EVALUACIÓN DE PROCESOS INFORMÁTICOS. SEMANA 1
Enviado por Eliana Gutierrez • 21 de Octubre de 2022 • Informe • 2.107 Palabras (9 Páginas) • 47 Visitas
[pic 1]
[pic 2]
[pic 3]
[pic 4]
[pic 5]
[pic 6]
[pic 7]
DESARROLLO
Este ejercicio consiste en elaborar un cuadro descriptivo de las fases de una auditoría informática. El entregable puede realizarlo en una planilla Excel o una tabla de Word, como una tabla de doble entrada en la cual se identifiquen las etapas solicitadas, con un descriptor explicativo de cada una, y una diferenciación entre auditoría informática y auditoría de seguridad informática.
La descripción de las características y/o funcionalidades de cada etapa deberá ser de elaboración propia, es decir, no puede estar copiada literalmente del documento con el contenido de la semana.
En base a la información anterior elabore un ejemplo de una situación real donde se aplique cada una de estas fases.
Para la comenzar el desarrollo de la pregunta considero necesario dar a conocer lo que se comprende por auditoría informática, la cual es una instancia en donde se revisa la los procedimientos de los sistemas de aplicación, los recursos informáticos y los planes de contingencia requeridos para para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que resguarda la institución y que se ajuste a la normativa vigente en el momento. La auditoría analiza las herramientas informáticas y la utilización de estas.
La auditoría informática considera las etapas de planificación, ejecución y entrega de informe, como también fases, las cuales convocan este trabajo y se explican a continuación, en donde se da a conocer una descripción general de acuerdo a lo entregado por el apunte de la semana y luego una descripción desglosada según la planificación del desarrollo de la auditoría:
FASES | Descripción general | Planificación de desarrollo | Descripción del Modo Operación |
FASE 1: CONOCIMIENTO DE SISTEMAS | Esta etapa considera comprender el negocio y su entorno, de lo cual es responsable el auditor. Por lo cual debe recorrer instalaciones de la organización considerados necesarios a auditar; enterarse de antecedentes relacionado al área que desarrolla la empresa, considerando normativa vigente, el rol fiscalizador; realizar entrevistas a personas claves de áreas; estudiar las normas o reglamentos internos, planes estratégicos, informes de otras auditorias anteriores.; Reconocer el organigrama de lo que se vaya a auditar; conocer el manual de funciones de cargos de las personas que participarán en el proceso a auditar; caracterizar las aplicaciones y equipamiento computaciones en relación al uso, quiénes lo utilizan, las claves de accesos y las formas en que se guardan los datos en las computadoras (IACC, 2020) | Aspectos, generales y políticas internas | Estos elementos constituyen el marco de referencia sobre el cual está construido el sistema, por lo tanto, es la base sobre que evaluar. |
Característica del sistema organizacional y operativo del recurso humano. | Para conocer esta área se deben: Conocer el Organigrama del área que participa en el sistema. Manual de funciones de las personas que participan en los procesos del sistema Informes de auditoría realizadas anteriormente | ||
Características del equipamiento computacional | Se debe acceder y conocer: Manuales de aplicación del sistema. Estadística de usuarios autorizados para administrar las aplicaciones. Seguridad de las aplicaciones (claves de acceso). Procedimientos para almacenamientos de archivos de aplicación. Inventario de equipos utilizados. |
FASE 2: ANALISIS DE TRANSACCIONES Y RECURSOS | En esta fase se establece cuál será el alcance de la auditoría y se definen los objetivos de la auditoría, se establecen los puntos que serán considerados en la auditoría. El administrados asigna la importancia a las transacciones que serán auditadas; se establece el flujo de los procesos, pudiendo utilizarse el flujograma; se identifican, se codifican los recursos que están implicados en el sistema informático, con lo cual posteriormente se analiza la relación entre transacciones y recursos. | Definir las transacciones | Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. | |
Analizar las transacciones | Establecer el flujo de los documentos Hacer uso de flujogramas para facilitar la visualización del funcionamiento y recorrido de los procesos. | |||
Analizar los recursos | Identificar y codificar los recursos de sistema que participan en el desarrollo. | |||
Relacionar las transacciones y recursos. | ||||
FASE 3: ANALISIS DE RIESGO Y AMENAZAS | En esta fase es donde se identifican los posibles riesgos, pudiendo ser robo de información, errores, etc. Existen distintos tipos de riesgo: Riesgo inherente, riesgo de control, riesgo de detección. También se identifica las posibles amenazas, como pueden ser amenaza sobre documentos, las que pueden afectar a documentos y a los programas de aplicación. | Identificar los riesgos | Evaluar daños del equipamiento o destrucción de los recursos Pérdida por fraude o desfalco Extravío de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupción de las operaciones del negocio Pérdida de integridad de los datos Ineficiencia de operaciones Errores | |
Identificar las amenazas | Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones. | |||
Relación entre recursos, amenaza o riesgos | Establecer la relación entre estos elementos, observando los recursos en su ambiente de funcionamiento. | |||
FASE 4: ANALISIS DE CONTROLES | Esta etapa considera una revisión de los mecanismos de control y la identificación de la codificación que determina al grupo de personas que utilizan los recursos. | Codificar los controles | Estos controles se aplican a los grupos que utilizan los recursos, posteriormente se realiza una codificación que indique el grupo al que pertenezca el recurso protegido. | |
Relación entre recurso, Amenaza o riesgo | La relación con los controles debe establecerse para cada tema (Recurso/Amenaza/Riesgo) identificado. Por cada ítem deberá establecerse uno o más controles. | |||
Análisis de cobertura de los controles requeridos | Un análisis de carácter determinante procura identificar si los controles aplicados o auditados como necesarios entregan una adecuada protección a los recursos. |
...