Explotación
1. Objetivos
Evaluar la eficiencia y eficacia de operación del área de producción. Comprende la evaluación de los equipos de computación, procedimientos de entradas de datos, controles, archivos, seguridad y obtención de la información.
El campo de acción de este tipo de auditoría sería:
a. Evaluación administrativa del área de producción
• Metas, políticas, planes y procedimientos de procesos electrónicos estándares.
• Organización del área y estructura orgánica.
• Integración de los recursos materiales y técnicos
• Controles administrativos del área.
b. Evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de los equipos.
c. Evaluación del proceso de datos y de los equipos de procesamiento.
• Se deben verificar los siguientes puntos:
• Estructura del servicio
• Control de operaciones
• Documentación de los procedimientos
• Modificación de programas
• Control de almacenamiento de soportes.
• Plan de mantenimiento preventivo
• Personal de producción
• Control de la utilización del ordenador
Entorno del Hardware
1. Objetivo
• Determinación de la performance del hardware
• Revisar la utilización del hardware
• Examinar los estudios de adquisición del hardware
• Comprobar condiciones ambientales y de seguridad del hardware
• Verificar los controles de acceso y seguridad física
• Revisar inventario del hardware
• Verificar los procedimientos de la seguridad física
• Comprobar los procedimientos de prevención, detección y/o corrección ante desastres.
• Revisar plan de contingencias.
• Examinar las seguridades y debilidades de los componentes físicos del equipo, de las comunicaciones, etc. y de las instalaciones donde se ubica el centro de cómputos.
2. Seguridad física del local
• Riesgos naturales (inundaciones, descargas eléctricas, etc.)
• Riesgos de vecindad derivadas de construcciones cerca del centro de cómputos (incendios, vibraciones, etc.)
• Riesgos del propio edificio (almacenamiento de material combustible, polvo, etc.)
• Suministro de energía (generador de energía, UPS, etc.)
• Acondicionador de aire
• Armarios ignífugos.
3. Control de acceso y seguridad física
Controlar el acceso a los recursos para protegerlos de cualquier uso no autorizado, daño, perdida o modificaciones.
4. Planes de desastre.
En caso de interrupciones inesperadas deben existir planes adecuados para el respaldo de recursos críticos del centro de cómputos y para el reestablecimiento de los servicios de sistemas de información.
a. Tipos de desastres
• Destrucción total
• Destrucción parcial de los recursos centralizados de procesamiento de datos.
• Destrucción o mal funcionamiento de los recursos ambientales destinados al procesamiento (energía, etc.)
• Destrucción total o parcial de los recursos descentralizados de procesamiento de datos.
• Destrucción total o parcial de los procedimientos manuales del usuario.
• Perdida del personal clave para el procesamiento.
• Huelga (interrupción)
• Acciones malintencionadas
• Perdida total o parcial de la información, manuales o documentación.
b. Alcance de la planeación contra desastres.
La planeación debe abarcar tanto las aplicaciones en proceso de desarrollo como las operativas. Los recursos que deben estar disponibles para la recuperación son:
• Documentación de los sistemas, la programación y los procedimientos operativos.
• Recursos operativos: equipos, datos, archivos, programas, etc.
c. Aplicaciones en proceso de desarrollo
Un desastre puede ocurrir en alguna fase avanzada del desarrollo de una aplicación vital y será necesario tomar medidas para garantizar que no se retrase o pierda la inversión.
d. Aplicaciones terminadas
1. Sistemas y programación
Mantener copias actualizadas de programas, documentación, jobs, procedimientos operativos.
2. Operaciones de procesamiento
Comprender el sistema completo. La planeación debe incluir las actividades y los procedimientos del usuario, los recursos de transmisión y redes, el procesamiento centralizado y la redistribución de los resultados.
e. Procedimientos en casos de desastres
Existencia de procedimientos formales (por escrito), en donde se haga referencia detalladamente los diversos tipos de desastres. Se debe especificar:
• Responsabilidades en caso de desastres
• Acción inmediata a seguir
Estos planes deben ser los más detallados posibles. Todo el personal requiere adiestramiento regular en el plan contra desastres. El plan de emergencia, una vez aprobado, se distribuye entre el personal responsable de su operación (información confidencial o de acceso restringido).
El plan en caso de desastre debe incluir:
• Políticas de la dirección
• Objetivos
• Responsabilidades
• Equipo humano
• Inventario de hardware y software de la instalación
• Estrategias de contingencias
• Metodología a utilizar (prioridades)
• Matriz de riesgos/ acciones preventivas /acciones alternativas
• Mantenimientos y pruebas del plan
• Normas de divulgación y distribución del plan.
El auditor deberá verificar que:
• Existe una fase de prevención de emergencias separadas de las fases de respaldo y restauración.
• Figura responsable de la supervisión de la emergencia.
• Existencia de conjunto de normas de emergencias.
• Procedimientos sistemáticos de clasificación de emergencias.
Una vez que todos los riesgos han sido clasificados se está en condiciones de fijar los procedimientos que aseguraran la continuidad del funcionamiento del negocio.
f. Seguros contra desastres.
A pesar que existan medidas para reducir el riesgo de interrupciones de las actividades y un plan de emergencia adecuado, en caso de ocurrir un siniestro, los gastos resultarán muy oneroso.
El seguro es una forma de transferir el riesgo de que se produzca un acontecimiento muy costoso.
Tipos de seguros:
• Todo riesgo
• Daños determinados
• Seguro contra averías
• Seguro de fidelidad
• Seguro contra interrupción del negocio; cubre las perdidas que sufrirían la empresa en el caso que las actividades informáticas se interrumpiesen.
a. Plan de desastre, respaldo y recuperación.
