Metodologias de Auditoria de Sistemas Tarea9 PARA GRUPO
Metodologias de Auditoria de Sistemas Tarea9 PARA GRUPO
Metodologias de Auditoria de Sistemas Tarea9 PARA GRUPO
El primer paso que tiene el auditor en informática dentro de las empresas al efectuar un
proyecto de auditoría en informática es hacer un diagnóstico del negocio, que incluye a
la alta dirección y las áreas usuarias.
Examinar situación general de funciones y actividades generales de la informática
Conocimiento de:
– Organización: Estructura organizativa del Departamento de Informática a auditar
– Entorno de Operación: Entorno de trabajo
– Aplicaciones Informáticas: Procesos informáticos realizados en la empresa
auditada
• Bases de Datos
• Ficheros
Organización
Estructura organizativa del Departamento de Informática a auditar.
Organigrama: estructura informática de la organización a auditar
Departamentos: describir sus funciones
Relaciones Jerárquicas y funcionales
– 1 Empleado con dos Jefes
Flujos de Información, tanto horizontales y verticales como extra departamentales
Número de Puestos de Trabajo
– Nombres de los puestos de trabajo corresponden a funciones distintas:
Deficiencias en estructura si varios nombres con 1 función
Número de Personas por Puesto de Trabajo
– Distribución de recursos ineficiente
– Necesidad de reorganización
Situación Geográfica
Diferentes CPDs, (Centros de Procesamientos de Datos), con responsables
Arquitectura y Configuración Hardware y Software
Configuración de diferentes CPDs compatible y estén intercomunicados
Inventario Hardware y Software
CPUs, procesadores, PCs, periféricos, etc.
Software básico, software interno y software comprado
Comunicaciones y Redes de Comunicación
Líneas de Comunicación
Acceso a red pública e intranet
Alcance
Entorno y límites en que se realizará la A.I.
HASTA DÓNDE SE LLEGA
Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o
cuando la empresa tiene varias sedes, de:
Funciones (Seguridad, Dirección, etc.)
Materias (S.O., BD, etc.)
Departamentos o Áreas Organizativas (Explotación, Sistemas,
Comunicaciones, etc.)
Su no definición pondrá en peligro el éxito de la A.I.
Limitaciones: QUÉ DEJA DE AUDITARSE
Principalmente en materias que pueden suponerse incluidas
Objetivos
Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para
cumplir con los objetivos
Objetivos generales
Operatividad de los S.I.
– Controles Generales de la Gestión Informática
– Verificar normas del Departamento de Informática y observar su consistencia con
las del resto de la empresa
• Normas Generales de la Instalación Informática
• Procedimientos Generales y Específicos del Departamento de Informática (p.e.
una aplicación no pasa a Explotación sin su correspondiente Documentación)
– Comprobar que no existen contradicciones con normas y procedimientos generales
de la empresa
Interlocutores
– Personas con poder de decisión y validación dentro de la empresa
– Personas a las que va dirigido el informe
Objetivos específicos
– Necesidad de auditar una materia de gran especialización
– Contrastar algún informe interno con el que resulte del externo
– Evaluación del funcionamiento de áreas informáticas en un determinado
departamento
– Aumentos de seguridad y fiabilidad
CONTROLES
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se realiza conforme a los programas
adoptados, órdenes impartidas y principios admitidos. Los procedimientos de control:
son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con
una metodología apropiada, para la consecución de uno o varios objetivos de control,
cual deben estar aprobados por la dirección.
Las herramientas de control: son los elementos software que permiten definir uno o varios
procedimientos de control para cumplir una normativa y un objetivo de control.