Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Autor:
CAPITULO 7
Metodologa para el desarrollo e implantacin de la auditoria en Informtica
La funcin de auditoria de informtica debe contar con un desarrollo de actividades basadas en un mtodo de trabajo formal, que se a entendido por todos los auditores de informtica y complementado con tcnicas y herramientas propias de la funcin. La razn para auditar informtica? Asegurar (Totalidad, exactitud, mantenimiento, actualizacin y autorizacin) Diagnosticar el estado de Informtica Asegurar continuidad en operaciones Apoyo en la calidad de informtica Establecimiento de polticas, controles y procedimientos de informtica Orientar al cumplimineto de estndares definidos a nivel nacional e internacional. Asesorar a los administradores de informtica para una mejora continua. Qu es la auditoria de Informtica (MAI)? Un camino estructurado de forma lgica para el xito de proyectos de Auditora de Informtica Especificar el qu, cmo, cuando y quien Clarifica: Roles y responsabilidades Requeriminetos para el logro exitoso del proyecto Etapas Requeriminetos para el xito del proyecto Tareas y productos terminados (por etapa y proyecto)
1.
Revisin Informal
Revisin Formal
Aprobacin Formal
Men
CAPITULO 8
Etapa de Diagnostico
Es el primer paso prctico del auditor en informtica dentro de las empresas o instituciones al efectuar un proyecto de auditoria en informtica.
METODOLOGA LA AUDITORA EN INFORMTICA: ETAPA DE DIAGNSTICO
ETAPA Diagnstico preeliminar TAREAS 1. Diagnostico de negocio PRODUCTOS 1.1 Misin y objetivos de negocio 1.2 Organizacin de informtica. 1.3 Grado de apoyo al negocio. 2.1 Misin y objetivos de la funcin de informtica 2.2 Organizacin de Informtica 2.3 Control (Formalidad) 2.4 Productos y servicios 3.1 reas de oportunidad para mejoras inmediatas RESPON SABLE LP/RAI LP/RAI LP/RAI LP/RAI LP/RAI LP/RAI LP/RAI LP/RAI INVOLUCRADOS AD AD AD/UP RI RI RI/PI RI AD/PU/RI
2. Diagnstico de informtica
Nomenclatura: AD = Alta direccin; PU = Personal Usuario; RI = Responsable de informtica; PI = Personal de informtica; RAI = Responsable del rea de auditoria en informtica; LP = Lder del proyecto de auditoria en informtica; AI = Auditor en informtica.
Apoyo al negocio:
El auditor en informtica debe obtener una idea global del grado de apoyo y satisfaccin en el negocio y al menos hacia donde se orienta el soporte de la funcin de informtica.
reas de oportunidad
Aqu se detectan las caractersticas que facilitarn la implantacin de soluciones brindadas por informtica y que tendrn un impacto relevante en alguna funcin o gerencia del negocio.
DIAGNSTICO DE INFORMTICA: RESPONSABLES DE LA FUNCIN Aqu el auditor en informtica se coordina directamente con el responsable de la funcin en informtica Conocimiento de la funcin de informtica En esta parte el auditor conocer:
Infraestructura
Centros de cmputo
Planes Polticas
Estrategias
Inventarios (sistemas, software, hardware) Servicios
Proyectos
Otros de inters especfico para l
Los servicios que generalmente brinda informtica son: 1. Implantacin de soluciones de informacin 2. Evaluacin, adquisicin, instalacin y reemplazo de : Cmputo/Software/ Equipos de telecomunicaciones/ Lenguajes de programacin 3. Mantenimiento 4. Soporte de usuarios 5. Investigacin 6. Planeacin de informtica 7. Auditora en informtica/ Soporte a la alta direccin 8. Otros de acuerdo con le tipo de negocio. Aspectos de control del rea de informtica Algunos aspectos que se deben considerar son los siguientes: Esquema de seguridad para Internet, intranet y comercio electrnico. Polticas y procedimientos de organizacin de la funcin de informtica. Descripcin de puestos y funciones /Evaluacin de desempeo. Guas de control para proyectos de seleccin e implementacin de un sistema ERP. Polticas y procedimientos para el desarrollo e implementacin de sistemas Polticas y procedimientos de evaluacin de hardware y software. Politicas y procedimientos de seguridad / politicas y procedimientos de mantenimineto Plan de contingencias y de reinicio de operaciones Otros de interes especfico del auditor en informtica.
reas de oportunidad
Aqu se detectan las circunstancias que facilitarn la puesta en marcha de soluciones brindadas para informtica y que tendrn un impacto relevante en algn proceso del negocio.
