Manual de Procedimientos
Auditoria de Sistemas
Auditoria de Sistemas
Auditoria de Sistemas Manual de Procedimientos Introduccion E N LA PRESENTE CARTILLA , RECOPILAMOS LOS PASOS NECESARIOS PARA PODER LLEVAR A CABO UNA AUDITORIA DE SISTEMAS LOS CUALES FACILITARAN EL DESARROLLO DE TU ROL COMO AUDITOR PRINCIPIANTE . QUEREMOS BRINDARTE UNA GUÍA DISEÑADA ESPECIALMENTE PARA ESTUDIANTES EN LA QUE PODRÁS ENCONTRAR INFORMACIÓN BÁSICA CON CONCEPTOS CLAROS NECESARIOS PARA REALIZAR UN PROCESO DE
¿Qué es una auditoria? E S UNA HERRAMIENTA DE CARÁCTER SISTEMÁTICO , PORQUE SE DEBE REALIZAR DE UNA MANERA LÓGICA Y ORGANIZADA , DE TAL MANERA QUE LA INFORMACIÓN RECOPILADA SEA ADECUADA Y SUFICIENTE PARA EMITIR UN INFORME FINAL . S E TRATA DE REALIZAR UNA VALORACIÓN DE
Auditoria de Sistemas
AUDITORÍA DE SISTEMAS .
LA GESTIÓN DE LA ENTIDAD Y REALIZAR UNA IDENTIFICACIÓN DE MEJORAS . L A AUDITORÍA NO BUSCA CULPABLES , BUSCA LA MEJORA DE LOS PROCESOS Y SERVICIOS DE LA
E NTIDAD .
1
Auditoria de Sistemas
1. Conceptos Básicos 2. Técnicas de Auditoria para Recolección de Información 3. Fases de la Auditoría de Sistemas 4. Aspectos para Auditoria para un Centro de Cómputo o Área de Sistemas 5. Procedimientos de Control para Auditoria al Área de Sistemas 6. Procedimientos de Control para Seguridad y Planes de Contingencia 7. Ejemplo
1
CONCEPTOS
BASICOS
Auditoria de Sistemas
AUDITOR: Es la persona con la responsabilidad final de la auditoria. Para una fácil referencia el término “AUDITOR” se usa dentro de las NIAS cuando se describe tanto la auditoria con los servicios relacionados que puedan desempeñarse .Tal referencia no pretende implicar que una persona que desempeñe servicios relacionados tenga necesariamente que ser el auditor de los estados financieros de la entidad.
ALCANCE DE LA AUDITORIA: se refiere a los procedimientos de auditoria considerados necesarios en las circunstancias para lograr el objetivo de la auditoria. Los procedimientos requeridos para conducir una auditoria, deberán ser determinados por el auditor teniendo en cuenta los requisitos de las normas internacionales de auditoria.
EMPRESA: Es una organización o institución dedicada a actividades o persecución de fines económicos o comerciales para satisfacer las necesidades de bienes o servicios de los solicitantes, a la par de asegurar la continuidad de la estructura productivo-comercial así como sus necesarias inversiones.
2
AUDITORIA DE SISTEMAS
La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia La actividad dirigida a verificar y juzgar información El examen y evaluación de los procesos del Área de Procesamiento automático de Datos y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
EFICACIA: Es el logro de los resultados esperados en alguna actividad determinada sin tomar en cuenta la calidad y cantidad de los recursos empleados en dichos resultados.
EFICIENCIA Es la relación entre bienes producidos o adquiridos en todo caso de los servicios prestados y recursos utilizados para ello
El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado
EVIDENCIA 1. En auditoria se denomina evidencia al conjunto de hechos comprobados, suficientes, competentes, y pertinentes que sustentan las conclusiones del auditor 2.
En la información específica obtenida durante la labor de auditoria a través de observaciones, inspección, entrevistas y examen de los registros que se utilizan para determinar si la información cuantificable que se audita se presenta de acuerdo con los criterios establecidos.
GESTION
Auditoria de Sistemas
Es el mecanismo fundamental para la integración y operación de todo esfuerzo organizado, comprende todas las actividades organizacionales que implican el establecimiento de objetivos y metas, la evaluación de su cumplimiento y el desempeño institucional así como la operación que garantice supervivencia de la organización
HALLAZGO DE LA AUDITORIA 1. Se denomina al resultado de la comparación que se realiza entre un criterio y la situación actual durante el examen a un área, actividad u operación 2.
