investigación de los Avances tecnológicos del siglo XXI
Auditoria Informatica
1. Nombre de la Materia: Auditoria informática.
Nombre del Maestro: Octavio Esparza Jurares.
Nombre del Alumno: Cesar Martin González Dueñas
Carrera: I.T.I Cuatrimestre: Noveno
Grupo: B
2. Temas
AUDITORIA DE LA FUNCION INFORMATICA
POLITICAS D ELA ORGANIZACION
INTERPRETACION DEL MANUAL DE PROCEDIMIENTOS
RECURSOS HUMANOS
PLANEACION DE AUDITORIA
EVALUACION DE LA SEGURIDAD
SELECCION DE PROVEEDORES
LICENCIAMIENTO DEL SW
EVALUACION DE HW Y SW
EVALUACION DE SISTEMAS
EVALUACION DE LA RED
INTERPRETACION DE LOS RESULTADOS EN LA AUDITORIA
PRESENTACION DE CONCLUCIONES DE LA AUDITORIA
AREAS DE OPORTUNIDAD
4. Concepto:
Es el conjunto de técnicas, procedimientos y
actividades, destinados a analizar y evaluar el
funcionamiento de los sistemas informáticos de un
ente, por lo que comprende un examen metódico,
puntual y discontinuo, con el propósito de mejorar
aspectos como: Control y seguridad de los sistemas
informáticos; Cumplimiento de la normativa
tecnológica del ente; Control de planes de
contingencia; Eficacia y rentabilidad en el manejo de
los sistemas.
5. La Auditoría Informática deberá comprender no sólo la
evaluación de los equipos de cómputo de un sistema o
procedimiento específico, sino que además habrá de
evaluar los sistemas de información en general desde
sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.
6. OBJETIVO DE LA AUDITORIA INFORMATICA
• Control de la función informática
• El análisis de la eficiencia de los sistemas
informáticos
• Verificación de la normativa general de la empresa en
el ámbito informático
• Revisión de la eficaz gestión de los recursos
materiales y humanos informáticos
7. ÉXITO DE LA AI
•Estudiar hechos no opiniones
•Investigar las causas no los efectos
•Atender razones no excusas
•Criticar objetivamente y a fondo todos los informes y datos
recabados.
•Registrar TODO.
8. Características
No solamente de los sistemas informáticos objeto de su estudio, sino de las
relaciones e implicaciones operativas que dichos sistemas tienen en el
contexto empresarial.
La concepción típica que se ha visto en las empresas hasta ahora, es la de que
la función de auditoría informática está entroncada dentro de lo que es la
función de auditoría interna con rango de su departamento.
Esta concepción se basa en el nacimiento histórico de la auditoría informática
y en la dificultad de separar el elemento .informático de lo que es la auditoría
operativa y financiera, al igual que lo es separar la operativa de una empresa
de los sistemas de información que los soportan.
Dentro de las áreas a analizar dentro de la AI son:
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnología informática
Continuidad de operaciones
Gestión de riesgos
10. Definición de Política:
Manera de alcanzar objetivos bajo procedimiento
establecido y conocido por los agentes componentes
de la organización. "Es un plan permanente que
proporciona guías generales para canalizar el
pensamiento administrativo en direcciones
específicas”. Conjunto de actividades desarrolladas
para conseguir un objetivo general a corto, mediano
y a largo plazo.
11. Definición de Manual de Políticas:
Documento que incluye las intenciones o acciones
generales de la administración que es probable que
se presenten en determinadas circunstancias. Las
políticas son la actitud de la administración superior.
Las políticas escritas establecen líneas de guía, un
marco dentro del cual el personal operativo pueda
obrar para balancear las actividades y objetivos de la
dirección superior según convenga a las condiciones
del organismo social.
12. Objetivo del Manual de Políticas:
Presentar una visión de conjunto de la organización para su adecuada
organización.
Precisar expresiones generales para llevar a cabo acciones que
deben realizarse en cada unidad administrativa.
Proporcionar expresiones para agilizar el proceso decisorio.
Ser instrumento útil para la orientación e información al personal.
Facilitar la descentralización, al suministrar a los niveles intermedios
lineamientos claros a ser seguidos en la toma de decisiones.
Servir de base para una constante y efectiva revisión administrativa.
