Exposición grupal
-
Upload
darwin-david-leon -
Category
Engineering
-
view
71 -
download
0
Transcript of Exposición grupal
Universidad Tecnológica de Nezahualcóyotl“Tecnologías de la Información y la Comunicación” “Área Redes y Telecomunicaciones”
Auditoría en Sistemas de TI
Profesor: Islas Becerril Fidel
Exposiciones Grupales
Grupo: ITIC 911-v
Desarrollo de la AuditoríaInformática
Planeación de la
Auditoría Informática
Planeación de la Auditoría InformáticaDebe ser documentada e incluye:
1.-Establecimiento de objetivos y alcance del trabajo.
2.-Obtención de Información de apoyo.
3.- Determinación de recursos necesarios.
4.-Establecimiento de comunicación necesaria.
5.- Realización de una inspección física.
6.-Preparación por escrito del programa de Auditoría
7.-Determinación de cómo, cuando y a quien se le
comunicarán los resultados.
Objetivos
Seguridad y confidencialidad de la
información.
Evaluación administrativa del área de procesos
electrónicos.
Evaluación de los sistemas y procedimientos.
Evaluación de equipos de cómputo.
Proceso
El proceso comprende establecer:
Metas
Programas de trabajo de auditoría
Informes de actividades
Planes de contratación de personal y presupuesto financiero
Pasos
Pruebas sustantivas
Pruebas de controles del usuario
Pruebas de consentimiento
Examen y evaluación de la información
Revisión detallada
Revisión preliminar
Objetivo:Obtener la información necesaria.
Al concluir, el auditor puede seguir uno de los siguientes caminos:Diseño de la auditoría.Realizar una revisión detallada en los controles internos del sistema.Decidir en no confiar en los controles internos del sistema.
Revisión preliminar1
Objetivo: Obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de Informática.
Es importante para el auditor identificar las causas de las perdidas existentes.
Revisión detallada2
Se debe obtener la información de todos los asuntos relacionados con los objetivos y alcances de la auditoría.
La información debe ser suficiente, competente, relevante y útil.
Los procedimientos de auditoría deberán ser elegidos con anterioridad.
Examen y Evaluación de la Información3
Objetivo:Determinar si los controles internos operan como fueran diseñados para operar.
El auditor debe declarar si los controles declarados en realidad existen y si trabajan de manera confiable.
Pruebas de Consentimiento4
Pruebas de Controles de Usuarios5
Se puede realizar mediante cuestionarios, entrevistas, vistas y evaluaciones realizadas directamente con el
usuario.
Objetivo:Tener evidencia suficiente que permita al auditor emitir sus juicios en las conclusiones acerca de cuando pueden ocurrir perdidas materiales durante el proceso de la información.
Pruebas Sustantivas
Normas y Estándares Relacionados con
Proyectos TI
Introducción
Cada una de las normas y estándares dan a conocer ciertas reglas a seguir para poder desarrollar software de calidad.
Hoy en día la calidad es importante para satisfacer las necesidades de los clientes que pidan un sistemas de calidad.
Definiciones
Estándar
Conjunto de reglas que deben
cumplir los productos,
procedimientos o
investigaciones que
afirmen ser compatibles
con el mismo producto.
Norma
Son reglas de conductas que
imponen un determinado
modo de obrar o de
abstenerse.
Se enfocan más en procesos
por los que tienen que
pasar los productos.
Tabla comparativa
ESTANDAR Y NORMA
ORGANISMO QUE REGULA PARA QUE APLICA
ISO 9000 Organización Internacional de Normalización
Para establecer, documentar, controlar, medir y mejorar los
procesos y productos dentro de la organización.
ISO 9001 Organización Internacional de Normalización
Dedicado al desarrollo, suministro y mantenimientos del
Software.
ISO 20000 Organización Internacional de Normalización
Estándar para la Gestión de servicios de TI.
ESTANDAR Y NORMA
ORGANISMO QUE REGULA PARA QUE APLICA
ISO 25000 Organización Internacional de Normalización
Establecen un modelo de calidad para el producto software y
define la evaluación de calidad.
ISO 27000 Organización Internacional de Normalización
Para establecer, implementar, monitorear, revisar, mantener y
mejorar un Sistema de Administración de Seguridad de
Información.
ISO 15504(SPICE)
Organización Internacional de Normalización
Norma abierta para evaluar y mejorar la capacidad y madurez
de los procesos.
ESTANDAR Y NORMA
ORGANISMO QUE REGULA PARA QUE APLICA
SPICE Organización Internacional de Normalización
Para desarrollar un proyecto de trabajo, un estándar para la evaluación de procesos de
software.
CMMI(Capability
Maturity Model Integration)
Instituto de Ingeniería de Software (SEI)
Mejora de procesos de construcción de software y
proyectos de TI.
MOPROSOFT Organización Internacional de Normalización
Es una norma Mexicana basada en procesos para las industrias de
software, la cual sirve para estandarizar operaciones y
prácticas en Gestión de Ingeniería de Software.
