Cartilla auditoria de sistemas

Page 1

Manual de Procedimientos

Auditoria de Sistemas

Auditoria de Sistemas


Auditoria de Sistemas Manual de Procedimientos Introduccion E N LA PRESENTE CARTILLA , RECOPILAMOS LOS PASOS NECESARIOS PARA PODER LLEVAR A CABO UNA AUDITORIA DE SISTEMAS LOS CUALES FACILITARAN EL DESARROLLO DE TU ROL COMO AUDITOR PRINCIPIANTE . QUEREMOS BRINDARTE UNA GUÍA DISEÑADA ESPECIALMENTE PARA ESTUDIANTES EN LA QUE PODRÁS ENCONTRAR INFORMACIÓN BÁSICA CON CONCEPTOS CLAROS NECESARIOS PARA REALIZAR UN PROCESO DE

¿Qué es una auditoria? E S UNA HERRAMIENTA DE CARÁCTER SISTEMÁTICO , PORQUE SE DEBE REALIZAR DE UNA MANERA LÓGICA Y ORGANIZADA , DE TAL MANERA QUE LA INFORMACIÓN RECOPILADA SEA ADECUADA Y SUFICIENTE PARA EMITIR UN INFORME FINAL . S E TRATA DE REALIZAR UNA VALORACIÓN DE

Auditoria de Sistemas

AUDITORÍA DE SISTEMAS .

LA GESTIÓN DE LA ENTIDAD Y REALIZAR UNA IDENTIFICACIÓN DE MEJORAS . L A AUDITORÍA NO BUSCA CULPABLES , BUSCA LA MEJORA DE LOS PROCESOS Y SERVICIOS DE LA

E NTIDAD .

1


Auditoria de Sistemas

1. Conceptos Básicos 2. Técnicas de Auditoria para Recolección de Información 3. Fases de la Auditoría de Sistemas 4. Aspectos para Auditoria para un Centro de Cómputo o Área de Sistemas 5. Procedimientos de Control para Auditoria al Área de Sistemas 6. Procedimientos de Control para Seguridad y Planes de Contingencia 7. Ejemplo

1


CONCEPTOS

BASICOS

Auditoria de Sistemas

AUDITOR: Es la persona con la responsabilidad final de la auditoria. Para una fácil referencia el término “AUDITOR” se usa dentro de las NIAS cuando se describe tanto la auditoria con los servicios relacionados que puedan desempeñarse .Tal referencia no pretende implicar que una persona que desempeñe servicios relacionados tenga necesariamente que ser el auditor de los estados financieros de la entidad.

ALCANCE DE LA AUDITORIA: se refiere a los procedimientos de auditoria considerados necesarios en las circunstancias para lograr el objetivo de la auditoria. Los procedimientos requeridos para conducir una auditoria, deberán ser determinados por el auditor teniendo en cuenta los requisitos de las normas internacionales de auditoria.

EMPRESA: Es una organización o institución dedicada a actividades o persecución de fines económicos o comerciales para satisfacer las necesidades de bienes o servicios de los solicitantes, a la par de asegurar la continuidad de la estructura productivo-comercial así como sus necesarias inversiones.

2

AUDITORIA DE SISTEMAS

 La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia  La actividad dirigida a verificar y juzgar información  El examen y evaluación de los procesos del Área de Procesamiento automático de Datos y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

EFICACIA: Es el logro de los resultados esperados en alguna actividad determinada sin tomar en cuenta la calidad y cantidad de los recursos empleados en dichos resultados.

EFICIENCIA Es la relación entre bienes producidos o adquiridos en todo caso de los servicios prestados y recursos utilizados para ello

 El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado


EVIDENCIA 1. En auditoria se denomina evidencia al conjunto de hechos comprobados, suficientes, competentes, y pertinentes que sustentan las conclusiones del auditor 2.

En la información específica obtenida durante la labor de auditoria a través de observaciones, inspección, entrevistas y examen de los registros que se utilizan para determinar si la información cuantificable que se audita se presenta de acuerdo con los criterios establecidos.