13. Importancia de Manual de Políticas:
Su importancia radica en que representa un recurso
técnico para ayudar a la orientación del personal y
también ayuda a declarar políticas y procedimientos,
o proporcionar soluciones rápidas a los malos
entendimientos y a mostrar como puede contribuir el
empleado al logro de los objetivos del organismo.
También ayuda a los administradores a no repetir la
información o instrucciones.
14. Ventajas de los manuales de Políticas:
Las políticas escritas requieren que los administradores piensen a través de sus
cursos de acción y predeterminen que acciones se tomarán bajo diversas
circunstancias.
Se proporciona un panorama general de acción para muchos asuntos, y
solamente los asuntos poco usuales requieren la atención de altos directivos.
Se proporciona un marco de acción dentro del cual el administrador puede
operar libremente.
Las políticas escritas ayudan a asegurar un trato equitativo para todos los
empleados.
Las políticas escritas generan seguridad de comunicación interna en todos los
niveles.
El manual de políticas es fuente de conocimiento inicial, rápido y claro, para
ubicar en su puesto nuevos empleados.
15. Tipos de Manuales de Políticas:
Manuales Generales de Políticas:
Abarcan todo el organismo social, incluye como elemento
primario todas aquellas disposiciones generales como tipo
fijo, las cuales en forma unilateral las establece cada área a
efectos de sus propias responsabilidades y autoridad
funcional.
Manuales específicos de Políticas:
Se ocupan de una funciona operacional, un departamento o
sección en particular.
16. Contenido del Manual de Políticas:
Un manual no debe contener más que los apartados
estrictamente necesarios para alcanzar los objetivos del
manual previstos y mantener los controles indispensables.
1. Índice
2. Introducción
Objetivos
Alcance
Como usar el manual
Revisiones y recomendaciones
3. Organigrama
4. Declaraciones de Políticas
18. Manual de Procedimientos
El manual de procedimientos y normas describe
en detalle las operaciones que integran los
procedimientos administrativos en el orden
secuencial de su ejecución y las normas a cumplir
por los miembros de la organización compatibles
con dichos procedimientos.
Instrumento de apoyo al Procedimiento que
comprende la Guía de la Persona Candidata, la
Guía del Asesor/a y la Guía del Evaluador/a y que
tiene como finalidad optimizar el Procedimiento y
garantizar su homogeneidad y fiabilidad.
19. Contenido y estructura de un manual
de procedimientos
Contenido
Objetivos
Responsabilidad
Alcance de los procedimientos
Instrucciones
Normas de procedimientos
Glosario
Índice Temático
20. Contenido y estructura del manual de
procedimientos
Índice de referencias cruzadas
Verificación y asesoramiento
Indicación de fechas
Numeración de páginas
Formato
Armado
21. El Administrador de Proyectos.
Esta persona se encarga de resolver los problemas
y de aprovechar las oportunidades que se cruzan
dentro de la organización. Esta persona es una
extensión del administrador general y por lo mismo
debe tener una visión general. Debe resolver los
problemas a través de la toma de decisiones en
cumplimiento con el objetivo.
22. El Administrador de Diseño.
Esta persona se encarga de participar en el
desarrollo de planes y en la determinación de las
necesidades de recursos para el proyecto.
Además, define la carga de trabajo para el diseño
y asigna el personal adecuado para las
necesidades. Su trabajo también incluye mantener
la excelencia técnica de los recursos, reclutar,
entrenar y manejar a la gente en la organización.
23. El Ingeniero de Diseño.
Ejecuta tareas de diseño y prepara planes detallados
y calendarios para el diseño de tareas consistente
con todo el plan de proyecto, incluyendo la definición
inicial de requerimientos.
24. Equipo de Programadores.
Se encargan de convertir a código en computadora
todo el trabajo realizado por el equipo de diseño.
25. Equipo de Mantenimiento.
Este grupo contempla tres tipos de actividades, como
mejoramiento de las capacidades del producto,
adaptación del producto a nuevos ambientes de
cómputo, y depuración de errores.
27. Recursos Humanos
La Administración de Recursos Humanos consiste en la
planeación, organización, desarrollo y coordinación, así
como también control de técnicas, capaces de promover el
desempeño eficiente del personal, a la vez que la
organización representa el medio que permite a las
personas que colaboran en ella alcanzar los objetivos
individuales relacionados directa o indirectamente con el
trabajo.
