tesis-metodologia para auditar la ti
TRANSCRIPT
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
1/175
FACULTAD DE INGENIERA
UNIVERSIDAD NACIONAL AUT NOMADE MXICO
UNA METODOLOGA PARA AUDITARTECNOLOGAS DE INFORMACIN
(TERCERA PARTE)
T E S I S
QUE PARA OBTENTER EL TTULO DE:
INGENIERO EN COMPUTACIN
P R E S E N T A N:
DAVID PLATA SNCHEZEDUARDO HILARIO PONCE CASANOVA
DIRECTOR DE TESIS:
ING. HERIBERTO OLGUN ROMO
MXICO, D.F. Septiembre, 2009
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
2/175
Quiero dedicar esta Tesis a todas las personas que siempre han credo en m, gracias a todos por su apoyo,regaos y consejos que ayudaron a concluir este trabajo, cspide de una etapa importantsima en mi vida
profesional.
Gracias a Dios que me ha dado vida, dicha y alegra para cumplir este sueo.
Quiero agradecer a mi Madre, que ha sido y ser toda mi vida el ejemplo ms claro de lo que significan laspalabras Constancia y Superacin, a mi Padre que me ha enseado lo importante que es hacer las cosas de la
mejor manera y con la mejor actitud posible.
A mis hermanos, Monserrat y Csar, gracias por todo lo vivido, siempre los llevo conmigo.
A mis amigos, que vivieron conmigo todo este proceso:
Gracias Adan, Edgar, Sara, Xochitl, Tadeo, ngel, Karina, Lilia, Vicky, Ericka, Carlos, Susy, Erick, Fany,Sergio (Dalay), Alan (Chuchin), Jessica, Anita y Alicia.
A mi familia, a mis tos (as), primos(as), a mi Abuelo Maurilio, mi Abuela Eva, mi Abuela Silvia, a Elizabeth,a Sal y a mis nios Jayden (YY), Axel Ariel, Csar Haziel, Lorenita, Sandy y Brian.
Gracias a todas las personas que me han demostrado que no se necesita un lazo sanguneo para quererse comofamilia propia, gracias Sra. Rosa, Sr. Elas, Marcos, Alejandro, Mar, Viges, Arturo, Ta Malena, Ta Chayo,
To Beto.
Gracias a mi Universidad, la U.N.A.M, mi alma mater, por la excelente preparacin acadmica y por todo lo
que implica ser un PUMA de corazn.
Al Ing. Heriberto Olgun Romo por toda la asesora, dedicacin y aplicacin de sus conocimientos a estetrabajo, mi mas sincero agradecimiento.
Al Ing. Juan Jos Carren Granados, al Ing. Jorge Valeriano Assem, a la Ing. Norma Elva Chvez Rodrguezy al Ing. ngel Cesar Govantes Saldivar, gracias por sus atenciones adems de las revisiones pertinentes a este
proyecto.
Gracias a cada uno de ustedes por hacer posible esto, directa o indirectamente todos los antes mencionados hanpuesto un granito de arena para que hoy logre esto.
David Plata Snchez
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
3/175
A mi madre Alba: Gracias a sus enseanzas, paciencia y ejemplo, he logradouna meta ms y principalmente a ser, lo que soy hoy,
gracias mam.
A mi ta Yrais: Gracias por la confianza, consejos yapoyo que siempre me otorg.
A mis tos: Gracias por el apoyo y nimo que siempreme brindaron en este logro ms.
A mis Compaeros y Amigos: Gracias a quienes me acompaarony apoyaron en este camino de sabidura.
Agradezco a Dios por llenar mi vida de dicha, bendiciones y felicidad.
Eduardo H Ponce Casanova
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
4/175
NDICE GENERAL
Introduccin ....................................................................................................... i
Captulo 1. La Auditora
1.1. Antecedentes de la auditora .......................................................................... 31.2. Definicin de auditora .................................................................................... 4
1.2.1. . Objetivo de la auditora ......................................................................... 41.3. Tipos de auditora ........................................................................................... 5
1.3.1. . Auditora interna ................................................................................... 51.3.2. Auditora externa .................................................................................. 61.3.3. Diferencias entre Auditora interna y Auditora externa ....................... 6
1.4. Definicin de auditora en informtica ............................................................. 71.4.1. Surgimiento y alcance de la auditora en informtica ........................... 71.4.2. Caractersticas de la Auditora Informtica ........................................... 81.4.3. Sntomas de la necesidad de una Auditora Informtica ...................... 8
Captulo 2. Auditoras en Tecnologas de Informacin
2.1. Que son las tecnologas de Informacin ......................................................... 132.2. Tipos de tecnologas de informacin (TI) ........................................................ 142.3. Auditora en tecnologas de la informacin ..................................................... 14
2.3.1. . Objetivos de una Auditora en tecnologas de la informacin ............... 152.4. Metodologas y procedimientos en Auditorias a TI ......................................... 152.4.1. . Planificacin de la auditora .................................................................. 16
2.4.1.1. Comprensin del negocio y de su ambiente ............................ 162.4.1.2. Riesgo y materialidad de la auditora ....................................... 162.4.1.3. Tcnicas de evaluacin de riesgos .......................................... 172.4.1.4. Objetivos de controles y objetivos de auditora ........................ 172.4.1.5. Procedimientos de auditora .................................................... 17
2.4.2. Programa de auditora .......................................................................... 172.4.2.1. Tema de auditora .................................................................... 172.4.2.2. Objetivos de auditora .............................................................. 17
2.4.2.3. Alcances de auditora .............................................................. 172.4.2.4. Planificacin previa .................................................................. 182.4.2.5. Procedimientos de auditora .................................................... 18
2.4.3. Asignacin de los recursos ................................................................... 182.4.3.1. Desarrollar un plan detallado ................................................... 182.4.3.2. Contrastar la actividad actual con la actividad planificada en
el proyecto ............................................................................... 182.4.3.3. Ajustar el plan y tomar las acciones correctivas ...................... 18
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
5/175
2.4.4. Recopilacin de evidencia .................................................................... 192.4.5. Evaluacin de fortalezas y debilidades de auditora ............................. 192.4.6. Informe de auditora ............................................................................. 192.4.7. Seguimiento a las observaciones ......................................................... 20
2.5. Controles de Apoyo en una Auditora a TI ...................................................... 20
2.5.1. . Controles Internos ................................................................................ 202.5.2. Controles de Infraestructura ................................................................. 212.5.3. Controles de aplicacin ........................................................................ 21
2.6. Introduccin a COBIT ...................................................................................... 212.6.1. Misin de COBIT .................................................................................. 232.6.2. Componentes de COBIT ...................................................................... 232.6.3. Beneficios de implementar COBIT ....................................................... 24
Captulo 3. Auditora a un Programa Informtico Colaborativo(Groupware System, GS)
3.1. Introduccin .................................................................................................... 273.2. Herramientas de comunicacin electrnica .................................................... 28
3.2.1. Correo electrnico ................................................................................ 283.2.2. Correo de voz ....................................................................................... 283.2.3. Publicacin Web ................................................................................... 29
3.3. Herramientas de conferencias ........................................................................ 293.3.1. Conferencias de datos .......................................................................... 293.3.2. Conferencias de voz ............................................................................. 303.3.3. Conferencias de video .......................................................................... 303.3.4. Salas Chat o mensajes instantneos video .......................................... 30
3.3.5. Sistemas para facilitar reuniones .......................................................... 313.4. Herramientas de gestin colaborativa ............................................................. 32
3.4.1. Calendarios electrnicos ...................................................................... 323.4.2. Sistemas de gestin de proyectos ........................................................ 323.4.3. Sistemas de control de flujo de actividad ............................................. 333.4.4. Sistemas de gestin de conocimiento .................................................. 33
3.5. Preguntas o acciones para el auditor (PAA-XXX); Gua o sugerenciaspara el auditor (GSA-XXX) y recomendaciones para el cliente (RC-XXX) ...... 34
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
6/175
Captulo 4. Auditora a Sistemas basados en el Conocimiento(Knowledge Based System, KBS)
4.1. Introduccin .................................................................................................... 454.1.1. Sistemas Expertos ................................................................................ 46
4.1.2. Niveles para describir sistemas basados en el conocimiento ............... 464.1.3. Clasificacin de tareas ......................................................................... 474.1.4. Tcnicas de resolucin de problemas .................................................. 48
4.2. Modelos bsicos de representacin del conocimiento .................................... 494.2.1. Sistemas basados en reglas ................................................................ 504.2.2. Aspectos metodolgicos en la programacin de lenguajes basados
en reglas ............................................................................................... 514.2.3. Organizacin y control de programas basados en reglas ..................... 534.2.4. Eficiencia en sistemas de reconocimiento de patrones ........................ 534.2.5. Representacin estructurada del conocimiento con sistemas de
objetos CLOS ....................................................................................... 55
4.2.6. Integracin de distintos esquemas de representacin: CLIPS ............. 554.3. Agentes y Sistemas Multiagentes ................................................................... 564.4. Construccin de sistemas de razonamiento ................................................... 56
4.4.1. Implementacin de sistemas de inferencia dirigidos por patrones ....... 564.4.2. Sistema de mantenimiento de verdad .................................................. 57
4.5. Preguntas o acciones para el auditor (PAA-XXX); Gua o sugerenciaspara el auditor (GSA-XXX) y recomendaciones para el cliente (RC-XXX) ...... 58
Captulo 5. Auditora a Sistemas para el Soporte de Decisiones(Decision Support Systems, DSS)
5.1. Introduccin .................................................................................................... 695.2. Modelo administrativo ..................................................................................... 705.3. Tipos de sistemas de apoyo a las decisiones ................................................. 70
