Anda di halaman 1dari 45

FASE III PARTE 2 AUDITORIA AL NUEVO SISTEMA

AuditoriA de sistemas

B. Sumario: Auditoria del Sistema


B.1 Auditoria en Forma Horizontal
B.1.1 Seguridad Fsica
B.1.1.1 Equipo y Mobiliario B.1.1.2 Instalaciones

B.1.2 Seguridad de Datos (Procesos y Almacenamientos) B.1.3 Seguridad de Procedimientos


Coordinacin del Area de AO Auditoria de Sistemas

B.1 Auditoria en Forma Horizontal Primer Alcance


B.1.1 Seguridad Fsica
Equipo Mobiliario Instalaciones

Situaciones palpables donde hay riesgo

de robo, incendio, inundacin, etc.


Coordinacin del Area de AO Auditoria de Sistemas

B.1.1 Seguridad Fsica


B.1.1.1 Seguridad de Equipo y Mobiliario
Riesgos Descripcin del riesgo Causas Falta de control de ingreso y egreso del personal. Falta de control de ingreso y egreso de vehculos.

Robos

Robo equipo y o mobiliario.

Perdida de equipo y mobiliario

No ubicar equipo Falta de control de dentro de la empresa. inventarios de equipo. Mal uso del equipo por parte del personal.
4

Destruccin de Que el equipo no equipo y mobiliario alcance su vida til.


Coordinacin del Area de AO Auditoria de Sistemas

B.1.1 Seguridad Fsica


B.1.1.1 Seguridad de Instalaciones
Descripcin del riesgo Causas Derrame de combustible Utilizar materiales Incendios y materiales inflamables. inflamables donde se Fumar. encuentran combustibles. Descuido de no cerrar bien Grifos abiertos. los grifos. Inundaciones Desages en mal estado. Mal mantenimiento de Se tapa la tubera. tuberas y desages. Ingreso de clientes al rea de Ingresos de personal no produccin. Acceso fsico autorizado. No contar con medidas de seguridad en el acceso. Proteccin Corto circuito. Mal uso o mal mantenimiento corriente Mal contacto. de instalaciones elctricas. elctrica
Coordinacin del Area de AO Auditoria de Sistemas

Riesgos

B.1 Auditoria en Forma Horizontal Segundo Alcance


B.1.2 Seguridad de Datos
Procesamiento de datos Almacenamiento de datos

Debe

revisarse si los procesos son los adecuados los datos que se manejan deben de haber sufrido un proceso y estar revisados y luego almacenados en un lugar seguro
Auditoria de Sistemas

Todos

Coordinacin del Area de AO

B.1.2 Seguridad de Datos


Riesgos Ingreso inadecuado de datos No se utilicen los Malos procedimientos de Almacenamiento archivos de datos almacenamiento utilizados inadecuado de datos correctos. por el personal. Copias inadecuadas de seguridad de datos Acceso no autorizado de datos Salida inadecuada de datos
Coordinacin del Area de AO Auditoria de Sistemas

Descripcin del riesgo

Causas

B.1 Auditoria en Forma Horizontal Tercer Alcance


B.1.3 Seguridad de Procedimientos

Que el personal este siguiendo adecuadamente los pasos o acciones de un procedimiento

Aunque

los datos estn bien, pudo obtenerse de un procedimiento no autorizado, quiere decir que el resultado no este necesariamente bien
Auditoria de Sistemas

Coordinacin del Area de AO

B.1.3 Seguridad de Procedimientos


Riesgos Descripcin del riesgo Causas

Mantenimiento de equipo Control de usuarios Seguridad del sistema

No dar mantenimiento en las fechas correspondientes.

No existe plan de mantenimiento

Cambios o Instalacin de programas no Mala clasificacin actualizaciones autorizadas, o efectuar y controles de de software. actualizaciones sin autorizacin. usuarios. Rastreo de fallas o errores
Coordinacin del Area de AO Auditoria de Sistemas

C. Sumario: Anlisis de Puntos de Riesgo y Control C.1 Identificacin de los puntos de riesgo y puntos de control
C.1.1 Identificacin de los puntos de riesgo En el DFD identificar puntos de riesgo C.1.2 Identificacin de los puntos de control En el DFD identificar puntos de control

C.2 Explicar puntos de riesgo sin control


Tcnicamente
Coordinacin del Area de AO

porque se dejaron puntos de riesgo sin control


Auditoria de Sistemas

10

C. Anlisis de Puntos de Riesgo y Control


EVENTO DE RIESGO: cualquier evento no trivial

que afecta la habilidad de una organizacin para el logro de sus objetivos. PUNTO DE RIESGO: es el lugar (punto fsico) o momento (paso del proceso) en donde existe la posibilidad de falla o error. FALLA: es un defecto material de una cosa que disminuye su resistencia o su funcionalidad, puede ser fsica o de mantenimiento. ERROR: es humano, se da por negligencia, impudencia o impericia.
Coordinacin del Area de AO Auditoria de Sistemas

11

C. Anlisis de Puntos de Riesgo y Control


CATEGORIA DE LOS RIESGOS:
VULNERABILIDAD:

Es una debilidad que puede ser aprovechada por terceros y convertirse en una amenaza para la empresa. Se refiere a la frecuencia del riesgo, que tan repetitivo puede ser. Ocurrencias

IMPACTO:

Es la consecuencia de la vulnerabilidad en un sistema que es atacado por una amenaza. Se refiere a la severidad del riesgo.