ESTANDAR Y NORMA
ORGANISMO QUE REGULA PARA QUE APLICA
SPICE Organización Internacional de Normalización
Para desarrollar un proyecto de trabajo, un estándar para la evaluación de procesos de
software.
CMMI(Capability
Maturity Model Integration)
Instituto de Ingeniería de Software (SEI)
Mejora de procesos de construcción de software y
proyectos de TI.
MOPROSOFT Organización Internacional de Normalización
Es una norma Mexicana basada en procesos para las industrias de
software, la cual sirve para estandarizar operaciones y
prácticas en Gestión de Ingeniería de Software.
ESTANDAR Y NORMA
ORGANISMO QUE REGULA
PARA QUE APLICA
PSP Organización Internacional de Normalización
Permite estimar cuando se tarda un individuo en realizar una aplicación
de Software.
TSP TSP Es un método de establecimiento y mejora del trabajo en equipo para
procesos de Software.
IEEE(Institute
of }Electrical and Electronics Enginners )
Instituto de Ingenieros Eléctricos y Electrónicos
Estándares para el desarrollo de proyecto y especificaciones ya que se generaliza la documentación.
Fases de la Auditoría Informática
Fases de la auditoria informática
Los servicios de auditoría constan de las siguientes fases:
Enumeración de redes, topologías y protocolos. Identificación de los sistemas operativos instalados. Análisis de servicios y aplicaciones Detección, comprobación y evaluación de
vulnerabilidades.Medidas específicas de corrección Recomendaciones sobre implantación de medidas
preventivas.
Elementos de la Planeación de la Auditoría
Informática
La planeación de la auditoría informática debe estar basada en tres pilares fundamentales:
Elaboración del plan (Planeamiento).Evaluación de la estructura actual.
Entrega de resultados
Elementos de la Planeación de la auditoria informática
Planeamiento
Entendimiento general de la entidad
Objetivo:Consiste en identificar las relaciones entre el Departamento de TI y su entorno (legal, regulatorio, cultura, procesos), entender la organización, sus objetivos, estrategias, capacidades y habilidades, así como identificar todos aquellos objetos (áreas, procesos, proyectos, etc.) del área de TI que están expuestos a riesgos.
Análisis de riesgos
Alcance:Desarrollar un análisis de riesgos que permita identificar que plataforma de tecnología y sistemas de información, son los más críticos para la operación de la Entidad, con el objeto de desarrollar el plan de trabajo, enfocado en dichos sistemas y plataformas.
Planeamiento
Plan inicial
Programa particular:En función de los resultados del análisis de riesgos realizado y la normativa de control de tecnología aplicable a la Entidad, elaboraremos un plan inicial de auditoría, describiendo el enfoque de evaluación para los controles generales del computador y ciclos de negocio (controles automáticos).
Evaluación de la estructura actual
Debe estar conformada por al menos las siguientes dos fases:Evaluación de los controles sobre la plataforma tecnológica:
•Estrategia y Planeación de la Información.•Planeación de la Continuidad del Negocio.•Operaciones de los Sistemas de Información.•Seguridad de la Información.•Implementación y Mantenimiento de los Sistemas de Aplicación.•Implementación y Soporte de la Base de Datos.•Red.•Hardware y Software de Sistemas.
Evaluación de la estructura actual Evaluación de los controles automáticos y manuales
en los procesos del negocioTesoreríaFacturaciónIngresosEgresosCobroNóminaActivo fijoContabilidad y cierre financieroInventariosCartera de crédito
Entrega de Resultados
El objetivo de esta fase es concluir el proyecto, presentando un resumen ejecutivo de todo le proceso de evaluación de controles para cada fase acorde al cronograma propuesto, detallando los beneficios recibidos por la entidad al realizar una auditoría informática.
Lista de Verificación
Lista de Verificación
Éste es uno de los métodos de recopilación y evaluación de auditoría más sencillos debido a la simplicidad de su elaboración, la comodidad en su aplicación y por la facilidad para encontrar desviaciones.
Propósito de una lista de verificación
1.Suministrar guías para el auditor2.Asegurar que cada parte de la
auditoria esté completa3.Reforzar objetivos y alcance
Considerar:
1.Los procesos que están ocurriendo
2.Los documentos relevantes3.Los registros
4.Los requisitos de BMP HACCP Y SQF2000
Lista de Verificación
Evaluación de la Seguridad
Evaluación de la Seguridad Informática
Los tipos son:
Evaluación de la seguridad física de los sistemas.
Evaluación de la seguridad lógica del sistema.
Evaluación de la seguridad del personal del área de sistemas.
Evaluación de la seguridad de la información y las bases de datos.
Evaluación de la seguridad en el acceso y uso del software.
Evaluación de la seguridad en la operación del hardware.
Evaluación de la seguridad en las telecomunicaciones
EVALUACIÓN DE LA SEGURIDAD FISICA DE LOS SISTEMAS. La seguridad de los sistemas de información envuelve la protección de la información, así como la de los sistemas computacionales usados para grabar, procesar y almacenar la información.
EVALUACIÓN DE LA SEGURIDAD LÓGICA DEL SISTEMA. La seguridad lógica, se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.