Es toda información que a juicio del auditor le permite identificar hechos o circunstancias importantes que inciden en la gestión de recursos en la entidad o programa bajo examen que merecen ser comunicados en el informe.
INFORME DE AUDITORIA Es la comunicación escrita de los hallazgos de auditoria a los usuarios
NORMAS DE AUDITORIA 1. Son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña y la información que rinde como resultado de este trabajo 2. Son las directrices de carácter general que proporcionan ayuda a los auditores, para poder cumplir con sus responsabilidades profesionales relacionadas con el examen de estados financieros históricos; e incluye información adicional concerniente a la competencia e independiente del auditor
MANUAL Instrumento administrativo que contienen información sobre los diferentes aspectos acerca de la organización, tales como los objetivos, políticas, procedimientos, funciones, tareas, relacionadas integrales de cada unidad organizacional por separado y de la empresa con un todo.
3
TECNICAS DE AUDITORIA PARA RECOLECCION DE LA INFORMACION
Auditoria de Sistemas
Confirmación
El auditor de sistemas deberá seleccionar y utilizar las herramientas, técnicas, procedimientos y metodologías que le permitan examinar, revisar, comparar y evaluar correctamente cada uno de los aspectos del ambiente informático y de sistemas en el que desarrolla su trabajo.
Evaluación
Se aplica para investigar algún hecho, comprobar alguna cosa, verificar la forma de realizar un proceso, evaluar la aplicación de técnicas, métodos o procedimientos de trabajo, verificar el resultado de una transacción, comprobar la operación correcta de un sistema software entre otros muchos aspectos.
Inspección
4
Permite evaluar la eficiencia y eficacia del sistema, en cuanto a operación y procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo
El aspecto más importante en la auditoria es la confirmación de los hechos y la certificación de los datos que se obtienen en la revisión, ya que el auditor expone sus opiniones, este informe es aceptado siempre y cuando los datos sean veraces y confiables.
Comparación
En auditoría a los sistemas software se realiza la comparación de los resultados obtenidos con el sistema y los resultados con el procesamiento manual, el objetivo de dicha comparación es comprobar si los resultados son iguales, o determinar las posibles desviaciones, y errores entre ellos.
Revisión Documental
En esta evaluación se revisan manuales, instructivos, procedimientos, funciones y actividades. El registro de resultados, estadísticas, la interpretación de acuerdos, memorandos, normas, políticas y todos los aspectos formales que se asientan por escrito para el cumplimiento de las funciones y actividades en la administración de las organizaciones.
Matriz de Evaluación La escala de valoración puede ir desde la mínima con puntaje 1 (baja, deficiente) hasta la valoración máxima de 5(superior, muy bueno, excelente).
Esta matriz permite realizar la valoración del cumplimiento de una función específica de la administración del centro de cómputo, en la verificación de actividades de cualquier función del área de informática, del sistema software, del desarrollo de proyectos software, del servicio a los usuarios del sistema o cualquier otra actividad del área de informática en la organización.
¿Cómo Recolectar Información? En su aplicación el auditor debe aprovecharlas con el propósito de que las diseñe y las utilice en dicho proceso.
Auditoria de Sistemas
Cada una de estas valoraciones deberá tener asociado la descripción del criterio por el cual se da ese valor.
Observación
Matriz DOFA
Este es un método de análisis y diagnóstico usado para la evaluación de un centro de cómputo, que permite la evaluación del desempeño de los sistemas software.
Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del área informática y los sistemas software, permite recolectar la información directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el área.
Entrevista En la entrevista, el auditor interroga, investiga y conforma directamente sobre los aspectos que se está auditando. En su aplicación se utiliza una guía general de la entrevista, que contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando para profundizar y preguntar sobre el tema
5
Cuestionarios
Auditoria de Sistemas
Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado.
Encuestas
ISO 27001 ¿Qué ES? Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2. ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.
Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre otros juicios de la función informática.