Coordinacin del Area de AO Auditoria de Sistemas

12

C. Anlisis de Puntos de Riesgo y Control


Categora: nivel de gravedad
Categora
I
DFD Riesgo Consulta Servicios Tabla Consulta Servicios DFD Riesgo Reservacin Servicio Tabla Reservacin Servicio DFD Riesgo Facturacin Servicio Tabla Facturacin Servicio Tabla Rastreo Auditoria

Nombre
Catastrfico Crtico y/o grave Leve Marginal

Descripcin
Prdida total del proceso. Muerte del operario. Daos severos al proceso. Severos daos ocupacionales. Menores daos al proceso. Menores daos ocupacionales. Poco dao al proceso. Daos ocupacionales.
Auditoria de Sistemas

II III IV
Coordinacin del Area de AO

13

C. Anlisis de Puntos de Riesgo y Control


Categora: probabilidad de ocurrencia
Vulnerabilidad

Categora
A B C

Nombre
FRECUENTE PROBABLE OCASIONAL

Ocurrencia
Ocurrencia constante. Sin consecuencias graves. Ocurrencia eventual. Consecuencias medias a graves Poca probabilidad de ocurrencia Ocurrencia con efectos graves. Ocurrencia casi nula pero no improbable. Efectos graves esperados
14

D
Coordinacin del Area de AO

REMOTO

Auditoria de Sistemas

C. Anlisis de Puntos de Riesgo y Control

C.1.1 Definicin de los Puntos de Riesgo

Coordinacin del Area de AO

Auditoria de Sistemas

15

Coordinacin del Area de AO

Auditoria de Sistemas

16

DFD Control Consulta Servicios

Categoras Coordinacin del Area de AO Auditoria de Sistemas

Tabla Rastreo Auditoria

17

Tabla de Anlisis de Riesgo


SISTEMA: Atencin al Cliente talleres Don Hugo. SUBSISTEMA: Consulta de servicios ANALISTA: Jorge Herrera
Paso del Riesgo Sistema P.1.1
PR1 PR2
Categoras Tabla Rastreo Auditoria

P.1.2

P.1.3

PR3

CateControl gora Recomendado Verificacin de Que los datos de la consulta A/III datos de consulta sean mal ingresados con el cliente. Que no se consulten las Verificar tarifas tarifas adecuadas y se brinde C/II de reparaciones informacin incorrecta Copia de respuesta a cliente Que la copia del y al taller con errores y se taller sea B/III efecten reparaciones no verificada antes solicitadas. de remitirla Descripcin
Auditoria de Sistemas

Coordinacin del Area de AO

18

DFD Control Reservacin Servicio

Categoras Coordinacin del Area de AO Auditoria de Sistemas

Tabla Rastreo Auditoria

19

Tabla de Anlisis de Riesgo


SISTEMA: Atencin al Cliente talleres Don Hugo. SUBSISTEMA: Reservacin de servicios Tabla Rastreo ANALISTA: Jorge Herrera Categoras Auditoria
Paso del Riesgo Sistema P.2.2
PR4

Descripcin Que la rampa este ocupada, a pesar de haberse confirmado

CateControl gora Recomendado B/IV Verificar que rampa este disponible Verificar que el archivo de datos sea correcto Verificar datos de boleta de servicio
20

P.2.3

PR5

Que el archivo del registro de datos no se C/II haga donde corresponde Que la boleta de servicio tenga datos incorrectos
Auditoria de Sistemas

P.2.4

PR6

C/II

Coordinacin del Area de AO

DFD Control Facturacin Servicio

Categoras Coordinacin del Area de AO Auditoria de Sistemas

Tabla Rastreo Auditoria

21

Tabla de Anlisis de Riesgo


SISTEMA: Atencin al Cliente talleres Don Hugo. SUBSISTEMA: Facturacin de servicios ANALISTA: Jorge Herrera
Paso del Riesgo Sistema P.3.1
PR7
Categoras Tabla Rastreo Auditoria

