La auditoria informtica comprende las tareas de evaluar, analizar los procesos
informticos, el papel de auditor debe estar encaminado hacia la bsqueda de
problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas. Adems que el auditor Informtico debe estar capacitado en los siguientes aspectos: Deber ver cundo se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones ms idneas, segn los problemas detectados en el sistema informtico, siempre y cuando las soluciones que se adopten no violen la ley ni los principios ticos. El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente onerosas, daina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases cientficas insuficientemente probadas o de imprevisible futuro. Tipos de Auditoria Informtica. Auditoria Informtica De Explotacin: La explotacin informtica se ocupa de producir resultados, tales como listados, archivos soportados magnticamente, rdenes automatizadas, modificacin de procesos, etc. Para realizar la explotacin informtica se dispone de datos, las cuales sufren una transformacin y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una informacin buena). Auditoria Informtica De Desarrollo De Proyectos O Aplicaciones: La funcin de desarrollo es una evaluacin del llamado Anlisis de programacin y sistemas. As por ejemplo una aplicacin podra tener las siguientes fases: Prerrequisitos del usuario y del entorno Anlisis funcional Diseo Anlisis orgnico (pre programacin y programacin) Pruebas Explotacin Auditoria Informtica De Sistemas: Se ocupa de analizar la actividad que se conoce como tcnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia
de que las comunicaciones, lneas y redes de las instalaciones informticas se
auditen por separado, aunque formen parte del entorno general del sistema (Ej. De auditar el cableado estructurado, ancho de banda de una red LAN) Auditoria Informtica De Comunicacin Y Redes: Este tipo de auditora deber inquirir o actuar sobre los ndices de utilizacin de las lneas contratadas con informacin sobre tiempos de uso y de no uso, deber conocer la topologa de la red de comunicaciones, ya sea la actual o la desactualizada. Auditoria De La Seguridad Informtica: Se debe tener presente la cantidad de informacin almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta informacin, de los robos, los fraudes, sabotajes y sobre todo de la destruccin parcial o total. Planeacin de la Auditoria Informtica. La definicin de los objetivos perseguidos en la auditoria informtica debe preceder a la eleccin de los medios y de las acciones, si se pretende evitar el predominio de estos ltimos. Para lograr un buena planeacin es conveniente primero obtener informacin general sobre la organizacin y sobre la funcin informtica a evaluar. Investigacin Preliminar Se debe recopilar informacin para obtener una visin general del rea a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, as como el programa detallado de la investigacin. Se debe hacer una investigacin preliminar solicitando y revisando la informacin de cada una de las reas de la organizacin. Para poder analizar y dimensionar la estructura por auditar se debe solicitar: 1- A nivel Organizacin Total: 2- A nivel rea informtica: 3- Recursos materiales y tcnicos 4- Sistemas Etapas de la Metodologa Informtica. El mtodo de trabajo del auditor pasa por las siguientes etapas:
Alcance y Objetivos de la Auditora Informtica
Estudio inicial del entorno auditable
Determinacin de los recursos necesarios para realizar la auditora
Elaboracin del plan y de los Programas de Trabajo
Actividades propiamente dichas de la auditora
Confeccin y redaccin del Informe Final
Clasificacin por reas de Aplicacin de la Auditoria Informtica
Planificacion: Donde se pasa revista a las distintas fases de la planificacin. Organizacion y administracion: en este punto se examinaran aspectos como las relaciones con los usuarios, con los proveedores, asignacin de recursos, procedimientos, etc. Desarrollo de Sistemas: rea importante donde la auditora deber velar por la adecuacin de la informtica a las necesidades reales de la Empresa. Explotacion: aqu se analizarn los procedimientos de operacin y explotacin en el centro de proceso de datos. Entorno y Hardware: donde se vigilar entre otras cosas los locales, el software de acceso, alarmas, sistemas anti-incendios, proteccin de los sistemas, fiabilidad del Hardware, etc. Entorno de Software: en esta rea la Auditoria Informtica analizar los sistemas de prevencin y deteccin de fraudes, los exmenes a aplicaciones concretas, los controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software. Metodologa CRMR CRMR son las siglas de Computer resource management review, su traduccin ms adecuada, Evaluacin de la gestin de recursos informticos. En cualquier caso, esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos por medio del management.Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una auditora informtica global, pero proporciona soluciones ms rpidas a problemas concretos y notorios.
En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable
ms a deficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre cualquier rea de un Centro de Procesos de Datos. Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicacin sealadas en punto anterior: 1. Gestin 2.Control de 3.Control y utilizacin de recursos 4.Interfaces y relaciones 5.Planificacin 6.Organizacin y administracin.
de materiales con
Datos Operaciones y humanos usuarios
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin
de nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos crticos o las holguras de un Proyecto complejo.