1. UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
ESCUELA DE CONTABILIDAD Y AUDITORIA
AUDITORIA SISTEMAS INFORMATICOS I
TEMA: ADQUISICIÓN E IMPLEMENTACIÓN
ALUMNO: EDUARDO CONDE
CURSO: 9-6
PROFESOR: DR. CARLOS ESCOBAR
SEMESTRE 2012
2. AI. ADQUISICION E IMPLEMENTACION -
DOMINIO
Deben ser identificadas, desarrolladas o
adquiridas, asi como implementadas e integradas
dentro del proceso del negocio, además, este
dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.
3. PROCESOS
AI1. Identificación de Soluciones Automatizadas
AI2. Adquisición y Mantenimiento del Software
Aplicado
AI3. Adquisición y Mantenimiento de la
Infraestructura Tecnológica
AI4. Desarrollo y Mantenimiento de Procesos
AI5. Instalación y Aceptación de los Sistemas
AI6. Administración de los Cambios
4. AI1. IDENTIFICACIÓN DE SOLUCIONES
AUTOMATIZADAS – PROCESO
OBJETIVO.- Asegurar el mejor enfoque para cumplir con los
requerimientos del usuario mediante un análisis de las
oportunidades comparadas con los requerimientos de los usuarios
para lo cual se debe observar:
Aplicaciones (software)
Requerimientos Que
hacer?
Areas usuarias
Areas usuarias
Dirección de Sistemas
objetivos Estratégicos Visión
Sistema Gerencial
Misión
Planes, proyectos
y programas
Políticas
ORGANIZACIÓN Prioridades
5. OBJETIVOS
AI01.1. Definición de información para aprobar un proyecto de desarrollo.
AI01.2. Estudio de Factibilidad con la finalidad de satisfacer los
requerimientos del negocio.
AI01.3. Arquitectura de Información para tener en consideración el modelo
de datos
AI01.4. Seguridad con relación de costo-beneficio favorable para controlar
que los costos no excedan los beneficios.
AI01.5. Pistas de auditoria proporcionar la capacidad de proteger datos
sensitivos.
AI01.6. Contratación de terceros con el objeto de adquirir productos con
buena calidad y excelente estado.
AI01.7. Aceptación de instalaciones y Tecnología a través del contrato.
6. PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN
Son una serie de registros sobre las actividades del sistema operativo, de
procesos o aplicaciones y/o de usuarios del sistema. Las pistas de auditoria
son procedimientos que ayudan a cumplir algunos objetivos de protección y
seguridad de la información, así como evidenciar con suficiencia y
competencia los hallazgos de auditoria son los conocidos como Log o registro.
Pistas de auditoria-Evidencia
Objetivos de protección y
seguridad Identificador del Usuario
Responsabilidad Individual. Cuándo ha ocurrido el evento
Seguimiento secuencial de Identificador de host anfitrión
las acciones del usuario. que genera el registro.
Reconstrucción de Eventos. Tipo de Evento
Investigaciones de cómo, En el Sistema;
cuándo y quién ha realizado. En las Aplicaciones
Detección de Instrucciones.
Identificación de Problemas.
7. PISTAS DE AUDITORIA – EVOLUCIÓN DEL RIESGO –
ERRORES POTENCIALES EN TECNOLOGÍAS
INFORMATICAS.
PREVENCION ERRORES POTENCIALES
RIESGO Errores en la integridad de la información
•Datos en blanco
DETECCIÓN
•Datos ilegibles
INCIDENTE-ERROR •Problemas de Trascripción
•Error de cálculo en medidas indirectas
REPRESIÓN •Registro de valores imposible
DAÑOS
•Negligencia
•Falta de aleatoriedad
CORRECIÓN •Violentar la secuencia establecida para
RECUPERACIÓN recolección
EVALUACIÓN
8. PISTAS DE AUDITORIA - EVOLUCIÓN Y
ADMINISTRACIÓN DEL RIESGOS
S
I 5. EVALUACIÓN
S
3. DIAGNOSTICO
T MATERIALIDAD
E
M
A
S
C
2. DETECCION -
SINTOMAS
O
4. CORRECCIÓN
N
T/
PREDICCIÓN 1. PREVENCIÓN
C ADMINISTRACIÓN DEL RIESGO
I
Actuar sobre las causas
N
T
Técnicas y Políticas de
ACCIONES PARA EVITARLOS control involucrados
E
R Empoderar a las actores
N Crear valores y actitudes
O
RIESGO
9. PISTAS DE AUDITORIA – POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS – PROCESO
Debe distinguirse 3 tipos distintos: 1. si se conectan todos los
computadores dentro de un mismo edificio se denomina LAN (Local Area
Network). 2.Si están instalados en edificios diferentes, Wan (Wide Area
Network) estableciendo lacomunicación en un esquema cliente-servidor. 3.
Plataforma de Internet en las actividades empresariales. El Institute for
Defense Analyses en 1995, defina varios tipos de eventos que necesitaban
ser auditados y los agrupaba en seis categorias:
Administración y control de accesos
Criptográfica
Integridad y Confidencialidad de
datos
Disponibilidad
No discrecional
Dependientes y por defecto
10. PISTAS DE AUDITORIA . TECNICAS DE SEGURIDAD
PARA SISTEMAS DISTRIBUIDOS
TÉCNICAS DE INTEGRIDAD Y
CONFIDENCIALIDAD
AUTENTICACIÓN: Identificar a los
usuarios que inicien sesiones en
sistemas o la aplicación.
AUTORIZACIÓN: Una vez autenticado
el usuario hay que comprobar si tiene
los privilegios necesarios para realizar
la acción.
