Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
PRESENTADO POR:
LUKDARY ABRIL RUEDA
ZULLY KATERIN MALAGN
GRUPO: 90168_27
DIRECTOR:
FRANCISCO NICOLS SOLARTE
TUTOR:
CARMEN EMILIA RUBIO
TABLA DE CONTENIDO
INTRODUCCION............................................................................................................................3
OBJETIVOS.....................................................................................................................................4
General:.........................................................................................................................................4
Especficos:....................................................................................................................................4
METODOLOGA DE LA AUDITORIA DE SISTEMAS................................................................5
PROCESO: AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO.................................10
Aplicacin de instrumentos de recoleccion de informacion........................................................12
Anlisis y evaluacin de riesgos..................................................................................................15
Cuadro de hallazgos detectados...................................................................................................16
PROCESO: DS7 EDUCAR Y ENTRENAR A LOS USUARIOS.................................................17
Diseo de instrumentos de recoleccin de informacin..............................................................19
Anlisis y evaluacin de riesgos..................................................................................................24
Guas de hallazgos detectados ....................................................................................................25
CONCLUSIONES..........................................................................................................................28
REFERENCIAS BIBLIOGRFICAS............................................................................................29
INTRODUCCION
Con el desarrollo de las empresas y sus distintos procesos, se hace necesario contar con
herramientas adecuadas para la investigacin. La auditora de sistemas es el campo que nos
ocupa en esta actividad, definindola como la verificacin de controles en el procesamiento de la
informacin, desarrollo de sistemas y su instalacin; con el objetivo de evaluar su desempeo y
presentar informes a la gerencia para la toma de decisiones ms oportunas para su correccin.
Mediante la realizacin de esta actividad se pretende poner en prctica los conocimientos sobre
auditoria de sistemas, comenzando por la escogencia de una empresa cualquiera para conocerla y
analizar sus procesos y sistemas de informacin; siguiendo con la planeacin y finalizando con
la ejecucin o puesta en marcha de la auditoria de sistemas. Todo esto teniendo en cuenta los
pasos para su realizacin.
OBJETIVOS
General:
Especficos:
Profundizar un poco ms mediante la prctica en el campo de las auditorias y su
importancia en el desempeo exitoso de una empresa.
Lograr identificar las falencias en los sistemas de informacin de la empresa,
generando un informe final por escrito con esas novedades.
Conocer la eficacia en el manejo de las tecnologas por parte de la empresa para el
manejo
Estudio preliminar
Planeamiento
Comunicacin de resultados
Informe
Seguimiento
Estudio preliminar: Esta etapa consiste en definir el grupo de trabajo, el Programa de Auditora,
efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un
cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno,
solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los
principales funcionarios del PAD.
Pgina
Pgina
Examen detallado de reas crticas: Con las fases anteriores el auditor descubre las reas
crticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su
grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance
Recursos que usara, definir la metodologa de trabajo, la duracin de la Auditora, Presentar el
plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente
analizado.
Comunicado de resultados: Se elaborara el borrador del informe a ser discutido con los
ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemticamente
en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas
encontrados , los efectos y las recomendaciones de la Auditora.
El informe debe contener lo siguiente:
Motivos de la Auditora.
Objetivos.
Alcance.
Control Interno.
Resultados de la Auditora.
Pgina
7
Informe: En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los
cuales llegaron los auditores en la Auditora ejecutada y dems verificaciones vinculadas con el
trabajo realizado.
El informe parte de los resmenes de los temas y de las Actas de Notificacin de los Resultados
de Auditora que se vayan elaborando y analizando con los auditados, respectivamente, en el
transcurso de la Auditora.
La elaboracin del informe final de Auditora es una de las fases ms importante y compleja de la
Auditora, por lo que requiere de extremo cuidado en su confeccin.
El informe de Auditora debe tener un formato uniforme y estar dividido por secciones para
facilitar al lector una rpida ubicacin del contenido de cada una de ellas.
Seguimiento: En esta etapa se siguen, como dice la palabra, los resultados de una Auditora,
generalmente una Auditoria evaluada de Deficiente o mal, as que pasado un tiempo aproximado
de seis meses o un ao se vuelve a realizar otra Auditora de tipo recurrente para comprobar el
verdadero cumplimiento de las deficiencias detectadas en la Auditoria.
Control sobre el proceso TI de Adquirir y dar mantenimiento a software aplicativo que satisface
el requisito de negocio de TI para construir las aplicaciones de acuerdo con los requerimientos
del negocio y hacindolas a tiempo y a un costo razonable enfocndose en garantizar que exista
un proceso de desarrollo oportuno y confiable
Se logra con:
La traduccin de requerimientos de negocio a especificaciones de diseo
La adhesin a los estndares de desarrollo para todas las modificaciones
La separacin de las actividades de desarrollo, de pruebas y operativas
Se mide con:
Nmero de problemas en produccin por aplicacin, que causan tiempo perdido
significativo
Porcentaje de usuarios satisfechos con la funcionalidad entregada
Objetivos de control
10
Objetivos General
Alinear los requerimientos del negocio con las especificaciones tcnicas y de diseo para
la adquisicin de software, de forma tal que se pueda responder a las directivas
tecnolgicas y a la arquitectura de informacin manejada por la organizacin.
