METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.



Documentos relacionados

METODOLOGIAS DE AUDITORIA INFORMATICA

Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

ESTUDIO ADMINISTRATIVO

1.8 TECNOLOGÍA DE LA INFORMACIÓN

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011

Implantación y Aceptación del Sistema

Área Académica: Licenciatura en Sistemas Computacionales. Profesor: Lic. Virginia Arguelles Pascual

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

MANUAL DE CALIDAD ISO 9001:2008

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD. PROCESO EVALUACIÓN Y CONTROL PÁGINA 1 de 9

INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA

I N T R O D U C C I Ó N

Elementos requeridos para crearlos (ejemplo: el compilador)

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

Dentro del subsistema de control estratégico se tienen establecidos 3 componentes:

Se aportan, para la configuración de este anexo, las categorías profesionales más habituales según la definición del MRFI-C:

Gestión de Configuración del Software

ESCUELA PROFESIONAL SAN FRANCISCO

Planificación, Gestión y Desarrollo de Proyectos

DATA SECURITY SERVICIOS INTEGRALES, S.L.

Instituto Nacional de Conservación y Desarrollo Forestal, Áreas Protegidas y Vida Silvestre

MUNICIPIO DE SOTARÁ CAUCA PROCESO DE CONTROL INTERNO PROCEDIMIENTO DE AUDITORIA INTERNA

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7

PROCEDIMIENTO DE MANTENIMIENTO PREVENTIVO Y CORRECTIVO PROCESO GESTIÓN TECNOLÓGICA

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

Técnico y sus funciones. 5. Función de los líderes. 6 Función del analista de datos. 6. Metas del Help Desk. 7 Definir el alcance del Help Desk.

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

Procedimiento AUDITORIA INTERNA DE CALIDAD

Capítulo IV. Manejo de Problemas

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Gestión del Servicio de Tecnología de la información

OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo

Estatuto de Auditoría Interna

Control interno y control de gestión

GLOSARIO DE TÉRMINOS

BRIGADA DE EVACUACION GRUPO EXTINGUIDORES ZARAGOZA

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Introducción. Componentes de un SI. Sistema de Información:

El objetivo principal del presente curso es proporcionar a sus alumnos los conocimientos y las herramientas básicas para la gestión de proyectos.

Gestión de proyectos

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Proceso: AI2 Adquirir y mantener software aplicativo

REPORTE DE CUMPLIMIENTO ISO 17799

Auditoría de Data Center

PROCEDIMIENTO DE AUDITORIAS INTERNAS

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

PROCEDIMIENTO AUDITORÍA INTERNA

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

PLAN DE AUDITORIA. La auditoria no busca culpables, busca la mejora de los procesos y servicios de la Entidad.

GERENCIA DE INTEGRACIÓN

3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Argueta Cortes Jairo I. UNAM Facultad de Ingeniería Administración de Redes Mendoza Gaytan José T. Jueves 20 de Mayo de 2010

Microsoft Dynamics Sure Step Fundamentos

Procedimiento General Auditorías Internas (PG 02)

COPPEL MANUAL TÉCNICO MCC DE SISTEMAS PROGRAMACIÓN DESCRIPCIÓN DEL PROCESO DE ARQUITECTURA DE SOFTWARE

Metodología básica de gestión de proyectos. Octubre de 2003

3. Procedimiento administrativo para la realización de auditorías a sistemas de medición de la calidad del aire.

LINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL

6 Anexos: 6.1 Definición de Rup:

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

ADMINISTRACION DE CENTROS DE COMPUTO

Universidad acional Experimental Del Táchira Decanato de Docencia Departamento de Ingeniería en Informática

Business Process Management(BPM)

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

A propuesta del consejero de Empresa y Empleo y de la consejera de Gobernación y Relaciones Institucionales, el Gobierno

PROCEDIMIENTO GENERAL RAZÓN SOCIAL DE LA EMPRESA. Auditorias Internas de Calidad. Código PG-09 Edición 0. Índice:

I. INTRODUCCIÓN El presente documento tiene la intención de servir de guía para el proceso de auditoría interna que se debe realizar en la AUPSA.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

Mantenimiento de Sistemas de Información

MANUAL DE GESTIÓN: SISTEMA DE GESTIÓN DE LA CALIDAD EN LA UNIDAD de FORMACIÓN DE LA DIPUTACION DE MALAGA

ENFOQUE ISO 9000:2000

1.1 EL ESTUDIO TÉCNICO

QUÉ ES LA ISO 14000? DIFERENCIAS ENTRE ISO Y EMAS. 1 Para Mayor información

GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN

Sistemas de Información 12/13 Introducción a la Auditoría y Calidad de Sistemas de Información

PA 08 Gestión de los documentos y

FUNDAMENTOS DEL CONTROL INTERNO. Fernando Rada Barona.