Evaluación de la Seguridad Informática
SEGURIDAD DEL PERSONAL DEL ÁREA DE SISTEMAS. La seguridad del personal puede ser enfocada desde dos puntos de vista, la
seguridad del personal al momento de trabajar con los sistemas informáticos, estos deben estar en óptimas condiciones para que no causen daño a las
personas, y la seguridad de los sistemas informáticos con respecto al mal uso de los mismos por parte de los empleados
Evaluación de la Seguridad Informática
SEGURIDAD DE LA INFORMACIÓN Y LAS BASES DE DATOSLa protección de los datos puede tener varios enfoques respecto a las
características citadas: la confidencialidad, disponibilidad e integridad. Puede haber datos críticos en cuanto a su confidencialidad, como datos médicos u otros especialmente sensibles para la LIBERTAD y otros datos cuya criticidad viene dada por la disponibilidad
Evaluación de la Seguridad Informática
Evaluación de la Seguridad Informática
SEGURIDAD EN EL ACCESO Y USO DEL SOFTWARE.
• Errores de aplicaciones. • Errores de sistemas
operativos• Rutinas de acceso no
autorizados• Servicios no autorizados
SEGURIDAD EN LA OPERACIÓN DEL HARDWARE.
• Inapropiada operación. • Fallas en mantenimiento.• Inadecuada seguridad física. • Falta de protección contra
desastres naturales.
SEGURIDAD EN LAS TELECOMUNICACIONESEn las políticas de entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad
Evaluación de la Seguridad Informática
Áreas y fases que pueden cubrir la
auditoria de seguridad.
Modelos de seguridad
Un modelo de seguridad requiere del análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Modelos de seguridad
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y corrección siguiendo un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.
Permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.
Áreas que pueden cubrir la auditoria de seguridad
Principales:
• Hardware• Software• Plan de contingencias y recuperación• Amenazas físicas externas• Control de acceso adecuado• Protección de datos• Comunicaciones y redes• Área de producción• Desarrollo de aplicaciones
Fases que pueden cubrir la auditoria de seguridad
Los servicios de auditoría constan de las siguientes fases:
• Enumeración de redes, topologías y protocolos. • Identificación de los sistemas operativos instalados. • Análisis de servicios y aplicaciones • Detección, comprobación y evaluación de vulnerabilidades.• Medidas específicas de corrección • Recomendaciones sobre implantación de medidas preventivas.
Seguridad Física y Lógica
La Seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como los edificios e instalaciones que los albergan.
La Seguridad Lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como el acceso de los usuarios autorizado hacia la información
Seguridad Física y Lógica
Las principales amenazas que se prevén en Seguridad Física son: Desastres naturales, incendios accidentales, tormentas e inundaciones.
Amenazas ocasionadas por el hombre: Disturbios, sabotajes internos y externos deliberados.
Seguridad Física y Lógica
PUNTOS A REVISAR EN EL ENTORNO FISICO:
En instalaciones importantes es frecuente que haya una persona o equipo responsable de la seguridad informática en general, función diferente de la auditoria informática. El auditor debe revisar los puntos siguientes:
Instalaciones Accesos Salidas de evacuación Documentación Control de impresos Personal Contratación de pólizas de seguro adecuadas
Seguridad Física y Lógica
AUDITORIA DE SEGURIDAD FISICA
La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo”.
Los objetivos que se plantean serán: Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
Asegurar que se estén utilizando los datos archivos y programas correctos en y por el procedimiento correcto.
Seguridad Física y Lógica
Que la información transmitida sea recibida por el destinatario al cual asido enviada y no a otro.
Que la información recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la transmisión de información.
Seguridad Física y Lógica
Seguridad Física y Lógica
La seguridad lógica tiene dos dimensiones que son:
1.La autenticación o acreditación de usuarios: Necesidad acreditada, positiva, de acceso. Mínimo privilegio necesario.
2.El secreto de archivos y transmisiones:
Auditoria de penetración externa: se auditan los sistemas de forma que estén protegidos frente a ataques desde fuera de la organización. Auditoria de penetración interna: consiste en el mismo estudio de la penetración externa, pero haciendo la suposiciónque el ataque procederá desde el interior de la empresa, esdecir, por usuarios del sistema.
Informe de Auditoría en la Seguridad Física
Contenido:Acopio de datos Análisis de riesgos y amenazas Trabajo de campo: Análisis de instalaciones Análisis del personal Informe de la situación actual Propuesta de acciones a tomar, valoradas económicamente.
Objetivo:
Realizar un informe de Auditoría con el objeto de verificar la adecuación de las medidas aplicadas a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.
