Successfully reported this slideshow.
Your SlideShare is downloading. ×

Auditoria Informatica

Aug. 18, 2012
14 likes 12,001 views
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Procesos de Auditoria Informática
Procesos de Auditoria Informática
Loading in …3
×

Check these out next

Auditoria Informática o de Sistemas - Introducción
Universidad San Agustin
Evaluacion De La Seguridad De Los Sistemas Informaticos
Vidal Oved
Modulo1 AUDITORIA INFORMATICA
Anabel Jaramillo
Mapa conceptual - Auditoría de Sistemas
vmtorrealba
Ejemplo de cuestionario para auditoría de sistemas informáticos
Diana Alfaro
Control interno informatico
nehifi barreto
Software para auditoría informática
meme694
Control interno y auditoria informática
Roberto Porozo
1 of 80 Ad

Auditoria Informatica

Aug. 18, 2012
14 likes 12,001 views
Technology

Aspectos fundamentales de la autitoria informatica

Aspectos fundamentales de la autitoria informatica

Technology
Advertisement

Recommended

Procesos de Auditoria Informática
Willian Yanza Chavez
4.1k views
11 slides
Planificación Auditoria Informática
Luis Eduardo Aponte
9.9k views
23 slides
Proceso de la auditoria de sistemas
Jose Alvarado Robles
15.9k views
17 slides
Auditoría de sistemas controles
Alexander Velasque Rimac
41.8k views
10 slides
La auditoria de procesos y operaciones en el área informática
Jesús Rodolfo Andrade León
1.6k views
52 slides
Auditoria de sistemas
Michelle Perez
7.2k views
17 slides
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
4.6k views
12 slides
eeeeeEjemplo practico de auditoria informática
Willian Yanza Chavez
5k views
51 slides
Advertisement

More Related Content

Slideshows for you (20)

Auditoria Informática o de Sistemas - Introducción
Universidad San Agustin
22.4k views
Evaluacion De La Seguridad De Los Sistemas Informaticos
Vidal Oved
20k views
Modulo1 AUDITORIA INFORMATICA
Anabel Jaramillo
3.2k views
Mapa conceptual - Auditoría de Sistemas
vmtorrealba
16.5k views
Ejemplo de cuestionario para auditoría de sistemas informáticos
Diana Alfaro
32.4k views
Control interno informatico
nehifi barreto
359 views
Software para auditoría informática
meme694
23.6k views
Control interno y auditoria informática
Roberto Porozo
14.1k views
AUDITORIA INFORMÁTICA
innovasisc
2.2k views
TAAC, Técnicas de auditoria asistida por computador
Efraín Pérez
19.6k views
Control interno informatico (1)
alvarezjeffer
544 views
Auditoria informatica
Enrique Cabello
678 views
Cual es el rol del auditor de sistemas
Viviana Marcela Yz
7.2k views
Principales areas de la auditoria informatica
Carlos Ledesma
12.8k views
Informes de auditoría de los sistemas computacionales
Liliana Nieto
21.7k views
Alcance de la auditoría informática
Natii Rossales Hidrobo
35.5k views
Auditoria de sistema etapas
arelyochoa
16.3k views
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICA
YULIANA JIMENEZ
3.1k views
Auditoria informatica
CESAR VILLA MAURA
8.9k views
8. Técnicas y herramientas de auditoria de sistemas
Hector Chajón
5.2k views
Auditoria Informática o de Sistemas - Introducción
Universidad San Agustin
22.4k views
134 slides
Evaluacion De La Seguridad De Los Sistemas Informaticos
Vidal Oved
20k views
19 slides
Modulo1 AUDITORIA INFORMATICA
Anabel Jaramillo
3.2k views
23 slides
Mapa conceptual - Auditoría de Sistemas
vmtorrealba
16.5k views
1 slide
Ejemplo de cuestionario para auditoría de sistemas informáticos
Diana Alfaro
32.4k views
3 slides
Control interno informatico
nehifi barreto
359 views
23 slides

Similar to Auditoria Informatica (20)