Inventarios
6
Con la aplicación de esta herramienta de la auditoria tradicional, el auditor de sistemas también puede examinar las existencias de los elementos disponibles para el funcionamiento del área informática o del sistema, contabilizando los equipos de cómputo, la información y los datos de la empresa, los programas, periféricos, consumibles, documentos, recursos informáticos, y demás aspectos que se desee conocer, con el fin de comparar la cantidad real con las existencias que se registra en los documentos.
¿Cómo Funciona? El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo). Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente,
Auditoria de Sistemas
FASES DE LA AUDITORIA
Para realizar una auditoría de sistemas se requiere planear una serie ordenada de acciones y procedimientos específicos, que deben ser ejecutados de forma secuencial, cronológica y ordenada, teniendo en cuenta etapas, eventos y actividades que se requieran para su ejecución que serán establecidos de acuerdo a las necesidades de la empresa.
7
1. Etapa de Planeacion de la Auditoría El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoría, donde se debe identificar de forma clara las razones por las que se va a realizar la auditoría, la determinación del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución, terminando con la elaboración de la documentación de los planes, programas y presupuestos para llevarla a cabo.
4. Establecer los Objetivos de la Auditoría Los objetivos de la planeación de la auditoría son: • El objetivo general, que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en él se plantean todos los aspectos que se pretende evaluar.
5. Determinar los puntos que seran evaluados: 2. Identificar el origen de la auditoría Este es el primer paso para iniciar la planeación de la auditoría, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿por qué?, ¿Quién? o ¿para qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.
3. Visita Preliminar al Area informatica Este es el segundo paso en la planeación de la auditoría el propósito es el de tener un primer contacto con el personal asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cómputo, sus características, las medidas de seguridad Se deben tener en cuenta aspectos tales como:
0
¿Cómo se encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de qué tipo son los servidores y terminales que existen en el área?, ¿Qué características generales de los sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas existen en el área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son las medidas de seguridad física existentes en el área?, y ¿Qué limitaciones se observan para realizar la auditoría?.
Una vez determinados los objetivos de la auditoría se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos específicos como: la gestión administrativa del área informática y el centro de cómputo, el cumplimiento de las funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los sistemas en producción, los programas de capacitación para el personal del área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección de las copias de seguridad y la restauración de la información, entre otros aspectos.
Auditoria de Sistemas
• Los objetivos específicos, que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.
8
6. Elaborar planes, programas y presupuestos para realizar la auditoría: Para realizar la planeación formal de la auditoría informática y de sistemas, se debe elaborar los documentos formales para el desarrollo de la auditoría, donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para el cumplimiento del
7. Identificar y seleccionar los metodos, herramientas, instrumentos y procedimientos necesarios para la auditoría:
objetivo. Algunos de los aspectos a tener en cuenta serán: las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos; el flujo de eventos que sirven de guía; la estimación de los recursos humanos, materiales e informáticos que serán Auditoria de Sistemas
utilizados; los tiempos estimados para las actividades y para la auditoría; los auditores responsables y participantes de las actividades; otras especificaciones del programa de auditoría.
Seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para la auditoría. Para ello se deben considerar los siguientes puntos: establecer la guía de ponderación de cada uno de los puntos que se debe evaluar; elaborar una guía de la auditoría; elaborar el documento formal de la guía de auditoría; determinar las herramientas, métodos y
2
procedimientos para la auditoría de sistemas; diseñar los sistemas, programas y métodos de pruebas para la auditoría.
8.
Etapa de Ejecucion de la Auditoría
La siguiente etapa después de la planeación de la auditoría es la ejecución de la misma,
y está determinada por las características propias, los puntos elegidos y los requerimientos estimados en la planeación
1. Realizar las acciones programadas para la auditoría.
4. Elaborar el dictamen preliminar y presentarlo a discusión.
2. Aplicar los instrumentos y herramientas para la auditoría.
3. Identificar y elaborar los documentos de oportunidades de mejoramiento enco ntradas.
Auditoria de Sistemas
5. Integrar el legajo de papeles de trabajo de la auditoría
9. Etapa de Dictamen de la Auditoría La tercera etapa luego de la planeación y ejecución es emitir el dictamen, que es el resultado final de la auditoría, donde se presentan los siguientes puntos: la elaboración del informe de las situaciones que se han detectado, la elaboración del dictamen final y la presentación del informe de auditoría.
