FASES DE LA AUDITORIA INFORMÁTICA

De -
FASES DE LA AUDITORIA INFORMÁTICA
FASE I: CONOCIMIENTOS DEL SISTEMA
*      Aspectos Legales y Políticas Internas: Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación.

*      Características del Sistema Operativo:
Organigrama del área que participa en el sistema, Informes de auditoría realizada anteriormente.
Manual de funciones de las personas que participan en los procesos del sistema
Informes de auditoría realizada anteriormente

*      Características de la aplicación de computadora:
Manual técnico de la aplicación del sistema, Equipos utilizados en la aplicación de computadora.
Funcionarios (usuarios) autorizados para administrar la aplicación
Equipos utilizados en la aplicación de computadora
Seguridad de la aplicación (claves de acceso)
Procedimientos para generación y almacenamiento de los archivos de la aplicación.
FASE 2: ANÁLISIS DE LAS TRANSACCIONES
*      Definición de las transacciones.
Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos.  La importancia de las transacciones deberá ser asignada con los administradores.

*      Establecer el flujo de los documentos.
En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos.

*      Identificar y codificar los recursos que participan en el sistema.
*      Relación entre transacciones y recursos.


FASE III: ANÁLISIS DE RIESGOS Y AMENAZAS
*      Identificación de riesgos.
Daños físicos o destrucción de los recursos.
Pérdida por fraude o desfalco.
Extravío de documentos fuente, archivos o informes.
Robo de dispositivos o medios de almacenamiento.

*      Identificación de las amenazas.
Amenazas sobre los equipos:
Amenazas sobre documentos fuente.
Amenazas sobre programas de aplicaciones.

*      Relación entre recursos/amenazas/riesgos.
La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.
FASE IV: ANÁLISIS DE CONTROLES
*      Codificación de controles.
Los controles  se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles debe contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.

*      Relación entre recursos/amenazas/riesgos.
La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado.  Para cada tema debe establecerse uno o más controles.

*      Análisis de cobertura de los controles requeridos.
Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos. 


FASE V: EVALUACIÓN DE CONTROLES
*      Objetivos de la evaluación.
Verificar la existencia de los controles requeridos.
Determinar la operatividad y suficiencia de los controles existentes.

*      Plan de pruebas de los controles.
Incluye la selección del tipo de prueba a realizar.
Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.

*      Pruebas de controles.
*      Análisis de resultados de las pruebas.
FASE VI: INFORME DE AUDITORIA
*      Informe detallado de recomendaciones.
*      Evaluación de las respuestas.
*      Informe resumen para la alta gerencia.
Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas.
Introducción: Objetivo  y contenido del informe de auditoria
Objetivos de la auditoría
Alcance: Cobertura de la evaluación realizada
Opinión: Con relación a la suficiencia del control interno del sistema evaluado
Hallazgos.
Recomendaciones.
FASE VII: SEGUIMIENTO DE RECOMENDACIONES
*      Informes del seguimiento.
*      Evaluación de los controles implantados.


Comentarios

Publicar un comentario

Entradas populares de este blog

RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

De -
RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar las siguientes actividades: Ø   Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc. Ø   Análisis de la administración de Sistemas de Información,  desde un punto de vista de riesgo de seguridad,  administración y efectividad de la administración. Ø   Análisis de la integridad, fiabilidad y certeza de la  información a través del análisis de aplicaciones. Ø   Auditoría del riesgo operativo de los circuitos de  información Ø   Análisis de la administración de los riesgos de la  información y de la seguridad implícita. Ø   Verificación del nivel de continuidad de las operaciones. Ø   Análisis del Estado del Arte tecnológico de ...
Leer más

RESUMEN Película Duro de Matar 4.0

De -
RESUMEN Película Duro de Matar 4.0 En la película Duro de Matar 4.0 se pueden apreciar muchos aspectos que tienen que ver con la seguridad informática. El aspecto más importante de todos es que se estaba planeando un ciber-ataque contra el Departamento de Seguridad Nacional de USA, esta institución tenia precisamente como objetivo principal evitar esta clase de actos terroristas, aunque en verdad no fue así, ya que el hacker que estaba llevado a cabo el ataque era alguien que trabajaba en dicho de departamento pero había sido despedido. El hacker realiza este ataque por pura venganza, puesto que fue ridiculizado por sus superiores cuando les dijo que la seguridad del sistema era vulnerable a ataques. Luego el hacker se va del departamento y realiza este ciber-ataque para demostrar que él tenía la razón. Con relación a la auditoria de sistemas, en la película se evidenciaron grandes fallas en cuanto a la seguridad física y lógica de los sistemas. En cuanto a la seguridad física e...
Leer más

Objetivo de los Controles

De -
  Objetivo de los Controles El Control es uno de los pilares en que se fundamenta la administración. Un concepto simple de lo que significa el control sería el de la "medición de resultados actuales y pasados, en relación con los esperados, ya sea total o parcialmente, con el fin de corregir, mejorar y formular nuevos planes". En sí el control busca recolectar sistemáticamente datos para conocer la realización de los planes. Con los avances tecnológicos y el éxito que tienen los sistemas de comunicación, es posible en muchos casos obtener una "retroalimentación" de las informaciones que resultan del control mismo, y utilizarlas para que la acción correctiva se inicie de forma automática, con lo cual, no hay que esperar hasta que se produzcan íntegramente los resultados para poner en obra la acción correctiva: un procedimiento previamente establecido, va corrigiendo la acción constantemente, con base en esos resultados, sin necesidad de detenerla. Los controle...
Leer más