5.3.1. Sistema de soporte a la toma de decisiones (DSS) ............................. 705.3.2. Sistema de Informacin para ejecutivos (EIS) ...................................... 725.3.3. Sistema para la toma de decisiones en grupo (GDSS) ........................ 735.3.4. Sistemas expertos de soporte a la toma de decisiones (EDSS) ........... 74
5.4. Caractersticas ................................................................................................ 765.5. Componentes funcionales que integran un DSS ............................................ 77
5.5.1. El modelo ............................................................................................. 775.5.2. La base de datos .................................................................................. 78
5.5.2.1. Bases de datos corporativas .................................................. 785.5.2.2. Bases de datos locales y archivos propietarios ..................... 78
5.5.3. Sistema de software ............................................................................. 785.5.4. Interface con el usuario ........................................................................ 78
5.6. Factores para el xito de un DSS ................................................................... 795.7. Tendencias Futuras ........................................................................................ 815.8. Preguntas o acciones para el auditor (PAA-XXX); Gua o sugerencias
para el auditor (GSA-XXX) y recomendaciones para el cliente (RC-XXX) ...... 83
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
7/175
Captulo 6. Auditora a la Administracin de la Cadena de Suministro(Supply Chain Management)
6.1. Introduccin .................................................................................................... 936.2. Inteligencia de la cadena de abastecimientos ................................................. 94
6.3. Informacin crtica y just-in-time para la prediccin ......................................... 946.4. Optimizacin de costos de insumos ................................................................. 956.5. Logstica ........................................................................................................... 966.6. Mejora de procesos de la cadena de abastecimiento ...................................... 966.7. Confiabilidad y Estrategia de la organizacin de
la cadena de abastecimientos .......................................................................... 976.8. Preguntas o acciones para el auditor (PAA-XXX); Gua o sugerencias
para el auditor (GSA-XXX) y recomendaciones para el cliente (RC-XXX) ...... 98
Captulo 7. Auditora a Planificacin de Recursos Empresariales
(Enterprise Resourse Planning, ERP)
7.1. Introduccin .................................................................................................... 1097.2. Resultados a obtener con la implantacin de un ERP .................................... 1107.3. Modelo de negocio .......................................................................................... 1107.4. Modelo de gestin ........................................................................................... 1117.5. Anlisis del cambio organizativo ..................................................................... 1137.6. Estrategia de implantacin .............................................................................. 1137.7. Evaluacin de oportunidades para software
complementario al producto ERP .................................................................... 1147.8. Control de calidad ........................................................................................... 1147.9. Limitaciones y obstculos del ERP ................................................................. 1157.10. La Gestin o Administracin del Conocimiento (Knowledge Management) .. 1167.11. Preguntas o acciones para el auditor (PAA-XXX); Gua o sugerencias
para el auditor (GSA-XXX) y recomendaciones para el cliente (RC-XXX) ..... 118
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
8/175
Captulo 8. Auditora a la Administracin de la Relacin con losClientes (Customer Relationship Management, CRM)
8.1. Introduccin .................................................................................................... 1298.2. Implantacin de CRM ...................................................................................... 130
8.2.1. Estrategia ............................................................................................. 1308.2.2. Segmentacin ....................................................................................... 1308.2.3. Tecnologa ............................................................................................ 1308.2.4. Procesos .............................................................................................. 1308.2.5. Organizacin ........................................................................................ 131
8.3. Software de CRM ............................................................................................ 1318.4. El mtodo del Marketing del cliente ................................................................ 132
8.4.1. Definicin .............................................................................................. 1328.4.2. Cmo medirlo ....................................................................................... 1338.4.3. El mtodo ............................................................................................. 1348.4.4. En qu me favorece? ......................................................................... 135
8.5. E-commerce .................................................................................................... 1358.5.1. Qu es el E-commerce? ..................................................................... 1358.5.2. Cmo funciona el E-commerce? ........................................................ 136
8.6. Desarrollo de los CRM por Internet ................................................................. 1368.7. Preguntas o acciones para el auditor (PAA-XXX); Gua o sugerencias
para el auditor (GSA-XXX) y recomendaciones para el cliente (RC-XXX) ...... 138
Captulo 9. Auditora a Sistemas de Flujo de Trabajo(Workflow Systems, WS)
9.1. Introduccin .................................................................................................... 1479.2. Actividades colaborativas ................................................................................ 1499.3. Actividades cooperativas ................................................................................ 1499.4. Actividades de coordinacin ........................................................................... 1499.5. Objetivos de un sistema de Workflow ............................................................. 1509.6. Ventajas que brinda usar un sistema Workflow .............................................. 1509.7. Mtodos y organizacin a sistemas de informacin ........................................ 1539.8. Mecanismos de intercambio de informacin ................................................... 1569.9. Reingeniera del negocio ................................................................................ 1579.10. Preguntas o acciones para el auditor (PAA-XXX); Gua o sugerencias
para el auditor (GSA-XXX) y recomendaciones para el cliente (RC-XXX) ...... 159
Conclusiones ...................................................................................... 167
Bibliografa y Referencias ............................................................................. 171
Glosario ............................................................................................................... 179
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
9/175
INTRODUCCIN
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
10/175
i
INTRODUCCIN
Existen variadas razones para la existencia de la funcin de auditora a Tecnologasde Informacin (TI), de entre las cuales podemos citar:1. La informacin es un recurso clave en la empresa para:
Planear el futuro, controlar el presente y evaluar el pasado.2. Las operaciones de la empresa dependen cada vez ms de las Tecnologas deInformacin (TI).
3. Los riesgos tienden a aumentar, debido a:Prdida de informacinPrdida de activos.Prdida de servicios/ventas.
4. Las Tecnologas de Informacin (TI) representan un costo significativo para laempresa en cuanto a personal y costos tanto del hardware como del software.
5. Las polticas, normas y procedimientos de operacin y administracin se tornanrutinarias, por lo que ya no se les da importancia y algunas ya no se toman en
cuenta.5. Los problemas se identifican slo al final.6. El permanente avance tecnolgico.
El objeto fundamental del presente trabajo de tesis es la elaboracin de materialde apoyo para auditar algunas Tecnologas de Informacin (TI), proporcionando alauditor herramientas para realizarlas, mediante una serie de preguntas yactividades, con su correspondiente gua y/o sugerencias; as tambin, para cadauna de ellas se sugieren una o varias recomendaciones, mismas que si se tomanen cuenta mejorarn las polticas, normas y procedimientos de elaboracin,implantacin, operacin y administracin de los sistemas de informacin de
empresas e instituciones, tanto pblicas como privadas.La informacin mostrada es la recopilacin de una serie de investigaciones a TIespecificas, las cuales se obtuvieron de consultas principalmente a libros ypginas de Internet relacionadas con los temas.
El trabajo realizado presenta para cada captulo de Tecnologa de Informacin,herramientas de apoyo para el auditor y recomendaciones. En forma generalpodemos decir que en el captulo I se aborda la descripcin de lo qu es una
Auditora, as como una definicin y objetivos de la realizacin de la misma.
En el Captulo II se describe brevemente que es una Tecnologa de Informacin,tipos de Tecnologas de Informacin y como uno de los puntos centrales las
Auditoras a Tecnologas de Informacin.
En el Captulo III se presenta la informacin acerca de unPrograma InformticoColaborativo (GROUPWARE SYSTEMS,GS),que es principalmente una herramientautilizada por un grupo de personas que no se encuentran en un mismo lugar ynecesitan una comunicacin principalmente en tiempo real.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
11/175
ii
En el Captulo IV se ofrece la investigacin realizada de un Sistemas Basados enel Conocimiento(KNOWLEDGE BASED SYSTEMS,KBS),en la cual la TI se utiliza paragenerar nuevo conocimiento a travs de las herramientas que sta conlleva,utilizando los diferentes mtodos relacionados.
El Captulo V describe una de las tecnologas ms utilizadas actualmente,Sistemas para el Soporte de Decisiones (DECISION SUPPORT SYSTEMS, DSS), esuna Tecnologa para empresas cuyo objetivo sea tener y mantener una ventajacompetitiva.
En el Captulo VI se muestra la Tecnologa de Informacin llamada Administracinde la Cadena de Suministro(SUPPLY CHAIN MANAGEMENT,SCM),la cual administraprocesos de intercambio, flujo de materiales y de informacin, que se establecendentro de cada organizacin o empresa.
En el Captulo VII nos da un pequeo panorama acerca de la Planificacin deRecursos Empresariales (ENTERPRISE RESOURSE PLANNING, ERP), que sonaplicaciones de gestiones de informacin, modulares y adaptables, que permitenintegrar y automatizar las prcticas de negocio relacionadas con los aspectosoperativos o productivos de una empresa.
En el Captulo VIII se otorga la descripcin de laAdministracin de la Relacin conlos Clientes (CUSTOMER RELATIONSHIP MANAGEMENT,CRM),que es una estrategiaque permite a las empresas identificar, atraer y retener a sus clientes.
Por ltimo en el Captulo IX se presenta una descripcin a los Sistemas de Flujode Trabajo(WORKFLOW SYSTEMS,WS),en la que se lleva una secuencia lgica deactividades, que se ejecutan en forma sncrona o asncrona.
Actualmente existen muchas y variadas Tecnologas de Informacin, para lascuales se realizan auditoras, ya que contienen elementos de anlisis, deverificacin y de exposicin de recomendaciones (debilidades y disfunciones), porlo cual se crea esta herramienta, que contiene los conceptos bsicos sobre latecnologa por auditar, adems de que el auditor puede disponer de material deapoyo para su proceso.
