Este documento describe los pasos para la adquisición e implementación de dominios tecnológicos. Estos incluyen 1) identificación de soluciones automatizadas, 2) adquisición y mantenimiento de software, 3) adquisición y mantenimiento de infraestructura, 4) desarrollo y mantenimiento de procesos, 5) instalación y aceptación de sistemas, y 6) administración de cambios. El objetivo general es asegurar que la tecnología implementada cumpla con los requerimientos del negocio de manera eficiente
1. Universidad central del Ecuador
Facultad de Ciencias Administrativas
Escuela de Contabilidad y Auditoría
Tema: ADQUISICIÓN E IMPLEMENTACIÓN - DOMINIO
Materia: Auditoría de Sistemas
Informáticos
Nombre: Edwin Paúl Cali Lincango
2. 1. Identificación de Soluciones Automatizadas
2. Adquisición y Mantenimiento del Software Aplicado
3. Adquisición y Mantenimiento de la infraestructura tecnológica
4. Desarrollo y Mantenimiento de Procesos.
5. Instalación y Aceptación de los Sistemas
6. Administración de los Cambios
3. 1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS
Áreas Requerimie
usuarias ntos
Dirección de Aplicacion
Área
Sistemas es Usuaria
Requerimie (Software)
ntos/objetiv
Sistema os
Gerencial estratégico
Visión
Misión
Planes,
proyectos y
programas
Políticas
Prioridades
4. Asegurar el mejor enfoque para cumplir con los requerimientos del usuario con un
Objetivo análisis de las oportunidades comparadas con los requerimientos de los usuarios
para lo cual se debe observar:
1.1. Definición de requerimientos de información para poder aprobar un proyecto de desarrollo.
1.2. Estudio de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos para el
desarrollo del proyecto.
1.3 Arquitectura de información para tener en consideración el modelo de datos al definir soluciones y analizar la
factibilidad de las mismas
1.4 Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los beneficios.
1.5 Pistas de auditoria Proporcionar la capacidad de proteger datos sensitivos (ej. Identificación de usuarios contra
divulgación o mal uso) . Ejemplo: campos que no se modifiquen creando campos adicionales.
1.6 Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado.
1.7 Aceptación de instalaciones y tecnología a través del contrato con el Proveedor donde se acuerda un plan de
aceptación para las instalaciones y tecnología especifica a ser proporcionada
5. 1.5.1. PISTAS DE AUDITORIA-OBJETIVOS DE
PROTECCIÓN
Objetivos de Pistas de
protección y auditoría-
seguridad Evidencia
Responsabilidad individual. Seguimiento Identificador del Usuario Asociado con el evento.
secuencial de las acciones del usuario. Cuándo ha ocurrido el evento. Fecha y hora en la
Reconstrucción de eventos. Investigaciones de que se produjo el evento.
cómo, cuándo y quién ha realizado las Identificador de host anfitrión que genera el
operaciones una vez finalizadas. registro.
Detección de instrucciones. Bien en tiempo Tipo de Evento En el Sistema; Ejemplo: Intentos
real, mediante un examen automático o fallidos de autenticación de usuario, cambios de
mediante procesos batch perfiles de seguridad de usuarios o de aplicaciones.
Identificación de problemas.. Mediante su En las Aplicaciones; Ejemplo: Registro
examen pueden detectarse otra serie de modificado, información actual e información
problemas en el sistema. anterior. y resultado del evento (éxito o fallo).
