1

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Auditoría de SistemasIngeniería de Sistemas y Seguridad Informática

Mg. Ing. Jack Daniel Cáceres Meza, PMPjack_caceres@hotmail.com

Sesiones 10 y 11

2

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.htmlhttp://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html

http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.dochttp://www.uned.es/413057/elena/practica.doc

http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.dochttp://www.impulsotecnologico.com/empresa-madrid/auditoria-informatica-checklist-informes-auditores-informaticos/

RecordemosSi se requiere, entre otros

Evaluación administrativa del área de procesos electrónicos.

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Evaluación del proceso de datos, de los sistemas y de los equipos de cómputo (entre otros, pero no limitados a: software, hardware, redes, bases de datos, comunicaciones).

Seguridad y confidencialidad de la información.

Considerar aspectos legales de los sistemas de la información

3

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Es necesario dimensionar

El tamaño del organismo a auditar

Las características del área a

auditar

Los sistemas, organización y equipo

Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.htmlhttp://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html

http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.dochttp://www.uned.es/413057/elena/practica.doc

http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc

Determinar el nivel de servicio requerido

Requerido para

Requerirá gestión

4

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Entonces se requiere un plan que contemple, como mínimo

Fuente: http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.dochttp://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm

http://s3.amazonaws.com/ppt-download/planeaciondelaauditoriainformatica-100218170948-phpapp01.pdf?response-content-disposition=attachment&Signature=H61Mb%2B%2BGYAEosV0ApKjrYoU4OWk%3D&Expires=1430003671&AWSAccessKeyId=AKIAIA7Q

TBOH2LDUZRTQ

Establecer objetivos, alcance, inclusiones, exclusiones, limitaciones, restricciones, presupuestosy cronograma (costos, responsables, H-H, hitos, calendario) del trabajo.

Obtener información de apoyo sobre las actividades que se auditarán –nivel de exposición.

Determinar los recursos necesarios para realizar la auditoría, incluidos personal, funciones,procedimientos, técnicas y herramientas (listas de verificación, encuestas, entre otros),sistema de evaluación.

Establecer el plan de gestión de comunicaciones.

Gestión de la calidad.

Seguimiento de acciones correctoras.

Realización del diagnóstico, análisis y evaluación de desviaciones.

Gestión de riesgos.

Realizar, en la forma más apropiada, una inspección física para familiarizarse con las actividadesy controles a auditar, así como identificación de las áreas en las que se deberá hacer énfasis alrealizar la auditoría y promover comentarios y la promoción de los auditados.

Preparar por escrito el programa de auditoría –el plan de gestión.

Obtener la aprobación del plan de trabajo de la auditoría –acta de constitución.

¡Un plan de gestión de proyecto!

¡6W-2H!

5

Mg, Ing. Jack Daniel Cáceres Meza, PMP

6

Mg, Ing. Jack Daniel Cáceres Meza, PMP

7

Mg, Ing. Jack Daniel Cáceres Meza, PMP

8

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Casos …

En un “Laboratorio de Medicamentos” se llevó a cabo la “Auditoría de la Documentación”, la cual es utilizada por el área de Sistemas para controlar el cumplimiento del desarrollo de los sistemas.

Se observa lo siguiente:

en las distintas etapas de desarrollo, la documentación está incompleta

ciertos datos de los documentos no se corresponden con la realidad, es decir que la documentación no fue actualizada

no se especifica quién llevó a cabo la documentación

no existe un lugar o acceso directo en el que cualquier persona autorizada pueda acceder a la documentación de un sistema determinado

no hay un formato determinado de documentación para cada etapa de desarrollo

9

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Casos …

En una “Empresa Automotriz” se llevó a cabo la “Auditoría de una BPR”, la cual es utilizada por el área de Sistemas y por la Alta Dirección para controlar el cumplimiento de este tipo de proyecto. La empresa cuenta con equipos mainframes, los cuales serán reemplazados por Servers que estarán distribuidos según las distintas áreas de la empresa. Se realizará un nuevo planteo de todas las aplicaciones existentes.

Se observa lo siguiente:

determinados procesos de negocio de la empresa no fueron cambiados en un 100%

el personal, en su totalidad, no estaba capacitado para llevar a cabo este cambio tecnológico

sería necesario re-definir los roles y responsabilidades de todas las personas que intervienen en el proyecto

10

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Casos …

En una “Empresa de Telefonía Celular” se llevó a cabo la “Auditoría de una Etapa de Implantación”, la cual es utilizada por el Director del proyecto para evaluar el desarrollo del mismo. Un equipo de 20 programadores se ocupa de llevar a cabo la prueba de los sistemas en desarrollo. Cada programador se ocupa, entre otras cosas, de probar aplicaciones y de emitir un informe en base a los resultados obtenidos de la prueba. En caso de encontrar fallas, el programador informará en qué sistema existen los inconvenientes. El Analista funcional decidirá quién resuelve las fallas encontradas. La aprobación final de una aplicación se registra en un documento.

Se observa que:

no todas las componentes cumplen las especificaciones funcionales llevadas a cabo

los resultados de las pruebas no son los correctos

no existe un documento de conformidad de los usuarios hacia el equipo de desarrollo respecto de lo realizado hasta el momento

la BD no cuenta con todos los objetos necesarios para la prueba de los sistemas

11

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Casos …

En una “Empresa siderúrgica” se llevó a cabo la “Auditoría de Calidad de Software”, la cual es utilizada por el equipo del proyecto para evaluar el software existente en la empresa. Un equipo de 12 profesionales de sistemas utiliza el modelo ISO 9126 para llevar a cabo la auditoría. Se evaluarán los siguientes aspectos:

1. Funcionalidad (aptitud, precisión, interoperatividad, conformidad y seguridad)

2. Fiabilidad (madurez, tolerante a fallos y recuperabilidad)

3. Usabilidad (comprensibilidad, facilidad de aprendizaje y operatividad)

4. Eficiencia (respecto al tiempo y respecto a los recursos)

5. Mantenibilidad (facilidad de análisis, facilidad de cambio, estabilidad y facilidad de prueba)

6. Portabilidad (adaptabilidad, facilidad de instalación, conformidad y reemplazabilidad)

Se auditará la aplicación correspondiente al “Proceso de Elaboración del Acero”

Mg. Ing. Jack Daniel Cáceres Meza, PMPjack_caceres@hotmail.com

Gracias por su atención

¿Preguntas?

Mg. Ing. Jack Daniel Cáceres Meza, PMPjack_caceres@hotmail.com