Definicion:
Conjunto de recursos de computo con los cuales se administra, asegura, controla, planea, distribuye la información
El centro de cómputo como empresa posee tres características importantes:
El objetivo institucional Costo de los equipos de cómputo
El grado de especialización del personal del centro de cómputo,
PROGRAMACIÓN DEL TRABAJO.
La planeación del trabajo se debe de llevar a cabo en las instalaciones del cliente el trabajo de campo puede ser en cualquier momento durante o después de terminar el año fiscal del cliente se clasifica la oportunidad del trabajo de campo en dos categorías:
-Trabajo interino que por lo regular se extiende de seis meses antes de la de balance hasta la fecha del balance.
-Trabajo de fin de año que normalmente se extiende desde la fecha del balance hasta dos o más meses después.
ASIGNACIÓN DE PERSONAL PROFESIONAL AL TRABAJO
El punto final de la planeación de auditoría consiste en la asignación de personal por parte de los auditores externos los cuales recomiendan tener auditores internos y apoyan a la asignacion del personal .
jueves, 19 de agosto de 2010
domingo, 8 de agosto de 2010
Normas
Las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña y a la información que rinde como resultado de este trabajo.
Las normas de auditoría se clasifican en:
1. Normas personales.
2. Normas de ejecución del trabajo.
3. Normas de información.
Normas personales
son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en un sus conocimientos profesionales así como en un entrenamiento técnico, que le permita ser imparcial a la hora de dar sus sugerencias.
Normas de ejecución del trabajo
son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoría.
Normas de información
son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, también es conocido como informe o dictamen.
Las normas de auditoría se clasifican en:
1. Normas personales.
2. Normas de ejecución del trabajo.
3. Normas de información.
Normas personales
son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en un sus conocimientos profesionales así como en un entrenamiento técnico, que le permita ser imparcial a la hora de dar sus sugerencias.
Normas de ejecución del trabajo
son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoría.
Normas de información
son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, también es conocido como informe o dictamen.
domingo, 25 de julio de 2010
La Auditoría de Procesos es uno de los tipos de Auditorías de Calidad.
Todo plan de calidad consta de procedimientos, instrucciones técnicas y organizativas, etc.
La Auditoría de los procesos es la comprobación de que todo lo que está dicho en el Manual de procedimientos y demás documentos deban hacerse y que realmente sean ejecutadas, ya que los planes de calidad pueden estar correctamente determinados pero su implementación quizá no lo esté.
El principal problema de las auditorías de procesos reside en el número de muestras que hay que tomar. Entre otras cosas que pueden abarcar:
1. Identificación y seguimiento de los materiales.
2. Modificaciones.
3. Parámetros establecidos en los procesos.
4. Rutas alternativas.
5. Realización del procedimiento de primera muestra.
6. Trazabilidad.
7. Inviolabilidad del material.
8. Condiciones de trabajo, cuando y donde sea necesario (luz, temperaturas, etc.).
9. Calibración de los instrumentos de producción y de inspección.
10. Puesta a punto de las maquinas y de las instalaciones.
La Auditoría de los procesos es la comprobación de que todo lo que está dicho en el Manual de procedimientos y demás documentos deban hacerse y que realmente sean ejecutadas, ya que los planes de calidad pueden estar correctamente determinados pero su implementación quizá no lo esté.
El principal problema de las auditorías de procesos reside en el número de muestras que hay que tomar. Entre otras cosas que pueden abarcar:
1. Identificación y seguimiento de los materiales.
2. Modificaciones.
3. Parámetros establecidos en los procesos.
4. Rutas alternativas.
5. Realización del procedimiento de primera muestra.
6. Trazabilidad.
7. Inviolabilidad del material.
8. Condiciones de trabajo, cuando y donde sea necesario (luz, temperaturas, etc.).
9. Calibración de los instrumentos de producción y de inspección.
10. Puesta a punto de las maquinas y de las instalaciones.
domingo, 18 de julio de 2010
OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS
Los objetivos especificos de la auditoria de sistemas es llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información.