GESTION

Auditoria de Sistemas

Es el mecanismo fundamental para la integración y operación de todo esfuerzo organizado, comprende todas las actividades organizacionales que implican el establecimiento de objetivos y metas, la evaluación de su cumplimiento y el desempeño institucional así como la operación que garantice supervivencia de la organización

HALLAZGO DE LA AUDITORIA 1. Se denomina al resultado de la comparación que se realiza entre un criterio y la situación actual durante el examen a un área, actividad u operación 2.

Es toda información que a juicio del auditor le permite identificar hechos o circunstancias importantes que inciden en la gestión de recursos en la entidad o programa bajo examen que merecen ser comunicados en el informe.

INFORME DE AUDITORIA Es la comunicación escrita de los hallazgos de auditoria a los usuarios

NORMAS DE AUDITORIA 1. Son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña y la información que rinde como resultado de este trabajo 2. Son las directrices de carácter general que proporcionan ayuda a los auditores, para poder cumplir con sus responsabilidades profesionales relacionadas con el examen de estados financieros históricos; e incluye información adicional concerniente a la competencia e independiente del auditor

MANUAL Instrumento administrativo que contienen información sobre los diferentes aspectos acerca de la organización, tales como los objetivos, políticas, procedimientos, funciones, tareas, relacionadas integrales de cada unidad organizacional por separado y de la empresa con un todo.

3


TECNICAS DE AUDITORIA PARA RECOLECCION DE LA INFORMACION

Auditoria de Sistemas

Confirmación

El auditor de sistemas deberá seleccionar y utilizar las herramientas, técnicas, procedimientos y metodologías que le permitan examinar, revisar, comparar y evaluar correctamente cada uno de los aspectos del ambiente informático y de sistemas en el que desarrolla su trabajo.

Evaluación

Se aplica para investigar algún hecho, comprobar alguna cosa, verificar la forma de realizar un proceso, evaluar la aplicación de técnicas, métodos o procedimientos de trabajo, verificar el resultado de una transacción, comprobar la operación correcta de un sistema software entre otros muchos aspectos.

Inspección

4

Permite evaluar la eficiencia y eficacia del sistema, en cuanto a operación y procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo

El aspecto más importante en la auditoria es la confirmación de los hechos y la certificación de los datos que se obtienen en la revisión, ya que el auditor expone sus opiniones, este informe es aceptado siempre y cuando los datos sean veraces y confiables.

Comparación

En auditoría a los sistemas software se realiza la comparación de los resultados obtenidos con el sistema y los resultados con el procesamiento manual, el objetivo de dicha comparación es comprobar si los resultados son iguales, o determinar las posibles desviaciones, y errores entre ellos.

Revisión Documental

En esta evaluación se revisan manuales, instructivos, procedimientos, funciones y actividades. El registro de resultados, estadísticas, la interpretación de acuerdos, memorandos, normas, políticas y todos los aspectos formales que se asientan por escrito para el cumplimiento de las funciones y actividades en la administración de las organizaciones.


Matriz de Evaluación La escala de valoración puede ir desde la mínima con puntaje 1 (baja, deficiente) hasta la valoración máxima de 5(superior, muy bueno, excelente).

Esta matriz permite realizar la valoración del cumplimiento de una función específica de la administración del centro de cómputo, en la verificación de actividades de cualquier función del área de informática, del sistema software, del desarrollo de proyectos software, del servicio a los usuarios del sistema o cualquier otra actividad del área de informática en la organización.

¿Cómo Recolectar Información? En su aplicación el auditor debe aprovecharlas con el propósito de que las diseñe y las utilice en dicho proceso.

Auditoria de Sistemas

Cada una de estas valoraciones deberá tener asociado la descripción del criterio por el cual se da ese valor.

Observación

Matriz DOFA

Este es un método de análisis y diagnóstico usado para la evaluación de un centro de cómputo, que permite la evaluación del desempeño de los sistemas software.

Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del área informática y los sistemas software, permite recolectar la información directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el área.

Entrevista En la entrevista, el auditor interroga, investiga y conforma directamente sobre los aspectos que se está auditando. En su aplicación se utiliza una guía general de la entrevista, que contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando para profundizar y preguntar sobre el tema

5


Cuestionarios

Auditoria de Sistemas

Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado.

Encuestas

ISO 27001 ¿Qué ES? Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2. ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre otros juicios de la función informática.

