UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA

CURSO: AUDITORIA Y CONTROL DE TECNOLOGIA DE INFORMATICA

(SESION 10)

Profesor: Mg. Mario Huapaya Chumpitaz

INDICE

UNIDAD II: Auditoria de Informática

1. Conceptos de Auditoria y Infraestructura Tecnológica 2. ITIL un Conjunto de Buenas Practicas3. COBIT como Mejores Practicas4. Auditoria de Infraestructura Tecnológica5. Caso practico

¿Qué es Auditoria de Sistemas?Se encarga de llevar a cabo la evaluaciónde normas, controles, técnicas yprocedimientos que se tienenestablecidos en una empresa, para lograrconfiabilidad, oportunidad, seguridad yconfidencialidad de la información quese procesa a través de los sistemas deinformación. La auditoría de sistemas esuna rama especializada de la auditoríaque promueve y aplica conceptos deauditoría en el área de sistemas deinformación.

1. Concepto de Auditoria e Infraestructura Tecnologica

Arquitectura de servicios tecnológicos Arquitectura de seguridad Mapas o diagramas de red y comunicaciones. Vista de despliegue de la infraestructura tecnológica

(servidores, centros de cómputo, redes, entre otros) Planes de Gestión de la continuidad Tecnología e Infraestructura que permiten la disponibilidad de

servicios de TI. Acuerdos de nivel del Servicio Matriz de sistemas de información vs servicios tecnológicos. Documentos de Gestión de seguridad informática Monitoreo de la calidad del servicio Mesa de servicio Proceso de mantenimiento.

1. Concepto de Auditoria e Infraestructura Tecnologica

La gestión de la tecnología de la información se lleva a cabomediante la adopción de buenas prácticas, ampliamenteusadas, que proceden de diversas fuentes como son losestándares ISO 9000, 27001, COBIT, ITIL, entre otros.

1. Concepto de Auditoria e Infraestructura Tecnologica

Enfoque a la Infraestructura TecnológicaSe debe conocer, comprender y analizar de manera global lagestión en tecnología de la información, su infraestructura oplataforma tecnológica y los sistemas de información aplicados ala organización, tales como: Granja de servidores y sus características Seguridad perimetral Estructura de redes Sistemas operativos Software y hardware de seguridad Inventario de hardware y software (con el propósito de

establecer el nivel de obsolescencia o actualización) Adquisiciones (Inversiones) en recursos de tecnología de la

información

1. Concepto de Auditoria e Infraestructura Tecnologica

¿Qué es infraestructura?Es la tecnología y las instalaciones (hardware, sistemasoperativos, sistemas de administración de base de datos,redes, multimedia, etc., así como el sitio donde seencuentran y el ambiente que los soporta) que permiten elprocesamiento de las aplicaciones.

1. Concepto de Auditoria e Infraestructura Tecnologica

¿Qué es un servidor?Es una computadora, la cual presta servicios de conexión otrasferencia de información, éste es útil dentro de variosrubros de la comunicación o niveles de la información, ya queayudan a mantener en servicio páginas Web las 24 horas los 7días de la semana.

1. Concepto de Auditoria e Infraestructura Tecnologica

2. ITIL un Conjunto de Buenas Practicas

Con foco en el servicio a través de los procesos

2. ITIL un Conjunto de Buenas Practicas

La nueva visión de TI como Proveedor de Servicios

2. ITIL un Conjunto de Buenas Practicas

Cambio en la visión de TI

2. ITIL un Conjunto de Buenas Practicas

¿Qué es ITIL?

2. ITIL un Conjunto de Buenas Practicas

Information Technology Infrastructure Library Biblioteca sobre:

Provisión de Servicios basados en IT Administración de la Infraestructura de IT

Generados por la OGC (UK Office of GovernmentCommerce), recolectando la experiencia de los referentes de mercado.

Mejores Prácticas (no metodología). Lineamientos (no recetas). Debe ser adaptado a cada caso:

¿Qué procesos son críticos en mi caso? ¿Cómo implemento en concreto cada proceso?

(procedimientos, definición de responsabilidades y autoridades, herramientas)

¿Qué NO es ITIL?

