Auditoria y Seguridad en SI NRC 3620 Metodologas y Mtodos de Auditorias de ASI

Len Vitteri, Karol 000064361 18/08/2011

Metodologas de Auditorias de Sistemas de Informacin

1. CRMR Computer Resource Management Review

1.1 Resumen CRMR son las siglas de Computer resource management review, su traduccin ms adecuada, Evaluacin de la gestin de recursos informticos. En cualquier caso, esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos por medio del Management. Proporciona soluciones rpidas a problemas concretos y evidentes.

1.2 reas de Aplicacin: Las reas en que el mtodo de CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicacin sealadas en el apartado anterior. Son stas: Gestin de Datos. Control de Operaciones. Control y utilizacin de recursos materiales y humanos. Interfaces y relaciones con usuarios. Planificacin. Organizacin y administracin.

Auditoria y Seguridad en SI NRC 3620 Metodologas y Mtodos de Auditorias de ASI

Len Vitteri, Karol 000064361 18/08/2011

Ciertamente, el CRMR no es adecuado para evaluar la procedencia de la adquisicin de nuevo equipos (Capacity Planning) o para revisar muy a fondo los caminos crticos o las holguras de un complejo Proyecto. 1.3 Objetivos CRMR tiene por objetivos fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos. Las Recomendaciones que se emitan como resultado de la aplicacin del CRMR, tendrn como finalidad algunas de las que se relacionan: Identificar y fijar responsabilidades. Mejorar la flexibilidad de realizacin de actividades. Aumentar la productividad. Disminuir costos. Mejorar los mtodos y procedimientos de Direccin.

1.4 Alcance Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo. Se establecen tres clases: 1. Reducido. El resultado consiste en sealar las reas de actuacin con potencialidad inmediata de obtencin de beneficios. 2. Medio. ordinaria. En este caso, el CRMR ya establece conclusiones y

Recomendaciones, tal y como se hace en la auditora informtica

Auditoria y Seguridad en SI NRC 3620 Metodologas y Mtodos de Auditorias de ASI

Len Vitteri, Karol 000064361 18/08/2011

3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin de las Recomendaciones, a la par que desarrolla las conclusiones.

2. ROA Risk Oriented Approach 2.1 Autor Arthur Andersen 2.2 Resumen Es la metodologa utilizada en la evaluacin de riesgos llamada tambin Metodologa ROA por sus siglas en ingles (Risk Oriented Approach). Esta evaluacin de riesgos se desarrolla sobre determinadas reas de aplicacin y bajo tcnicas de Checklist (cuestionarios) adaptados a cada entorno especfico. Esto debido a que dichos controles tienen incidencia independiente en cada una y, que se y pretende algunos poder analizar de cada rea independientemente, es necesaria dicha repeticin. As mismo los controles gerenciales controles caractersticas especiales, como pueden ser los de base de datos, se aplicarn teniendo en cuenta las particularidades de cada entorno.

Auditoria y Seguridad en SI NRC 3620 Metodologas y Mtodos de Auditorias de ASI

Len Vitteri, Karol 000064361 18/08/2011

2.3 Fases de Autoevaluacin

2.3.1

Riesgo en la continuidad del proceso

Son aquellos riesgos de situaciones que pudieran afectar a la realizacin del trabajo informtico o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o incluso tambin a paralizarla.

2.3.2

Riesgos en la eficacia del servicio informtico

Entenderemos como eficacia del servicio la realizacin de los trabajos encomendados. As pues, los riesgos en al eficacia sern aquellos que alteren dicha realizacin o que afecten a la exactitud de los resultados ofrecidos por el servicio informtico. 2.3.3 Riesgo en la eficiencia del servicio informtico

Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos, ya sea a nivel econmico o tcnico, pretendiendo con el anlisis de estos riesgos mejorar la calidad de servicio. 2.3.4 Riesgos econmicos directos

En cuanto a estos riesgos se analizarn aquellas posibilidades de desembolsos directos inadecuados, gastos varios que no deberan producirse, e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes.

Auditoria y Seguridad en SI NRC 3620 Metodologas y Mtodos de Auditorias de ASI

Len Vitteri, Karol 000064361 18/08/2011

2.3.5

Riesgos de la seguridad lgica

Todos aquellos que posibiliten accesos no autorizados ala informacin mecanizada mediante tcnicas informticas o de otro tipos. 2.3.6 Riesgos de la seguridad fsica

Comprendern todos aquellos que acten sobre el deterioro o aprobacin de elementos de informacin de una forma meramente fsica. 2.3.7 Valoracin de resultados

La autogua se compone de una serie de cuestionarios de control. Dichos cuestionarios podrn ser contestados mediante dos sistemas indicados en los mismos. 3. Cuadro Comparativo

CRMR

ROA

Realiza una evaluacin de eficiencia Realiza una evaluacin de riesgos de utilizacin de los recursos Sus reas de aplicacin de son Desarrolla sobre determinadas reas Datos, de aplicacin de controles gerenciales. especialmente Gestin

Control de Operaciones. Tiene por objetivos evaluar el grado de Tiene como objetivo la identificacin y bondad o ineficiencia de los control y minimizacin de riesgos. procedimientos y mtodos de gestin

Auditoria y Seguridad en SI NRC 3620 Metodologas y Mtodos de Auditorias de ASI

que se observan en un Centro de Proceso de Datos.

Len Vitteri, Karol 000064361 18/08/2011

Incluye Planes de Accin, aportando Utiliza tcnicas de Checklist tcnicas de implementacin de las Recomendaciones, a la par que desarrolla las conclusiones.

Proporciona

soluciones

rpidas

a Necesita

anlisis

detallados

problemas concretos y evidentes.

dependiendo del rea de aplicacin.

Cuadro 3.1

Auditoria y Seguridad en SI NRC 3620 Metodologas y Mtodos de Auditorias de ASI

Len Vitteri, Karol 000064361 18/08/2011

BIBLIOGRAFIA PIATTINI, Mario y Emilio del Peso. Auditora Informtica. Un enfoque prctico. Editorial RA-MA. http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.ht m http://www.google.com.pe/url?sa=t&source=web&cd=2&sqi=2&ved=0CCEQFj AB&url=http%3A%2F%2Fwww.itson.mx%2Fdii%2Fepadilla%2FMETODOLOGIA%25 20DE%2520LA%2520AUDITORIA%2520INFORMATICA_PIATTINI%2520Y%2520DEL%2 520PESO.doc&rct=j&q=risk%20oriented%20approach%20auditoria%20informatic a&ei=ot1NToOdNOHC0AHWhJSOBw&usg=AFQjCNGgCdiPvmXtr4zwRpDVDDxCP-lsg&cad=rja http://es.scribd.com/doc/58983979/Metodologias-Para-Auditoria http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.ht m http://www.itchetumal.edu.mx/paginasvar/Maestros/mduran/Archivos/METOD OLOGIA%20DE%20UNA%20AUDITORIA%20DE%20SISTEMAS.pdf http://es.scribd.com/doc/58983979/Metodologias-Para-Auditoria