Inventarios

6

Con la aplicación de esta herramienta de la auditoria tradicional, el auditor de sistemas también puede examinar las existencias de los elementos disponibles para el funcionamiento del área informática o del sistema, contabilizando los equipos de cómputo, la información y los datos de la empresa, los programas, periféricos, consumibles, documentos, recursos informáticos, y demás aspectos que se desee conocer, con el fin de comparar la cantidad real con las existencias que se registra en los documentos.

¿Cómo Funciona? El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo). Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente,


Auditoria de Sistemas

FASES DE LA AUDITORIA

Para realizar una auditoría de sistemas se requiere planear una serie ordenada de acciones y procedimientos específicos, que deben ser ejecutados de forma secuencial, cronológica y ordenada, teniendo en cuenta etapas, eventos y actividades que se requieran para su ejecución que serán establecidos de acuerdo a las necesidades de la empresa.

7


1. Etapa de Planeacion de la Auditoría El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoría, donde se debe identificar de forma clara las razones por las que se va a realizar la auditoría, la determinación del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución, terminando con la elaboración de la documentación de los planes, programas y presupuestos para llevarla a cabo.

4. Establecer los Objetivos de la Auditoría Los objetivos de la planeación de la auditoría son: • El objetivo general, que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en él se plantean todos los aspectos que se pretende evaluar.

5. Determinar los puntos que seran evaluados: 2. Identificar el origen de la auditoría Este es el primer paso para iniciar la planeación de la auditoría, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿por qué?, ¿Quién? o ¿para qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.

3. Visita Preliminar al Area informatica Este es el segundo paso en la planeación de la auditoría el propósito es el de tener un primer contacto con el personal asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cómputo, sus características, las medidas de seguridad Se deben tener en cuenta aspectos tales como:

0

¿Cómo se encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de qué tipo son los servidores y terminales que existen en el área?, ¿Qué características generales de los sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas existen en el área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son las medidas de seguridad física existentes en el área?, y ¿Qué limitaciones se observan para realizar la auditoría?.

Una vez determinados los objetivos de la auditoría se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos específicos como: la gestión administrativa del área informática y el centro de cómputo, el cumplimiento de las funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los sistemas en producción, los programas de capacitación para el personal del área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección de las copias de seguridad y la restauración de la información, entre otros aspectos.

Auditoria de Sistemas

• Los objetivos específicos, que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.

8


6. Elaborar planes, programas y presupuestos para realizar la auditoría: Para realizar la planeación formal de la auditoría informática y de sistemas, se debe elaborar los documentos formales para el desarrollo de la auditoría, donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para el cumplimiento del

7. Identificar y seleccionar los metodos, herramientas, instrumentos y procedimientos necesarios para la auditoría:

objetivo. Algunos de los aspectos a tener en cuenta serán: las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos; el flujo de eventos que sirven de guía; la estimación de los recursos humanos, materiales e informáticos que serán Auditoria de Sistemas

utilizados; los tiempos estimados para las actividades y para la auditoría; los auditores responsables y participantes de las actividades; otras especificaciones del programa de auditoría.

Seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para la auditoría. Para ello se deben considerar los siguientes puntos: establecer la guía de ponderación de cada uno de los puntos que se debe evaluar; elaborar una guía de la auditoría; elaborar el documento formal de la guía de auditoría; determinar las herramientas, métodos y

2

procedimientos para la auditoría de sistemas; diseñar los sistemas, programas y métodos de pruebas para la auditoría.


8.

Etapa de Ejecucion de la Auditoría

La siguiente etapa después de la planeación de la auditoría es la ejecución de la misma,

y está determinada por las características propias, los puntos elegidos y los requerimientos estimados en la planeación

1. Realizar las acciones programadas para la auditoría.

4. Elaborar el dictamen preliminar y presentarlo a discusión.

2. Aplicar los instrumentos y herramientas para la auditoría.

3. Identificar y elaborar los documentos de oportunidades de mejoramiento enco ntradas.

Auditoria de Sistemas

5. Integrar el legajo de papeles de trabajo de la auditoría

9. Etapa de Dictamen de la Auditoría La tercera etapa luego de la planeación y ejecución es emitir el dictamen, que es el resultado final de la auditoría, donde se presentan los siguientes puntos: la elaboración del informe de las situaciones que se han detectado, la elaboración del dictamen final y la presentación del informe de auditoría.