Su objetivo es conseguir y conservar un grupo humano de
trabajo cuyas características vayan de acuerdo con los
objetivos de la empresa a través de programas adecuados
de reclutamiento, selección, capacitación y desarrollo.
28. Recursos Humanos
Entre sus funciones esenciales podemos destacar las siguientes:
1. Ayudar y prestar servicios a la organización, a sus dirigentes,
gerentes y empleados.
2. Describe las responsabilidades que definen cada puesto laboral y
las cualidades que debe tener la persona que lo ocupe.
3. Evaluar el desempeño del personal, promocionando el desarrollo
del liderazgo.
4. Reclutar al personal idóneo para cada puesto.
5. Capacitar y desarrollar programas, cursos y toda actividad que
vaya en función del mejoramiento de los conocimientos del
personal.
6. Brindar ayuda psicológica a sus empleados en función de
mantener la armonía entre éstos, además buscar solución a los
problemas que se desatan entre estos.
29. Recursos Humanos
7. Llevar el control de beneficios de los empleados.
8. Distribuye políticas y procedimientos de recursos humanos,
nuevos o revisados, a todos los empleados, mediante
boletines, reuniones, memorándums o contactos personales.
9. Supervisar la administración de los programas de prueba.
10. desarrollar un m arco personal basado en competencias.
11. Garantizar la diversidad en el puesto de trabajo , ya que
permite a la empresa triunfar en los distintos mercados
nacionales y globales
31. Planeación de la Auditoria
ISO 27000
El estándar internacional ISO/IEC 27000:2005 ha sido
desarrollado para proporcionar un modelo para
establecer, implementar, monitorear, revisar, mantener y
mejorar un Sistema de Administración de Seguridad de
Información (ISMS por sus siglas en Inglés Information
Security Management System).
La información es un activo vital para el éxito y la
continuidad en el mercado de cualquier organización. El
aseguramiento de dicha información y de los sistemas
que la procesan es, por tanto, un objetivo de primer nivel
para la organización.
32. Planeación de la Auditoria
ISO 9000-2000
ISO 9000 es el estándar para establecer sistemas de
gestión de calidad más reconocido y adoptado en el
mundo, debido a los beneficios que brinda el apego a
sus normas definidas para establecer, documentar,
controlar, medir y mejorar los procesos y productos
dentro de la organización.
Las normas de la familia ISO 9000 fueron creadas
por la Organización Internacional de Normalización
(ISO por sus siglas en inglés) con la finalidad de
medir y asegurar la calidad de la producción.
33. Planeación de la Auditoria
Algunos beneficios obtenidos son:
Incrementar la ventaja competitiva a través de la
mejora de las capacidades organizativas.
Alineación de las actividades de mejora a todos los
niveles con la estrategia organizativa establecida.
Flexibilidad para reaccionar rápidamente a las
oportunidades.
34. Planeación de la Auditoria
ISO/IEC 20000:2005
Es la primera norma de calidad a nivel mundial dirigida
específicamente a las organizaciones de TI (Tecnología de la
Información).
Describe un conjunto integrado de procesos y un enfoque de
gestión para la provisión efectiva de servicios de TI a clientes
internos o externos.
ISO 20000 es un estándar para la Gestión de servicios de TI.
Representa un consenso en la industria sobre los elementos que son
indispensables para garantizar la efectividad de los servicios de TI.
Provee una guía para la realización de auditorías y para la
remediación de los hallazgos identificados, tomando como
referencia las recomendaciones contenidas en las mejores prácticas
internacionales.
35. Planeación de la Auditoria
La certificación ISO 20000 proporciona a las organizaciones un
planteamiento estructurado para desarrollar servicios de tecnología
de la información fiables. Es un reto, pero también es una
oportunidad que tienen las empresas para salvaguardar sus
sistemas de gestión de tecnología de la información.
La norma ISO 20000 se concentra en la gestión de problemas de
tecnología de la información mediante el uso de un planteamiento
de servicio de asistencia - los problemas se clasifican, lo que ayuda
a identificar problemas continuados o interrelaciones.