ALCANCE
Se quiere comprobar cules son los controles manejados por la organizacin en la adquisicin de
software y de qu forma se garantizan tanto la calidad y buen desempeo, como la seguridad en
el manejo de las aplicaciones y la informacin que se pone a su disposicin.
Pgina
11
Pgina
13
Lista de chequeo
Dominio
Proce
so
Pregunt
a proyecto y un proceso de
Existe un plan de pruebas del
aprobacin del usuario
Los materiales de soporte y referencia para usuarios,
as como las instalaciones de ayuda en lnea estn
disponibles?
Son autorizadas y probadas las correcciones
realizadas?
Se posee un registro de fallas detectadas en los
equipos?
Existen procesos de adquisicin y mantenimiento de
aplicaciones, con diferencias pero similares, en base a
la experiencia dentro de la operacin de TI.
Se da el proceso de reevaluacin siempre que ocurren
discrepancias tecnolgicas y/o lgicas significativas?
Se cuenta con servicio de mantenimiento para todos
los equipos?
Se lleva a cabo actualmente un plan de
mantenimiento para la solucin del sistema de
informacin?
Existe un proceso claro, definido y de comprensin
S
i
N
o
X
X
X
x
El proceso de Adquirir y
Mantener
Software
Aplicativo est en el nivel de
madurez
OBSERVACIONES
X
X
Determinar la metodologa
formal
para
la
documentacin del software
en uso.
Anlisis y evaluacin de riesgos del proceso: AI2 Adquirir y mantener software aplicativo
N
R1
R2
R3
R4
R5
R6
R7
R8
Descrip
cin
falta de mantenimiento de los equipos
Equipos con bajo rendimiento
No se ha asignado un espacio locativo para
el ejercicio del mantenimiento preventivo y
correctivo.
No se ha definido un protocolo para la
organizacin de los equipos dependiendo que
clase de mantenimiento se proceder a
efectuar
No
hay una hoja de vida de la existencia
de los equipos
Sobrecalentamiento de equipos de computo
No existe monitorio continuo de software
instalado en los equipos de computo
Salida de informacin por accesos no
autorizados
R9
R1
0
R1
1
R1
2
R1
3
R1
4
Baja
030%
Probabilidad
Alta
Me
61dia
X
100%
X
Impacto
M
C
X
X
X
X
X
X
X
X
X
X
X
X
PROBABILIDAD
R1,
R2,R5,R
R2, R5
R3,
R7
Lev
e
R9
Modera
do
IMPA
CTO
R4,R7,
R10,R
R6
Catastr
fico
Cuadro de hallazgos detectados, identificando la posible causa que los origina, y los recursos afectados
Hallazgos
No se cuenta con un
Software que permita la
seguridad
de
los
programas
y
la
restriccin y/o control
del acceso de los
mismos
Causas
Cuando se instalaron programas
en los equipos con los que cuenta
la empresa no se asegur que se
tuviera la suficiente seguridad
para que
estos no fueran manipulados por
otras personas
Recursos Afectados
la seguridad de la
informacin
de
la
empresa, las claves de
los usuarios autorizados
Recomendaciones
Evaluar e implementar
un software que permita
mantener el resguardo
de acceso de los
archivos de programas y
de los programadores.
Las modificaciones a
los programas son
solicitadas
generalmente
sin
notas internas, en
donde se describen
los
cambios
o
modificaciones que
se requieren.
No cuenta con
documentaciones
tcnicas del sistema
integrado de la Empresa
y tampoco no cuenta
con un control o
registro formal de las
modificaciones
efectuadas.
Cuando se incrementa an ms la
posibilidad de producir
modificaciones errneas y/o no
autorizadas a los programas o
archivos y que las mismas no
sean detectadas en forma
oportuna
Las actualizaciones en
cuanto a los cambios
en los programas.
Implementar y conservar
todas
las
documentaciones
de
prueba de los sistemas,
como as tambin las
modificaciones
y
aprobaciones
de
programas
realizadas
Elaborar
la
documentacin tcnica
correspondiente a los
sistemas implementados
y establecer normas
y procedimientos para
los desarrollos en forma
peridica
y
su
actualizacin.
Utilizar
software
gratuito o sacar crdito
con banco para evitar
posibles multas. Debe
ser
resuelto
inmediatamente
Falta de planes y
Programas
Informticos
La escasa documentacin
tcnica de cada sistema
dificulta la compresin de las
normas, demandando tiempos
considerables para su
mantenimiento e
imposibilitando la
capacitacin del personal
nuevo en el rea.
Equipos sin licencia, debido al
alto costo de las mismas.
Prdidas de
informacin causadas
por fallas en los
sistemas, y a incurrir
en gastos extra por no
contar con garantas y
formal.
Elasistencia
sistema se
ve afectado
al no poderse actualizar
de acuerdo a las
tecnologas actuales,
igualmente se afecta a la
gestin de la
documentacin.
Pgina
16
Para una educacin efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro
de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios.