Alcance:Organización y cualificación del personal Planes y procedimientosSistemas técnicos de detección y comunicación Análisis de puestos Mantenimiento
Resultados: Se obtendrá: Informe de Auditoría detectando riesgos y deficiencias en el Sistema Seguridad Integrado.Plan de recomendaciones a aplicar en función de:
RiesgosNormativa a cumplir
Informe de Auditoría en la Seguridad Física
Edificio : Debe encargarse a peritos especializados
Las áreas en que el auditor chequea directamente :
Administración de la seguridadDirector o responsable de la seguridad integralResponsable de la seguridad informáticaAdministradores de redesAdministradores de Base de datos
Centro de proceso de datos e instalacionesEntorno en donde se encuentra el CPDSala de HostSala de impresorasOficinasAlmacenesInstalaciones eléctricasAire acondicionado
Áreas de Seguridad
Debieran estar accesibles:
Políticas , normas y planes de seguridadAuditorías anteriores, generales o parcialesContratos de seguros, de proveedores y de
mantenimientoActas e informes de técnicos y consultoresInformes de accesos y visitasInformes sobre pruebas de evacuaciónPolíticas del personal
Fuentes de la Auditoría Física
1. PUNTOS A REVISAR EN EL ENTORNO FISICO:
InstalacionesAccesos
Salidas de evacuaciónDocumentación
Control de impresosPersonal
Contratación de pólizas de seguro adecuadas
INSTALACIONES:
• Revisar la ubicación de los ordenadores
• La sala de la computadoras y sus instalaciones deben ser construidas con materiales adecuados y resistentes, el falso suelo y falso techo han de ser incombustibles y también deberían ser lo las puertas y paredes.
• En caso de incendio, deben haber detectores de humos, detectores de calor y mas importante extinguidores.
• Las cajas con contenido de tóner para las impresoras deben estar en un almacén o un área distinta.
Accesos: El auditor debe revisar las medidas de seguridad en los accesos de las siguientes formas.
Control Físico:Visitas, se debe controlar mediantes huellas digitales, tarjetas, contraseñas, firmas o
reconocimientos por voz.
Control Lógico:Perfil para cada usuario según a que pueda acceder de información.Terminales desconectadas después de un periodo de tiempo sin uso.
Salidas de evacuaciónSe debe tener un entrenamiento y planes adecuados, pruebas y simulacros periódicos.
Plan de Contingencia
Se debe analizas los riesgos del sistema, de las aplicaciones, estableciendo los objetivos de nuestra seguridad, determinando las prioridades del proceso, y además, asignar las capacidades de comunicaciones y servicios.Evaluar y controlar permanentemente la seguridad física del edificio es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.
Un plan de contingencia debe ser:
Exhaustivo
De fácil lectura.
Ágil a la hora de su actualización
Operativo
Respaldo de Información
Respaldar la información significa copiar el contenido lógico de nuestro sistema informático a un medio que cumpla con una serie de exigencias como:Ser confiable: Minimizar las probabilidades de error.
Estar fuera de línea, en un lugar seguro: Tan pronto se realiza el respaldo de información, el soporte que almacena este respaldo debe ser desconectado de la computadora y almacenado en un lugar seguro.
La forma de recuperación sea rápida y eficiente: Es necesario probar la confiabilidad del sistema de respaldo no sólo para respaldar sino que también para recuperar.
Los proveedores que posea una empresa determinarán en gran medida el éxito de ésta. El contar con buenos proveedores no sólo significa contar con insumos de calidad y, por tanto, poder ofrecer productos de calidad, sino también la posibilidad de tener bajos costos, o la seguridad de contar siempre con los mismos productos cada vez que se requieran.
Selección de Proveedores
Procura los costos y precios sean razonables, que acorde a la calidad del producto o servicio que ofrecen y a los precios promedio del mercado.
Selección de ProveedoresPrecio
Calidad De nada sirve tener un proveedor con bajos
precios, si la calidad de sus productos o servicios es mala. La calidad es otro de los principales criterios a tomar en cuenta al momento de evaluar un proveedor. Siempre que nos sea posible debemos procurar proveedores que ofrezcan insumos, productos o servicios de muy buena calidad.
Selección de ProveedoresCriterio de selección de Proveedores son:
Selección de ProveedoresPrecio
Uno de los principales criterios que se debe tomar en cuenta al momento de evaluar un proveedor, son sus precios. Siempre debemos procurar proveedores con precios razonables, que sean acordes a la calidad del producto o servicio que ofrecen, y a los precios promedio del mercado.
Al evaluar el precio del producto, debemos tener en cuenta también los gastos que podrían adicionarse a éste, tales como los gastos de transporte, seguros, embalaje, etc. Asimismo, al momento de evaluar el factor precio, debemos considerar los posibles descuentos que el proveedor nos pueda otorgar, tales como descuentos por volumen de compra, descuentos por pronto pago, etc.
Selección de ProveedoresCalidad
De nada sirve tener un proveedor con bajos precios, si la calidad de sus productos o servicios es mala.
La calidad es otro de los principales criterios a tomar en cuenta al momento de evaluar un proveedor.
Siempre que nos sea posible debemos procurar proveedores que ofrezcan insumos, productos o servicios de muy buena calidad o, en todo caso, que la calidad de éstos sea acorde con los precios que tienen.
Al evaluar la calidad del producto, debemos tomar en cuenta los materiales o componentes del producto, sus características, sus atributos, su durabilidad, etc.
