1. LOGO
TIPOS DE AUDITORIA
INFORMÁTICA
HERNÁNDEZ HERNÁNDEZ , Enrique. Auditoría en
Informática. Un enfoque práctica, 2ª Edición,
México: Compañía Editorial Continental, 2000
Adm. De S. Eliana Marisol Monroy Matallana
U. Santo Tomás
2. AUDITORÍA DURANTE EL CICLO DE
DESARROLLO E IMPLANTACIÓN DE SISTEMAS
DE INFORMACIÓN
• OBJETIVOS:
• Asegurar que exista un proceso metodológico
durante el ciclo de implantación y desarrollo
• Confirmar que el personal conozca la
metodología
• Evaluar el nivel de estandarización que tiene la
metodología
• Exponer recomendaciones pertinentes
• Comprobar que exista un proceso de formación
formal.
3. ACTIVIDADES
•
•
•
•
•
•
Comparar proyectos de planeación
Concertar citas con el personal
Revisar formularios correspondientes
Efectuar entrevistas
Elaborar borrador de informe
Revisarlo con el encargado de la función de
auditoría
• Elaborar y documentar formalmente el informe
4. REQUISITOS
• Formalizar el apoyo de la alta dirección para
que se brinden las facilidades necesarias
• Conocimiento del auditor acerca de los
aspectos a evaluar
• Técnicas para obtener y evaluar la información
• MS PROJECT
7. OBJETIVOS
• Comprobar la existencia de políticas y
procedimientos formales relativos al
mantenimiento preventivo y correctivo
• Ver que el mantenimiento efectuado a los
elementos mencionados garantice la
continuidad de las operaciones principales del
negocio.
8. • Asegurar que el mantenimiento sea más
preventivo que correctivo
• Verificar que existan funciones asignadas de
manera formal
• Establecer medidas que garanticen la
continuidad de las operaciones
• Desarrollo y registro de Actividades de
mantenimiento preventivo y correctivo
9. ACTIVIDADES
Verificar proyectos de planeación
Concertar citas
Revisar formularios
Clasificar y almacenar la información
Elaborar, revisar el informe
Documentar soluciones y recomendaciones
10. Algunos Aspectos a Evaluar
¿Existe una lista de hardware del negocio?
¿Se cuenta con manuales o procedimientos
para el manejo de equipos?
¿Existen registros de actividades de
mantenimiento?
¿Quién es el responsable de controlar la
actividades de mantenimiento?
11. Señale si existe algún sistemas que apoye la
administración del mantenimiento:
Calendarios de Mantenimientos
Niveles de servicio
Costos del Mantenimiento
Causas y Soluciones del mantenimiento
Tareas, fechas y responsables.
Existe un procedimiento para la actualización del
hardware
Responsables de la ejecución seguimiento y
autorización del mantenimiento (Estadísticas)
14. Detectar el grado de confianza, satisfacción y
desempeño que brindan las redes al negocio
Establecer parámetros de medición del
desempeño
Determinar que existen suficientes controles y
procedimientos
Instalar solamente el software autorizado.
15. ALGUNOS ASPECTOS A EVALUAR
¿La empresa cuenta con redes locales?
¿Cuántos equipos y periféricos conforman la
red?
¿Algún personal externo interviene en las
funciones de administración de redes?
¿Quiénes son los responsables de la seguridad y
control para garantizar el uso adecuado y la
protección de los SI?
¿Se cuenta con manuales de operación de red?
¿La red posee controles de acceso a personas
no autorizadas?
16. ¿Existe una protección física adecuada a la
red?
¿Se contempla un seguro que proteja las
componentes de red?
Se han tomado en cuenta acciones o
consideraciones que ayuden al mejoramiento
de la red:
Evaluación Periódica
Capacitación
Respaldo de Información
Seguridad
Planes de Contingencia
19. OBJETIVOS
Garantizar que exista función formal para
administración, instalación, operación y
seguridad del hardware
Detectar grado de confianza, desempeño,
satisfacción,
Evaluar el grado de compatibilidad e integridad
entre computadores
20. ASPECTOS A EVALUAR
¿La empresa cuenta con PC, servidores,
estaciones de trabajo, minicomputadores?
¿Cuántos tipos de equipo tiene?
¿Qué garantiza que se está utilizando la
tecnología de hardware más adecuada para el
negocio?
¿las compras de los diferentes elementos del
equipo, así como su instalación se derivan de
un proceso de planeación y evaluación formal?
23. OBJETIVOS
Asegurar que exista una función formal para la
administración de software, la instalación,
operación, seguridad y actualización.
Detectar el grado de confianza, desempeño,
satisfacción del software existente
Asegurar un proceso formal para adquisición de
software
Evaluar el grado de soporte que se brinda a los
usuarios
Determinar si existen suficientes controles y
procedimientos
24. Evaluar acciones de
actualización de
software
Asegurar que solo se
encuentre instalado
software legalizado
Evaluar el grado de
integración
del
software
25. Aspectos a Evaluar
¿Qué software hay instalado y cuáles son las
versiones correspondientes?
Existe una administración formal del software
¿Cómo aseguran que el software fue comprado
legalmente?
¿Cómo se realiza el proceso de actualización
de software?
28. OBJETIVOS
Verificar que existan PPC relativos a la
seguridad dentro de la organización
Comprobar que el personal conozca los planes
y políticas de seguridad
Evaluar el grado de compromiso por parte de la
dirección y los usuarios
Asegurar la disponibilidad y continuidad de los
SI
Garantizar la confidencialidad, confiabilidad,
totalidad y exactitud de la información
29. Constatar que se brinde la seguridad necesaria
a los equipos
Comprobar los seguros para H, S, y SI
Confirmar la presencia de una función
responsable de las administración de la
seguridad en:
Recursos humanos, materiales, financieros
relacionados con la tecnología informática
Recursos tecnológicos
30. ASPECTOS POR EVALUAR
¿Hay políticas y procedimientos relativos al uso
y protección del hardware?
¿Existen controles de acceso a hardware?
¿Hay políticas de reemplazo de hardware?
¿La ubicación física de equipo de cómputo es
la más adecuada pensando en los diversos
desastres o contigencias que se pueden
presentar?
¿Hay procedimientos que garanticen la
continuidad?
31. ¿Existen procedimientos, personal o tecnología
encargada de salvaguardar los equipos?
¿Existen procedimientos y registros de salidas y
entradas de hardware?
¿Existen políticas relativas al uso y protección
del software?
¿Considera que tanto la dirección como el
personal están conscientes de que los recursos
relacionados con la informática representan
activos para la empresa?
32. ¿Existen planes de contingencia y de
recuperación de operaciones para desastres?
¿Si no tienen plan de contingencias, qué
acciones se han tomado para enfrentar las
eventualidades?