Papel Del Auditor Informático.
El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases científicas insuficientemente probadas o de imprevisible futuro.
Tipos de Auditoria Informática.
Auditoria Informática De Explotación:
La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una información buena).
Auditoria Informática De Desarrollo De Proyectos O Aplicaciones:
La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:
Análisis funcional
Diseño
Análisis orgánico (pre programación y programación)
Pruebas
Explotación
Auditoria Informática De Sistemas:
Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema (Ej. De auditar el cableado estructurado, ancho de banda de una red LAN)
Este tipo de auditoría deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada.
Auditoria De La Seguridad Informática:
Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total.
Planeación de la Auditoria Informática.
La definición de los objetivos perseguidos en la auditoria informática debe preceder a la elección de los medios y de las acciones, si se pretende evitar el predominio de estos últimos. Para lograr un buena planeación es conveniente primero obtener información general sobre la organización y sobre la función informática a evaluar.
Investigación Preliminar
Se debe recopilar información para obtener una visión general del área a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.
Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las áreas de la organización. Para poder analizar y dimensionar la estructura por auditar se debe solicitar:
1- A nivel Organización Total:
2- A nivel Área informática:
3- Recursos materiales y técnicos
4- Sistemas
Etapas de la Metodología Informática.
El método de trabajo del auditor pasa por las siguientes etapas:
·
Alcance y Objetivos de la Auditoría Informática
- Estudio inicial del entorno auditable
- Determinación de los recursos necesarios para realizar la auditoría
- Elaboración del plan y de los Programas de Trabajo
- Actividades propiamente dichas de la auditoría
- Confección y redacción del Informe Final
Clasificación por Áreas de Aplicación de la Auditoria Informática
Planificacion: Donde se pasa revista a las distintas fases de la planificación.
Organizacion y administracion: en este punto se examinaran aspectos como las relaciones con los usuarios, con los proveedores, asignación de recursos, procedimientos, etc.
Desarrollo de Sistemas: área importante donde la auditoría deberá velar por la adecuación de la informática a las necesidades reales de la Empresa.
Explotacion: aquí se analizarán los procedimientos de operación y explotación en el centro de proceso de datos.
Entorno y Hardware: donde se vigilará entre otras cosas los locales, el software de acceso, alarmas, sistemas anti-incendios, protección de los sistemas, fiabilidad del Hardware, etc.
Entorno de Software: en esta área la Auditoria Informática analizará los sistemas de prevención y detección de fraudes, los exámenes a aplicaciones concretas, los controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software.Metodología CRMR
En función de la definición dada, la metodología abreviada CRMR es aplicable más a deficiencias organizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de un Centro de Procesos de Datos.
Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicación señaladas en punto anterior:
1. Gestión de Datos
2.Control de Operaciones
3.Control y utilización de recursos materiales y humanos
4.Interfaces y relaciones con usuarios
5.Planificación
6.Organización y administración.
2.Control de Operaciones
3.Control y utilización de recursos materiales y humanos
4.Interfaces y relaciones con usuarios
5.Planificación
6.Organización y administración.
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisición de nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos críticos o las holguras de un Proyecto complejo.
Descargar guia completa aqui
No hay comentarios:
Publicar un comentario