|
|||||||
|
|
|
|||||
|
|
|||||||
[HOME] [CURSOS] [UTILNET] [CURSOS PROPIOS]
CAPITULO TRES : Tipos y clases de auditorías informáticas
Dentro de las áreas generales, es posible establecer las siguientes divisiones:
Auditoría Informática de Explotación, Auditoría Informática de Sistemas, Auditoría Informática de Comunicaciones, Auditoría Informática de Desarrollo de Proyectos y Auditoría Informática de Seguridad, siendo esta última también un área general.
Son estas últimas, las cinco Areas Específicas de la Auditoría Informática más importantes.
Debe evaluarse la diferencia entre la generalidad y la especificación que posee la Seguridad. Según ella, realizarse una Auditoría Informática de la Seguridad del entorno global de la informática, mientras en otros casos puede auditarse una aplicación concreta, en donde será necesario analizar la seguridad de la misma.
Como consecuencia cada Area específica puede ser auditada desde los siguientes criterios generales, que detallamos :
a) Desde su propia funcionalidad interna.
b) Con el apoyo que recibe de la Dirección, y en forma ascendente, del grado de cumplimiento de las directrices de que ésta imparte.
c) Desde la visión de los usuarios, destinatarios verdaderos de la informática.
d) Desde el punto de vista de la seguridad, que ofrece la Informática en general o la rama auditada.
Las combinaciones descriptas pueden ser ampliadas o reducidas, según las características de la empresa auditada. Ponemos de manifiesto que las auditorías más usuales son las referidas a las actividades específicas e internas de la propia actividad informática.
AUDITORIA INFORMATICA DE EXPLOTACION
Definimos la Explotación Informática se ocupa de producir resultados informáticas de todo tipo: listados impresos, archivos soportados magnéticamente para otros informáticos, órdenes automatizadas para lanzar o modificar procesos industriales, etc.
Para realizar la Explotación informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad.
La transformación se realiza por medio del Proceso Informático, el cual está dirigido por programas. Obtenido el producto final, los resultados son sometidos nuevamente a uno o varios controles de calidad, y finalmente son distribuídos al cliente, al usuario. En ocasiones, el propio cliente realiza funciones de reelaboración del producto terminado.
Para mantener el criterio finalista y utilitario, el concepto de centro productivo ayuda a la elaboración de la auditoría de la Explotación. Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones.
Las Básicas son la planificación de la producción y la producción misma de resultados informáticos. El auditor informático debe tener muy en cuenta que toda la organización informática está superditada a la obtención de resultados en plazo y calidad, siendo subsidiario a corto plazo cualquier otro objetivo.
Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual que el plan crítico diario de producción que debe ser protegido a toda costa.
Control de entrada de datos
Se analizará la captura de la información en soporte compatible con los Sistemas. El cumplimiento de plazos y agenda de tratamiento y entrega de datos. La corrección en la transmisión de datos entre plataformas diferentes o entornos. Y se verificará en forma exhaustiva que los controles de integridad y calidad de datos se realizan de acuerdo a Norma.
Planificación y Recepción de Aplicaciones
Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor único, salvo excepciones, con éste. Deberán realizarse muestras selectas de la documentación de las Aplicaciones explotadas.
Como función responsable de construir y optimizar las cadenas de control de trabajos-Procedimientos-, se analizarán las Librerías que los contienen en cuanto a su organización y en lo relacionado con la posible existencia de Planificadores automáticos o semiautomáticos.
Se inquirirá sobre la anticipación de contactos con Desarrollo para la planificación a medio y largo plazo. En la actualidad, predomina la tesis de considerar que el media plazo de la informática oscila entre los 18 y 24 meses.
Centro de Control y Seguimiento de Trabajos
Se analizará cómo se prepara, se lanza y se sigue la producción diaria. Básicamente, la explotación informático ejecuta procesos por cadenas o lotes sucesivos (Batch), o en tiempo real (Teleproceso).
Mientras que las Aplicaciones de Teleproceso están permanentemente activas y la función de Explotación se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotación. En muchos Centros de Cómputos, este Anexo recibe el nombre de Centro de Control Batch. Este grupo determina en gran medida el éxito de la explotación, en cuanto que es uno de los factores más importantes en el mantenimiento de la producción.
Operadores de Centros de Cómputos
Probablemente sea en la actualidad la única profesión informática con trabajo de noche, a turnos. Destaca el factor de responsabilidad ante incidencias y desperfectos. Se intentará analizar las relaciones personales y la coherencia de cargos y salarios, así como la equidad en la asignación de turnos de trabajos.
Se verificará igualmente la existencia de un responsable del Centro de Cómputos en cada turno de trabajo.
Se analizará el grado de automatización de comandos. Se verificará la existencia y grado de uso de Manuales de Operación.
Se analizará en sumo grado, no solamente la existencia de planes de formación, sino el cumplimiento de los mismos y el tiempo transcurrido para cada operador desde el último Curso recibido.
Se analizará en cantidad, se estudiarán los montajes diarios y por horas de cintas o cartuchos, así como los tiempos transcurridos entre la petición de montaje por parte del Sistema hasta el montaje real. Se verificarán las líneas de papel impresas diarias y por horas, así como la manipulación de papel que comportan.
Centro de Control de Red y Centro de Diagnosis
El Centro de Control de Red suele ubicarse en el área de producción de Explotación. Sus funciones se refieren exclusivamente al ámbito de las Comunicaciones, estando muy relacionado con la organización de Comunicaciones Software de Técnica de Sistemas.
Debe analizarse la fluidez de esa relación y el grado de coordinación entre ambos.
Se verificará la existencia de un punto focal único, desde el cual sean perceptibles todas las líneas asociadas a los Sistemas.
El Centro de Diagnosis (Help-desk) es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averías o incidencias, tanto de software como de hardware. En función del cometido descrito, y en cuanto a software, está relacionado con el Centro de Control de Red.
El Centro de Diagnosis está especialmente indicado para informáticas grandes y con usuarios dispersos en un amplio territorio.
Es uno de los elementos que más contribuyen a configurar la imagen de la Informática de la Empresa. Debe ser auditado desde esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispensa. No basta con comprobar la eficiencia técnica del Centro, es necesario analizarlo simultáneamente en el ámbito del Usuario.
Cualquier sugerencia, crítica, opinión o información que necesiten
y puede contribuir a enriquecer la página será bien recibida en:
Copyright © 1998 por Eduardo D. Ragusa
All Rights Reserved ®