Auditoria de sistemas Homework

15

Transcript of Auditoria de sistemas Homework

Page 1: Auditoria de sistemas Homework
Page 2: Auditoria de sistemas Homework

Las metodologías son necesarias para desarrollar cualquier proyecto que nos

propongamos de manera ordenada y eficaz.

La auditoria de sistemas solo identifica el nivel de “exposición” por la falta de

controles mientras el análisis de riesgos facilita la evaluación de los riesgos y

recomienda acciones en base al costo-beneficio de la misma. Todas las

metodologías existentes en seguridad de sistemas van encaminadas a establecer

y mejorar un entramado de contramedidas que garanticen que la productividad

de que las amenazas se materialicen en hechos sea lo mas baja posible o al

menos quede reducida de una forma razonable en costo-beneficio.

Todas las metodologías existentes desarrolladas y utilizadas en la auditoria y el

control informático, se puede agrupar en dos grandes familias:

Page 3: Auditoria de sistemas Homework

Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la

realización del trabajo, están diseñadas par producir una lista de riesgos que

pueden compararse entre sí con facilidad por tener asignados unos valores

numérico. Están diseñadas para producir una lista de riesgos que pueden

compararse entre si con facilidad por tener asignados unos valores numéricos.

Estos valores son datos de probabilidad de ocurrencia de un evento que se

debe extraer de un riesgo de incidencias donde el numero de incidencias tiende

al infinito.

Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un

proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede

excluir riesgos significantes desconocidos (depende de la capacidad del

profesional para usar el check-list/guía). Basadas en métodos estadísticos y

lógica borrosa, que requiere menos recursos humanos / tiempo que las

metodologías cuantitativas.

Page 4: Auditoria de sistemas Homework

Ventajas:

Enfoque lo amplio que se desee.

Plan de trabajo flexible y reactivo.

Se concentra en la identificación de eventos.

Desventajas

• Depende fuertemente de la habilidad y calidad del personal involucrado.

• Identificación de eventos reales más claros al no tener que aplicarles

probabilidades complejas de calcular.

• Dependencia profesional.

Page 5: Auditoria de sistemas Homework

Papel de Trabajo: Instrumento que permite obtener información de una

auditoria o que permite evidenciar pruebas efectuadas en la ejecución del

trabajo

Los papeles de trabajo se utilizan para registrar en ellos hallazgos del

desarrollo de la auditoria.

También se dice que son documentos diseñados por el auditor teniendo en

cuenta el alcance la auditoria.

OBJETIVOS DE LOS PAPELES DE TRABAJO

Facilitar la preparación de la auditoria

Registrar evidencia de las pruebas realizadas

Ser fuente básica del informe final del auditor

Servir de registro histórico de las pruebas de auditoria aplicadas

Page 6: Auditoria de sistemas Homework

FORMA DE ORGANIZAR LOS DOCUMENTOS DE TRABAJO

Por uso del documento

a. Archivos permanentes: Documentos se pueden utilizar para varias auditorias

Ejemplo: Visión, Misión, infraestructura……..

b. Transitorios: Solo si van por la vigencia de la auditoria que los genera

Por contenido del trabajo: Según el contenido

Dependiendo del tipo de prueba para el que se usa o por el área auditada

Área auditada

Auditor que aplico

Tipo de auditoria

ESTRUCTURA DE UN PAPEL DE TRABAJO

Cuando se diseña un papel de trabajo se tienen que tener las siguientes especificaciones:

Nombre empresa auditada

Nombre papel de trabajo

Periodo auditado

Nombre de personas que aprueba, supervisan y ejecutan el trabajo

Fecha de terminación de cada papel

Identificación de la fuente de información y documentación comprobatoria según el caso

Método de verificación empleado

Alcance de los procedimientos – a donde queremos llegar

Conclusión con respecto a control interno

Recomendaciones

Page 7: Auditoria de sistemas Homework

PREGUNTAS PARA EVALUAR SI UN DOCUMENTO DE TRABAJO ESTA BIEN DISEÑADO

• La información que contiene el papel es necesario para la auditoria

• Se puede presentar esta información de una mejor manera o mejor forma

• Debe darse algún dato mas para su comprensión

SUPERVISIÓN DE LOS PAPELES DE TRABAJO

• Es una norma de auditoria y una responsabilidad directa del auditor

TECNICAS APLICABLES

Que instrumentos podemos aplicar para recolectar datos, Existen muchos métodos a continuación expongo algunos de ellos:

Encuestas: Reunión de datos obtenidos mediante consulta o interrogatorio referente a estados o aspectos importantes de la

empresa o de un sistemas.

Entrevista: Técnica de comunicación oral. A través de la cual se busca información de un evento especial

Experimentación: Técnica para probar y examinar las propiedades de un objeto o persona

Inventarios: Identificación de elementos de un área de estudio

Muestreos: Técnica para estudiar la distribución o comportamiento de un problema o situación especifica tomando una fracción

de la población o de algo.

Observación directa: Técnica para ver como se hacen las cosas

Pregunta: técnica para averiguar por hechos datos o situaciones.

Page 8: Auditoria de sistemas Homework

TENCINAS PARA LA EVALUACION

ANALISIS: Técnica para estudiar o examinar una situación en particular.

CALCULOS: Técnica utilizada para comprobar exactitud y operaciones.

CONFIRMACION: Técnica para comprobar por escrito información

proveniente de terceros.

CONCILIACION

COMPARACION: Técnica para establecer relación entre dos cosas.

EXAMEN: Técnica para averiguar o estudiar una cosa o hecho

INSPECCION: Técnica para examinar y reconocer un hecho

REVISION DE DOCUMENTOS: Técnica para estudiar documentos

importantes

Page 9: Auditoria de sistemas Homework

O B J E T I V O S D E L A AU D I T O R I A

I N F O R M Á T I C A

Control de la función informática

El análisis de la eficiencia de los sistemas informáticos

Verificación de la normativa general de la empresa en el ámbito informático

Revisión de la eficaz gestión de los recursos materiales y humanos informáticos

Tipos:

Interna

• Los recursos y personas pertenecen a la empresa auditada

• Es remunerada

• La organización la controla

Externa

• Los recursos y personas no pertenecen a la empresa auditada

• Es remunerada

• Distancia entre auditores y auditados: mayor objetividad

Auditoria Informática

Page 10: Auditoria de sistemas Homework
Page 11: Auditoria de sistemas Homework

PLANEACIÓN DE LA AUDITORIA

INF ORM ÁTICA

Permite dimensional el tamaño y las características del área

dentro de la organización a auditar

• Sistemas

• Organización

• Equipos

Page 12: Auditoria de sistemas Homework

HERRAMIENTAS A

UTILIZAR

Entrevistas

Visitas a la organización

Estudio de documentación y antecedentes

Cuestionarios

Encuestas

Aporte de la clase..

Page 13: Auditoria de sistemas Homework

ENTREVISTA A USUARIOS

Determinar el universo

Definir el objetivo

• Relevamiento de datos

• Comprobación de datos

Diseñarlas – Ver diseños apunte

Page 14: Auditoria de sistemas Homework

Estudio Preliminar

• Administración

• Sistemas

Personal

• Capacitado – practica profesional

• Valores morales y éticos

• Eficiente

• Pensar en los roles!!!

• Multidisciplinario • Solo técnicos …NO..Porque?

Page 15: Auditoria de sistemas Homework