Lineamientos de control que cubren los elementos de respaldo y recuperación.
1. Plan de recuperación en caso de siniestro: debe existir un plan documentación de respaldo para el procesamiento de trabajos críticos.
2. Procedimientos de urgencia y capacitación del personal: deben garantizar la seguridad del personal.
3. Aplicaciones criticas: el plan de respaldo debe contener una prioridad preestablecida para el procesamiento de las aplicaciones.
4. Recursos críticos: deben estar identificados en el plan de respaldo la producción critica, el sistema operativos y los archivos necesarios para la recuperación
5. Servicios de comunicación
6. Equipo de comunicación
7. Equipo de respaldo
8. Programación de operaciones de respaldo
9. Procedimientos de respaldo de archivos
10.Suministro de respaldo: considerar una fuente de abastecimiento para la recuperación de materiales especiales.
11.Pruebas de plan de respaldo
12.Reconstrucción del centro de sistemas de información
13.Procedimientos manuales de respaldo.
Suscribirse a:
Enviar comentarios (Atom)
Joan Narvaez
ResponderEliminarAnálisis y Diseños de sistema
G-001-N
Auditoria en el Desarrollo de Sistema
Es una serie de procesamiento que se implementan a una organización para el buen funcionamiento de los datos, entradas y salida de ellos, este se le aplica durante en diseño del sistemas.
Es necesario que en la auditoria se tomen pasos a seguir para la búsqueda de las imperfecciones, en su mayoría se realiza una serie de encuesta para tratar de filtrar fallas en los sistemas.
Se utiliza para mejorar la productividad empresarial, los responsables de los sistemas, que usan los distintos departamentos o áreas de negocio, deben conocer los riesgos derivados de una inadecuada gestión de sistemas y los beneficios generados por una gestión óptima.
Por lo General se estudian las auditorias tomando en cuentas los siguientes parámetros y esto varia de acuerdo a la organización auditora.
Objetivos generales de la Auditoría de Sistemas de la Información
• Evaluar la fiabilidad
• Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad
• Revisar la seguridad de los entornos y sistemas.
• Analizar la garantía de calidad de los Sistemas de Información
• Analizar los controles y procedimientos tanto organizativos como operativos.
• Verificar el cumplimiento de la normativa y legislación vigentes
• Elaborar un informe externo independiente.
• Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS.
Objetivos para una buena gestión de los Sistemas de la Información en una empresa
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información.
• Seguridad del personal, los datos, el hardware, el software y las instalaciones.
• Minimizar existencias de riesgos en el uso de Tecnología de información
• Conocer la situación actual del área informática para lograr los objetivos.
• Apoyo de función informática a las metas y objetivos de la organización.
• Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos.
• Incrementar la satisfacción de los usuarios de los sistemas informáticos.
• Capacitación y educación sobre controles en los Sistemas de Información.
• Buscar una mejor relación costo-beneficio de los sistemas automáticos.
• Decisiones de inversión y gastos innecesarios.
En el desarrollo de sistemas se debe emplear la misma metodología que utilizan los
ResponderEliminardiseñadores de sistemas o el equipo de trabajo asignado. Mientras que el objetivo
primario del auditor es evaluar la suficiencia de los controles internos, el objetivo
del diseñador de sistemas es satisfacer las necesidades de los usuarios; ambos deberían
compartir el deseo de ver que se logran los objetivos de cada uno y asi garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.
Garantizar la selección adecuada de equipos y sistemas de computación.
Asegurar la elaboración de un plan de actividades previo a la instalación.
La participación del auditor esté interesado en todos los aspectos del nuevo sistema, debe
velar porque se establezcan todos los controles de aplicación. Su principal función
es asegurar que los sistemas, recientemente implantados incluyan características
de control sólidas y confiables. En términos generales es ayudar a prevenir que
se implanten sistemas de aplicación que tengan riesgos importantes.
ESTE BLOG SE VA A CERRAR EL DIA 10/06/2009 A LA MEDIA NOCHE
ResponderEliminarla auditoria de sistema de encarga de analizar en todos los aspectos para verificar que todo marche bien y se corrija a tiempo cualquier inconveniente que se encuentre mediante el desarrollo, este lleva unos objetivos especificos, un momento y tambien tiene diferente tipos la cual ayudan y engloban todo para que no se escape nada a evaluar.
ResponderEliminarYOHANA MORA
Los objetivos de la auditoria de sistema, contempla la verificación necesaria de los procedimientos establecidos para el funcionamiento optimo del los sistemas dentro de la organización. En nuestro estudio, esta orientado al área de sistemas informaticos, los cuales buscan en si que los procedimientos establecidos en el departamento se estén cumpliendo, y permitir la corrección en caso de ser necesario, mejorar los procesos de prevención y/o presentar mejoras que mejoren dichos procesos.
ResponderEliminarEl auditor, ya sea interno o externo, es quien evalúa los procedimientos, tomara en cuenta el ambiente de trabajo, acceso tanto físico (instalaciones de los servidores, estaciones de trabajos etc) como lógico (programas, archivos), esto con el fin de saber que tan seguro se encuentra el departamento puesto que el mismo es de gran importancia en la organización, saber si existe planes de contingencia en caso de perdidas de información (desastres naturales, hurtos, accidentes laborales que afecten la data), hacer recomendaciones que permitan minimizar los tiempos de ejecución, tanto para la adquisición de nuevos equipos, programas o preparación de personal en caso que sea el mismo departamento quien lo haga.
cerrado el ciclo de comentarios
ResponderEliminar