Tipos de Auditoría Informática

INICIO
- AUDITORIA FISICA
- AUDITORIA OFIMATICA
- AUDITORIA DE DIRECCION
- AUDITORIA DE MANTENIMIENTO
- AUDITORIA DE BASE DE DATOS

AUDITORIA FISICA

Activos informáticos, observaciones donde estan y que existan en el inventario, prevención y seguridad. Todos estos activos estan fisicamente seguros y adecuados, posibles fallas fisicas, saber si se tiene un plan específico despues de un desastre, identificar cuales son sus planes de acción para la seguridad en cuanto a un desastre.
comprueba la existencia de los medios fisicos y también su funcionalidad, racionalidad y seguridad.
Ésta garantiza la integridad de los activos humanos, logicos y materiales de centro de computo.

Areas de conocimiento de la auditoria fisica
Organigrama respectivo de la empresa, auditorias internas pasadas, administración de la seguridad (asignar responsabilidades a cada una de las personas), centro deprocesos de datos (identificar cada una de las salas que se debe asegurar), equipos y comunicaciones (de manera especifica), seguridad fisica del personal (información que se debe tener).
Lista donde esta la información
Manual de procedimientos, jefes de departamento, recursos humanos, altos directivos,m reglamentos y cursos de capacitación.

Herramientas
Entrevistras, cuestionarios, encuestas y gráficas.

AUDITORIA OFIMATICA

Estudio de una aplicación a la cual debemos evaluar, saber si realmente sirve para su requerimiento, previo a compra de software se haya hecho un estudio para saber si realmente lo está utilizando de la manera más adecuada.
La Ofimática
Sistema automatizado uqe genera, procesa, almacena, recupera,comunica y presenta datos relacionados con el funcionamiento de la oficina.
Escritorio virtual, trabajo en equipo (Lotus, Nous, grp, etc.), estaciones de trabajo, aplicaciones, medidas de seguridad que tienen los usuarios, controles de la ofimáticaque se deben ocupar (economia, eficacia y eficiencia).
• Determinar si el inventario ofimático de los equipos reflejan con exactitud el número de equipos y aplicaciones reales.
• Determinar y evaluar el procedimiento de adqusición de equipos y aplicaciones.
• Determinar y evaluar la política de mantenimiento definida en la organización.
• Evaluar la calidad de las aplicaciones del entorno ofimático desarrollado por el propio personal de la organización.
• Evaluar la corrección del procedimiento existente para la realización de cambios de versiones y aplicaciones.
• Determinar si los usuarios cuentancon suficiente información y la documentación de apoyo para la realización de sus actividades de un modelo eficaz y eficiente.
• Determinar si el sistema existe y si realmente cumple con las necesidades de la organización.
Anomálias
- Seguridad.- Determinar si existen garantias suficientes para proteger los accesos no autorizados a la información reservada a la empresa y a la integridad de la misma.
1. Acceso por medio de contraseñas.
- Procedimiento para la asignación de contraseñas.
- Procedimiento para cambioperiodico de contraseñas.
2. Información impresa.
- Accesos autorizados.
- Verificar que esta información se encuentra siempre en cajones.
- Maquinas que distribuyen los documentos .
3. Verificar que la información de encuentre clasificada.

Determiar si el procedimiento de generación de copias de respaldo es fiable y garantiza la recuperación de la información
1. Que este especificado.
2. Que la perioricidad sea acorde a las condiciones ofimáticas.
3. Que se cumpla el procedimiento.
4. Que la calidad del respaldo este garantizada (tomar un respaldo y verificar si realmente funciona y el procedimiento sea el adecuado).
5. Que realmente esten resguardados los respaldos en un área segura.

determinar si estan garantizados el funcionamiento ininterrumpido de aplicaciones críticas.
1. Planta de luz alternativa.
2. Asignación e responsabilidades en cadena para lebvantar el sistema.

Determinar el grado de exposición ante la posibilidad de intrusos, de virus (medida del riesgo para poder protegerse por la intrusión de virus por eso es necesario tener antivirus).
1. Tener antivirus.
2. Checar actualizaciones de antivirus y que todas las maquinas lo tengan.

AUDITORIA DE DIRECCION

Siempre en una organización se dice que esta es un reflejo de las carcxteristicas de su dirección, los modos y maneras de actuar de aquella estan influenciadas por la filosofia y personalidad del director.
Acciones de un Director
• Planificar. (este acorde al plan estrategico (conocimiento a evaluar acciones a realizar)).
- Lectura y analisis de actas, acuerdoss, etc.
- Lectura y analisis de informes gerencciales.
- Entrevistas con el mismo director dell departamento y con los directores de otras áreas.
• Organizar.
• Controlar.
• Coordinar.

Las enormes sumas que las empresas dedican a la tecnólogia de la información y de la dependencia de estás con los procesos de la organización hacen necesaria una evaluación independiente de la función que la gestiona (dirige).

