantenimiento?
- 11. Señale si existe algún sistemas que apoye la administración del mantenimiento: Calendarios de Mantenimientos Niveles de servicio Costos del Mantenimiento Causas y Soluciones del mantenimiento Tareas, fechas y responsables. Existe un procedimiento para la actualización del hardware Responsables de la ejecución seguimiento y autorización del mantenimiento (Estadísticas)
- 13. Administración Instalación Operación y Seguridad OBJETIVOS Asegurar que exista una función formal de la administración de redes y telecomunicaciones Existan procedimientos y controles para: Administración de redes, instalación, operación, mantenimiento
- 14. Detectar el grado de confianza, satisfacción y desempeño que brindan las redes al negocio Establecer parámetros de medición del desempeño Determinar que existen suficientes controles y procedimientos Instalar solamente el software autorizado.
- 15. ALGUNOS ASPECTOS A EVALUAR ¿La empresa cuenta con redes locales? ¿Cuántos equipos y periféricos conforman la red? ¿Algún personal externo interviene en las funciones de administración de redes? ¿Quiénes son los responsables de la seguridad y control para garantizar el uso adecuado y la protección de los SI? ¿Se cuenta con manuales de operación de red? ¿La red posee controles de acceso a personas no autorizadas?
- 16. ¿Existe una protección física adecuada a la red? ¿Se contempla un seguro que proteja las componentes de red? Se han tomado en cuenta acciones o consideraciones que ayuden al mejoramiento de la red: Evaluación Periódica Capacitación Respaldo de Información Seguridad Planes de Contingencia
- 17. LOGO HARDWARE
- 19. OBJETIVOS Garantizar que exista función formal para administración, instalación, operación y seguridad del hardware Detectar grado de confianza, desempeño, satisfacción, Evaluar el grado de compatibilidad e integridad entre computadores
- 20. ASPECTOS A EVALUAR ¿La empresa cuenta con PC, servidores, estaciones de trabajo, minicomputadores? ¿Cuántos tipos de equipo tiene? ¿Qué garantiza que se está utilizando la tecnología de hardware más adecuada para el negocio? ¿las compras de los diferentes elementos del equipo, así como su instalación se derivan de un proceso de planeación y evaluación formal?
- 21. LOGO SOFTWARE
- 22. Administración Legalización e Instalación Operación y seguridad
- 23. OBJETIVOS Asegurar que exista una función formal para la administración de software, la instalación, operación, seguridad y actualización. Detectar el grado de confianza, desempeño, satisfacción del software existente Asegurar un proceso formal para adquisición de software Evaluar el grado de soporte que se brinda a los usuarios Determinar si existen suficientes controles y procedimientos
- 24. Evaluar acciones de actualización de software Asegurar que solo se encuentre instalado software legalizado Evaluar el grado de integración del software
- 25. Aspectos a Evaluar ¿Qué software hay instalado y cuáles son las versiones correspondientes? Existe una administración formal del software ¿Cómo aseguran que el software fue comprado legalmente? ¿Cómo se realiza el proceso de actualización de software?
- 26. LOGO SEGURIDAD
- 27. Hardware Aplicaciones de Software Plan de Contingencia y Recuperación
- 28. OBJETIVOS Verificar que existan PPC relativos a la seguridad dentro de la organización Comprobar que el personal conozca los planes y políticas de seguridad Evaluar el grado de compromiso por parte de la dirección y los usuarios Asegurar la disponibilidad y continuidad de los SI Garantizar la confidencialidad, confiabilidad, totalidad y exactitud de la información
- 29. Constatar que se brinde la seguridad necesaria a los equipos Comprobar los seguros para H, S, y SI Confirmar la presencia de una función responsable de las administración de la seguridad en: Recursos humanos, materiales, financieros relacionados con la tecnología informática Recursos tecnológicos
- 30. ASPECTOS POR EVALUAR ¿Hay políticas y procedimientos relativos al uso y protección del hardware? ¿Existen controles de acceso a hardware? ¿Hay políticas de reemplazo de hardware? ¿La ubicación física de equipo de cómputo es la más adecuada pensando en los diversos desastres o contigencias que se pueden presentar? ¿Hay procedimientos que garanticen la continuidad?
- 31. ¿Existen procedimientos, personal o tecnología encargada de salvaguardar los equipos? ¿Existen procedimientos y registros de salidas y entradas de hardware? ¿Existen políticas relativas al uso y protección del software? ¿Considera que tanto la dirección como el personal están conscientes de que los recursos relacionados con la informática representan activos para la empresa?
- 32. ¿Existen planes de contingencia y de recuperación de operaciones para desastres? ¿Si no tienen plan de contingencias, qué acciones se han tomado para enfrentar las eventualidades?