El objetivo principal ser entonces que este proyecto sea una referencia para elprofesional de la auditora a tecnologas de informacin, puesto que permitirmayor eficiencia en su trabajo y contar con una base de conocimiento que puedaretroalimentar a los auditores y apoyar sus funciones; as como, mayorcomunicacin e integracin en los equipos de trabajo.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
12/175
C A P T U L O
I
LA AUDITORA
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
13/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
4
1.2. Definicin de auditora
Segn Holmes:
La auditoria es el examen de las demostraciones y registros administrativos. Elauditor observa la exactitud, integridad y autenticidad de tales demostraciones,registros y documentos.
Otra definicin sencilla es la que estipula que la auditora es:
El examen de todas las anotaciones contables a fin de comprobar su exactitud;as como, la veracidad de los estados o situaciones que dichas anotacionesproducen.
1.2.1. Objetivo de la auditora
Consiste en apoyar a los miembros de la empresa en el desempeo de susactividades. Para ello la auditora les proporciona anlisis, evaluaciones,recomendaciones, asesora e informacin concerniente a las actividadesrevisadas.
El objetivo de una auditoria contempla lo siguiente:
a) Emitir opinin.
b) Determinar la razonabilidad de los estados financieros con la finalidadde emitir una opinin profesional.
c) Evaluacin de los controles internos con la finalidad de implantar unavance de procedimientos de auditoria, as como formular renumeraciones para las respectivas correcciones a tiempo.
d) Evaluacin de los objetivos de las metas trazadas.
e) Comprobacin del funcionamiento de la Administracin.
f) El control interno, de la evaluacin de las metas trazadas pororganismos pblicos.
g) Determinar el grado de confiabilidad de los estados financieros.
h) Determinar las irregularidades en el manejo de los recursos humanos.
i) Evaluacin de la gestin empresarial, el cumplimiento de las medidasde austeridad.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
14/175
LAAUDITORA
5
j) Evaluacin contable y presupuestal, si muestran confiabilidad.
k) Efectuar un seguimiento con las recomendaciones dadas.
1.3. Tipos de auditora
Existen diversos tipos de auditora entre los cuales destacan la auditora externa yla auditora interna.
De stos derivan otras tales como: auditora operativa, auditora peridica,auditora continua, auditora financiera y auditora administrativa.
1.3.1. Auditora interna
Es aquella llevada a cabo por los empleados de una misma negociacin ydependiendo de la administracin de dicha empresa. Es una funcinconsultiva donde se crean y evalan procedimientos financieros, revisa losregistros contables y los procedimientos de operacin, evala el sistema decontrol interno existente, suma peridicamente los resultados de unainvestigacin continua, hace recomendaciones para mejorar losprocedimientos e informa a la alta gerencia acerca de los resultados de sushallazgos.
Entre otras funciones del auditor interno pueden mencionarle las siguientes:
Salvaguardar los activos y cuidar sus correctas evaluaciones.
Actualizacin y mejora de los procedimientos administrativos deregistros.
Dar fe del grado de veracidad y exactitud con que se han registrado enlos libros de contabilidad y se muestran en los estados financieros.
An cuando la naturaleza del trabajo del auditor interno difiere en muchossentidos del trabajo del auditor externo. En un sentido amplio, los objetivosde un auditor interno y de un auditor externo son similares, es decir, elevaluar e informar acerca de los estados financieros y de la confiabilidadque se puede tener en los datos all presentados determinando adems la
exactitud e integridad de los registros.
1.3.2. Auditora externa
Es aquella que es llevada a cabo por una persona independiente o firma decontadores pblicos. El auditor independiente no es un empleado delcliente, su relacin con la administracin no es otra distinta a una relacinprofesional.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
15/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
6
Los objetivos inmediatos de una auditora externa independiente son:
Juzgar si lo que presenta la administracin es correcto
Rendir una opinin profesional e independiente respecto a la condicinfinanciera y resultados de operacin con la empresa auditada
Se habrn de corregir los errores y se habrn de detectar los fraudes.Como otro resultado de una auditora, el auditor independiente estcapacitado para aconsejar y orientar a su cliente cuando este solicitaservicios de consultora administrativa.
1.3.3. Diferencias entre Auditora interna y Auditora externa
Existen diferencias substanciales entre la auditoria interna y la auditoriaexterna.
La auditoria interna tiene lugar cuando el actor que genera la actividadauditora pertenece a la misma organizacin que la unidad auditada. Laauditoria externa se produce, en cambio, cuando el auditor forma parte deuna organizacin distinta de la que pertenece la unidad auditada.
Los trminos interno y externo son independientes al tipo de auditoria quese haga Una auditoria puede ser interna o externa en funcin de laubicacin organizativa del responsable de la misma. Es necesario precisar
esto porque suele identificarse errneamente la auditoria interna con laauditoria contable o financiera.
En la Auditoria Interna existe un vnculo laboral entre el auditor y laempresa, mientras que en la Auditoria Externa la relacin es de tipo civil.
En la Auditoria Interna el diagnstico del auditor, esta destinado para laempresa; en el caso de la Auditoria Externa este dictamen se destinageneralmente para terceras personas o sea ajena a la empresa.
La Auditoria Interna est inhabilitada para dar Fe Pblica, debido a suvinculacin contractual laboral, mientras la Auditoria Externa tiene lafacultad legal de dar Fe Pblica.
1.4. Definicin de auditora en informtica
Una definicin bsica contempla lo siguiente:La auditora en informtica es una disciplina incluida en el campo de la auditoraque se refiere al anlisis realizado por un auditor externo e independiente de lascondiciones de una instalacin informtica.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
16/175
LAAUDITORA
7
Una definicin ms concisa contempla lo siguiente:Conjunto de procedimientos y tcnicas para evaluar y controlar, total oparcialmente, un sistema informtico, con el fin de proteger sus activos yrecursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo
con la normativa informtica y general existentes en cada empresa y paraconseguir la eficacia exigida en el marco de la organizacin correspondiente.
1.4.1. Surgimiento y alcance de la auditora en informtica
La Informtica en la actualidad, est subsumida en la gestin integral de laempresa, y por eso las normas y estndares propiamente informticosdeben estar, por lo tanto sometidos a los estndares generales de lamisma. En consecuencia, las organizaciones informticas forman parte delo que se ha denominado el "management" o gestin de la empresa. LaInformtica no gestiona propiamente a la empresa, ayuda a la toma dedecisiones, pero no decide por s misma. Por ende, debido a suimportancia en el funcionamiento de una empresa, existe la AuditoraInformtica.
El alcance ha de definir con precisin el entorno y los lmites en que va adesarrollarse la auditora informtica, se complementa con los objetivos desta.
El alcance ha de figurar expresamente en el Informe Final, de modo quequede perfectamente determinado no solamente hasta que puntos se hallegado, sino cules materias fronterizas han sido omitidas.
Control de integridad de registros:
Hay aplicaciones que comparten registros, son registros comunes. Si unaaplicacin no tiene integrado un registro comn, cuando lo necesite utilizarno lo va encontrar y, por lo tanto, la aplicacin no funcionara comodebera.
Control de validacin de errores:
Se corrobora que el sistema que se aplica para detectar y corregir erroressea eficiente.
1.4.2. Caractersticas de la Auditora Informtica
La informacin de la empresa y para la empresa, siempre importante, seha convertido en un activo real de la misma, como sus inmuebles omaterias primas, si las hay.
Del mismo modo, los sistemas informacin han de protegerse de modoglobal y particular, a ello se debe la existencia de la auditora de seguridad
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
17/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
8
informtica en general, o a la auditora de seguridad de alguna de susreas, como pudieran ser desarrollo o tcnica de sistemas.
Cuando se producen cambios estructurales en la informacin, sereorganiza, de alguna forma, su funcin: se est en el campo de la
Auditora de Organizacin Informtica.
Estos tipos de auditoras engloban a las actividades auditoras que serealizan en una auditora parcial.
De otra manera: cuando se realiza una auditoria del rea de desarrollo deproyectos de la informtica de una empresa, es porque en ese desarrolloexisten, adems: ineficiencias, debilidades de organizacin, o deinversiones, o de seguridad, o alguna mezcla de ellas.
1.4.3. Sntomas de la necesidad de una Auditora Informtica
Las empresas acuden a las auditoras externas cuando existen sntomasbien perceptibles de debilidad. Estos sntomas pueden agruparse enclases:
a) Sntomas de descoordinacin y desorganizacin:
No coinciden los objetivos de las TI de la compaa con los de lapropia Compaa.
Los estndares de productividad se desvan sensiblemente de lospromedios conseguidos habitualmente.
b) Sntomas de mala imagen e insatisfaccin de los usuarios:No se atienden las peticiones de cambios de los usuarios. Ejemplos:cambios de software en los terminales de usuario, variacin de losarchivos que deben ponerse diariamente a su disposicin, etc.
No se reparan las averas de hardware ni se resuelven incidenciasen plazos razonables. El usuario percibe que est abandonado ydesatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega deresultados peridicos. Pequeas desviaciones pueden causarimportantes desajustes en la actividad del usuario, en especial enlos resultados de aplicaciones crticas y sensibles.
c) Sntomas de debilidades econmico-financieras:
Incremento desmesurado de costos.
Necesidad de justificacin de Inversiones Informticas.
Desviaciones presupuestarias significativas.
Costes y plazos de nuevos proyectos.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
18/175
LAAUDITORA
9
d) Sntomas de Inseguridad:
Evaluacin de nivel de riesgos
Seguridad lgica.
