Recursos de Unidad 2 parte 3

Evaluación de Hardware y Software:

 Hardware

Software

Evaluación de la Red: 

 

Recursos de Unidad 2 parte2

Selección de proveedores:

Licenciamiento de Software:

Recursos de Unidad 2 parte 1

Auditoría Informática:

Auditoría Informática:

Unidad 3

3.1 Conceptos básicos

Evidencia: La evidencia de auditoría es la información que obtiene el  auditor para realizar concluciones la cual se sustenta también con su opinión.

Ésta información es valiosa únicamente en el momento que se reacauda evidencia eficiente o competente, es decir que tiene calidad.

Una evidencia tiene calidad cuando cumple con las siguientes caracteristicas:

• Relevancia
• Autentica
• Verificable
• Neutral

Irregularidad: Son actos u omisiones intencionadas, cometidas por uno o más individuos, sean de los administradores, de la dirección, de los empleados de la entidad auditada, o de terceras personas ajenas a ésta, que alteran la información.

Una irregularidad puede suponer:

• 
  
• Manipulación
• Apropiación indebida o uso irregular de activos.
• Supresión u omisión de los efectos de transacciones en los registros.
• Registro de operaciones ficticias.
• Aplicación indebida e intencionada de principios y normas contables.

Papeles de trabajo: Son el conjunto de documentos que contienen la información obtenida por el auditor en su revisión, así como los resultados de los procedimientos y pruebas de auditoría aplicados.


Documentación: El auditor debe documentar todos aquellos aspectos importantes de la auditoría que proporcionan evidencia de que su trabajo se llevó a cabo de acuerdo con las normas de auditoría generalmente aceptadas.


3.2 Interpretación de resultados de la auditoría informática

 Se toman en cuenta opiniones:

• Favorable
• Desfavorable
• Denegada
• Con Salvedades

Componentes de un informe:

• Identificaciones del Iforme
• Identificación del Cliente
• Identificación de la Entidad auditada
• Objetivos de la Auditoria Informática
• Normativa aplicativa y axcepciones
• Alcance de la Auditoría
• Resultado
• Informe previo
• Fecha del Informe
• Identificación y firma del Auditor
• Distribución del Informe
• Conclusiones

Tendencias de un informe:

• Área y cargos auditados
•  Equipo auditor
• Actividades desarrolladas
• Objeto y alcance de la auditoria
• Resultados (número de  conformidades, clasificación y numerales)
• Aspectos relevantes (fortalezas) y aspectos por mejorar (debilidades)
• Observaciones generales o aclaraciones
• Cargos a quienes se distribuye el acta o informe.

3.3 Interpretación de la Información

Es el momento de que los responsables comprometidos conozcan las conclusiones obtenidas por los auditores en la realización de la fase anterior.

Estas conclusiones por supuesto que se discutirán con las personas afectadas, por lo que han de ir lo suficientemente argumentadas, probadas y documentadas como para que no puedan ser refutadas en las primeras discusiones. 

3.4  Áreas de oportunidad (ITIL)

Reconocer el concepto de FODA

El análisis FODA es una herramienta que permite conformar un cuadro de la situación actual del objeto de estudio, permitiendo de esta manera obtener un diagnóstico preciso que permite, en función de ello, tomar desiciones acordes con los objetivos y políticas formulados.

El objetivo de foda es hacer un análisis de los siguientes aspectos:

• Fortalezas
• Oportunidades
• Debilidades
• Ameazas

Esquema de FODA

ITIL

Es un Marco de referencia que describe un conjunto de mejores prácticas y recomendaciones para la administración de servicios de TI, con enfoque de administración de procesos.

Algunas ventajas:

• Mejora la comunicación con los clientes finales a través de los diversos puntos de contacto acordados.
• Los servicios se detallan en lenguaje del cliente y con más detalles.
• Se maneja mejor la calidad y los costos de los servicios. 

