Auditoria de Sistemas

44
AUDITORIA DE SISTEMAS AUDITORIA EN INFORMATICA

description

Introducción a la Auditoria de sistemas

Transcript of Auditoria de Sistemas

  • AUDITORIA DE SISTEMAS

    AUDITORIA EN INFORMATICA

  • I. ANTECEDENTES

  • La Informtica se enfoc hacia la sistematizacion de las reas del negocio. (Sistemas de Informacin).La informtica cubri todos los niveles de una empresa o institucin.La funcin del auditor no es ser un policia.Se orienta a ser un punto de control, confianza y un facilitador de soluciones.Orientacin del auditor: Conducir a la empresa a la bsqueda permanente de la salud ptima de los recursos de informtica y de todos aquellos elementos que se relacionen con ella.

  • Un poco de actualidadTodas las actividades de la sociedad buscan apoyarse en la tecnologa informtica.Tendencia a obtener una solucin integrada y actualizada. El control y seguridad de los recursos de informtica es una necesidad creciente.

    => Evaluar, formal y peridicamente, la funcin de informtica integrada al proceso de negocios.

  • Las entidades deben contar con controles, polticas y procedimientos que aseguren a la alta direccin que los recursos humanos, materiales y financieros estan adecuadamente orientados a la rentabilidad y competitividad del negocio.

    La improductividad, mal servicio y carencia de soluciones totales de la funcin informtica, fueron, son y seguiran siendo mal de muchas organizaciones.

  • Problemas:Debilidades en la planeacin del negocio (informtica)Resultados negativos (imporductividad, duplicidad de funciones, etc) de los SI(Desarrollo, Mto. Operacin).Falta de actualizacin de personal informtico. Capacitacin deficiente de los usuarios de los SINulo involucramiento de los usuarios en el desarrollo e implantaciones de soluciones informticas.Administracin deficiente de los proyectos( Falta de un proceso de anlisis costo/beneficio, metodologas de planeacion y desarrollo no estandarizadas, poco uso de tcnicas formales, falta proceso formal de planeacin)Involucramiento mnimo de la alta direccin

  • Importancia de la auditoria en la informticaLa tcnologia informtica es una herramienta que brinda rentabilidad y ventaja competitiva; pero puede originar costos y desventajas si no es bien llevada.Cmo saber si se est administrando y dirigiendo de manera correcta la funcin informtica?Es necesario auditar o evaluar la funcin de informtica? quines lo haran?.

  • II. Terminologa de la auditoria en informtica

  • 2.1 Informtica Campo que se encarga del estudio y aplicacin prctica de la tecnologa, mtodos, tcnicas y herramientas relacionados con las computadoras y el manejo de la informacin por medios electrnicos.

    Se divide en grandes ramas o se integra a otros elementos tecnolgicos y administrativos para fortalecer las empresas. Sistemas de informacin Redes localesBases de datosPlaneacin informticaDesarrollo de sistemasSoporte a usuariosInvestigacin de nuevas tecnologas

  • SI: Conjunto de mdulos computacionales o manuales organizados e interrelacionados de manera formal para la administracin y uso eficiente de todos los recursos de un rea especifica de la empresa. Pueden orientarse al apoyo de:

    Niveles operativos.Niveles estratgicos.Niveles tcticos. SIE: Proporcionan a la alta direccin una serie de parmetros y acciones encaminadas a la toma de decisiones que apoyarn en el seguimiento de la rentabilidad y competitividad respecto de la competencia.

    Metodologa: Conjunto de etapas estructuradas de manera que brinden a los interesados los parmetros de accin en el desarrollo de sus proyectos, siguientes: Plan general y detallado, tareas y acciones, tiempos, aseguramiento de calidad, involucrados, etapas, revisiones, responsables, recursos, etc.

  • Tcnicas: Procedimientos y pasos ordenados que se usan en el desarrollo de un proyectos con el propsito de finalizar las etapas definidos en el procesos metodolgico

    Anlisis estructuradoDiseo estructuradoAnlisis costo beneficioGrficas de PertGrficas de Gantt.

    Herramientas: Elementos fsicos utilizados para llevar a cabo las acciones y pasos definidos en la tcnica.