Seguridad fsica.
Confidencialidad.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
19/175
C A P T U L O
II
AUDITORAS EN TECNOLOGAS DE INFORMACIN
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
20/175
CAPTULO 2AUDITORAS EN TECNOLOGAS DE INFORMACIN
2.1. Que son las tecnologas de Informacin
La tecnologa de informacin (TI) segn lo definido por la asociacin de latecnologa de informacin de Amrica (ITAA) es el estudio, diseo, desarrollo,implementacin, soporte o direccin de los sistemas de informacincomputarizados, en particular de software de aplicacin y hardware decomputadoras. Se ocupa del uso de las computadoras y su software paraconvertir, almacenar, proteger, procesar, transmitir y recuperar la informacin.Hoy en da, el trmino tecnologa de informacin se suele mezclar con muchosaspectos de la computacin y la tecnologa y el trmino es ms reconocible queantes.La tecnologa de la informacin puede ser bastante amplia, cubriendo muchoscampos. Los profesionales TI realizan una variedad de tareas que van desde
instalar aplicaciones a disear complejas redes de computacin y bases de datos.Algunas de las tareas de los profesionales TI incluyen, administracin de datos,redes, ingeniera de hardware, diseo de programas y bases de datos, as comola administracin y direccin de los sistemas completos. Cuando las tecnologasde computacin y comunicacin se combinan, el resultado es la tecnologa de lainformacin o infotech. La Tecnologa de la Informacin (TI) es un trminogeneral que describe cualquier tecnologa que ayuda a producir, manipular,almacenar, comunicar, y/o esparcir informacin.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
21/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
14
2.2. Tipos de tecnologas de informacin (TI)
El trmino tecnologa de informacin se ha expandido para abarcar muchosaspectos de computadora y de la tecnologa, este es ms reconocible que antes.El mundo de la tecnologa de informacin puede ser absolutamente grande,
cubriendo muchos campos.Los profesionales realizan una variedad de deberes que se extienden desdeinstalar aplicaciones, a disear redes de ordenadores y bases de datos complejasde la informacin. Algunos de los deberes que los profesionales realizan puedenincluir:
Gerencia de datos
Establecimiento de una red de la computadora
Diseo de los sistemas de la base de datos
Diseo del software
Sistemas de informacin de gerencia
Gerencia de sistemas
2.3. Auditora en tecnologas de la informacin
Una auditora a tecnologas de la informacin es un examen profesional, objetivoy sistemtico de las operaciones y actividades efectuadas por una organizacin,proyecto o programa, para determinar el grado de cumplimiento y eficacia de:
La planificacin, el desarrollo y la implantacin de los sistemas utilizados.
La informacin producida por los sistemas, su pertinencia y confiabilidad.
La documentacin bsica de cada sistema, su implantacin y la divulgacinde la misma entre los usuarios.
Los mecanismos de control incorporados en los sistemas.
Los recursos idneos identificados y disponibles para garantizar la continuidadde las operaciones en caso de desastres.
El programa de adiestramiento al personal de sistemas de informacin, sususuarios y los auditores.
Entonces, se entiende por auditora a tecnologas de la informacin a aquellaactividad auditora que trata de evaluar la adecuada utilidad, eficiencia y fiabilidadde la informacin mecanizada que se produce en una determinada empresa o
institucin, as como la organizacin de los servicios que la elaboran y procesan.Por lo tanto la auditora a tecnologas de la informacin debe analizar la funcininformtica, que engloba el anlisis de la organizacin, seguridad, segregacin defunciones y gestin de las actividades de proceso de datos.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
22/175
AUDITORAS EN TECNOLOGAS DE INFORMACIN
15
2.3.1. Objetivos de una Auditora en tecnologas de la informacin
Verificar el control de la funcin informtica, asegurando a la alta
direccin y al resto de las reas de la empresa que la informacin que
les llega es la necesaria en el momento oportuno, y es fiable, ya que
les sirve de base para tomar decisiones importantes.
Eliminar o reducir al mximo la posibilidad de prdida de la
informacin por fallos en los equipos, en los procesos o por una
gestin inadecuada de los archivos de datos.
Detectar y prevenir fraudes por manipulacin de la informacin o por
acceso de personas no autorizadas a transacciones que exigen
traspasos de fondos.
Buscar una mejor relacin costo-beneficio de los sistemasautomticos o informticos.
Asegurar una mayor integridad, confidencialidad y confiabilidad de lainformacin mediante la recomendacin de seguridades y controles.
Conocer la situacin actual del rea informtica y las actividades yesfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Seguridad, utilidad, confianza, privacidad y disponibilidad en elambiente informtico.
Minimizar existencias de riesgos en el uso de tecnologa deinformacin.
Decisiones de inversin y gastos innecesarios.
Capacitacin y educacin sobre controles en los sistemas deinformacin.
2.4. Metodologas y procedimientos en Auditorias a TI
El auditor de TI debe evaluar los riesgos globales y luego desarrollar un programade auditora que consta de objetivos de control y procedimientos de auditora quedeben satisfacer esos objetivos. El proceso de auditora exige que el auditor de TIrena evidencia, evale fortalezas y debilidades de los controles existentesbasado en la evidencia recopilada, y que prepare un informe de auditora quepresente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
23/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
16
auditora debe garantizar una disponibilidad y asignacin adecuada de recursospara realizar el trabajo de auditora adems de las revisiones de seguimientosobre las acciones correctivas emprendidas por la gerencia.En general el proceso seguido en una auditora es similar al siguiente:
2.4.1. Planificacin de la auditora
Una planificacin adecuada es el primer paso necesario para realizarauditorias de TI eficaces. El auditor de TI debe comprender el ambiente delnegocio en el que se ha de realizar la auditora as como los riesgos delnegocio y control asociado.
2.4.1.1. Comprensin del negocio y de su ambiente
Al planificar la auditora, el auditor de TI debe tener unacomprensin general de las diversas prcticas comerciales yfunciones relacionadas con el tema de la auditora, as como lostipos de sistemas que se utilizan. El auditor de TI tambin debecomprender el ambiente normativo en el que opera el negocio.
2.4.1.2. Riesgo y materialidad de la auditora
Se puede definir los riesgos de auditora como aquellos riesgos deque la informacin pueda tener errores materiales o que el auditorde TI no pueda detectar un error que ha ocurrido. Los riesgos enauditora pueden tener diversas clasificaciones.El auditor puede llegar a la conclusin de que no existen erroresmateriales cuando en realidad los hay. La palabra materialutilizada con cada uno de los riesgos evaluados, se refiere a unerror que debe considerarse significativo cuando se lleva a cabouna auditora. En una auditora de TI, la definicin de riesgosmateriales depende del tamao o importancia del objeto auditadoas como de otros factores. El auditor de TI debe tener una cabalcomprensin de los riesgos de auditora al planificar.Una auditora tal vez no detecte cada uno de los potencialeserrores en un universo. Pero, s el tamao de la muestra es losuficientemente grande, o se utilizan procedimientos estadsticosadecuados se llega a minimizar la probabilidad del riesgo dedeteccin. De manera similar al evaluar los controles internos, elauditor de TI debe percibir que en un sistema dado se puededetectar un error mnimo, pero ese error combinado con otros,puede convertirse en un error material para todo el objetoauditado.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
24/175
AUDITORAS EN TECNOLOGAS DE INFORMACIN
17
2.4.1.3. Tcnicas de evaluacin de riesgos
Al determinar que reas funcionales o temas de auditora quedeben auditarse, el auditor de TI puede enfrentarse a una granvariedad de temas candidatos a ser auditados, el auditor debe
evaluar esos riesgos y determinar cuales de esas reas de altoriesgo debe ser auditada.
2.4.1.4. Objetivos de controles y objetivos de auditora
El objetivo de un control es anular el riesgo siguiendo algunametodologa, el objetivo de auditora es verificar la existencia deestos controles y que estn funcionando de manera eficaz,respetando las polticas de la empresa y los objetivos de laempresa.
2.4.1.5. Procedimientos de auditora
Algunos de los procedimientos ms utilizados son las entrevistascon los especialistas tcnicos, utilizacin de un software ydiagramas de flujo.
2.4.2. Programa de auditora
Un programa de auditora es un conjunto de procedimientos documentadosy diseados para alcanzar los objetivos de auditora planificados.
2.4.2.1. Tema de auditora
Donde se identifica el rea a ser auditada.
2.4.2.2. Objetivos de auditora
Donde se indica el propsito del trabajo de auditora a realizar.
2.4.2.3. Alcances de auditora
Aqu se identifica los sistemas especficos o unidades de laorganizacin que se han de incluir en la revisin en un periodode tiempo determinado.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
25/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
18
2.4.2.4. Planificacin previa
Donde se identifica los recursos y destrezas que se necesitanpara realizar el trabajo as como las fuentes de informacin parapruebas o revisin y lugares fsicos o instalaciones donde se va
auditar.
2.4.2.5. Procedimientos de auditoraSe debe indicar como se va a desarrollar los diversos pasos dela auditora.
2.4.3. Asignacin de los recursos
La asignacin de los recursos para el trabajo de auditora debe considerarlas tcnicas de administracin de proyectos las cuales tienen los siguientespasos bsicos:
2.4.3.1. Desarrollar un plan detallado
El plan debe precisar los pasos a seguir para cada tarea yestimar de manera realista, el tiempo teniendo en cuenta elpersonal disponible.
2.4.3.2. Contrastar la actividad actual con la actividad planificadaen el proyecto
Debe existir algn mecanismo que permita comparar elprogreso real con lo planificado.
