UNIVERSIDAD CENTRAL DEL

ECUADORFACULTAD DE CIENCIAS ADMINISTRATIVAS

ESCUELA DE CONTABILIDAD Y AUDITORIA

AUDITORIA DE SISTEMAS INFORMATICOS

ADQUISICIÓN E IMPLEMENTACION

EVELIN TABANGO

CA 9-4

AÑO LECTIVO

2012-2012

AI ADQUISICIÓN E IMPLEMENTACION -DOMINIO

PROCESOS AI1 Identificación de soluciones automatizadas

AI2 Adquisición y mantenimiento del software apropiado

AI3 Adquisición y mantenimiento de la infraestructura tecnológica

AI4 Desarrollo y mantenimiento de Procesos

AI5 Instalación y aceptación de los sistemas

AI6 Administración de los Cambios

AI 1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS

Permite a las organizaciones minimizar el costo para Adquirir e Implementar soluciones,

mientras que al mismo tiempo facilitan el logro de los objetivos del negocio.

La definición de las necesidades

Considera las fuentes alternativas

Realiza una revisión de la factibilidad tecnológica y

económica

Ejecuta un análisis de riesgo

Ejecuta un análisis de costo-beneficio

Concluye con una decisión final de “desarrollar” o “comprar”

AI 1.4 Seguridad con relación costo-beneficio

Controlar que los costos de inversión no superen a los beneficios

AI 1.5 Pistas de auditoria

Proteger a los datos del usuario como pueden se su identificación o evitar que se creen campos adicionales en su registro.

AI 1.6 Contratación de terceros

Busca adquirir productos en buen estado y de calidad

AI 1.7 Aceptación de instalaciones y tecnologías

El patrocinador del negocio tiene la decisión final con respecto a la elección de la solución y al enfoque de adquisición.

AI 5.2 PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCION

Objetivos de protección y Seguridad

Responsabilidad Individual

Seguimiento de las acciones del usuario

Reconstrucción de eventos

Identificar acciones anormales realizadas y a sus autores

Detección de Instrucciones

Realizar un examen en tiempo real o por tramos.

Identificación de Problemas

Para detectar problemas adicionales en el sistema

Pistas de auditoria - Evidencia

Identificador del Usuario

Debe proporcionarse en cada evento

Cuando a ocurrido el evento

Registrado por fecha y hora

Identificador de host

El registro informa de las conexiones realizadas a la red

Tipo de evento

Registrar las acciones realizadas a niveles de capas ya seen el sistema o en las aplicaciones

Para llevar a cabo un examen, revisión o auditoría, se hace necesario, para poder emitir una opinión sobre el trabajo realizado, recopilar la evidencia suficiente y apropiada que sirva e base para sustentar las conclusiones, opiniones y recomendaciones.

Este tipo de prueba tiene una función relevante, que permita tener un mejor criterio a la hora de determinar y esclarecer ciertos hallazgos. Lo que se pretende es dar un nuevo enfoque al uso y aplicación de este tipo de instrumento.

AI5.3 PISTAS DE AUDITORIA- EVOLUCIÓN DEL RIESGO-ERRORES

POTENCIALES EN TECNOLOGIAS INFORMATICAS

• Prevención

Riesgo

• Detección

Incidente Error

• Represión

Represión

• Corrección

Corrección

• Evaluación

Recuperación

Errores Potenciales

Datos Blancos

Datos Ilegibles

Problemas de Transcripción

Error de Cálculos en medidas indirectas

Registro de Valores Imposibles

Negligencias

Falta de aleatoriedad

Violentar la secuencia para recolección

AI5.4 PISTA DE AUDITORIA-EVOLUCIÓN Y ADMINISTRACION

DEL RIESGO

Prevención

Detección -Síntomas

Diagnostico

Corrección

Evaluación

Predicción

- Actuar sobre la causa

- Técnicas y políticas de control involucrados

- Empoderar a los actores

- Crear valores y actitudes

AI5.6 PISTAS DE AUDITORIA –POLITICAS DE SEGURIDAD PARA

SISTEMAS DISTRIBUIDOS-PROCESO

Políticas para sistemas distribuidos

Existen tres tipos de conexiones que se deben definir estas son LAN(red de área local), WAN(Red

de área amplia), Plataformas de internet.

AI 5.6.1 No Discrecional

AI 5.6.2 Disponibilidad

AI 5.6.3 Administración

y control de acceso

AI 5.6.4 Criptográfica

AI 5.6.5 Integridad y confidencialidad de datos

AI5.6.6 Dependientes y por defecto

AI5.6.2.1 Técnicas de cifrado de la información

• Cifrado de la información

Para cifrara la información se emplea un código que se de

conocimiento del emisor y receptor, actualmente muy

utilizada en sistemas distribuidos para otorgar permisos de

acceso.

AI5.6.2.3.1 Técnicas de integridad y confidencialidad

Autenticación

Se verifica la identidad del usuario que

trata de iniciar sesión a una aplicación

Autorización

Se verifica los permisos de

acceso

Integridad

Verificar integridad de la

información

Confidencialidad

Mostrar la información

solo al personal con el permiso

correspondiente

Y controlar que no se intercepte la información

Auditoria

Permite seguimiento de

la intrusión

AI 5.6.2.3.2 Técnicas de

autenticación

En entornos de red lo mas común es utilizar un passwordpara ingresar a una aplicación determinada.

Controles de acceso massofisticados pueden incluiridentificadores físicos,biológicos o de otra índole.