3
10. Analizar la informacion y elaborar un informe de las situaciones detectadas
Auditoria de Sistemas
Junto con la detección de las oportunidades de mejoramiento se debe realizar el análisis de los papeles de trabajo y la elaboración del borrador de las oportunidades detectadas, para ser discutidas con los auditados.
11. Elaborar el Dictamen Final El auditor debe terminar la elaboración del informe final de auditoría y complementarlo con el dictamen final, para después presentarlo a los directivos del área auditada para que conozcan la situación actual del área, antes de presentarlo al representante o gerente de la empresa.
LA PRESENTACIÓN DEL DICTAMEN FINAL SE HACE EN UNA REUNIÓN DIRECTIVA Y POR ESO ES INDISPENSABLE USAR UN LENGUAJE CLARO TANTO EN EL INFORME COMO
4
EN LA EXPOSICIÓN DEL MISMO. EL INFORME DEBE CONTENER LOS SIGUIENTES PUNTOS: LA CARTA DE PRESENTACIÓN, EL DICTAMEN DE LA AUDITORÍA, EL INFORME DE SITUACIONES RELEVANTES Y LOS ANEXOS Y CUADROS ESTADÍSTICOS.
Es importante revisar la definición e implementación de políticas del centro de sistemas de la entidad, la funcionalidad de su estructura orgánica es indispensable y con ello se debe también evaluar la integridad y confiabilidad de la información, la protección y conservación de los bienes informáticos de la empresa. Al auditar el área de sistemas se deben tener en cuenta los siguientes aspectos:
Auditoria de Sistemas
ASPECTOS DE LA AUDITORIA
5
ASPECTOS ADMINISTRATIVOS Deben plantearse los objetivos a corto o largo plazo, que estén acordes con los objetivos de la organización. En el desarrollo de los planes a largo plazo, el jefe del área de Informática debe identificar las metas a largo plazo verificando que estas sean coherentes con las metas de la organización, y teniendo en cuenta los cambios, los avances tecnológicos y la normativa vigente.
ASPECTOS DE SEGURIDAD
Auditoria de Sistemas
Se debe tener en cuenta la seguridad física, instalaciones, personal, documentación, backups, pólizas/seguros, planes de contingencia.
Dentro de las políticas del área de Informática se deben incluir las pautas sobre renovación y/o adquisición tanto de software como de hardware con base en estudio profundo de necesidades, la legalización del todo el software utilizado, la buena y oportuna capacitación a todos los niveles funcionales del área de Informática.
ASPECTOS TECNICOS Donde se tiene en cuenta los equipos, desarrollo e implementación de sistemas, entrada y salida de datos y mantenimiento de software. Se debe llevar a cabo revisiones periódicas de los sistemas en funcionamiento mediante la realización de pruebas del sistema, que permitan garantizar que se cumplan los requisitos de las especificaciones funcionales, verificando transacciones, estadísticas, archivos, reportes generados, registrando las fallas ocurridas y realizando los ajustes necesarios, con el propósito de comprobar que las aplicaciones cumplan con los requerimientos del usuario y los objetivos para los cuales fueron diseñados.
6
Algunas características para evaluar estos aspectos son: La ubicación del área de Informática que debe brindar integridad y seguridad a la información y al personal, debe ser un sitio propicio para laborar, para esto físicamente debe contar con instalaciones acordes a las necesidades, con adecuadas instalaciones eléctricas, detectores de humo, supresores de fuego, señalización de rutas de evacuación, extintores, planos de las instalaciones eléctricas y de datos actualizados
Auditoria de Sistemas
PROCEDIMIENTOS DE CONTROL DE AUDITORIA PARA EL ÁREA DE SISTEMAS Luego de mencionar los aspectos generales que se deben tener en cuenta para la auditoría al área de sistemas se detallará cada uno de los aspectos, teniendo en cuenta cada uno de los ítems a evaluar, los objetivos de control de la auditoría y el procedimiento que se debe llevar a cabo
7
1. PLANEACION DEL AREA DE INFORMATICA
Auditoria de Sistemas
El área de sistemas debe tener planes a corto, mediano y largo plazo, con el fin de asegurar su contribución al éxito en el logro de los objetivos de la organización. Dichos planes deben estar en acuerdo con los planes generales de la organización para lograr sus propios objetivos.
