Actividad #1
Objetivos De la Auditoria Informatica
domingo, 28 de febrero de 2010
jueves, 25 de febrero de 2010
ENCUESTA Y ENTREVISTA
ENTREVISTA
Para el encargado del área de redes
1.-¿Con cuántas áreas de cómputo cuentan?
2.-¿De cuántos equipos de cómputo consta cada área?
3.-¿Con cuánto servidores cuentan?
4.-¿Qué tipo de servidores utilizan?
5.-¿Qué Sistema Operativo utilizan los equipos de cómputo?
6.-¿El software utilizado cuenta con licencia?
7.-¿Qué topología de red utilizan?
8.-¿Qué tipo de cableado utilizan?
9.-¿Cuentan con redes inalámbricas?
10.-¿Qué alcance tienen?
ENCUESTA
Para el encargado del área de redes
1.-¿Las redes con las que cuentan tienen un buen funcionamiento?
SI NO
2.-¿Las redes han tenido fallas últimamente?
SI NO
3.-¿Todo el equipo de redes funciona correctamente?
SI NO
4.-¿Actualizan constantemente el equipo de redes?
SI NO
5.-¿Actualizan constantemente el software de los equipos?
SI NO
6.-¿Realizan mantenimiento constantemente a las redes?
SI NO
7.-¿Cuentan con un plan de contingencia en caso de que una red falle?
SI NO
domingo, 14 de febrero de 2010
Principio de comportamiento profesional
Se refiere a que para que un auditor pueda realizar su función debe contar con los conocimientos técnicos y debe estar preparado para visualizar todos los errores que puedan presentarse al momento de realizar la auditoría además de que debe guardar un respeto por la política de la empresa que audita.
Principio de concentración en el trabajo
Se refiere a que aunque un auditor tenga exceso de trabajo, eso no debe interferir en la auditoría que esté realizando actualmente, es decir, debe permanecer concentrado para no tomar decisiones erróneas. Además de que no debe copiar conclusiones de otros trabajos sólo porque tiene mucho trabajo ya que no todas las auditorías son iguales y las empresas merecen que se les den resultados óptimos para poder tomar las medidas necesarias.
Principio de confianza
Se refiere a que el auditor debe realizar su trabajo de forma transparente para que la persona encargada de la empresa confíe en que la auditoría que se está llevando a cabo en su empresa es fidedigna y asimismo coopere para la realización de la misma.
Principio de criterio propio
Cada auditor debe tener su propio criterio a la hora de realizar la auditoría y no permitir que nadie interfiera en sus puntos de vista o percepciones.
Principio de discreción
Se refiere a que el auditor debe tener una cierta discreción en la divulgación de datos, es decir, debe saber que es lo que puede decir y que no.
Principio de economía
Se refiere a que el auditor debe cooperar realizando de forma correcta la auditoría, ya que con esto propicia a que la empresa conserve su estado económico al evitar gastos innecesarios.
Principio de formación contínua
Se refiere a que el auditor esté en constante preparación o actualizado en cuanto a los métodos utilizados por ejemplo.
Principio de fortalecimiento y respeto a la profesión
Se refiere a que los auditores deben realizar bien sus conclusiones para que por medio de ellas se conserve el respeto a su profesión, o en pocas palabras realizar bien su trabajo.
Principio de independencia.
Se refiere a que nadie lo debe ni puede ayudarlo al momento de realizar su auditoría debe tener total autonomía.
Principio de información suficiente
Se refiere que el auditor debe ser claro y preciso con la información de resultados que le brindará al auditado.
Principio de integridad moral
Se refiere a que el auditor debe ser honesto, leal y diligente en el desempeño de su misión.
viernes, 5 de febrero de 2010
Conceptos vistos en clase
EVALUACIÓN DEL RIESGO
Este tema se refiere a analizar los posibles riesgos que puedan ocurrir en un futuro y de manera imprevista en alguna empresa, institución, etc.
CRITICIDAD DE LAS APLICACIONES
Este tema se refiere a los métodos o aplicaciones que son muy necesarios para cierta empresa.
TECNOLOGIA USADA
Este tema se refiere a que es un factor muy importante al momento de realizar una auditoría ya que los auditores analizan que tecnología se utiliza cuando se realiza una auditoría en el campo de la informática.
MARCO LEGAL
En este tema se analiza que todo sea legal por ejemplo que el hardware y software sean originales.
SECTOR ENTIDAD
Este tema se refiere a las secciones que puede haber en determinada empresa o lugar y a su vez cada una de esas secciones se pueden auditar de manera individual o global.
