Áreas de la auditoría informática Flashcards Preview

Auditoría Informática > Áreas de la auditoría informática > Flashcards

Flashcards in Áreas de la auditoría informática Deck (42):
1

¿Qué 7 tipos de auditoría son mencionados?

1. Auditoría al desarrollo, adquisición y mantención de sistemas
2. Auditoría a los sistemas en producción
3. Auditoría de Base de Datos
4. Auditoría de Redes
5. Auditoría física
6. Auditoría de la Ofimática
7. Auditoría de la dirección

2

¿Cuáles son los objetivos de la auditoría al desarrollo, mantención y adquisición de sistemas?

1. Que las funciones entreguen un soporte efectivo a los objetivos del negocio
2. Que cubran las estrategias de TI
3. Que cumplan políticas, prácticas y estrategias informáticas establecidas

3

¿Cuáles son las razones de la creciente práctica de auditoría en desarrollo, mantención y adquisición ?

Se anticipa a problemas de seguridad y control antes del paso a producción
Es más económico
Certificación de futura auditabilidad de sistemas
Valor agregado
Opinión técnica diferente
Comunicación usuario-desarrollador

4

¿Qué conocimientos básicos se necesitan para practicar auditoría a sistemas en desarrollo, mantención y adquisición?

1) Experiencia en desarrollo, administración y programación (5 años)
2) Dominar metodologías de desarrollo, ciclo de vida
3) Conocimientos sobre metodologías de auditoría
4) Entender implicancias de seguridad y control
5) Telecomunicaciones

5

Qué prácticas o metodologías de desarrollo de sistemas se deben conocer para auditoría a sistemas en desarrollo, mantención y adquisición?

1. SLDC (Cascada)
2. Prototipos
3. Modelo espiral (Boehm)
4. Métodos formales matemáticos de especificación, diseño y programación

6

¿Cuáles son algunos hitos en auditoría al desarrollo de sistemas?

Especificaciones
Diseño
Puebas
Puesta en Marcha

7

Qué debe revisarse en el hito de especificaciones?

Funciones y objetivos, riesgos y controles

8

Qué debe revisarse en el hito de diseño?

Evaluación de controles y seguridad, auditabilidad, cumplimiento de especificaciones

9

Qué debe revisarse en el hito de pruebas?

plan de pruebas
pruebas de adutoría
laboratorios

10

Qué debe revisarse en el hito de puesta en marcha?

Revisión de documentación, auditabilidad, solución de problemas, aceptación de usuarios

11

¿Quiénes participan en un proyecto de desarrollo?

Administración superior
usuarios
JP
Desarrolladores
Encargado de seguridad
QA

12

Herramientas de desarrollo de sistemas

Prototipos (ensayo error)
Lenguages 4g
generador de pruebas
programación estructurada
herramientas CASE
inteligencia artificial
generadores de código
laboratorio de pruebas

13

Qué áreas de control básicas se definen en la mantención de sistemas

procedimientos de autorización de cambios
registro de mantenciones
documentación
peurbas
aprobaciones
cambios de emergencia
integridad de bibliotecas fuente

14

Por qué se deben auditar las mantenciones

Software evolutivo y dinámico (correcciones adaptativas, perfectivas y correctivas)
mantención costo 70% del total

15

Cuáles son los hitos a la auditoría de mantención de sistemas

seguridad de ambiente
procedimiento de traspaso de programas
procedimiento de pruebas y aprobaciones
comparación de códigos fuente y objetos

16

Cuáles son los objetivos de la auditoría a los sistemas de producción?

identificar, evaluar y probar los controles de validación de datos, procesamiento y salida, para asegurar confiabilidad, confidencialidad de la info.

17

Cuáles son los ejemplos sistemas de producción?

sistemas productivos
administrativos contables
POS
intercambio de datos
transferencias de fondos
automatización de oficinas
ATMs

18

Qué variables se deben considerar en la auditoría a los sistemas de producción?

