Exposición grupal

Universidad Tecnológica de Nezahualcóyotl“Tecnologías de la Información y la Comunicación” “Área Redes y Telecomunicaciones”

Auditoría en Sistemas de TI

Profesor: Islas Becerril Fidel

Exposiciones Grupales

Grupo: ITIC 911-v

Desarrollo de la AuditoríaInformática

Planeación de la

Auditoría Informática

Planeación de la Auditoría InformáticaDebe ser documentada e incluye:

1.-Establecimiento de objetivos y alcance del trabajo.

2.-Obtención de Información de apoyo.

3.- Determinación de recursos necesarios.

4.-Establecimiento de comunicación necesaria.

5.- Realización de una inspección física.

6.-Preparación por escrito del programa de Auditoría

7.-Determinación de cómo, cuando y a quien se le

comunicarán los resultados.

Objetivos

Seguridad y confidencialidad de la

información.

Evaluación administrativa del área de procesos

electrónicos.

Evaluación de los sistemas y procedimientos.

Evaluación de equipos de cómputo.

Proceso

El proceso comprende establecer:

Metas

Programas de trabajo de auditoría

Informes de actividades

Planes de contratación de personal y presupuesto financiero

Pasos

Pruebas sustantivas

Pruebas de controles del usuario

Pruebas de consentimiento

Examen y evaluación de la información

Revisión detallada

Revisión preliminar

Objetivo:Obtener la información necesaria.

Al concluir, el auditor puede seguir uno de los siguientes caminos:Diseño de la auditoría.Realizar una revisión detallada en los controles internos del sistema.Decidir en no confiar en los controles internos del sistema.

Revisión preliminar1

Objetivo: Obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de Informática.

Es importante para el auditor identificar las causas de las perdidas existentes.

Revisión detallada2

Se debe obtener la información de todos los asuntos relacionados con los objetivos y alcances de la auditoría.

La información debe ser suficiente, competente, relevante y útil.

Los procedimientos de auditoría deberán ser elegidos con anterioridad.

Examen y Evaluación de la Información3

Objetivo:Determinar si los controles internos operan como fueran diseñados para operar.

El auditor debe declarar si los controles declarados en realidad existen y si trabajan de manera confiable.

Pruebas de Consentimiento4

Pruebas de Controles de Usuarios5

Se puede realizar mediante cuestionarios, entrevistas, vistas y evaluaciones realizadas directamente con el

usuario.

Objetivo:Tener evidencia suficiente que permita al auditor emitir sus juicios en las conclusiones acerca de cuando pueden ocurrir perdidas materiales durante el proceso de la información.

Pruebas Sustantivas

Normas y Estándares Relacionados con

Proyectos TI

Introducción

Cada una de las normas y estándares dan a conocer ciertas reglas a seguir para poder desarrollar software de calidad.

Hoy en día la calidad es importante para satisfacer las necesidades de los clientes que pidan un sistemas de calidad.

Definiciones

Estándar

Conjunto de reglas que deben

cumplir los productos,

procedimientos o

investigaciones que

afirmen ser compatibles

con el mismo producto.

Norma

Son reglas de conductas que

imponen un determinado

modo de obrar o de

abstenerse.

Se enfocan más en procesos

por los que tienen que

pasar los productos.

Tabla comparativa

ESTANDAR Y NORMA

ORGANISMO QUE REGULA PARA QUE APLICA

ISO 9000 Organización Internacional de Normalización

Para establecer, documentar, controlar, medir y mejorar los

procesos y productos dentro de la organización.


Dedicado al desarrollo, suministro y mantenimientos del

Software.


Estándar para la Gestión de servicios de TI.

ESTANDAR Y NORMA



Establecen un modelo de calidad para el producto software y

define la evaluación de calidad.


Para establecer, implementar, monitorear, revisar, mantener y

mejorar un Sistema de Administración de Seguridad de

Información.

ISO 15504(SPICE)

Organización Internacional de Normalización

Norma abierta para evaluar y mejorar la capacidad y madurez

de los procesos.

ESTANDAR Y NORMA


SPICE Organización Internacional de Normalización

Para desarrollar un proyecto de trabajo, un estándar para la evaluación de procesos de

software.

CMMI(Capability

Maturity Model Integration)

Instituto de Ingeniería de Software (SEI)

Mejora de procesos de construcción de software y

proyectos de TI.

MOPROSOFT Organización Internacional de Normalización

Es una norma Mexicana basada en procesos para las industrias de

software, la cual sirve para estandarizar operaciones y

prácticas en Gestión de Ingeniería de Software.

ESTANDAR Y NORMA

ORGANISMO QUE REGULA

PARA QUE APLICA

PSP Organización Internacional de Normalización

Permite estimar cuando se tarda un individuo en realizar una aplicación

de Software.