MOMENTO
Se refiere al tiempo que se tarda en realizar una auditoría.
AMENAZAS Y PESO
Este tema se refiere a aquellos riesgos que pueden surgir y el peso puede ser mas grande que la propia amenaza ya que no se sabe que tanto pueda dañar. hay diversas herramientas que se utilizan en una auditoría para determinar que peso tienen las amenazas.
¿QUE HACER CON EL RIESGO?
Se pueden eliminar, disminuir, transferir o asumir dependiendo del riesgo por ejemplo si un riesgo no se puede eliminar se puede transferir a alguna área donde no cause tanto daño.
PLAN DE CONTINGENCIA
En este tema se refiere a saber los requisitos mínimos con los que una empresa puede funcionar.
identificar las alternativas de solución a los posibles problemas que puedan suceder y analizar la relación costo-beneficio de cada una d las alternativas.
DOCUMENTACION.
Para llevar a cabo el plan de debe hacer lo siguiente:
Objetivo del plan.- En este paso se plante lo de que se busca hacer en este plan.
Modo de ejecución.- Este paso habla de que todo se hace en un orden definido o mejor dicho que se debe llevar una secuencia de lo que se realiza.
Tiempo de duración.- Se debe saber el tiempo en que se tardaran en la realización de la auditoria.
Costos estimados.- Se debe tener una idea de lo que se va a gastar o un plan de costos estándar para de ahí basarse y no haya perdidas.
Recursos necesarios.- Se debe llevar el material necesario para la auditoria ya que se utiliza material muy costoso y se debe tener mucho cuidado con el.
Evento a partir del cual se pondrá en marcha.- En base a algún evento se realiza la auditoria.
Personas encargadas de llevar a cabo el plan.- Son personas que deben estar capacitadas para la realización de su trabajo ya que la responsabilidad que recae en ellas es mucha y puede costar hasta la quiebra de la empresa.
VALIDACION DEL PLAN DE CONTINGENCIA.
Para la validación de este plan de sebe pasar por manos primero del jefe inmediato de la persona encargada después de haber pasado y revisado por el jefe los que le dan la validación por decirlo así son los de protección civil ellos dicen si esta bien planteado el plan de contingencia.
PRUEBAS DE VIABILIDAD.
En estas pruebas se pone en manifiesto que:
Los procedimientos estén completos.
Que los materiales y registros vitales están disponibles.
Que los backup documentación y trabajo en procesos son los adecuados y están actualizados.
Que el personal ha sido capacitado adecuadamente.
Se deben realizar todas estas pruebas para que la validación del plan sea mas factible o sencilla de conseguir.
DEFINIR Y DOCUMENTAR LAS PRUEBAS DEL PLAN.
Se deben de desarrollar planes para pruebas especificas y al momento de ejecutar las pruebas de deben de documentar.
Observador.
Formularios.
Sesiones informativas.
Logs de equipo.
Herramientas.
ACTUALIZAR EL PLAN DE CONTINGENCIA DE ACUERDO ALOS RESULTADOS OBTENIDOS EN LAS PRUEBAS.
En esta etapa por llamarla así se deben de establecer procedimientos y calendarios de mantenimiento además de desarrollar procedimientos y listas de distribución para así llevar un buen control del plan.
PRINCIPIOS DEONTOLOGICOS DEL AUDITOR INFORMATICO.
PRINCIPIO DE BEBNEFICIO DEL AUDITADO.
En este principio el auditor debe de conseguir la mayor rentabilidad y eficiencia de los medios informáticos de la empresa que se esta auditando. Y también este debe evitar tener algo que ver con algunos o determinados intereses de la empresa.
PRINCIPIO DE CALIDAD.
El auditor debe llevar a cabo su trabajo con los medios que estén a su alcance es decir con lo que el tenga tiene que hacer la auditoria ya que algunos materiales necesarios para la auditoria son muy costosos. Debe ser libre de utilizar lo que necesite de acuerdo a condiciones y técnicas adecuadas para su trabajo.
PRINCIPIO DE CAPACIDAD.
El auditor que este llevando a cabo su trabajo en una empresa debe estar capacitado para realizarlo y debe estar consciente de su aptitud y capacidad para desarrollar dicha auditoria.
PRINCIPIO DE CAUTELA.
