Metodología y etapas para una auditoría de sistemas
Páginas: 11 (2712 palabras)
Publicado: 28 de marzo de 2011
METODOLOGÍA DE UNA AUDITORÍA DE SISTEMAS
Existen algunas metodologías de Auditorias de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:
• Estudio preliminar
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas criticas
• Comunicación de resultados
Estudiopreliminar.- Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno solicitud de plan de actividades, manuales de políticas, reglamentos, entrevistas con los principales funcionarios del PAD.
Revisión y evaluación decontroles y seguridades.- Consiste de la revisión de los diagrama de flujo de proceso, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos entre otras actividades.
Examen detallado de áreas criticas.-Con las fases anteriores el auditor descubre las áreas criticasy sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance recurso que usara, definirá la metodología de trabajo, la duración de la auditoria, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en estefolleto.
Comunicación de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoria.
El informe debe contener lo siguiente:
• Motivos de laAuditoria
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área Informática
• Configuración del Hardware y Software instalado
• Control Interno
• Resultados de la Auditoria
• Caso Práctico
Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.
La auditoria de sistemas solo identifica el nivel de “exposición” por la faltade controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo más baja posible o al menos quedereducida de una forma razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tenerasignados unos valores numérico. Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numéricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humanocapaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.
Ventajas:
• Enfoque lo amplio que se desee.
• Plan de...
Existen algunas metodologías de Auditorias de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:
• Estudio preliminar
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas criticas
• Comunicación de resultados
Estudiopreliminar.- Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno solicitud de plan de actividades, manuales de políticas, reglamentos, entrevistas con los principales funcionarios del PAD.
Revisión y evaluación decontroles y seguridades.- Consiste de la revisión de los diagrama de flujo de proceso, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos entre otras actividades.
Examen detallado de áreas criticas.-Con las fases anteriores el auditor descubre las áreas criticasy sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance recurso que usara, definirá la metodología de trabajo, la duración de la auditoria, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en estefolleto.
Comunicación de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoria.
El informe debe contener lo siguiente:
• Motivos de laAuditoria
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área Informática
• Configuración del Hardware y Software instalado
• Control Interno
• Resultados de la Auditoria
• Caso Práctico
Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.
La auditoria de sistemas solo identifica el nivel de “exposición” por la faltade controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo más baja posible o al menos quedereducida de una forma razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tenerasignados unos valores numérico. Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numéricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humanocapaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.
Ventajas:
• Enfoque lo amplio que se desee.
• Plan de...
Leer documento completo
Regístrate para leer el documento completo.