3


10. Analizar la informacion y elaborar un informe de las situaciones detectadas

Auditoria de Sistemas

Junto con la detección de las oportunidades de mejoramiento se debe realizar el análisis de los papeles de trabajo y la elaboración del borrador de las oportunidades detectadas, para ser discutidas con los auditados.

11. Elaborar el Dictamen Final El auditor debe terminar la elaboración del informe final de auditoría y complementarlo con el dictamen final, para después presentarlo a los directivos del área auditada para que conozcan la situación actual del área, antes de presentarlo al representante o gerente de la empresa.

LA PRESENTACIÓN DEL DICTAMEN FINAL SE HACE EN UNA REUNIÓN DIRECTIVA Y POR ESO ES INDISPENSABLE USAR UN LENGUAJE CLARO TANTO EN EL INFORME COMO

4

EN LA EXPOSICIÓN DEL MISMO. EL INFORME DEBE CONTENER LOS SIGUIENTES PUNTOS: LA CARTA DE PRESENTACIÓN, EL DICTAMEN DE LA AUDITORÍA, EL INFORME DE SITUACIONES RELEVANTES Y LOS ANEXOS Y CUADROS ESTADÍSTICOS.


Es importante revisar la definición e implementación de políticas del centro de sistemas de la entidad, la funcionalidad de su estructura orgánica es indispensable y con ello se debe también evaluar la integridad y confiabilidad de la información, la protección y conservación de los bienes informáticos de la empresa. Al auditar el área de sistemas se deben tener en cuenta los siguientes aspectos:

Auditoria de Sistemas

ASPECTOS DE LA AUDITORIA

5


ASPECTOS ADMINISTRATIVOS Deben plantearse los objetivos a corto o largo plazo, que estén acordes con los objetivos de la organización. En el desarrollo de los planes a largo plazo, el jefe del área de Informática debe identificar las metas a largo plazo verificando que estas sean coherentes con las metas de la organización, y teniendo en cuenta los cambios, los avances tecnológicos y la normativa vigente.

ASPECTOS DE SEGURIDAD

Auditoria de Sistemas

Se debe tener en cuenta la seguridad física, instalaciones, personal, documentación, backups, pólizas/seguros, planes de contingencia.

Dentro de las políticas del área de Informática se deben incluir las pautas sobre renovación y/o adquisición tanto de software como de hardware con base en estudio profundo de necesidades, la legalización del todo el software utilizado, la buena y oportuna capacitación a todos los niveles funcionales del área de Informática.

ASPECTOS TECNICOS Donde se tiene en cuenta los equipos, desarrollo e implementación de sistemas, entrada y salida de datos y mantenimiento de software. Se debe llevar a cabo revisiones periódicas de los sistemas en funcionamiento mediante la realización de pruebas del sistema, que permitan garantizar que se cumplan los requisitos de las especificaciones funcionales, verificando transacciones, estadísticas, archivos, reportes generados, registrando las fallas ocurridas y realizando los ajustes necesarios, con el propósito de comprobar que las aplicaciones cumplan con los requerimientos del usuario y los objetivos para los cuales fueron diseñados.

6

Algunas características para evaluar estos aspectos son: La ubicación del área de Informática que debe brindar integridad y seguridad a la información y al personal, debe ser un sitio propicio para laborar, para esto físicamente debe contar con instalaciones acordes a las necesidades, con adecuadas instalaciones eléctricas, detectores de humo, supresores de fuego, señalización de rutas de evacuación, extintores, planos de las instalaciones eléctricas y de datos actualizados


Auditoria de Sistemas

PROCEDIMIENTOS DE CONTROL DE AUDITORIA PARA EL ÁREA DE SISTEMAS Luego de mencionar los aspectos generales que se deben tener en cuenta para la auditoría al área de sistemas se detallará cada uno de los aspectos, teniendo en cuenta cada uno de los ítems a evaluar, los objetivos de control de la auditoría y el procedimiento que se debe llevar a cabo

7


1. PLANEACION DEL AREA DE INFORMATICA

Auditoria de Sistemas

El área de sistemas debe tener planes a corto, mediano y largo plazo, con el fin de asegurar su contribución al éxito en el logro de los objetivos de la organización. Dichos planes deben estar en acuerdo con los planes generales de la organización para lograr sus propios objetivos.