2.4.3.3. Ajustar el plan y tomar las acciones correctivas
Si al comparar el avance con lo proyectado se determinaavances o retrasos, se debe reasignar tareas (el control sepuede llevar en un diagrama de Gantt). Los recursos debencomprender tambin las habilidades con las que cuenta el grupode trabajo de auditora y el entrenamiento de auditora, como losperodos de vacaciones que estos tengan, otros trabajos queestn realizando, etc.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
26/175
AUDITORAS EN TECNOLOGAS DE INFORMACIN
19
2.4.4. Recopilacin de evidencia
La recopilacin de material de evidencia es un paso clave en el proceso dela auditora, el auditor de TI debe tener conocimientos de cmo puederecopilar la evidencia examinada.
2.4.5. Evaluacin de fortalezas y debilidades de auditora
Luego de desarrollar el programa de auditora y recopilar evidencia deauditora, el siguiente paso es evaluar la informacin recopilada con lafinalidad de desarrollar una opinin. Para esto generalmente se utiliza unamatriz de control con la que se evaluar el nivel de los controlesidentificados. En esta etapa de evaluacin de debilidades y fortalezastambin se debe elegir o determinar la materialidad de las observaciones ohallazgos de auditora. El auditor de TI debe juzgar cuales observacionesson materiales a diversos niveles de la gerencia y se debe informar deacuerdo a ello.
2.4.6. Informe de auditora
Los informes de auditora son el producto final del auditor de TI, esteinforme es utilizado para indicar las observaciones y recomendaciones a lagerencia, aqu tambin se expone la opinin sobre lo adecuado o loinadecuado de los controles o procedimientos revisados durante laauditora, no existe un formato especfico para exponer un informe deauditora de TI, pero generalmente tiene la siguiente estructura ocontenido:
Introduccin al informe, donde se expresara los objetivos de la
auditora, el perodo o alcance cubierto por la misma, y una expresin
general sobre la naturaleza o extensin de los procedimientos de
auditora realizados.
Observaciones detalladas y recomendaciones de auditora.
Respuestas de la gerencia a las observaciones con respecto a las
acciones correctivas.
Conclusin global del auditor expresando una opinin sobre los
controles y procedimientos revisados.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
27/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
20
2.4.7. Seguimiento a las observaciones
El trabajo de auditora es un proceso continuo, se debe entender que noservira de nada el trabajo de auditora si no se comprueba que lasacciones correctivas tomadas por la gerencia, se estn realizando, para
esto se debe tener un programa de seguimiento, la oportunidad deseguimiento depender del carcter crtico de las observaciones deauditora. El nivel de revisin de seguimiento del auditor de TI dependerde diversos factores, en algunos casos el auditor de TI tal vez solonecesite inquirir sobre la situacin actual, en otros casos tendr quehacer una revisin ms tcnica del sistema.
Como conclusin, podemos decir que todo auditor debe crear lasmetodologas necesarias para auditar los distintos aspectos o reas quedefina en el plan.
2.5. Controles de Apoyo en una Auditora a TI
2.5.1. Controles Internos
Tradicionalmente se han definido los controles internos como cualquieractividad o accin realizada manual y/o automticamente para prevenir,corregir errores o irregularidades que puedan afectar al funcionamientode un sistema para conseguir sus objetivos.Los controles internos que se utilizan en el entorno informticoevolucionan continuamente a medida que los sistemas informticos sevuelven ms complejos.Histricamente, los objetivos de los controles informticos se hanclasificado en las siguientes categoras:
Controles preventivos:para tratar de evitar un evento, como el uso deun software de seguridad que impida los accesos no autorizados al
sistema.
Controles detectores:cuando fallan los preventivos para tratar deconocer cuanto antes o porque ha ocurrido el evento. Por ejemplo, el
registro de intentos de acceso no autorizados, el registro de la actividad
diaria para detectar errores u omisiones, etc.
Controles correctivos:facilitan la vuelta a la normalidad cuando se hanproducido incidencias. Por ejemplo, la recuperacin de un fichero
daado a partir de las copias de seguridad.
Es muy importante conocer la relacin que existe entre los mtodos decontrol, los objetivos de control y los objetivos de auditora. Se trata de untema difcil por el hecho de que, histricamente, cada mtodo de control
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
28/175
AUDITORAS EN TECNOLOGAS DE INFORMACIN
21
ha estado asociado unvocamente con un objetivo de control. Porejemplo, la seguridad de ficheros se consegua manteniendo la sala decomputadoras cerrada con llave. Hoy los controles informticos hanevolucionados hasta convertirse en procesos integrados en los que seatenan las diferencias entre las categoras tradicionales de controles
informticos.
2.5.2. Controles de Infraestructura
Los controles de Infraestructura se aplican a todos los componentes desistemas, procesos y datos, para una determinada organizacin oentorno de TI, incluyen:
Polticas de seguridad de informacin
Administracin
Acceso y autenticacinAdquisicin e implementacin de sistemas
Gestin de cambios
Respaldo
Recuperacin y continuidad de negocio
2.5.3. Controles de aplicacin
Los controles de Aplicacin estn relacionados con el mbito de losprocesos individuales de negocio o sistemas de aplicacin, incluyen
controles como:
Ediciones de datos
Segregacin de funciones de negocio
Cuadre de totales de procesos
Registro de transacciones
Informe de error
2.6. Introduccin a COBIT
Ante la proliferacin de modelos de control, cada uno de ellos con una orientacinespecfica que no proporcionan un modelo de control completo y utilizable sobreTI como soporte para los procesos de negocio, se haca necesario establecer unmarco de referencia de objetivos de control de las TI, conjuntamente con unainvestigacin continua aplicada a dichos controles basada en dicho marco.Tomando como referencia la publicacin en los EE.UU. de los modelos de controlgenerales COSO, Information Systems Audit and Control Foundation y un grupode empresas desarrollaron en 1998 dicho marco de referencia para la definicinde objetivos de control que recibe el nombre de COBIT (Control Objectives for
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
29/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
22
Information and Related Technology / Objetivos de Control para Tecnologa deInformacin y Tecnologas relacionadas).
Objetivos de Control para la Informacin y Tecnologas afines, con el propsito decubrir el vaco existente y desarrollar polticas claras y buenas prcticas para la
seguridad y el control de las TI.
En este marco, se define el control interno como las polticas, procedimientos,prcticas y estructuras organizativas que permiten garantizar que los objetivos denegocio sern alcanzados razonablemente mediante el uso de las TI y queeventos no deseables sern prevenidos o detectados y corregidos.
Un objetivo de control es una definicin del resultado o propsito que se deseaalcanzar implementando procedimientos de control en una actividad particular deTI. Es muy importante que estos controles tengan como objetivo el desarrollo depolticas claras y buenas prcticas para la seguridad y el control de la TI a partirde la perspectiva de los objetivos y necesidades de la empresa.
Estos objetivos estn diseados para ser utilizados por tres audiencias distintas:
Gestores:ayudarles a alcanzar un equilibrio entre los riesgos y las inversionesen un ambiente tecnolgico frecuentemente impredecible.
Usuarios:obtener una garanta en cuanto a seguridad y uso de los serviciosde TI proporcionados internamente o por terceras partes.
Auditores informticos: para dar soporte a las opiniones emitidas sobre los
controles internos.
Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y deseguridad de su informacin, as como de todos sus activos. La direccin tambindebe optimizar el uso de los recursos disponibles de TI, incluyendo aplicaciones,informacin, infraestructura y personas.Para descargar estas responsabilidades, as como para lograr sus objetivos, ladireccin debe entender el estatus de su arquitectura empresarial para la TI ydecidir qu tipo de gobierno y de control debe aplicar.Los Objetivos de Control para la Informacin y la Tecnologa relacionada(COBIT)brindan buenas prcticas a travs de un marco de trabajo de dominios y
procesos, y presenta las actividades en una estructura manejable y lgica.Las buenas prcticas de COBIT representan el consenso de los expertos. Estnenfocadas fuertemente en el control y menos en la ejecucin. Estas prcticasayudarn a optimizar las inversiones facilitadas por la TI, asegurarn la entregadel servicio y brindarn una medida contra la cual juzgar cuando las cosas novayan bien.Para que la TI tenga xito en satisfacer los requerimientos del negocio, ladireccin debe implantar un sistema de control interno o un marco de trabajo.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
30/175
AUDITORAS EN TECNOLOGAS DE INFORMACIN
23
El marco de trabajo de control COBIT contribuye a estas necesidades de lasiguiente manera:
Estableciendo un vnculo con los requerimientos del negocio
Organizando las actividades de TI en un modelo de procesos generalmenteaceptado
Identificando los principales recursos de TI a ser utilizados
Definiendo los objetivos de control gerenciales a ser considerados
La orientacin al negocio que enfoca COBIT consiste en vincular las metas denegocio con las metas de TI, brindando mtricas y modelos de madurez paramedir sus logros, e identificando las responsabilidades asociadas de lospropietarios de los procesos de negocio y de TI.En resumen, para proporcionar la informacin que la empresa necesita paralograr sus objetivos, los recursos de TI deben ser administrados por un conjuntode procesos agrupados de forma natural.
2.6.1. Misin de COBIT
Investigar, desarrollar, publicar y promover un conjunto de objetivosde control en tecnologa de informacin con autoridad, actualizados,de carcter internacional y aceptados generalmente para el uso cotidianode gerentes de empresas y auditores.
2.6.2. Componentes de COBIT
COBIT es un marco de referencia y un juego de herramientas de soporteque permiten a la gerencia cerrar la brecha con respecto a losrequerimientos de control, temas tcnicos y riesgos de negocio, ycomunicar ese nivel de control a los participantes. COBIT permite eldesarrollo de polticas claras y de buenas prcticas para control de TI atravs de las empresas.
