Áreas de la auditoría informática Flashcards
¿Qué 7 tipos de auditoría son mencionados?
- Auditoría al desarrollo, adquisición y mantención de sistemas
- Auditoría a los sistemas en producción
- Auditoría de Base de Datos
- Auditoría de Redes
- Auditoría física
- Auditoría de la Ofimática
- Auditoría de la dirección
¿Cuáles son los objetivos de la auditoría al desarrollo, mantención y adquisición de sistemas?
- Que las funciones entreguen un soporte efectivo a los objetivos del negocio
- Que cubran las estrategias de TI
- Que cumplan políticas, prácticas y estrategias informáticas establecidas
¿Cuáles son las razones de la creciente práctica de auditoría en desarrollo, mantención y adquisición ?
Se anticipa a problemas de seguridad y control antes del paso a producción
Es más económico
Certificación de futura auditabilidad de sistemas
Valor agregado
Opinión técnica diferente
Comunicación usuario-desarrollador
¿Qué conocimientos básicos se necesitan para practicar auditoría a sistemas en desarrollo, mantención y adquisición?
1) Experiencia en desarrollo, administración y programación (5 años)
2) Dominar metodologías de desarrollo, ciclo de vida
3) Conocimientos sobre metodologías de auditoría
4) Entender implicancias de seguridad y control
5) Telecomunicaciones
Qué prácticas o metodologías de desarrollo de sistemas se deben conocer para auditoría a sistemas en desarrollo, mantención y adquisición?
- SLDC (Cascada)
- Prototipos
- Modelo espiral (Boehm)
- Métodos formales matemáticos de especificación, diseño y programación
¿Cuáles son algunos hitos en auditoría al desarrollo de sistemas?
Especificaciones
Diseño
Puebas
Puesta en Marcha
Qué debe revisarse en el hito de especificaciones?
Funciones y objetivos, riesgos y controles
Qué debe revisarse en el hito de diseño?
Evaluación de controles y seguridad, auditabilidad, cumplimiento de especificaciones
Qué debe revisarse en el hito de pruebas?
plan de pruebas
pruebas de adutoría
laboratorios
Qué debe revisarse en el hito de puesta en marcha?
Revisión de documentación, auditabilidad, solución de problemas, aceptación de usuarios
¿Quiénes participan en un proyecto de desarrollo?
Administración superior usuarios JP Desarrolladores Encargado de seguridad QA
Herramientas de desarrollo de sistemas
Prototipos (ensayo error) Lenguages 4g generador de pruebas programación estructurada herramientas CASE inteligencia artificial generadores de código laboratorio de pruebas
Qué áreas de control básicas se definen en la mantención de sistemas
procedimientos de autorización de cambios registro de mantenciones documentación peurbas aprobaciones cambios de emergencia integridad de bibliotecas fuente
Por qué se deben auditar las mantenciones
Software evolutivo y dinámico (correcciones adaptativas, perfectivas y correctivas)
mantención costo 70% del total
Cuáles son los hitos a la auditoría de mantención de sistemas
seguridad de ambiente
procedimiento de traspaso de programas
procedimiento de pruebas y aprobaciones
comparación de códigos fuente y objetos
Cuáles son los objetivos de la auditoría a los sistemas de producción?
identificar, evaluar y probar los controles de validación de datos, procesamiento y salida, para asegurar confiabilidad, confidencialidad de la info.
Cuáles son los ejemplos sistemas de producción?
sistemas productivos administrativos contables POS intercambio de datos transferencias de fondos automatización de oficinas ATMs
Qué variables se deben considerar en la auditoría a los sistemas de producción?
Montos involucrados Importancia de la info Impacto de fallas del sistema Recursos invertidos Complejidad tecnológica Prioridades estratégicas Requerimientos legales Auditorías anteriores
Cuáles son los riesgos en la auditoría a los sistemas de producción?
Errores de datos (validez e integridad)
Manipulación de datos (input/proceso/output)
Confidencialidad de info.
Sobre qué se realizan controles a los sistemas en producción
entrada
procesamiento
archivos
salida
Qué controles se realizan en los sistemas en producción
Validación
totalidad
conciliación
identificación y generación de informes de datos
Qué controles se realizan en la entrada de datos de los sistemas en producción
autorización de input
controles por lote
informes de errores
validación y edición de datos
Qué controles se usan para la autorización del input?
Firmas en documentación fuente y formularios de entrada de datos
Controles de acceso
Qué controles se usan para los controles por lote?
Monto total
Número de registros
Número de documentos
Otros
Qué controles se usan para la validación y edición de datos?
COntroles de: secuencia límite rango razonabilidad duplicación coherencia
Qué controles se usan para el procesamiento?
Re cálculos manuales Controles de límites de cifras calculadas conciliación de totales de archivos verificación de razonabilidad de cifras informes de excepciones
Qué controles se usan para los controles sobre archivos?
Informes de imagen previa y posterior
utilización de versión correcta de archivo a actualizar
controles de seguridad de archivos de datos
log de transacciones
Qué controles se usan para el output?
Custodia de formularios críticos
autorización de distribución de informes
verificación de recepción de informes
controles de errores del output
Quiénes participan en la auditoría de base de datos?
Tecnología de información Auditores de sistemas Riesgo corporativo Cumplimiento corporativo Seguridad corporativa
Cuáles son los objetivos principales de la auditoría de base de datos?
Evitar acceso externo
Imposibilitar acceso interno a usuarios no autorizados
QUé se busca con la auditoría de base de datos?
monitorear y mantener registro del uso de datos por usuarios
conservar trazas de uso y acceso
permitir investigaciones
entregar alertas en tiempo real
Qué se considera en la investigación preliminar en la evaluación de base de datos?
inventario de recursos
conocer el negocio y sistemas implementados
Qué instrumentos se usan para evaluar la auditoría de base de datos?
definir grupos de riesgo
evaluar el estado de control existente
Dónde se debe aplicar auditoría de Base de Datos?
en toda empresa con un sistema de base de datos con info importante (bancos, supermercados, colegios, universidades)
Qué se debe evaluar en la auditoría de redes?
Estructura física (hardware, topología)
Estructura lógica (software, aplicaciones)
Cuáles son las etapas de la auditoría de redes?
análisis de vulnerabilidades
estrategia de saneamiento (reparar agujeros)
plan de contención (plan b, por si las medidas fallan)
seguimiento continuo
Qué tipos de auditorías de redes existen?
De comunicaciones
De red física
De red lógica
Qué se ve en la auditoría de comunicaciones
GEstión de redes, eqiupos y conectividad
Monitorización de comunicaciones
Revisión de costes y asignación formal
Creación de estándares
Qué se ve en la auditoría de red física?
áreas de eqiupo de comunicación
protección y mantenimiento de cables y líneas de comunicación
qué se ve en la auditoría de red lógica?
líneas telefónicas
contraseñas de acceso
transmisión recibida sólo por el destinatario
registro de actividades de usuarios
Qué se ve en la auditoría de ofimática?
procedimiento de adquisición de equipos y aplicaciones
determinar y evaluar política de mantenimiento
evaluar calidad de aplicaciones de entorno ofimático
Qué se ve en la auditoría de la dirección
planificar lectura de actas, acuetrdos, etc lectura de informes gerenciales entrevistas con el director del departamento organizar controlar coordinar