Selección de ProveedoresPago
En el criterio del pago evaluamos las formas de pago que ofrece el proveedor, por ejemplo, si ofrece la posibilidad de hacer pagos vía transferencia bancaria, o vía Internet.
Y también evaluamos las condiciones o el plazo del pago, por ejemplo, si nos piden pagar al contado, o nos dan la posibilidad de pagar a 30 días, pagar un 50% a 60 días, etc.
Siempre debemos buscar las mejores condiciones de pago, es decir, que el financiamiento o plazo del crédito otorgado sea el mayor posible, sin que ello implique recargo alguno.
Selección de ProveedoresEntrega
En el criterio de entrega también evaluamos la oportunidad de entrega, si son capaces de asegurarnos que cumplirán siempre con nuestros pedidos, que nos los entregarán oportunamente cada vez que lo requiramos, que siempre contarán con el mismo producto, que nos podrán abastecer durante todo el año, etc.
Selección de ProveedoresOtros Factores
Experiencia: A mayor experiencia de la empresa proveedora, probablemente mayor eficiencia y seguridad en su abastecimiento.
Reputación: Si los testimonios de sus clientes son favorables. Localización: Mientras más cerca esté ubicado el proveedor mejor, sobre todo
si somos nosotros los que constantemente tenemos que acudir donde éste. Servicio al cliente: Si, por ejemplo, son capaces de brindarnos rápidamente
toda la información que requiramos.
Selección de ProveedoresOtros Factores
Convenios publicitarios: Brindan la posibilidad de otorgarnos productos gratis a cambio de publicidad.
Situación económica: Si su situación económica es estable ello podría significar productos de calidad y un abastecimiento seguro; si tuviera dificultades financieras
Tamaño: Si es un proveedor pequeño, probablemente su atención sea más directa (por ejemplo, la posibilidad de que resuelvan mejor cualquier inconveniente que tengamos)
Fabricante o mayorista: La principal ventaja de los fabricantes con respecto a los mayoristas son sus bajos precios, pero su principal desventaja es que probablemente no puedan ofrecer la variedad de productos que sí podría ofrecernos un mayorista, sobre todo, al hacer pedidos pequeños.
Selección de ProveedoresServicio Post Venta
También evaluamos la capacitación que nos pueda brindar en el uso de sus productos, la asistencia técnica, el servicio de mantenimiento, su política de devoluciones, la posibilidad de canjear productos de baja rotación, etc.
Licenciamiento de software: Es un conjunto de permisos que un desarrollador le puede otorgar a un usuario en los que tiene la posibilidad de distribuir, usar y/o modificar el producto bajo una licencia determinada.
Licenciamiento de Software
Tipos de Licenciamiento
Licenciamiento de Software
Software con copyleft Software semi-libre Freeware Shareware Software comercial Código abierto Gnu
Tipos de Licenciamiento
Licenciamiento de Software
Software con copyleft Software semi-libre Freeware Shareware Software comercial Código abierto Gnu
Software Con Copyleft
Licenciamiento de Software
Es un software libre cuyos términos de distribución no permiten a los redistribuidores agregar ninguna restricción adicional cuando redistribuyen o modifican. Freewara Se usa comúnmente para programas que permiten
la redistribución pero no la modificación (y su código fuente no está disponible).
Shareware
Licenciamiento de Software
Es el software con autorización de redistribuir copias, pero debe pagarse cargo por licencia de uso continuado.
Software Comercial Es el software que es desarrollado por una empresa con el
propósito de ganar dinero a cambio del uso de este.
Código Abierto
Licenciamiento de Software
Código abierto es el término con el que se conoce al software distribuido y desarrollado libre mente. El código abierto tiene un punto de vista más orientado a los beneficios prácticos de compartir el código que las cuestiones éticas y morales las cuales destacan en el llamado software libre (se puede modificar por el usuario).
GNU
Licenciamiento de Software
Es una licenciatura que se crea para que sea abierta libremente para todo el público, sin tener ningún termino y /o valor.
Diferencias Software Libre VS Software Propietario
Licenciamiento de Software
Objetivo:
Evaluación de Hardware y Software
Comprobar que existan los contratos de seguro necesarios para el hardware y software de la empresa (elementos requeridos para el funcionamiento continuo de las aplicaciones básicas).
Alerta:
Evaluación de Hardware y Software
Esta información debe de verificarse con los responsables de la seguridad en informática, con los responsables del centro de computo, de comunicaciones y usuarios que el auditor considere pertinentes.
¿Qué se evalúa?
Evaluación de Hardware y Software
Distribución del hardware (ubicación física)
Registro del hardware instalado, dado de baja, proceso de adquisición, etc.
Uso del mismo: desarrollo, operación, mantenimiento, monitoreo y toma de decisiones.
Acceso al hardware (llaves de seguridad).
Bitácoras de uso (quién, cuando, para qué, entre otros puntos).
Hardware:
Evaluación de Hardware y Software
Si la empresa tiene aspectos predefinidos para la evaluación del hardware, se tomarán en cuenta esos lineamientos.