COBIT constantemente se actualiza y armoniza con otros estndares. Por
lo tanto, COBIT se ha convertido en el integrador de las mejores prcticasde TI y el marco de referencia general para el gobierno de TI que ayuda acomprender y administrar los riesgos y beneficios asociados con TI. Laestructura de procesos de COBIT y su enfoque de alto nivel orientado alnegocio brindan una visin completa de TI y de las decisiones a tomaracerca de TI.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
31/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
24
Los componentes de COBIT se interrelacionan, ofreciendo soporte para lasnecesidades de gobierno, de administracin, de control y de auditora delos distintos interesados, como se muestra en la figura siguiente.
2.6.3. Beneficios de COBIT
Los beneficios de implementar COBIT como marco de referencia degobierno sobre la TI incluyen:
Mejor alineacin, con base en su enfoque de negocios.
Una visin, entendible para la gerencia, de lo que hace TI.
Propiedad y responsabilidades claras, con base en su orientacin aprocesos.
Aceptacin general de terceros y reguladores.
Entendimiento compartido entre todos los participantes, con base enun lenguaje comn.
Cumplimiento de los requerimientos COSO para el ambiente decontrol de TI. (El Informe COSO es un documento que contiene lasprincipales directivas para la implantacin, gestin y control de unsistema de Control Interno).
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
32/175
C A P T U L O
III
AUDITORA A UN PROGRAMA INFORMTICOCOLABORATIVO
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
33/175
CAPTULO 3AUDITORA A UN PROGRAMA INFORMTICO COLABORATIVO
(GROUPWARE SYSTEMS,GS)
3.1. Introduccin
La tecnologa groupware est diseada para ayudar a grupos de personas queno estn fsicamente en un mismo lugar pero que necesitan trabajar juntas. Estatecnologa es utilizada para la comunicacin, cooperacin, coordinacin yresolucin de problemas de almacenamiento y difusin de informacin.
Los groupware systems proporcionan un entorno propicio y posibilitan lacreacin, codificacin y transferencia del conocimiento. Para mencionarejemplos de este tipo de tecnologa basta con dos, Lotus Notes y MicrosoftExchange.
Este Programa Informtico Colaborativo integra el trabajo en un solo proyectocon muchos usuarios concurrentes que se encuentran en diversas estacionesde trabajo, conectadas a travs de una red (Internet o Intranet), dentro de la cualse envan mensajes, archivos, datos o documentos y facilitan compartirinformacin (colaboracin asncrona).
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
34/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
28
3.2. Herramientas de comunicacin electrnica
Estas herramientas, ayudadas de la tecnologa facilitan compartir informacinmediante medios como son: correo electrnico, correo de voz, publicacioneselectrnicas, etc.
3.2.1. Correo electrnico
Es el servicio que tiene como objetivo realizar las tareas propias de uncentro de proceso de datos (CPD) de una organizacin, consistentesbsicamente en Correo electrnico, o en ingls e-mail, es un servicio dered para permitir a los usuarios enviar y recibir mensajes instantneosmediante sistemas de comunicacin electrnicos. Principalmente se usaeste nombre para denominar al sistema que provee este servicio enInternet, mediante el protocolo SMTP (Simple Mail Transfer Protocol),aunque por extensin tambin puede verse aplicado a sistemas anlogosque usen otras tecnologas. Por medio de mensajes de correo electrnicose puede enviar, no solamente texto, sino todo tipo de documentos. Sueficiencia, conveniencia y bajo costo estn logrando que el correoelectrnico desplace al correo normal para muchos usos habituales.
Para que una persona pueda enviar un correo a otra, ambas han de teneruna direccin de correo electrnico. Esta direccin la tiene que dar unproveedor de correo, que son quienes ofrecen el servicio de envo yrecepcin. El procedimiento se puede hacer desde un programa decorreo o desde un correo Web.
Para poder usar, enviar y recibir correo electrnico, generalmente hayque estar registrado en alguna empresa que ofrezca este servicio(gratuita o de pago). El registro permite tener una direccin de correopersonal nica y duradera, a la que se puede acceder mediante unnombre de usuario y una contrasea.
Hay varios tipos de proveedores de correo, que se diferencan sobre todopor la calidad del servicio que ofrecen. Bsicamente, se pueden dividir endos tipos: los correos gratuitos y los de pago.
3.2.2. Correo de voz
Consiste en una casilla de correo de voz con mensaje de respuestapersonalizado y posibilidad de grabar mensajes, que se guardan por unlapso de varios das. Permite al cliente utilizar este servicio comocontestador automtico, pudiendo acceder a los mensajes desdecualquier servicio telefnico, an en caso de ocupado, lo que lo hacemucho ms eficiente que un contestador convencional. Asimismo, puede
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
35/175
AUDITORA A UN PROGRAMA INFORMTICO COLABORATIVO
29
ser de utilidad para un usuario de Internet que tenga una sola lneatelefnica.
Se debe tener en cuenta que para un grupo de trabajo se necesita unbuzn de voz eficaz, ya que muchas veces es mas factible contactar a la
persona realizando una llamada telefnica, y en caso de no contactarla ono tener a alguien que atienda la llamada, seguramente dejar unmensaje en el buzn de voz si se dispone del mismo.
3.2.3. Publicacin Web
Es de gran ayuda que un grupo de trabajo cuente con una publicacinWeb y que constantemente este actualizndose, los beneficios de sta,son muchos, entre los cuales estn:
No hay costos por envo de informacin Almacenamiento de informacin importante Distribucin inmediata mediante el consultor El contenido puede ser variable y flexible Enlaces de informacin importante para el grupo
Se realizan mediante un servidor Web, el cual debe garantizar el buenrespaldo de la informacin.
3.3. Herramientas de conferencias
Estas herramientas permiten compartir informacin en forma interactivamediante colaboracin sincrona, algunas de estas son: conferencia de datos,conferencias de voz, conferencias de video, salas Chat, entre otras.
3.3.1. Conferencias de datos
Conferencia de datos se refiere a sesiones de comunicacin entre dos oms participantes que comparten datos informticos en tiempo real. Sepueden controlar o compartir dispositivos de interaccin y presentacincomo pantalla, teclado, ratn, cmara, etc. Se suele usar para distinguirde conferencia de video o conferencia de audio.
Los datos pueden consistir en la pantalla, documentos, grficos, dibujos yaplicaciones que se pueden ver, anotar o manipular por los participantes.
Se trata bsicamente de PC en red que tiene en comn un espacio depresentacin compartido que cada usuario puede modificar.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
36/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
30
3.3.2. Conferencias de voz
Las conferencias de voz, permiten la comunicacin en tiempo real a ungrupo de trabajo mediante telfonos que facilitan a los participantes elpoder interactuar.
3.3.3. Conferencias de video
Las conferencias de video tambin llamadas videoconferencias son lacomunicacin simultnea bidireccional de audio y video, permitiendomantener reuniones con grupos de personas situadas en lugares alejadosentre s. Adicionalmente, pueden ofrecerse facilidades telemticas o deotro tipo como el intercambio de informaciones grficas, imgenes fijas,transmisin de archivos desde las PC, mviles, etc.
La videoconferencia proporciona importantes beneficios como el trabajocolaborativo entre personas geogrficamente distantes y una mayorintegracin entre grupos de trabajo.
Para estas existen estndares que establecen la posibilidad decomunicarse entre las diferentes marcas del mercado, estos estndaresson establecidos por la ITU (Unin Internacional de Telecomunicaciones).
H320: normas para la videoconferencia punto a punto y multipunto enlas Redes Digitales de Servicios Integrados ISDN.
H323: Se basa en el protocolo de Internet IP, define la manera en quelos puntos de la red transmiten y reciben llamadas, compartiendo lascapacidades de transmisin de audio, vdeo y datos.
Es conveniente que las salas de reuniones tengan opcin devideoconferencia, esta permite realizar reuniones eficaces con clientes ycolegas en todo el mundo, ahorrando tiempo y dinero.
3.3.4. Salas Chat o mensajes instantneos
Son una plataforma de discusin que facilita el intercambio inmediato demensajes como los son Chat rooms, tambin llamados saln de Chat,canal de chateo, entre otras. Es un espacio virtual donde se renenusuarios para la comunicacin escrita instantnea. Pueden ser de accesolibre o acceso limitado, por invitacin o suscripcin.
Suelen tener un nombre y descripcin que identifican el objetivo generalde la sala, por ejemplo: "Argentina", "Ingenieros", "Contratos", son todosnombres comunes para salones de chateo.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
37/175
AUDITORA A UN PROGRAMA INFORMTICO COLABORATIVO
31
Los salones de chat suelen tener una parte pblica y una parte privada.Todo lo que se escriba en la pblica, ser ledo por todos los usuarios dela sala. Tambin se pueden enviar mensajes privados a un determinadoparticipante del saln.
Los salones de chat muchas veces tienen un operador o administrador desala, que se encarga de controlar el cumplimiento de las normas de lamisma, como las normas generales de todo el servidor de chat e inclusonormales legales. El operador puede ser tanto un robot como un humano.
El robot se encarga de "leer" lo que escriben los usuarios en los salones ycomprobar que se cumplan las normas preestablecidas. Generalmentecontrolan el spamming (inundacin de envos publicitarios por correoelectrnico) o floods y las malas palabras.
El operador suele tener la facultad de expulsar e incluso prohibir elacceso a un usuario que infringe las normas. Incluso, con el podersuficiente, un operador puede prohibir el acceso del usuario al servidor dechat mismo (generalmente prohibiendo su direccin IP).
