SlideShare ist ein Scribd-Unternehmen logo
1 von 80
Nombre de la Materia: Auditoria informática.

Nombre del Maestro: Octavio Esparza Jurares.

Nombre del Alumno: Cesar Martin González Dueñas

   Carrera:         I.T.I  Cuatrimestre: Noveno
                        Grupo: B
Temas
AUDITORIA DE LA FUNCION INFORMATICA
POLITICAS D ELA ORGANIZACION
INTERPRETACION DEL MANUAL DE PROCEDIMIENTOS
RECURSOS HUMANOS
PLANEACION DE AUDITORIA
EVALUACION DE LA SEGURIDAD
SELECCION DE PROVEEDORES
LICENCIAMIENTO DEL SW
EVALUACION DE HW Y SW
EVALUACION DE SISTEMAS
EVALUACION DE LA RED
INTERPRETACION DE LOS RESULTADOS EN LA AUDITORIA
PRESENTACION DE CONCLUCIONES DE LA AUDITORIA
AREAS DE OPORTUNIDAD
AUDITORIA INFORMÁTICA
Concepto:



Es el conjunto de técnicas, procedimientos y
actividades, destinados a analizar y evaluar el
funcionamiento de los sistemas informáticos de un
ente, por lo que comprende un examen metódico,
puntual y discontinuo, con el propósito de mejorar
aspectos como: Control y seguridad de los sistemas
informáticos; Cumplimiento de la normativa
tecnológica del ente; Control de planes de
contingencia; Eficacia y rentabilidad en el manejo de
los sistemas.
La Auditoría Informática deberá comprender no sólo la
evaluación de los equipos de cómputo de un sistema o
procedimiento específico, sino que además habrá de
evaluar los sistemas de información en general desde
sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.
OBJETIVO DE LA AUDITORIA INFORMATICA

• Control de la función informática
• El análisis de la eficiencia de los sistemas
informáticos
• Verificación de la normativa general de la empresa en
el ámbito informático
• Revisión de la eficaz gestión de los recursos
materiales y humanos informáticos
ÉXITO DE LA AI

•Estudiar hechos no opiniones

•Investigar las causas no los efectos

•Atender razones no excusas

•Criticar objetivamente y a fondo todos los informes y datos
recabados.

•Registrar TODO.
Características

No solamente de los sistemas informáticos objeto de su estudio, sino de las
relaciones e implicaciones operativas que dichos sistemas tienen en el
contexto empresarial.
La concepción típica que se ha visto en las empresas hasta ahora, es la de que
la función de auditoría informática está entroncada dentro de lo que es la
función de auditoría interna con rango de su departamento.
Esta concepción se basa en el nacimiento histórico de la auditoría informática
y en la dificultad de separar el elemento .informático de lo que es la auditoría
operativa y financiera, al igual que lo es separar la operativa de una empresa
de los sistemas de información que los soportan.
Dentro de las áreas a analizar dentro de la AI son:
 Seguridad
 Control interno operativo
 Eficiencia y eficacia
 Tecnología informática
 Continuidad de operaciones
 Gestión de riesgos
Políticas de la organización
Definición de Política:

Manera de alcanzar objetivos bajo procedimiento
establecido y conocido por los agentes componentes
de la organización. "Es un plan permanente que
proporciona guías generales para canalizar el
pensamiento      administrativo   en     direcciones
específicas”. Conjunto de actividades desarrolladas
para conseguir un objetivo general a corto, mediano
y a largo plazo.
Definición de Manual de Políticas:

Documento que incluye las intenciones o acciones
generales de la administración que es probable que
se presenten en determinadas circunstancias. Las
políticas son la actitud de la administración superior.
Las políticas escritas establecen líneas de guía, un
marco dentro del cual el personal operativo pueda
obrar para balancear las actividades y objetivos de la
dirección superior según convenga a las condiciones
del organismo social.
Objetivo del Manual de Políticas:

Presentar una visión de conjunto de la organización para su adecuada
organización.

 Precisar expresiones generales para llevar a cabo acciones que
deben realizarse en cada unidad administrativa.

 Proporcionar expresiones para agilizar el proceso decisorio.

 Ser instrumento útil para la orientación e información al personal.

 Facilitar la descentralización, al suministrar a los niveles intermedios
lineamientos claros a ser seguidos en la toma de decisiones.

 Servir de base para una constante y efectiva revisión administrativa.
Importancia de Manual de Políticas:
Su importancia radica en que representa un recurso
técnico para ayudar a la orientación del personal y
también ayuda a declarar políticas y procedimientos,
o proporcionar soluciones rápidas a los malos
entendimientos y a mostrar como puede contribuir el
empleado al logro de los objetivos del organismo.
También ayuda a los administradores a no repetir la
información o instrucciones.
Ventajas de los manuales de Políticas:

 Las políticas escritas requieren que los administradores piensen a través de sus
cursos de acción y predeterminen que acciones se tomarán bajo diversas
circunstancias.

 Se proporciona un panorama general de acción para muchos asuntos, y
solamente los asuntos poco usuales requieren la atención de altos directivos.

 Se proporciona un marco de acción dentro del cual el administrador puede
operar libremente.

 Las políticas escritas ayudan a asegurar un trato equitativo para todos los
empleados.

 Las políticas escritas generan seguridad de comunicación interna en todos los
niveles.

El manual de políticas es fuente de conocimiento inicial, rápido y claro, para
ubicar en su puesto nuevos empleados.
Tipos de Manuales de Políticas:

Manuales Generales de Políticas:

Abarcan todo el organismo social, incluye como elemento
primario todas aquellas disposiciones generales como tipo
fijo, las cuales en forma unilateral las establece cada área a
efectos de sus propias responsabilidades y autoridad
funcional.

 Manuales específicos de Políticas:

Se ocupan de una funciona operacional, un departamento o
sección en particular.
Contenido del Manual de Políticas:

Un manual no debe contener más que los apartados
estrictamente necesarios para alcanzar los objetivos del
manual previstos y mantener los controles indispensables.

1.   Índice
2.   Introducción
      Objetivos
      Alcance
      Como usar el manual
      Revisiones y recomendaciones
3.   Organigrama
4.   Declaraciones de Políticas
Interpretación del Manual de Procedimientos
Manual de Procedimientos

 El manual de procedimientos y normas describe
  en detalle las operaciones que integran los
  procedimientos administrativos en el orden
  secuencial de su ejecución y las normas a cumplir
  por los miembros de la organización compatibles
  con dichos procedimientos.
 Instrumento de apoyo al Procedimiento que
  comprende la Guía de la Persona Candidata, la
  Guía del Asesor/a y la Guía del Evaluador/a y que
  tiene como finalidad optimizar el Procedimiento y
  garantizar su homogeneidad y fiabilidad.
Contenido y estructura de un manual
         de procedimientos
 Contenido
 Objetivos
 Responsabilidad
 Alcance de los procedimientos
 Instrucciones
 Normas de procedimientos
 Glosario
 Índice Temático
Contenido y estructura del manual de
               procedimientos
 Índice de referencias cruzadas
 Verificación y asesoramiento
 Indicación de fechas
 Numeración de páginas
 Formato
 Armado
El Administrador de Proyectos.

Esta persona se encarga de resolver los problemas
y de aprovechar las oportunidades que se cruzan
dentro de la organización. Esta persona es una
extensión del administrador general y por lo mismo
debe tener una visión general. Debe resolver los
problemas a través de la toma de decisiones en
cumplimiento con el objetivo.
El Administrador de Diseño.

Esta persona se encarga de participar en el
desarrollo de planes y en la determinación de las
necesidades de recursos para el proyecto.
Además, define la carga de trabajo para el diseño
y asigna el personal adecuado para las
necesidades. Su trabajo también incluye mantener
la excelencia técnica de los recursos, reclutar,
entrenar y manejar a la gente en la organización.
El Ingeniero de Diseño.

Ejecuta tareas de diseño y prepara planes detallados
y calendarios para el diseño de tareas consistente
con todo el plan de proyecto, incluyendo la definición
inicial de requerimientos.
Equipo de Programadores.

Se encargan de convertir a código en computadora
todo el trabajo realizado por el equipo de diseño.
Equipo de Mantenimiento.

Este grupo contempla tres tipos de actividades, como
mejoramiento de las capacidades del producto,
adaptación del producto a nuevos ambientes de
cómputo, y depuración de errores.
Recursos Humanos
Recursos Humanos

 La Administración de Recursos Humanos consiste en la
 planeación, organización, desarrollo y coordinación, así
 como también control de técnicas, capaces de promover el
 desempeño eficiente del personal, a la vez que la
 organización representa el medio que permite a las
 personas que colaboran en ella alcanzar los objetivos
 individuales relacionados directa o indirectamente con el
 trabajo.

 Su objetivo es conseguir y conservar un grupo humano de
 trabajo cuyas características vayan de acuerdo con los
 objetivos de la empresa a través de programas adecuados
 de reclutamiento, selección, capacitación y desarrollo.
Recursos Humanos

 Entre sus funciones esenciales podemos destacar las siguientes:

 1. Ayudar y prestar servicios a la organización, a sus dirigentes,
    gerentes y empleados.
   2. Describe las responsabilidades que definen cada puesto laboral y
    las cualidades que debe tener la persona que lo ocupe.
   3. Evaluar el desempeño del personal, promocionando el desarrollo
    del liderazgo.
   4. Reclutar al personal idóneo para cada puesto.
   5. Capacitar y desarrollar programas, cursos y toda actividad que
    vaya en función del mejoramiento de los conocimientos del
    personal.
   6. Brindar ayuda psicológica a sus empleados en función de
    mantener la armonía entre éstos, además buscar solución a los
    problemas que se desatan entre estos.
Recursos Humanos

 7. Llevar el control de beneficios de los empleados.

 8. Distribuye políticas y procedimientos de recursos humanos,
  nuevos o revisados, a todos los empleados, mediante
  boletines, reuniones, memorándums o contactos personales.

 9. Supervisar la administración de los programas de prueba.

 10. desarrollar un m arco personal basado en competencias.

 11. Garantizar la diversidad en el puesto de trabajo , ya que
  permite a la empresa triunfar en los distintos mercados
  nacionales y globales
Planeación de auditoria
Planeación de la Auditoria

ISO 27000
 El estándar internacional ISO/IEC 27000:2005 ha sido
  desarrollado para proporcionar un modelo para
  establecer, implementar, monitorear, revisar, mantener y
  mejorar un Sistema de Administración de Seguridad de
  Información (ISMS por sus siglas en Inglés Information
  Security Management System).
 La información es un activo vital para el éxito y la
  continuidad en el mercado de cualquier organización. El
  aseguramiento de dicha información y de los sistemas
  que la procesan es, por tanto, un objetivo de primer nivel
  para la organización.
Planeación de la Auditoria

 ISO 9000-2000
 ISO 9000 es el estándar para establecer sistemas de
  gestión de calidad más reconocido y adoptado en el
  mundo, debido a los beneficios que brinda el apego a
  sus normas definidas para establecer, documentar,
  controlar, medir y mejorar los procesos y productos
  dentro de la organización.
 Las normas de la familia ISO 9000 fueron creadas
  por la Organización Internacional de Normalización
  (ISO por sus siglas en inglés) con la finalidad de
  medir y asegurar la calidad de la producción.
Planeación de la Auditoria


 Algunos beneficios obtenidos son:
 Incrementar la ventaja competitiva a través de la
  mejora de las capacidades organizativas.
 Alineación de las actividades de mejora a todos los
  niveles con la estrategia organizativa establecida.
 Flexibilidad para reaccionar rápidamente a las
  oportunidades.
Planeación de la Auditoria

 ISO/IEC 20000:2005
 Es la primera norma de calidad a nivel mundial dirigida
  específicamente a las organizaciones de TI (Tecnología de la
  Información).
 Describe un conjunto integrado de procesos y un enfoque de
  gestión para la provisión efectiva de servicios de TI a clientes
  internos o externos.

 ISO 20000 es un estándar para la Gestión de servicios de TI.
  Representa un consenso en la industria sobre los elementos que son
  indispensables para garantizar la efectividad de los servicios de TI.
 Provee una guía para la realización de auditorías y para la
  remediación de los hallazgos identificados, tomando como
  referencia las recomendaciones contenidas en las mejores prácticas
  internacionales.
Planeación de la Auditoria

 La certificación ISO 20000 proporciona a las organizaciones un
  planteamiento estructurado para desarrollar servicios de tecnología
  de la información fiables. Es un reto, pero también es una
  oportunidad que tienen las empresas para salvaguardar sus
  sistemas de gestión de tecnología de la información.
 La norma ISO 20000 se concentra en la gestión de problemas de
  tecnología de la información mediante el uso de un planteamiento
  de servicio de asistencia - los problemas se clasifican, lo que ayuda
  a identificar problemas continuados o interrelaciones.
 La norma considera también la capacidad del sistema, los niveles de
  gestión necesarios cuando cambia el sistema, la asignación de
  presupuestos financieros y el control y distribución del software.
Planeación de la Auditoria

 Los objetivos de la ISO 20000 son:
 Promover la adopción de procesos integrados con el fin
  de suministrar la gestión de los servicios para obtener los
  requisitos tanto de nuestros clientes cómo del mercado
 en si.
 Medir la comprensión de nuestras “buenas prácticas”,
  objetivos, beneficios y posibles problemas dentro de
  nuestro Sistema de Gestión.
 Ayudar a las organizaciones a generar facturación, o
  bien, generar costes efectivos beneficios dentro de la vía
  profesional del servicio TI que se suministra a los
  clientes.
Planeación de la Auditoria

 POR QUE IMPLEMENTAR LA ISO
 Las empresas dependen cada vez más de sus
  Sistemas TI y necesitan una correcta gestión y
  mantenimiento de éstos.
 Los fallos e incidencias son cada día más visible.
 Aumenta exponencialmente el número de
  demandantes de servicios TI a nivel mundial.
Evaluación de la seguridad
Métodos de Seguridad

•   Fundamentos de Seguridad Informática.
  uso de antivirus, antispam, etc.
 • Proteger el software mediante ofuscación
 Romper el flujo del programa, luego introducir sistemáticamente aliases,
 ofuscando el código y previniendo “flow-sensitive analysis”
 • Técnicas.
Dos maneras:
– Static analysis
• Flujo y minúsculas o los análisis de flujo insensibles.
• Control y análisis de flujo de datos.
– Dynamic analysis
•Cobertura análisis del concepto (I.e., que lineas de
código siguen a cuales otras).
• La frecuencia de análisis de espectro (I.e., frecuencia de
ejecución de caminos (paths)).
Fases de la Auditoria Informática


Fase I:     Conocimientos del Sistema
Fase II:    Análisis de transacciones y recursos
Fase III:   Análisis de riesgos y amenazas
Fase IV:    Análisis de controles
Fase V:     Evaluación de Controles
Fase VI:    El Informe de auditoria
Fase VII:   Seguimiento de las Recomendaciones
Fase I: Conocimientos del Sistema

1.1. Aspectos Legales y Políticas Internas.
Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el
marco de referencia para su evaluación.

1.2.Características del Sistema Operativo.
Organigrama del área que participa en el sistema
Manual de funciones de las personas que participan en los procesos del sistema
Informes de auditoría realizadas anteriormente

1.3.Características de la aplicación de computadora
Manual técnico de la aplicación del sistema
Funcionarios (usuarios) autorizados para administrar la aplicación
Equipos utilizados en la aplicación de computadora
Seguridad de la aplicación (claves de acceso)
Procedimientos para generación y almacenamiento de los archivos de la aplicación.
Fase II: Análisis de transacciones y recursos
2.1.Definición de las transacciones.
Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos
en subprocesos. La importancia de las transacciones deberá ser asignada con los
administradores.

2.2.Análisis de las transacciones
Establecer el flujo de los documentos
En esta etapa se hace uso de los flujogramas ya que facilita la visualización del
funcionamiento y recorrido de los procesos.

2.3.Análisis de los recursos
Identificar y codificar los recursos que participan en el sistemas

2.4.Relación entre transacciones y recursos
Fase III: Análisis de riesgos y amenazas

3.1.Identificación de riesgos              3.2.Identificación de las
                                           amenazas
Daños físicos o destrucción de los
recursos                                   Amenazas sobre los equipos:
Pérdida por fraude o desfalco             Amenazas sobre documentos fuente
Extravío de documentos fuente, archivos   Amenazas sobre programas de
o informes                                 aplicaciones
Robo de dispositivos o medios de
almacenamiento
Interrupción de las operaciones del       3.3.Relación entre
negocio                                    recursos/amenazas/riesgos
Pérdida de integridad de los datos
Ineficiencia de operaciones               La relación entre estos elementos deberá
Errores                                   establecerse a partir de la observación de los
                                           recursos en su ambiente real de
                                           funcionamiento.
Fase IV: Análisis de controles

4.1.Codificación de controles
Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la
identificación de los controles deben contener una codificación la cual identifique el
grupo al cual pertenece el recurso protegido.


4.2.Relación entre recursos/amenazas/riesgos
La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie)
identificado. Para cada tema debe establecerse uno o más controles.

4.3.Análisis de cobertura de los controles requeridos
Este análisis tiene como propósito determinar si los controles que el auditor identificó
como necesarios proveen una protección adecuada de los recursos.
Fase V: Evaluación de Controles

5.1.Objetivos de la evaluación
Verificar la existencia de los controles requeridos
Determinar la operatividad y suficiencia de los controles
existentes

5.2.Plan de pruebas de los controles
Incluye la selección del tipo de prueba a realizar.
Debe solicitarse al área respectiva, todos los elementos necesarios
de prueba.

5.3.Pruebas de controles

5.4.Análisis de resultados de las pruebas
Fase VI: Informe de Auditoria

6.1.   Informe detallado de recomendaciones
6.2. Evaluación de las respuestas
6.3.   Informe resumen para la alta gerencia
Este informe debe prepararse una vez obtenidas y analizadas las
respuestas de compromiso de la áreas.
Introducción: objetivo y contenido del informe de auditoria
Objetivos de la auditoría
Alcance: cobertura de la evaluación realizada
Opinión: con relación a la suficiencia del control interno del
sistema evaluado
Hallazgos
Recomendaciones
Fase VII: Seguimiento de Recomendaciones

7.1.     Informes del seguimiento
7.2.     Evaluación de los controles implantados
Plan de Contingencia

 Un plan de contingencia es un instrumento de
  gestión para el buen gobierno de las tecnologías de la
  información en el dominio del soporte y desempeño.
 Dicho plan contiene las medidas técnicas, humanas y
  organizativas necesarias para garantizar la
  continuidad del negocio y las operaciones de la
  compañía un plan de continuidad aplicando al
  departamento de informática o tecnologías.
Plan de Contingencia

 El plan de contingencia es una herramienta que le
 ayudará a que los procesos críticos de su empresa u
 organización continúen funcionando a pesar de una
 posible falla en los sistemas computarizados. Es
 decir, un plan que le permite a su negocio u
 organización, seguir operando aunque sea al
 mínimo.
Plan de Contingencia

• Objetivos
• Garantizar la continuidad de las operaciones de los
 elementos considerados críticos que componen los
 Sistemas de Información.

 • Definir acciones y procedimientos a ejecutar en
  caso de fallas de los
 elementos que componen          un   Sistema    de
  Información.
Plan de Contingencia

 Dentro de las empresas deben existir mecanismos de contingencias que
  permitan garantizar la continuidad de los procesos que en ella se realizan.
  Dentro de la informática tal aspecto no debe variar, es decir, deben estar
  especificados dichos mecanismos (por ejemplo, como realizar un proceso
  manualmente en caso de que falle el automatizado). En este módulo nos
  compete exclusivamente la contingencia de la información.
     Al igual que otras cosas, la información puede tener daños, los cuales
  pueden obedecer a causas accidentales (tales como errores en la
  trascripción de datos, ejecución de procesos inadecuados) o intencionales
  (cuando se busca cometer algún fraude). No importa cual sea la causa, lo
  importante en este momento (claro, es importante determinar a que
  obedeció el problema) es disponer algún mecanismo que nos permita
  obtener la información sin errores. Las copias de seguridad nos ofrecen
  una alternativa para ello, ya que en caso de que se dañe la información
  original, se recurre entonces al respaldo el cual contiene la información
  libre de errores.
Copias de Seguridad

 Las copias pueden ser totales o parciales y la fre-
 cuencia varía dependiendo de la importancia de
 la información que se genere.

 Se recomienda tener             Backup
 como mínimo dos (2)
 respaldos de la información,
 uno dentro de la empresa y otro fuera
 de ésta (preferiblemente en un Banco en
 Caja Fuerte).
Plan de Contingencia


Fases de la Metodología para el desarrollo de un plan
                  de contingencia

• Planificación: preparación y aprobación de esfuerzos y costos.
 Identificación de riesgos: funciones y flujos del proceso de la empresa.
 Identificación de soluciones: Evaluación de Riesgos de fallas o
    interrupciones.
   Estrategias: Otras opciones, soluciones alternativas, procedimientos
    manuales.
   Documentación del proceso: Creación de un manual del proceso.
   Realización de pruebas: selección de casos soluciones que
    probablemente funcionen.
   Implementación: creación de las soluciones requeridas, documentación
    de los casos.
    Monitoreo: Probar nuevas soluciones o validar los casos.
Selección de proveedores
Selección de proveedores

 Características
 El proceso de la búsqueda y selección de proveedores empieza con
    la búsqueda de los proveedores que ofrezcan los insumos, productos
    o servicios que vamos a requerir.

  Para la búsqueda de proveedores podemos acudir a diversas
  fuentes, algunas de éstas son:
 Conocidos: personas que nos puedan recomendar proveedores, ya
  sea porque los conocen al estar o haber estado en negocios similares
  al nuestro, o por cualquier otra razón.
 Trabajadores de la empresa: trabajadores que probablemente
  conozcan proveedores con los que hayan trabajado anteriormente
  en sus antiguos empleos.
 Competencia: empresas competidoras a las cuales podemos
  investigar para saber cuáles son sus proveedores
Selección de proveedores

 Diarios, revistas y publicaciones especializadas: medios en
  donde varias empresas proveedoras suelen publicar sus
  anuncios.
 Internet: buscadores, anuncios clasificados, directorios, foros,
  cámaras de comercio, asociaciones empresariales, etc.
 Páginas amarillas.
 Ferias o exposiciones especializadas.

    Al realizar la búsqueda de proveedores, podemos hacer una
    preselección en donde descartemos los proveedores que no
    cumplan con requisitos básicos tales como la calidad en el
    producto, o que sobrepasen el máximo precio que estamos
    dispuestos a pagar, de modo que podamos elaborar una lista
    de proveedores que no sea tan extensa.
Selección de proveedores

 PROCEDIMIENTOS PARA LA SELECCIÓN

 En este paso, procedemos a determinar los criterios de selección que vamos a tener
    en cuenta al momento de evaluar los posibles proveedores y luego seleccionar al
    indicado.
   Algunos de los principales criterios de selección que podemos tomar en cuenta son:
   Precio: el precio de sus productos, los gastos que podrían adicionarse a éste, los
    descuentos que nos podrían otorgar.
   Calidad: la calidad de los insumos, productos o servicios que ofrece.
   Plazo del pago: las condiciones de pago que nos brindan, si nos piden pagar al
    contado, o nos dan facilidades para pagar al crédito.
   Plazos de entrega: el tiempo que transcurre desde que hacemos el pedido hasta
    que nos lo entregan.
   Garantías: las garantías que otorga y el periodo de duración de éstas.
   Reputación: el prestigio y las buenas referencias que tiene.

    Más criterios de selección podemos encontrar en el artículo: criterios de selección de
    proveedores.
Licenciamiento del Software
Licenciamiento del software
Software libre : proporciona la libertad de
• Ejecutar el programa, para cualquier propósito;
• Estudiar el funcionamiento del programa, y adaptarlo a sus necesidades;
• Redistribuir copias;
• Mejorar el programa, y poner sus mejoras a disposición del público, para beneficio de toda la
comunidad.
Software de fuente abierta : sus términos de distribución cumplen los criterios de
• Distribución libre;
• Inclusión del código fuente;
• Permitir modificaciones y trabajos derivados en las mismas condiciones que el software original;
• Integridad del código fuente del autor, pudiendo requerir que los trabajos derivados tengan distinto
nombre o versión;
• No discriminación a personas o grupos;
• Sin uso restringido a campo de actividad;
• Los derechos otorgados a un programa serán válidos para todo el software
redistribuido sin imponer condiciones complementarias;
• La licencia no debe ser específica para un producto determinado;
• La licencia no debe poner restricciones a otro producto que se distribuya junto con el software
licenciado;
• La licencia debe ser tecnológicamente neutral.
Licenciamiento del software

Software de dominio público: aquél que no está protegido con copyright
Software con copyleft: software libre cuyos términos de distribución no permiten a los
redistribuidores agregar ninguna restricción adicional cuando lo redistribuyen o modifican,
     o sea, la versión modificada debe ser también libre.
Software semi-libre: aquél que no es libre, pero viene con autorización de usar, copiar,
distribuir y modificar para particulares sin fines de lucro
Freeware: se usa comúnmente para programas que permiten la redistribución pero no la
modificación (y su código fuente no está disponible)
Shareware: software con autorización de redistribuir copias, pero debe pagarse cargo por
licencia de uso continuado.
Software privativo: aquél cuyo uso, redistribución o modificación están prohibidos o
necesitan una autorización.
Software comercial: el desarrollado por una empresa que pretende ganar dinero por su
uso.
Evaluación de Hardware y software
Evaluación de hardware y software

 Dentro de esta evaluación se encuentra varias áreas consideradas como
  por ejemplo:
 Producción: Para la evolución del hw y sw que debe de tener el
  personal de esta área puede considerarse considerado como uno de los
  departamentos más importantes, ya que formula y desarrolla los
  métodos más adecuados para la elaboración de productos, al
  suministrar y coordinar, mano de obra, equipo, instalaciones,
  materiales y herramientas requeridas. Por lo tanto dicha área debería
  tener una muy buena consideración en la asignación de equipos de
  computo ya que de esta área
 Mercadotecnia: Es una función trascendental ya que a través de ella
  se cumplen algunos de los propósitos institucionales de la empresa. Su
  finalidad es la de reunir factores y hechos que influyen en el mercado.
  Por dichos motivos su función es especial dentro de la empresa pero
  dicha labor solo debe de tener el software necesario para dicha labor.
Evaluación de hardware y software

 Finanzas : En esta función es de vital importancia es está función, ya que
  toda la empresa trabaja en constantes movimientos de dinero. Está área se
  encarga de la obtención de fondos y del suministro del capital que se utiliza en
  el funcionamiento de la empresa, por dicha función fundamental debe de ser
  con el software y hardware que satisfaga a dicha labor como por ejemplo,
  paquetería de oficina y software para contabilidad.
 Administración de recursos humanos : Esta área tiene como objeto el
  conseguir y conservar un grupo humano de trabajo cuyas características vayan
  de acuerdo con los objetivos de la empresa. Por lo tanto dichas tareas en lo
  personal
 Recursos Esta es una de las áreas que dentro de la empresa es fundamental
  que empresa pueda lograr sus objetivos, es necesario que cuente con una serie
  de elementos o recursos que, conjugados armónicamente, contribuyan a su
  funcionamiento adecuado por lo tanto lo que se recomiendo o se debe de
  considerar que el hardware y software debe de ser el mas óptimos para realizar
  las tareas necesarias para la tarea.
Evaluación de los sistemas

 Revisión de las metodologías utilizadas
    Modularidad, ampliaciones y mantenimiento
 Control interno de las aplicaciones
    Para cada fase del proceso
 Satisfacción de usuarios (clientes)
 Control de procesos y ejecuciones de programas
 críticos
Evaluación de sistemas

 SO
    Actualización de versión
    Incompatibilidades con el software de aplicación
 Otro software de Base
 Administración de Bases de Datos
 Respaldos
 Investigación y Desarrollo
Evaluación de la red

 Redes nodales
 Concentradores
 MAN
 WAN
 Líneas telefónicas (proveedores externos)
 …entre otros aspectos
Evaluación de la red

Modelo OSI
 La Organización Internacional de Estándares (ISO) diseñó el modelo de
  Interconexión de Sistemas Abiertos (OSI) como guía para la elaboración de
  estándares de dispositivos de computación en redes. Dada la complejidad
  de los dispositivos de conexión en red y a su integración para que operen
  adecuadamente, el modelo OSI incluye siete capas diferentes, que van
  desde la capa física, la cual incluye los cables de red, a la capa de aplicación,
  que es la interfaz con el software de aplicación que se esta ejecutando.
 Capa 1. Físico
 Capa 2. Enlace de datos
 Capa 3. Red
 Capa 4. Transporte
 Capa 5. Sesión
 Capa 6. Presentación
 Capa 7. Aplicación
Interpretación de resultados de la
             auditora
Interpretacion de los resultados en la auditoria

 OBJETIVO:
 Conocer la manera en que cada Auditor planifica y
 desarrolla su auditoría independiente en el sector
 comercio.
Interpretación de los resultados en la auditoria

 Titulo:
 Identificar con un nombre corto y referenciando al
    objetivo de la auditoria
   Partes interesadas
   El auditor dirigirá su informe al ejecutivo u órgano
    de la entidad del que recibió el encargo de la
    auditoría.
   Objetivo:
   Especificar en forma muy puntual los procesos o
    áreas involucradas en la auditoria.
Interpretación de los resultados en la auditoria

 Alcance:
 Especificar la trascendencia de la auditoria y las
    áreas involucradas en la misma.
   Metodología:
   Especificar los métodos o técnicas ocupadas para
    el desarrollo de la auditoria
   Desarrollo:
   Especificar el rumbo que tomo la auditoria y el
    periodo de los trabajos realizados
Interpretación de los resultados en la auditoria

 Resultados:
 Especificar cada uno de los descubrimientos
    encontrados en la auditoria
   Observaciones:
   Se especifica las observaciones relevantes de la
    auditoria por parte del auditor.
   Recomendaciones:
   Se especifica las recomendaciones del auditor.
Interpretación de los resultados en la auditoria

 Conclusiones:
 Especificar el cierre de la auditoria y el
    cumplimiento de los objetivos.
   Periodo de cobertura:
   Este periodo deberá contener la fecha de inicio y
    último día de trabajo en las oficinas de la entidad
   Firmas:
   Nombre y firma del representante del área
    auditada, así como nombre y firma del auditor
Interpretacion de los resultados en la auditoria
Presentación de conclusiones de la auditoria

Conclusiones
El informe de auditoria tiene que estar basado en una
metodología, misma que debe estar soportada por mejores
practicas administrativas y tecnológicas.
 El informe de auditoria debe contener cuando menos los
puntos observados en al presentación y el formato puede
elaborarse de acuerdo a las necesidades del auditor, por lo
que no existe un formato en especifico.
 La información y observaciones vertidos en el informe
deben contener un sustento y no pueden ser en ningún
caso subjetivos.
Áreas de Oportunidad
Para una mejor comprensión de dicha herramienta estratégica,
definiremos las siglas de la siguiente manera:
 Fortaleza.- Son todos aquellos elementos positivos que me
  diferencian de la competencia
 Debilidades.- Son los problemas presentes que una vez
  identificado y desarrollando una adecuada estrategia, pueden y
  deben eliminarse.
 Oportunidades.- Son situaciones positivas que se generan en
  el medio y que están disponibles para todas las empresas, que se
  convertirán en oportunidades de mercado para la empresa
  cuando ésta las identifique y las aproveche en función de sus
  fortalezas.
 Amenazas.- Son situaciones o hechos externos a la empresa o
  institución y que pueden llegar a ser negativos para la misma. El
  análisis de esta herramienta, consiste en evaluar las Fortalezas
  y Debilidades que están relacionadas con el ambiente interno
  (recursos humanos, técnicos, financieros, tecnológicos, etcétera)
  y Oportunidades y Amenazas que se refieren al entorno
  externo (Microambiente: Proveedores, competidores, los canales
  de distribución, los consumidores) (Microambiente: economía,
  ecología, demografía, etcétera) de la empresa.
 Ventajas de implementar ITIL


Las empresas están llevando a cabo importantes
cambios estructurales en los cuales es necesario
promover una estrecha relación entre los objetivos de
negocio y los de TI (Tecnologías de Información).
Adoptar buenas prácticas puede ayudar a asegurar la
alta calidad, seguridad y confiabilidad en nuestros
servicios creando un efectivo sistema de gestión.
 Prácticas de la industria.
 Investigación académica.
 Capacitación y educación.
 Experiencia interna.
 Estándares.
ITIL, como ejemplo de buenas prácticas, es
utilizado por organizaciones de todo el mundo para
establecer y mejorar las capacidades en la Gestión
del Servicio.
El marco de Prácticas de la Gestión del Servicio de
ITIL tiene los siguientes componentes:
 Base de ITIL. Guía de mejores prácticas
  aplicables a todos los tipos de organización que
  provea servicios al negocio.
 Guía Complementaria de ITIL. Un conjunto de
  publicaciones     complementarias     con    guía
  específica a sectores de la industria, tipos de
  organizaciones, modelos de operación y
  arquitectura de la tecnología.
Ventajas de ITIL para IT:
 El Departamento de IT desarrolla un más clara estructura, se convierte
    en más eficiente y más focalizada en los objetivos corporativos.
   El Management es más controlado, junto con los cambios que conlleva el
    mismo.
   El nuevo mapa de Procesos provee un framework que permite decidir la
    tercerización de ciertos procesos en caso ser convenientes.
   Siguiendo las Best Practices ITIL, se lidera un cambio cultura hacia la
    Provisión de Servicios basados en el Management de Calidad de ISO
    9000.
   ITIL provee un uniforme marco de referencia de comunicación interna y
    externa hacia proveedores, junto con la estandarización e identificación
    de procedimientos.
   Problemas Potenciales de ITIL:
   Cuando el Proceso de Cambio es manejado sólo con recursos internos, se
    corre el riesgo de no poder cambiar el “status quo”, porque implicaría
    marcar “errores” en vez de oportunidades de mejorar y “responsables”,
    en vez de Lideres del Cambio

Weitere ähnliche Inhalte

Was ist angesagt?

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informaticajanethvalverdereyes
 
Marco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticosMarco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticoscarlosskovar
 
Auditoria de sistema etapas
Auditoria de sistema etapasAuditoria de sistema etapas
Auditoria de sistema etapasarelyochoa
 
Informe final de la auditoria de sistemas
Informe final de la auditoria de sistemasInforme final de la auditoria de sistemas
Informe final de la auditoria de sistemasdiana3232968
 
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Jazmín Moreno
 
Auditorias de sistemas de información.
Auditorias de sistemas de información.Auditorias de sistemas de información.
Auditorias de sistemas de información.ROMERGOMEZ
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasBarbara brice?
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJaime
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
PERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOPERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOivanvelascog
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemasHector Chajón
 
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Karla Ordoñez
 

Was ist angesagt? (20)

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informatica
 
Marco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticosMarco referencia auditoria de sistemas informaticos
Marco referencia auditoria de sistemas informaticos
 
Auditoria de sistema etapas
Auditoria de sistema etapasAuditoria de sistema etapas
Auditoria de sistema etapas
 
Informe final de la auditoria de sistemas
Informe final de la auditoria de sistemasInforme final de la auditoria de sistemas
Informe final de la auditoria de sistemas
 
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
 
Auditorias de sistemas de información.
Auditorias de sistemas de información.Auditorias de sistemas de información.
Auditorias de sistemas de información.
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
PERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOPERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICO
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas
 
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
 

Ähnlich wie Auditoria Informatica

Planeación y organización del trabajo
Planeación y organización del trabajoPlaneación y organización del trabajo
Planeación y organización del trabajotarea
 
Recursos que intervienen en los diferentes procesos
Recursos que intervienen en los diferentes procesosRecursos que intervienen en los diferentes procesos
Recursos que intervienen en los diferentes procesostarea
 
47_ 21133877 jose_pajaro
47_ 21133877 jose_pajaro47_ 21133877 jose_pajaro
47_ 21133877 jose_pajarojoseenrique609
 
Metodología de mejoramiento administrativo
Metodología de mejoramiento administrativoMetodología de mejoramiento administrativo
Metodología de mejoramiento administrativoANEP - DETP
 
EXPOSICIONNN1.pptx
EXPOSICIONNN1.pptxEXPOSICIONNN1.pptx
EXPOSICIONNN1.pptxSusanDvila1
 
Porqué la gestion de procesos
Porqué la gestion de procesosPorqué la gestion de procesos
Porqué la gestion de procesosManuel Bedoya D
 
Proceso administrativo
Proceso administrativoProceso administrativo
Proceso administrativocinthyayaha23
 
Mapa conceptual mora Politicas Privadas
Mapa conceptual mora Politicas PrivadasMapa conceptual mora Politicas Privadas
Mapa conceptual mora Politicas Privadasalemora19
 
Unidad 1. ELEMENTOS DE LA TEORÍA DE LA ORGANIZACIÓN Y LA TEORÍA GERENCIAL
Unidad 1. ELEMENTOS DE LA TEORÍA DE LA ORGANIZACIÓN Y LA TEORÍA GERENCIALUnidad 1. ELEMENTOS DE LA TEORÍA DE LA ORGANIZACIÓN Y LA TEORÍA GERENCIAL
Unidad 1. ELEMENTOS DE LA TEORÍA DE LA ORGANIZACIÓN Y LA TEORÍA GERENCIALalixjoanmerindriagosalas
 
Instituto tecnológico superior de tlatlauquitepec
Instituto  tecnológico superior  de tlatlauquitepecInstituto  tecnológico superior  de tlatlauquitepec
Instituto tecnológico superior de tlatlauquitepecArely Lizeth Cano Bello
 
ELABORACION_DE_UN_MAPA_DE_PROCESOS.pdf
ELABORACION_DE_UN_MAPA_DE_PROCESOS.pdfELABORACION_DE_UN_MAPA_DE_PROCESOS.pdf
ELABORACION_DE_UN_MAPA_DE_PROCESOS.pdfReyesAcevedoSnchez
 
Ensayo opinático importancia de la Auditoria de Recursos Humanos
Ensayo opinático importancia de la Auditoria de Recursos HumanosEnsayo opinático importancia de la Auditoria de Recursos Humanos
Ensayo opinático importancia de la Auditoria de Recursos HumanosGiovanna Peñaloza Lugo
 
ESTABLECIMIENTO-DE-SISTEMAS-DE-CONTROL-INTERNO.ppt
ESTABLECIMIENTO-DE-SISTEMAS-DE-CONTROL-INTERNO.pptESTABLECIMIENTO-DE-SISTEMAS-DE-CONTROL-INTERNO.ppt
ESTABLECIMIENTO-DE-SISTEMAS-DE-CONTROL-INTERNO.pptLuisAlfonsoMagaaramo2
 

Ähnlich wie Auditoria Informatica (20)

Jhonny
JhonnyJhonny
Jhonny
 
Proceso administrativo
Proceso administrativoProceso administrativo
Proceso administrativo
 
Planeación y organización del trabajo
Planeación y organización del trabajoPlaneación y organización del trabajo
Planeación y organización del trabajo
 
Recursos que intervienen en los diferentes procesos
Recursos que intervienen en los diferentes procesosRecursos que intervienen en los diferentes procesos
Recursos que intervienen en los diferentes procesos
 
0
00
0
 
47_ 21133877 jose_pajaro
47_ 21133877 jose_pajaro47_ 21133877 jose_pajaro
47_ 21133877 jose_pajaro
 
Metodología de mejoramiento administrativo
Metodología de mejoramiento administrativoMetodología de mejoramiento administrativo
Metodología de mejoramiento administrativo
 
MoProsoft Presentacion
MoProsoft PresentacionMoProsoft Presentacion
MoProsoft Presentacion
 
EXPOSICIONNN1.pptx
EXPOSICIONNN1.pptxEXPOSICIONNN1.pptx
EXPOSICIONNN1.pptx
 
Porqué la gestion de procesos
Porqué la gestion de procesosPorqué la gestion de procesos
Porqué la gestion de procesos
 
Plan de mejora
Plan de mejoraPlan de mejora
Plan de mejora
 
Proceso administrativo
Proceso administrativoProceso administrativo
Proceso administrativo
 
Mapa conceptual mora Politicas Privadas
Mapa conceptual mora Politicas PrivadasMapa conceptual mora Politicas Privadas
Mapa conceptual mora Politicas Privadas
 
Unidad 1. ELEMENTOS DE LA TEORÍA DE LA ORGANIZACIÓN Y LA TEORÍA GERENCIAL
Unidad 1. ELEMENTOS DE LA TEORÍA DE LA ORGANIZACIÓN Y LA TEORÍA GERENCIALUnidad 1. ELEMENTOS DE LA TEORÍA DE LA ORGANIZACIÓN Y LA TEORÍA GERENCIAL
Unidad 1. ELEMENTOS DE LA TEORÍA DE LA ORGANIZACIÓN Y LA TEORÍA GERENCIAL
 
Instituto tecnológico superior de tlatlauquitepec
Instituto  tecnológico superior  de tlatlauquitepecInstituto  tecnológico superior  de tlatlauquitepec
Instituto tecnológico superior de tlatlauquitepec
 
ELABORACION_DE_UN_MAPA_DE_PROCESOS.pdf
ELABORACION_DE_UN_MAPA_DE_PROCESOS.pdfELABORACION_DE_UN_MAPA_DE_PROCESOS.pdf
ELABORACION_DE_UN_MAPA_DE_PROCESOS.pdf
 
Introduccion
IntroduccionIntroduccion
Introduccion
 
Ensayo opinático importancia de la Auditoria de Recursos Humanos
Ensayo opinático importancia de la Auditoria de Recursos HumanosEnsayo opinático importancia de la Auditoria de Recursos Humanos
Ensayo opinático importancia de la Auditoria de Recursos Humanos
 
ESTABLECIMIENTO-DE-SISTEMAS-DE-CONTROL-INTERNO.ppt
ESTABLECIMIENTO-DE-SISTEMAS-DE-CONTROL-INTERNO.pptESTABLECIMIENTO-DE-SISTEMAS-DE-CONTROL-INTERNO.ppt
ESTABLECIMIENTO-DE-SISTEMAS-DE-CONTROL-INTERNO.ppt
 
procesos
procesosprocesos
procesos
 

Kürzlich hochgeladen

De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETGermán Küber
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...RaymondCode
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.marianarodriguezc797
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx Emialexsolar
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...OLGAMILENAMONTAEZNIO
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfodalistar77
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfymiranda2
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfcastrodanna185
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidaddanik1023m
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfangelinebocanegra1
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....Aaron Betancourt
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosLCristinaForchue
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2montoyagabriela340
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSLincangoKevin
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfOBr.global
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxPaolaCarolinaCarvaja
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfalejandrogomezescoto
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfJoseAlejandroPerezBa
 

Kürzlich hochgeladen (20)

De Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NETDe Código a Ejecución: El Papel Fundamental del MSIL en .NET
De Código a Ejecución: El Papel Fundamental del MSIL en .NET
 
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
Actividad 14: Diseño de Algoritmos Paralelos Actividad 14: Diseño de Algoritm...
 
Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.Tecnológia 2024.docx.
Tecnológia 2024.docx.Tecnológia 2024.docx.
 
VIDEOS DE APOYO.docx E
VIDEOS DE APOYO.docx                                  EVIDEOS DE APOYO.docx                                  E
VIDEOS DE APOYO.docx E
 
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
Actividad 1-PRESENTACIÓN ANIMADA.pptxPreservación y conservación de los docum...
 
Los mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdfLos mejores simuladores de circuitos electrónicos.pdf
Los mejores simuladores de circuitos electrónicos.pdf
 
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdfPresentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
Presentación - Diseño de Algoritmos Paralelos - Grupo 2.pdf
 
Análisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdfAnálisis de artefactos tecnologicos .pdf
Análisis de artefactos tecnologicos .pdf
 
Inteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidadInteligencia artificial dentro de la contabilidad
Inteligencia artificial dentro de la contabilidad
 
Carta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdfCarta de Premio y Excel angeline 11-2pdf
Carta de Premio y Excel angeline 11-2pdf
 
La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....La Electricidad y La Electrónica.pdf....
La Electricidad y La Electrónica.pdf....
 
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier FolchBEDEC Proyecto y obra , novedades 2024 - Xavier Folch
BEDEC Proyecto y obra , novedades 2024 - Xavier Folch
 
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimosEl diseño de Algoritmos Paralelos.pdf - analisis de algortimos
El diseño de Algoritmos Paralelos.pdf - analisis de algortimos
 
La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2La tablet trabajo en grupo del grado 9-2
La tablet trabajo en grupo del grado 9-2
 
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOSPRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
PRESENTACION DEL TEMA LOS MEJORES SIMULADORES DE CIRCUITOS ELCTRONICOS
 
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdfInmersión global en ciberseguridad e IA en la conferencia RSA.pdf
Inmersión global en ciberseguridad e IA en la conferencia RSA.pdf
 
Matriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docxMatriz de integración de tecnologías- Paola Carvajal.docx
Matriz de integración de tecnologías- Paola Carvajal.docx
 
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura SilvaBEDEC Sostenibilidad, novedades 2024 - Laura Silva
BEDEC Sostenibilidad, novedades 2024 - Laura Silva
 
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdfActividad 14_ Diseño de Algoritmos Paralelos.pdf
Actividad 14_ Diseño de Algoritmos Paralelos.pdf
 
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdfTENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
TENDENCIAS DE IA Explorando el futuro de la tecnologia.pdf
 

Auditoria Informatica

  • 1. Nombre de la Materia: Auditoria informática. Nombre del Maestro: Octavio Esparza Jurares. Nombre del Alumno: Cesar Martin González Dueñas Carrera: I.T.I Cuatrimestre: Noveno Grupo: B
  • 2. Temas AUDITORIA DE LA FUNCION INFORMATICA POLITICAS D ELA ORGANIZACION INTERPRETACION DEL MANUAL DE PROCEDIMIENTOS RECURSOS HUMANOS PLANEACION DE AUDITORIA EVALUACION DE LA SEGURIDAD SELECCION DE PROVEEDORES LICENCIAMIENTO DEL SW EVALUACION DE HW Y SW EVALUACION DE SISTEMAS EVALUACION DE LA RED INTERPRETACION DE LOS RESULTADOS EN LA AUDITORIA PRESENTACION DE CONCLUCIONES DE LA AUDITORIA AREAS DE OPORTUNIDAD
  • 4. Concepto: Es el conjunto de técnicas, procedimientos y actividades, destinados a analizar y evaluar el funcionamiento de los sistemas informáticos de un ente, por lo que comprende un examen metódico, puntual y discontinuo, con el propósito de mejorar aspectos como: Control y seguridad de los sistemas informáticos; Cumplimiento de la normativa tecnológica del ente; Control de planes de contingencia; Eficacia y rentabilidad en el manejo de los sistemas.
  • 5. La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
  • 6. OBJETIVO DE LA AUDITORIA INFORMATICA • Control de la función informática • El análisis de la eficiencia de los sistemas informáticos • Verificación de la normativa general de la empresa en el ámbito informático • Revisión de la eficaz gestión de los recursos materiales y humanos informáticos
  • 7. ÉXITO DE LA AI •Estudiar hechos no opiniones •Investigar las causas no los efectos •Atender razones no excusas •Criticar objetivamente y a fondo todos los informes y datos recabados. •Registrar TODO.
  • 8. Características No solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial. La concepción típica que se ha visto en las empresas hasta ahora, es la de que la función de auditoría informática está entroncada dentro de lo que es la función de auditoría interna con rango de su departamento. Esta concepción se basa en el nacimiento histórico de la auditoría informática y en la dificultad de separar el elemento .informático de lo que es la auditoría operativa y financiera, al igual que lo es separar la operativa de una empresa de los sistemas de información que los soportan. Dentro de las áreas a analizar dentro de la AI son:  Seguridad  Control interno operativo  Eficiencia y eficacia  Tecnología informática  Continuidad de operaciones  Gestión de riesgos
  • 9. Políticas de la organización
  • 10. Definición de Política: Manera de alcanzar objetivos bajo procedimiento establecido y conocido por los agentes componentes de la organización. "Es un plan permanente que proporciona guías generales para canalizar el pensamiento administrativo en direcciones específicas”. Conjunto de actividades desarrolladas para conseguir un objetivo general a corto, mediano y a largo plazo.
  • 11. Definición de Manual de Políticas: Documento que incluye las intenciones o acciones generales de la administración que es probable que se presenten en determinadas circunstancias. Las políticas son la actitud de la administración superior. Las políticas escritas establecen líneas de guía, un marco dentro del cual el personal operativo pueda obrar para balancear las actividades y objetivos de la dirección superior según convenga a las condiciones del organismo social.
  • 12. Objetivo del Manual de Políticas: Presentar una visión de conjunto de la organización para su adecuada organización.  Precisar expresiones generales para llevar a cabo acciones que deben realizarse en cada unidad administrativa.  Proporcionar expresiones para agilizar el proceso decisorio.  Ser instrumento útil para la orientación e información al personal.  Facilitar la descentralización, al suministrar a los niveles intermedios lineamientos claros a ser seguidos en la toma de decisiones.  Servir de base para una constante y efectiva revisión administrativa.
  • 13. Importancia de Manual de Políticas: Su importancia radica en que representa un recurso técnico para ayudar a la orientación del personal y también ayuda a declarar políticas y procedimientos, o proporcionar soluciones rápidas a los malos entendimientos y a mostrar como puede contribuir el empleado al logro de los objetivos del organismo. También ayuda a los administradores a no repetir la información o instrucciones.
  • 14. Ventajas de los manuales de Políticas:  Las políticas escritas requieren que los administradores piensen a través de sus cursos de acción y predeterminen que acciones se tomarán bajo diversas circunstancias.  Se proporciona un panorama general de acción para muchos asuntos, y solamente los asuntos poco usuales requieren la atención de altos directivos.  Se proporciona un marco de acción dentro del cual el administrador puede operar libremente.  Las políticas escritas ayudan a asegurar un trato equitativo para todos los empleados.  Las políticas escritas generan seguridad de comunicación interna en todos los niveles. El manual de políticas es fuente de conocimiento inicial, rápido y claro, para ubicar en su puesto nuevos empleados.
  • 15. Tipos de Manuales de Políticas: Manuales Generales de Políticas: Abarcan todo el organismo social, incluye como elemento primario todas aquellas disposiciones generales como tipo fijo, las cuales en forma unilateral las establece cada área a efectos de sus propias responsabilidades y autoridad funcional.  Manuales específicos de Políticas: Se ocupan de una funciona operacional, un departamento o sección en particular.
  • 16. Contenido del Manual de Políticas: Un manual no debe contener más que los apartados estrictamente necesarios para alcanzar los objetivos del manual previstos y mantener los controles indispensables. 1. Índice 2. Introducción Objetivos Alcance Como usar el manual Revisiones y recomendaciones 3. Organigrama 4. Declaraciones de Políticas
  • 17. Interpretación del Manual de Procedimientos
  • 18. Manual de Procedimientos  El manual de procedimientos y normas describe en detalle las operaciones que integran los procedimientos administrativos en el orden secuencial de su ejecución y las normas a cumplir por los miembros de la organización compatibles con dichos procedimientos.  Instrumento de apoyo al Procedimiento que comprende la Guía de la Persona Candidata, la Guía del Asesor/a y la Guía del Evaluador/a y que tiene como finalidad optimizar el Procedimiento y garantizar su homogeneidad y fiabilidad.
  • 19. Contenido y estructura de un manual de procedimientos  Contenido  Objetivos  Responsabilidad  Alcance de los procedimientos  Instrucciones  Normas de procedimientos  Glosario  Índice Temático
  • 20. Contenido y estructura del manual de procedimientos  Índice de referencias cruzadas  Verificación y asesoramiento  Indicación de fechas  Numeración de páginas  Formato  Armado
  • 21. El Administrador de Proyectos. Esta persona se encarga de resolver los problemas y de aprovechar las oportunidades que se cruzan dentro de la organización. Esta persona es una extensión del administrador general y por lo mismo debe tener una visión general. Debe resolver los problemas a través de la toma de decisiones en cumplimiento con el objetivo.
  • 22. El Administrador de Diseño. Esta persona se encarga de participar en el desarrollo de planes y en la determinación de las necesidades de recursos para el proyecto. Además, define la carga de trabajo para el diseño y asigna el personal adecuado para las necesidades. Su trabajo también incluye mantener la excelencia técnica de los recursos, reclutar, entrenar y manejar a la gente en la organización.
  • 23. El Ingeniero de Diseño. Ejecuta tareas de diseño y prepara planes detallados y calendarios para el diseño de tareas consistente con todo el plan de proyecto, incluyendo la definición inicial de requerimientos.
  • 24. Equipo de Programadores. Se encargan de convertir a código en computadora todo el trabajo realizado por el equipo de diseño.
  • 25. Equipo de Mantenimiento. Este grupo contempla tres tipos de actividades, como mejoramiento de las capacidades del producto, adaptación del producto a nuevos ambientes de cómputo, y depuración de errores.
  • 27. Recursos Humanos  La Administración de Recursos Humanos consiste en la planeación, organización, desarrollo y coordinación, así como también control de técnicas, capaces de promover el desempeño eficiente del personal, a la vez que la organización representa el medio que permite a las personas que colaboran en ella alcanzar los objetivos individuales relacionados directa o indirectamente con el trabajo.  Su objetivo es conseguir y conservar un grupo humano de trabajo cuyas características vayan de acuerdo con los objetivos de la empresa a través de programas adecuados de reclutamiento, selección, capacitación y desarrollo.
  • 28. Recursos Humanos  Entre sus funciones esenciales podemos destacar las siguientes:  1. Ayudar y prestar servicios a la organización, a sus dirigentes, gerentes y empleados.  2. Describe las responsabilidades que definen cada puesto laboral y las cualidades que debe tener la persona que lo ocupe.  3. Evaluar el desempeño del personal, promocionando el desarrollo del liderazgo.  4. Reclutar al personal idóneo para cada puesto.  5. Capacitar y desarrollar programas, cursos y toda actividad que vaya en función del mejoramiento de los conocimientos del personal.  6. Brindar ayuda psicológica a sus empleados en función de mantener la armonía entre éstos, además buscar solución a los problemas que se desatan entre estos.
  • 29. Recursos Humanos  7. Llevar el control de beneficios de los empleados.  8. Distribuye políticas y procedimientos de recursos humanos, nuevos o revisados, a todos los empleados, mediante boletines, reuniones, memorándums o contactos personales.  9. Supervisar la administración de los programas de prueba.  10. desarrollar un m arco personal basado en competencias.  11. Garantizar la diversidad en el puesto de trabajo , ya que permite a la empresa triunfar en los distintos mercados nacionales y globales
  • 31. Planeación de la Auditoria ISO 27000  El estándar internacional ISO/IEC 27000:2005 ha sido desarrollado para proporcionar un modelo para establecer, implementar, monitorear, revisar, mantener y mejorar un Sistema de Administración de Seguridad de Información (ISMS por sus siglas en Inglés Information Security Management System).  La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.
  • 32. Planeación de la Auditoria  ISO 9000-2000  ISO 9000 es el estándar para establecer sistemas de gestión de calidad más reconocido y adoptado en el mundo, debido a los beneficios que brinda el apego a sus normas definidas para establecer, documentar, controlar, medir y mejorar los procesos y productos dentro de la organización.  Las normas de la familia ISO 9000 fueron creadas por la Organización Internacional de Normalización (ISO por sus siglas en inglés) con la finalidad de medir y asegurar la calidad de la producción.
  • 33. Planeación de la Auditoria  Algunos beneficios obtenidos son:  Incrementar la ventaja competitiva a través de la mejora de las capacidades organizativas.  Alineación de las actividades de mejora a todos los niveles con la estrategia organizativa establecida.  Flexibilidad para reaccionar rápidamente a las oportunidades.
  • 34. Planeación de la Auditoria  ISO/IEC 20000:2005  Es la primera norma de calidad a nivel mundial dirigida específicamente a las organizaciones de TI (Tecnología de la Información).  Describe un conjunto integrado de procesos y un enfoque de gestión para la provisión efectiva de servicios de TI a clientes internos o externos.  ISO 20000 es un estándar para la Gestión de servicios de TI. Representa un consenso en la industria sobre los elementos que son indispensables para garantizar la efectividad de los servicios de TI.  Provee una guía para la realización de auditorías y para la remediación de los hallazgos identificados, tomando como referencia las recomendaciones contenidas en las mejores prácticas internacionales.
  • 35. Planeación de la Auditoria  La certificación ISO 20000 proporciona a las organizaciones un planteamiento estructurado para desarrollar servicios de tecnología de la información fiables. Es un reto, pero también es una oportunidad que tienen las empresas para salvaguardar sus sistemas de gestión de tecnología de la información.  La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones.  La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.
  • 36. Planeación de la Auditoria  Los objetivos de la ISO 20000 son:  Promover la adopción de procesos integrados con el fin de suministrar la gestión de los servicios para obtener los requisitos tanto de nuestros clientes cómo del mercado  en si.  Medir la comprensión de nuestras “buenas prácticas”, objetivos, beneficios y posibles problemas dentro de nuestro Sistema de Gestión.  Ayudar a las organizaciones a generar facturación, o bien, generar costes efectivos beneficios dentro de la vía profesional del servicio TI que se suministra a los clientes.
  • 37. Planeación de la Auditoria  POR QUE IMPLEMENTAR LA ISO  Las empresas dependen cada vez más de sus Sistemas TI y necesitan una correcta gestión y mantenimiento de éstos.  Los fallos e incidencias son cada día más visible.  Aumenta exponencialmente el número de demandantes de servicios TI a nivel mundial.
  • 38. Evaluación de la seguridad
  • 39. Métodos de Seguridad • Fundamentos de Seguridad Informática. uso de antivirus, antispam, etc. • Proteger el software mediante ofuscación Romper el flujo del programa, luego introducir sistemáticamente aliases, ofuscando el código y previniendo “flow-sensitive analysis” • Técnicas. Dos maneras: – Static analysis • Flujo y minúsculas o los análisis de flujo insensibles. • Control y análisis de flujo de datos. – Dynamic analysis •Cobertura análisis del concepto (I.e., que lineas de código siguen a cuales otras). • La frecuencia de análisis de espectro (I.e., frecuencia de ejecución de caminos (paths)).
  • 40. Fases de la Auditoria Informática Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones
  • 41. Fase I: Conocimientos del Sistema 1.1. Aspectos Legales y Políticas Internas. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. 1.2.Características del Sistema Operativo. Organigrama del área que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditoría realizadas anteriormente 1.3.Características de la aplicación de computadora Manual técnico de la aplicación del sistema Funcionarios (usuarios) autorizados para administrar la aplicación Equipos utilizados en la aplicación de computadora Seguridad de la aplicación (claves de acceso) Procedimientos para generación y almacenamiento de los archivos de la aplicación.
  • 42. Fase II: Análisis de transacciones y recursos 2.1.Definición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. 2.2.Análisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos. 2.3.Análisis de los recursos Identificar y codificar los recursos que participan en el sistemas 2.4.Relación entre transacciones y recursos
  • 43. Fase III: Análisis de riesgos y amenazas 3.1.Identificación de riesgos 3.2.Identificación de las amenazas Daños físicos o destrucción de los recursos Amenazas sobre los equipos: Pérdida por fraude o desfalco Amenazas sobre documentos fuente Extravío de documentos fuente, archivos Amenazas sobre programas de o informes aplicaciones Robo de dispositivos o medios de almacenamiento Interrupción de las operaciones del 3.3.Relación entre negocio recursos/amenazas/riesgos Pérdida de integridad de los datos Ineficiencia de operaciones La relación entre estos elementos deberá Errores establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.
  • 44. Fase IV: Análisis de controles 4.1.Codificación de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles deben contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido. 4.2.Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más controles. 4.3.Análisis de cobertura de los controles requeridos Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.
  • 45. Fase V: Evaluación de Controles 5.1.Objetivos de la evaluación Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes 5.2.Plan de pruebas de los controles Incluye la selección del tipo de prueba a realizar. Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. 5.3.Pruebas de controles 5.4.Análisis de resultados de las pruebas
  • 46. Fase VI: Informe de Auditoria 6.1. Informe detallado de recomendaciones 6.2. Evaluación de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la áreas. Introducción: objetivo y contenido del informe de auditoria Objetivos de la auditoría Alcance: cobertura de la evaluación realizada Opinión: con relación a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones
  • 47. Fase VII: Seguimiento de Recomendaciones 7.1. Informes del seguimiento 7.2. Evaluación de los controles implantados
  • 48. Plan de Contingencia  Un plan de contingencia es un instrumento de gestión para el buen gobierno de las tecnologías de la información en el dominio del soporte y desempeño.  Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de la compañía un plan de continuidad aplicando al departamento de informática o tecnologías.
  • 49. Plan de Contingencia  El plan de contingencia es una herramienta que le ayudará a que los procesos críticos de su empresa u organización continúen funcionando a pesar de una posible falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organización, seguir operando aunque sea al mínimo.
  • 50. Plan de Contingencia • Objetivos • Garantizar la continuidad de las operaciones de los elementos considerados críticos que componen los Sistemas de Información.  • Definir acciones y procedimientos a ejecutar en caso de fallas de los  elementos que componen un Sistema de Información.
  • 51. Plan de Contingencia  Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar la continuidad de los procesos que en ella se realizan. Dentro de la informática tal aspecto no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como realizar un proceso manualmente en caso de que falle el automatizado). En este módulo nos compete exclusivamente la contingencia de la información.  Al igual que otras cosas, la información puede tener daños, los cuales pueden obedecer a causas accidentales (tales como errores en la trascripción de datos, ejecución de procesos inadecuados) o intencionales (cuando se busca cometer algún fraude). No importa cual sea la causa, lo importante en este momento (claro, es importante determinar a que obedeció el problema) es disponer algún mecanismo que nos permita obtener la información sin errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya que en caso de que se dañe la información original, se recurre entonces al respaldo el cual contiene la información libre de errores.
  • 52. Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia varía dependiendo de la importancia de la información que se genere. Se recomienda tener Backup como mínimo dos (2) respaldos de la información, uno dentro de la empresa y otro fuera de ésta (preferiblemente en un Banco en Caja Fuerte).
  • 53. Plan de Contingencia Fases de la Metodología para el desarrollo de un plan de contingencia • Planificación: preparación y aprobación de esfuerzos y costos.  Identificación de riesgos: funciones y flujos del proceso de la empresa.  Identificación de soluciones: Evaluación de Riesgos de fallas o interrupciones.  Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.  Documentación del proceso: Creación de un manual del proceso.  Realización de pruebas: selección de casos soluciones que probablemente funcionen.  Implementación: creación de las soluciones requeridas, documentación de los casos.  Monitoreo: Probar nuevas soluciones o validar los casos.
  • 55. Selección de proveedores  Características  El proceso de la búsqueda y selección de proveedores empieza con la búsqueda de los proveedores que ofrezcan los insumos, productos o servicios que vamos a requerir.  Para la búsqueda de proveedores podemos acudir a diversas fuentes, algunas de éstas son:  Conocidos: personas que nos puedan recomendar proveedores, ya sea porque los conocen al estar o haber estado en negocios similares al nuestro, o por cualquier otra razón.  Trabajadores de la empresa: trabajadores que probablemente conozcan proveedores con los que hayan trabajado anteriormente en sus antiguos empleos.  Competencia: empresas competidoras a las cuales podemos investigar para saber cuáles son sus proveedores
  • 56. Selección de proveedores  Diarios, revistas y publicaciones especializadas: medios en donde varias empresas proveedoras suelen publicar sus anuncios.  Internet: buscadores, anuncios clasificados, directorios, foros, cámaras de comercio, asociaciones empresariales, etc.  Páginas amarillas.  Ferias o exposiciones especializadas.  Al realizar la búsqueda de proveedores, podemos hacer una preselección en donde descartemos los proveedores que no cumplan con requisitos básicos tales como la calidad en el producto, o que sobrepasen el máximo precio que estamos dispuestos a pagar, de modo que podamos elaborar una lista de proveedores que no sea tan extensa.
  • 57. Selección de proveedores  PROCEDIMIENTOS PARA LA SELECCIÓN  En este paso, procedemos a determinar los criterios de selección que vamos a tener en cuenta al momento de evaluar los posibles proveedores y luego seleccionar al indicado.  Algunos de los principales criterios de selección que podemos tomar en cuenta son:  Precio: el precio de sus productos, los gastos que podrían adicionarse a éste, los descuentos que nos podrían otorgar.  Calidad: la calidad de los insumos, productos o servicios que ofrece.  Plazo del pago: las condiciones de pago que nos brindan, si nos piden pagar al contado, o nos dan facilidades para pagar al crédito.  Plazos de entrega: el tiempo que transcurre desde que hacemos el pedido hasta que nos lo entregan.  Garantías: las garantías que otorga y el periodo de duración de éstas.  Reputación: el prestigio y las buenas referencias que tiene.  Más criterios de selección podemos encontrar en el artículo: criterios de selección de proveedores.
  • 59. Licenciamiento del software Software libre : proporciona la libertad de • Ejecutar el programa, para cualquier propósito; • Estudiar el funcionamiento del programa, y adaptarlo a sus necesidades; • Redistribuir copias; • Mejorar el programa, y poner sus mejoras a disposición del público, para beneficio de toda la comunidad. Software de fuente abierta : sus términos de distribución cumplen los criterios de • Distribución libre; • Inclusión del código fuente; • Permitir modificaciones y trabajos derivados en las mismas condiciones que el software original; • Integridad del código fuente del autor, pudiendo requerir que los trabajos derivados tengan distinto nombre o versión; • No discriminación a personas o grupos; • Sin uso restringido a campo de actividad; • Los derechos otorgados a un programa serán válidos para todo el software redistribuido sin imponer condiciones complementarias; • La licencia no debe ser específica para un producto determinado; • La licencia no debe poner restricciones a otro producto que se distribuya junto con el software licenciado; • La licencia debe ser tecnológicamente neutral.
  • 60. Licenciamiento del software Software de dominio público: aquél que no está protegido con copyright Software con copyleft: software libre cuyos términos de distribución no permiten a los redistribuidores agregar ninguna restricción adicional cuando lo redistribuyen o modifican, o sea, la versión modificada debe ser también libre. Software semi-libre: aquél que no es libre, pero viene con autorización de usar, copiar, distribuir y modificar para particulares sin fines de lucro Freeware: se usa comúnmente para programas que permiten la redistribución pero no la modificación (y su código fuente no está disponible) Shareware: software con autorización de redistribuir copias, pero debe pagarse cargo por licencia de uso continuado. Software privativo: aquél cuyo uso, redistribución o modificación están prohibidos o necesitan una autorización. Software comercial: el desarrollado por una empresa que pretende ganar dinero por su uso.
  • 62. Evaluación de hardware y software  Dentro de esta evaluación se encuentra varias áreas consideradas como por ejemplo:  Producción: Para la evolución del hw y sw que debe de tener el personal de esta área puede considerarse considerado como uno de los departamentos más importantes, ya que formula y desarrolla los métodos más adecuados para la elaboración de productos, al suministrar y coordinar, mano de obra, equipo, instalaciones, materiales y herramientas requeridas. Por lo tanto dicha área debería tener una muy buena consideración en la asignación de equipos de computo ya que de esta área  Mercadotecnia: Es una función trascendental ya que a través de ella se cumplen algunos de los propósitos institucionales de la empresa. Su finalidad es la de reunir factores y hechos que influyen en el mercado. Por dichos motivos su función es especial dentro de la empresa pero dicha labor solo debe de tener el software necesario para dicha labor.
  • 63. Evaluación de hardware y software  Finanzas : En esta función es de vital importancia es está función, ya que toda la empresa trabaja en constantes movimientos de dinero. Está área se encarga de la obtención de fondos y del suministro del capital que se utiliza en el funcionamiento de la empresa, por dicha función fundamental debe de ser con el software y hardware que satisfaga a dicha labor como por ejemplo, paquetería de oficina y software para contabilidad.  Administración de recursos humanos : Esta área tiene como objeto el conseguir y conservar un grupo humano de trabajo cuyas características vayan de acuerdo con los objetivos de la empresa. Por lo tanto dichas tareas en lo personal  Recursos Esta es una de las áreas que dentro de la empresa es fundamental que empresa pueda lograr sus objetivos, es necesario que cuente con una serie de elementos o recursos que, conjugados armónicamente, contribuyan a su funcionamiento adecuado por lo tanto lo que se recomiendo o se debe de considerar que el hardware y software debe de ser el mas óptimos para realizar las tareas necesarias para la tarea.
  • 64. Evaluación de los sistemas  Revisión de las metodologías utilizadas  Modularidad, ampliaciones y mantenimiento  Control interno de las aplicaciones  Para cada fase del proceso  Satisfacción de usuarios (clientes)  Control de procesos y ejecuciones de programas críticos
  • 65. Evaluación de sistemas  SO  Actualización de versión  Incompatibilidades con el software de aplicación  Otro software de Base  Administración de Bases de Datos  Respaldos  Investigación y Desarrollo
  • 66. Evaluación de la red  Redes nodales  Concentradores  MAN  WAN  Líneas telefónicas (proveedores externos)  …entre otros aspectos
  • 67. Evaluación de la red Modelo OSI  La Organización Internacional de Estándares (ISO) diseñó el modelo de Interconexión de Sistemas Abiertos (OSI) como guía para la elaboración de estándares de dispositivos de computación en redes. Dada la complejidad de los dispositivos de conexión en red y a su integración para que operen adecuadamente, el modelo OSI incluye siete capas diferentes, que van desde la capa física, la cual incluye los cables de red, a la capa de aplicación, que es la interfaz con el software de aplicación que se esta ejecutando.  Capa 1. Físico  Capa 2. Enlace de datos  Capa 3. Red  Capa 4. Transporte  Capa 5. Sesión  Capa 6. Presentación  Capa 7. Aplicación
  • 69. Interpretacion de los resultados en la auditoria  OBJETIVO:  Conocer la manera en que cada Auditor planifica y desarrolla su auditoría independiente en el sector comercio.
  • 70. Interpretación de los resultados en la auditoria  Titulo:  Identificar con un nombre corto y referenciando al objetivo de la auditoria  Partes interesadas  El auditor dirigirá su informe al ejecutivo u órgano de la entidad del que recibió el encargo de la auditoría.  Objetivo:  Especificar en forma muy puntual los procesos o áreas involucradas en la auditoria.
  • 71. Interpretación de los resultados en la auditoria  Alcance:  Especificar la trascendencia de la auditoria y las áreas involucradas en la misma.  Metodología:  Especificar los métodos o técnicas ocupadas para el desarrollo de la auditoria  Desarrollo:  Especificar el rumbo que tomo la auditoria y el periodo de los trabajos realizados
  • 72. Interpretación de los resultados en la auditoria  Resultados:  Especificar cada uno de los descubrimientos encontrados en la auditoria  Observaciones:  Se especifica las observaciones relevantes de la auditoria por parte del auditor.  Recomendaciones:  Se especifica las recomendaciones del auditor.
  • 73. Interpretación de los resultados en la auditoria  Conclusiones:  Especificar el cierre de la auditoria y el cumplimiento de los objetivos.  Periodo de cobertura:  Este periodo deberá contener la fecha de inicio y último día de trabajo en las oficinas de la entidad  Firmas:  Nombre y firma del representante del área auditada, así como nombre y firma del auditor
  • 74. Interpretacion de los resultados en la auditoria
  • 75. Presentación de conclusiones de la auditoria Conclusiones El informe de auditoria tiene que estar basado en una metodología, misma que debe estar soportada por mejores practicas administrativas y tecnológicas.  El informe de auditoria debe contener cuando menos los puntos observados en al presentación y el formato puede elaborarse de acuerdo a las necesidades del auditor, por lo que no existe un formato en especifico.  La información y observaciones vertidos en el informe deben contener un sustento y no pueden ser en ningún caso subjetivos.
  • 77. Para una mejor comprensión de dicha herramienta estratégica, definiremos las siglas de la siguiente manera:  Fortaleza.- Son todos aquellos elementos positivos que me diferencian de la competencia  Debilidades.- Son los problemas presentes que una vez identificado y desarrollando una adecuada estrategia, pueden y deben eliminarse.  Oportunidades.- Son situaciones positivas que se generan en el medio y que están disponibles para todas las empresas, que se convertirán en oportunidades de mercado para la empresa cuando ésta las identifique y las aproveche en función de sus fortalezas.  Amenazas.- Son situaciones o hechos externos a la empresa o institución y que pueden llegar a ser negativos para la misma. El análisis de esta herramienta, consiste en evaluar las Fortalezas y Debilidades que están relacionadas con el ambiente interno (recursos humanos, técnicos, financieros, tecnológicos, etcétera) y Oportunidades y Amenazas que se refieren al entorno externo (Microambiente: Proveedores, competidores, los canales de distribución, los consumidores) (Microambiente: economía, ecología, demografía, etcétera) de la empresa.
  • 78.  Ventajas de implementar ITIL Las empresas están llevando a cabo importantes cambios estructurales en los cuales es necesario promover una estrecha relación entre los objetivos de negocio y los de TI (Tecnologías de Información). Adoptar buenas prácticas puede ayudar a asegurar la alta calidad, seguridad y confiabilidad en nuestros servicios creando un efectivo sistema de gestión.  Prácticas de la industria.  Investigación académica.  Capacitación y educación.  Experiencia interna.  Estándares.
  • 79. ITIL, como ejemplo de buenas prácticas, es utilizado por organizaciones de todo el mundo para establecer y mejorar las capacidades en la Gestión del Servicio. El marco de Prácticas de la Gestión del Servicio de ITIL tiene los siguientes componentes:  Base de ITIL. Guía de mejores prácticas aplicables a todos los tipos de organización que provea servicios al negocio.  Guía Complementaria de ITIL. Un conjunto de publicaciones complementarias con guía específica a sectores de la industria, tipos de organizaciones, modelos de operación y arquitectura de la tecnología.
  • 80. Ventajas de ITIL para IT:  El Departamento de IT desarrolla un más clara estructura, se convierte en más eficiente y más focalizada en los objetivos corporativos.  El Management es más controlado, junto con los cambios que conlleva el mismo.  El nuevo mapa de Procesos provee un framework que permite decidir la tercerización de ciertos procesos en caso ser convenientes.  Siguiendo las Best Practices ITIL, se lidera un cambio cultura hacia la Provisión de Servicios basados en el Management de Calidad de ISO 9000.  ITIL provee un uniforme marco de referencia de comunicación interna y externa hacia proveedores, junto con la estandarización e identificación de procedimientos.  Problemas Potenciales de ITIL:  Cuando el Proceso de Cambio es manejado sólo con recursos internos, se corre el riesgo de no poder cambiar el “status quo”, porque implicaría marcar “errores” en vez de oportunidades de mejorar y “responsables”, en vez de Lideres del Cambio