METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.

Fase I.-   Estudio Preliminar,

Fase II.-  Revisión y evaluación de controles y seguridades

Fase III.- Examen detallado de áreas críticas.

Fase IV.- Comunicación de resultados.

FASE I.- ESTUDIO PRELIMINAR

En esta fase el estudio es corto en tiempo y general en su investigación.

La auditoría informática desarrolla ac­tividades basado en un método de trabajo formal, que sea entendido por los auditores en informática y complementado con técnicas y herramientas propias.

Mediante

1. Realizar el Estudio preliminar del entorno a auditar

2. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)

1 Etapa preliminar o diagnóstico

Realizar el Estudio Preliminar del entorno a auditar. 

Las actividades del auditor en informática deben quedar bien definidas en los componentes formales que integran cualquier trabajo dentro de una organización.   

El primer paso que tiene el auditor en informática dentro de las empresas al efectuar un proyecto de auditoría en informática es hacer un diagnóstico del negocio, que incluye a la alta dirección y las áreas usuarias.

Examinar situación general de funciones y actividades generales de la informática

Conocimiento de:

*     Organización: Estructura organizativa del Departamento de Informática a auditar

*     Entorno de Operación: Entorno de trabajo

*     Aplicaciones Informáticas: Procesos informáticos realizados en la empresa auditada

Estructura organizativa del Departamento de Informática a auditar.

 

Departamentos:     Describir sus funciones

Relaciones Jerárquicas y funcionales

Flujos de Información, tanto horizontales y verticales como extradepartamentales

Número de Puestos de Trabajo

–    Nombres de los puestos de trabajo corresponden a funciones distintas:  

Número de Personas por Puesto de Trabajo

Estudio Inicial: Entorno Operativo

·         CPUs, procesadores, PCs, periféricos, etc.

·         Software básico, software interno y software comprado

Comunicaciones y Redes de Comunicación

·         Líneas de Comunicación

·         Acceso a red pública e intranet

Estudio Inicial: Aplicaciones Informáticas

2. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)

Alcance

Entorno y límites en que se realizará la A.I.

HASTA DÓNDE SE LLEGA

Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o cuando la empresa tiene varias sedes, de:

·               Funciones (Seguridad, Dirección, etc.)

·               Materias (S.O., BD, etc.)

·               Departamentos o Áreas Organizativas (Explotación, Sistemas, Comunicaciones, etc.)

Su no definición pondrá en peligro el éxito de la A.I.

Limitaciones: QUÉ DEJA DE AUDITARSE

· Principalmente en materias que pueden suponerse incluidas

Objetivos

Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos

Objetivos generales

* Controles Generales de la Gestión Informática

* Verificar normas del Departamento de Informática y observar su consistencia con las del resto de la empresa

* Normas Generales de la Instalación Informática

Objetivos específicos

–        Necesidad de auditar una materia de gran especialización

–        Evaluación del funcionamiento de áreas informáticas en un determinado departamento

–        Aumentos de seguridad y fiabilidad