Las salas de chat pueden ser una gran fuente de descubrimiento deinformacin, pero tambin se pueden encontrar archivos ilegtimos, viruso gente malintencionada.
3.3.5. Sistemas para facilitar reuniones
Los sistemas de conferencias son integrados por salas. Estas salassuelen disponer de un avanzado sistema de sonido y presentacin quepermite una mejor interaccin entre participantes en una misma sala oentre salas separadas.
Las salas de conferencias deben ser un espacio con ciertascaractersticas acsticas que permitan facilitar la transmisin del mensajepresentado por un orador, ponente o conferenciante.
Dentro de estas caractersticas acsticas estn las caractersticasconstructivas de la sala, los elementos utilizados en la decoracin y laeleccin del equipo de sonido.
Los equipos para salas de conferencias y traduccin simultnea estnespecialmente diseados para que los oyentes percibanconfortablemente slo lo que el orador expone o presenta.
Este alto nivel de calidad se puede optimizar para reuniones de un gruporeducido de personas hasta congresos a los que asistan miles.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
38/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
32
Otros sistemas muy utilizados son los sistemas de traduccin simultneade gran utilidad y fiabilidad en la transmisin inalmbrica de la seal deaudio de los diferentes idiomas.
Algunas caractersticas como, el control por parte del presidente de la
mesa, la supresin de ruido e interferencias, el acoplamiento de lneastelefnicas, el modo de videoconferencia y el seguimiento automtico decmara al interlocutor, proporcionan una solucin ptima paraconferencias de audio y vdeo.
3.4. Herramientas de gestin colaborativa
Estas herramientas facilitan las actividades en grupo.
3.4.1. Calendarios electrnicos
Sirven para acordar fechas de eventos y automticamente enviarnotificaciones y recordatorios a los participantes.
3.4.2. Sistemas de gestin de proyectos
La gestin de proyectos es el conjunto de actividades encaminadas aordenar, disponer y organizar los recursos y las necesidades paracompletar con xito un proyecto dado.
Sirve para organizar y hacer seguimiento de las acciones en un proyectohasta que se finaliza.
La gestin de un proyecto completo puede dividirse en la gestin de sub-reas, en trminos de:
Gestin del alcance y contenido Gestin tcnica Gestin de Recursos temporales (planificacin) Gestin de costos Gestin de la calidad Gestin de los recursos humanos Gestin de la comunicacin Gestin de riesgos Gestin de compras
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
39/175
AUDITORA A UN PROGRAMA INFORMTICO COLABORATIVO
33
3.4.3. Sistemas de control de flujo de actividad
Sirve para gestionar tareas y documentos en un proceso organizado deforma estructurada.
3.4.4. Sistemas de gestin de conocimiento
Para que el conocimiento de una persona sea de utilidad para otroindividuo, debe de comunicarse de forma que este ltimo pueda accedera l e interpretarlo.
La acumulacin de informacin es de poco valor ya que slo resultara tilaquella que se haya procesado activamente a travs de un proceso dereflexin, explicacin y aprendizaje. Por lo tanto, la Gestin delConocimiento se refiere a un proceso sistmico y especifico de unaorganizacin, cuya finalidad es adquirir, organizar y comunicar tanto elconocimiento tcito como el explcito de los empleados, para que otrosempleados puedan hacer uso de l y as ser ms productivos y eficacesen su trabajo.
Por lo tanto un sistema de gestin del conocimiento sirve para recoger,organizar, gestionar y compartir varios tipos de informacin, el cual estaincorporado a un grupo de trabajo.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
40/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
34
3.5. Preguntas o acciones para el auditor (PAA-XXX); Gua o sugerencias parael auditor (GSA-XXX) y recomendaciones para el cliente (RC-XXX)
3. PAA-001. Con qu herramientas de comunicacin electrnica cuenta elgrupo de trabajo?
3. GSA-001. El auditor personalmente verificar la existencia de las herramientaselectrnicas con las que cuenta el grupo de trabajo.
3. RC-001. Es necesario que el grupo de trabajo cuente con suficiente nmerode herramientas para desarrollar eficientemente sus actividades.
3. PAA-002. Se tiene algn representante o lder que se responsabilice de lasacciones laborales del grupo en pro de la meta?
3. GSA-002. El auditor puede conocer personalmente al representante paracharlar en lo referente al trabajo colaborativo del grupo mediante losmedios de comunicacin que emplean.
3. RC-002. Todo grupo de trabajo debe tener un representante o lder que velepor el buen funcionamiento cooperativo del grupo en pro del logrode los objetivos de la institucin o empresa.
3. PAA-003. Cuenta el grupo con software especial dedicado a grupos detrabajo?
3. GSA-003. Si se tiene un software de este tipo el auditor tiene la libertad depedir verlo e incluso analizar su funcionamiento mediante lasolicitud de una peticin (al responsable del grupo) de unademostracin de su operacin en condiciones normales.
3. RC-003. Existen diversos sistemas de software especializados en trabajogrupal que facilitan la comunicacin entre miembros distantes. Esrecomendable que los grupos de trabajo consideren el empleo deeste tipo de software.
3. PAA-004. El software utilizado cuenta con licencia vigente?
3. GSA-004. El auditor puede pedir ver las licencias y actualizaciones delprograma para verificar que en efecto su empleo es constante.
3. RC-004. Deba haber un encargado de actualizar la licencia del softwareperidicamente, pues ello es una caracterstica relevante del buenfuncionamiento del grupo.
3. PAA-005. Cuentan los integrantes del grupo con el conocimiento adecuadodel software para su correcta utilizacin?
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
41/175
AUDITORA A UN PROGRAMA INFORMTICO COLABORATIVO
35
3. GSA-005. El auditor tiene la libertad de pedir documentos que avalen lacapacitacin o bien poner a prueba a los integrantes mediante unasimulacin de trabajo en este software en condiciones normales delabor.
El auditor puede comprobar esto mediante la elaboracin de otraspreguntas como las siguientes:
Los integrantes del grupo recibieron o reciben capacitacin acercadel funcionamiento del software?, La capacitacin que reciben esfrecuente o cada cunto tiempo se someten a ella?
Mediante la contestacin a estas preguntas el auditor podr saber silos integrantes hacen un buen uso del software o no.
3. RC-005. Los integrantes del grupo de trabajo deben ser capacitadoscorrectamente para utilizar el software y as hacer buen uso de l.
3. PAA-006. Realiz el grupo de trabajo un plan global basado en herramientasde gestin colaborativa y en un calendario electrnico, encaminadoal desempeo de la actividad propuesta por los miembros delmismo?
3. GSA-006. El auditor solicitar la documentacin que se tenga al respecto slopara comprobar su existencia.
3. RC-006. Es importante verificar que exista una colaboracin estructurada delgrupo de trabajo (organigrama), mediante la presencia de unaprogramacin de actividades secuencialmente lgicas en pro del ode los objetivos laborales de la colectividad.
3. PAA-007. Sigue una secuencia lgica la planeacin del grupo para darsolucin al problema planteado?
3. GSA-007. El auditor slo preguntar si existe una planeacin previa antes decomenzar a atacar el problema al que se enfrenten.
3. RC-007. La planeacin es importantsima en el trabajo grupal ya que de staforma se llegarn de los objetivos locales a un objetivo global queser la solucin del problema.
3. PAA-008. Existe sincrona o dedicacin definida en el tiempo brindado, porcada miembro del grupo a la realizacin de su actividad?
3. GSA-008. El auditor puede analizar concretamente esto mediante unademostracin que le sea brindada por los integrantes del grupo, alencontrarse en condiciones normales o cotidianas de labor.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
42/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
36
3. RC-008. Otro aspecto indispensable en el trabajo grupal de los individuos esla cantidad de tiempo que ofrece cada uno de los integrantes parafortalecer la cooperacin entre ellos. Este tiempo redituarbeneficios si es el mismo para todos.
3. PAA-009. La comunicacin del grupo mediante medios informticos es entiempo real?
3. GSA-009. El auditor har una prueba de comunicacin en tiempo real conalgn medio informtico entre algunos miembros de la empresa.
3. RC-009. Es importante que la comunicacin electrnica del grupo sea entiempo real, lo cual refleja velocidad y eficiencia en la transferenciade informacin, indispensable para poder realizar una actividaddefinida por ellos.
3. PAA-010. Las tareas de cada miembro del grupo se desarrollanparalelamente, es decir son independientes unas de otras?
3. GSA-010. El auditor debe tener presente que si las tareas de cada miembrodel grupo de trabajo se desarrollan de forma paralela, la eficienciapara dar solucin al problema incrementar notablemente.
3. RC-010. Es ideal que la comunicacin sea simultnea y la ejecucin detareas de cada miembro del grupo sea independiente de las demsejecutadas en paralelo por los otros miembros.
3. PAA-011. Cules son las caractersticas de los equipos informticos(capacidad de memoria y velocidad de procesador) que se empleanpara la comunicacin entre los integrantes del grupo?
3. GSA-011. El auditor puede acceder personalmente a las caractersticas de losequipos o pedir asesora a algunos de los miembros de su equipoque le permitan ver, por ejemplo, si la memoria RAM es expandibley la computadora es compatible con un sistema de Internet debanda ancha, etc. Este no es un aspecto que el auditor desconozcapues en base a la observacin de las caractersticas de los equiposelectrnicos puede hacer algunas recomendaciones para mejorar lacomunicacin.
3. RC-011. Los equipos informticos deben tener las caractersticas adecuadasen cuanto a hardware y software para una ptima comunicacinentre los miembros del grupo.
