METODOLOGÍA PARA REALIZAR UNA
AUDITORÍA INFORMÁTICA.-
Fase I.- Estudio Preliminar,
Fase II, Revisión y evaluación de controles
y seguridades
Fase
III, Examen detallado de áreas críticas.
Fase IV.
Comunicación de resultados.
FASE I.- ESTUDIO PRELIMINAR
En esta fase
preliminar el estudio es corto en tiempo y general en su investigación.
La auditoría
informática desarrolla actividades basado en un método de trabajo formal, que
sea entendido por los auditores en informática y complementado con técnicas y
herramientas propias.
Las metodologías: son necesarias para desarrollar cualquier
proyecto que se quiera hacer de forma ordenada y eficaz.
1. Realizar el Estudio preliminar
del
entorno a auditar
2. Identificar el Alcance y
los Objetivos de la Auditoría Informática (A.I.)
1 Etapa preliminar o diagnóstico
Realizar el Estudio Preliminar
del entorno a auditar. Las actividades del auditor en informática deben quedar
bien definidas en los componentes formales que integran cualquier trabajo
dentro de una organización. En esta fase, se visualizan los primeros síntomas,
los cuales posteriormente pueden ser los más relevantes
El primer paso que tiene el auditor en informática dentro de las
empresas al efectuar un proyecto de auditoría en informática es hacer un diagnóstico del negocio, que
incluye a la alta dirección y las áreas usuarias.
Examinar
situación general de funciones y actividades generales de la informática
Conocimiento
de:
–
Organización: Estructura organizativa del
Departamento de Informática a auditar
–
Entorno de Operación: Entorno de trabajo
–
Aplicaciones Informáticas: Procesos informáticos
realizados en la empresa auditada
•
Bases de Datos
•
Ficheros
Organización
Estructura
organizativa del Departamento de Informática a auditar.
Departamentos:
describir sus funciones
Relaciones
Jerárquicas y funcionales
–
1 Empleado con dos Jefes
Flujos de
Información, tanto horizontales y verticales como extradepartamentales
Número de
Puestos de Trabajo
–
Nombres de los puestos de trabajo corresponden a
funciones distintas: Deficiencias en estructura si varios nombres con 1 función
Número de
Personas por Puesto de Trabajo
–
Distribución de recursos ineficiente
–
Necesidad de reorganización
Aquí el auditor se coordina directamente con el responsable de la
función de informática.
Estudio
Inicial: Entorno Operativo
Situación
Geográfica
·
Diferentes CPDs, (Centros de Procesamientos de
Datos), con responsables
Arquitectura
y Configuración Hardware y Software
·
Configuración de diferentes CPDs compatible y estén
intercomunicados
Inventario
Hardware y Software
·
CPUs, procesadores, PCs, periféricos, etc.
·
Software básico, software interno y software
comprado
Comunicaciones
y Redes de Comunicación
·
Líneas de Comunicación
·
Acceso a red pública e intranet
En esta parte el auditor conocerá la estructura interna de informática,
funciones, objetivos, estrategias, planes y políticas.
Estudio
Inicial: Aplicaciones Informáticas
Procedimientos Informáticos realizados en la empresa
Volumen, Antigüedad y Complejidad de las aplicaciones
·
Periodicidad de ejecuciones de carga de trabajo
Metodología de desarrollo de aplicaciones
Documentación de aplicaciones
·
Mantenimiento es el 70% de recursos
Cantidad y Complejidad de Bases de Datos y Ficheros
·
Tamaño y características de BD y Ficheros
·
Número de Accesos a BD y Ficheros
·
Frecuencia de Actualización
2.
Identificar el Alcance y los Objetivos de la Auditoría Informática
(A.I.)
Alcance
Entorno y
límites en que se realizará la A.I.
HASTA DÓNDE
SE LLEGA
Acuerdo por
escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o
cuando la empresa tiene varias sedes, de:
·
Funciones (Seguridad, Dirección, etc.)
·
Materias (S.O., BD, etc.)
·
Departamentos o Áreas Organizativas (Explotación,
Sistemas, Comunicaciones, etc.)
Su no
definición pondrá en peligro el éxito de la A.I.
Limitaciones:
QUÉ DEJA DE AUDITARSE
· Principalmente
en materias que pueden suponerse incluidas
Objetivos
Auditor debe
comprender con exactitud los deseos y pretensiones del cliente, para cumplir
con los objetivos
Objetivos
generales
Operatividad
de los S.I.
–
Controles Generales de la Gestión Informática
–
Verificar normas del Departamento de Informática y
observar su consistencia con las del resto de la empresa
•
Normas Generales de la Instalación Informática
•
Procedimientos Generales y Específicos del
Departamento de Informática (p.e. una aplicación no pasa a Explotación sin su
correspondiente Documentación)
–
Comprobar que no existen contradicciones con normas
y procedimientos generales de la empresa
Interlocutores
–
Personas con poder de decisión y validación dentro
de la empresa
–
Personas a las que va dirigido el informe
Objetivos
específicos
–
Necesidad de auditar una materia de gran especialización
–
Contrastar algún informe interno con el que resulte
del externo
–
Evaluación del funcionamiento de áreas informáticas
en un determinado departamento
–
Aumentos de seguridad y fiabilidad
FASE II, REVISIÓN Y EVALUACIÓN DE CONTROLES
Y SEGURIDADES.