MINISTERIO DE HACIENDA

LA AUDITORÍA APLICADA A LA LOGÍSTICA. Dr. ARMANDO VALDES GARRIDO-LECCA

2. Se complementa el análisis del flujo original con observaciones de la actividad y análisis numérico de los históricos.

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

El Auditor y la organización

GESTION DOCUMENTAL DIAGNÓSTICO INTEGRAL DE ARCHIVO ENTIDAD: 1. OBJETIVO

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

Norma ISO 9001: Sistema de Gestión de la Calidad

ANEXO 23: TÉRMINOS DE REFERENCIA PARA LA AUDITORÍA DEL PROYECTO

001. Dirección y Apoyo Administrativo

Planeación del Proyecto de Software:

Master en Gestion de la Calidad

Transcripción:

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III, Examen detallado de áreas críticas. Fase IV. Comunicación de resultados. FASE I.- ESTUDIO PRELIMINAR En esta fase preliminar el estudio es corto en tiempo y general en su investigación. La auditoría informática desarrolla actividades basado en un método de trabajo formal, que sea entendido por los auditores en informática y complementado con técnicas y herramientas propias. Las metodologías: son necesarias para desarrollar cualquier proyecto que se quiera hacer de forma ordenada y eficaz. 1. Realizar el Estudio preliminar del entorno a auditar 2. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.) 1 Etapa preliminar o diagnóstico Realizar el Estudio Preliminar del entorno a auditar. Las actividades del auditor en informática deben quedar bien definidas en los componentes formales que integran cualquier trabajo dentro de una organización. En esta fase, se visualizan los primeros síntomas, los cuales posteriormente pueden ser los más relevantes Ing.. Adin Sánchez S. Página 1

El primer paso que tiene el auditor en informática dentro de las empresas al efectuar un proyecto de auditoría en informática es hacer un diagnóstico del negocio, que incluye a la alta dirección y las áreas usuarias. Examinar situación general de funciones y actividades generales de la informática, tomar conocimiento de: Organización: Estructura organizativa del Departamento de Informática a auditar Entorno de Operación: Entorno de trabajo Aplicaciones Informáticas: Procesos informáticos realizados en la empresa auditada Bases de Datos Ficheros Organización Estructura organizativa del Departamento de Informática a auditar. Organigrama: estructura informática de la organización a auditar Departamentos: describir sus funciones Relaciones Jerárquicas y funcionales 1 Empleado con dos Jefes Flujos de Información, tanto horizontales y verticales como Ing.. Adin Sánchez S. Página 2

extradepartamentales Número de Puestos de Trabajo Nombres de los puestos de trabajo corresponden a funciones distintas: Deficiencias en estructura si varios nombres con 1 función Número de Personas por Puesto de Trabajo Distribución de recursos ineficiente Necesidad de reorganización Aquí el auditor se coordina directamente con el responsable de la función de informática. Estudio Inicial: Entorno Operativo Situación Geográfica Diferentes CPDs, (Centros de Procesamientos de Datos), con responsables Arquitectura y Configuración Hardware y Software Configuración de diferentes CPDs compatible y estén intercomunicados Inventario Hardware y Software CPUs, procesadores, PCs, periféricos, etc. Software básico, software interno y software comprado Comunicaciones y Redes de Comunicación Líneas de Comunicación Acceso a red pública e intranet En esta parte el auditor conocerá la estructura interna de informática, funciones, objetivos, estrategias, planes y políticas. Estudio Inicial: Aplicaciones Informáticas Procedimientos Informáticos realizados en la empresa Volumen, Antigüedad y Complejidad de las aplicaciones Ing.. Adin Sánchez S. Página 3