Montos involucrados
Importancia de la info
Impacto de fallas del sistema
Recursos invertidos
Complejidad tecnológica
Prioridades estratégicas
Requerimientos legales
Auditorías anteriores

19

Cuáles son los riesgos en la auditoría a los sistemas de producción?

Errores de datos (validez e integridad)
Manipulación de datos (input/proceso/output)
Confidencialidad de info.

20

Sobre qué se realizan controles a los sistemas en producción

entrada
procesamiento
archivos
salida

21

Qué controles se realizan en los sistemas en producción

Validación
totalidad
conciliación
identificación y generación de informes de datos

22

Qué controles se realizan en la entrada de datos de los sistemas en producción

autorización de input
controles por lote
informes de errores
validación y edición de datos

23

Qué controles se usan para la autorización del input?

Firmas en documentación fuente y formularios de entrada de datos
Controles de acceso

24

Qué controles se usan para los controles por lote?

Monto total
Número de registros
Número de documentos
Otros

25

Qué controles se usan para la validación y edición de datos?

COntroles de:
secuencia
límite
rango
razonabilidad
duplicación
coherencia

26

Qué controles se usan para el procesamiento?

Re cálculos manuales
Controles de límites de cifras calculadas
conciliación de totales de archivos
verificación de razonabilidad de cifras
informes de excepciones

27

Qué controles se usan para los controles sobre archivos?

Informes de imagen previa y posterior
utilización de versión correcta de archivo a actualizar
controles de seguridad de archivos de datos
log de transacciones

28

Qué controles se usan para el output?

Custodia de formularios críticos
autorización de distribución de informes
verificación de recepción de informes
controles de errores del output

29

Quiénes participan en la auditoría de base de datos?

Tecnología de información
Auditores de sistemas
Riesgo corporativo
Cumplimiento corporativo
Seguridad corporativa

30

Cuáles son los objetivos principales de la auditoría de base de datos?

Evitar acceso externo
Imposibilitar acceso interno a usuarios no autorizados

31

QUé se busca con la auditoría de base de datos?

monitorear y mantener registro del uso de datos por usuarios
conservar trazas de uso y acceso
permitir investigaciones
entregar alertas en tiempo real

32

Qué se considera en la investigación preliminar en la evaluación de base de datos?

inventario de recursos
conocer el negocio y sistemas implementados

33

Qué instrumentos se usan para evaluar la auditoría de base de datos?

definir grupos de riesgo
evaluar el estado de control existente

34

Dónde se debe aplicar auditoría de Base de Datos?

en toda empresa con un sistema de base de datos con info importante (bancos, supermercados, colegios, universidades)

35

Qué se debe evaluar en la auditoría de redes?

Estructura física (hardware, topología)
Estructura lógica (software, aplicaciones)

36

Cuáles son las etapas de la auditoría de redes?

análisis de vulnerabilidades
estrategia de saneamiento (reparar agujeros)
plan de contención (plan b, por si las medidas fallan)
seguimiento continuo

37

Qué tipos de auditorías de redes existen?

De comunicaciones
De red física
De red lógica

38

Qué se ve en la auditoría de comunicaciones

GEstión de redes, eqiupos y conectividad
Monitorización de comunicaciones
Revisión de costes y asignación formal
Creación de estándares

39

Qué se ve en la auditoría de red física?

áreas de eqiupo de comunicación
protección y mantenimiento de cables y líneas de comunicación

40

qué se ve en la auditoría de red lógica?

líneas telefónicas
contraseñas de acceso
transmisión recibida sólo por el destinatario
registro de actividades de usuarios

41

Qué se ve en la auditoría de ofimática?

procedimiento de adquisición de equipos y aplicaciones
determinar y evaluar política de mantenimiento
evaluar calidad de aplicaciones de entorno ofimático

42

Qué se ve en la auditoría de la dirección

planificar
lectura de actas, acuetrdos, etc
lectura de informes gerenciales
entrevistas con el director del departamento
organizar
controlar
coordinar