    Herramientas de productividad: Optimizan el tiempo de los recursos en el desarrollo de un proyecto, y se encaminan a proporcionar resultados de alta calidad.

  • 2.2 Auditoria Proceso formal y necesario para las empresas con el fin de asegurar que todos sus activos sean protegidos en forma adecuada. Conjunto de tareas realizadas por un especialista para la evaluacin o revisin de polticas y procedimientos relacionados con las siguientes reas: Administrativas, Financieras, Operativas, Informtica, Crdito, Fiscales (por disposicin gubernamental) Tareas: Estudiar y actualizar permanentemente las reas susceptibles de revisinApegarse a la tareas que desempeen las normas, polticas, procedimientos y tcnicas de auditoria establecidas por los organismos aceptados a nivel internacional. Evaluacin y verificacin de las reas requeridas por la alta direccin o responsables directos del negocio.Elaboracin del informe (debilidades y recomendaciones).

  • 2.3 Auditoria en informticaProceso formal ejecutado por especialistas del rea de auditoria y de informtica; se orienta a la verificacin y aseguramiento de que las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa de informtica se lleven a cabo de una manera oportuna y eficiente. Actividades ejecutadas por profesionales del rea de informtica y auditoria encaminadas a evaluar el grado de cumplimiento de polticas controles y procedimientos correspondientes al uso de recursos de informtica por el personal de la empresa.

    Acciones que realiza el personal especializado en las reas para el aseguramiento continuo de que todos los recursos de informtica operen en un ambiente de seguridad y control eficientes. Proceso metodolgico que tiene el propsito de evaluar todos los recursos relacionados con la funcin de informtica para garantizar al negocio que este conjunto opera con criterios de integracin y desempeo de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organizacin.

  • III. La Auditora en informtica y su entornoEl entorno en la Informtica.Objetivos del auditor en informtica al estudiar el entorno y su impacto en el negocio.Garantizar el apoyo directo a la estrategia del negocio.

  • III. La Auditora en informtica y su entornoLas actividades de una organizacin afectan sectores especficos de la sociedad; asimismo, los hechos y actividades externas al negocio tienen un grado de impacto en el mismo. Tales hechos factores externos pueden ser:Econmicos PolticosCulturalesTecnolgicosSocialesOtros.

  • Los negocios definen estrategias de planeacin con las que afrontar los factores externos, para minimizar su impacto negativo o sacar ventaja estratgica de los mismos. La Auditora en informtica siendo un proceso bsico de evaluacin y control en el uso de los recursos tecnolgicos para el logro de las estrategias; debe contemplar el entendimiento del entorno del negocio como parte de sus actividades primarias.

  • Tabla 3.1 Entorno

    Factor ExternoAcciones de la empresaResponsabilidad del auditor informticaComentariosAdecuacin al uso de nuevos mercados (e-commerce)Es poltica de la empresa la expansin y adaptacin de los procedimientos y recursos al uso de nuevos mercadosVerificar que los sistemas de informacin contemplen esta disposicin de manera formal y oportunaEmana como una necesidad, dentro de la globalizacinAuge en el uso de la tecnologa de comunicaciones va satliteSe define como estratgico que exista una red satelital entre empresas y entidades de la organizacin por este medioConstatar que exista un proyecto de costo-beneficio para adquirir permisos de gobierno, as como la tecnologa que se requiera para su implantacinCon esta accin se obtiene una ventaja competitiva. Permite una integracin ms eficiente entre las entidades del negocio.

  • El entorno en la informtica (I) La funcin de informtica debe estructurar sus servicios y proyectos con base en los requerimientos especficos del negocio (estrategias del negocio) , apoyndose en el uso de tecnologa de vanguardia y sus nuevas tendencias (TICs).

  • El entorno en la informtica (II)El auditor en informtica deber verificar la existencia de un anlisis costo-beneficio en cada proyecto de inversin orientado a la adquisicin de nueva tecnologa o estndares para su uso.

    Mantendr un proceso de seguimiento de los recursos de tecnologa, metodologas, tcnicas, procedimientos y polticas de informtica que aseguren calidad y productividad en esta rea.