El área de sistemas debería ser lo bastante importante en la jerarquía de la organización para permitirle lograr sus objetivos generales establecidos y promover su independencia operativa de los departamentos usuarios. Para promover la utilización efectiva de los recursos humanos del área, y para facilitar la evaluación del desempeño dentro de la función informática, deberían emplearse técnicas de gestión de personal sólidas.
4. GESTION DE CALIDAD DEL AREA DE SISTEMAS 2. POLITICAS, ESTANDARES Y PROCEDIMIENTOS
8
3. RESPONABILIDADES ORGANIZATIVAS Y GESTION DE PERSONAL
Debe haber políticas, estándares y procedimientos que sirvan de base para la planificación, control y evaluación del área de sistemas. •
Políticas
•
Estándares
•
Procedimientos
Debe asegurarse la calidad de los servicios prestados por el área informática mediante el establecimiento de una función independiente dentro del área dedicada a mantener estándares de calidad establecidos. •
Responsabilidades y aspectos organizativos de las funciones de la gestión de calidad
•
Cualificación del personal de gestión de calidad
•
Cumplimiento de los estándares y procedimientos del área de sistemas
•
Informes de las revisiones de gestión de calidad
5. PLANIFICACION Y GESTION DE RECURSOS DEL AREA DE SISTEMAS
Debe planearse, aportarse y gestionarse los recursos organizativos para apoyar el logro de los objetivos aprobados para el área de Informática. •
Presupuesto operativo anual del área de sistemas
•
Plan de adquisición de equipos.
7. SOFTWARE DEL SISTEMA OPERATIVO
El área informática debe usar procedimientos estándar para
6.
EXPLOTACION
identificar, seleccionar, programar, probar, implementar y controlar el software del sistema operativo.
Auditoria de Sistemas
El área informática debe usar procedimientos estándar para identificar, seleccionar, programar, probar, implementar y controlar el software del sistema operativo.
•
Selección del software del sistema
•
Análisis del costo del software
•
Instalación de cambios
en el software del sistema •
Selección del software del sistema
•
Análisis del costo del software
•
Instalación de cambios en el software del sistema
•
Mantenimiento del software
•
Gestión de problemas con el software
•
Seguridad del software de sistema
•
Mantenimiento del software
•
Gestión de problemas con el software
•
Seguridad del software
de sistema
9
AUDITORIA DE SISTEMAS |
Auditoria de Sistemas
PROCEDIMIENTOS DE CONTROL PARA SEGURIDAD Y PLANES DE CONTINGENCIA
SEGURIDAD LÓGICA Y FÍSICA
El acceso a los recursos de computador debe estar limitado a aquellos usuarios que tengan necesidad documentada y autorizada de efectuar dicho acceso. Verificar procedimientos para proteger los recursos de computador contra utilización o modificación no autorizada, daño o pérdida, debe establecerse controles de accesos lógicos y físicos.
•
Restricciones de Acceso Lógico
• Seguridad del Acceso a Datos en Línea • Identificación Limitada del centro de Cómputo •
Protección Contra el Fuego
• Formación y Concientización en Procedimientos de Seguridad
2.
PLANEACIÓN DE CÓNTINGENCIAS
Deben existir planes adecuados para el respaldo de recursos de computador críticos y para la recuperación de los servicios del área de informática después de una interrupción imprevista de los mismos:
•
Responsabilidad de la seguridad Lógica y Física
•
Acceso a las Instalaciones de Computadores
•
Acompañamiento de Visitas
•
Administración de Claves de Acceso
•
Informes de Violaciones y actividad de Seguridad
PROCEDIMIENTOS DE CONTROL PARA SEGURIDAD Y PLANES DE CONTINGENCIA
1.
1
PROCEDIMIENTOS DE CONTROL PARA SEGURIDAD Y PLANES DE CONTINGENCIA
2.