¿Dónde están?:
Evaluación de Hardware y Software
El No-Break El aire acondicionado Equipos de contra incendio
Importante:
Evaluación de Hardware y Software
Se tome en cuenta si el edificio no es vulnerable o bien, esta preparado para cualquier tipo de desastre, inundación, huracán, temblor etc…
Evaluación:
Evaluación de Hardware y Software
Conocer las salidas de emergencia del lugar.
Software:
Evaluación de Hardware y Software
Como en el hardware, si la empresa tiene aspectos predefinidos para la evaluación de este se tomarán en cuenta esos lineamientos.
¿Qué se evalúa?:
Evaluación de Hardware y Software
Sistemas operativos en equipos cliente, servidores, paquetería de software, aplicaciones, bases de datos, etc.
¿Qué se evalúa?:
Evaluación de Hardware y Software
Todo el software instalado cuente con licencias.
¿Qué se evalúa?:
Evaluación de Hardware y Software
Que la información que sale de la empresa, sea:
Revisado (contenido, cantidad, destino).
Aprobado por el responsable del área.
El personal este comprometido formalmente a no hacer mal uso del mismo (dañarlo, modificarlo, distribuirlo).
¿Qué se evalúa?:
Evaluación de Hardware y Software
Que es software que ingrese a la empresa, sea:
Revisado (contenido, cantidad y destino).
Aprobado por el responsable del área.
Devuelto en las mismas condiciones que tenia en la salida.
¿Qué se evalúa?:
Evaluación de Hardware y Software
Si hay algunas aplicaciones en proceso: Procedimientos de llenado de
documentos fuente (documento en orden).
Plan de contingencia. Niveles de seguridad en el sistema en
proceso. Control de papelería.
SAM: Software Asset Management, (Gestión de Activos de Software).
Evaluación Software
Mejor práctica, al incorporar un conjunto de procesos probados y procedimientos para la gestión y optimización de los activos de TI de su organización. La implementación de SAM protege sus inversiones en software y le ayuda a reconocer lo que tiene, donde se está ejecutando, y si su organización utiliza sus activos de manera eficiente.
SAM ayuda a
Evaluación Software
Controlar: Los costos y riesgos de negocio para una mejor y más sólida posición financiera.
Optimizar: Las inversiones existentes, para que así pueda hacer más con lo que ya tiene.
Crecer: Junto con las necesidades de expansión en tamaño y madurez de su empresa a través de una mayor flexibilidad y agilidad.
Implementando SAM
Evaluación Software
Hacer un inventario, averiguando lo que se tiene.
Organizar todas las licencias de software y documentación.
Crear políticas y procedimientos, estableciendo normas y directrices para todas las fases del ciclo de vida del software.
Mantener el plan de SAM, a través de controles del terreno, inventarios y la formación de los empleados.
Beneficios del SAM
Evaluación Software
SAM elimina residuos, superposiciones y compras duplicadas en toda la organización. Al optimizar sus activos de software y optimizar sus procesos internos, SAM puede ayudarle a ahorrar tiempo y dinero, mejorar el flujo de trabajo y aumentar su competitividad, a medida que su empresa crece en tamaño y grado de madurez.
Algunos de los beneficios de SAM son fáciles de ver, como el mejor control de los puntos de precio de software y mejor mantenimiento de registros. Otros beneficios a largo plazo pueden no ser inmediatamente evidentes, pero se manifestarán con el tiempo.
Beneficios del SAM
Evaluación Software
¿Cómo puede SAM beneficiar se departamento?
Evaluación Software
Interpretación de la información
Objetivos:CONOCER LAS TECNICAS PARA LA INTERPRETACIÓN DE LA INFORMACIÓN DEL SISTEMA
COMPRENDER COMO SE EVALUA EL GRADO DE MADUREZ DEL SISTEMADEFINIR LOS DIFERENTES TIPOS DE EVALUCIÓN DE LOS SISTEMAS
CONOCER COMO REALIZAAR LA PRESENTACIÓN DE LAS CONCLUSIONES DE LA AUDITORIA
CONCEPTOS BÁSICOS
Evidencia• Es la base de juicio del auditor. • Son las pruebas que obtiene el auditor
durante la ejecución de la auditoría, que hace patente y manifiesta la certeza o convicción sobre los hechos o hallazgos que prueban y demuestran claramente éstos, con el objetivo de fundamentar y respaldar sus opiniones y conclusiones
Evidencia
• La fiabilidad de la evidencia está en relación con la fuente de la que se obtenga interna y externa, y con su naturaleza, es decir, visual, documental y oral.
• No obstante, aunque la fiabilidad depende de las circunstancias en las que se obtiene, se pueden utilizar los siguientes puntos al evaluarla:
1) La evidencia externa es más fiable que la interna.
2) La evidencia interna es más fiable cuando los controles internos relacionados con ellos son satisfactorios.
3) La evidencia obtenida por el propio auditor es más fiable que la obtenida por la empresa.
4) La evidencia en forma de documentos y manifestaciones escritas es más fiable que la procedente de declaraciones orales.
5) El auditor puede ver aumentada su seguridad como la evidencia obtenida de diferentes fuentes sea coincidente.