TSP TSP Es un método de establecimiento y mejora del trabajo en equipo para

procesos de Software.

IEEE(Institute

of }Electrical and Electronics Enginners )

Instituto de Ingenieros Eléctricos y Electrónicos

Estándares para el desarrollo de proyecto y especificaciones ya que se generaliza la documentación.

Fases de la Auditoría Informática

Fases de la auditoria informática

Los servicios de auditoría constan de las siguientes fases:

Enumeración de redes, topologías y protocolos. Identificación de los sistemas operativos instalados. Análisis de servicios y aplicaciones Detección, comprobación y evaluación de

vulnerabilidades.Medidas específicas de corrección Recomendaciones sobre implantación de medidas

preventivas.

Elementos de la Planeación de la Auditoría

Informática

La planeación de la auditoría informática debe estar basada en tres pilares fundamentales:

Elaboración del plan (Planeamiento).Evaluación de la estructura actual.

Entrega de resultados

Elementos de la Planeación de la auditoria informática

Planeamiento

Entendimiento general de la entidad

Objetivo:Consiste en identificar las relaciones entre el Departamento de TI y su entorno (legal, regulatorio, cultura, procesos), entender la organización, sus objetivos, estrategias, capacidades y habilidades, así como identificar todos aquellos objetos (áreas, procesos, proyectos, etc.) del área de TI que están expuestos a riesgos.

Análisis de riesgos

Alcance:Desarrollar un análisis de riesgos que permita identificar que plataforma de tecnología y sistemas de información, son los más críticos para la operación de la Entidad, con el objeto de desarrollar el plan de trabajo, enfocado en dichos sistemas y plataformas.

Planeamiento

Plan inicial

Programa particular:En función de los resultados del análisis de riesgos realizado y la normativa de control de tecnología aplicable a la Entidad, elaboraremos un plan inicial de auditoría, describiendo el enfoque de evaluación para los controles generales del computador y ciclos de negocio (controles automáticos).

Evaluación de la estructura actual

Debe estar conformada por al menos las siguientes dos fases:Evaluación de los controles sobre la plataforma tecnológica:

•Estrategia y Planeación de la Información.•Planeación de la Continuidad del Negocio.•Operaciones de los Sistemas de Información.•Seguridad de la Información.•Implementación y Mantenimiento de los Sistemas de Aplicación.•Implementación y Soporte de la Base de Datos.•Red.•Hardware y Software de Sistemas.

Evaluación de la estructura actual Evaluación de los controles automáticos y manuales

en los procesos del negocioTesoreríaFacturaciónIngresosEgresosCobroNóminaActivo fijoContabilidad y cierre financieroInventariosCartera de crédito

Entrega de Resultados

El objetivo de esta fase es concluir el proyecto, presentando un resumen ejecutivo de todo le proceso de evaluación de controles para cada fase acorde al cronograma propuesto, detallando los beneficios recibidos por la entidad al realizar una auditoría informática.

Lista de Verificación


Éste es uno de los métodos de recopilación y evaluación de auditoría más sencillos debido a la simplicidad de su elaboración, la comodidad en su aplicación y por la facilidad para encontrar desviaciones.

Propósito de una lista de verificación

1.Suministrar guías para el auditor2.Asegurar que cada parte de la

auditoria esté completa3.Reforzar objetivos y alcance

Considerar:

1.Los procesos que están ocurriendo

2.Los documentos relevantes3.Los registros

4.Los requisitos de BMP HACCP Y SQF2000


Evaluación de la Seguridad

Evaluación de la Seguridad Informática

Los tipos son:

Evaluación de la seguridad física de los sistemas.

Evaluación de la seguridad lógica del sistema.

Evaluación de la seguridad del personal del área de sistemas.

Evaluación de la seguridad de la información y las bases de datos.

Evaluación de la seguridad en el acceso y uso del software.

Evaluación de la seguridad en la operación del hardware.

Evaluación de la seguridad en las telecomunicaciones

EVALUACIÓN DE LA SEGURIDAD FISICA DE LOS SISTEMAS. La seguridad de los sistemas de información envuelve la protección de la información, así como la de los sistemas computacionales usados para grabar, procesar y almacenar la información.

EVALUACIÓN DE LA SEGURIDAD LÓGICA DEL SISTEMA. La seguridad lógica, se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.


SEGURIDAD DEL PERSONAL DEL ÁREA DE SISTEMAS. La seguridad del personal puede ser enfocada desde dos puntos de vista, la

seguridad del personal al momento de trabajar con los sistemas informáticos, estos deben estar en óptimas condiciones para que no causen daño a las

personas, y la seguridad de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados


SEGURIDAD DE LA INFORMACIÓN Y LAS BASES DE DATOSLa protección de los datos puede tener varios enfoques respecto a las

características citadas: la confidencialidad, disponibilidad e integridad. Puede haber datos críticos en cuanto a su confidencialidad, como datos médicos u otros especialmente sensibles para la LIBERTAD y otros datos cuya criticidad viene dada por la disponibilidad



SEGURIDAD EN EL ACCESO Y USO DEL SOFTWARE.