PLANEACIÓN DE CÓNTINGENCIAS
•
Plan de Recuperación de Desastres
•
Seguridad del Personal y Formación en Procedimientos de Emergencia
•
Aplicaciones Críticas de Tratamiento de Datos
Para mas Informacion ingresa a:
•
Recursos de Computador Críticos
•
Restauración de Servicios de Telecomunicaciones
•
Respaldo del Centro de Cómputo y de los Equipos
http://datateca.unad.edu.co/c ontenidos/233004/riesgos/ca ptulo_6_procedimientos_de_au ditora_informtica_y_de_sistem as.html
•
Personal de Programación para Operaciones de Respaldo
•
Procedimientos de Recuperación de Archivos
•
Insumos para Recuperación de Desastres
•
Pruebas de Plan de Recuperación de Desastres
•
Reconstrucción del Centro de Cómputo del Área de Informática
•
Procedimientos de Respaldo Manual de los Departamentos Usuarios
2
Auditoria de Sistemas
En una “Compañía de Seguros” se llevó a cabo la “Auditoría de una Base de Datos”. Esta BD operativa es utilizada por todos los sistemas existentes en la empresa. Se cuenta con una BD Oracle 7.3 instalada en un Server, al cual tienen acceso 40 terminales. Existen desarrolladores y usuarios finales que acceden a la misma por medio de la autorización otorgada por el DBA (Administrador de la BD). Se observa que: - la BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence - el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al final del día. - hasta el momento, la BD cuenta con más de 2 millones de registros.
Fecha del Informe: 12 / 06 / 2015 Nombre de la entidad: Seguros S.A Auditoria de: Sistemas- Bases de datos. Objetivo: Controlar la definición y existencia de los objetos necesarios para la normal utilización de una BD y para mejorar su performance. Lugar de la Auditoría: Área de Sistemas Grupo de Trabajo de Auditoría: Lic. Jorge Gorostiza Lic. Gustavo Barrientos Fecha de Inicio de la Auditoría: 12 / 05 / 2015 Tiempo estimado del proceso de revisión: 30 Horas
9
Fecha de Finalización de la Auditoría: 19 / 05 / 2015 Herramientas utilizadas: - Metodología de auditoría de objetivos de control - Utilitarios estándar Alcance: Controlar la definición y existencia de todos los objetos que son necesarios en la BD y que son utilizados por los distintos sistemas de la empresa.
PROCEDIMIENTOS A APLICAR:
Auditoria de Sistemas
Objetos - ¿Las tablas definidas en el diseño coinciden con las fueron creadas en la BD teniendo en cuenta nombres de las tablas, columnas y tipos de datos de las columnas? - ¿Están definidas las claves primarias (PK) y claves externas (FK) de c/ tabla existente? - ¿Existen las secuencias (sequences) correspondientes a la clave primaria (PK) de c/ tabla definida? - ¿La BD tiene vistas (views) respecto de algunas tablas? - Para mejorar el performance del sistema, ¿el DBA definió que sean necesarios según los casos? - ¿Existe documentación actualizada respecto del diseño e implementación de la BD? Datos - ¿Con qué frecuencia se realiza una copia de resguardo (backup) respecto de la BD? - ¿Cada cuánto tiempo se realiza una actualización de los datos existentes? Usuarios
10
- ¿Cuántos usuarios tienen acceso a la BD? - ¿Cuántos usuarios actúan como desarrolladores respecto de la BD? - ¿Cuántos usuarios son usuarios finales de la BD? - ¿Cuáles son los roles y privilegios establecidos por el DBA? - ¿Todos los usuarios tienen definido un rol determinado?
INFORME DE LAS DEBILIDADES DETECTADAS
No existen índices que permitan mejorar el performance del sistema
Se realiza una copia diaria de resguardo (backup)
Recomendación
Comentario de la Gerencia de Sistemas Crear los índices que correspondan De acuerdo de acuerdo con las aplicaciones que (Sr. Gte de Sistemas) fueron desarrolladas.
Debido al caudal de información que maneja la empresa, se sugiere realizar 2 backups diarios, uno a mitad del día y otro al final del día.
De acuerdo (Sr. Gte de Sistemas)
CONCLUSIONES El equipo de auditores considera que la empresa NO realiza las tareas de actualización y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas áreas de la empresa.
Auditoria de Sistemas
Situación Actual
11
Daniela Alejandra Suarez Carrillo Leidy Natally Marin Lizth Carolina Aldana David Sanchez
[Escriba el tĂtulo del documento]
Presentado Por
Profesora Nelly Clavijo
1