Programa De Evaluacion De Sistema De Informacion

Programa de Evaluación de Sistema de Información

Definición

También llamado Auditoría de Sistemas de Información, es un examen y validación de los controles y procedimientos usados por el Área de Informática a fin de verificar que los objetivos de continuidad del servicio, confidencialidad y seguridad de la información así como la integridad y coherencia de la misma, se cumplan satisfactoriamente y de acuerdo a la normatividad externa e interna de la Empresa.

Objetivos

1. Participación en el desarrollo de nuevos sistemas: Evaluación de controles y Cumplimiento de la metodología.

2. Evaluación de la seguridad en el área informática. Objetivos específicos de la auditoria de sistemas

3. Evaluación de suficiencia en los planes de contingencia. Respaldos, prever qué va a pasar si se presentan fallas.

4. Opinión de la utilización de los recursos informáticos. Resguardo y protección de activos. Objetivos específicos de la auditoria de sistemas

5. Control de modificación a las aplicaciones existentes. Fraudes Control a las modificaciones de los programas.

6. Participación en la negociación de contratos con los proveedores. Objetivos específicos de la auditoria de sistemas

7. Revisión de la utilización del sistema operativo y los programas Utilitarios. Control sobre la utilización de los sistemas operativos Programas utilitarios. 8. Auditoría de la base de datos. Estructura sobre la cual se desarrollan las aplicaciones... Objetivos especificos de la auditoria de sistemas

9. Auditoría de la red de teleprocesos.

10. Desarrollo de software de auditoría. Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos. Objetivos específicos de la auditoria de sistemas

Alcance

El auditor de sistemas podrá enfocar su revisión en distintos aspectos, algunos de los más críticos se describen a continuación

Administración del departamento de sistemas. Se debe comprobar la suficiencia de recursos humanos y la segregación de funciones.

Control de actividades del área de sistemas. Verificar la existencia y seguimiento de un plan estratégico de sistemas que este alineado con el plan estratégico de la organización en su conjunto. Dicho plan debería ser reflejado en planes anuales del área de sistemas que incluirían detalle de las tareas a realizar por el área en función a determinados plazos y recursos.

Control de tareas de desarrollo. Revisión de la existencia, calidad y cumplimiento de normas, políticas y procedimientos de desarrollo de software que permitan llevar a cabo tareas homogéneas entre diferentes proyectos.

Control sobre las tareas de mantenimiento y los cambios a programas. Muchas veces las organizaciones se ven afectadas por cambios propiciados por entes regulatorios, de fiscalización, por el ingreso de nuevos servicios y/o productos al mercado, los cuales generan la necesidad de adecuar el sistema a las nuevas necesidades. Esto implica la realización de cambios en los programas, los mismos que deben ser controlados, para lo cual se efectúa el diseño, la programación, las pruebas y la puesta en producción, estos aspectos deben ser controlados de manera adecuada.

Seguridad lógica. La revisión de la seguridad lógica permitirá emitir una conclusión sobre: La administración de perfiles de usuario. La administración de passwords. Control de privilegios especiales La generación de BackUps (Respaldos de datos). La generación de Logs. (registro de actividades en el sistema) Los virus y otros malwares.

Seguridad física. Verificar la existencia y eficiencia de elementos que permitan asegurar las condiciones mínimas para un buen funcionamiento de los equipos principales de la organización, inclusive en caso de emergencias, esto puede incluir UPS, generados de energía, aire acondicionado, piso falso, detector de humo y extintores. El acceso restringido a hardware y equipo de apoyo crítico.

Estructura de aplicaciones. La identificación de sistemas críticos de la organización, el grado de integración entre los diferentes sistemas, procesos en lote, oportunidades de automatización para mejorar eficiencia, etc.

Estructura de hardware. El auditor puede considerar el tipo y cantidad de servidores y equipos personales existentes en la organización, el sistema operativo utilizado y las características de los mantenimientos realizados a los equipos.

Estructura de comunicaciones. En caso de que la organización cuente con sucursales o que realice operaciones a través de Internet, entre los aspectos a ser considerados se destacan, el tipo de comunicación, la velocidad de transferencia, la topología de la red, la cantidad de usuarios y los servicios prestados / recibidos a través de la red.

Administración de problemas. En este caso se evaluaría la existencia de procedimientos o normas aplicables para la realización de cambios de emergencia, la existencia y evaluación del historial de problemas presentados, el uso de una base de conocimiento, etc.

Control de proyectos El auditor debe verificar que para los proyectos de TI se lleve a cabo una adecuada técnica o metodología de administración de proyectos a fin de que se produzcan los resultados deseados en tiempo, forma y presupuesto.

Continuidad de operaciones El auditor debe verificar el grado de preparación del área de tecnología ante situaciones contingentes o desastres, a fin de mantener la continuidad de las operaciones de forma aceptable y recuperar la normalidad en tiempos de respuesta adecuados.

Aspectos del medio ambiente informático que afectan el enfoque de la auditoría y sus procedimientos

• Complejidad de los sistemas.

• Uso

...