• Errores de aplicaciones. • Errores de sistemas

operativos• Rutinas de acceso no

autorizados• Servicios no autorizados

SEGURIDAD EN LA OPERACIÓN DEL HARDWARE.

• Inapropiada operación. • Fallas en mantenimiento.• Inadecuada seguridad física. • Falta de protección contra

desastres naturales.

SEGURIDAD EN LAS TELECOMUNICACIONESEn las políticas de entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad


Áreas y fases que pueden cubrir la

auditoria de seguridad.

Modelos de seguridad

Un modelo de seguridad requiere del análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Modelos de seguridad

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y corrección siguiendo un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Áreas que pueden cubrir la auditoria de seguridad

Principales:

• Hardware• Software• Plan de contingencias y recuperación• Amenazas físicas externas• Control de acceso adecuado• Protección de datos• Comunicaciones y redes• Área de producción• Desarrollo de aplicaciones

Fases que pueden cubrir la auditoria de seguridad

Los servicios de auditoría constan de las siguientes fases:

• Enumeración de redes, topologías y protocolos. • Identificación de los sistemas operativos instalados. • Análisis de servicios y aplicaciones • Detección, comprobación y evaluación de vulnerabilidades.• Medidas específicas de corrección • Recomendaciones sobre implantación de medidas preventivas.

Seguridad Física y Lógica

La Seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como los edificios e instalaciones que los albergan.

La Seguridad Lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como el acceso de los usuarios autorizado hacia la información


Las principales amenazas que se prevén en Seguridad Física son: Desastres naturales, incendios accidentales, tormentas e inundaciones.

Amenazas ocasionadas por el hombre: Disturbios, sabotajes internos y externos deliberados.


PUNTOS A REVISAR EN EL ENTORNO FISICO:

En instalaciones importantes es frecuente que haya una persona o equipo responsable de la seguridad informática en general, función diferente de la auditoria informática. El auditor debe revisar los puntos siguientes:

Instalaciones Accesos Salidas de evacuación Documentación Control de impresos Personal Contratación de pólizas de seguro adecuadas


AUDITORIA DE SEGURIDAD FISICA

La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo”.

Los objetivos que se plantean serán: Restringir el acceso a los programas y archivos.

Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.

Asegurar que se estén utilizando los datos archivos y programas correctos en y por el procedimiento correcto.


Que la información transmitida sea recibida por el destinatario al cual asido enviada y no a otro.

Que la información recibida sea la misma que ha sido transmitida.

Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

Que se disponga de pasos alternativos de emergencia para la transmisión de información.



La seguridad lógica tiene dos dimensiones que son:

1.La autenticación o acreditación de usuarios: Necesidad acreditada, positiva, de acceso. Mínimo privilegio necesario.

2.El secreto de archivos y transmisiones:

Auditoria de penetración externa: se auditan los sistemas de forma que estén protegidos frente a ataques desde fuera de la organización. Auditoria de penetración interna: consiste en el mismo estudio de la penetración externa, pero haciendo la suposiciónque el ataque procederá desde el interior de la empresa, esdecir, por usuarios del sistema.

Informe de Auditoría en la Seguridad Física

Contenido:Acopio de datos Análisis de riesgos y amenazas Trabajo de campo: Análisis de instalaciones Análisis del personal Informe de la situación actual Propuesta de acciones a tomar, valoradas económicamente.

Objetivo:

Realizar un informe de Auditoría con el objeto de verificar la adecuación de las medidas aplicadas a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.

Alcance:Organización y cualificación del personal Planes y procedimientosSistemas técnicos de detección y comunicación Análisis de puestos Mantenimiento

Resultados: Se obtendrá: Informe de Auditoría detectando riesgos y deficiencias en el Sistema Seguridad Integrado.Plan de recomendaciones a aplicar en función de:

RiesgosNormativa a cumplir

Informe de Auditoría en la Seguridad Física

Edificio : Debe encargarse a peritos especializados

Las áreas en que el auditor chequea directamente :

Administración de la seguridadDirector o responsable de la seguridad integralResponsable de la seguridad informáticaAdministradores de redesAdministradores de Base de datos

Centro de proceso de datos e instalacionesEntorno en donde se encuentra el CPDSala de HostSala de impresorasOficinasAlmacenesInstalaciones eléctricasAire acondicionado

Áreas de Seguridad

Debieran estar accesibles:

Políticas , normas y planes de seguridadAuditorías anteriores, generales o parcialesContratos de seguros, de proveedores y de

mantenimientoActas e informes de técnicos y consultoresInformes de accesos y visitasInformes sobre pruebas de evacuaciónPolíticas del personal

Fuentes de la Auditoría Física

1. PUNTOS A REVISAR EN EL ENTORNO FISICO:

InstalacionesAccesos

Salidas de evacuaciónDocumentación

Control de impresosPersonal

Contratación de pólizas de seguro adecuadas

INSTALACIONES:

• Revisar la ubicación de los ordenadores

• La sala de la computadoras y sus instalaciones deben ser construidas con materiales adecuados y resistentes, el falso suelo y falso techo han de ser incombustibles y también deberían ser lo las puertas y paredes.

• En caso de incendio, deben haber detectores de humos, detectores de calor y mas importante extinguidores.

• Las cajas con contenido de tóner para las impresoras deben estar en un almacén o un área distinta.

Accesos: El auditor debe revisar las medidas de seguridad en los accesos de las siguientes formas.

Control Físico:Visitas, se debe controlar mediantes huellas digitales, tarjetas, contraseñas, firmas o

reconocimientos por voz.

Control Lógico:Perfil para cada usuario según a que pueda acceder de información.Terminales desconectadas después de un periodo de tiempo sin uso.

Salidas de evacuaciónSe debe tener un entrenamiento y planes adecuados, pruebas y simulacros periódicos.

Plan de Contingencia

Se debe analizas los riesgos del sistema, de las aplicaciones, estableciendo los objetivos de nuestra seguridad, determinando las prioridades del proceso, y además, asignar las capacidades de comunicaciones y servicios.Evaluar y controlar permanentemente la seguridad física del edificio es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.

Un plan de contingencia debe ser:

Exhaustivo

De fácil lectura.

Ágil a la hora de su actualización

Operativo

Respaldo de Información

Respaldar la información significa copiar el contenido lógico de nuestro sistema informático a un medio que cumpla con una serie de exigencias como:Ser confiable: Minimizar las probabilidades de error.

Estar fuera de línea, en un lugar seguro: Tan pronto se realiza el respaldo de información, el soporte que almacena este respaldo debe ser desconectado de la computadora y almacenado en un lugar seguro.

La forma de recuperación sea rápida y eficiente: Es necesario probar la confiabilidad del sistema de respaldo no sólo para respaldar sino que también para recuperar.

Los proveedores que posea una empresa determinarán en gran medida el éxito de ésta. El contar con buenos proveedores no sólo significa contar con insumos de calidad y, por tanto, poder ofrecer productos de calidad, sino también la posibilidad de tener bajos costos, o la seguridad de contar siempre con los mismos productos cada vez que se requieran.

Selección de Proveedores

Procura los costos y precios sean razonables, que acorde a la calidad del producto o servicio que ofrecen y a los precios promedio del mercado.

Selección de ProveedoresPrecio

Calidad De nada sirve tener un proveedor con bajos

precios, si la calidad de sus productos o servicios es mala. La calidad es otro de los principales criterios a tomar en cuenta al momento de evaluar un proveedor. Siempre que nos sea posible debemos procurar proveedores que ofrezcan insumos, productos o servicios de muy buena calidad.

Selección de ProveedoresCriterio de selección de Proveedores son:

Selección de ProveedoresPrecio

Uno de los principales criterios que se debe tomar en cuenta al momento de evaluar un proveedor, son sus precios. Siempre debemos procurar proveedores con precios razonables, que sean acordes a la calidad del producto o servicio que ofrecen, y a los precios promedio del mercado.

Al evaluar el precio del producto, debemos tener en cuenta también los gastos que podrían adicionarse a éste, tales como los gastos de transporte, seguros, embalaje, etc. Asimismo, al momento de evaluar el factor precio, debemos considerar los posibles descuentos que el proveedor nos pueda otorgar, tales como descuentos por volumen de compra, descuentos por pronto pago, etc.

Selección de ProveedoresCalidad

De nada sirve tener un proveedor con bajos precios, si la calidad de sus productos o servicios es mala.

La calidad es otro de los principales criterios a tomar en cuenta al momento de evaluar un proveedor.

Siempre que nos sea posible debemos procurar proveedores que ofrezcan insumos, productos o servicios de muy buena calidad o, en todo caso, que la calidad de éstos sea acorde con los precios que tienen.

Al evaluar la calidad del producto, debemos tomar en cuenta los materiales o componentes del producto, sus características, sus atributos, su durabilidad, etc.

Selección de ProveedoresPago

En el criterio del pago evaluamos las formas de pago que ofrece el proveedor, por ejemplo, si ofrece la posibilidad de hacer pagos vía transferencia bancaria, o vía Internet.

