UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS

ESCUELA DE CONTABILIDAD Y AUDITORIA

AUDITORIA SISTEMAS INFORMATICOS I

TEMA: ADQUISICIÓN E IMPLEMENTACIÓN

ALUMNO: EDUARDO CONDE

CURSO: 9-6

PROFESOR: DR. CARLOS ESCOBAR

SEMESTRE 2012

AI. ADQUISICION E IMPLEMENTACION -

DOMINIO

Deben ser identificadas, desarrolladas o adquiridas, asi como implementadas e integradas dentro del proceso del negocio, además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

PROCESOS

AI1. Identificación de Soluciones Automatizadas

AI2. Adquisición y Mantenimiento del Software Aplicado

AI3. Adquisición y Mantenimiento de la Infraestructura Tecnológica

AI4. Desarrollo y Mantenimiento de Procesos

AI5. Instalación y Aceptación de los Sistemas

AI6. Administración de los Cambios

AI1. IDENTIFICACIÓN DE SOLUCIONES

AUTOMATIZADAS – PROCESO

OBJETIVO.- Asegurar el mejor enfoque para cumplir con los

requerimientos del usuario mediante un análisis de las

oportunidades comparadas con los requerimientos de los usuarios

para lo cual se debe observar:

Areas usuarias

Sistema Gerencial

Requerimientos

objetivos Estratégicos

Areas usuarias

Aplicaciones (software)

Dirección de Sistemas

ORGANIZACIÓN

Visión

Misión

Planes, proyectos y programas

Políticas

Prioridades

Que hacer?

OBJETIVOS

AI01.1. Definición de información para aprobar un proyecto de desarrollo.

AI01.2. Estudio de Factibilidad con la finalidad de satisfacer los requerimientos del negocio.

AI01.3. Arquitectura de Información para tener en consideración el modelo de datos

AI01.4. Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los beneficios.

AI01.5. Pistas de auditoria proporcionar la capacidad de proteger datos sensitivos.

AI01.6. Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado.

AI01.7. Aceptación de instalaciones y Tecnología a través del contrato.

PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN

Son una serie de registros sobre las actividades del sistema operativo, de

procesos o aplicaciones y/o de usuarios del sistema. Las pistas de auditoria

son procedimientos que ayudan a cumplir algunos objetivos de protección y

seguridad de la información, así como evidenciar con suficiencia y

competencia los hallazgos de auditoria son los conocidos como Log o registro.

Objetivos de protección y seguridad

Responsabilidad Individual. Seguimiento secuencial de las acciones del usuario.

Reconstrucción de Eventos. Investigaciones de cómo, cuándo y quién ha realizado.

Detección de Instrucciones.

Identificación de Problemas.

Pistas de auditoria-Evidencia

Identificador del Usuario

Cuándo ha ocurrido el evento

Identificador de host anfitrión que genera el registro.

Tipo de Evento

En el Sistema;

En las Aplicaciones

PISTAS DE AUDITORIA – EVOLUCIÓN DEL RIESGO –

ERRORES POTENCIALES EN TECNOLOGÍAS

INFORMATICAS.

PREVENCION

DETECCIÓN

REPRESIÓN

CORRECIÓN

EVALUACIÓN

RIESGO

INCIDENTE-ERROR

DAÑOS

RECUPERACIÓN

ERRORES POTENCIALES

Errores en la integridad de la información

•Datos en blanco

•Datos ilegibles

•Problemas de Trascripción

•Error de cálculo en medidas indirectas

•Registro de valores imposible

•Negligencia

•Falta de aleatoriedad

•Violentar la secuencia establecida para recolección

PISTAS DE AUDITORIA - EVOLUCIÓN Y

ADMINISTRACIÓN DEL RIESGOS

3. DIAGNOSTICO

5. EVALUACIÓN

MATERIALIDAD

2. DETECCION -SINTOMAS

PREDICCIÓN

4. CORRECCIÓN

1. PREVENCIÓN

ACCIONES PARA EVITARLOS

ADMINISTRACIÓN DEL RIESGO

Actuar sobre las causas

Técnicas y Políticas de control involucrados

Empoderar a las actores

Crear valores y actitudes

RIESGO

S

I

S

T

E

M

A

S

C

O

N

T/

C

I

N

T

E

R

N

O

PISTAS DE AUDITORIA – POLITICAS DE SEGURIDAD PARA

SISTEMAS DISTRIBUIDOS – PROCESO

Administración y control de accesos

Criptográfica

Integridad y Confidencialidad de datos

Disponibilidad

No discrecional

Dependientes y por defecto

Debe distinguirse 3 tipos distintos: 1. si se conectan todos los computadores dentro de un mismo edificio se denomina LAN (Local AreaNetwork). 2.Si están instalados en edificios diferentes, Wan (Wide AreaNetwork) estableciendo lacomunicación en un esquema cliente-servidor. 3. Plataforma de Internet en las actividades empresariales. El Institute forDefense Analyses en 1995, defina varios tipos de eventos que necesitaban ser auditados y los agrupaba en seis categorias:

PISTAS DE AUDITORIA . TECNICAS DE SEGURIDAD

PARA SISTEMAS DISTRIBUIDOS

TÉCNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD

AUTENTICACIÓN: Identificar a los usuarios que inicien sesiones en sistemas o la aplicación.