El área de sistemas debería ser lo bastante importante en la jerarquía de la organización para permitirle lograr sus objetivos generales establecidos y promover su independencia operativa de los departamentos usuarios. Para promover la utilización efectiva de los recursos humanos del área, y para facilitar la evaluación del desempeño dentro de la función informática, deberían emplearse técnicas de gestión de personal sólidas.

4. GESTION DE CALIDAD DEL AREA DE SISTEMAS 2. POLITICAS, ESTANDARES Y PROCEDIMIENTOS

8

3. RESPONABILIDADES ORGANIZATIVAS Y GESTION DE PERSONAL

Debe haber políticas, estándares y procedimientos que sirvan de base para la planificación, control y evaluación del área de sistemas. •

Políticas

Estándares

Procedimientos

Debe asegurarse la calidad de los servicios prestados por el área informática mediante el establecimiento de una función independiente dentro del área dedicada a mantener estándares de calidad establecidos. •

Responsabilidades y aspectos organizativos de las funciones de la gestión de calidad

Cualificación del personal de gestión de calidad

Cumplimiento de los estándares y procedimientos del área de sistemas

Informes de las revisiones de gestión de calidad


5. PLANIFICACION Y GESTION DE RECURSOS DEL AREA DE SISTEMAS

Debe planearse, aportarse y gestionarse los recursos organizativos para apoyar el logro de los objetivos aprobados para el área de Informática. •

Presupuesto operativo anual del área de sistemas

Plan de adquisición de equipos.

7. SOFTWARE DEL SISTEMA OPERATIVO

El área informática debe usar procedimientos estándar para

6.

EXPLOTACION

identificar, seleccionar, programar, probar, implementar y controlar el software del sistema operativo.

Auditoria de Sistemas

El área informática debe usar procedimientos estándar para identificar, seleccionar, programar, probar, implementar y controlar el software del sistema operativo.

Selección del software del sistema

Análisis del costo del software

Instalación de cambios

en el software del sistema •

Selección del software del sistema

Análisis del costo del software

Instalación de cambios en el software del sistema

Mantenimiento del software

Gestión de problemas con el software

Seguridad del software de sistema

Mantenimiento del software

Gestión de problemas con el software

Seguridad del software

de sistema

9


AUDITORIA DE SISTEMAS |

Auditoria de Sistemas

PROCEDIMIENTOS DE CONTROL PARA SEGURIDAD Y PLANES DE CONTINGENCIA


SEGURIDAD LÓGICA Y FÍSICA

El acceso a los recursos de computador debe estar limitado a aquellos usuarios que tengan necesidad documentada y autorizada de efectuar dicho acceso. Verificar procedimientos para proteger los recursos de computador contra utilización o modificación no autorizada, daño o pérdida, debe establecerse controles de accesos lógicos y físicos.

Restricciones de Acceso Lógico

• Seguridad del Acceso a Datos en Línea • Identificación Limitada del centro de Cómputo •

Protección Contra el Fuego

• Formación y Concientización en Procedimientos de Seguridad

2.

PLANEACIÓN DE CÓNTINGENCIAS

Deben existir planes adecuados para el respaldo de recursos de computador críticos y para la recuperación de los servicios del área de informática después de una interrupción imprevista de los mismos:

Responsabilidad de la seguridad Lógica y Física

Acceso a las Instalaciones de Computadores

Acompañamiento de Visitas

Administración de Claves de Acceso

Informes de Violaciones y actividad de Seguridad

PROCEDIMIENTOS DE CONTROL PARA SEGURIDAD Y PLANES DE CONTINGENCIA

1.

1


PROCEDIMIENTOS DE CONTROL PARA SEGURIDAD Y PLANES DE CONTINGENCIA

2.