Se establecen varios objetivos clave como lo es:
1. Participación en el desarrollo de nuevos sistemas:
* Realizar una evaluación de controles
* Dar cumplimiento de la metodología que lleva la empresa.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
* Cómo generar respaldos, preveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
* Tener un resguardo adecuado y protección de activos.
5. Control de modificación a las aplicaciones existentes.
* Evitar fraudes y robo de información por parte de personal interno o externo.
* Tener un control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores de equipo o de software.
7. Revisión de la utilización del sistema operativo y los programas utilitarios.
* Tener un adecuado control sobre la utilización de los sistemas operativos y dispositivos conectados a los equipos.
8. Auditoría de la base de datos.
* Verificar la estructura sobre la cual se desarrollan las aplicaciones a fin de poder verificar si donde se esta guardando la información se encuentra encriptada, niveles de seguridad, accesos, entre otros.
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.
El objetivo final de una auditoría de sistemas bien implementada es desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
El auditor de sistemas dara recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa en toda la empresa.
Se establecen varios objetivos clave como lo es:
1. Participación en el desarrollo de nuevos sistemas:
* Realizar una evaluación de controles
* Dar cumplimiento de la metodología que lleva la empresa.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
* Cómo generar respaldos, preveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
* Tener un resguardo adecuado y protección de activos.
5. Control de modificación a las aplicaciones existentes.
* Evitar fraudes y robo de información por parte de personal interno o externo.
* Tener un control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores de equipo o de software.
7. Revisión de la utilización del sistema operativo y los programas utilitarios.
* Tener un adecuado control sobre la utilización de los sistemas operativos y dispositivos conectados a los equipos.
8. Auditoría de la base de datos.
* Verificar la estructura sobre la cual se desarrollan las aplicaciones a fin de poder verificar si donde se esta guardando la información se encuentra encriptada, niveles de seguridad, accesos, entre otros.
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.
El objetivo final de una auditoría de sistemas bien implementada es desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
El auditor de sistemas dara recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa en toda la empresa.
domingo, 27 de junio de 2010
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:
• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar.
• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar.
sábado, 19 de junio de 2010
Perfil del Auditor Informático.
El auditor en informática debe tener conocimientos en diferentes áreas como son la administración, finanzas, informática, etc. Tener capacidad de análisis para comprender los procesos de una organización.
Aquí un concepto más claro de que es un auditor informático.
El perfil de un auditor informático es el que corresponde a un Ingeniero e Ingeniero Técnico en Informática en cualquiera de sus especialidades, pero más concretamente la especialidad de Gestión. O también a un profesional al que se le presupone cierta formación técnica en informática y experiencia en el sector, independencia y objetividad, madurez, capacidad de síntesis, análisis y seguridad en sí mismo.
Existen diversas materias que están reguladas en materia informática:
Aquí un concepto más claro de que es un auditor informático.
El perfil de un auditor informático es el que corresponde a un Ingeniero e Ingeniero Técnico en Informática en cualquiera de sus especialidades, pero más concretamente la especialidad de Gestión. O también a un profesional al que se le presupone cierta formación técnica en informática y experiencia en el sector, independencia y objetividad, madurez, capacidad de síntesis, análisis y seguridad en sí mismo.
Existen diversas materias que están reguladas en materia informática:
- Ley de auditoría de cuentas.
- Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico.
- Ley Orgánica de Protección de Datos.