P.3.2

PR8

P.3.3

PR9

CateControl Recomendado gora Verificar montos de Ingreso errneo de B/II servicio de acuerdo a montos de servicio cotizacin. Verificar montos de Registro errneo de B/II servicio previo a su monto de servicio registro. Verificar datos de Se emite factura B/II cliente y montos de con datos errneos servicio previo al cobro. Descripcin
Auditoria de Sistemas

Coordinacin del Area de AO

22

C. Anlisis de Puntos de Riesgo y Control

C.1.2 Definicin de los Puntos de Control

Coordinacin del Area de AO

Auditoria de Sistemas

23

Controles
Segn Auditoria de Sistemas: Son los mecanismos situados en puntos de riesgo para detectar fallas o errores y advertir sobre ellos
Mecanismos:

Son elementos creados para la deteccin de alguna falla o error


Auditoria de Sistemas

Coordinacin del Area de AO

24

Controles
CONTROL: es un mecanismo dentro del

sistema que se ha situado en puntos de riesgo especficos para detectar fallas o errores. Los controles estn formados por polticas, procedimientos, practicas y estructuras organizacionales diseadas para garantizar que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos, detectados y corregidos
Coordinacin del Area de AO Auditoria de Sistemas

25

Controles
PUNTO DE CONTROL: es el punto de riesgo

donde se instala o coloca un mecanismo de control. Pasos a seguir para identificar donde situar un punto de control:
Analizar

el sistema. Estudiar cada paso o lugar para determinar si existe riesgo. Evaluar la incidencia de la posible falla o error. Establecer el tipo de mecanismo de control. Establecer la factibilidad del punto de control.
Coordinacin del Area de AO Auditoria de Sistemas

26

Categora de los Controles


Funcin Evitar Subdivisin Preventivos Caractersticas Prev un dao o peligro, anticipndose al evento Determina si el evento est sucediendo y notifica o emite seal de advertencia Subsana una situacin generada al ocurrir un evento de riesgo. Reduce la amenaza, reduce la vulnerabilidad del sistema, reduce el impacto, detecta un incidente y se recupera del impacto
Auditoria de Sistemas

Controlar Detectivos

Eliminar

Correctivos

Coordinacin del Area de AO

27

DFD Riesgo Consulta Servicios

Tabla Rastreo Auditoria

Control
C1

Tipo: Funcin Correctivo Detectivo

Descripcin Verificar que no se han ingresado datos incorrectos, corregir los datos mal ingresados y verificar tarifas. Verificar datos de respuesta antes de remitirla al cliente y al taller.
Auditoria de Sistemas

C2
Coordinacin del Area de AO

28

DFD Riesgo Reservacin Servicio

Tabla Rastreo Auditoria

Control Tipo: Funcin


C3 C4

Descripcin Efectuar verificacin de archivo de datos. Verificar datos de servicio previo a remitirlo
Auditoria de Sistemas

Preventivo Correctivo

Coordinacin del Area de AO

29

DFD Riesgo Facturacin Servicio

Tabla Rastreo Auditoria

Control
C5
Coordinacin del Area de AO

Tipo: Funcin Correctivo

Descripcin

Auditoria de Sistemas

30

Rastreo de Auditoria
Paso del Sistema Punto de Riesgo Punto de Control
DFD Riesgo Consulta Servicios Tabla Consulta Servicios DFD Control Consulta Servicios

P1 1

P1 2

P1 P2 P2 P2 P2 P3 3 1 2 3 4 1

P3 2

P3 3

PR1 PR2 PR3

PR4 PR5 PR6 PR7 PR8 PR9

C1

C2
DFD Riesgo Reservacin Servicio Tabla Reservacin Servicio DFD Control Reservacin Servicio

C3

C4
DFD Riesgo Facturacin Servicio Tabla Facturacin Servicio DFD Control Facturacin Servicio

C5

Categoras Coordinacin del Area de AO

Tabla Anlisis

Auditoria de Sistemas

31

C.2 Puntos de riesgo sin control


Paso del Punto de Sistema Riesgo P1.1
PR1

Amenaza Datos de consulta mal ingresados Que la rampa este ocupada al haberse confirmado Elaboracin de montos de servicio errneo

Motivo del NO Control Con el control C-1, al verificar las tarifas se puede detectar errores en este punto de riesgo y corregirlos. Al verificar que la rampa esta ocupada, se debe esperar que sea liberada para poder utilizarla. Con el control C-5 al verificar los datos de facturacin se detecta y corrige el monto errneo

P2.3

PR5

P3.1

PR7

P3.2

PR8

Registro de Con el control C-5 al verificar los monto de datos de facturacin se detecta y servicio errneo corrigen datos errneos
Auditoria de Sistemas

Coordinacin del Area de AO

32

D. Sumario: Manual de Contingencia


D.1 Hacer tabla de anlisis de contingencia D.2 Hacer diagrama de contingencia. D.3 Hacer tablas de llamada. D.4 Hacer tablas instructivo
Coordinacin del Area de AO Auditoria de Sistemas