Jhonny
Jhonny Espinosa Delos Monteros
81 views
Proceso administrativo
Dora Alicia Gastelum Aranda
264 views
Recursos que intervienen en los diferentes procesos
tarea
18k views
Planeación y organización del trabajo
tarea
31.7k views
0
Jhonny Espinosa Delos Monteros
62 views
47_ 21133877 jose_pajaro
joseenrique609
32 views
Metodología de mejoramiento administrativo
ANEP - DETP
3.5k views
MoProsoft Presentacion
chicoinformatica20
3.6k views
EXPOSICIONNN1.pptx
SusanDvila1
95 views
Porqué la gestion de procesos
Manuel Bedoya D
668 views
Plan de mejora
Icra Villalobos
84 views
Proceso administrativo
cinthyayaha23
7.2k views
Mapa conceptual mora Politicas Privadas
alemora19
860 views
Unidad 1. ELEMENTOS DE LA TEORÍA DE LA ORGANIZACIÓN Y LA TEORÍA GERENCIAL
alixjoanmerindriagosalas
2.2k views
Instituto tecnológico superior de tlatlauquitepec
Arely Lizeth Cano Bello
106 views
Introduccion
christhere
927 views
Ensayo opinático importancia de la Auditoria de Recursos Humanos
Giovanna Peñaloza Lugo
4.3k views
ESTABLECIMIENTO-DE-SISTEMAS-DE-CONTROL-INTERNO.ppt
LuisAlfonsoMagaaramo2
3 views
procesos
Harold Plazas
361 views
HERRAMIENTAS DE GESTIÓN DE CAPACITACIÓN
anayeli2001
7.5k views
Jhonny
Jhonny Espinosa Delos Monteros
81 views
6 slides
Proceso administrativo
Dora Alicia Gastelum Aranda
264 views
23 slides
Recursos que intervienen en los diferentes procesos
tarea
18k views
32 slides
Planeación y organización del trabajo
tarea
31.7k views
32 slides
0
Jhonny Espinosa Delos Monteros
62 views
8 slides
47_ 21133877 jose_pajaro
joseenrique609
32 views
6 slides
Advertisement

Recently uploaded (20)

Introduction to .NET MAUI.pdf
Luis775803
2 views
Build After Party Bolivia - Hugging Face on Azure.pptx
Luis775803
2 views
Clasificación de malware: Humanos vs máquinas
josedarioflorezgomez
20 views
Global Azure 2022 Bolivia - Entendiendo Blob Storage.pptx
Luis775803
2 views
OPEN CLAAS SEMANA 1.pdf
GorkyGabrielAriasDaz
0 views
Planeacion filtro de agua.docx
CoralPortillo2
1 view
AI U1 Hipótesis de la Investigación_MHB.pptx
MarcosHernandez179
2 views
Microsoft Reactor - Creando un modelo de Regresión con Azure Machine Learnin...
Luis775803
2 views
IA y Accesibilidad.pptx
Luis775803
2 views
Taller de Tecnología.pdf
Diego
7 views
TALLER ANEXO PSEINT.pdf
JosueVasquez70
5 views
BUENDIA_PEREZ_CRISTOPHER_M1_S3_AI6_Año 2023
Cristopher Buendía Pérez
8 views
Student Summit - Conoce más sobre mi carrera en IA y Datos.pptx
Luis775803
6 views
Análisis de Ciclo de Vida y Plugin THERMOCHIP by ITeC - Joaquin Vázquez
ITeC Instituto Tecnología Construcción
8 views
Bases Gnoseológicas.pptx
NathalyBarcia1
3 views
STEMWeek - Entendiendo tus documentos con Azure Form Recognizer.pptx
Luis775803
2 views
COECYS Creación de bots conversacionales sin código con Azure Question Answ...
Luis775803
2 views
investigacionñ.ppt
JOSELUISAROMAMANI
1 view
El monstruo de colores - Anna Llenas.pdf · versión 1 (8).pdf
4ACludiaGmez
0 views
P10_BinhaoXu
Binhao11
6 views
Introduction to .NET MAUI.pdf
Luis775803
2 views
61 slides
Build After Party Bolivia - Hugging Face on Azure.pptx
Luis775803
2 views
14 slides
Clasificación de malware: Humanos vs máquinas
josedarioflorezgomez
20 views
3 slides
Global Azure 2022 Bolivia - Entendiendo Blob Storage.pptx
Luis775803
2 views
18 slides
OPEN CLAAS SEMANA 1.pdf
GorkyGabrielAriasDaz
0 views
17 slides
Planeacion filtro de agua.docx
CoralPortillo2
1 view
15 slides