  • El entorno en la informtica (III)Las TICs estn en cambio continuo, desarrollando soluciones ms eficientes; por lo que cualquier rea que tenga como objetivo operar o evaluar, estar dispuesta a ejecutar las acciones pertinentes que aseguren su entendimiento y aprovechamiento para brindar a la organizacin resultados de alta calidad y la confianza de que la informacin seguir cumpliendo los requisitos de control esperados: exactitud, totalidad, autorizacin, actualizacin, etc.

  • En el entorno de la informtica se han desarrollado:

    Mejores equipos de cmputo.Lenguajes de programacin y paquetes de Sw ms flexibles y dinmicos.Innovaciones tecnolgicas en telecomunicaciones.Metodologas, tcnicas y herramientas para la administracin de la funcin informtica y la planeacin y desarrollo de sistemas.Integracin de especialidades profesionales en asociaciones reconocidas formalmente.

  • ConceptoCaractersticasImpacto en el proceso de auditoria en informticaHardware

    MainframesMinicomputadorasMicrocomputadoras porttilesImpresorasDispositivos de almacenamientoTelecomunicaciones - datos - voz - Permiten alimentar procesar, generar, transmitir y almacenar los datos de los SI (estratgicos, tcticos y operativos del negocio)El Hw sufre cambios de manera dinmica; sus caractersticas de desempeo y perfomance han mejorado :-AlmacenamientoProcesamientoPortabilidadEscalabilidadConectividadOtrosUtilizacin de los equipos de computo para consulta, captura, proceso y genera-cin de reportes a fin de evaluar y diagnosticar la situacin de los sistemas.

    Evaluacin de SI y otros aspectos a travs de accesos remotos y en lnea. Auditar cada tarea en el lugar de los hechos, Registrar y monitorear gran cantidad de actividades inherentes al uso de computadoras y equipo de comunicaciones.

  • ConceptoCaractersticasImpacto en el proceso de auditoria en informticaSoftware Ofimtica (Procesadores de palabras, Hojas de clculo, Graficado-res,DiagramadoresEspecializado Auditora Seguridad DesempeoCASE Mtodo Tcnicas HerramientasSon los elementos lgicosPor este medio se ha logrado la sistematizacin computacional de los procesos de negocio.En un nivel ms especializado, se ha logrado la sistematizacin de actividades de desarrollo de sistemas a travs de las computadoras y en gran medida la planeacin de sistemas.El apoyo que brindo al auditor el personal de informtica, fue programar rutinas de control y evaluacin de procesos en los sistemas computacionales o para generar reprocesos y respaldos de la informacin por auditar.El auditor en informtica se perfila como el individuo que domina ambos campos, es el enlace ideal para la evaluacin de SI, y el uso eficiente de todos los recursos, servicios y productos de informtica en el negocio.

  • Una organizacin, tambin esta afectada por otros factores del entorno. Por lo que se hace imprescindible que la funcin de auditora en informtica se mantenga actualizada y enterada del entorno que rodea a los negocios. Es necesario documentarse mediante: - Acceso a BD nacionales e internacionales - conferencias - lecturas de boletines, peridicos o revistas especializadas - incorporacin a asociaciones o colegios especializados, - contacto permanente con proveedores lderes de productos y servicios de la tecnologa informtica - anlisis permanente de los procesos bsicos de negocio y de sus competidores clave.

  • Hay que considerar elementos formales para aplicar oportunamente el cambio organizacional, cultural y tecnolgico, que conlleve facilitar el reposicionamiento y la competitividad del negocio:

    Planeacin estratgicaEvaluacin permanente de los procesos y flujos de datos.Investigacin de mercado.Estudio y asimilacin del aspecto social, cultural, poltico, econmico y tecnolgico del entorno.Compromiso de todos los niveles de la empresa con la calidad y satisfaccin del cliente.Orientar los recursos a los procesos fundamentales del negocio.Ver el recurso humano como la pieza clave de la organizacin.

  • Objetivo del auditor en informtica al estudiar el entorno y su impacto en el negocioEvaluar y dar seguimiento oportuno al conjunto de proyectos de auditoria en informtica que sern ejecutados en un plazo determinado con el fin de apoyar las estrategias del negocio, considerando los factores externos e internos que se relacionan con la organizacin.Cada uno de los proyectos deber estar enmarcado en los lmites definidos para la funcin de AI, enfocndose al control, seguridad y auditoria en contacto con la tecnologa informtica.

