Gestión y Auditoría de

Sistemas de Información
Primer Semestre 2018

Profesor: Osvaldo Labbé Gallegos

Marzo 2017
 Riesgos en el área de TI

• Riesgos en los procesos

• Riesgos en el Hardware
• Riesgos en el Software
• Riesgos en las Redes
Riesgos en los Procesos de
TI

• Procesos de TI
• Desarrollo de la Planificación de TI
• Errores en la estimación de plazos y costos
• Omisión del proceso de Planificación de algunas actividades
• Reclutamiento y contratación del Personal de TI
• Evaluación del Personal de TI
• Indicadores de evaluación más definidos
• Adquisición de Aplicaciones de TI
• Omisión de factores relevantes en el proceso de selección
• Mantención de Aplicaciones
• No cumplimiento de controles en el proceso de mantención

3
Riesgos en los Procesos de
TI

• Procesos de TI
• Operación de Aplicaciones
• Respaldo de Archivos y Software
• Omisión de respaldo de archivos importantes
• Desarrollo y Mantención del Plan de Continuidad de Negocios
• Carencia de un Plan de continuidad de negocios
• Desactualización del Plan de Continuidad de Negocios
• Administración de la Base de Datos
• Omisión de controles en la gestión de la seguridad de la Base de Datos
• Administración de la Red

4
 Riesgos en el Hardware

• Fallas por mal uso del Hardware

• Personal no capacitado
• Carencia de manuales de operación en Castellano
• Adquisición de Hardware incorrecto por especificaciones deficientes
• Carencia de cultura computacional del usuario del nuevo sistema
• Ausencia de un proceso previo de definición de requerimientos
• Hardware obsoleto
• Pérdida de Hardware
• Carencia de un control de inventario de Hardware

5
 Riesgos en el Hardware

• Fallas que pueden afectar al Hardware

• Falta de un programa de mantención preventivo
• Hardware con capacidad insuficiente
• Ausencia de un “Capacity Planning”.
• Interrupción del funcionamiento del Hardware por corte de energía
• Fallas en la seguridad del Hardware
• Acceso de personal no autorizado
• Perfiles de usuarios desactualizado

6
 Riesgos en el Software

• Fallas en el Software Básico

• No actualización de los Software básicos
• Fallas por mal uso del Software
• Personal sin la adecuada capacitación
• Adquisición de Software incorrecto por especificaciones erróneas
• Software obsoleto
• Carencia de políticas de renovación del software
• Pérdida del Software básico
• Ausencia de un control de inventario
• Software con capacidad insuficiente
• Fallas en la seguridad del Software

7
 Riesgos en las Redes

• Red con capacidad insuficiente

• Insuficiente ancho de Banda
• Fallas en la seguridad de la Red
• Contaminación con Virus
• Violación de acceso por un Hacker
• Infecciones de SpyWare
• Gestión desordenada de password de acceso
• Fallas en la operación de la Red
• Fallas en equipos de comunicaciones
• Equipos Routers
• Conflictos con direcciones IP
• Tarjetas de Red defectuosas

8
 Riesgos - Controles
RIESGOS
Omisión del proceso de Planificación de
algunas actividades
Indicadores mal definidos de evaluación
del personal
Desactualización del Plan de Continuidad
de Negocios
Ausencia de un proceso previo de
definición de requerimientos del nuevo
Hardware
Carencia de un control de inventario de
Hardware
Perfiles de usuarios de Hardware
desactualizados
Contaminación de datos con virus
CONTROLES
Existencia de un proceso de planificación
en donde se obligue la incorporación de
todos los proyectos
Desarrollo de indicadores que estén
relacionados con los objetivos a cumplir
Existencia de un procesos periódico de
actualización del Plan.
Existencia de una definición de
requerimientos formal como requisito
previo a la decisión de la compra
Existencia de un proceso de control de
inventario
Existencia de un proceso continuo de
actualización de los perfiles de usuarios
Existencia de un antivirus actualizado 9
 Controles – Revisión
CONTROLES
Existencia de un proceso de planificación en
donde se obligue la incorporación de todos
los proyectos
Desarrollo de indicadores que estén
relacionados con los objetivos a cumplir
Existencia de un procesos periódico de
actualización del Plan.
Existencia de una definición de
requerimientos formal como requisito
previo a la decisión de la compra
Existencia de un proceso de control de
inventario
Existencia de un proceso continuo de
actualización de los perfiles de usuarios
Existencia y aplicación de un antivirus
actualizado
PAUTAS DE REVISIÓN
Revisión de la documentación del proceso
Verificación de los Planes de los últimos periodos
Revisión del proceso de desarrollo de indicadores.
Revisión de los indicadores existentes
Revisión de la documentación del proceso
Verificación de la vigencia del plan actual
Revisión de la documentación del procedimiento
Revisión de la documentación de las últimas
compras de Hardware que se realizaron
Revisión de la documentación del procedimiento
Revisión del último control de inventario
realizado
Revisión de la documentación del proceso de
actualización de perfiles de usuario.
Revisión de los perfiles de usuarios vigentes
Revisión de la documentación de la adquisición e10
instalación del software antivirus
Revisión de los informes que genera el software
 Ejemplos de fallas del
software
• Algunos casos de fallas en sistemas de
software
• Accidente de un F-18 (1986)
• Giro descontrolado atribuido a un if-then,
para la cual no había un else, por
considerarlo innecesario.
• Sobre costo en sistema de avión de
carga C-17 (1989)
• Costó más de 500 millones de dólares más
de lo previsto debido a problemas de
software. Se reportaron 19 computadoras
abordo, 80 microprocesadores y seis
lenguajes de programación diferentes.
• Explosión del cohete Ariane 5 (1996)
• Se salió de trayectoria por que el programa
supuso que se había desviado al hacer la
conversión de un número flotante de 64 bits
a un entero de 16 bits.