El auditor debe evitar que el auditado se relacione en proyectos de futuro fundamentados en instituciones sobre la evolución de las nuevas tecnologías de la información.
lunes, 1 de febrero de 2010
AUDITORÍA INFORMÁTICA
Consta de un conjunto de actividades y procedimientos que sirven para analizar, verificar y recomendar e asuntos relativos a la planificación, eficacia, seguridad y adecuación del servicio informático todas estas actividades se realizan obviamente por un auditor con el fin de que una empresa opere de manera correcta y legal con respecto a la informática además de mejorar en rentabilidad, seguridad y eficacia ya que estos 3 puntos son los más importantes con los que una empresa debe contar.
SINTOMAS DE NECESIDAD DE UNA AUDITORÍA INFORMÁTICA
Las empresas acuden a una auditoría externa cuando consideran que hay anomalías que pueden poner en riesgo su empresa.
SINTOMAS DE DESCOORDINACIÓN DE DESORGANIZACIÓN
Cuando los objetivos no coinciden, cuando la productividad baja, cuando reestructuran alguna área con personal nuevo, todo esto debido a que siempre que hay algún cambio tienen que haber alguna razón y la auditoría externa ayudaría a encontrar esas razones o anomalías.
SINTOMAS DE MALA IMAGEN E INSATISFACCION DE LOS USUARIOS
Cuando algún usuario necesita cambiar algún dispositivo y el personal de la compañía no lo atiende, cuando falla algún dispositivo y no lo reemplazan en el plazo determinado y cando no se entregan resultados periódicas por ejemplo de ventas, todo esto daña la imagen de la empresa y por supuesto conlleva a la perdida de usuarios y por su puesto de ventas una auditoría ayudaría a encontrar al personal deficiente y dañino para la empresa.
SINTOMAS DE DEBILIDADES ECONÓMICO – FINANCIERO
Incremento en los costos, necesidad e justificación de inversiones, desviaciones presupuestarias, costes y plazos de nuevos proyectos, una auditoría externa ayudaría a identificar si alguna persona esta cometiendo robo o fraude dentro de la compañía por ej.
SINTOMAS DE INSEGURIDAD
EVALUACIÓN DE NIVEL DE RIESGOS
Seguridad lógica, seguridad física, confidencialidad, continuidad del servicio, centro de datos de proceso fuera de control, una auditoría ayudaría a averiguar si el software y hardware utilizado en la empresa tiene la seguridad necesaria, si alguna persona está revelando información confidencial de la empresa etc., ya que mediante la inseguridad pueden acceder a la información de la empresa e incluso robarla.
OBJETIVOS DE LA AUDITORÍA INFORMÁTICA
Verificar que los aspectos organizativos y administrativos de la función de proceso de datos se lleven correctamente, que los controles del ciclo de vida del sistema se respeten y se mantengan, mantener los controles de acceso a las instalaciones, terminales, etc., y propiciar seguridad, formar una informática interna y colabora con auditores externos por ej., no dar información errónea.
SISTEMA INFORMÁTICO IDEAL
Ser un departamento autónomo, optimizar recursos o disminuir costos, anticiparse a necesidades futuras o actualizarlo constantemente, operar mediante a estándares y procedimientos definidos no en base al criterio personal, etc.
¿CÓMO LLEVAMOS A CABO LA AUDITORÍA?
EL PLAN DE AUDITORÍA
Definir alcance y objetivos, conocer y analizar los procedimientos estándar para operar correctamente, evaluar controles internos, procedimientos y pruebas de auditoría, análisis de los hechos detectados, formación de opinión sobre los controles y presentación de información y recomendaciones.
LA AUDITORÍA DE LA SEGURIDAD DE LA INFORMACIÓN
SUGIRERE DIFERENTES CONTROLES
Controles directivos en caso de que todo esté bien y sólo haya que dirigir para seguir así, controles preventivos para prevenir anomalías o problemas, controles de detección para localizar los problemas o anomalías, controles correctivos para corregir los problemas encontrados y controles de recuperación para recuperar información perdida.
ÁREAS QUE PUEDE CUBRIR LA AUDITORÍA DE LA SEGURIDAD
Controles directivos, los fundamentos de la seguridad, medida de desarrollo para saber cómo actuar y que decisiones tomar, verificación de ajuste a la legalidad en cuanto a licencias, amenazas físicas externas como lluvia, tolvaneras, algún robo, Control de acceso adecuado para mantener un control del personal que accede a cada una de las áreas de la empresa, Protección de datos para evitar robo de datos o pérdida de los mismos, Comunicaciones y redes para tener un mayor auge como empresa, Área de producción para llevar un control de las cantidades que se producen, Desarrollo de aplicaciones en un entorno seguro y la continuidad de las operaciones.
Suscribirse a:
Entradas (Atom)