33

D. Manual de Contingencia
El manual de contingencia es la

expresin grafica de un plan de contingencia, el cual, adems de los planes de prevencin, contencin y recuperacin, forma parte del plan global de recuperacin ante desastres. Apoya como prevenir y como resolver las contingencias del sistema
Coordinacin del Area de AO Auditoria de Sistemas

34

D. Manual de Contingencia
CONTINGENCIA: Es algo que impide hacer una tarea tal y como fue planeada.
Puede

ser:

Un obstculo Una falla Un error Ausencia de personal


Coordinacin del Area de AO Auditoria de Sistemas

35

D. Manual de Contingencia
Simbologa
Paso del sistema Actividad o tarea Decisin: hay contingencia?
INSTRUCTIVO

Solucin por instructivo Solucin por llamada de apoyo


Auditoria de Sistemas

LLAMADA
Coordinacin del Area de AO

36

D.1 Tabla de Anlisis de Contingencia


Paso P1.2 Descripcin Error de registro de tarifas (AA) Falla en los datos de respuesta (AB) Registro de datos errneos (AC) Datos de boleta de servicio errneos (AD) (AE) Contingencia Solucin Tipo I No se registran adecuadamente los datos Verificar datos de las tarifas (XA) No se emite respuesta con datos correctos al cliente y al taller (XB) No se registran los datos en donde corresponde (XC) Los datos del servicio no estn correctos (XD) (XE) Verificar datos de respuesta con responsable de taller Verificar datos de registro en el sistema Verificacin de datos del servicio

P1.3

LL

P2.3

P2.4 P3.3

I LL

Nota: las siglas entre parntesis (AA), (XA), etc., u otros, son marcas de auditoria que nos sirven en el diagrama de contingencia para no Rastreo saturarlo.
Coordinacin del Area de AO Auditoria de Sistemas

37

D.2 DIAGRAMA DE CONTINGENCIAS


P1.2 AA SI AB

XA

P1.3

XB

SI
P2.3

AC

NO
Instructivo No.124

NO Llamada No.T-002

P2.3

AC

XC

SI

P2.4

AB

XD

SI

P3.3

Fin

NO Instructivo No.124
Coordinacin del Area de AO

NO Instructivo No.124
Auditoria de Sistemas

38

D.3 Tabla de Llamada


Debe contener, mnimo, tres

destinos de llamadas en orden de prioridad (en funcin de solucin del problema, no de nivel jerrquico) Debe estar actualizada para c/ciclo del sistema, tanto en el manual de contingencia como en los manuales de funciones de los departamentos tcnicos Debe hacerse un simulacro de en forma peridica para corroborar la actualizacin de la tabla Coordinacin del Area de AO Auditoria de Sistemas

39

D.3 Tabla de Llamada


No. T-002
Prioridad 1 2 3 A quin Jorge Ramos Mario Garca Puesto Tcnico II Tcnico I Telfono Da Telfono Noche

2233-5555 5305-3456 2233-5555 5305-3458 2233-5555 5305-3455

Martn Jefe de Gonzlez Tcnicos

Coordinacin del Area de AO

Auditoria de Sistemas

40

D.3 Tabla de Llamada


Se hacen las tablas de llamadas diseadas

Tabla Corregir Falla T-2


Prioridad 1 2 3 A quin Juan Prez Pedro Lpez Luis Larios Puesto Tcnico Jefe de Oficina Jefe de Sistemas Telfono Da 2144 2145 2149 Telfono Noche 5468-2838 5236-2118 5544-1511 Oficina 210 211 720
41

Coordinacin del Area de AO

Auditoria de Sistemas

D.4 Tabla de Instructivo


Se considera como una

lista de pasos que se seguirn para alcanzar un objetivo. Debe contener:


Quin debe realizarlo La accin Qu hacer si no se logra

completar la accin
Coordinacin del Area de AO Auditoria de Sistemas

42

D.4 Tabla de Instructivo


Debe estar actualizado para

cada ciclo del sistema, tanto en el manual de contingencia, como en los manuales de funciones de los departamentos tcnicos Debe hacerse un simulacro de instructivo en forma peridica para comprobar su actualizacin
Coordinacin del Area de AO Auditoria de Sistemas

43

D.4 Tabla de Instructivo


Instructivo No. 124
No. 1 2 3 4 Quin Operador Accin Revisar datos de cliente Que hacer si no se logra Siga paso 2 Siga paso 3

Datos cliente no Operador permite modificacin

Llamar al departamento Tabla de Llamada Operador de informtica No. L-25 Tcnico Modifica datos errneos
Auditoria de Sistemas

Solicitar Auditoria
44

Coordinacin del Area de AO

Preguntas???

Coordinacin del Area de AO

Auditoria de Sistemas

45