Y también evaluamos las condiciones o el plazo del pago, por ejemplo, si nos piden pagar al contado, o nos dan la posibilidad de pagar a 30 días, pagar un 50% a 60 días, etc.

Siempre debemos buscar las mejores condiciones de pago, es decir, que el financiamiento o plazo del crédito otorgado sea el mayor posible, sin que ello implique recargo alguno.

Selección de ProveedoresEntrega

En el criterio de entrega también evaluamos la oportunidad de entrega, si son capaces de asegurarnos que cumplirán siempre con nuestros pedidos, que nos los entregarán oportunamente cada vez que lo requiramos, que siempre contarán con el mismo producto, que nos podrán abastecer durante todo el año, etc.

Selección de ProveedoresOtros Factores

Experiencia: A mayor experiencia de la empresa proveedora, probablemente mayor eficiencia y seguridad en su abastecimiento.

Reputación: Si los testimonios de sus clientes son favorables. Localización: Mientras más cerca esté ubicado el proveedor mejor, sobre todo

si somos nosotros los que constantemente tenemos que acudir donde éste. Servicio al cliente: Si, por ejemplo, son capaces de brindarnos rápidamente

toda la información que requiramos.

Selección de ProveedoresOtros Factores

Convenios publicitarios: Brindan la posibilidad de otorgarnos productos gratis a cambio de publicidad.

Situación económica: Si su situación económica es estable ello podría significar productos de calidad y un abastecimiento seguro; si tuviera dificultades financieras

Tamaño: Si es un proveedor pequeño, probablemente su atención sea más directa (por ejemplo, la posibilidad de que resuelvan mejor cualquier inconveniente que tengamos)

Fabricante o mayorista: La principal ventaja de los fabricantes con respecto a los mayoristas son sus bajos precios, pero su principal desventaja es que probablemente no puedan ofrecer la variedad de productos que sí podría ofrecernos un mayorista, sobre todo, al hacer pedidos pequeños.

Selección de ProveedoresServicio Post Venta

También evaluamos la capacitación que nos pueda brindar en el uso de sus productos, la asistencia técnica, el servicio de mantenimiento, su política de devoluciones, la posibilidad de canjear productos de baja rotación, etc.

Licenciamiento de software: Es un conjunto de permisos que un desarrollador le puede otorgar a un usuario en los que tiene la posibilidad de distribuir, usar y/o modificar el producto bajo una licencia determinada.

Licenciamiento de Software

Tipos de Licenciamiento


Software con copyleft Software semi-libre Freeware Shareware Software comercial Código abierto Gnu

Software Con Copyleft


Es un software libre cuyos términos de distribución no permiten a los redistribuidores agregar ninguna restricción adicional cuando redistribuyen o modifican. Freewara Se usa comúnmente para programas que permiten

la redistribución pero no la modificación (y su código fuente no está disponible).

Shareware


Es el software con autorización de redistribuir copias, pero debe pagarse cargo por licencia de uso continuado.

Software Comercial Es el software que es desarrollado por una empresa con el

propósito de ganar dinero a cambio del uso de este.

Código Abierto


Código abierto es el término con el que se conoce al software distribuido y desarrollado libre mente. El código abierto tiene un punto de vista más orientado a los beneficios prácticos de compartir el código que las cuestiones éticas y morales las cuales destacan en el llamado software libre (se puede modificar por el usuario).

GNU


Es una licenciatura que se crea para que sea abierta libremente para todo el público, sin tener ningún termino y /o valor.

Diferencias Software Libre VS Software Propietario


Objetivo:

Evaluación de Hardware y Software

Comprobar que existan los contratos de seguro necesarios para el hardware y software de la empresa (elementos requeridos para el funcionamiento continuo de las aplicaciones básicas).

Alerta:


Esta información debe de verificarse con los responsables de la seguridad en informática, con los responsables del centro de computo, de comunicaciones y usuarios que el auditor considere pertinentes.

¿Qué se evalúa?


Distribución del hardware (ubicación física)

Registro del hardware instalado, dado de baja, proceso de adquisición, etc.

Uso del mismo: desarrollo, operación, mantenimiento, monitoreo y toma de decisiones.

Acceso al hardware (llaves de seguridad).

Bitácoras de uso (quién, cuando, para qué, entre otros puntos).

Hardware:


Si la empresa tiene aspectos predefinidos para la evaluación del hardware, se tomarán en cuenta esos lineamientos.

¿Dónde están?:


El No-Break El aire acondicionado Equipos de contra incendio

Importante:


Se tome en cuenta si el edificio no es vulnerable o bien, esta preparado para cualquier tipo de desastre, inundación, huracán, temblor etc…

Evaluación:


Conocer las salidas de emergencia del lugar.