PLANEACIÓN DE CÓNTINGENCIAS

Plan de Recuperación de Desastres

Seguridad del Personal y Formación en Procedimientos de Emergencia

Aplicaciones Críticas de Tratamiento de Datos

Para mas Informacion ingresa a:

Recursos de Computador Críticos

Restauración de Servicios de Telecomunicaciones

Respaldo del Centro de Cómputo y de los Equipos

http://datateca.unad.edu.co/c ontenidos/233004/riesgos/ca ptulo_6_procedimientos_de_au ditora_informtica_y_de_sistem as.html

Personal de Programación para Operaciones de Respaldo

Procedimientos de Recuperación de Archivos

Insumos para Recuperación de Desastres

Pruebas de Plan de Recuperación de Desastres

Reconstrucción del Centro de Cómputo del Área de Informática

Procedimientos de Respaldo Manual de los Departamentos Usuarios

2


Auditoria de Sistemas

En una “Compañía de Seguros” se llevó a cabo la “Auditoría de una Base de Datos”. Esta BD operativa es utilizada por todos los sistemas existentes en la empresa. Se cuenta con una BD Oracle 7.3 instalada en un Server, al cual tienen acceso 40 terminales. Existen desarrolladores y usuarios finales que acceden a la misma por medio de la autorización otorgada por el DBA (Administrador de la BD). Se observa que: - la BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence - el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al final del día. - hasta el momento, la BD cuenta con más de 2 millones de registros.

Fecha del Informe: 12 / 06 / 2015 Nombre de la entidad: Seguros S.A Auditoria de: Sistemas- Bases de datos. Objetivo: Controlar la definición y existencia de los objetos necesarios para la normal utilización de una BD y para mejorar su performance. Lugar de la Auditoría: Área de Sistemas Grupo de Trabajo de Auditoría: Lic. Jorge Gorostiza Lic. Gustavo Barrientos Fecha de Inicio de la Auditoría: 12 / 05 / 2015 Tiempo estimado del proceso de revisión: 30 Horas

9


Fecha de Finalización de la Auditoría: 19 / 05 / 2015 Herramientas utilizadas: - Metodología de auditoría de objetivos de control - Utilitarios estándar Alcance: Controlar la definición y existencia de todos los objetos que son necesarios en la BD y que son utilizados por los distintos sistemas de la empresa.

PROCEDIMIENTOS A APLICAR:

Auditoria de Sistemas

Objetos - ¿Las tablas definidas en el diseño coinciden con las fueron creadas en la BD teniendo en cuenta nombres de las tablas, columnas y tipos de datos de las columnas? - ¿Están definidas las claves primarias (PK) y claves externas (FK) de c/ tabla existente? - ¿Existen las secuencias (sequences) correspondientes a la clave primaria (PK) de c/ tabla definida? - ¿La BD tiene vistas (views) respecto de algunas tablas? - Para mejorar el performance del sistema, ¿el DBA definió que sean necesarios según los casos? - ¿Existe documentación actualizada respecto del diseño e implementación de la BD? Datos - ¿Con qué frecuencia se realiza una copia de resguardo (backup) respecto de la BD? - ¿Cada cuánto tiempo se realiza una actualización de los datos existentes? Usuarios

10

- ¿Cuántos usuarios tienen acceso a la BD? - ¿Cuántos usuarios actúan como desarrolladores respecto de la BD? - ¿Cuántos usuarios son usuarios finales de la BD? - ¿Cuáles son los roles y privilegios establecidos por el DBA? - ¿Todos los usuarios tienen definido un rol determinado?


INFORME DE LAS DEBILIDADES DETECTADAS

No existen índices que permitan mejorar el performance del sistema

Se realiza una copia diaria de resguardo (backup)

Recomendación

Comentario de la Gerencia de Sistemas Crear los índices que correspondan De acuerdo de acuerdo con las aplicaciones que (Sr. Gte de Sistemas) fueron desarrolladas.

Debido al caudal de información que maneja la empresa, se sugiere realizar 2 backups diarios, uno a mitad del día y otro al final del día.

De acuerdo (Sr. Gte de Sistemas)

CONCLUSIONES El equipo de auditores considera que la empresa NO realiza las tareas de actualización y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas áreas de la empresa.

Auditoria de Sistemas

Situación Actual

11


Daniela Alejandra Suarez Carrillo Leidy Natally Marin Lizth Carolina Aldana David Sanchez

[Escriba el tĂ­tulo del documento]

Presentado Por

Profesora Nelly Clavijo

1


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.