Adems de identificar las necesidades, este proceso incluye la definicin y ejecucin de una
estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados.
Un programa efectivo de entrenamiento incrementa el uso efectivo de la tecnologa al disminuir
los errores, incrementando la productividad y el cumplimiento de los controles clave tales como
las medidas de seguridad de los usuarios.
Enfocndose en:
Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecucin
de una efectiva estrategia de entrenamiento y la medicin de resultados
Se logra con
Organizar el entrenamiento
Impartir el entrenamiento
Y se mide con
Objetivos de control:
DS7.1 Identificacin de Necesidades de Entrenamiento y Educacin
DS7.2 Imparticin de Entrenamiento y Educacin
DS7.3 Evaluacin del Entrenamiento recibido
Pgina
20
Listas de chequeo:
Cuestionario de control C1
Empresa Sevientrega
Cuestionario de control
Dominio
Proceso
Objetivo de control
13/10/2015
C1
Pgina
21
Cuestionario de control C2
Empresa Sevientrega
Cuestionario de control
Dominio
Proceso
Objetivo de control
13/10/2015
C2
Entregar y dar soporte
DS7 Educar y entrenar a los usuarios
Imparticin de entrenamiento y educacin
Cuestionar
Pregunta
Si
N io N/
Observaciones
o
A
X
Las capacitaciones van
A todos los usuarios que requieran del
dirigidas a todos los grupos de
uso de software para el cumplimiento
usuarios de la empresa?
de sus funciones
X
Se utilizan mtodos para la
Se cuenta con polticas de capacitacin
imparticin del
establecidas para el personal nuevo y
conocimiento?
para la capacitacin en la
implementacin de software nuevo
pero no se especifican mtodos de
capacitacin ni el procedimiento a
seguir
X
La documentacin existente
Al
momento de realizar un software
est
disponible
para
la
se muestran manuales tanto tcnicos
transferencia de conocimiento a
como de usuarios y estn disponibles
los usuarios?
para que los usuarios accedan a ellos
y se instruyan
X
Se tiene definido un mtodo para
No hay un mtodo definido para
la designacin de los instructores
la designacin de instructores de
para la capacitacin?
capacitacin
X
No se cuenta dicho registro
Se cuenta con un registro de los
usuarios que han recibido
capacitacin?
Cuestionario de control C3
Empresa Sevientrega
13/10/2015
Cuestionario de control
C3
Entregar y dar soporte
Dominio
DS7 Educar y entrenar a los usuarios
Proceso
Evaluacin del entrenamiento recibido
Objetivo de control
Cuestionar
Pregunta
Si
N io N/
Observaciones
o
A
X
Se cuenta con control sobre
No se cuenta con los acuerdos
los acuerdos de
de confidencialidad
confidencialidad firmados por
los empleados acerca de la
informacin manejada en la
empresa?
X
Se
han ejecutado revisiones
Luego de llevar a cabo las
posteriores a las actividades
capacitaciones se realizan revisiones
de comunicacin y cules
posteriores
son sus resultados?
X
No hay especificacin de dicho
Existe un proceso definido
proceso
para la evaluacin el
desempeo dentro de las
capacitaciones?
Las
actividades de
comunicacin son llevadas a
cabo segn lo planeado
inicialmente?
Se
tienen procesos definidos
para monitorear la efectividad
en las semanas posteriores de
haberse realizado las
capacitaciones y actividades
de comunicacin?
Es ocasiones se realizan
modificaciones a los condiciones
iniciales
No se tienen procesos definidos para
medir la efectividad de las
capacitaciones tiempo despus de
haber sido realizadas
R1
Riesgos /
Valoracin
No se cuenta con personal capacitado para la ejecucin
Probabilidad
A
M
B C
X
R2
de las capacitaciones
No hay metodologas definidas para la planeacin de
Impacto
M
L
X
X
las capacitaciones
R3
R4
X
X
R5
conocimiento
No hay mtodo definido para la seleccin de
R6
instructores de capacitacin
No existe registro de usuarios que han
recibido capacitacin
R7
R8
X
X
R9
R10
capacitacin
No se realiza evaluacin de la efectividad tiempo
R11
R12
de seguridad de la informacin
Desconocimiento de medidas bsicas de seguridad del
Probabilidad
Clasificacin de riesgos
Impacto
Moderado
R2, R6, R10
Catastrfico
Alto
Leve
R9
Medio
R4, R8
R7, R12
Bajo
R1
X
X
X
X
Guas de hallazgos detectados identificando la posible causa que los origina, y los recursos
afectados
-
Gua de hallazgos H1
Gua de hallazgos H2
Gua de hallazgos H3
CONCLUSIONES
Con los resultados de la auditoria se evidencian las falencias del rea auditada, teniendo
presente elaborar las correcciones a las mismas.
REFERENCIAS BIBLIOGRFICAS
Bertha A. Naranjo S. Metodologa de una auditoria de sistemas. 2015, de Galeon.com Sitio web:
http://anaranjo.galeon.com/metodo_audi.htm
Gernimo Manso. (2008). Etapas de una auditoria de sistemas. De Geronet Sitio web:
http://www.geronet.com.ar/?p=48