Software:


Como en el hardware, si la empresa tiene aspectos predefinidos para la evaluación de este se tomarán en cuenta esos lineamientos.

¿Qué se evalúa?:


Sistemas operativos en equipos cliente, servidores, paquetería de software, aplicaciones, bases de datos, etc.

¿Qué se evalúa?:


Todo el software instalado cuente con licencias.

¿Qué se evalúa?:


Que la información que sale de la empresa, sea:

Revisado (contenido, cantidad, destino).

Aprobado por el responsable del área.

El personal este comprometido formalmente a no hacer mal uso del mismo (dañarlo, modificarlo, distribuirlo).

¿Qué se evalúa?:


Que es software que ingrese a la empresa, sea:

Revisado (contenido, cantidad y destino).

Aprobado por el responsable del área.

Devuelto en las mismas condiciones que tenia en la salida.

¿Qué se evalúa?:


Si hay algunas aplicaciones en proceso: Procedimientos de llenado de

documentos fuente (documento en orden).

Plan de contingencia. Niveles de seguridad en el sistema en

proceso. Control de papelería.

SAM: Software Asset Management, (Gestión de Activos de Software).

Evaluación Software

Mejor práctica, al incorporar un conjunto de procesos probados y procedimientos para la gestión y optimización de los activos de TI de su organización. La implementación de SAM protege sus inversiones en software y le ayuda a reconocer lo que tiene, donde se está ejecutando, y si su organización utiliza sus activos de manera eficiente.

SAM ayuda a


Controlar: Los costos y riesgos de negocio para una mejor y más sólida posición financiera.

Optimizar: Las inversiones existentes, para que así pueda hacer más con lo que ya tiene.

Crecer: Junto con las necesidades de expansión en tamaño y madurez de su empresa a través de una mayor flexibilidad y agilidad.

Implementando SAM


Hacer un inventario, averiguando lo que se tiene.

Organizar todas las licencias de software y documentación.

Crear políticas y procedimientos, estableciendo normas y directrices para todas las fases del ciclo de vida del software.

Mantener el plan de SAM, a través de controles del terreno, inventarios y la formación de los empleados.

Beneficios del SAM


SAM elimina residuos, superposiciones y compras duplicadas en toda la organización. Al optimizar sus activos de software y optimizar sus procesos internos, SAM puede ayudarle a ahorrar tiempo y dinero, mejorar el flujo de trabajo y aumentar su competitividad, a medida que su empresa crece en tamaño y grado de madurez.

Algunos de los beneficios de SAM son fáciles de ver, como el mejor control de los puntos de precio de software y mejor mantenimiento de registros. Otros beneficios a largo plazo pueden no ser inmediatamente evidentes, pero se manifestarán con el tiempo.

Beneficios del SAM


¿Cómo puede SAM beneficiar se departamento?


Interpretación de la información

Objetivos:CONOCER LAS TECNICAS PARA LA INTERPRETACIÓN DE LA INFORMACIÓN DEL SISTEMA

COMPRENDER COMO SE EVALUA EL GRADO DE MADUREZ DEL SISTEMADEFINIR LOS DIFERENTES TIPOS DE EVALUCIÓN DE LOS SISTEMAS

CONOCER COMO REALIZAAR LA PRESENTACIÓN DE LAS CONCLUSIONES DE LA AUDITORIA

CONCEPTOS BÁSICOS

Evidencia• Es la base de juicio del auditor. • Son las pruebas que obtiene el auditor

durante la ejecución de la auditoría, que hace patente y manifiesta la certeza o convicción sobre los hechos o hallazgos que prueban y demuestran claramente éstos, con el objetivo de fundamentar y respaldar sus opiniones y conclusiones

Evidencia

• La fiabilidad de la evidencia está en relación con la fuente de la que se obtenga interna y externa, y con su naturaleza, es decir, visual, documental y oral.

• No obstante, aunque la fiabilidad depende de las circunstancias en las que se obtiene, se pueden utilizar los siguientes puntos al evaluarla:

1) La evidencia externa es más fiable que la interna.

2) La evidencia interna es más fiable cuando los controles internos relacionados con ellos son satisfactorios.

3) La evidencia obtenida por el propio auditor es más fiable que la obtenida por la empresa.

4) La evidencia en forma de documentos y manifestaciones escritas es más fiable que la procedente de declaraciones orales.

5) El auditor puede ver aumentada su seguridad como la evidencia obtenida de diferentes fuentes sea coincidente.

Irregularidades

• Cambio o desviación respecto de lo que es normal, regular, natural.

• Falta o delito en la administración pública o privada.

• Se considera que los errores se producen sin intención, mientras que las irregularidades se producen intencionalmente.

