Auditorías De Seguridad

Cristhian Camilo Monares Marin

Ingeniero en Informática

CC No. 1095912111

Actividad 1

Normas de Auditoría

Nombre Empresa: Tecno Service LTDA

Estado: La empresa presta servicios informáticos, pero no realiza internamente ni periódicamente una cultura y politica de auditoria externa, para la revision y correccion de fallos.

Descripción: La empresa prestar servicios locales y a domicilio en informática básica y avanzada, con la asesoría en nuevas herramientas, respaldo y recuperacion de datos, asi como mantenimiento preventivo y correctivo de equipos que son traídos de los clientes, para ser revisados y actualizados en las instalaciones de la oficina. Cuenta con más 30 personas laborando en diferentes labores tanto internas como externas, pero conociendo la clase de información y confianza en el trabajo que puede llegar a tomar, se esta hablando de procedimientos delicados y de mucha atención.

Que se puede revisar de la operación de la empresa:

Riesgos en el CPD:

Factores físicos.

• Cableado.

• La iluminación

• El aire de renovación o ventilación

• Las fuentes de alimentación.

Factores ambientales

• Incendios.

• Inundaciones.

• Sismos.

• Humedad.

Factores humanos

• Robos.

• Actos vandálicos.

• Actos vandálicos contra el sistema de red

• Fraude.

• Sabotaje.

• Terrorismo.

Fuente: http://www.tecnoservice.com

Actividad 2:

Métodos, técnicas o procedimientos para la evaluación de evidencia aplicables a la auditoría informática.

Introducción

Con lineamientos y herramientas estándar para el ejercicio de la auditoría informática se ha promovido la creación y desarrollo de mejores prácticas, por lo cual en el presente trabajo, expondremos algunas técnicas, métodos y herramientas de la auditoría cuyo objetivo es recoger, evaluar y agrupar evidencias para determinar si un sistema de información custodia y cuida el activo empresarial, además que mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.

Desarrollo

Seleccionar algunos de los métodos, técnicas o procedimientos para la evaluación de evidencia aplicables a la auditoría informática.

Algunas Técnicas para la evaluación de evidencias tenemos

Técnica de las Certificaciones

Técnica del Cálculo

Técnica de la Observación

Técnica de la Comprobación

La auditoría utiliza en gran medida el método deductivo-inductivo, ya que este permite realizar el levantamiento de información y la evaluación de los hechos que son objetos de estudio partiendo de un conocimiento general de los mismos, para luego dividirlos en unidades más pequeñas que permitan una mejor aproximación a la realidad con el fin de emitir una opinión o conjuntos de opiniones de manera profesional. Todo esto requiere que el auditor hago uso de una serie de procedimientos que deben ser realizados de forma ordenada, sistemática y lógica, con el fin de poder armar una crítica objetiva del hecho, área u objeto auditado.

Las principales Herramientas y/o procedimientos para la evaluación de evidencias son

Observación.

Una de las técnicas más populares, de mayor impacto y más utilizados para examinar los diferentes aspectos que repercuten en el funcionamiento del área de Informática o del propio sistema, es la aplicación de diversas técnicas y métodos de observación que permiten recolectar directamente la información necesaria sobre el comportamiento del sistema, del área de sistemas, de las funciones, actividades y operaciones del equipo procesador o de cualquier otro hecho, acción o fenómeno del ámbito de sistemas.

Realización de cuestionarios.

Los cuestionarios son una técnica de recopilación de infromación que permite que los analistas de sistemas estudien actitudes, creencias, comportamientos y características de varias personas principales en la organización que pueden ser afectados por los sistemas actual y propuesto.

Mediante el uso de cuestionarios el analista puede estar buscando cuantificar lo que ha encontrado en las entrevistas. Adicionalmente, los cuestionarios pueden ser usados para determinar que tan amplio o limitado es en realidad un sentimiento expresado en una entrevista. En forma inversa los cuestionarios pueden ser usados para investigar a una gran muestra de usuarios de sistemas, para tratar de encontrar problemas o recoger cosas importantes antes de que las entrevistas sean realizadas.

Entrevistas a auditados y no auditados.

Podría entenderse como entrevista a la recopilación de información que se realiza en forma directa, cara a cara y a través de algún medio de captura de datos.

Para llevar a cabo una entrevista, primero debe entrevistarse usted mismo. Necesita conocer sus preferencias y la manera en que afectarán sus preferencias. Su educación, intelecto, contexto cultural y emociones sirven como filtros poderosos para lo que estará oyendo en la entrevista.

Necesita pensar a fondo la entrevista antes de ir a ella. Visualizar por qué está yendo, qué preguntará y qué es lo que constituirá una entrevista satisfactoria. Debe anticipar cómo hacer que la entrevista sea satisfactoria también para su entrevistado.

Encuestas

Las encuestas constituyen otra de las técnicas más populares y de mayor uso en una auditoría de sistemas computacionales, y son útiles principalmente para averiguar opiniones sobre aspectos de la Informática tales como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, la oportunidad de la presentación de los resultados, entre otros juicios sobre la función informática. Podemos definir una encuesta de la siguiente manera:

Es la recopilación de datos concretos sobre un tema específico, mediante el uso de cuestionarios o entrevistas diseñados con preguntas precisas para obtener las opiniones de los encuestados, las cuales permiten, después de hacer una rápida tabulación, análisis e interpretación de esa información, conocer su punto de vista y sentimientos hacia un tópico específico.

Inventarios

Esta forma de recopilación de información consiste en hacer un recuento físico de lo que se está auditando, a fin de saber

...