  • Garantizar el apoyo directo a las estrategias del negocioLa Auditoria en informtica se enfoca en evitar la interrupcin de las operaciones del negocio, al mismo tiempo busca salvaguardar los activos relacionados de manera natural con el campo de accin de la informtica.Los auditores en informtica dirigirn la participacin directa del personal y usuarios involucrados durante la auditora.Cada proyecto de la auditora se orienta al cumpli-miento de normas, procedimientos y estndares, tanto de auditora como de informtica, comnmente aceptados.

  • Garantizar el apoyo directo a las estrategias del negocio (ii)

    El responsable de la funcin de auditora en informtica (externo o interno) que revise las diferentes reas de informtica, ha de coordinar con el responsable de la auditora tradicional (operativa, administrativa, financiera, etc.), la alta direccin (director o gerente general) y con el responsable de informtica, mediante reuniones formales y peridicas, con objeto de lograr objetivos comunes para el bien del negocio.

  • IV. ORGANIZACIONEstrategias y cursos de accin para la implantacin formal de la funcin de auditoria en informtica.Estructura organizacional y funciones de la auditoria en informtica.Administracin de la funcin de auditoria en informtica.Elementos de la administracin de la funcin.Hacia una auditora informtica eficiente.

  • 4.1 Estrategias y cursos de accin para la implanta-cin formal de la funcin de auditoria en informtica

    EstrategiasFormalizar la AI en la organizacin, a travs de :*Cursos de Accin justificados*Documentos de justificacin a Alta Direccin*Difusin de la AI en las reas relacionadas*Desarrollo del proceso de AI2. Auditoria Permanente para garantizar a la Alta Direccin:*Seguridad, Polticas y procedimientos de los recursos de informtica, eficientes y confiables.*Apoyo a los objetivos del negocio. *Verificacin del uso de la Tecnologa en el negocio.*Proceso de Evaluacin y justificacin de los pys informa*Elaboracin y desarrollo de un proceso de planeacin informtica, orientado al plan de negocio.*Uso de Metodologas, Tcnicas, Herramientas.*Personal: ambiente de Profesionalismo y productividad

  • Cursos de Accin

    Alta Direccin,usuarios y personal: conciencia de la necesidad de AI, para el uso eficiente de los recursos.Formalizar un procedimiento que divulgue los planes, objetivos, beneficios y reas de oportunidad que representa la AI.Compromiso del personal y usuarios con el proyecto de AI.Planeacin y desarrollo del proceso de AI, previa aprobacin.Proceso de Planeacin: Proyectos: Prioridades: Calidad/eficiencia*Justificar expectativas: involucrar reas*Planear detalladamente: responsables directos*Responsable AI: Presentacin ejecutiva*Reunin formal: Jefes de rea, exponer:a) Antecedentesb) Justificacinc) Objetivos y alcancesd) Etapase) Productos Terminadosf) Fechas de Revisin formales e informalesg) Funciones y responsabilidadesh) Costes-Beneficios

  • 5. Coordinar reuniones con los responsables e involucrados.

    6. Ejecutar de manera formal y oportuna cada py.

    7. Informes ejecutivos y detallados a la alta direccin.

    8. Los involucrados deben reconocer la importancia de su aporte.

    9. Investigar, analizar, actualizar y formalizar la metodologa de AI: considerar requerimientos, procedimientos y estndares.

    10. Capacitar permanentemente al personal de AI.

    11. Adaptarse a los estndares nacionales e internacionales.

    12. Orientar los esfuerzos al objetivo del negocio.

  • 4.2. Estructura Organizacional y funciones de la Auditoria en informticaUbicacin jerrquica de la funcinAlta Direccin debe entender que la auditoria es independiente jerrquicamente: control y seguridad.Apoyo y participacin de todas las reasLa AI se establece en un nivel Estratgico, nunca Operativo.AI Externa: Seguimiento, coordinacin y apoyo alta direccin.

    Tipos de estructuras donde se ubica la AI 1. En el alto nivel Organizacional2. Se subordina jerrquicamente a una direccin (admin/informat)3. Objetivo de la Alta Direccin: Asegurar el desempeo oportuno y eficiente de las actividades de AI, con: Independencia funcional, Libertad de accin, Facultad para la toma de decisiones, Negociacin, Involucramiento.