Auditoria Informatica

  1. 1. Nombre de la Materia: Auditoria informática. Nombre del Maestro: Octavio Esparza Jurares. Nombre del Alumno: Cesar Martin González Dueñas Carrera: I.T.I Cuatrimestre: Noveno Grupo: B
  2. 2. Temas AUDITORIA DE LA FUNCION INFORMATICA POLITICAS D ELA ORGANIZACION INTERPRETACION DEL MANUAL DE PROCEDIMIENTOS RECURSOS HUMANOS PLANEACION DE AUDITORIA EVALUACION DE LA SEGURIDAD SELECCION DE PROVEEDORES LICENCIAMIENTO DEL SW EVALUACION DE HW Y SW EVALUACION DE SISTEMAS EVALUACION DE LA RED INTERPRETACION DE LOS RESULTADOS EN LA AUDITORIA PRESENTACION DE CONCLUCIONES DE LA AUDITORIA AREAS DE OPORTUNIDAD
  3. 3. AUDITORIA INFORMÁTICA
  4. 4. Concepto: Es el conjunto de técnicas, procedimientos y actividades, destinados a analizar y evaluar el funcionamiento de los sistemas informáticos de un ente, por lo que comprende un examen metódico, puntual y discontinuo, con el propósito de mejorar aspectos como: Control y seguridad de los sistemas informáticos; Cumplimiento de la normativa tecnológica del ente; Control de planes de contingencia; Eficacia y rentabilidad en el manejo de los sistemas.
  5. 5. La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
  6. 6. OBJETIVO DE LA AUDITORIA INFORMATICA • Control de la función informática • El análisis de la eficiencia de los sistemas informáticos • Verificación de la normativa general de la empresa en el ámbito informático • Revisión de la eficaz gestión de los recursos materiales y humanos informáticos
  7. 7. ÉXITO DE LA AI •Estudiar hechos no opiniones •Investigar las causas no los efectos •Atender razones no excusas •Criticar objetivamente y a fondo todos los informes y datos recabados. •Registrar TODO.
  8. 8. Características No solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial. La concepción típica que se ha visto en las empresas hasta ahora, es la de que la función de auditoría informática está entroncada dentro de lo que es la función de auditoría interna con rango de su departamento. Esta concepción se basa en el nacimiento histórico de la auditoría informática y en la dificultad de separar el elemento .informático de lo que es la auditoría operativa y financiera, al igual que lo es separar la operativa de una empresa de los sistemas de información que los soportan. Dentro de las áreas a analizar dentro de la AI son:  Seguridad  Control interno operativo  Eficiencia y eficacia  Tecnología informática  Continuidad de operaciones  Gestión de riesgos
  9. 9. Políticas de la organización
  10. 10. Definición de Política: Manera de alcanzar objetivos bajo procedimiento establecido y conocido por los agentes componentes de la organización. "Es un plan permanente que proporciona guías generales para canalizar el pensamiento administrativo en direcciones específicas”. Conjunto de actividades desarrolladas para conseguir un objetivo general a corto, mediano y a largo plazo.
  11. 11. Definición de Manual de Políticas: Documento que incluye las intenciones o acciones generales de la administración que es probable que se presenten en determinadas circunstancias. Las políticas son la actitud de la administración superior. Las políticas escritas establecen líneas de guía, un marco dentro del cual el personal operativo pueda obrar para balancear las actividades y objetivos de la dirección superior según convenga a las condiciones del organismo social.
  12. 12. Objetivo del Manual de Políticas: Presentar una visión de conjunto de la organización para su adecuada organización.  Precisar expresiones generales para llevar a cabo acciones que deben realizarse en cada unidad administrativa.  Proporcionar expresiones para agilizar el proceso decisorio.  Ser instrumento útil para la orientación e información al personal.  Facilitar la descentralización, al suministrar a los niveles intermedios lineamientos claros a ser seguidos en la toma de decisiones.  Servir de base para una constante y efectiva revisión administrativa.
  13. 13. Importancia de Manual de Políticas: Su importancia radica en que representa un recurso técnico para ayudar a la orientación del personal y también ayuda a declarar políticas y procedimientos, o proporcionar soluciones rápidas a los malos entendimientos y a mostrar como puede contribuir el empleado al logro de los objetivos del organismo. También ayuda a los administradores a no repetir la información o instrucciones.
  14. 14. Ventajas de los manuales de Políticas:  Las políticas escritas requieren que los administradores piensen a través de sus cursos de acción y predeterminen que acciones se tomarán bajo diversas circunstancias.  Se proporciona un panorama general de acción para muchos asuntos, y solamente los asuntos poco usuales requieren la atención de altos directivos.  Se proporciona un marco de acción dentro del cual el administrador puede operar libremente.  Las políticas escritas ayudan a asegurar un trato equitativo para todos los empleados.  Las políticas escritas generan seguridad de comunicación interna en todos los niveles. El manual de políticas es fuente de conocimiento inicial, rápido y claro, para ubicar en su puesto nuevos empleados.
  15. 15. Tipos de Manuales de Políticas: Manuales Generales de Políticas: Abarcan todo el organismo social, incluye como elemento primario todas aquellas disposiciones generales como tipo fijo, las cuales en forma unilateral las establece cada área a efectos de sus propias responsabilidades y autoridad funcional.  Manuales específicos de Políticas: Se ocupan de una funciona operacional, un departamento o sección en particular.
