Metodología de la Auditoria Informática

-

Introducción

Como ya sabemos, para realizar un ¨Todo¨, se necesita de un método, de unas instrucciones o de un formato a seguir, un modelo del  cual se realiza un producto, por ello mismo, en esta actividad se presentarán la metodología de un Auditoria Informática, tanto su estructuración Fisica y Lógica,como su estructuración Cuantitativa y Cualitativa y describir ampliamente en qué consiste cada uno.

Actividad

Identificar las Metodologías

1.- Estructura Física 


La parte física en la informática ha tenido una importancia relativa y, además, esta ocupando un lugar en la mesa. En informática lo físico no solo se refiriere al hardware, es un soporte tangible del software, es decir, es todo cuanto rodea o incluye al ordenador.

La auditoria es el medio que proporciona la seguridad física en el ámbito en el que se va ha realizar la labor.

La auditoria física, interna o externa, no es sino una sola auditoria parcial, por lo que no difiere de la auditoria general más que en el alcance de la misma.

2.- Estructura Lógica


Consiste en verificar la exactitud de la información sobre los resultados que produce un sistema nuevo que sustituye a uno ya auditado, el procedimiento se hace sobre los mismos datos reales con los procedimientos actuales y con los procedimientos nuevos para luego comparar los resultados y detectar inconsistencia. 


Las técnicas de auditoría de sistemas para probar controles de aplicaciones en producción, se orientan básicamente a verificar cálculos en aplicaciones complejas, comprobar la exactitud del procesamiento en forma global y específica y verificar el cumplimiento de los controles pre-establecidos, de acuerdo con el manual correspondiente.


Entre este tipo de prueba se encuentra las siguientes:      
•        Método de datos de prueba.
•        Evaluación del sistema de caso base.
•        Operación paralela.
•        Facilidad de prueba integrada.
•        Simulación paralela.

Método de datos de prueba: esta técnica es utilizada normalmente por el analista-programador antes de enviar los programas a producción. Consiste en ingresar un conjunto de datos para que sean verificados a través del procesamiento del sistema, esto sirve para detectar la entrega de resultados inconsistentes o no válidos, analizando las posibles combinaciones de archivos maestros, valores y lógica de procesamiento.

Evaluación del sistema de caso base (ESCB): esta técnica también se utiliza para comprobar la lógica de los programas y precisión de cálculos pero con la cooperación de los usuarios, auditores y personal del sistema por esta razón se vuelve más completa que la técnica de datos de prueba. Se utiliza para validar los sistemas antes de entrar a producción y para la auditoria a aplicaciones en producción.

Operación paralela: esta técnica es utilizada para probar nuevos sistemas y verificar su exactitud. Consiste en probar los mismos datos entre el sistema actual y el nuevo, el sistema antiguo no se desecha hasta que el sistema nuevo dé los resultados esperados.

Facilidad de prueba integrada (ITF): es una técnica para probar los sistemas de aplicación en producción con datos reales evaluándolo en un ambiente normal de producción. Se procesan las transacciones de prueba en una entidad ficticia junto con las transacciones reales de producción. Por esta razón se llama prueba integrada.

Simulación en paralelo: esta técnica consiste en crear una rutina de uno o varios módulos del sistema a auditar. De esta forma las rutinas leen iguales datos de entrada que los programas de aplicación, utilizan los mismos archivos y tratan de producir idénticos resultados que se someten a evaluación y comparaciones para determinar discrepancia o errores.

3.- Estructura Cualitativa:

Las cualidades que definen a un auditor son:
  • *Ser imparcial, sincero y honesto.
  • *Ser discreto y comprender el concepto de confidencialidad.
  • *Mantener la mente abierta para considerar ideas y puntos de vista alternativos.
  • *Ser diplomático y tener tacto en el trato con las diferentes personas.
  • *Ser firme. Este es un punto a destacar importante, ya que durante la auditoría no debe negociar con el auditado sobre la inclusión o eliminación de una determinada no conformidad en el informe final ya que, de esta manera, se desvirtúa la eficacia que puede tener la auditoría. Es decir, aunque se actúe de forma responsable y ética, algunas decisiones tomadas por el auditor pueden no ser populares, pudiendo llegar a generar desacuerdos y confrontaciones que no deben llevar a la negociación para la aceptación del informe.
  • *Tener una alta capacidad de observación.
  • *Tener el instinto de ser consciente y comprender todas las situaciones.
  • *Adaptarse de forma fácil a los diferentes contextos, en otras palabras, ser versátil.
  • *Estar perfectamente orientado a conseguir el objetivo de la organización.
  • *Obtener conclusiones basadas en razonamientos lógicos y analizar las diferentes evidencias.
  • *Estar seguro de sí mismo.
  • *No tener prejuicios que limiten o eliminen su objetividad.

    4.- Estructura Cuantitativa:

  • El Auditor tendrá que presentar sus cualidades y actividades de manera gráfica, como en los siguientes ejemplos:
  • * Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de política, reglamentos, Entrevistas con los principales funcionarios de la Organización y de la Departamento de Informática.

    * Revisión y evaluación de controles y seguridades: Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, revisión de procesos históricos (backups), revisión de documentación y archivos, entre otras actividades.
    Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance y recursos que usará, definirá la metodología de trabajo, la duración de la auditoria, presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.

    * Comunicación de resultados: Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoria.

  • Conclusión

  • Una vez conocido la metodología que se utiliza para la estructuración de una Auditoria Informática, podemos entender más ampliamente lo que deriva de ellas, cómo están constituidas y bajo qué conceptos, por ello mismo, se puede considerar que el punto de esta actividad, ha sido completado exitosamente.





Comentarios

Publicar un comentario

Entradas más populares de este blog

Auditando la Red Lógica

-
Imagen
Introducción Anteriormente (en el trabajo pasado) hablamos sobre la estructuración física de una red, pero ésta no depende únicamente de ella, si no que también, la estructuración lógica juega un papel muy importante en la estructuración completa y ordenada de una red. Por ello mismo, en esta actividad realizaremos 3 puntos importantes que derivan del tema ¨Auditando la Red Lógica¨ o la ¨Red Lógica¨ en sí, puntos que de hecho, son demasiado importantes que debido a que mostrarán gran información del tema. Actividad 1.- ¿En qué consiste la auditoria de la red Lógica? En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para éste tipo de situaciones: Se deben dar contraseñas de acceso. Controlar los errores. Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red. Regis
Leer más

Roles de Administrador de la Red

-
Imagen
Introducción En esta actividad resaltaremos un punto muy importante, pues nos dedicaremos a comprender las diferentes  funciones y/o roles del administrador de la red LAN. Esto con el fin de poder comprender mejor la funcionalidad del mismo para tener un mejor rango de conocimiento y exactitud en cuanto a capacidades se habla del tema. También, mencionaremos unas comparaciones entre el administrador de la red LAN y el Jefe de Seguridad. Actividad ¿ Cuáles son sus funciones y/o roles del administrador de la red LAN?                                                  1. Configuración de la red Implica planificar la organización de la red: qué recursos utilizará, dónde se localizan, por lo que tendrá que realizar un mapa de cableado y mantener un inventario de red exacto.  En el aspecto del software también se requerirá que el administrador de redes no solo organice y configure la red, sino que documente lo que ha realizado, lo que incluye la to
Leer más

Software para Auditoria de la Red

-
Imagen
Introducción En esta actividad, investigaremos una aplicacion en particular, el cual nos ofrece un servicio de auditoria hacia nuestra computadora, puesto que  El programa informa sobre prácticamente todos los aspectos del inventario y la configuración del equipo. La información puede guardarse en formato HTML, o incluso exportarse a un documento PDF, y será de gran ayuda aprender de él ahora que estamos investigando y aprendiendo sobre el tema de la auditoria. Actividad Desarrolla las siguientes actividades y al final realiza la practica indicada: 1.- Que  debemos saber del monitoreo de la red, Crea un cuadro sinóptico del enlace https://blog.pandorafms.org/es/monitoreo-de-red-que-debemos-saber/#avanzado 2.- S oftware para auditar redes de computadoras   http://ingenieroscun2015.blogspot.com/2015/11/herramienta-de-auditoria-winaudit.html        Resuelve el cuestionario:                     - Descripción del programa           - Funciones           - Justif
Leer más