AUTORIZACIÓN: Una vez autenticado el usuario hay que comprobar si tiene los privilegios necesarios para realizar la acción.

INTEGRIDAD: Garantizar que los mensajes sean auténticos y no se alteren.

CONFIDENCIALIDAD: Ocultar los datos frente a accesos no autorizados.

AUDITORIA: Seguimiento de entidades que han accedido al sistema identificando el medio.

AI2 ADQUISICIÓN Y MANTENIMIENTO DEL

SOFTWARE APLICADO

OBJETIVO. Proporcionar funciones automatizadas que soporten efectivamente al negocio con declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada fundamentada en:

. Impacto estratégico, Oportunidad de ventaja competitiva.. Planificación, fijación de objetivos, coordinación, formación, adaptación de toda la organización.. Involucre a toda la empresa: directivos, trabajadores, clientes.. Una filosofía, cultura, estrategia, estilo de gestión.. ISO 9001:2000

MEJORA LA CALIDAD

CONTROL DE CALIDAD

GARANTIA DE CALIDAD

CALIDAD TOTAL

DETECTA DEFECTOS

PREVENIR DEFECTOS

TIEMPO

Mejora continua

HOY

GESTIO

N D

E C

ALID

AD

OBJETIVOS DE CONTROL

Objetivos y planes a corto y largo plazo de tecnología de información.

Documentación (materiales de consulta y soporte para usuarios)

Requerimientos de archivo; de entrada, procesos y salida de la información.

Controles de aplicación y requerimientos funcionales;

Interface usuario- máquina; asegurar que el software sea fácil de utlizar y capaz de auto documentarse.

Pruebas funcionales (unitarias, de aplicación, de integración y de carga); de acuerdo con el plan de prueba del proyectos y los estándares establecidos.

AI3 ADQUISICIÓN Y MANTENIMIENTO DE LA

INFRAESTRUCTURA TECNOLÓGICA – PROCESO

OBJETIVO. Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios originadas de una evaluación del desempeño del hardware y software apropiada; provisión de mantenimiento preventivo de hardware e instalación, seguridad y control del software del sistema y toma en consideración:

AI3.1 EVALUACION DE TECNOLOGIA; Para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema.

AI3.2 MANTENIMIENTO PREVENTIVO; Del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento.

AI3.3 SEGURIDAD DEL SOFTWARE DE SISTEMA; Instalación y mantenimiento para no arriesgar la seguridad de los datos y programas

AI4 DESARROLLO Y MANTENIMIENTO DE

PROCESOS – PROCESO

OBJETIVO.- Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. Para ello se diseñara manuales de procedimientos, de operaciones para usuarios y materiales de entrenamiento con el propósito de:

AI4.1 Manuales de procedimientos de usuarios y controles;

AI4.2 Materiales de entrenamiento; Enfocados al uso del sistema en la práctica diaria del usuario.

AI4.3 Manuales de Operaciones y Controles; para que el usuario comprenda el alcance de su actividad y valide su trabajo.

AI4.4 Levantamiento de procesos; Los procesos deben ser organizados y secuenciados.

AI5 INSTALACIÓN Y ACEPTACIÓN DE LOS

SISTEMAS – PROCESO

OBJETIVO.- Verificar y confirmar que la solución tecnológica PROPUESTA sea adecuada al propósito deseado, para lo cual debe aplicarse un procedimiento de instalación y aceptación que incluya; conversión y migración de datos, plan de aceptaciones formalizado con pruebas, validaciones y revisiones posteriores a la implementación de los sistemas, de manera puntual en:

AI5.1 CAPACITACIÓN DEL PERSONAL;

AI5.2 CONVERSIÓN/CARGA DATOS;

AI5.3 PRUEBAS ESPECÍFICAS; (cambios, desempeño, aceptación final, operacional)

AI5.4 VALIDACIÓN Y ACREDITACIÓN;

AI5.5 REVISIONES POST IMPLEMENTACIÓN;

AI6 ADMINISTRACIÓN DE CAMBIOS –

PROCESO

TECNICAS DE CONTROL

Comprar programas sólo a proveedores fiables.

Usar productos evaluados

Inspeccionar el código fuente antes de usarlo

Controlar el acceso y las modificaciones una vez instalado

OBJETIVO.- Minimizar la probabilidad de interrupciones, alteraciones y errores a través de una eficiencia administración del sistema, las aplicaciones y la base de datos con análisis, implementación y seguimiento de todos los cambios requeridos y llevados para lo cual debe;

AI6.1 IDENTIFICACIÓN DE CAMBIOS.- Los cambios en las aplicaciones diseñadas internamente; así como, las adquiridas a proveedores.

AI6.2 Procedimientos; de categorización, priorización y emergencia de solicitudes de cambios.

AI6.3 Evaluación del impacto que provocaran los cambios; tecnológicos en la perspectiva del cliente, financiera, de procesos, del talento humano y la estructura

AI6.4 Autorización de cambios; registro y documentación de los cambios autorizados.

AI6.5 Manejo de Liberación. La liberación de software debe estar regida por procedimientos formales asegurando aprobación.

AI6.6 Distribución de software. Estableciendo medidas de control especificas para asegurar la distribución de software sea el lugar y usuario correcto.

SALIR