EVALUAR POLITICAS Y PROCEDIMINETOS POR AREA DE REVISION Las polticas y procedimientos de informtica son elementos que al ser ejecutados formal y oportunamente garantizan que funciones y servicios de informtica se lleven a cabo con eficiencia para el apoyo estratgico, tctico y operativo que requiere el negocio. Los datos manejados en la hoja de polticas y procedimientos que el auditor debe recabar en el diagnstico y en la etapa de desarrollo deben asegurarse de proporcionar al auditor de informtica los siguientes criterios de control: Polticas recomendadas/ Evidencia requerida (Para diagnostico de informtica) Objetivos/Tcnicas /Cuestionarios / Evidencia /Procedimientos / Actividades de auditoria por rea y componente a revisar / Requerimientos de xito.
1. Inventariar los sistemas de informacin, propietarios y usuarios de la informacin (se establece cuales fueron desarrollados por la empresa y cuales comprados a terceros, para saber la fuente principal de estudio en caso de que se requiera mayor evaluacin).
2. Se toman como base los comentarios positivos o negativos de los principales usuarios de cada sistema de informacin que se encuentre en operacin con el objetivo de establecer los niveles de satisfaccin ( funcionalidad, productividad, calidad, etc). 3. Identificar fallas comunes en los sistemas, hardware, y las prioridades de operacin 4. Se recaban los informes de desempeo anteriores con los usuarios principales de los analistas de sistemas y personal de operacin. 5. Se registran fecha de liberacin de los sistemas y fecha en que se auditaron. Se analizan los hallazgos y sus recomendaciones para valorar las fortalezas y escenarios de riesgo. 6. Se revisa configuracin del equipo donde se encuentran instalados los sistemas ( en una computadora personal aislada, en una red, en una mini computadora, etc.) 7. Se estudia por cada sistema su integracin a otros sistemas de informacin. 8. Se valoran otras reas de inters propio del auditor en informtica.
Men
CAPITULO 9
Etapa de Justificacin
Una vez que se ha concluido la etapa preliminar, se procede a continuar con la etapa de justificacin, la cual se explica a continuacin
Tareas
1.Realizar Matriz de riesgo 2. Justificar la auditoria por cada rea de revision 3. Hacer un plan de auditoria en informtica (global)
Producto
1.1. Matriz de Riego 2.1. Justificar la matriz de riesgos 3.1 Plan general de Informtica 4.1 Plan Aprobado
Responsable
LP/AI LP / AID LP LP
Involucrado
RAI RAI RAI / AI RAI / AI RAI / AI
LP Lder del Proyecto AI Auditoria en Informtica RAI Responsable del rea de auditoria en informtica RI - Responsable del rea de informtica
1.
2.
3.
%
% % % % % % Secuencia sugerida para auditar cada componente y rea segn el nivel de riesgo estimado. Secuencia sugerida para auditar cada componente y rea segn nivel de riegos estimado. Secuencia sugerida para auditar cada componente y rea segn nivel de riesgo estimado.
Usuarios de Informtica
1. 2. 3.
4.
Control Interno
1. Politicas y Procedimisntes
1. 2. 3. 4.
% % % %
Plantacin Desarrollo Operacin Soluciones de mercado Hardware Software Sistemas de Informacin Telecomunicaciones Administracin Inhalacin Operacin/Seguridad. Administracin Inhalacin Operacin/Seguridad . Hardware Software / Aplicaciones Plan de contingencia Metodologas Tcnicas Herramientas Capacitacion/actualizacion
Mantenimiento
1.
2.
3. 4.
Redes Locales
1. 2. 3.
Telecomunicaciones
1. 2. 3.
Seguridad
1.
2.
3.
Plantacin de Informtica
1. 2. 3. 4.
Una vez elaboradas, revisadas y documentadas la matriz de riesgos y las reas de oportunidad Se procede a la formulacin del plan general de informtica, el cual consiste bsicamente en programar las revisiones a reas de informtica generadas de la matriz de riegos.
dd/mm/aa dd/mm/aa
Compromiso Ejecutivo
Es la ultima tarea de la etapa de justificacion y su objetivo rpincipal es obtener el visto bueno (Aprobacion) inicial de la alta direccion, usuarios clave y del responsable de informtica para continuar con el proyecto de auditoria en informtica son los siguientes:
Presentacin del plan con la informacion de soporte requerida bien documentada y validada con los principales involucrados: Resumen del diagnostico actual Areas de oportunidad Matriz de Riesgos Prioridades Otros comentarios de apoyo Se debe ser objetivo y claro al exponer el plan general. Justificar cada una de las reas por auditar con datos concretos y bien documentados Lograr que la alta direccin tome conciencia del compromiso requerido de su parte para la culminacin exitosa del proyecto. Recibir una aprobacin formal del plan general (Firma) El lder del proyecto debe indicar fechas de inicio y terminacin estimadas. Men
Men