Algunas desventajas:

• Tiempo y esfuerzo para implementar.
• Que no se dé el cambio en la cultura de las áreas involucradas. 
• Que el personal no se involucre y se comprometa.

 

Unidad 2

2.1  PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA

Definición de auditoria: Este tema pide que se defina el concepto de auditoría informática, yo entiendo como auditoria informatica el revisar todos los procesos de informatica de una empresa, asegurandose que estos cumplan con normas de calidad, que cumplan tambien con el objetivo general de la empresa. Aparte de lo anteriormente mencionado en una auditoria se busca encontrar no conformidades y áreas de oportunidad con el objetivo de mejorar los procesos del área auditada.

2.1.1.   NORMAS Y ESTÁNDARES

Existen entidades que regulan las normas de calidad como las siguientes:

• SEI (Software Engineering Institute - Instituto de Ingeniería de Software)
• CMMI (Modelo de Capacidad de Madurez de Integración)
  
• IEEE (Institute of Electrical and Electronics Engineers - Instituto de Ingenieros Eléctricos y Electrónicos)
• 610.12-1990 que es el glosario estándar de terminología de ingeniería de software
• 730-1998 que es el estándar para planes de seguridad de calidad de software
• 829-1998 estándares para documentar la evaluación de software
• 830-1998 practicas recomendadas para especificación de requerimientos de software
• 1012-1998 estándar para la verificación y validación de software
• 1016-1998 practicas recomendadas para la descripción de diseño de software
• 1062a-1998 practicas recomendadas para la adquisición de software y muchas otras más.
• ISO (International Organization for Standarization - Organización Internacional de Estandarización)
• ISO 9001, Modelo para la garantía de la calidad en diseño/desarrollo, producción, instalación y servicio. 
• ISO 9002, Modelado para garantizar la calidad en producción y servicios. 
• ISO 9003, Modelos para garantizar la calidad en inspección final y pruebas. 
• ISO 9004, Elementos y gestión del sistema de calidad, Directrices para la mejora del rendimiento. 
• ISO 9011, Directrices para la auditoria de los sistemas de gestión de la calidad y/o ambiental. 
• ISO 9126, Evalúa la calidad de los productos de software. (1992).
• SPICE (Software Process Improvement and Capability dEtermination – Mejoramiento de procesos de Software y determinación de capacidad).
• ISO/IEC 15504 es un modelo de madurez de procesos internacional que proporciona un marco de trabajo para la evaluación de procesos de software.  
  

2.1.2   FASES DE LA AUDITORIA INFORMATICA

Los servicios de auditoria en general constan de las siguientes fases:

                                   Planeación

PREPARACIÓN       Investigación

                                   Lista de chequeo

                                   Reunión apertura                   Entrevista

EJECUCIÓN             Recolección pruebas             Análisis Documentos/Registros

                                   Reunión cierre                       Observación de actividades en áreas

                                   Hallazgos de la auditoria        de interés

                                   Solicitud de Acciones Correctivas

INFORME                  Informe Final

                                   Seguimiento acciones correctivas

2.1.3. ELEMENTOS DE LA PLANEACIÓN DE LA AUTORIA INFORMÁTICA

Algunos Elementos de la planeación de la Auditoria Informática los menciono a continuación:

—  Objetivo y alcance de la auditoria.

—  Personas  (o funciones) a ser auditadas.

—  Elementos del sistema de calidad aplicables.

—  Documentos de referencia aplicables.

—  Miembros del equipo auditor.

—  Idioma (si es aplicable).

—  Lugar y fecha de la auditoria.

—  Tiempo de reunión de apertura y cierre

—  Requisitos de confidencialidad.

—  Distribución del informe y fecha esperada de publicación.

2.1.4 LISTAS DE VERIFICACIÓN

Documento con los aspectos a ser auditados y que permite ir registrando durante la ejecución de la auditoría, las diversas observaciones y hallazgos encontrados.