  16. 16. Contenido del Manual de Políticas: Un manual no debe contener más que los apartados estrictamente necesarios para alcanzar los objetivos del manual previstos y mantener los controles indispensables. 1. Índice 2. Introducción Objetivos Alcance Como usar el manual Revisiones y recomendaciones 3. Organigrama 4. Declaraciones de Políticas
  17. 17. Interpretación del Manual de Procedimientos
  18. 18. Manual de Procedimientos  El manual de procedimientos y normas describe en detalle las operaciones que integran los procedimientos administrativos en el orden secuencial de su ejecución y las normas a cumplir por los miembros de la organización compatibles con dichos procedimientos.  Instrumento de apoyo al Procedimiento que comprende la Guía de la Persona Candidata, la Guía del Asesor/a y la Guía del Evaluador/a y que tiene como finalidad optimizar el Procedimiento y garantizar su homogeneidad y fiabilidad.
  19. 19. Contenido y estructura de un manual de procedimientos  Contenido  Objetivos  Responsabilidad  Alcance de los procedimientos  Instrucciones  Normas de procedimientos  Glosario  Índice Temático
  20. 20. Contenido y estructura del manual de procedimientos  Índice de referencias cruzadas  Verificación y asesoramiento  Indicación de fechas  Numeración de páginas  Formato  Armado
  21. 21. El Administrador de Proyectos. Esta persona se encarga de resolver los problemas y de aprovechar las oportunidades que se cruzan dentro de la organización. Esta persona es una extensión del administrador general y por lo mismo debe tener una visión general. Debe resolver los problemas a través de la toma de decisiones en cumplimiento con el objetivo.
  22. 22. El Administrador de Diseño. Esta persona se encarga de participar en el desarrollo de planes y en la determinación de las necesidades de recursos para el proyecto. Además, define la carga de trabajo para el diseño y asigna el personal adecuado para las necesidades. Su trabajo también incluye mantener la excelencia técnica de los recursos, reclutar, entrenar y manejar a la gente en la organización.
  23. 23. El Ingeniero de Diseño. Ejecuta tareas de diseño y prepara planes detallados y calendarios para el diseño de tareas consistente con todo el plan de proyecto, incluyendo la definición inicial de requerimientos.
  24. 24. Equipo de Programadores. Se encargan de convertir a código en computadora todo el trabajo realizado por el equipo de diseño.
  25. 25. Equipo de Mantenimiento. Este grupo contempla tres tipos de actividades, como mejoramiento de las capacidades del producto, adaptación del producto a nuevos ambientes de cómputo, y depuración de errores.
  26. 26. Recursos Humanos
  27. 27. Recursos Humanos  La Administración de Recursos Humanos consiste en la planeación, organización, desarrollo y coordinación, así como también control de técnicas, capaces de promover el desempeño eficiente del personal, a la vez que la organización representa el medio que permite a las personas que colaboran en ella alcanzar los objetivos individuales relacionados directa o indirectamente con el trabajo.  Su objetivo es conseguir y conservar un grupo humano de trabajo cuyas características vayan de acuerdo con los objetivos de la empresa a través de programas adecuados de reclutamiento, selección, capacitación y desarrollo.
  28. 28. Recursos Humanos  Entre sus funciones esenciales podemos destacar las siguientes:  1. Ayudar y prestar servicios a la organización, a sus dirigentes, gerentes y empleados.  2. Describe las responsabilidades que definen cada puesto laboral y las cualidades que debe tener la persona que lo ocupe.  3. Evaluar el desempeño del personal, promocionando el desarrollo del liderazgo.  4. Reclutar al personal idóneo para cada puesto.  5. Capacitar y desarrollar programas, cursos y toda actividad que vaya en función del mejoramiento de los conocimientos del personal.  6. Brindar ayuda psicológica a sus empleados en función de mantener la armonía entre éstos, además buscar solución a los problemas que se desatan entre estos.
  29. 29. Recursos Humanos  7. Llevar el control de beneficios de los empleados.  8. Distribuye políticas y procedimientos de recursos humanos, nuevos o revisados, a todos los empleados, mediante boletines, reuniones, memorándums o contactos personales.  9. Supervisar la administración de los programas de prueba.  10. desarrollar un m arco personal basado en competencias.  11. Garantizar la diversidad en el puesto de trabajo , ya que permite a la empresa triunfar en los distintos mercados nacionales y globales
  30. 30. Planeación de auditoria
  31. 31. Planeación de la Auditoria ISO 27000  El estándar internacional ISO/IEC 27000:2005 ha sido desarrollado para proporcionar un modelo para establecer, implementar, monitorear, revisar, mantener y mejorar un Sistema de Administración de Seguridad de Información (ISMS por sus siglas en Inglés Information Security Management System).  La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.
  32. 32. Planeación de la Auditoria  ISO 9000-2000  ISO 9000 es el estándar para establecer sistemas de gestión de calidad más reconocido y adoptado en el mundo, debido a los beneficios que brinda el apego a sus normas definidas para establecer, documentar, controlar, medir y mejorar los procesos y productos dentro de la organización.  Las normas de la familia ISO 9000 fueron creadas por la Organización Internacional de Normalización (ISO por sus siglas en inglés) con la finalidad de medir y asegurar la calidad de la producción.