6. 1.5.2 PISTAS DE AUDITORIA–EVOLUCIÓN DEL RIESGO- ERRORES
POTENCIALES EN TECNOLOGÍAS INFORMÁTICAS
Evaluación
Corrección
Represión
Errores en la integridad de la
Detección información
• Datos en blanco
• Datos ilegibles
• Problemas de trascripción
Prevención • Error de cálculo en medidas
indirectas
• Registro de valores imposible
• Negligencia
• Falta de aleatoriedad
• Violentar la secuencia establecida
para recolección
7. 1.5.3 PISTAS DE AUDITORIA-EVOLUCIÓN Y ADMINISTRACION DEL
RIESGOS
S
i
s 5. Evaluación
t 3. Diagnóstico
e
m Materialidad
a
s
C
o
n
2. Detección -
t 4. Corrección síntomas
/ Predicción
C 1. Prevención
Administración del riesgo
I
n •Actuar sobre las causas
t Acciones para •Técnicas y políticas de control involucrados
e evitarlos •Empoderar a las actores
r •Crear valores y actitudes
n
Riesgo
o
Dr.. Carlos Escobar P, Mgs
8. 1.5.4 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS - PROCESO
Si se conectan
todos los
computadores
dentro de un
mismo edificio
Si están
instalados en
edificios
diferentes
9. 1.5.4.1 POLITICAS PARA SISTEMAS DISTRIBUIDOS
e. No
discrecional
a. Administración
y control de d. Disponibilidad
accesos
c. Integridad y
Confidencialidad
de datos
b. Criptográfica f. Dependientes y
por defecto
10. a. TÉCNICA CIFRADO DE INFORMACIÓN
Técnicas de
cifrado de claves
para garantizar la
Cifrado de la confidencialidad
información de la información
en sistemas
distribuidos
cifrado
11. b. TÉCNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD
Autenticación: Identificar a los usuarios que inicien sesiones en sistema o la aplicación, usada para verificar
la identidad del usuario
Autorización: Una vez autenticado el usuario hay que comprobar si tiene los privilegios necesarios
para realizar la acción que ha solicitado
Integridad: Garantizar que los mensajes sean auténticos y no se alteren.
Confidencialidad; Ocultar los datos frente a accesos no autorizados y asegurar que la información
transmitida no ha sido interceptada
Auditoría: Seguimiento de entidades que han accedido al sistema identificando el medio. La auditoría no
proporciona protección, pero es muy útil en el seguimiento de la intrusión una vez que ha ocurrido.
12. c. TÉCNICAS DE AUTENTICACIÓN
TÉCNICAS DE
AUTENTICACIÓN
Son habituales los sistemas de
Los sistemas de identificación mediante tarjetas,
los cajeros automáticos de los
autenticación en los bancos. El usuario debe
entornos de las redes insertar primero la tarjeta
donde está codificada la
de área local suelen ir información de su cuenta, y
asociados a los luego introducir una palabra
clave o un número de
procedimientos de identificación personal que
inicio de sesión. sirve de comprobación
adicional
13. 2. ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO
Objetivo. Proporcionar funciones automatizadas que soporten efectivamente al negocio
con declaraciones específicas sobre requerimientos funcionales y operacionales y una
implementación estructurada fundamentada en:
•
Detectar defectos Prevenir defectos Mejora continua
Mejora de la
calidad
Gestión de la calidad
Tiempo
14. 3. ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTURA
TECNOLÓGICA- PROCESO
Objetivo.
Proporcionar las
plataformas
apropiadas para
soportar
aplicaciones de
negocios
Mantenimiento
preventivo; del
hardware con el
objeto de reducir la
frecuencia y el
impacto de fallas
de rendimiento.
Seguridad del
Evaluación de software de
tecnología; para sistema; instalación
identificar el impacto y mantenimiento
del nuevo hardware para no arriesgar la
o software sobre el seguridad de los
rendimiento del datos y programas
sistema general. ya almacenados en
el mismo.
15. 4. DESARROLLO YMANTENIMIENTO DE PROCESOS -
PROCESO
Objetivo. Asegurar el
uso apropiado de las Manuales de
aplicaciones y de las procedimientos de
soluciones tecnológicas usuarios y controles
establecidas.
Propósito
Materiales de Manuales de
entrenamiento Operaciones y controles
Levantamiento de
procesos
16. 5. INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS - PROCESO
• Capacitación del personal; de acuerdo al plan de entrenamiento
definido, la arquitectura física y plataforma lógica a implementarse.Por
. ejemplo en la plataforma SQLServer u Oracle
• Pruebas específicas; (cambios, desempeño, aceptación
final, operacional) con el objeto de obtener un producto satisfactorio.
.
• Revisiones post implementación; con el objeto de reportar si el
sistema proporciono los beneficios esperados de la manera mas
económica.
• Conversión / carga de datos; de manera que los elementos necesarios
del sistema anterior sean convertidos al sistema nuevo.
• Validación y acreditación; Que la Gerencia de operaciones y usuarios
acepten los resultados de las pruebas y el nivel de seguridad para los
. sistemas, junto con el riesgo residual existente.
17. 6. ADMINISTRACIÓN DE CAMBIOS - PROCESO
Objetivo. Minimizar la
probabilidad de
interrupciones, alteraciones
y errores a través de una
eficiencia administración del
sistema
Identificación
de cambios
Los cambios en las
aplicaciones
diseñadas
internamente; así
como, las
adquiridas a
proveedores.