La norma considera también la capacidad del sistema, los niveles de
gestión necesarios cuando cambia el sistema, la asignación de
presupuestos financieros y el control y distribución del software.
36. Planeación de la Auditoria
Los objetivos de la ISO 20000 son:
Promover la adopción de procesos integrados con el fin
de suministrar la gestión de los servicios para obtener los
requisitos tanto de nuestros clientes cómo del mercado
en si.
Medir la comprensión de nuestras “buenas prácticas”,
objetivos, beneficios y posibles problemas dentro de
nuestro Sistema de Gestión.
Ayudar a las organizaciones a generar facturación, o
bien, generar costes efectivos beneficios dentro de la vía
profesional del servicio TI que se suministra a los
clientes.
37. Planeación de la Auditoria
POR QUE IMPLEMENTAR LA ISO
Las empresas dependen cada vez más de sus
Sistemas TI y necesitan una correcta gestión y
mantenimiento de éstos.
Los fallos e incidencias son cada día más visible.
Aumenta exponencialmente el número de
demandantes de servicios TI a nivel mundial.
39. Métodos de Seguridad
• Fundamentos de Seguridad Informática.
uso de antivirus, antispam, etc.
• Proteger el software mediante ofuscación
Romper el flujo del programa, luego introducir sistemáticamente aliases,
ofuscando el código y previniendo “flow-sensitive analysis”
• Técnicas.
Dos maneras:
– Static analysis
• Flujo y minúsculas o los análisis de flujo insensibles.
• Control y análisis de flujo de datos.
– Dynamic analysis
•Cobertura análisis del concepto (I.e., que lineas de
código siguen a cuales otras).
• La frecuencia de análisis de espectro (I.e., frecuencia de
ejecución de caminos (paths)).
40. Fases de la Auditoria Informática
Fase I: Conocimientos del Sistema
Fase II: Análisis de transacciones y recursos
Fase III: Análisis de riesgos y amenazas
Fase IV: Análisis de controles
Fase V: Evaluación de Controles
Fase VI: El Informe de auditoria
Fase VII: Seguimiento de las Recomendaciones
41. Fase I: Conocimientos del Sistema
1.1. Aspectos Legales y Políticas Internas.
Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el
marco de referencia para su evaluación.
1.2.Características del Sistema Operativo.
Organigrama del área que participa en el sistema
Manual de funciones de las personas que participan en los procesos del sistema
Informes de auditoría realizadas anteriormente
1.3.Características de la aplicación de computadora
Manual técnico de la aplicación del sistema
Funcionarios (usuarios) autorizados para administrar la aplicación
Equipos utilizados en la aplicación de computadora
Seguridad de la aplicación (claves de acceso)
Procedimientos para generación y almacenamiento de los archivos de la aplicación.
42. Fase II: Análisis de transacciones y recursos
2.1.Definición de las transacciones.
Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos
en subprocesos. La importancia de las transacciones deberá ser asignada con los
administradores.
2.2.Análisis de las transacciones
Establecer el flujo de los documentos
En esta etapa se hace uso de los flujogramas ya que facilita la visualización del
funcionamiento y recorrido de los procesos.
2.3.Análisis de los recursos
Identificar y codificar los recursos que participan en el sistemas
2.4.Relación entre transacciones y recursos
43. Fase III: Análisis de riesgos y amenazas
3.1.Identificación de riesgos 3.2.Identificación de las
amenazas
Daños físicos o destrucción de los
recursos Amenazas sobre los equipos:
Pérdida por fraude o desfalco Amenazas sobre documentos fuente
Extravío de documentos fuente, archivos Amenazas sobre programas de
o informes aplicaciones
Robo de dispositivos o medios de
almacenamiento
Interrupción de las operaciones del 3.3.Relación entre
negocio recursos/amenazas/riesgos
Pérdida de integridad de los datos
Ineficiencia de operaciones La relación entre estos elementos deberá
Errores establecerse a partir de la observación de los
recursos en su ambiente real de
funcionamiento.
44. Fase IV: Análisis de controles
4.1.Codificación de controles
Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la
identificación de los controles deben contener una codificación la cual identifique el
grupo al cual pertenece el recurso protegido.
4.2.Relación entre recursos/amenazas/riesgos
La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie)
identificado. Para cada tema debe establecerse uno o más controles.
4.3.Análisis de cobertura de los controles requeridos
Este análisis tiene como propósito determinar si los controles que el auditor identificó
como necesarios proveen una protección adecuada de los recursos.
45. Fase V: Evaluación de Controles
5.1.Objetivos de la evaluación
Verificar la existencia de los controles requeridos
Determinar la operatividad y suficiencia de los controles
existentes
5.2.Plan de pruebas de los controles
Incluye la selección del tipo de prueba a realizar.
Debe solicitarse al área respectiva, todos los elementos necesarios
de prueba.
5.3.Pruebas de controles
5.4.Análisis de resultados de las pruebas
46. Fase VI: Informe de Auditoria
6.1. Informe detallado de recomendaciones
6.2. Evaluación de las respuestas
6.3. Informe resumen para la alta gerencia
Este informe debe prepararse una vez obtenidas y analizadas las
respuestas de compromiso de la áreas.
Introducción: objetivo y contenido del informe de auditoria
Objetivos de la auditoría
Alcance: cobertura de la evaluación realizada
Opinión: con relación a la suficiencia del control interno del
sistema evaluado
Hallazgos
Recomendaciones
47. Fase VII: Seguimiento de Recomendaciones
7.1. Informes del seguimiento
7.2. Evaluación de los controles implantados
48. Plan de Contingencia
Un plan de contingencia es un instrumento de
gestión para el buen gobierno de las tecnologías de la
información en el dominio del soporte y desempeño.
Dicho plan contiene las medidas técnicas, humanas y
organizativas necesarias para garantizar la
continuidad del negocio y las operaciones de la
compañía un plan de continuidad aplicando al
departamento de informática o tecnologías.
49. Plan de Contingencia
El plan de contingencia es una herramienta que le
ayudará a que los procesos críticos de su empresa u
organización continúen funcionando a pesar de una
posible falla en los sistemas computarizados. Es
decir, un plan que le permite a su negocio u
organización, seguir operando aunque sea al
mínimo.
50. Plan de Contingencia
• Objetivos
• Garantizar la continuidad de las operaciones de los
elementos considerados críticos que componen los
Sistemas de Información.
• Definir acciones y procedimientos a ejecutar en
caso de fallas de los
elementos que componen un Sistema de
Información.
51. Plan de Contingencia
Dentro de las empresas deben existir mecanismos de contingencias que
permitan garantizar la continuidad de los procesos que en ella se realizan.
Dentro de la informática tal aspecto no debe variar, es decir, deben estar
especificados dichos mecanismos (por ejemplo, como realizar un proceso
manualmente en caso de que falle el automatizado). En este módulo nos
compete exclusivamente la contingencia de la información.
Al igual que otras cosas, la información puede tener daños, los cuales
pueden obedecer a causas accidentales (tales como errores en la
trascripción de datos, ejecución de procesos inadecuados) o intencionales
(cuando se busca cometer algún fraude). No importa cual sea la causa, lo
importante en este momento (claro, es importante determinar a que
obedeció el problema) es disponer algún mecanismo que nos permita
obtener la información sin errores. Las copias de seguridad nos ofrecen
una alternativa para ello, ya que en caso de que se dañe la información
original, se recurre entonces al respaldo el cual contiene la información
libre de errores.
52. Copias de Seguridad
Las copias pueden ser totales o parciales y la fre-
cuencia varía dependiendo de la importancia de
la información que se genere.
Se recomienda tener Backup
como mínimo dos (2)
respaldos de la información,
uno dentro de la empresa y otro fuera
de ésta (preferiblemente en un Banco en
Caja Fuerte).
53. Plan de Contingencia
Fases de la Metodología para el desarrollo de un plan
de contingencia
• Planificación: preparación y aprobación de esfuerzos y costos.
Identificación de riesgos: funciones y flujos del proceso de la empresa.
Identificación de soluciones: Evaluación de Riesgos de fallas o
interrupciones.
Estrategias: Otras opciones, soluciones alternativas, procedimientos
manuales.
Documentación del proceso: Creación de un manual del proceso.
Realización de pruebas: selección de casos soluciones que
probablemente funcionen.
Implementación: creación de las soluciones requeridas, documentación
de los casos.
Monitoreo: Probar nuevas soluciones o validar los casos.
55. Selección de proveedores
Características
El proceso de la búsqueda y selección de proveedores empieza con
la búsqueda de los proveedores que ofrezcan los insumos, productos
o servicios que vamos a requerir.
Para la búsqueda de proveedores podemos acudir a diversas
fuentes, algunas de éstas son:
Conocidos: personas que nos puedan recomendar proveedores, ya
sea porque los conocen al estar o haber estado en negocios similares
al nuestro, o por cualquier otra razón.
Trabajadores de la empresa: trabajadores que probablemente
conozcan proveedores con los que hayan trabajado anteriormente
en sus antiguos empleos.
Competencia: empresas competidoras a las cuales podemos
investigar para saber cuáles son sus proveedores
56. Selección de proveedores
Diarios, revistas y publicaciones especializadas: medios en
donde varias empresas proveedoras suelen publicar sus
anuncios.
Internet: buscadores, anuncios clasificados, directorios, foros,
cámaras de comercio, asociaciones empresariales, etc.
Páginas amarillas.
Ferias o exposiciones especializadas.
Al realizar la búsqueda de proveedores, podemos hacer una
preselección en donde descartemos los proveedores que no
cumplan con requisitos básicos tales como la calidad en el
producto, o que sobrepasen el máximo precio que estamos
dispuestos a pagar, de modo que podamos elaborar una lista
de proveedores que no sea tan extensa.
57. Selección de proveedores
PROCEDIMIENTOS PARA LA SELECCIÓN
En este paso, procedemos a determinar los criterios de selección que vamos a tener
en cuenta al momento de evaluar los posibles proveedores y luego seleccionar al
indicado.
Algunos de los principales criterios de selección que podemos tomar en cuenta son:
Precio: el precio de sus productos, los gastos que podrían adicionarse a éste, los
descuentos que nos podrían otorgar.
Calidad: la calidad de los insumos, productos o servicios que ofrece.
Plazo del pago: las condiciones de pago que nos brindan, si nos piden pagar al
contado, o nos dan facilidades para pagar al crédito.
Plazos de entrega: el tiempo que transcurre desde que hacemos el pedido hasta
que nos lo entregan.
Garantías: las garantías que otorga y el periodo de duración de éstas.
Reputación: el prestigio y las buenas referencias que tiene.
Más criterios de selección podemos encontrar en el artículo: criterios de selección de
proveedores.
59. Licenciamiento del software
Software libre : proporciona la libertad de
• Ejecutar el programa, para cualquier propósito;
• Estudiar el funcionamiento del programa, y adaptarlo a sus necesidades;
• Redistribuir copias;
• Mejorar el programa, y poner sus mejoras a disposición del público, para beneficio de toda la
comunidad.
Software de fuente abierta : sus términos de distribución cumplen los criterios de
• Distribución libre;
• Inclusión del código fuente;
• Permitir modificaciones y trabajos derivados en las mismas condiciones que el software original;
• Integridad del código fuente del autor, pudiendo requerir que los trabajos derivados tengan distinto
nombre o versión;
• No discriminación a personas o grupos;
• Sin uso restringido a campo de actividad;
• Los derechos otorgados a un programa serán válidos para todo el software
redistribuido sin imponer condiciones complementarias;
• La licencia no debe ser específica para un producto determinado;
• La licencia no debe poner restricciones a otro producto que se distribuya junto con el software
licenciado;
• La licencia debe ser tecnológicamente neutral.
60. Licenciamiento del software
Software de dominio público: aquél que no está protegido con copyright
Software con copyleft: software libre cuyos términos de distribución no permiten a los
redistribuidores agregar ninguna restricción adicional cuando lo redistribuyen o modifican,
o sea, la versión modificada debe ser también libre.
Software semi-libre: aquél que no es libre, pero viene con autorización de usar, copiar,
distribuir y modificar para particulares sin fines de lucro
Freeware: se usa comúnmente para programas que permiten la redistribución pero no la
modificación (y su código fuente no está disponible)
Shareware: software con autorización de redistribuir copias, pero debe pagarse cargo por
licencia de uso continuado.
Software privativo: aquél cuyo uso, redistribución o modificación están prohibidos o
necesitan una autorización.
Software comercial: el desarrollado por una empresa que pretende ganar dinero por su
uso.
62. Evaluación de hardware y software
Dentro de esta evaluación se encuentra varias áreas consideradas como
por ejemplo:
Producción: Para la evolución del hw y sw que debe de tener el
personal de esta área puede considerarse considerado como uno de los
departamentos más importantes, ya que formula y desarrolla los
métodos más adecuados para la elaboración de productos, al
suministrar y coordinar, mano de obra, equipo, instalaciones,
materiales y herramientas requeridas. Por lo tanto dicha área debería
tener una muy buena consideración en la asignación de equipos de
computo ya que de esta área
Mercadotecnia: Es una función trascendental ya que a través de ella
se cumplen algunos de los propósitos institucionales de la empresa. Su
finalidad es la de reunir factores y hechos que influyen en el mercado.
Por dichos motivos su función es especial dentro de la empresa pero
dicha labor solo debe de tener el software necesario para dicha labor.
63. Evaluación de hardware y software
Finanzas : En esta función es de vital importancia es está función, ya que
toda la empresa trabaja en constantes movimientos de dinero. Está área se
encarga de la obtención de fondos y del suministro del capital que se utiliza en
el funcionamiento de la empresa, por dicha función fundamental debe de ser
con el software y hardware que satisfaga a dicha labor como por ejemplo,
paquetería de oficina y software para contabilidad.
Administración de recursos humanos : Esta área tiene como objeto el
conseguir y conservar un grupo humano de trabajo cuyas características vayan
de acuerdo con los objetivos de la empresa. Por lo tanto dichas tareas en lo
personal
Recursos Esta es una de las áreas que dentro de la empresa es fundamental
que empresa pueda lograr sus objetivos, es necesario que cuente con una serie
de elementos o recursos que, conjugados armónicamente, contribuyan a su
funcionamiento adecuado por lo tanto lo que se recomiendo o se debe de
considerar que el hardware y software debe de ser el mas óptimos para realizar
las tareas necesarias para la tarea.
64. Evaluación de los sistemas
Revisión de las metodologías utilizadas
Modularidad, ampliaciones y mantenimiento
Control interno de las aplicaciones
Para cada fase del proceso
Satisfacción de usuarios (clientes)
Control de procesos y ejecuciones de programas
críticos
65. Evaluación de sistemas
SO
Actualización de versión
Incompatibilidades con el software de aplicación
Otro software de Base
Administración de Bases de Datos
Respaldos
Investigación y Desarrollo
66. Evaluación de la red
Redes nodales
Concentradores
MAN
WAN
Líneas telefónicas (proveedores externos)
…entre otros aspectos
67. Evaluación de la red
Modelo OSI
La Organización Internacional de Estándares (ISO) diseñó el modelo de
Interconexión de Sistemas Abiertos (OSI) como guía para la elaboración de
estándares de dispositivos de computación en redes. Dada la complejidad
de los dispositivos de conexión en red y a su integración para que operen
adecuadamente, el modelo OSI incluye siete capas diferentes, que van
desde la capa física, la cual incluye los cables de red, a la capa de aplicación,
que es la interfaz con el software de aplicación que se esta ejecutando.
Capa 1. Físico
Capa 2. Enlace de datos
Capa 3. Red
Capa 4. Transporte
Capa 5. Sesión
Capa 6. Presentación
Capa 7. Aplicación
69. Interpretacion de los resultados en la auditoria
OBJETIVO:
Conocer la manera en que cada Auditor planifica y
desarrolla su auditoría independiente en el sector
comercio.
70. Interpretación de los resultados en la auditoria
Titulo:
Identificar con un nombre corto y referenciando al
objetivo de la auditoria
Partes interesadas
El auditor dirigirá su informe al ejecutivo u órgano
de la entidad del que recibió el encargo de la
auditoría.
Objetivo:
Especificar en forma muy puntual los procesos o
áreas involucradas en la auditoria.
71. Interpretación de los resultados en la auditoria
Alcance:
Especificar la trascendencia de la auditoria y las
áreas involucradas en la misma.
Metodología:
Especificar los métodos o técnicas ocupadas para
el desarrollo de la auditoria
Desarrollo:
Especificar el rumbo que tomo la auditoria y el
periodo de los trabajos realizados
72. Interpretación de los resultados en la auditoria
Resultados:
Especificar cada uno de los descubrimientos
encontrados en la auditoria
Observaciones:
Se especifica las observaciones relevantes de la
auditoria por parte del auditor.
Recomendaciones:
Se especifica las recomendaciones del auditor.
73. Interpretación de los resultados en la auditoria
Conclusiones:
Especificar el cierre de la auditoria y el
cumplimiento de los objetivos.
Periodo de cobertura:
Este periodo deberá contener la fecha de inicio y
último día de trabajo en las oficinas de la entidad
Firmas:
Nombre y firma del representante del área
auditada, así como nombre y firma del auditor
75. Presentación de conclusiones de la auditoria
Conclusiones
El informe de auditoria tiene que estar basado en una
metodología, misma que debe estar soportada por mejores
practicas administrativas y tecnológicas.
El informe de auditoria debe contener cuando menos los
puntos observados en al presentación y el formato puede
elaborarse de acuerdo a las necesidades del auditor, por lo
que no existe un formato en especifico.
La información y observaciones vertidos en el informe
deben contener un sustento y no pueden ser en ningún
caso subjetivos.
77. Para una mejor comprensión de dicha herramienta estratégica,
definiremos las siglas de la siguiente manera:
Fortaleza.- Son todos aquellos elementos positivos que me
diferencian de la competencia
Debilidades.- Son los problemas presentes que una vez
identificado y desarrollando una adecuada estrategia, pueden y
deben eliminarse.
Oportunidades.- Son situaciones positivas que se generan en
el medio y que están disponibles para todas las empresas, que se
convertirán en oportunidades de mercado para la empresa
cuando ésta las identifique y las aproveche en función de sus
fortalezas.
Amenazas.- Son situaciones o hechos externos a la empresa o
institución y que pueden llegar a ser negativos para la misma. El
análisis de esta herramienta, consiste en evaluar las Fortalezas
y Debilidades que están relacionadas con el ambiente interno
(recursos humanos, técnicos, financieros, tecnológicos, etcétera)
y Oportunidades y Amenazas que se refieren al entorno
externo (Microambiente: Proveedores, competidores, los canales
de distribución, los consumidores) (Microambiente: economía,
ecología, demografía, etcétera) de la empresa.
78. Ventajas de implementar ITIL
Las empresas están llevando a cabo importantes
cambios estructurales en los cuales es necesario
promover una estrecha relación entre los objetivos de
negocio y los de TI (Tecnologías de Información).
Adoptar buenas prácticas puede ayudar a asegurar la
alta calidad, seguridad y confiabilidad en nuestros
servicios creando un efectivo sistema de gestión.
Prácticas de la industria.
Investigación académica.
Capacitación y educación.
Experiencia interna.
Estándares.
79. ITIL, como ejemplo de buenas prácticas, es
utilizado por organizaciones de todo el mundo para
establecer y mejorar las capacidades en la Gestión
del Servicio.
El marco de Prácticas de la Gestión del Servicio de
ITIL tiene los siguientes componentes:
Base de ITIL. Guía de mejores prácticas
aplicables a todos los tipos de organización que
provea servicios al negocio.
Guía Complementaria de ITIL. Un conjunto de
publicaciones complementarias con guía
específica a sectores de la industria, tipos de
organizaciones, modelos de operación y
arquitectura de la tecnología.
80. Ventajas de ITIL para IT:
El Departamento de IT desarrolla un más clara estructura, se convierte
en más eficiente y más focalizada en los objetivos corporativos.
El Management es más controlado, junto con los cambios que conlleva el
mismo.
El nuevo mapa de Procesos provee un framework que permite decidir la
tercerización de ciertos procesos en caso ser convenientes.
Siguiendo las Best Practices ITIL, se lidera un cambio cultura hacia la
Provisión de Servicios basados en el Management de Calidad de ISO
9000.
ITIL provee un uniforme marco de referencia de comunicación interna y
externa hacia proveedores, junto con la estandarización e identificación
de procedimientos.
Problemas Potenciales de ITIL:
Cuando el Proceso de Cambio es manejado sólo con recursos internos, se
corre el riesgo de no poder cambiar el “status quo”, porque implicaría
marcar “errores” en vez de oportunidades de mejorar y “responsables”,
en vez de Lideres del Cambio