  33. 33. Planeación de la Auditoria  Algunos beneficios obtenidos son:  Incrementar la ventaja competitiva a través de la mejora de las capacidades organizativas.  Alineación de las actividades de mejora a todos los niveles con la estrategia organizativa establecida.  Flexibilidad para reaccionar rápidamente a las oportunidades.
  34. 34. Planeación de la Auditoria  ISO/IEC 20000:2005  Es la primera norma de calidad a nivel mundial dirigida específicamente a las organizaciones de TI (Tecnología de la Información).  Describe un conjunto integrado de procesos y un enfoque de gestión para la provisión efectiva de servicios de TI a clientes internos o externos.  ISO 20000 es un estándar para la Gestión de servicios de TI. Representa un consenso en la industria sobre los elementos que son indispensables para garantizar la efectividad de los servicios de TI.  Provee una guía para la realización de auditorías y para la remediación de los hallazgos identificados, tomando como referencia las recomendaciones contenidas en las mejores prácticas internacionales.
  35. 35. Planeación de la Auditoria  La certificación ISO 20000 proporciona a las organizaciones un planteamiento estructurado para desarrollar servicios de tecnología de la información fiables. Es un reto, pero también es una oportunidad que tienen las empresas para salvaguardar sus sistemas de gestión de tecnología de la información.  La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones.  La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.
  36. 36. Planeación de la Auditoria  Los objetivos de la ISO 20000 son:  Promover la adopción de procesos integrados con el fin de suministrar la gestión de los servicios para obtener los requisitos tanto de nuestros clientes cómo del mercado  en si.  Medir la comprensión de nuestras “buenas prácticas”, objetivos, beneficios y posibles problemas dentro de nuestro Sistema de Gestión.  Ayudar a las organizaciones a generar facturación, o bien, generar costes efectivos beneficios dentro de la vía profesional del servicio TI que se suministra a los clientes.
  37. 37. Planeación de la Auditoria  POR QUE IMPLEMENTAR LA ISO  Las empresas dependen cada vez más de sus Sistemas TI y necesitan una correcta gestión y mantenimiento de éstos.  Los fallos e incidencias son cada día más visible.  Aumenta exponencialmente el número de demandantes de servicios TI a nivel mundial.
  38. 38. Evaluación de la seguridad
  39. 39. Métodos de Seguridad • Fundamentos de Seguridad Informática. uso de antivirus, antispam, etc. • Proteger el software mediante ofuscación Romper el flujo del programa, luego introducir sistemáticamente aliases, ofuscando el código y previniendo “flow-sensitive analysis” • Técnicas. Dos maneras: – Static analysis • Flujo y minúsculas o los análisis de flujo insensibles. • Control y análisis de flujo de datos. – Dynamic analysis •Cobertura análisis del concepto (I.e., que lineas de código siguen a cuales otras). • La frecuencia de análisis de espectro (I.e., frecuencia de ejecución de caminos (paths)).
  40. 40. Fases de la Auditoria Informática Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones
  41. 41. Fase I: Conocimientos del Sistema 1.1. Aspectos Legales y Políticas Internas. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. 1.2.Características del Sistema Operativo. Organigrama del área que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditoría realizadas anteriormente 1.3.Características de la aplicación de computadora Manual técnico de la aplicación del sistema Funcionarios (usuarios) autorizados para administrar la aplicación Equipos utilizados en la aplicación de computadora Seguridad de la aplicación (claves de acceso) Procedimientos para generación y almacenamiento de los archivos de la aplicación.
  42. 42. Fase II: Análisis de transacciones y recursos 2.1.Definición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. 2.2.Análisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos. 2.3.Análisis de los recursos Identificar y codificar los recursos que participan en el sistemas 2.4.Relación entre transacciones y recursos
  43. 43. Fase III: Análisis de riesgos y amenazas 3.1.Identificación de riesgos 3.2.Identificación de las amenazas Daños físicos o destrucción de los recursos Amenazas sobre los equipos: Pérdida por fraude o desfalco Amenazas sobre documentos fuente Extravío de documentos fuente, archivos Amenazas sobre programas de o informes aplicaciones Robo de dispositivos o medios de almacenamiento Interrupción de las operaciones del 3.3.Relación entre negocio recursos/amenazas/riesgos Pérdida de integridad de los datos Ineficiencia de operaciones La relación entre estos elementos deberá Errores establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.
  44. 44. Fase IV: Análisis de controles 4.1.Codificación de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles deben contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido. 4.2.Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más controles. 4.3.Análisis de cobertura de los controles requeridos Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.
  45. 45. Fase V: Evaluación de Controles 5.1.Objetivos de la evaluación Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes 5.2.Plan de pruebas de los controles Incluye la selección del tipo de prueba a realizar. Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. 5.3.Pruebas de controles 5.4.Análisis de resultados de las pruebas
  46. 46. Fase VI: Informe de Auditoria 6.1. Informe detallado de recomendaciones 6.2. Evaluación de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la áreas. Introducción: objetivo y contenido del informe de auditoria Objetivos de la auditoría Alcance: cobertura de la evaluación realizada Opinión: con relación a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones
  47. 47. Fase VII: Seguimiento de Recomendaciones 7.1. Informes del seguimiento 7.2. Evaluación de los controles implantados
  48. 48. Plan de Contingencia  Un plan de contingencia es un instrumento de gestión para el buen gobierno de las tecnologías de la información en el dominio del soporte y desempeño.  Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de la compañía un plan de continuidad aplicando al departamento de informática o tecnologías.
  49. 49. Plan de Contingencia  El plan de contingencia es una herramienta que le ayudará a que los procesos críticos de su empresa u organización continúen funcionando a pesar de una posible falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organización, seguir operando aunque sea al mínimo.
  50. 50. Plan de Contingencia • Objetivos • Garantizar la continuidad de las operaciones de los elementos considerados críticos que componen los Sistemas de Información.  • Definir acciones y procedimientos a ejecutar en caso de fallas de los  elementos que componen un Sistema de Información.
  51. 51. Plan de Contingencia  Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar la continuidad de los procesos que en ella se realizan. Dentro de la informática tal aspecto no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como realizar un proceso manualmente en caso de que falle el automatizado). En este módulo nos compete exclusivamente la contingencia de la información.  Al igual que otras cosas, la información puede tener daños, los cuales pueden obedecer a causas accidentales (tales como errores en la trascripción de datos, ejecución de procesos inadecuados) o intencionales (cuando se busca cometer algún fraude). No importa cual sea la causa, lo importante en este momento (claro, es importante determinar a que obedeció el problema) es disponer algún mecanismo que nos permita obtener la información sin errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya que en caso de que se dañe la información original, se recurre entonces al respaldo el cual contiene la información libre de errores.
  52. 52. Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia varía dependiendo de la importancia de la información que se genere. Se recomienda tener Backup como mínimo dos (2) respaldos de la información, uno dentro de la empresa y otro fuera de ésta (preferiblemente en un Banco en Caja Fuerte).
  53. 53. Plan de Contingencia Fases de la Metodología para el desarrollo de un plan de contingencia • Planificación: preparación y aprobación de esfuerzos y costos.  Identificación de riesgos: funciones y flujos del proceso de la empresa.  Identificación de soluciones: Evaluación de Riesgos de fallas o interrupciones.  Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.  Documentación del proceso: Creación de un manual del proceso.  Realización de pruebas: selección de casos soluciones que probablemente funcionen.  Implementación: creación de las soluciones requeridas, documentación de los casos.  Monitoreo: Probar nuevas soluciones o validar los casos.
  54. 54. Selección de proveedores
  55. 55. Selección de proveedores  Características  El proceso de la búsqueda y selección de proveedores empieza con la búsqueda de los proveedores que ofrezcan los insumos, productos o servicios que vamos a requerir.  Para la búsqueda de proveedores podemos acudir a diversas fuentes, algunas de éstas son:  Conocidos: personas que nos puedan recomendar proveedores, ya sea porque los conocen al estar o haber estado en negocios similares al nuestro, o por cualquier otra razón.  Trabajadores de la empresa: trabajadores que probablemente conozcan proveedores con los que hayan trabajado anteriormente en sus antiguos empleos.  Competencia: empresas competidoras a las cuales podemos investigar para saber cuáles son sus proveedores
  56. 56. Selección de proveedores  Diarios, revistas y publicaciones especializadas: medios en donde varias empresas proveedoras suelen publicar sus anuncios.  Internet: buscadores, anuncios clasificados, directorios, foros, cámaras de comercio, asociaciones empresariales, etc.  Páginas amarillas.  Ferias o exposiciones especializadas.  Al realizar la búsqueda de proveedores, podemos hacer una preselección en donde descartemos los proveedores que no cumplan con requisitos básicos tales como la calidad en el producto, o que sobrepasen el máximo precio que estamos dispuestos a pagar, de modo que podamos elaborar una lista de proveedores que no sea tan extensa.
  57. 57. Selección de proveedores  PROCEDIMIENTOS PARA LA SELECCIÓN  En este paso, procedemos a determinar los criterios de selección que vamos a tener en cuenta al momento de evaluar los posibles proveedores y luego seleccionar al indicado.  Algunos de los principales criterios de selección que podemos tomar en cuenta son:  Precio: el precio de sus productos, los gastos que podrían adicionarse a éste, los descuentos que nos podrían otorgar.  Calidad: la calidad de los insumos, productos o servicios que ofrece.  Plazo del pago: las condiciones de pago que nos brindan, si nos piden pagar al contado, o nos dan facilidades para pagar al crédito.  Plazos de entrega: el tiempo que transcurre desde que hacemos el pedido hasta que nos lo entregan.  Garantías: las garantías que otorga y el periodo de duración de éstas.  Reputación: el prestigio y las buenas referencias que tiene.  Más criterios de selección podemos encontrar en el artículo: criterios de selección de proveedores.
  58. 58. Licenciamiento del Software
  59. 59. Licenciamiento del software Software libre : proporciona la libertad de • Ejecutar el programa, para cualquier propósito; • Estudiar el funcionamiento del programa, y adaptarlo a sus necesidades; • Redistribuir copias; • Mejorar el programa, y poner sus mejoras a disposición del público, para beneficio de toda la comunidad. Software de fuente abierta : sus términos de distribución cumplen los criterios de • Distribución libre; • Inclusión del código fuente; • Permitir modificaciones y trabajos derivados en las mismas condiciones que el software original; • Integridad del código fuente del autor, pudiendo requerir que los trabajos derivados tengan distinto nombre o versión; • No discriminación a personas o grupos; • Sin uso restringido a campo de actividad; • Los derechos otorgados a un programa serán válidos para todo el software redistribuido sin imponer condiciones complementarias; • La licencia no debe ser específica para un producto determinado; • La licencia no debe poner restricciones a otro producto que se distribuya junto con el software licenciado; • La licencia debe ser tecnológicamente neutral.
  60. 60. Licenciamiento del software Software de dominio público: aquél que no está protegido con copyright Software con copyleft: software libre cuyos términos de distribución no permiten a los redistribuidores agregar ninguna restricción adicional cuando lo redistribuyen o modifican, o sea, la versión modificada debe ser también libre. Software semi-libre: aquél que no es libre, pero viene con autorización de usar, copiar, distribuir y modificar para particulares sin fines de lucro Freeware: se usa comúnmente para programas que permiten la redistribución pero no la modificación (y su código fuente no está disponible) Shareware: software con autorización de redistribuir copias, pero debe pagarse cargo por licencia de uso continuado. Software privativo: aquél cuyo uso, redistribución o modificación están prohibidos o necesitan una autorización. Software comercial: el desarrollado por una empresa que pretende ganar dinero por su uso.
  61. 61. Evaluación de Hardware y software
  62. 62. Evaluación de hardware y software  Dentro de esta evaluación se encuentra varias áreas consideradas como por ejemplo:  Producción: Para la evolución del hw y sw que debe de tener el personal de esta área puede considerarse considerado como uno de los departamentos más importantes, ya que formula y desarrolla los métodos más adecuados para la elaboración de productos, al suministrar y coordinar, mano de obra, equipo, instalaciones, materiales y herramientas requeridas. Por lo tanto dicha área debería tener una muy buena consideración en la asignación de equipos de computo ya que de esta área  Mercadotecnia: Es una función trascendental ya que a través de ella se cumplen algunos de los propósitos institucionales de la empresa. Su finalidad es la de reunir factores y hechos que influyen en el mercado. Por dichos motivos su función es especial dentro de la empresa pero dicha labor solo debe de tener el software necesario para dicha labor.
  63. 63. Evaluación de hardware y software  Finanzas : En esta función es de vital importancia es está función, ya que toda la empresa trabaja en constantes movimientos de dinero. Está área se encarga de la obtención de fondos y del suministro del capital que se utiliza en el funcionamiento de la empresa, por dicha función fundamental debe de ser con el software y hardware que satisfaga a dicha labor como por ejemplo, paquetería de oficina y software para contabilidad.  Administración de recursos humanos : Esta área tiene como objeto el conseguir y conservar un grupo humano de trabajo cuyas características vayan de acuerdo con los objetivos de la empresa. Por lo tanto dichas tareas en lo personal  Recursos Esta es una de las áreas que dentro de la empresa es fundamental que empresa pueda lograr sus objetivos, es necesario que cuente con una serie de elementos o recursos que, conjugados armónicamente, contribuyan a su funcionamiento adecuado por lo tanto lo que se recomiendo o se debe de considerar que el hardware y software debe de ser el mas óptimos para realizar las tareas necesarias para la tarea.
  64. 64. Evaluación de los sistemas  Revisión de las metodologías utilizadas  Modularidad, ampliaciones y mantenimiento  Control interno de las aplicaciones  Para cada fase del proceso  Satisfacción de usuarios (clientes)  Control de procesos y ejecuciones de programas críticos
  65. 65. Evaluación de sistemas  SO  Actualización de versión  Incompatibilidades con el software de aplicación  Otro software de Base  Administración de Bases de Datos  Respaldos  Investigación y Desarrollo
  66. 66. Evaluación de la red  Redes nodales  Concentradores  MAN  WAN  Líneas telefónicas (proveedores externos)  …entre otros aspectos
  67. 67. Evaluación de la red Modelo OSI  La Organización Internacional de Estándares (ISO) diseñó el modelo de Interconexión de Sistemas Abiertos (OSI) como guía para la elaboración de estándares de dispositivos de computación en redes. Dada la complejidad de los dispositivos de conexión en red y a su integración para que operen adecuadamente, el modelo OSI incluye siete capas diferentes, que van desde la capa física, la cual incluye los cables de red, a la capa de aplicación, que es la interfaz con el software de aplicación que se esta ejecutando.  Capa 1. Físico  Capa 2. Enlace de datos  Capa 3. Red  Capa 4. Transporte  Capa 5. Sesión  Capa 6. Presentación  Capa 7. Aplicación
  68. 68. Interpretación de resultados de la auditora
  69. 69. Interpretacion de los resultados en la auditoria  OBJETIVO:  Conocer la manera en que cada Auditor planifica y desarrolla su auditoría independiente en el sector comercio.
  70. 70. Interpretación de los resultados en la auditoria  Titulo:  Identificar con un nombre corto y referenciando al objetivo de la auditoria  Partes interesadas  El auditor dirigirá su informe al ejecutivo u órgano de la entidad del que recibió el encargo de la auditoría.  Objetivo:  Especificar en forma muy puntual los procesos o áreas involucradas en la auditoria.
  71. 71. Interpretación de los resultados en la auditoria  Alcance:  Especificar la trascendencia de la auditoria y las áreas involucradas en la misma.  Metodología:  Especificar los métodos o técnicas ocupadas para el desarrollo de la auditoria  Desarrollo:  Especificar el rumbo que tomo la auditoria y el periodo de los trabajos realizados
  72. 72. Interpretación de los resultados en la auditoria  Resultados:  Especificar cada uno de los descubrimientos encontrados en la auditoria  Observaciones:  Se especifica las observaciones relevantes de la auditoria por parte del auditor.  Recomendaciones:  Se especifica las recomendaciones del auditor.
  73. 73. Interpretación de los resultados en la auditoria  Conclusiones:  Especificar el cierre de la auditoria y el cumplimiento de los objetivos.  Periodo de cobertura:  Este periodo deberá contener la fecha de inicio y último día de trabajo en las oficinas de la entidad  Firmas:  Nombre y firma del representante del área auditada, así como nombre y firma del auditor
  74. 74. Interpretacion de los resultados en la auditoria
  75. 75. Presentación de conclusiones de la auditoria Conclusiones El informe de auditoria tiene que estar basado en una metodología, misma que debe estar soportada por mejores practicas administrativas y tecnológicas.  El informe de auditoria debe contener cuando menos los puntos observados en al presentación y el formato puede elaborarse de acuerdo a las necesidades del auditor, por lo que no existe un formato en especifico.  La información y observaciones vertidos en el informe deben contener un sustento y no pueden ser en ningún caso subjetivos.
  76. 76. Áreas de Oportunidad
  77. 77. Para una mejor comprensión de dicha herramienta estratégica, definiremos las siglas de la siguiente manera:  Fortaleza.- Son todos aquellos elementos positivos que me diferencian de la competencia  Debilidades.- Son los problemas presentes que una vez identificado y desarrollando una adecuada estrategia, pueden y deben eliminarse.  Oportunidades.- Son situaciones positivas que se generan en el medio y que están disponibles para todas las empresas, que se convertirán en oportunidades de mercado para la empresa cuando ésta las identifique y las aproveche en función de sus fortalezas.  Amenazas.- Son situaciones o hechos externos a la empresa o institución y que pueden llegar a ser negativos para la misma. El análisis de esta herramienta, consiste en evaluar las Fortalezas y Debilidades que están relacionadas con el ambiente interno (recursos humanos, técnicos, financieros, tecnológicos, etcétera) y Oportunidades y Amenazas que se refieren al entorno externo (Microambiente: Proveedores, competidores, los canales de distribución, los consumidores) (Microambiente: economía, ecología, demografía, etcétera) de la empresa.
  78. 78.  Ventajas de implementar ITIL Las empresas están llevando a cabo importantes cambios estructurales en los cuales es necesario promover una estrecha relación entre los objetivos de negocio y los de TI (Tecnologías de Información). Adoptar buenas prácticas puede ayudar a asegurar la alta calidad, seguridad y confiabilidad en nuestros servicios creando un efectivo sistema de gestión.  Prácticas de la industria.  Investigación académica.  Capacitación y educación.  Experiencia interna.  Estándares.
  79. 79. ITIL, como ejemplo de buenas prácticas, es utilizado por organizaciones de todo el mundo para establecer y mejorar las capacidades en la Gestión del Servicio. El marco de Prácticas de la Gestión del Servicio de ITIL tiene los siguientes componentes:  Base de ITIL. Guía de mejores prácticas aplicables a todos los tipos de organización que provea servicios al negocio.  Guía Complementaria de ITIL. Un conjunto de publicaciones complementarias con guía específica a sectores de la industria, tipos de organizaciones, modelos de operación y arquitectura de la tecnología.
  80. 80. Ventajas de ITIL para IT:  El Departamento de IT desarrolla un más clara estructura, se convierte en más eficiente y más focalizada en los objetivos corporativos.  El Management es más controlado, junto con los cambios que conlleva el mismo.  El nuevo mapa de Procesos provee un framework que permite decidir la tercerización de ciertos procesos en caso ser convenientes.  Siguiendo las Best Practices ITIL, se lidera un cambio cultura hacia la Provisión de Servicios basados en el Management de Calidad de ISO 9000.  ITIL provee un uniforme marco de referencia de comunicación interna y externa hacia proveedores, junto con la estandarización e identificación de procedimientos.  Problemas Potenciales de ITIL:  Cuando el Proceso de Cambio es manejado sólo con recursos internos, se corre el riesgo de no poder cambiar el “status quo”, porque implicaría marcar “errores” en vez de oportunidades de mejorar y “responsables”, en vez de Lideres del Cambio

×