METODOLOGÍA PARA
REALIZAR UNA AUDITORÍA INFORMÁTICA.
Fase I.-
Estudio Preliminar,
Fase II.-
Revisión y evaluación de controles y seguridades
Fase
III.- Examen detallado de áreas críticas.
Fase IV.-
Comunicación de resultados.
FASE
I.- ESTUDIO PRELIMINAR
En esta
fase el estudio es corto en tiempo y general en su investigación.
La
auditoría informática desarrolla actividades basado en un método de trabajo
formal, que sea entendido por los auditores en informática y complementado con técnicas
y herramientas propias.
Se tiene 2 etapas:
1.
Realizar el Estudio preliminar del entorno a auditar
2.
Identificar el Alcance y los Objetivos de la Auditoría
Informática (A.I.)
1
Etapa preliminar o diagnóstico del entorno a estudiar
Las
actividades del auditor en informática deben quedar bien definidas en los
componentes formales que integran cualquier trabajo dentro de una organización.
El primer
paso que tiene el auditor en informática dentro de las empresas al efectuar un
proyecto de auditoría en informática es hacer un diagnóstico del negocio,
que incluye a la alta dirección y las áreas usuarias.
Examinar
situación general de funciones y actividades generales de la informática. Considera los organigramas estructurales, personales funcionales
Conocimiento
de:
* Organización: Estructura organizativa del
Departamento de Informática a auditar
* Entorno de Operación: Entorno de trabajo
* Aplicaciones Informáticas: Procesos informáticos
realizados en la empresa auditada
Estructura
organizativa del Departamento de Informática a auditar. 
Departamentos:
Describir
sus funciones
Relaciones
Jerárquicas y funcionales
Flujos de
Información, tanto horizontales y verticales como extradepartamentales
Número de
Puestos de Trabajo
– Nombres de los puestos de trabajo
corresponden a funciones distintas:
Número de
Personas por Puesto de Trabajo
Estudio
Inicial: Entorno Operativo
· CPUs,
procesadores, PCs, periféricos, etc.
· Software
básico, software interno y software comprado
Comunicaciones
y Redes de Comunicación
· Líneas
de Comunicación
· Acceso
a red pública e intranet
Estudio
Inicial: Aplicaciones Informáticas
De manera general los tipos de organigramas son: estructural, personal y funcional
2.
Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)
Alcance
Entorno y
límites en que se realizará la A.I.
HASTA
DÓNDE SE LLEGA
Acuerdo
por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas
o cuando la empresa tiene varias sedes, de:
·
Funciones (Seguridad, Dirección, etc.)
·
Materias (S.O., BD, etc.)
·
Departamentos o Áreas Organizativas (Explotación, Sistemas, Comunicaciones,
etc.)
Su no
definición pondrá en peligro el éxito de la A.I.
Limitaciones:
QUÉ DEJA DE AUDITARSE
· Principalmente en materias que pueden suponerse
incluidas
Objetivos
Auditor
debe comprender con exactitud los deseos y pretensiones del cliente, para
cumplir con los objetivos
Objetivos
generales
* Controles Generales de la Gestión Informática
* Verificar normas del Departamento de Informática
y observar su consistencia con las del resto de la empresa
* Normas Generales de la Instalación Informática
Objetivos
específicos
– Necesidad
de auditar una materia de gran especialización
– Evaluación
del funcionamiento de áreas informáticas en un determinado departamento
–
Aumentos de seguridad y fiabilidad
EJERCICIO
La Empresa LIBER-PLUS, tiene presupuesto para la
realizar de un proyecto que será aprobado por el Ing. Juan Peña, Directivo
Principal de la Empresa, según un informe que le entregue el asesor Economista.