  • Caractersticas y consideraciones que pueden darse al estructurar formalmente la funcin de AI (i)

    NivelCaractersticasVentajasDesventajasEstratgico (Equipo de Apoyo de la Direccin)Independencia funcionalProceso EstratgicoCompromiso con alta direccinEn Instituciones y empresas financieras , crdito, etc.Personal con visin del negocioComunicacin formal y permanenteApoyo y soporte de Alta DireccinObjetividadFormalizacin de polticas, controles y procedimientosSeguimiento de alta direccin: ComplejoNo se acepta AINo existen especialistas (experiencia, tcnicas y habilidades)

  • Caractersticas y consideraciones que pueden darse al estructurar formalmente la funcin de AI (ii)

    NivelCaractersticasVentajasDesventajasNivel Tctico(gerencias,jefaturas)No hay independencia funcionales con otras direccionesEst en diversos sectores de la comunidadSe limita al estilo del trabajo del nivel superiorFuncin indispensable para Alta direccin (polticas y pro-cedimientos) Contacto con los que toman decisionesImpulso para formalizacinDbil compromiso de la alta direccin Menor % de empresas considera importante funcin a este nivelNo especialistas

  • Estructura OrganizacionalUbicacin de la Auditoria en informtica: rea de Auditoria/rea de Informtica

    Funciones de la Auditoria en InformticaFunciones Mnimas:*Evaluacin y verificacin de los controles y procedimientos relacionados con la funcin informtica.*Validacin de controles y procedimientos utilizados (evaluacin, verificacin e implantacin oportuna.*Utilizacin de los recursos de informtica de acuerdo a las polticas de la organizacin.*Desarrollar la AI conforme a normas y polticas estandarizadas.*Evaluar y justificar las reas de riesgo de la funcin de informtica.*Elaborar un plan de AI*Aprobacin y difusin del plan de AI: compromiso involucrados*Administrar o ejecutar los proyecto del plan de AI

  • Probables escenarios de la funcin de auditoria en informtica

    rea supeditadaConsideraciones de la funcinVentajasDesventajasDireccin o Gerencia de auditoriaIndependiente de la funcin informticaIntegracin de los controles y polticas de informtica al restoObjetividad en el desempeoPlaneacin y desarrollo conjuntoControl y seguim.No aceptacin de la evaluacin Puede desconocer el alcance y misin del rea informtica.Direccin o Gerencia de informticaDependencia funcional con el DirectorDirector: Negociador / impulsador de la AISe facilita apoyoConocim.proyectoConcientizacin polticas y controlIncertidumbre por los problemas de la funcin informt.Enfoque limitante.Personal de Apoyo de la Direccin GeneralFuncin estratgicaResponsable: visin negCompromiso,valor agreApoyo Alta direcc.Compromiso formal de las reasJustifica perfil AIAlta direcc autoriza y da seguimiento al desempeo informt.Orientan los proyectos Informt.Funcin de AI ExternaCoordina A. Direccin Amplia experienciaEvaluar su desempeoTcnicas y estand.Nivel profesional+Independen/ticaExige resultadosFugas de informac.> costo y tiempoSoluc. no adecuadasComprom. Formal

  • 4.3 Administracin de la Funcin de Auditoria en informtica Garantizar que los recursos involucrados obedezcan los principios bsicos de un proceso administrativo, como: la planeacin, el personal , el control y el seguimiento del desempeo.Objetivos principales de la administracin de AI:

    Cubrir y proteger los riesgos informticosAsegurar los recursos sean orientados al logro de objetivosAsegurar la formulacin, elaboracin, difusin y cumplimiento de las polticas, funciones y procedimientosAsegurar resultados esperados por el negocioPara el xito: Elaborar y formalizar planes, organizar la funcin, dirigir, revisar y evaluar el desempeo.

