AUDITORÍA Y CONSULTORÍA TEMA 1 Control interno y auditoría informática Estos esquemas no son documentación oficial de la asignatura ni de la U.N.E.D. El contenido oficial es el del libro de la asignatura y, en su caso, los materiales que decidan subir los miembros del equipo docente. Tan sólo un bosquejo de ideas para que podáis seguir mejor mis presentaciones como profesor intercampus. No son, ni pretenden ser, completos. Basarse sólo en ellos para estudiar la asignatura es garantía de tener que releerlos en septiembre… Juan Carlos Alfaro López Profesor-Tutor del Centro Asociado de Tudela Profesor intercampus de la asignatura http://lasultimasaguilasnegras.blogspot.com.es/ Tabla de contenido I.1 Control interno y auditoría informática ...................................................................................... 3 I.1.1 Control interno informático ................................................................................................. 3 I.1.2 Auditoría informática........................................................................................................... 3 I.1.3 Tipos de controles informáticos internos ............................................................................. 3 I.1.4 Implantación de un sistema de controles internos automáticos ........................................... 4 I.1 Control interno y auditoría informática I.1.1 Control interno informático Control: actividad realizada manual o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema a la hora de conseguir sus objetivos. Control es diario o muy frecuente cuyos principales objetivos: Definir, implantar y ejecutar mecanismos para comprobar el logro de los grados adecuados del servicio de informática. Ver que todo se hace según los procedimientos internos y normas legales Asesorar sobre el conocimiento de las normas al resto de la organización Colaborar con auditoría informática Esto se hace con diferentes pruebas y controles (producción diaria, calidad del desarrollo e implantación del nuevo software, comunicaciones, etc.) –ver más en el texto baseSuele estar formado sólo por personal interno Informa a la Dirección del Departamento de Informática I.1.2 Auditoría informática Auditoría: opinión profesional, sustentada en determinados procedimientos, sobre si el objeto sometido a análisis (normalmente con datos obtenidos sobre él) refleja / cumple las condiciones que le han sido prescritas (fiabilidad) Auditoría es puntual cuyos principales objetivos: Objetivos Protección de datos y activos. Objetivos de gestión sobre la eficacia y eficiencia de los procesos, amén de la utilidad, fiabilidad e integridad de los equipos e información Suele acometerse con personal externo, además del posible interno Informa a la Dirección del Departamento de Informática I.1.3 Tipos de controles informáticos internos Normalmente, estos controles son automáticos, aunque sus resultados se revisan de forma manual. La tipología clásica es la siguiente: Controles preventivos Controles detectivos (para cuando fallan los preventivos). Controles correctivos (vuelta rápida a la normalidad –p.e. copias seguridad-) Se deben definir objetivos de control y métodos de control –p.e objetivo: seguridad acceso, método: identificación de usuarios-. Las relaciones no siempre son uno a uno. I.1.4 Implantación de un sistema de controles internos automáticos Conocer a fondo y documentar: Entorno red Configuración del ordenador/es central/es Entorno de aplicaciones Productos y herramientas de desarrollo de software Seguridad (en especial del ordenador central y bases de datos) Definir objetivos, métodos y políticas de control para: Gestión de sistemas de información Administración de dicho sistema (usuarios, perfiles…) Gestión de cambios …. Ejemplos de controles internos: Controles generales organizativos o Políticas generales o Planificación o Estándares de adquisición o Políticas de personal o Asignación de funciones y responsabilidades Controles sobre desarrollo, adquisición(implantación) y mantenimiento de S.I. o Metodología sobre el ciclo de vida del desarrollo de sistemas Especificaciones Estándares de pruebas Pases a producción Roll-back … Controles sobre la explotación del S.I: o Presencia de personal en momentos críticos (calendario personal) o Reparto de costes informáticos a la organización o Controles propios (p.e. accesos muy restringidos al host) o Seguridad contra incendios / inundaciones o Revisiones técnicas preceptivas o Seguridad física y lógica... o … Controles sobre las aplicaciones: o Controles de entrada de datos (validaciones, conversiones, formatos, procedencia) o Controles sobre el tratamiento de dichos datos (ojo usos no previstos) o Controles salida datos (ídem entrada + seguridad) Controles específicos sobre determinadas tecnologías: o Controles sobre sistemas de gestión de bases de datos (SGBD) o Controles sobre la informática distribuida y redes o Controles sobre ordenadores personales (ofimática) y LAN o Controles conexiones OPEN HOST o … Controles de calidad: o Existencia Plan Calidad basado en otros dos planes: Plan de la Entidad a Largo Plazo y Plan a Largo Plazo de tecnologías. o Esquema de Garantía de calidad: debe abordar todos los ámbito empresariales, no sólo la Informática y la TI o Coordinación y Comunicación o Relaciones con Proveedores o Normas de documentación de Programas o Normas de Pruebas de Programas o Normas de Pruebas Integradas o Pruebas Piloto o en Paralelo o …. –ver más en el texto base- Anexo al tema 1 Peritar,Consultar y Auditar