Luis Sosa,
Para esto intervienen diferente personal de la
institución, como por ejemplo
Ing. Irma Lara, economista Katy Vela, Ing. juan
Pérez, Lcda. Katy López, ing. Pablo Arcos, en los siguientes departamentos:
jefe de la unidad de repuesto industrial, director Industrial, asistente
industrial, dirección financiera, y dirección de presupuesto, respectivamente
La ing. Lara presenta el proyecto al director
industrial, el mismo que es encargado de receptar, y registrar para
posteriormente enviar a su asistente para que elabore los trámites y
requerimientos necesarios, archive dicha documentación este emite un informe de
los requerimientos al asesor para que los almacene en una base de datos y
posteriormente entregarle al Ing. Peña, toma la decisión, si es aceptada
le comunica a su asistente Andrea Torres para que elabore el memo respectivo y
pase a la Lcda. López, ella a su vez registra la documentación y envía una
copia a presupuesto para que realicen la certificación presupuestaria requerida
y comunique oficialmente al Director para la entrega oficial de aprobación de
dicho proyecto al encargado del proyecto
FASE II
REVISIÓN Y EVALUACIÓN DE CONTROLES Y SEGURIDADES.
Abarca la revisión de los diferentes diagramas de flujo de procesos
como la realización de pruebas de cumplimiento de las seguridades informáticas
existentes, la revisión de aplicaciones de las áreas críticas, la revisión de procesos históricos (backups), la revisión de
documentación y archivos, entre otras actividades de importancia que nos
permitan tener una idea más clara del entorno.
Objetivos de la evaluación
• Verificar la existencia de los controles
requeridos
• Determinar la operatividad y suficiencia de
los controles existentes
CONTROLES
Conjunto de
disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se realiza conforme a los
programas adoptados, órdenes impartidas y principios admitidos.
Las herramientas de control: son los elementos software que
permiten definir uno o varios procedimientos de control para cumplir una
normativa y un objetivo de control.
La seguridad en la
informática abarca los conceptos de:
seguridad física y seguridad lógica.
La seguridad física
se refiere a la protección del Hardware y de los soportes de datos, así como a
la de los edificios e instalaciones que los albergan.
La seguridad lógica
se refiere a la seguridad de uso del software, a la protección de los datos,
procesos y programas, así como el acceso de los
usuarios a la información.
La informática crea riesgos informáticos, los cuales pueden
causar grandes problemas en entidades, por lo cual hay que proteger y preservar
dichas entidades con un entramado de contramedidas, la calidad y la eficacia de
la mismas es el objetivo a evaluar para poder identificar así sus puntos
débiles y mejorarlos, esta es una función de los auditores informáticos.
Fase III:
EXAMEN DETALLADO DE ÁREAS CRÍTICAS
Con las fases anteriores el auditor descubre las áreas críticas y sobre
ellas establecerá motivos, objetivos, alcance, recursos, metodología de
trabajo, duración, plan de trabajo y análisis del problema.
Con las fases anteriores
el auditor descubre las áreas críticas y sobre ellas hace:
- Un estudio y análisis profundo en
los que definirá concretamente su grupo de trabajo y la distribución de carga
del mismo
- Establecerá los motivos,
objetivos, alcance recursos que usará
- Definirá la metodología de
trabajo y la duración de la auditoría
- Presentará el plan de trabajo y
analizará detalladamente cada problema encontrado con todo lo anteriormente
analizado.
Fase IV:
INFORME DE
AUDITORÍA.- COMUNICACIÓN DE RESULTADOS
Se elaborará del borrador del informe a ser discutido con los ejecutivos
de la empresa hasta llegar al definitivo. Este informe debe prepararse una vez
obtenidas y analizadas las respuestas de compromiso de las áreas.
Debe contener:
- Motivos
de la auditora
- Introducción:
objetivo y contenido del informe de auditoria
- Objetivos
de la auditoría
- Alcance,
cobertura de la evaluación realizada
- Estructuras
Orgánicas –Funcional del área informática Configuración del Hardware y software
instalado
- Opinión:
con relación a la suficiencia del control interno del sistema evaluado
- Hallazgos
- Recomendaciones