En los bancos es común unaidentificación de la cuenta y elusuario por medio de tarjetas decrédito

AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO

Permite a las organizaciones apoyar la operatividad del

negocio de forma apropiada con las aplicaciones

automatizadas correctas.

Este proceso cubre el diseño de las aplicaciones

La inclusión apropiada de controles aplicativos y

requerimientos de seguridad

El desarrollo y configuración de acuerdo a los estándares

AI3 ADQUISICIONY MANTENIMIENTO DE LA

INFRAESTRUCTURA TECNOLOGICA - PROCESO

Las organizaciones

deben contar con

procesos para adquirir,

implementar y

actualizar la

infraestructura

tecnológica

Esto requiere de un

enfoque planeado para

adquirir, mantener y

proteger la

infraestructura de

acuerdo con las

estrategias tecnológicas

convenidas y la

disposición del

ambiente de desarrollo y

pruebas.

Esto garantiza que

exista un soporte

tecnológico continuo

para las aplicaciones del

negocio.

AI3.1 Evaluación de Tecnología

Para identificar como afectara el nuevo hardware y software sobre el sistema en general. Evaluar los costos de complejidad y viabilidad

comercial del proveedor y producto al añadir nueva capacidad técnica.

AI3.2 Mantenimiento preventivo

Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo

con el procedimiento de administración de cambios de la organización.

AI 3.3 Seguridad del software de sistemas

Implementar medidas de control interno, seguridad y auditabilidaddurante la configuración, integración y mantenimiento del hardware y

software para proteger los recursos y garantizar su disponibilidad e integridad.

AI4 DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO

AI4.1 Manuales de procedimiento de usuarios y controles

• Transferencia de conocimiento y habilidad para permitir que los usuarios finales utilicen con efectividad y eficiencia el sistema de aplicación como apoyo a los procesos del

negocio.

AI4.2 Manuales de entrenamiento

• Para que el usuario se familiarice con el uso diario del sistema

AI 3 Manuales de operaciones y controles

Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y de operaciones que entregue, apoyen y mantenga la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos

AI4 Levantamiento de proceso

Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la producción de procedimientos de administración, de usuario y operativos, como resultado de la introducción o actualización de sistemas automatizados o de infraestructura

AI 5 INSTALACION Y ACEPTACION DE LOS SISTEMAS - PROCESO

Los nuevos sistemas necesitan estar funcionales unavez que su desarrollo se completa. Esto requierepruebas adecuadas en un ambiente dedicado condatos de prueba relevantes, definir la transición einstrucciones de migración, planear la liberación yla transición en si al ambiente de producción, yrevisar la post-implantación. Esto garantiza que lossistemas operativos estén en línea con lasexpectativas convenidas y con los resultados.

AI 5.1 Capacitación del personal

Entrenar ala personal de los departamentos de usuario afectados y al grupo de operaciones de la función de TI de acuerdo con el plan definido de entrenamiento e implantación y a los materiales asociados, como parte de cada proyecto de sistemas

de la información de desarrollo, implementación o modificación.

AI 5.2 Conversión /Carga de datos

Plan de conversión de datos y migración de infraestructura como parte de los métodos de desarrollo de la organización, incluyendo pistas de auditoria, respaldo

y vuelta atrás.

AI 5.3 Pruebas Especificas

Remediar los errores significativos identificaciones en el proceso de pruebas, habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y

cualquier prueba de regresión necesaria. Siguiendo la evaluación, aprobación promoción a producción.

AI 5.4 Validación y acreditación

Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a operaciones, manteniéndolo en línea con el plan de implantación. Obtener la aprobación de los interesados clave, tales como usuarios, dueño de sistemas y

gerente de operaciones

AI 5.5 Revisión Posterior a la implantación

Establecer procedimientos en línea con los estándares de gestión de cambios organizacionales para requerir una revisión posterior a la implantación como

conjunto de salida en el plan de implementación.

AI 6 ADMINISTRACION DE CAMBIOS- PROCESO

• Todos los cambios, incluyendo el mantenimiento de emergencia y parches,relacionados con la infraestructura y las aplicaciones dentro del ambiente deproducción, deben administrarse formalmente y controladamente. Los cambios(incluyendo procedimientos, procesos, sistemas y parámetros del servicio) sedeben registrar, evaluar y autorizar previo a la implantación y revisar contra losresultados planteados después de la implantación. Esto garantiza la reducción deriesgos que impactan negativamente la estabilidad o integridad del ambiente deproducción.

AI 6.1 Identificación de

Cambio

• Establecer procedimientos de administración de

cambio formales para manejar de manera estándar todas las

solicitudes (incluyendo mantenimiento y

parches) para cambios a aplicaciones,

procedimientos, procesos, parámetros

de sistemas y servicios, y las plataformas fundamentales.

AI6.2 Procedimientos

• . Esta evaluación deberá incluir

categorización y priorización de los

cambios.

AI6.3 Evaluación del impacto que provocaran los

cambios

• Garantizar que todas las

solicitudes de cambio se

evalúen de una estructurada

manera en cuanto a

impactos en el sistema

operacional y su funcionalidad.

AI 6.4 Autorización de Cambios

• Previo a la migración hacia producción, los

interesados correspondientes autorizan los

cambios.

AI 6.5 Manejo de Liberación

• Se siguen procedimientos

formales que garanticen la

aprobación de liberación de

software

AI 6.6 Distribución de Software

• Siempre que se implantan cambios

al sistema, actualizar el

sistema asociado y la documentación

de usuario y procedimientos

correspondientes. Establecer un

proceso de revisión para garantizar la

implantación completa de los

cambios.