3. PAA-012. El grupo de trabajo cuenta con los conocimientos necesarios parautilizacin ptima de los equipos que se manejan en el mismo o hanadquirido una capacitacin?
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
43/175
AUDITORA A UN PROGRAMA INFORMTICO COLABORATIVO
37
3. GSA-012. El auditor puede verificar que el grupo de trabajo, cuente con elconocimiento de la mayora de las tecnologas con que cuenta elgrupo de trabajo, como por ejemplo la utilizacin de un pizarrnelectrnico en un posible caso.
3. RC-012. El grupo de trabajo debe tener conocimiento sobre las tecnologasutilizadas en el mismo, as como de recibir capacitacin sobre lautilizacin de estas y poder aprovecharlas al mximo.
3. PAA-013. Los miembros del grupo cuentan con recursos de comunicacincomo correo de voz y portal Web que sirven como respaldo demensajera?
3. GSA-013. El auditor puede corroborar personalmente su existencia para cadaintegrante del grupo.
3. RC-013. Estos medios de comunicacin son caractersticas importantes parauna comunicacin segura entre los miembros del equipo de trabajo,es requerido que cada miembro del grupo posea al menos uno deellos.
3. PAA-014. Qu tipo de red se utiliza para la comunicacin entre los miembrosdel grupo?
3. GSA-014. El auditor puede corroborar personalmente el tipo de red utilizadaen el grupo de trabajo.
3. RC-014. La red que puede ocupar el grupo para su comunicacin es Interneto Intranet, es muy importante que el grupo maneje alguna de estasredes para su comunicacin ya que de ella se valen muchasherramientas de comunicacin electrnica como el correoelectrnico, portales Web, etc.
3. PAA-015. En caso de contar con la herramienta de correo electrnico, conqu servicio de correo electrnico cuenta el grupo para sucomunicacin?
3. GSA-015. Pedir a uno de los integrantes su correo electrnico y enviar algntipo de informacin para verificar el buen funcionamiento del mismo,ya que se necesita que la informacin se transmita y llegue a sudestino de forma inmediata.
3. RC-015. Es necesario que cada integrante del grupo de trabajo cuente conuna direccin de correo electrnico para poderse comunicar demanera inmediata.
3. PAA-016. Existe una relacin por escrito de correos electrnicos de laspersonas que integran el grupo de trabajo?
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
44/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
38
3. GSA-016. Pedir la relacin escrita de correos de los integrantes del grupo,para verificar que todos estn dados de alta.Verificar que la relacin cuente con el nombre completo de losintegrantes y con su respectivo nmero telefnico.
3. RC-016. Es necesario que exista un documento o relacin que contengatodas las direcciones de correo electrnico as como datosadicionales de los miembros, como su nmero telefnico.
3. PAA-017. Si el grupo cuenta con un portal Web, Existe un control de accesoal mismo?
3. GSA-017. El auditor puede cerciorarse del control correcto de sto mediantesu observacin.
3. RC-017. El auditor considerara al portal Web como una herramientafundamental que todo grupo debe tener para mantener siempre unabuena comunicacin. El control obviamente se da cuando el grupolo utiliza frecuentemente para su comunicacin y adems le daactualizaciones peridicas, por tanto debe de existir un buen controlde acceso al mismo.
3. PAA-018. Con que herramientas de conferencia cuenta el grupo de trabajo?
3. GSA-018. El auditor puede asistir a una conferencia (en condiciones normalesde trabajo) para analizar concretamente este aspecto.
3. RC-018. Las herramientas de conferencia son un apoyo para la toma dedecisiones en vas de dar solucin a un problema grupal. Todogrupo debe poseer este medio de comunicacin como apoyo paragarantizar buenos resultados.
3. PAA-019. Son adecuadas las instalaciones donde se llevan a cabo lasconferencias?
3. GSA-019. El auditor debe verificar que las condiciones de la sala donde sebrinden las conferencias sean propicias para su correcta realizaciny por tanto que pueda conseguir su propsito. Se debe verificar quesea una zona aislada en la cual el ruido no perturbe, el sonido sepropague totalmente, que se tengan asientos, aire acondicionado yagua disponible.
3. RC-019. Es necesario que la sala donde se brinden las conferencias seapropicia para la correcta realizacin de las mismas y por tanto quepueda conseguirse su propsito.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
45/175
AUDITORA A UN PROGRAMA INFORMTICO COLABORATIVO
39
3. PAA-020. El grupo cuenta con PC en red para la realizacin de unaconferencia de datos?
3. GSA-020. El auditor verificar la existencia de algn tipo de red entre lascomputadoras del grupo para la realizacin de la conferencia de
datos.
3. RC-020. Esta es una alternativa o fuente de apoyo para la comunicacin delgrupo, la cual es solamente electrnica. Sin embrago, es preferibleuna conferencia con presencia fsica pues con sta se puedendesprender, con mas claridad, diferentes puntos de vista yencontrar ms fcil la solucin buscada.
3. PAA-021. El grupo cuenta con telfonos o radio comunicadores para labuena interaccin entre ellos?
3. GSA-021. El auditor corroborar la existencia de cualquiera de estos dossistemas de comunicacin, deber adems comprobar que cadamiembro del grupo tenga uno para facilitar la comunicacin encualquier momento.
3. RC-021. Es necesario que todos los miembros del grupo tengan cualquierade estos dos medios de comunicacin digital para una ptimaintercomunicacin.
3. PAA-022. Existe una relacin escrita de telfonos o agenda, con que cuentetodo el grupo?
3. GSA-022. El auditor corroborar la existencia de esto.
El auditor verificar que cada miembro del grupo tenga toda lainformacin pertinente que le sirva para localizar a cualquiera de losotros miembros del grupo de trabajo.
3. RC-022. Es necesario que el grupo cuente con un documento escrito endonde est toda la informacin de cada miembro del grupo.
3. PAA-023. Se cuenta con el servicio por parte de alguna compaa oempresa externa que proporcione los medios de comunicacinentre el grupo?
3. GSA-023. El auditor debe pedir la informacin concerniente a esto al lder delequipo de trabajo para ver que se cumpla.
3. RC-023. Se debe tener alguna empresa externa que facilite el servicio decomunicacin entre el grupo; sta debe ofrecer eficiencia yseguridad en los medios de comunicacin del grupo.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
46/175
UNA METODOLOGA PARA AUDITAR TECNOLOGIAS DE INFORMACIN
40
3. PAA-024. En la realizacin de una videoconferencia, el audio y video son losadecuados en la sala de reuniones para el buen entendimiento delgrupo?
3. GSA-024. El auditor puede presenciar una conferencia y de esta forma
comprobar que se cuente con los medios de comunicacinadecuados para lograr el objetivo.
3. RC-024. Es necesario que el hardware de sonido y video sean ptimos paraun correcto entendimiento de los presentes en una conferencia.
3. PAA-025. Quin es el responsable de notificar u organizar las reuniones delgrupo?
3. GSA-025. El auditor personalmente verificar si hay o no dicha persona querealice estas acciones.
3. RC-025. El grupo debe tener una poltica que le permita organizarseadecuadamente para establecer la comunicacin grupal, estopodra ser apoyndose en una persona que sea la responsablepara organizar y notificar de las reuniones del grupo.
3. PAA-026. El grupo hace uso de salas de chat o mensajera instantnea?
3. GSA-026. El auditor personalmente verificar la existencia de estaherramienta electrnica.
3. RC-026. Las salas de chat o programas de mensajera instantnea sonnecesarios dentro de la cooperacin grupal cuando los integrantesse encuentren distanciados en cuanto a lugar o ubicacin.
3. PAA-027. Existe un encargado en especial, que controle el acceso a la salade Chat o mensajera instantnea?
3. GSA-027. El auditor puede requerir esta informacin con la finalidad deobtener informacin relacionada al medio o servicio Web del que sevalen para comunicarse por estos medios electrnicos. Todo ellocon la finalidad de obtener informacin de los beneficios que brindaen cuanto a comunicacin.
3. RC-027. Es necesario que cuente con una persona que regule este mediode comunicacin para no permitir abusos por parte de los miembrosdel grupo.
3. PAA-028. Cuenta el grupo con algn tipo de software especializado para laproteccin de su privacidad en la red?
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
47/175
AUDITORA A UN PROGRAMA INFORMTICO COLABORATIVO
41
3. GSA-028. El auditor podr verificar el manejo de la seguridad dentro del portalWeb o de la red del grupo de trabajo.
3. RC-028. La seguridad informtica es muy importante pues es una forma deevadir problemas graves como el jaqueo de informacin, sabotaje,
etc.
3. PAA-029. Cuenta el grupo con software antivirus para la transferenciasegura de archivos?
3. GSA-029. El auditor personalmente verificar la existencia de algn tipo desoftware antivirus, as como las caractersticas del mismo.
3. RC-029. Es necesario que se tenga el manejo de algn antivirus en lasactividades informticas del grupo como medida de seguridad paraevitar problemas de seguridad informtica.
3. PAA-030. Con que frecuencia se hacen actualizaciones del antivirusmanejado?
3. GSA-030. El auditor verificar si se tienen contempladas las actualizacionesdel software antivirus, y si se tiene un fondo monetario para dichoproceso.
3. RC-030. La renovacin de la licencia del software antivirus implicar uncosto para el grupo de trabajo, pero es un aspecto importante parala buena operacin del sistema informtico del cual se valen paracomunicarse todos los miembros del grupo.
-
7/25/2019 Tesis-Metodologia Para Auditar La TI
48/175
C A P T U L O
IV
AUDITORA A S