Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INTERNO, SEGURIDAD Y LA
AUDITORÍA DE SISTEMAS DE
INFORMACIÓN
3.1. INTRODUCCIÓN A LAS METODOLOGÍAS
Las amenazas reales se presentan de forma mas compleja y son difíciles de predecir.
Las metodologías de análisis de riesgo se emplearon en la informática en los 80 y adolecen del
problema de que los registros estadísticos de incidentes son escasos y por tanto el rigor científico de
los cálculos probabilísticos es pobre.
Todos los riegos que se presentan podemos:
Evitarlos
Transferirlos
Reducirlo
Asumirlos
3.2.2.TIPOS DE METODOLOGÍAS
• Metodología de trabajo
• Revisión de controles sobre aplicaciones
• Objetivo: determinar que los sistemas producen informaciones exactas
y completas al momento oportuno. Ésta área d trabajo es tal vez la
mas importante en el trabajo de auditorías informáticas.
3.3. LAS METODOLOGÍAS DE AUDITORÍA
INFORMÁTICA
Las únicas metodologías que podemos encontrar en la auditoría informática son
dos familias distintas: las auditorías de controles generales y las metodologías de
los auditores internos.
El objetivo de las auditorías de controles generales es dar una opinión sobre la
fiabilidad de los datos del ordenador para la auditoría financiera.
3.3.1.1. PROGRAMA DE LA REVISIÓN
• Establecer los procedimientos de entrada y control de datos que explican las revisiones
necesarias de entradas y salidas
• Para sistemas interactivos, verificar el uso de métodos preventivos para evitar la entrada de
datos funciones de ayuda a la pantallas, formatos fijos, el uso de menús y mensajes para el
operador.
• Para sistemas interactivos determinar la grabación de datos de entrada con fecha y hora
actual.
• Revisar los logs de acceso por líneas de telecomunicaciones para determinar posibles accesos
y entradas no autorizados.
• Revisar los programas para determinar si contienen procesos internos de validación de datos.
• Determinar si los usuarios comparan totales de control de los datos de entrada con totales
control de datos de salida.
• Determinar si control de datos revisa los informes de salida
• Verifica que se hace una identificación adecuada sobre los informes
• Comparar la lista de distribución de informes con los usuarios que los reciben en realidad.
• Verificar que los informes que pasan de aplicabilidad se destruyen y que simplemente no pasan
por basura sin seguridad de destrucción.
• Revisar la justificación de informes
• Revisar los procedimientos de corrección de los datos de salida
CONTROLES DE DOCUMENTACIÓN
Para ser efectivo, el informe da crédito al personal del área revisado cuando se
corrigen por ellos debilidades encontradas.
El informe tiene que se constructivo.
El lenguaje utilizado debería contener un mínimo de términos técnicos.
Después de la revisión del informe final con los responsables del área revisada se
distribuirá a las otras personas autorizadas.
3.4. EL PLAN AUDITOR INFORMÁTICO
En este documentos se debe describir todo sobre función y el trabajo que realiza en la
entidad. Debe estar en sintonía con el plan auditor del resto de auditores de la entidad.
Partes de un plan auditor:
Funciones
Procedimientos para las distintas tareas de las auditorías
Tipos de auditorías que realiza
Sistema de evaluación y los distintos aspectos que evalúa
Nivel de exposición
Seguimiento de las acciones correctas.
Plan quinquenal
Plan de trabajo anual
Debemos hacer notar que es interesante tener una herramienta programada con metodología
abierta que permita confeccionar los cuestionarios de las distintas auditorías y fácilmente cubrir
los hitos y fases de los programas de trabajo una vez definida la metodología completa.
Las metodologías de auditoría informática son del tipo cualitativo/subjetivo.