Auditoria informática
Es un examen selectivo que evalúa la eficiencia del uso adecuado de los recursos informáticos y brindan el soporte adecuado para lograr las metas del negocio.
Los objetivos de la auditoria informática.
La auditorita informática no solo debe evaluar los equipos de cómputo sino también los sistemas de información en su funcionamiento desde la entrada hasta la salida.
Evalúa los centros a de información, el HW y SW.
Es muy importante para el desempeño de los sistemas de información
El alcance la auditoria define los limites en cómo va a desarrollarse la auditoria va a verificar que todo marche adecuadamente y esos mismo llevara a la auditoria informática a lograr el éxito.
Características de la auditoria informática.
La información de una empresa es y será lo más importante el cual se convierte en un activo real de la misma.
Los sistemas de información se deben proteger de manera global ya que contienen demasiada información de la empresa aquí trabaja la auditoria de seguridad informática.
En la auditoria de organización informática se lleva a cabo cuando la estructura de la informática cambia y se reorganiza.
Tipos y clases de auditorías.
Auditoria informática de explotación
Se encarga de producir los resultados informáticos en forma de listado de una forma automatizada. La transformación se realiza por medio del proceso informático.
Se divide en tres áreas:
Planificación
Producción
Soporte técnico
Auditoria informática de desarrollo de proyectos o aplicaciones.
Se encarga de la revisión de procesos completo de desarrollo de proyectos por parte de la empresa.
Se basa en cuatro aspectos fundamentales:
Revisión de las metodologías utilizadas
Satisfacción de usuarios
Control de procesos y ejecuciones de programas críticos
La auditoria informática de sistemas.
Es aquella que analiza las actividades técnicas de sistemas cumpliendo todas las facetas.
Sistemas operativos: verifica que los sistemas están actualizados en las últimas versiones del fabricante.
SW Básico: es la parte fundamental para auditar.
Tunning: Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto.
Administración de base de datos: verifican el diseño de la base de datos y que sea de relación.
Auditoria informática de comunicaciones y redes. En esta parte revisan la topología de la red y el análisis.
Auditoria de seguridad informática.
Se divide en dos:
Seguridad lógica. Se refiere a la seguridad del SW al uso que tiene a la protección de datos procesos y programas.
Seguridad física. Se refiere a la protección de HW y el soporte de datos.
Herramientas y técnicas para la auditoria informática.
Las herramientas que componen a la auditoria informática son las siguientes:
Cuestionario. Es una seria de preguntas.
Las ventajas que tiene un cuestionario son las siguientes:
*ahorro de tiempo
*aporta información generalizada
*facilita la confidencialidad
Desventajas
*Responde a objetivos descriptivos
*Impide profundizar en las respuestas, es superficial
*Resulta difícil de realizar
Entrevista. Es una actividad personal es la más importante para el auditor, esta recoge mas información.
La entrevista es un interrogatorio entre el auditor y el auditado con una serie de preguntas variadas.
Checklist es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Sus cuestionarios son vitales para el análisis del trabajo.
Trazas y/o Huellas el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras.
SW de interrogación. Es SW genérico capases de generar programas para auditores escasamente cualificados desde el punto de vista informático.
AUDITORIA INFORMATICA
jueves, 9 de septiembre de 2010
miércoles, 25 de agosto de 2010
REQUERIMIENTOS PARA SER AUDITOR INFORMÁTICO
Estos son algunos requerimientos :
I: Conocimientos del Sistema
II: Análisis de transacciones y recursos
III: Análisis de riesgos y amenazas
IV: Análisis de controles
V: Evaluación de Controles
VI: El Informe de auditoría
VII: Seguimiento de las Reco.
» Conocimientos generales.
* Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;
* Normas estándares para la auditoría interna;
* Políticas organizacionales sobre la información y las tecnologías de la información.
* Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.
* Aspectos legales;
» Herramientas.
* Herramientas de control y verificación de la seguridad;
* Herramientas de monitoreo de actividades, etc.
» Técnicas.
* Técnicas de Evaluación de riesgos;
* Muestreo;
* Cálculo pos operación;
* Monitoreo de actividades;
* Recopilación de grandes cantidades de información;
* Verificación de desviaciones en el comportamiento de la data;
* Análisis e interpretación de la evidencia, etc.
I: Conocimientos del Sistema
II: Análisis de transacciones y recursos
III: Análisis de riesgos y amenazas
IV: Análisis de controles
V: Evaluación de Controles
VI: El Informe de auditoría
VII: Seguimiento de las Reco.
» Conocimientos generales.
* Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;
* Normas estándares para la auditoría interna;
* Políticas organizacionales sobre la información y las tecnologías de la información.
* Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.
* Aspectos legales;
» Herramientas.
* Herramientas de control y verificación de la seguridad;
* Herramientas de monitoreo de actividades, etc.
» Técnicas.
* Técnicas de Evaluación de riesgos;
* Muestreo;
* Cálculo pos operación;
* Monitoreo de actividades;
* Recopilación de grandes cantidades de información;
* Verificación de desviaciones en el comportamiento de la data;
* Análisis e interpretación de la evidencia, etc.
RECURSOS NECESARIOS PARA REALIZAR UNA AUDITORIA
Determinación de recursos de la auditoría Informática
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
Cantidad y complejidad de Bases de Datos y Ficheros.
Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
a. Recursos materiales Software
b. Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable.
Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
Cantidad y complejidad de Bases de Datos y Ficheros.
Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
a. Recursos materiales Software
b. Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable.
Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.
PERFIL DE UN AUDITOR INFORMÁTICO
PERFILES PROFESIONALES DE LOS AUDITORES INFORMÁTICOS
Profesión Actividades y conocimientos deseables
Informático Generalista Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación.
Experto en Bases de Datos y Administración de las mismas. Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación
Experto en Software de Comunicación Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso.
Experto en Explotación y Gestión de CPD´S Responsable de algún Centro de Cálculo. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas.
Técnico de Organización Experto organizador y coordinador. Especialista en el análisis de flujos de información.
Técnico de evaluación de Costes Economista con conocimiento de Informática. Gestión de costes.
Profesión Actividades y conocimientos deseables
Informático Generalista Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación.
Experto en Bases de Datos y Administración de las mismas. Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación
Experto en Software de Comunicación Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso.
Experto en Explotación y Gestión de CPD´S Responsable de algún Centro de Cálculo. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas.
Técnico de Organización Experto organizador y coordinador. Especialista en el análisis de flujos de información.
Técnico de evaluación de Costes Economista con conocimiento de Informática. Gestión de costes.
Suscribirse a:
Entradas (Atom)