viernes, 12 de agosto de 2016

Etapas y Lineamientos del Proceso de Auditoria Informática

Conceptos

  • Proceso: Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados
  • Procedimiento: Forma especificada para llevar a cabo una actividad o un proceso
  • No conformidad: Incumplimiento de un requisito
  • Conformidad: Cumplimiento de un requisito
  • Requisito: Necesidad o expectativa establecida, generalmente implícita u obligatoria

Etapas

FASE
ACTIVIDADES
Conocimiento del sistema o área auditada
  1. Identificar el origen de la auditoria.
  2. Realizar visitas para conocer procesos, activos informáticos, procesos y organización del área auditada.
  3. Determinar las vulnerabilidades, y amenazas informáticas a que está expuesta la organización.
  4. Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades, y amenazas informáticas encontradas.
Planeación de la Auditoria de Sistemas
  1. Elaborar el plan de auditoría
  2. Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT, MAGERIT, ISO/IEC 27001, ISO/IEC 27002, otro)
  3. De acuerdo al estándar elegido, seleccionar los ítems que serán evaluados que estén en relación directa con el objetivo y alcances definidos en el plan.
  4. Seleccionar el equipo de trabajo y asignar tareas específicas
  5. Determinar las actividades que se llevarán a cabo y los tiempos en que serán llevadas a cabo en cada ítem evaluado. (Programa de auditoría)
  6. Diseñar instrumentos para recolección de información (formatos de entrevistas, formatos de listas de chequeo, formatos de cuestionarios)
  7. Diseñar el plan de pruebas (formato pruebas)
Ejecución de la Auditoria de Sistemas
  1. Aplicar los instrumentos de recolección de información diseñados
  2. Ejecutar las pruebas del plan de pruebas
  3. Levantar la información de activos informáticos de la organización auditada
  4. Determinar las vulnerabilidades y amenazas informáticas aplicando una metodología (MAGERIT)
  5. Realizar la valoración de las amenazas y vulnerabilidades encontradas y probadas
  6. Realizar el proceso de evaluación de riesgos
  7. Determinar el tratamiento de los riesgos
Resultados de la Auditoria de Sistemas
  1. Determinar las soluciones para los hallazgos encontrados (controles)
  2. Elaborar el Dictamen para cada uno de los procesos evaluados.
  3. Elaborar el informe final de auditoría para su presentación y sustentación
  4. Integrar y organizar los papeles de trabajo de la auditoria
  5. Diseñar las políticas y procedimientos integrando los controles definidos

ISO 2001:2015
Es una norma desarrollada basándose en todos los retos empresariales con los que se enfrentan las empresas de hoy en día no importando tamaño y sector. La norma es lo suficientemente flexible como para ofrecer a las organizaciones no solo una herramienta para la gestión de la calidad, sino también un marco significativo para la mejora empresarial gracias a la eficacia y la mejora de la satisfacción del cliente.


Requisitos de la norma:

  1. Alcance
  2. Referencias normativas
  3. Términos y definiciones
  4. Contexto de la organización
  5. Liderazgo
  6. Planificación
  7. Soporte
  8. Operaciones
  9. Evaluación del desempeño
  10. Mejora
ISO 9000:2005 Fundamentos y vocabulario


En el vídeo se explica la norma ISO 2009:2015 desde su creación hasta implementan.
Menciona a las organizaciones que trabajan justo con esta para su correcta funcionalidad.
Es una norma basada en el riego, esto para dar mejora.

Su estructura se basa en el enfoque PHVA:
  1. Planear
  2. Hacer
  3. Verificar
  4. Actuar

Estos son elementos que componen el ciclo de la mejora.

Referencias

http://auditordesistemas.blogspot.com/2011/11/metodologia-para-realizar-auditoria.html
Publicado por en No hay comentarios:

Fundamentos de Auditoria de la Función Informática

  • Auditoria: Evaluación realizada con el objetivo de evaluar la eficacia y eficiencia del uso adecuado de los recursos a su disposición.

Importancia y Alcance de Auditoria de la Función Informática


El alcance se debe encontrar definido en el Informe Final, de tal manera que quede perfectamente definido no solamente hasta que puntos se ha llegado, sino también cuales han sido omitidos.

Tiene importancia porque:


  • Ayuda a mejorar la imagen pública
  • Genera confianza
  • Optimiza las relaciones tanto internas como de clima de trabajo
  • Ayuda a reducir los costos de mala calidad
  • Genera un balance de los riesgos
  • Realiza un control de inversión

Etapas del Proceso de Auditoria


Herramientas y Técnicas para la Auditoria Informática

  • Cuestionarios
  • Entrevistas
  • Checklist
  • Trazas y/o huellas
Estas herramientas ayudan en la revisión del contenido y presentación de informes, a proponer planes de acción y dar recomendaciones sobre procesos realizados que podrían tener mejora. 
Es necesario tener un conocimiento sobre el proceso a auditar, así las relaciones y procedimientos elaborados en cada uno serán verificados y evaluados en funcionamiento, además de la evaluación de procesos omitidos con una justificación para su ausencia.


Existen normas para realizar una buena auditoria, estas se encargan de que dicha auditoria se realice adecuadamente. Las auditorias evalúan procesos y procedimientos. La norma ISO 19011 evalúa  las Directrices para la auditoria de Sistemas de Gestión.



Referencias

https://www.youtube.com/watch?v=QLoSaw1xRZA
https://prezi.com/eflirdb-ey9s/auditoria- de-la- funcion-informatica/

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)