• Puesto que es más difícil prevenir o detectar las irregularidades que los errores.Las irregularidades en los estados financieros pueden ser el resultado de una mal interpretación u omisión deliberadas de los efectos de hechos u operaciones u otra cambios intencionados en los registros contables básicos.

Papeles de trabajoSu uso es confidencial y exclusivamente del

auditor.

Los papeles de trabajo pueden ser: manuscritos, manuales, instructivos, gráficas, resultados de procedimientos, concentrados de bases de datos en disquets, respaldos (backups) o cualquier otro medio escrito o electromagnético, en los cuales recopilará los hechos, pruebas, interpretaciones así como análisis de los datos obtenidos..

Indice de contenido

Situaciones Auditadas

Situaciones relevantes

Borrador Dictamen

Inventario de Software

Guía de Auditoría

Programa de trabajo

Manual Organización

Inventario Consumibles

Inventario Hardware

Pruebas del sistemaDatos y software

Reporte de puebas yResultados reales

Descripción de Puestos

Cuestionarios Y Entrevistas

Guía de marcas y señales

Backup del SistemaY reportes

Anexos, cuadrosEstadísticas, etc.

Procedimientos, técnicas, métodos Y aplicaciones

Concentrado, tabulaciones y resultados

Aplicables de acuerdo al tipoDe auditoria a realizar y necesidades de evaluación y del sistema

Organigrama, funciones, jerarquíasY autoridades

Eventos, actividades, recursos y tiempo

Situaciones, causas y soluciones

Resumen de desviaciones

Hoja de Identificación

Hoja de Identificación

Legado de papeles de trabajo de la Auditoría al Centro de cómputo de Empresas S. A.

Auditoría 1 al 31 de Enero del 2001

Auditor responsable Carlos Muñoz Razo

Fecha del dictamen

Interpretación de los resultados

• Titulo:• Identificar con un nombre corto y referenciando al objetivo de la auditoria.

• Partes interesadas:• El auditor dirigirá su informe al ejecutivo u órgano de la entidad del que recibió el encargo de la

auditoria.• Objetivo:

• Especificar en forma muy puntual los procesos o áreas involucradas en la auditoria.

• Alcance:• Especificar la trascendencia de la auditoria y las áreas involucradas en la misma.

• Metodología:• Especificar los métodos o técnicas ocupadas para el desarrollo de la auditoria.

Interpretación de resultados

Interpretación de resultados

• Desarrollo:• Especificar el rumbo que tomo la auditoria y el periodo de los trabajos realizados.

• Resultados:• Especificar cada uno de los descubrimientos encontrados en la auditoria

• Observaciones:• Se especifica las observaciones relevantes de la auditoria por parte del auditor.

• Recomendaciones:• Se especifica las recomendaciones del auditor.

• Conclusiones:• Especificar el cierre dela auditoria y el cumplimientos de los objetivos .

• Periodo de cobertura:• Este periodo deberá contener la fecha de inicio y ultimo día de trabajo en las oficinas de la entidad.

• Firmas:• Nombre y firma del representante del área auditada, así como nombre y firma del auditor.

Tipos de opinión de auditoriaLos tipos de opinión de un informe de auditoría pueden ser: a) Favorable b) Con salvedades c) Desfavorable d) Denegada

Tipos de opinión de auditoriaOpinión Favorable

El auditor manifiesta de forma clara y precisa que el área auditada consideradas expresa en todos los aspectos significativos la imagen fiel del patrimonio de los resultados de sus operaciones y de los recursos obtenidos y aplicados durante el ejercicio y contienen la información necesaria y suficiente para su interpretación y comprensión adecuada, de conformidad con principios y normas contables generalmente aceptados que guardan uniformidad con los aplicados en el ejercicio anterior.

Se da cuando:

• El auditor haya realizado su trabajo sin limitaciones y sin incertidumbres• La información necesaria y suficiente en la memoria para su interpretación y comprensión adecuada

Tipos de opinión de auditoriaOpinión con salvedades

Se emite cuando el auditor se encuentra ante una serie de circunstancias que pueden tener cierta importancia ante el resultado del área auditada, como lo son:

• Limitación al alcance del trabajo realizado• Errores o incumplimiento de los principios y normas• Incertidumbres• Cambios durante el ejercicio.

Tipos de opinión de auditoriaOpinión Desfavorable

Supone manifestarse en el sentido de que el área auditada tomada en su conjunto no presentan la imagen fiel del patrimonio.

Se puede dar por las siguientes razones:

• Identificar errores• Incumplimientos de principios y normas• Defectos de presentación de la información

Tipos de opinión de auditoriaOpinión Denegada

Cuando el auditor no ha obtenido la evidencia necesaria para formarse una opinión sobre el área auditada tomada en su conjunto, debe manifestar en su informe que no le es posible expresar una opinión sobre las mismas.