INTEGRIDAD: Garantizar que los
mensajes sean auténticos y no se
alteren.
CONFIDENCIALIDAD: Ocultar los datos
frente a accesos no autorizados.
AUDITORIA: Seguimiento de entidades
que han accedido al sistema
identificando el medio.
11. AI2 ADQUISICIÓN Y MANTENIMIENTO DEL
SOFTWARE APLICADO
OBJETIVO. Proporcionar funciones automatizadas que soporten
efectivamente al negocio con declaraciones específicas sobre
requerimientos funcionales y operacionales y una implementación
estructurada fundamentada en:
HOY
MEJORA LA . Impacto estratégico, Oportunidad de ventaja
Mejora continua
CALIDAD competitiva.
. Planificación, fijación de objetivos,
GESTION DE CALIDAD
coordinación, formación, adaptación de toda la
organización. CALIDAD TOTAL
. Involucre a toda la empresa: directivos,
trabajadores, clientes.
. Una filosofía, cultura, estrategia, estilo de
gestión.
. ISO 9001:2000 GARANTIA DE CALIDAD PREVENIR DEFECTOS
CONTROL DE CALIDAD
DETECTA DEFECTOS
TIEMPO
12. OBJETIVOS DE CONTROL
Objetivos y planes a corto y largo
plazo de tecnología de
información.
Documentación (materiales de
consulta y soporte para
usuarios)
Requerimientos de archivo; de
entrada, procesos y salida de la
información.
Controles de aplicación y
requerimientos funcionales;
Interface usuario- máquina;
asegurar que el software sea
fácil de utlizar y capaz de auto
documentarse.
Pruebas funcionales (unitarias,
de aplicación, de integración y
de carga); de acuerdo con el
plan de prueba del proyectos y
los estándares establecidos.
13. AI3 ADQUISICIÓN Y MANTENIMIENTO DE LA
INFRAESTRUCTURA TECNOLÓGICA – PROCESO
OBJETIVO. Proporcionar las plataformas apropiadas para soportar
aplicaciones de negocios originadas de una evaluación del
desempeño del hardware y software apropiada; provisión de
mantenimiento preventivo de hardware e instalación, seguridad y
control del software del sistema y toma en consideración:
AI3.1 EVALUACION DE TECNOLOGIA; Para identificar el impacto
del nuevo hardware o software sobre el rendimiento del sistema.
AI3.2 MANTENIMIENTO PREVENTIVO; Del hardware con el objeto
de reducir la frecuencia y el impacto de fallas de rendimiento.
AI3.3 SEGURIDAD DEL SOFTWARE DE SISTEMA; Instalación y
mantenimiento para no arriesgar la seguridad de los datos y
programas
14. AI4 DESARROLLO Y MANTENIMIENTO DE
PROCESOS – PROCESO
OBJETIVO.- Asegurar el uso
apropiado de las aplicaciones y de
las soluciones tecnológicas
establecidas. Para ello se diseñara
manuales de procedimientos, de
operaciones para usuarios y
materiales de entrenamiento con el
propósito de:
AI4.1 Manuales de procedimientos
de usuarios y controles;
AI4.2 Materiales de entrenamiento;
Enfocados al uso del sistema en la
práctica diaria del usuario.
AI4.3 Manuales de Operaciones y
Controles; para que el usuario
comprenda el alcance de su
actividad y valide su trabajo.
AI4.4 Levantamiento de procesos;
Los procesos deben ser organizados
y secuenciados.
15. AI5 INSTALACIÓN Y ACEPTACIÓN DE LOS
SISTEMAS – PROCESO
OBJETIVO.- Verificar y confirmar AI5.1 CAPACITACIÓN DEL
que la solución tecnológica PERSONAL;
PROPUESTA sea adecuada al AI5.2 CONVERSIÓN/CARGA
propósito deseado, para lo cual DATOS;
debe aplicarse un procedimiento AI5.3 PRUEBAS ESPECÍFICAS;
de instalación y aceptación que (cambios, desempeño, aceptación
incluya; conversión y migración final, operacional)
de datos, plan de aceptaciones
formalizado con pruebas, AI5.4 VALIDACIÓN Y
validaciones y revisiones ACREDITACIÓN;
posteriores a la implementación AI5.5 REVISIONES POST
de los sistemas, de manera IMPLEMENTACIÓN;
puntual en:
16. AI6 ADMINISTRACIÓN DE CAMBIOS –
PROCESO
OBJETIVO.- Minimizar la TECNICAS DE CONTROL
probabilidad de interrupciones,
alteraciones y errores a través Comprar programas sólo a
de una eficiencia proveedores fiables.
administración del sistema, las Usar productos evaluados
aplicaciones y la base de datos Inspeccionar el código fuente
con análisis, implementación y
seguimiento de todos los antes de usarlo
cambios requeridos y llevados Controlar el acceso y las
para lo cual debe; modificaciones una vez instalado
AI6.1 IDENTIFICACIÓN DE
CAMBIOS.- Los cambios en las
aplicaciones diseñadas
internamente; así como, las
adquiridas a proveedores.
17. AI6.2 Procedimientos; de
categorización, priorización y
emergencia de solicitudes de
cambios.
AI6.3 Evaluación del impacto que
provocaran los cambios;
tecnológicos en la perspectiva del
cliente, financiera, de procesos, del
talento humano y la estructura
AI6.4 Autorización de cambios;
registro y documentación de los
cambios autorizados.
AI6.5 Manejo de Liberación. La
liberación de software debe estar
regida por procedimientos formales
asegurando aprobación.
AI6.6 Distribución de software.
Estableciendo medidas de control
especificas para asegurar la
distribución de software sea el
lugar y usuario correcto.