Abarca la
revisión de los diferentes diagramas de flujo de procesos como la realización
de pruebas de cumplimiento de las seguridades informáticas existentes, la
revisión de aplicaciones de las áreas críticas, la revisión de procesos históricos (backups), la revisión de
documentación y archivos, entre otras actividades de importancia que nos
permitan tener una idea más clara del entorno.
Fase II: Evaluación de Controles
Objetivos de la evaluación
• Verificar la existencia de los controles requeridos
• Determinar la operatividad y suficiencia de los controles
existentes
Plan de pruebas de los
controles
• Incluye la selección del tipo de prueba a realizar.
• Debe solicitarse al área respectiva, todos los elementos
necesarios de prueba.
CONTROLES
Conjunto de disposiciones metódicas, cuyo fin
es vigilar las funciones y actitudes de las empresas y para ello permite
verificar si todo se realiza conforme a los programas adoptados, órdenes
impartidas y principios admitidos.
Los procedimientos de control: son los procedimientos
operativos de las distintas áreas de la empresa, obtenidos con una metodología
apropiada, para la consecución de uno o varios objetivos de control, cual deben
estar aprobados por la dirección.
Las herramientas de control: son los elementos software que
permiten definir uno o varios procedimientos de control para cumplir una normativa
y un objetivo de control.
La seguridad en la informática abarca los
conceptos de seguridad física y seguridad lógica.
La seguridad física se refiere a la
protección del Hardware y de los soportes de datos, así como a la de los
edificios e instalaciones que los albergan. Contempla las situaciones de
incendios, sabotajes, robos, catástrofes naturales, etc.
La seguridad lógica se refiere a la seguridad
de uso del software, a la protección de los datos, procesos y programas, así
como la del ordenado y autorizado acceso de los usuarios a la información.
El sistema integral de seguridad debe
comprender:
•
Elementos administrativos
•
Definición de una política de seguridad
•
Organización y división de responsabilidades
•
Seguridad física y contra catástrofes (incendio, terremotos, etc.)
•
Prácticas de seguridad del personal
•
Elementos técnicos y procedimientos
•
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
•
Aplicación de los sistemas de seguridad, incluyendo datos y
archivos
• El
papel de los auditores, tanto internos como externos
• Planeación
de programas de desastre y su prueba.
La informática crea riesgos informáticos, los cuales pueden
causar grandes problemas en entidades, por lo cual hay que proteger y preservar
dichas entidades con un entramado de contramedidas, la calidad y la eficacia de
la mismas es el objetivo a evaluar para poder identificar así sus puntos
débiles y mejorarlos, esta es una función de los auditores informáticos. Una
contramedida nace de la composición de varios factores como:
Análisis de plataformas
Se trata de en determinar la plataforma para la colocación
del producto más tarde.
Catálogos de requerimientos previos
de implantación
Es determinar el inventario de lo que se va a conseguir y lo
necesario para la implantación; acciones y proyectos, calendarizados, duración
y seguimiento.
Análisis de aplicación
Se trata de inventariar las necesidades de desarrollo de
INTERFASES con el diferente software de seguridad de las aplicaciones y bases
de datos
Fase III: EXAMEN DETALLADO DE ÁREAS CRÍTICAS
Con las fases anteriores el auditor descubre las áreas críticas y sobre
ellas establecerá motivos, objetivos, alcance, recursos, metodología de
trabajo, duración, plan de trabajo y análisis del problema.
◦
Con las fases anteriores
el auditor descubre las áreas críticas y sobre ellas hace:
◦
Un estudio y análisis profundo en los que definirá
concretamente su grupo de trabajo y la distribución de carga del mismo
◦
Establecerá los motivos, objetivos, alcance
recursos que usará
◦
Definirá la metodología de trabajo y la duración de
la auditoría
◦
Presentará el plan de trabajo y analizará
detalladamente cada problema encontrado con todo lo anteriormente analizado.
Fase IV: INFORME DE AUDITORÍA.-
COMUNICACIÓN DE RESULTADOS
Se elaborará del borrador del informe a ser discutido con los ejecutivos
de la empresa hasta llegar al definitivo. Este informe debe prepararse una vez
obtenidas y analizadas las respuestas de compromiso de las áreas.
Debe contener:
- · Motivos de la auditoria
- · Introducción: objetivo y contenido del informe de auditoria
- · Objetivos de la auditoría
- · Alcance, cobertura de la evaluación realizada
- · Estructuras Orgánicas –Funcional del área informática Configuración del Hardware y software instalado
- · Opinión: con relación a la suficiencia del control interno del sistema evaluado
- · Hallazgos
- · Recomendaciones