2. ITIL un Conjunto de Buenas Practicas

Una herramienta de Software. La solución que un proveedor quiere imponer. Un conjunto de procedimientos a cumplir/seguir. El reemplazo de todo lo que ya hacemos bien. Lo único necesario para brindar un mejor servicio. Independiente de la cultura organizacional. La solución a todos nuestros males.

ITIL V3

2. ITIL un Conjunto de Buenas Practicas

Cadena de Valor de TI y sus Procesos

2. ITIL un Conjunto de Buenas Practicas

Cadena de Valor de TI e ITIL como Modelo de Referencia

2. ITIL un Conjunto de Buenas Practicas

COBIT (Control Objectives for Information and related Technology)es una guía de mejores prácticas presentado como marco detrabajo, dirigida al control y supervisión de los objetivos de lastecnologías de la información (TI). Es mantenido por ISACA y el ITGI ( IT Governance Institute), contiene recursos que pueden servirde modelo de referencia para la gestión de TI, incluyendo unresumen ejecutivo, un framework, objetivos de control, mapas deauditoría, herramientas para su implementación y principalmente,una guía de técnicas de gestión.

3. COBIT como mejores practicas

La creación de valor es un objetivo del Gobierno de las TI

3. COBIT como mejores practicas

Principios de COBIT 5

3. COBIT como mejores practicas

Cascada de metasde COBIT 5

3. COBIT como mejores practicas

Metas Corporativas de Cobit5

3. COBIT como mejores practicas

Metas relacionadas con TI

3. COBIT como mejores practicas

Enfoque de GobiernoEl enfoque de gobierno extremo-a-extremo que es la base de COBIT 5 está representado en la figura, mostrando los componentes clave de un sistema de gobierno

3. COBIT como mejores practicas

Los catalizadores son factores que, individual y colectivamente, influyensobre si algo funcionará – en este caso, el gobierno y la gestión de laempresa TI

3. COBIT como mejores practicas

La figura muestra el conjunto completo de los 37 procesos de gobierno ygestión de COBIT 5.

3. COBIT como mejores practicas

Existen algunas metodologías de Auditorías de Sistemas y todasdependen de lo que se pretenda revisar o analizar, pero comoestándar analizaremos las cuatro fases básicas de un proceso derevisión: Estudio preliminar Revisión y evaluación de controles y seguridades Examen detallado del área de Infraestructura Tecnológica Comunicación de resultados

4. Auditoria de Infraestructura Tecnológica

Metodología de Auditoria Informática

Es muy importante que el auditor, conozca el entorno de laentidad y del Área de Tecnología de la Información, procesossistematizados, organización del área de tecnología deinformación y comunicaciones, planes estratégicos de TIC,planes operativos, planes de contingencia y/o continuidaddel negocio relacionado con la tecnología de la información,planes de mantenimiento preventivo y correctivo de laplataforma tecnológica con la que cuenta la entidad,

4. Auditoria de Infraestructura Tecnológica

Conocimiento de la empresa y el área de TIC

Organización de área TIC.El auditor debe de conocer, comprender y analizar la arquitecturaorganizacional de la Entidad de manera general, así como larelación que mantiene con otras organizaciones y delconocimiento de la función del área de Tecnología de Informacióny Comunicaciones principalmente en aspectos como: ArquitecturaOrganizacional, Ideas Rectoras, Objetivos y metas operativas,Instrumentos Administrativos, Organización y función, Procesos,Productos y/o Servicios, Insumos y el entorno de la función deTecnología de Información y Comunicaciones (clientes)

Conocimiento de la empresa y el área de TIC

4. Auditoria de Infraestructura Tecnológica

Infraestructura Tecnológica de la entidad auditada.El auditor debe conocer, comprender y analizar de forma general laGestión en Tecnología de la Información, la infraestructura oplataforma tecnológica y los sistemas de información aplicados a laentidad, tales como: Granja de Servidores y sus características Seguridad Perimetral Estructura de redes Sistemas Operativos Software y hardware de seguridad El inventario de Hardware y Software con el propósito de establecer

el nivel de obsolescencia o actualización. Servicios tercerizados contratados por la entidad y vinculados on la

tecnología de la información y comunicaciones. Adquisiciones (Inversiones) en recursos de Tecnología de la

información. Infraestructura eléctrica, entre otras.

