jueves, 9 de septiembre de 2010

Auditoria informática


Es un examen selectivo que evalúa la eficiencia del uso adecuado de los recursos informáticos y brindan el soporte adecuado para lograr las metas del negocio.

Los objetivos de la auditoria informática.

La auditorita informática no solo debe evaluar los equipos de cómputo sino también los sistemas de información en su funcionamiento desde la entrada hasta la salida.

Evalúa los centros a de información, el HW y SW.

Es muy importante para el desempeño de los sistemas de información

El alcance la auditoria define los limites en cómo va a desarrollarse la auditoria va a verificar que todo marche adecuadamente y esos mismo llevara a la auditoria informática a lograr el éxito.

Características de la auditoria informática.

La información de una empresa es y será lo más importante el cual se convierte en un activo real de la misma.

Los sistemas de información se deben proteger de manera global ya que contienen demasiada información de la empresa aquí trabaja la auditoria de seguridad informática.

En la auditoria de organización informática se lleva a cabo cuando la estructura de la informática cambia y se reorganiza.

Tipos y clases de auditorías.


Auditoria informática de explotación

Se encarga de producir los resultados informáticos en forma de listado de una forma automatizada. La transformación se realiza por medio del proceso informático.

Se divide en tres áreas:

Planificación

Producción

Soporte técnico

Auditoria informática de desarrollo de proyectos o aplicaciones.

Se encarga de la revisión de procesos completo de desarrollo de proyectos por parte de la empresa.

Se basa en cuatro aspectos fundamentales:

Revisión de las metodologías utilizadas

Satisfacción de usuarios

Control de procesos y ejecuciones de programas críticos

La auditoria informática de sistemas.

Es aquella que analiza las actividades técnicas de sistemas cumpliendo todas las facetas.

Sistemas operativos: verifica que los sistemas están actualizados en las últimas versiones del fabricante.

SW Básico: es la parte fundamental para auditar.

Tunning: Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto.

Administración de base de datos: verifican el diseño de la base de datos y que sea de relación.

Auditoria informática de comunicaciones y redes. En esta parte revisan la topología de la red y el análisis.

Auditoria de seguridad informática.

Se divide en dos:

Seguridad lógica. Se refiere a la seguridad del SW al uso que tiene a la protección de datos procesos y programas.

Seguridad física. Se refiere a la protección de HW y el soporte de datos.

Herramientas y técnicas para la auditoria informática.

Las herramientas que componen a la auditoria informática son las siguientes:

Cuestionario. Es una seria de preguntas.

Las ventajas que tiene un cuestionario son las siguientes:

*ahorro de tiempo

*aporta información generalizada

*facilita la confidencialidad

Desventajas

*Responde a objetivos descriptivos

*Impide profundizar en las respuestas, es superficial

*Resulta difícil de realizar

Entrevista. Es una actividad personal es la más importante para el auditor, esta recoge mas información.

La entrevista es un interrogatorio entre el auditor y el auditado con una serie de preguntas variadas.

Checklist es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Sus cuestionarios son vitales para el análisis del trabajo.

Trazas y/o Huellas el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras.

SW de interrogación. Es SW genérico capases de generar programas para auditores escasamente cualificados desde el punto de vista informático.

miércoles, 25 de agosto de 2010

REQUERIMIENTOS PARA SER AUDITOR INFORMÁTICO

Estos son algunos requerimientos :

I: Conocimientos del Sistema

II: Análisis de transacciones y recursos

III: Análisis de riesgos y amenazas

IV: Análisis de controles

V: Evaluación de Controles

VI: El Informe de auditoría

VII: Seguimiento de las Reco.

» Conocimientos generales.

* Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;

* Normas estándares para la auditoría interna;

* Políticas organizacionales sobre la información y las tecnologías de la información.

* Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.

* Aspectos legales;

» Herramientas.

* Herramientas de control y verificación de la seguridad;

* Herramientas de monitoreo de actividades, etc.

» Técnicas.

* Técnicas de Evaluación de riesgos;

* Muestreo;

* Cálculo pos operación;

* Monitoreo de actividades;

* Recopilación de grandes cantidades de información;

* Verificación de desviaciones en el comportamiento de la data;

* Análisis e interpretación de la evidencia, etc.

RECURSOS NECESARIOS PARA REALIZAR UNA AUDITORIA

Determinación de recursos de la auditoría Informática


Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.

Recursos materiales

Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

Cantidad y complejidad de Bases de Datos y Ficheros.

Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.

Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

a. Recursos materiales Software

b. Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado.

Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable.

Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.

PERFIL DE UN AUDITOR INFORMÁTICO

PERFILES PROFESIONALES DE LOS AUDITORES INFORMÁTICOS


Profesión Actividades y conocimientos deseables

Informático Generalista Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.

Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes.

Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación.

Experto en Bases de Datos y Administración de las mismas. Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación

Experto en Software de Comunicación Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso.

Experto en Explotación y Gestión de CPD´S Responsable de algún Centro de Cálculo. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas.

Técnico de Organización Experto organizador y coordinador. Especialista en el análisis de flujos de información.

Técnico de evaluación de Costes Economista con conocimiento de Informática. Gestión de costes.