Irregularidades
• Cambio o desviación respecto de lo que es normal, regular, natural.
• Falta o delito en la administración pública o privada.
• Se considera que los errores se producen sin intención, mientras que las irregularidades se producen intencionalmente.
• Puesto que es más difícil prevenir o detectar las irregularidades que los errores.Las irregularidades en los estados financieros pueden ser el resultado de una mal interpretación u omisión deliberadas de los efectos de hechos u operaciones u otra cambios intencionados en los registros contables básicos.
Irregularidades
• Cambio o desviación respecto de lo que es normal, regular, natural.
• Falta o delito en la administración pública o privada.
• Se considera que los errores se producen sin intención, mientras que las irregularidades se producen intencionalmente.
• Puesto que es más difícil prevenir o detectar las irregularidades que los errores.Las irregularidades en los estados financieros pueden ser el resultado de una mal interpretación u omisión deliberadas de los efectos de hechos u operaciones u otra cambios intencionados en los registros contables básicos.
Papeles de trabajoSu uso es confidencial y exclusivamente del
auditor.
Los papeles de trabajo pueden ser: manuscritos, manuales, instructivos, gráficas, resultados de procedimientos, concentrados de bases de datos en disquets, respaldos (backups) o cualquier otro medio escrito o electromagnético, en los cuales recopilará los hechos, pruebas, interpretaciones así como análisis de los datos obtenidos..
Indice de contenido
Situaciones Auditadas
Situaciones relevantes
Borrador Dictamen
Inventario de Software
Guía de Auditoría
Programa de trabajo
Manual Organización
Inventario Consumibles
Inventario Hardware
Pruebas del sistemaDatos y software
Reporte de puebas yResultados reales
Descripción de Puestos
Cuestionarios Y Entrevistas
Guía de marcas y señales
Backup del SistemaY reportes
Anexos, cuadrosEstadísticas, etc.
Procedimientos, técnicas, métodos Y aplicaciones
Concentrado, tabulaciones y resultados
Aplicables de acuerdo al tipoDe auditoria a realizar y necesidades de evaluación y del sistema
Organigrama, funciones, jerarquíasY autoridades
Eventos, actividades, recursos y tiempo
Situaciones, causas y soluciones
Resumen de desviaciones
Hoja de Identificación
Hoja de Identificación
Legado de papeles de trabajo de la Auditoría al Centro de cómputo de Empresas S. A.
Auditoría 1 al 31 de Enero del 2001
Auditor responsable Carlos Muñoz Razo
Fecha del dictamen
Interpretación de los resultados
• Titulo:• Identificar con un nombre corto y referenciando al objetivo de la auditoria.
• Partes interesadas:• El auditor dirigirá su informe al ejecutivo u órgano de la entidad del que recibió el encargo de la
auditoria.• Objetivo:
• Especificar en forma muy puntual los procesos o áreas involucradas en la auditoria.
• Alcance:• Especificar la trascendencia de la auditoria y las áreas involucradas en la misma.
• Metodología:• Especificar los métodos o técnicas ocupadas para el desarrollo de la auditoria.
Interpretación de resultados
Interpretación de resultados
• Desarrollo:• Especificar el rumbo que tomo la auditoria y el periodo de los trabajos realizados.
• Resultados:• Especificar cada uno de los descubrimientos encontrados en la auditoria
• Observaciones:• Se especifica las observaciones relevantes de la auditoria por parte del auditor.
• Recomendaciones:• Se especifica las recomendaciones del auditor.
• Conclusiones:• Especificar el cierre dela auditoria y el cumplimientos de los objetivos .
• Periodo de cobertura:• Este periodo deberá contener la fecha de inicio y ultimo día de trabajo en las oficinas de la entidad.
• Firmas:• Nombre y firma del representante del área auditada, así como nombre y firma del auditor.
Tipos de opinión de auditoriaLos tipos de opinión de un informe de auditoría pueden ser: a) Favorable b) Con salvedades c) Desfavorable d) Denegada
Tipos de opinión de auditoriaOpinión Favorable
El auditor manifiesta de forma clara y precisa que el área auditada consideradas expresa en todos los aspectos significativos la imagen fiel del patrimonio de los resultados de sus operaciones y de los recursos obtenidos y aplicados durante el ejercicio y contienen la información necesaria y suficiente para su interpretación y comprensión adecuada, de conformidad con principios y normas contables generalmente aceptados que guardan uniformidad con los aplicados en el ejercicio anterior.
Se da cuando:
• El auditor haya realizado su trabajo sin limitaciones y sin incertidumbres• La información necesaria y suficiente en la memoria para su interpretación y comprensión adecuada
Tipos de opinión de auditoriaOpinión con salvedades
Se emite cuando el auditor se encuentra ante una serie de circunstancias que pueden tener cierta importancia ante el resultado del área auditada, como lo son:
• Limitación al alcance del trabajo realizado• Errores o incumplimiento de los principios y normas• Incertidumbres• Cambios durante el ejercicio.
Tipos de opinión de auditoriaOpinión Desfavorable
Supone manifestarse en el sentido de que el área auditada tomada en su conjunto no presentan la imagen fiel del patrimonio.