Conocimiento de la empresa y el área de TIC

4. Auditoria de Infraestructura Tecnológica

Plan Estratégico de Tecnología de la Información yComunicacionesLos temas mínimos que debe tener el PETIC: Objetivos estratégicos institucionales Misión Visión Acciones estratégicas Procesos que serán automatizados Usuarios que intervienen en el proceso Recursos humanos, materiales, financieros y técnicos Cronograma de implementación de proyectos

Conocimiento de la empresa y el área de TIC

4. Auditoria de Infraestructura Tecnológica

Plan Operativo InformáticoLos temas mínimos que debe tener el POI: Objetivo general Objetivos específicos Líneas estratégicas y acciones a corto plazo Responsables de los proyectos a desarrollar. Recursos humanos, materiales, financieros y técnicos Cronogramas de actividades a desarrollar en el periodo.

Conocimiento de la empresa y el área de TIC

4. Auditoria de Infraestructura Tecnológica

Planes de ContinuidadEs un conjunto de tareas que el área de TIC debe realizar en casode fallas en los sistemas impidan el normal funcionamiento de losservicios TIC, el fin es recuperar a la brevedad las operaciones dela organización.

El auditor debe conocer y analizar el plan de contingenciaimplementado por la entidad para poder auditarlo, con elpropósito de determinar el grado de efectividad y eficiencia parabrindar continuidad en los servicios de TIC y minimizar laprobabilidad y el impacto de interrupciones en los servicios,funciones y procesos claves del negocio.

Conocimiento de la empresa y el área de TIC

4. Auditoria de Infraestructura Tecnológica

Planes de MantenimientoEl auditor debe comprender y analizar los planes demantenimiento de la Infraestructura o plataforma Tecnología(hardware y software) implementado por el área de TIC, con elobjetivo de verificar que la plataforma tecnológica garantice unfuncionamiento continuo, disponibilidad y oportunidad de lainformación.

Conocimiento de la empresa y el área de TIC

4. Auditoria de Infraestructura Tecnológica

Presupuesto TecnológicoEl auditor debe revisar que las inversiones en recursostecnológicos hechas por las entidades del sector público, hancontribuido a maximizar el desempeño de la organización y siéstas fueron administradas adecuadamente.

El área de Tecnología de Información y Comunicaciones debeconcentrar un presupuesto tecnológico institucional queconsidere todas las necesidades de (hardware y software), para loque, el auditor debe verificar que toda contratación se incluya yse autorice en el plan anual de compras.

Conocimiento de la empresa y el área de TIC

4. Auditoria de Infraestructura Tecnológica

El auditor debe obtener de la entidad auditada los informes ypapeles de trabajo de auditoría de tecnologías de información ycomunicaciones emitidos por la Unidad de Auditoría Interna y lasFirmas Externas de Auditoría, con el objetivo de analizar y evaluarlos hallazgos con los respectivos atributos, su impacto,importancia relativa y la evidencia de soporte, y así determinar loshallazgos que serán incorporados en el informe de auditoría.

El proceso de análisis y evaluación deberá plasmarse en papeles de trabajo que elaborará el auditor informático.

Incorporación de Hallazgos de Auditoría Internas y externas

4. Auditoria de Infraestructura Tecnológica

5. Caso Practico

Caso: Auditoría Informática de Infraestructura Tecnológica; lainformación debe ser de una empresa u organización que ustedesconozcan o en todo caso tomar la infraestructura de la FISI-UNMSM

Definir lo siguiente:

1. Objetivo2. Alcance3. Metodología4. Equipo de trabajo.5. Herramientas a Utilizar:6. Tiempo de duración de la auditoría (cronograma7. Listado de los activos: hardware y software8. Servidores principales9. Describir las redes LAN y WAN10. Esquemas de replicación de datos11. Arquitectura de base de datos12. Arquitectura de los sistemas de seguridad

Muchas Gracias!!!mhuapaya.chu@gmail.com