Ninguna de éstas normas definen quien puede ser auditor informático, aunque debe de disponer de conocimientos tanto en la normativa aplicable, como en informática, como en la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.
sábado, 12 de junio de 2010
Tipos de auditoria informatica
Como hemos revisado en clase hay diferentes tipos de auditoria, ahora podemos revisar los diferentes tipos de esta pero aplicada en la informática tales como:
Auditoria de seguridad informática ISO 17799
Auditoria de seguridad global ISO 17799-BS7799-ISO 27001
Auditoria de seguridad del centro de computo NFPA75, TIA 942
Auditoria de seguridad de sistemas operativos y componentes de red
Auditoria de impacto de los riesgos de la seguridad informática
Test de penetración e intrusión
Propongo hablar de alguna de estas y discutirla
En mi caso propongo:
Auditoría para Redes
La auditoría de redes consiste en una revisión punto a punto de la red, considerando lo siguientes aspectos:
Pruebas de Velocidad
Pruebas de continuidad
Tiempos de respuesta
Estado general de los cables
Pruebas de Longitud, Wire Map, Impedancia, Next y Far Last.
Correcta rotulación de los cables
Auditoria de seguridad informática ISO 17799
Auditoria de seguridad global ISO 17799-BS7799-ISO 27001
Auditoria de seguridad del centro de computo NFPA75, TIA 942
Auditoria de seguridad de sistemas operativos y componentes de red
Auditoria de impacto de los riesgos de la seguridad informática
Test de penetración e intrusión
Propongo hablar de alguna de estas y discutirla
En mi caso propongo:
Auditoría para Redes
La auditoría de redes consiste en una revisión punto a punto de la red, considerando lo siguientes aspectos:
Pruebas de Velocidad
Pruebas de continuidad
Tiempos de respuesta
Estado general de los cables
Pruebas de Longitud, Wire Map, Impedancia, Next y Far Last.
Correcta rotulación de los cables
domingo, 6 de junio de 2010
El Control Interno
El Control interno es el conjunto de procedimientos que interrelacionados entre si, tienen por objetivo proteger los activos de la organización y comprenden el plan de la organización.
Existen diferentes tipos de control interno como :
Contable
Administrativo
Preventivo
Correctivo
Informatico
El Control Interno Informatico
Es un conjunto de procedimientos que interrelacionados entre si, tienen por objetivo proteger los activos de la organización, la protección de todos los recursos informáticos, mejorar la economía, eficiencia y eficacia de los procesos operativos automatizados.
Existen diferentes tipos de control interno como :
Contable
Administrativo
Preventivo
Correctivo
Informatico
El Control Interno Informatico
Es un conjunto de procedimientos que interrelacionados entre si, tienen por objetivo proteger los activos de la organización, la protección de todos los recursos informáticos, mejorar la economía, eficiencia y eficacia de los procesos operativos automatizados.
domingo, 30 de mayo de 2010
Casos en los que es necesaria una auditoría informática
Una empresa acude a las auditorías externas cuando existen síntomas que son muy perceptibles de debilidad, mismos que pueden agruparse en clases:
- Descoordinación y desorganización
No coinciden los objetivos de la informática de la compañía.
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
- Mala imagen e insatisfacción de los usuarios
No se atienden las peticiones de cambios de los usuarios, no se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
- Debilidades económico-financieros
Incremento desmesurado de costos, necesidad de justificación de inversiones informáticas, desviaciones presupuestarias significativas y costos y plazos de nuevos proyectos.
- Evaluación de nivel de riesgos
En cuanto a la seguridad lógica, seguridad física y confidencialidad.
Con estos síntomas una empresa se da cuenta que es necesaria una auditoría externa y deberá pedir apoyo para que se minimice el riesgo y pueda seguir trabajando con mayor seguridad.
- Descoordinación y desorganización
No coinciden los objetivos de la informática de la compañía.
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
- Mala imagen e insatisfacción de los usuarios
No se atienden las peticiones de cambios de los usuarios, no se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
- Debilidades económico-financieros
Incremento desmesurado de costos, necesidad de justificación de inversiones informáticas, desviaciones presupuestarias significativas y costos y plazos de nuevos proyectos.
- Evaluación de nivel de riesgos
En cuanto a la seguridad lógica, seguridad física y confidencialidad.
Con estos síntomas una empresa se da cuenta que es necesaria una auditoría externa y deberá pedir apoyo para que se minimice el riesgo y pueda seguir trabajando con mayor seguridad.
Suscribirse a:
Entradas (Atom)