PUNTOS QUE DEBEN SER TOMADOS EN CUENTA EN LA LISTA DE VERIFICACIÓN:

·       Evaluación del conocimiento del auditado

·       Disponibilidad del procedimiento

·       Verificación del cumplimento de la norma

·       Observar auditorias anteriores

2.2  Evaluación de la seguridad

Una auditoria de seguridad informática es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

2.3 Selección de proveedores 

La selección de proveedores se refiere a la selección de auditores en este caso.

Algunas recomendaciones que hay que observar son:

• —  Independencia de los auditores.
• Cuando no exista personal competente Contratar las auditorias, a manera de outsourcing.
• —  Formación de suficiente número de auditores de calidad.

2.4  Licenciamiento de Software  

La licencia de software es una especie de contrato, en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado programa, principalmente se estipulan los alcances de uso, instalación, reproducción y copia de estos productos. 

Las licencias de uso de software generalmente caen en alguno de estos tipos:

• Licencia propietaria. Uso en una computadora por el pago de un precio.
• Shareware. Uso limitado en tiempo o capacidades, después pagar un precio.
• Freeware. Usar y copiar ilimitado, precio es cero.
• Software libre. Usar, copiar, estudiar, modificar, redistribuir. Código fuente incluído.

   

2.5 Evaluación de Hardware y Software 

El objetivo de esto es determinar si el software se encuentra en condiciones de ser usado legalmente con las últimas actualizaciones más recientes, ademas de evaluar si el hardware es el adecuado para dicho software.  

2.6 Evaluación de Red

La auditoria a la red evalua dos aspectos, la red fisica, donde se toma en cuenta el funcionamiento del hardware de red como routers y switches, el tipo de cable utilizado, que cumplan con normas de cableado estructurado como la ansi eia/tia 568b por poner un ejemplo, en cuanto a la red logica se toman en cuenta aspectos como la banda ancha, la topología de red, el esquema de direccionamiento, listas de control de acceso, configuraciones en general, etc.

 

 

Diagrama de Unidad 1

1.6 Control Interno

El control interno tiene como objetivo administrar el correcto funcionamiento de los procesos, procedimientos, normas y estandares de la empresa o un departamento en especifico, en este caso el departamento de TI, se puede diseñar la estructura del control interno tomando en cuenta aspectos como: el desarrollo de software asi como su mantenimiento y aplicación, bases de datos, redes informáticas, seguridad informática, etc. Existen distintos tipos de control como: 

• Controles preventivos: Estos permiten tener un orden en accesos o privilegios.
• 
  
• Controles detectives: Estos permiten mantener vigilados a los otros tipos de controles en caso de alguna incidencia poder dar con el origen del problema, esto podria hacerce con técnicas de forencia informática.
• 
  
• Controles correctivos: Estos permiten mitigar errores que ocurran, como por ejemplo algun fichero dañado.

Para lograr un buen control se deben de definir y gestionar correctamente, los procedimientos, la administración de los sistemas informáticos y la seguridad, esto puede ser dificil si realmente se empieza desde cero, pero para ello se pueden aplicar normas de calidad como COBIT que cubre estos aspectos anteriomente mencionados.

Modelos de calidad como COBIT permiten  tener un correcto Control Interno en el área de TI de una empresa.

Referencias

Carrasco, F. R. (2002). Entorno Sosioeconomico y espríritu empresarial. Sevilla: Universidad de Sevilla.

Estallo, M. d. (1996). Cómo crear y hacer funcionar una empresa: casos practicos. ESIC Editorial.

Fuente, F. G. (2014). La organización de empresas: Hacia un modelo de futuro. ESIC Editorial.

Grant, R. M. (2006). Dirección Estrategica 5ta ED. Civitas.

Mintzberg, H. (1999). Proceso Estrategico. Pearson Prentice Hall.

Morlán, P. D. (2009). Capitalistas y Empresarios: El mercado de la función empresarial. Publicaciones Universidad de Alicante.