Se puede dar por las siguientes razones:
• Identificar errores• Incumplimientos de principios y normas• Defectos de presentación de la información
Tipos de opinión de auditoriaOpinión Denegada
Cuando el auditor no ha obtenido la evidencia necesaria para formarse una opinión sobre el área auditada tomada en su conjunto, debe manifestar en su informe que no le es posible expresar una opinión sobre las mismas.
La necesidad de denegar una opinión pude originarse exclusivamente por: • Limitaciones al alcance de la auditoría• Incertidumbres
En ambos casos, ha de tratarse de circunstancias de importancia y magnitud muy significativas que impidan al auditor formarse una opinión.
Informe.
Es el documento más importante de la auditoría en el cuál se presenta los resultados obtenidos durante la evaluación.
Es el documento que refleja los objetivos, alcances, observaciones,
recomendaciones y conclusiones del proceso de evaluación.
¿Cómo debe de ser el informe de auditoria?
Representa el momento adecuado de separar lo significativo de lo no significativo.
ClaroAdecuadoSuficienteComprensibleEl formato del Informe debe reflejar una presentación lógica y organizada. El informe debe incluir suficiente información para que sea comprendido por los destinatarios esperados y facilitar las acciones correctivas.
Los requisitos de un Informe de Auditoría son:
1- Ser veráz2- Estar documentado formalmente3- Mostrar las observaciones (debilidades) encontradas.4- Tener recomendaciones y soluciones para cada observación.5- Reflejar las áreas de oportunidad y cursos de acción.
Procedimientos para elaborar un informe.
1. Aplicar instrumentos de recopilación.2. Registrar en el formato de situaciones encontradas las desviaciones halladas durante la revisión.3. Comentar las situaciones encontradas con los auditados.
4. Encontrar, conjuntamente con los auditados, las causas de las desviaciones y sus posibles soluciones.
5. Analizar, depurar y corregir las desviaciones encontradas.6. Jerarquizar las desviaciones encontradas y concentrar las más
importantes en el formato de situaciones relevantes.7. Comentar las situaciones relevantes con los directivos del área
de sistemas y confirmar las causas y soluciones.8. Concentrar, depurar y elaborar el informe final de auditoría,
así como el dictamen del auditor.9. Presentar el informe y dictamen final a los directivos de la empresa.
MODELO DE UN INFORME DE AUDITORÍA• 1) Fecha del Informe:
2) NOMBRE DE LA ENTIDAD: Auditoría de: ........3)Objetivo: ........... 4)Lugar de la Auditoría:...........5)Grupo de Trabajo de Auditoría: .......................................6)Fecha de Inicio de la Auditoría:........................................7)Tiempo estimado del proceso de revisión X hs............... 8)Fecha de Finalización de la Auditoría: ...........................9)Herramientas utilizadas:.................................................10)Alcance:............................................................................11)Procedimientos a aplicar:.............................................12)Informe de debilidades detectadas:
• CONCLUSIONES:_______________
Ejemplo informe de auditoría INFORME DE AUDITORIA
1. Identificación del informe: Auditoria de la Ofimática.
2. Identificación del Cliente: El área de Informática.
3. Identificación de la Entidad Auditada: Municipalidad Provincial Mariscal Nieto.
4. Objetivos.
• VerificarSi la selección de equipos y sistemas de computación es adecuada.
• VerificarLa existencia de un plan de actividades previo a la instalación.
• VerificarSi existen garantías para proteger la integridad de los recursos Informáticos.
5. Hallazgos Potenciales• Falta de licencias de software.• Falta de software de aplicaciones actualizados.• Falta material ofimática. 6. Alcance de la auditoria: Nuestra auditoria, comprende el presente periodo 2004 yse ha realizado especialmente al Departamento de centro de cómputo de acuerdoa las normas y demás disposiciones aplicable al efecto.7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemoscumplido con evaluar cada uno de los objetivos contenidos en el programa deauditoría.La escasez de personal debidamente capacitado
8. Recomendacioneso Se recomienda contar con sellos y firmas digitales.o Reactualización de datos.o Implantación de equipos de última generación.
AUDITORIA DE SISTEMAS Elaborar un calendario de mantenimiento de rutina periódico. Capacitar al personal.
9. Fecha Del Informe
PLANEAMIENTO EJECUCIÓN INFORME
FECHAS 01–10–04 AL 28–11-04
10. Identificación Y Firma Del Auditor
APELLIDOS Y NOMBRES CARGO
QUIÑONES MAYRA CARMEN AUDITOR SUPERIOR.
CONCLUSIONES DE LA AUDITORIA INFORMÁTICA
• Las auditorias informáticas se conforman obteniendo información y documentación de todo tipo.
• Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes medios.
• El trabajo del auditor consiste en lograr obtener toda la información necesaria para emitir un juicio global objetivo, siempre amparando las evidencias comprobatorias.
• El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrónico.
• También debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar.
• Toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia.
• Hoy en día, la mayoría de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente..
• El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante.
Por su atención gracias…!!