La necesidad de denegar una opinión pude originarse exclusivamente por: • Limitaciones al alcance de la auditoría• Incertidumbres

En ambos casos, ha de tratarse de circunstancias de importancia y magnitud muy significativas que impidan al auditor formarse una opinión.

Informe.

Es el documento más importante de la auditoría en el cuál se presenta los resultados obtenidos durante la evaluación.

Es el documento que refleja los objetivos, alcances, observaciones,

recomendaciones y conclusiones del proceso de evaluación.

¿Cómo debe de ser el informe de auditoria?

Representa el momento adecuado de separar lo significativo de lo no significativo.

ClaroAdecuadoSuficienteComprensibleEl formato del Informe debe reflejar una presentación lógica y organizada. El informe debe incluir suficiente información para que sea comprendido por los destinatarios esperados y facilitar las acciones correctivas.

Los requisitos de un Informe de Auditoría son:

1- Ser veráz2- Estar documentado formalmente3- Mostrar las observaciones (debilidades) encontradas.4- Tener recomendaciones y soluciones para cada observación.5- Reflejar las áreas de oportunidad y cursos de acción.

Procedimientos para elaborar un informe.

1. Aplicar instrumentos de recopilación.2. Registrar en el formato de situaciones encontradas las desviaciones halladas durante la revisión.3. Comentar las situaciones encontradas con los auditados.

4. Encontrar, conjuntamente con los auditados, las causas de las desviaciones y sus posibles soluciones.

5. Analizar, depurar y corregir las desviaciones encontradas.6. Jerarquizar las desviaciones encontradas y concentrar las más

importantes en el formato de situaciones relevantes.7. Comentar las situaciones relevantes con los directivos del área

de sistemas y confirmar las causas y soluciones.8. Concentrar, depurar y elaborar el informe final de auditoría,

así como el dictamen del auditor.9. Presentar el informe y dictamen final a los directivos de la empresa.

MODELO DE UN INFORME DE AUDITORÍA• 1) Fecha del Informe:

2) NOMBRE DE LA ENTIDAD: Auditoría de: ........3)Objetivo: ........... 4)Lugar de la Auditoría:...........5)Grupo de Trabajo de Auditoría: .......................................6)Fecha de Inicio de la Auditoría:........................................7)Tiempo estimado del proceso de revisión X hs............... 8)Fecha de Finalización de la Auditoría: ...........................9)Herramientas utilizadas:.................................................10)Alcance:............................................................................11)Procedimientos a aplicar:.............................................12)Informe de debilidades detectadas:

• CONCLUSIONES:_______________

Ejemplo informe de auditoría INFORME DE AUDITORIA

1. Identificación del informe: Auditoria de la Ofimática.

2. Identificación del Cliente: El área de Informática.

3. Identificación de la Entidad Auditada: Municipalidad Provincial Mariscal Nieto.

4. Objetivos.

• VerificarSi la selección de equipos y sistemas de computación es adecuada.

• VerificarLa existencia de un plan de actividades previo a la instalación.

• VerificarSi existen garantías para proteger la integridad de los recursos Informáticos.

5. Hallazgos Potenciales• Falta de licencias de software.• Falta de software de aplicaciones actualizados.• Falta material ofimática. 6. Alcance de la auditoria: Nuestra auditoria, comprende el presente periodo 2004 yse ha realizado especialmente al Departamento de centro de cómputo de acuerdoa las normas y demás disposiciones aplicable al efecto.7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemoscumplido con evaluar cada uno de los objetivos contenidos en el programa deauditoría.La escasez de personal debidamente capacitado

8. Recomendacioneso Se recomienda contar con sellos y firmas digitales.o Reactualización de datos.o Implantación de equipos de última generación.

AUDITORIA DE SISTEMAS Elaborar un calendario de mantenimiento de rutina periódico. Capacitar al personal.

9. Fecha Del Informe

PLANEAMIENTO EJECUCIÓN INFORME

FECHAS 01–10–04 AL 28–11-04

10. Identificación Y Firma Del Auditor

APELLIDOS Y NOMBRES CARGO

QUIÑONES MAYRA CARMEN AUDITOR SUPERIOR.

CONCLUSIONES DE LA AUDITORIA INFORMÁTICA

• Las auditorias informáticas se conforman obteniendo información y documentación de todo tipo.

• Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes medios.

• El trabajo del auditor consiste en lograr obtener toda la información necesaria para emitir un juicio global objetivo, siempre amparando las evidencias comprobatorias.

• El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrónico.

• También debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar.

• Toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia.

• Hoy en día, la mayoría de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente..

• El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante.

Por su atención gracias…!!

Exposición grupal

Engineering

Transcript of Exposición grupal