Principales áreas de la Auditoría Informática

Nombre: MERY LOPEZSEMESTRE : VI SISTEMAS

AÑO: 2013

La Auditoría Física

La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales en un centro de procesamiento de información. Existen tres momentos para responder ante una falla en esta área, relacionados con la cronología de la misma

Fuentes de la auditoría física

O Políticas, normas y planes sobre seguridad

O Auditorías anterioresO Contratos de Seguros, de Proveedores y

de MantenimientoO Entrevistas con el personal de

seguridad, informático y de otras actividades (limpieza y mantenimiento…)

O Actas e informes de técnicos y consultores

O Plan de contingencia y valoración de las pruebas

O Informes sobre accesos y visitasO Informes sobre pruebas de evacuación

ante diferentes tipos de amenazaO Informes sobre evacuaciones realesO Políticas de personalO Inventarios de soportes (cintoteca, back-

up, procedimientos de archivo, control de copias, etc.)

La Auditoría Ofimática

La Ofimática se define como los programas o aplicaciones que en conjunto sirven de herramienta para generar, procesar, almacenar, recuperar, comunicar y presentar la información en un lugar de trabajo, así como de forma domésticaO Usualmente estas herramientas de ofimática

incluyen:O Aplicaciones de productividad personal O Administradores de Bases de DatosO Hojas de cálculo O Procesadores de Textos O Presentadores de ideas O Gráficos

Economía, eficacia y eficiencia

O aplicaciones existentes en la organizaciónO Determinar y evaluar el procedimiento de

adquisiciones de equipos y aplicacionesO Determinar y evaluar la política de

mantenimiento definida en la organizaciónO Evaluar la calidad de las aplicaciones del

entorno ofimático desarrollada por el personal de la propia organización

O Evaluar la corrección del procedimiento existente para la realización de los cambios de versiones y aplicaciones

La Auditoría de la Dirección 

De manera general, algunas de las actividades básicas de la dirección son planificar, organizar, coordinar y controlarPlanificar Trata de prever la utilización de las TI’s e la empresa. Existen varios tipos de planes informáticos, siendo el principal el Plan Estratégico de Sistemas de Información; de este plan se derivan otros, tales como el Plan Operativo Anual, de Dirección Tecnológica, de Arquitectura de la Información y de Recuperación de desastres

La Auditoría de la Explotación

El nivel de competencia que existe entre las empresas les obliga a tomar decisiones rápidas y acertadas, por lo que el funcionamiento adecuado y la continua actualización de los SI son muy necesarios. Los recursos de los SI se han de utilizar de forma que permitan la eficacia y eficiencia de la empresa, además de que deben asegurar la confidencialidad de sus datos.O Para hacer el seguimiento y comprobar que el SI está

actuando como debe, éste habrá de disponer de un control interno que prevenga los eventos no deseados, o en su defecto que los detecte y los corrija.

O Para esta área de la auditoría es posible seguir la guía de clasificación de los controles que hace el proyecto CobiT (es un marco reconocido internacionalmente, que permite la estandarización de criterio relacionado con controles sobre TI

Clasificación de los controles de las aplicaciones:

O Controles sobre la captura de datos (altas, modificaciones y consultas de movimientos, mantenimiento de archivos)

O Controles de proceso (entrada de datos repetidos, procesamiento y actualización de archivos equivocados, entrada de datos ilógicos, pérdida o distorsión de datos durante el proceso)

O Actividades y tareasO Necesarias para alcanzar un resultado cuantificable.O ProcesosO Serie de actividades o tareas unidas.O DominiosO Los procesos se agrupan de forma natural dando lugar a los dominios, son

cuatro para CobiT:O planificación y organizaciónO adquisición e implementaciónO suministro y mantenimientoO monitorización

La Auditoría del Desarrollo

La auditoría de desarrollo trata de verificar la existencia y aplicación de procedimientos de control adecuados que permitan garantizar que el desarrollo de SI se ha llevado a cabo siguiendo los principios de ingeniería de SW (entendiéndose por Ingeniería de SW el establecimiento y uso de principios de ingeniería robustos, orientados a obtener SW económico que sea fiable, cumpla con los requisitos previamente establecidos y funcione de manera eficiente sobre máquinas reales)

Auditoría de la organización y administración del área de desarrollo

El área debe tener y difundir su propio plan a corto, mediano y largo plazo. Se debe comprobar que: El plan existe, es claro y realista; los recursos actuales y los que se planifica se integrarán posteriormente son suficientes para su cumplimiento; se revisa y actualiza periódicamente en función de las nuevas situaciones; se difunde a todos los empleadosEl personal del área de desarrollo debe contar con la formación adecuada y estar motivado para realizar su trabajo