AUDITORIA DE LA DIRECCIÓN DE GESTIÓN
- Planificar
- Evaluar
- Plan estrategico.
- Recursos asignados a cada plan de proyecto.
- Organizar y coordinar
Se va a realizar de acuerdo con lo planeado, el director debe establecer los flujos de información para que no haya fallas.
- Organizar
El proceso de organizar consiste en estructurar recursos, los flujos de información y los controles que permiten alcanzar los objetivos marcados por la calificación. Para poder evaluar y dar seguimiento a estas funciones se establece un comité de informática que afectan a toda la empresa y permite a los usuarios como las actividades de la organización no solo de su área, se pueden fijar las prioridades.
El auditor debe asegurarse que exista esté comité y que cumpla su papel adecuadamente.
Las acciones a realizar por el auditor son:
• Verificar que exista una normativa interna donde se especifique las funciones del comite.
• Entrevistar a miembros de este para conocer por parte de ellos funciones que realmente realizan.
Existe comité de informática
- Normativa interna.
- Entrevistas a los representantes de llos usuarios para conocer si entienden y si estan de acuerdo con el comité.
- Entrevista con los miembros.
Criterio para asignar a los miembros del comite.
• Verificar trabajo del comité
- Lectura de actas de comité para comprrobar que el comité cumple efectivamente las funciones y que los acuerdos son tomados correctamente tomando en cuenta la opinión de los miembros del comité.

AUDITORIA DE MANTENIMIENTO

- Evalua la etapa del mantenimiento (4 a 6 meses la durac. delmantenimiento
- Importancia (etapa del mantenimiento (15 dias a 1 mes (mantenimiento con cambios)) "mayor costo".
- Evaluar trabajo.
- Lista de revisiones.
- Existe documentación para el requerimiento de cambios.
- Documentación de los cambios.
- Pruebas de las modificaciones (lista de prueba y su observación).
- La aceptación de pruebas, con la cual se liberan los cambios.
- Logistica (por procedimientos) para realixzar el cambio de modificaciones (vesiones) del servidor de producción.

Valoración del esfuerzo de trabajo.
No. > mayor esfuerzo.
No. < menor esfuerzo.
Se debe utilizar ciertos criterios que son:
- Esfuerzo de la etapa de mantenimientoo.
meshombre (etapa de mantenimiento esfuerzo) = trafico de cambio actual
meshombre de desarrollo.

TCA = numero de lineas nuevas + numero de lineas modificadas
numero de lineas iniciales

meshombredesarrollo = 2.4Ks1.05
= 3.0Ks
= 3.6Ks1.20

Ks = estimación del tamaño del programado en miles de lineas de código.
• Comprensibilidad del siatema
- Identificar que los archivos tengan nnombre adecuado a lo que se esta codificando.
- Facil de entender.
- Nombres adecuados de acuerdo al tipo de datos e información
- Comentarios por lomenos cada 50 lineaas de código.
• Que sea modificable
- Que tan modificable es.<
• Testeable
- Que los pongamos a prueba para verifiicar sirealmente es correcto.
- Se introduzca códigode detección de eerrores.

AUDITORIA DE BASE DE DATOS


1. Confidencialidad.
- Identificar el archivo documento que listen los perfiles de usuarios.
- Verificar que el documentotenga el tiipo de acceso "ad hoc" al grupo de usuarios.
- Realizar encuestas y aplicar cuestionnarios para verificar que los perfiles realmente hayan sido aplicados.
- Revisar los usuarios en el sistema manejador de base de datos y canalizar los perfiles con el documento arriba mencionado.

PUNTOS A LOS QUE SE ENFOCA EL AUDITOR

Control y seguridad de la base de datos (se tenga siempre una lista de los usuarios asi como tambien diferentes perfiles, tipos de usuarios, documentación sobre cambios, accesos limitados, buscar e identificar que cada uno este en su puesto, que administradores tienen acceso, los programadores no deben tener acceso a la base realsino que debe tener acceso a usuarios en la misma, que usuarios tienen acceso a toda la base de datos en caso de que no tenga los perfiles el auditor debe de identificarlos e identificar que cada persona este en su puesto), diseño(identificar que realemente se deje una trayectoria o documentación sobre la base de datos, que tenga diccionario de base de datos y cada uno tenga los datos adecuados, lista de los objetos.
La investigación de la arquitectura (se refiere al sistema operativo y el software para crear una base de datos ademas de que deban ser compatible, checar estudio previo para escojer el sofware adecuado, verificar que los componentes que se compren sean los adecuados para la compatibilidad) el ciclo de vida de una base de datos (cuanto tiempo duraráel sistema o base de datos que se diseño), estudio de la información este realmente de acuerdo con la empresa que esta utilizando en este momento, si se cuenta con la documentación de la reingenieria aplicada, tener almacenados ciertos archivos que se modifican, verificar que exista un oficio para poder hacer la modificación con las autorizaciones necesarias, verificar que exista registro de todo.

Fuente:
http://mx.geocities.com/miguel_apd_77/pagina4.html