Periodicidad de ejecuciones de carga de trabajo Metodología de desarrollo de aplicaciones Documentación de aplicaciones Mantenimiento es el 70% de recursos Cantidad y Complejidad de Bases de Datos y Ficheros Tamaño y características de BD y Ficheros Número de Accesos a BD y Ficheros Frecuencia de Actualización 2. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.) Alcance Entorno y límites en que se realizará la A.I. HASTA DÓNDE SE LLEGA Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o cuando la empresa tiene varias sedes, de: Funciones (Seguridad, Dirección, etc.) Materias (S.O., BD, etc.) Departamentos o Áreas Organizativas (Explotación, Sistemas, Comunicaciones, etc.) Su no definición pondrá en peligro el éxito de la A.I. Limitaciones: QUÉ DEJA DE AUDITARSE Principalmente en materias que pueden suponerse incluidas Objetivos Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos Objetivos generales Operatividad de los S.I. Ing.. Adin Sánchez S. Página 4

Controles Generales de la Gestión Informática Verificar normas del Departamento de Informática y observar su consistencia con las del resto de la empresa Normas Generales de la Instalación Informática Procedimientos Generales y Específicos del Departamento de Informática (p.e. una aplicación no pasa a Explotación sin su correspondiente Documentación) Comprobar que no existen contradicciones con normas y procedimientos generales de la empresa Interlocutores Personas con poder de decisión y validación dentro de la empresa Personas a las que va dirigido el informe Objetivos específicos Necesidad de auditar una materia de gran especialización Contrastar algún informe interno con el que resulte del externo Evaluación del funcionamiento de áreas informáticas en un determinado departamento Aumentos de seguridad y fiabilidad FASE II, REVISIÓN Y EVALUACIÓN DE CONTROLES Y SEGURIDADES. Abarca la revisión de los diferentes diagramas de flujo de procesos como la realización de pruebas de cumplimiento de las seguridades informáticas existentes, la revisión de aplicaciones de las áreas críticas, la revisión de procesos históricos (backups), la revisión de documentación y archivos, entre otras actividades de importancia que nos permitan tener una idea más clara del entorno. Fase II: Evaluación de Controles Objetivos de la evaluación Verificar la existencia de los controles requeridos Ing.. Adin Sánchez S. Página 5

Determinar la operatividad y suficiencia de los controles existentes Plan de pruebas de los controles Incluye la selección del tipo de prueba a realizar. Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. CONTROLES Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos. Los procedimientos de control: son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control, cual deben estar aprobados por la dirección. Las herramientas de control: son los elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control. Ing.. Adin Sánchez S. Página 6

La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. El sistema integral de seguridad debe comprender: Elementos administrativos Definición de una política de seguridad Organización y división de responsabilidades Seguridad física y contra catástrofes (incendio, terremotos, etc.) Prácticas de seguridad del personal Elementos técnicos y procedimientos Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Ing.. Adin Sánchez S. Página 7

Aplicación de los sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos Planeación de programas de desastre y su prueba. La informática crea riesgos informáticos, los cuales pueden causar grandes problemas en entidades, por lo cual hay que proteger y preservar dichas entidades con un entramado de contramedidas, la calidad y la eficacia de la mismas es el objetivo a evaluar para poder identificar así sus puntos débiles y mejorarlos, esta es una función de los auditores informáticos. Una contramedida nace de la composición de varios factores como: Análisis de plataformas Se trata de en determinar la plataforma para la colocación del producto más tarde. Catálogos de requerimientos previos de implantación Es determinar el inventario de lo que se va a conseguir y lo necesario para la implantación; acciones y proyectos, calendarizados, duración y seguimiento. Análisis de aplicación Se trata de inventariar las necesidades de desarrollo de INTERFASES con el diferente software de seguridad de las aplicaciones y bases de datos Fase III: EXAMEN DETALLADO DE ÁREAS CRÍTICAS Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas establecerá motivos, objetivos, alcance, recursos, metodología de trabajo, duración, plan de trabajo y análisis del problema. Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace: Un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo tablecerá los motivos, objetivos, alcance recursos que usará finirá la metodología de trabajo y la duración de la auditoría Ing.. Adin Sánchez S. Página 8

Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado. Fase IV: INFORME DE AUDITORÍA.- COMUNICACIÓN DE RESULTADOS Se elaborará del borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al definitivo. Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas. Debe contener: Motivos de la auditoria Introducción: objetivo y contenido del informe de auditoria Objetivos de la auditoría Alcance, cobertura de la evaluación realizada Estructuras Orgánicas Funcional del área informática Configuración del Hardware y software instalado Opinión: con relación a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones Ing.. Adin Sánchez S. Página 9

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback