ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
Cristina gavilanes auditoriainformatica_1bimestre
1. UniversidadTécnicaParticularde Loja
PrimeraEvaluaciónaDistancia
IngenieríaenContabilidadyauditoria
CristinaGavilanesEspín
PRUEBA DE ENSAYO
Conteste las siguientes preguntas argumentando sus respuestas
1. Como justificaría ante un directivo de empresa la inversión necesaria en control y
auditoria informática. Asumiendo su rol de auditor
Como auditores, tenemos de la responsabilidad de proponer y establecer estrategias y
planes que permitan a la empresa de la cual seamos parte, manejar sus operaciones
con la mayor eficiencia y eficacia posible. Por tal motivo, son muchas las razones, por
la cuales valdría la pena invertir en mecanismos para implantar un Control Interno
Informático y realizar una Auditoría Informática.
Sabiendo que la información es un recurso crítico que debería ser protegido, se
debe implantar un control interno informático para que la información sea exacta
completa y esté disponible siempre que los directivos o cualquier persona
autorizada la necesite.
Si una organización pretende ser competitiva y moderna, debe ser informático
dependiente, y ya que la información puede ser destruida o robada surge la
necesidad de implementar un sistema de control informático
Si una empresa busca eficiencia en los procesos internos, se justifica totalmente la
implantación de un control interno informático.
La dependencia respecto de los sistemas de información, se convierte en un mal
necesario por así decirlo ya que cada vez se hace inevitable involucrarnos más con
la globalización.
Implementar un control interno es necesario ya que el mismo ayuda a prevenir,
corregir errores o irregularidades que puedan afectar el funcionamiento de un
sistema para conseguir los objetivos de la empresa.
La tendencia de toda organización hoy en día, es lograr no sólo la satisfacción del
cliente, sino también promover una mejora continua en la actividad empresarial.
Por ello, con motivo de la gestión de la calidad total, se justificaría la implantación
de un Control Interno Informático.
En cuanto a la auditoría informática se refiere, podemos afirmar que es de suma
importancia ya que apoya a la auditoría financiera. Y con una auditoría financiera
2. UniversidadTécnicaParticularde Loja
PrimeraEvaluaciónaDistancia
IngenieríaenContabilidadyauditoria
CristinaGavilanesEspín
que aporte resultados favorables para la empresa, sin duda aportará también a
incrementar el nivel de competitividad de la misma.
Una auditoria informática sirve de sustento y confirmación de los objetivos de la
auditoria tradicional.
Una de las razones más importantes de establecer una auditoria informática
dentro de una organización, determinar si un sistema informatizado salvaguarda
los activos, mantiene la integridad de los datos, lleva acabo eficazmente los fines
de la organización, y usa eficientemente los recursos.
2. Qué norma de seguridad utilizaría para establecer un Sistema de Gestión de la
Seguridad de la Información en una organización. ¿Por qué usaría esa norma?
Como primer punto, es importante partir de las definiciones de cada una de las
normas a analizar:
Norma UNE-ISO/IEC 27001: es un estándar para la seguridad Especifica los requisitos
necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la
seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA -
acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente
con las mejores prácticas descritas en ISO/IEC 27002.
Norma UNE–ISO/IEC 27002: es un Código de Buenas Prácticas en Gestión de la
Seguridad de la Información, proporciona recomendaciones de las mejores prácticas
en la gestión de la seguridad de la información a todos los interesados y responsables
en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información.
Partiendo de esta premisa, considero que el primer paso sería investigar a fondo el
contenido de la Norma UNE–ISO/IEC 27002, para posteriormente adoptar la Norma
UNE-ISO/IEC 27001, la cual nos permitirá establecer una solución para una mejora
continua que permita evaluar los riesgos físicos (incendios, inundaciones, sabotajes,
vandalismos, accesos indebidos e indeseados) y lógicos (virus informáticos, ataques de
intrusión o denegación de servicios) y establecer las estrategias y controles adecuados que
aseguren una permanente protección y salvaguarda de la información de la empresa.
3. UniversidadTécnicaParticularde Loja
PrimeraEvaluaciónaDistancia
IngenieríaenContabilidadyauditoria
CristinaGavilanesEspín
FUENTES DE INVESTIGACION:
http://www.isecauditors.com/consultoria-ISO-27001-iso-27002
http://www.isaca.org/chapters7/Madrid/Events/Documents/Principales%20Noved
ades%20de%20la%20ISO27001ISO%2027002%20-%20Paloma%20Garcia.pdf
3. Qué plan de contingencias propondría, si la organización donde trabaja se encuentra
ubicada en una ciudad de alto riesgo sísmico. Proponga por lo menos las fases que se
llevarían a cabo.
PLAN DE CONTINGENCIA INFORMÁTICO: es un tipo de plan preventivo. Presenta una
estructura estratégica y operativa que ayudará a controlar una situación de
emergencia y a minimizar sus consecuencias negativas.
El plan de contingencia propone una serie de procedimientos alternativos al
funcionamiento normal de una organización, cuando alguna de sus funciones usuales
se ve perjudicada por una contingencia interna o externa.
El Plan está orientado a establecer, un adecuado sistema de
seguridad física y lógica en previsión de desastres, es decir un conjunto de medidas
destinadas a salvaguardar la información de la empresa.
Esta clase de plan intenta garantizar la continuidad del funcionamiento de la
organización frente a cualquier eventualidad, ya sean materiales o personales.
Incluye 4 etapas básicas:
Evaluación: en esta etapa es necesario evaluar las posibles situaciones a
presentarse, y que pondrían en riesgo la información de la empresa. En este caso,
la problemática sería la posibilidad de un movimiento telúrico, el cual puede
interrumpir el proceso de operación normal de la organización.
Planificación: en esta etapa se expondrán las diferentes alternativas para proteger
no sólo la información sino también al personal, ya que tanto información como
personal son los activos más importantes dentro de una organización. Es decir que
en esta etapa se registrarán cuestiones como tener un adecuado y resistente
mobiliario que permita proteger los computadores, además, poseer dispositivos de
almacenamiento de respaldo de la información. En cuanto a las personas, se debe
salvaguardar su integridad mediante adecuadas rutas de escape dentro de la
organización, se debe tener personal capacitado en caso de reemplazo.
4. UniversidadTécnicaParticularde Loja
PrimeraEvaluaciónaDistancia
IngenieríaenContabilidadyauditoria
CristinaGavilanesEspín
Pruebas de viabilidad: en esta etapa se realizarán pruebas piloto para verificar que
los puntos tomados en cuenta en la etapa de planificación son correctos o no. En
este tipo de desastres, la prioridad es salvaguardar el activo personas, por lo tanto
se harán simulacros de escape una vez activada la alarma. También se puede
revisar la existencia de los respaldos magnéticos de la información de la empresa,
esto se lo puede hacer cada cierto tiempo, uno o dos meses. Además se puede
poner a prueba al personal de reemplazo para que opere y demuestre que está
capacitado para desempeñarse correctamente en el Área de Sistemas, etc.
Ejecución: es la etapa final en la que quedará documentado el Plan de
Contingencia en caso de un movimiento telúrico, el mismo deberá ser analizado y
aprobado por las jefaturas pertinentes de la organización, además se documentará
la fecha y las actividades realizadas, así como también los participantes de las
Pruebas Piloto ejecutadas.
FUENTES DE INVESTIGACION:
http://www.peru.gob.pe/docs/PLANES/13764/PLAN_13764_Plan_de_Contingencia_Inform%C3%A1ti
co_2013_2013.pdf
http://es.slideshare.net/Chenny3/plan-de-contingencia-8874360
4. Defina una estrategia para establecer el universo de TI de la organización en donde
trabaja.
En el entorno cambiante en el que se desenvuelven las empresas hoy en día, es evidente
que para establecer una estrategia, sea cual sea nuestro propósito, se debe tener muy en
claro qué es nuestro negocio y qué es lo que se espera de él , o más exactamente, hacia
dónde se pretende llegar.
Para esto, debemos tener claro que establecer una estrategia, nos permitirá seleccionar
las actividades prioritarias para el mejoramiento del servicio y aprovechar las ventajas que
aparezcan en el camino para llegar hacia la competitividad.
El objetivo primario para definir esta estrategia, es entonces cuándo, cómo y qué
Tecnología de la Información incorporar para lograr las metas y planes programados.
5. UniversidadTécnicaParticularde Loja
PrimeraEvaluaciónaDistancia
IngenieríaenContabilidadyauditoria
CristinaGavilanesEspín
Dicho de esta manera definiremos la estrategia como sigue:
La cooperativa de Ahorro y Crédito XXX Ltda. es una entidad financiera.
Su capacidad económica y de infraestructura es un tanto limitada, por lo tanto la
implementación de una estrategia de Tecnologías de la Información, debe ser
moderada y discreta, pero que cumpla con el objetivo primordial, que es la
salvaguarda de uno de los activos más importantes de toda organización, como es la
información.
Su problema actual es que no existe un control adecuado para el acceso de la
información, por lo que cualquier empleado pertenezca o no al área, puede manipular
la información de los computadores.
Entonces lo que se pretende es implementar normas, políticas y medidas de
restricción a la información, que permitan un adecuado uso y protección de la
información.
Uno de los asuntos críticos a resolver en la Cooperativa, es la facilidad de
manipulación de la información contenida en programas como Excel y Word.
La prioridad entonces en esta Cooperativa es que la información que sale del Sistema
Contable y pasa a programas como Excel y Word, sea de uso restringido y controlado.
OBJETIVO INMEDIATO:
Crear restricción para la información contenida en programas que contienen información
que puede ser manipulada fácilmente.
MEDIDAS A TOMAR:
Establecer una política que permita el acceso restringido a la información, puede ser
mediante claves.
Si hay cambio de personal se realizará también los respectivos cambios de clave.