  • Conocimiento o Habilidades requeridas para la administracin y desarrollo de la Auditoria en informtica

    ConceptoResponsable de Auditoria Supervisor de AuditoriaAuditorMetodologaPlaneac. de sist.AltoAltoBuenoDesarro.de sist.MnimoAltoAltoTcnicasAnlisis1.OrganizacionalAltoAltoRegular2.SistemasBuenoAltoAlto3.ComputacionalRegularBuenoAltoDiseo1.ConceptualRegularAltoAlto2.ComputacionalMnimoAltoAlto

  • Costo/BeneficioAltoAltoAltoMod. Datos y Procesam.MnimoBuenoAltoDocumentacin1.EjecutivaAltoAltoBueno2.DetalladaMnimoBuenoAltoEntrevistaAltoAltoAltoCuestionariosBuenoAltoBuenoOtras TcnicasControles , polticas y estndaresAltoAltoAltoreas de Especializac.1.ComunicacionesRegularBuenoAlto2.CASERegularBuenoAlto3.EDIRegularBuenoAlto4.MultimediaRegularBuenoAlto5.OtrosRegularBuenoAltoHabilidades o virtudes1.CreatividadBuenoBuenoBueno2.AbstraccinAltoBuenoBueno3.ResponsabilidadAltoAltoAlto

  • 4.4 Elementos de la administracin de la funcinPlanificacinDesarrollar una matriz de la planeacin de AI para determinar las reas que sern evaluadas.Tener informacin de los sistemas, equipos, Sw, planes de informtica y de auditoria, actuales.Coordinar los planes con Gerencia de Auditoria internaComponentes de xito de la Planeacin:*Juntas formales de discusin de planes peridicas.*Seguimiento de deficiencias y debilidades*Reportes de Auditoria y aseguramiento de calidad*Capacitacin conjunta*Metodologa, tcnicas y herramientas comunes.

  • PersonalPolticas de seleccin y reclutamientoPreparacin suficiente y confiable Informtica/AuditoraPersonal con experiencia, educacin, adaptabilidad, entendimiento, determinacin y diligencia.Establecer el nmero de auditores y horas de auditoraControlSupervisin oportuna garantiza un producto consistenteAyuda en el desarrollo y control de los presupuestosEs un proceso continuo, desde la planeacin hasta el informe finalVerificacin con los estndares y procedimientos.Reportes de desempeoHerramientas muy importantes para evaluar:Productividad y calidad de los proyectosResultadosAvances de los proyectosreas susceptibles de control y seguimiento individual y de grupo.

  • 4.5 Hacia una Auditoria en Informtica EficienteClave: Conocimiento, habilidades y capacidades profesionales y personales del auditor informtico.

    Conocer tericamente normas, polticas y estndares de auditora/informtica, no son garanta de seguridad y confianza

    Experiencia: Prctica, Disciplina, Orden y ObjetividadFacultades apropiadas de: anlisis objetivo, habilidades de comunicacin y modelacin conceptual, observacin y capacidad para tomar decisiones.

  • V. PLANEACINProceso de planeacin del negocio.Proceso de planeacin en informtica.Proceso de planeacin de la auditora.Proceso de planeacin de la auditora en informtica.

    ********************************************


Auditoria de Sistemas Auditoria Centro de Computo

Auditoria de Sistemas Auditoria Centro de Computo

Auditoria de Sistemas.

Auditoria de Sistemas.

AUDITORIA DE SISTEMAS INFORMATICOS - cotana.informatica…cotana.informatica.edu.bo/downloads/normas de auditoria de sistemas... · AUDITORIA DE SISTEMAS INFORMATICOS ... 3 Para la

AUDITORIA DE SISTEMAS INFORMATICOS - cotana.informatica…cotana.informatica.edu.bo/downloads/normas de auditoria de sistemas... · AUDITORIA DE SISTEMAS INFORMATICOS ... 3 Para la

Auditoria de-sistemas

Auditoria de-sistemas

Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

AUDITORIA DE SISTEMAS INFORMATICOS - …cotana.informatica.edu.bo/downloads/4. normas de auditoria de... · AUDITORIA DE SISTEMAS INFORMATICOS 4. Normas de Auditoria de Sistemas 1

AUDITORIA DE SISTEMAS INFORMATICOS - …cotana.informatica.edu.bo/downloads/4. normas de auditoria de... · AUDITORIA DE SISTEMAS INFORMATICOS 4. Normas de Auditoria de Sistemas 1