Auditoría Informatica por Areas

Auditoría Informatica

Get Started. It's Free
or sign up with your email address
Rocket clouds
Auditoría Informatica por Areas by Mind Map: Auditoría Informatica por Areas

1. Organigramas de la Auditoría

1.1. Organigrama

1.1.1. Es un modelo abstracto y sistemático, que permite obtener una idea uniforme acerca de la estructura formal de una organización o empresa

1.1.2. Tipos de Organigrama

1.1.2.1. Vertical: Muestra según una pirámide, de arriba a abajo. Horizontal: Muestra las jerarquías de izquierda a derecha. Mixto: Es una combinación entre el horizontal y el vertical. Circular: La autoridad máxima está en el centro. Escalar: Se usan sangrías para señalar la autoridad, cuanta mayor es la sangría, menor es la autoridad de ese cargo. Tabular: Es prácticamente escalar, solo que mientras el escalar lleva líneas que unen los mandos de autoridad el tabular no.

1.2. Análisis de Organizaciones

1.2.1. En caso de no existir un organigrama en la organización el auditor es el encargado de elaborar uno que muestre el actual plan de organización de la institución.

1.2.2. Criterios para analizar organigramas:

1.2.2.1. *Agrupar funciones similares y relacionarlas entre si. *Agrupar funciones que sean compatibles. *Localizar la actividad cerca de la función a la que sirva.

1.2.3. Cuando se analiza la estructura orgánica se debe responder a las siguientes preguntas sobre las tareas asignadas a cada puesto:

1.2.3.1. ¿Existen líneas de autoridad justificadas? ¿Hay una extralimitación de funciones? ¿Es excesiva la supervisión en general?

2. Evaluación de los Recursos Humanos

2.1. Aspectos a considerar

2.1.1. Se debe obtener información sobre la situación del personal del área para lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyección de recursos humanos.

2.1.1.1. Desempeño y comportamiento Condiciones de trabajo Ambiente Organización en el trabajo Desarrollo y motivación Capacitación Supervisión

2.2. Entrevistas con el personal de Informática

2.2.1. Se deben recolectar opiniones debidamente fundamentadas del personal de procesamiento de datos para determinar: grado de cumplimiento de la estructura organizacional administrativa.

2.2.1.1. Guía de Entrevista 1) Nombre de puesto 2) Puesto del jefe inmediato 3) Puesto a que reporta, entre otros.

3. Auditoría Física

3.1. La auditoría física es para dar un soporte tangible, no es solo hardware, en toda actividad se mezcla lo físico, lo funcional y lo humano.

3.1.1. En todo cpd (centro de procesamiento de datos) se señalan algunas fuentes como:

3.1.1.1. Políticas, normas y planes sobre seguridad.  Auditorias anteriores  Contratos de seguros, de proveedores y mantenimiento.  Entrevistas.  Actas e informes de técnicos y consultores, entro otros.

3.2. Objetivos de la auditoria

3.2.1. los objetivos van en un orden lógico "de afuera a dentro", ejemplo:

3.2.1.1. Edificio.  Instalaciones.  Equipamiento y telecomunicaciones.  Datos.  Persona.

3.3. Fases de la auditoría física

3.3.1. Alcance de la auditoría.  Adquisición de información general.  Administración y planificación.  Plan de autoría.

3.4. Desarrollo de las fases de la auditoría física

3.4.1. Acuerdo de empresa para el plan de contingencia.  Acuerdo de un proceso alternativo.  Protección de datos.  Manual del plan de contingencia.

4. Auditoria de Aplicaciones

4.1. Licencias de Software

4.1.1. Las licencias de software no son otra cosa que un contrato que engloba a dos partes: el autor del programa y la persona que lo utiliza (usuario).

4.1.2. Ventajas

4.1.2.1. Actualizaciones disponibles.  Utilización de todas las funcionalidades del software.  Soporte 7 x 24.  Auditorías de software satisfactorias.  Evitar problemas legales.

4.2. Problemática de la auditoría de una aplicación informática

4.2.1. Generar informes que sirvan de ayuda para cualquier finalidad de interés en la organización, presentado la información adecuada.

4.3. Amenazas en las aplicaciones

4.3.1. La conexión cada vez más generalizada de las empresas a entornos abiertos como internet multiplica los riesgos que amenazan las confidencialidad e integridad de la información de los sistemas.

4.4. Control interno

4.4.1. Los controles internos se materializan en dos tipos:

4.4.1.1. Controles comunes: a realizar normalmente por parte de personal del área usuaria.

4.4.1.2. Controles automáticos incorporados a los programas de la aplicación que sirvan de ayuda para tratar de asegurar que la información se registre y mantenga completa y exacta.

4.5. Controles según su finalidad

4.5.1. Controles preventivos

4.5.2. Controles detectivos

4.5.3. Controles correctivos

4.6. Herramientas de uso más común en la auditoría de una aplicación

4.6.1. Se deben impulsar respuestas integradas en un plan de formación, que incluya las nuevas tendencias y preocupaciones.

4.6.1.1. Entrevistas. - Las personas entrevistadas deben ser aquellas que más puedan aportar al propósito pretendido.

4.6.1.2. Encuestas. - Preparar un cuestionario que pueda ser contestado con la mayor rapidez a base de marcar las repuestas entre las posibles.

4.6.1.3. Pruebas de conformidad. - La evidencia de incumplimiento puede ser puesta de manifiesto a través de informes de excepción.

4.6.1.4. Pruebas Sustantivas o de Validación. - - la exactitud de las valoraciones contables o la falta de conciliación con ellas de la contenida en la aplicación.

5. Auditoria a la seguridad informática

5.1. Objetivo de la Auditoría de Seguridad.

5.1.1. Determinar el nivel de seguridad de la infraestructura informática de la empresa, tomando como vectores de ataque aquellos que puedan ser iniciados dentro de la empresa.

5.2. Alcance de la Auditoría

5.2.1. La seguridad física se refiere a la protección del hardware y de los soportes de datos.

5.3. Trata de Verificar

5.3.1. Los puntos más débiles que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa.

5.4. Identificación de Amenazas

5.4.1. Para identificar las vulnerabilidades que pueden afectar a una compañía, debemos responder a la pregunta ¿Cómo puede ocurrir una amenaza?

5.5. Tipos de Amenazas

5.5.1.  Físicas  Naturales  De Hardware  De Software  De Almacenamiento  De Conexión  Humanas

5.6. Medidas

5.6.1. Antes

5.6.1.1. Obtener y mantener un nivel adecuado de seguridad física sobre los activos

5.6.2. Durante

5.6.2.1. Ejecutar un plan de contingencia adecuado

5.6.3. Después

5.6.3.1. Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo

5.7. Fuentes de la Auditoría Física

5.7.1. Debieran estar accesibles

5.8. Normas ISO

5.8.1. Es un conjunto de normas sobre calidad y gestión continua de calidad, establecidas por la Organización Internacional de Normalización (ISO).

5.9. Técnicas del Auditor

5.9.1. Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos, etc.

5.10. Seguridad Lógica

5.10.1. Se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas,