Este documento presenta información sobre la adquisición e implementación de sistemas informáticos. Explica los procesos involucrados como la identificación de soluciones automatizadas, la adquisición y mantenimiento de software y hardware, el desarrollo y mantenimiento de procesos, la instalación y aceptación de sistemas, y la administración de cambios. También describe objetivos, técnicas y consideraciones clave para cada uno de estos procesos de adquisición e implementación de sistemas informáticos.
Adquisición e Implementación de Sistemas Informáticos - Pistas de Auditoría
1. UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
ESCUELA DE CONTABILIDAD Y AUDITORIA
AUDITORIA SISTEMAS INFORMATICOS I
TEMA: ADQUISICIÓN E IMPLEMENTACIÓN
ALUMNO: EDUARDO CONDE
CURSO: 9-6
PROFESOR: DR. CARLOS ESCOBAR
SEMESTRE 2012
2. AI. ADQUISICION E IMPLEMENTACION -
DOMINIO
Deben ser identificadas, desarrolladas o
adquiridas, asi como implementadas e integradas
dentro del proceso del negocio, además, este
dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.
3. PROCESOS
AI1. Identificación de Soluciones Automatizadas
AI2.
Adquisición y Mantenimiento del Software Aplicado
AI3.
Adquisición y Mantenimiento de la Infraestructura Te
AI4. Desarrollo y Mantenimiento de Procesos
AI5. Instalación y Aceptación de los Sistemas
AI6. Administración de los Cambios
4. AI1.
IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS – PROCESO
OBJETIVO.- Asegurar el mejor enfoque para cumplir con los requerimientos del
usuario mediante un análisis de las oportunidades comparadas con los
requerimientos de los usuarios para lo cual se debe observar:
Aplicaciones (software)
Requerimientos Que
hacer?
Areas usuarias
Areas usuarias
Dirección de Sistemas
objetivos Estratégicos Visión
Sistema Gerencial
Misión
Planes, proyectos
ORGANIZACIÓN y programas
5. OBJETIVOS
AI01.1. Definición de información para aprobar un proyecto de desarrollo.
AI01.2. Estudio de Factibilidad con la finalidad de satisfacer los requerimientos del negocio.
AI01.3. Arquitectura de Información para tener en consideración el modelo de datos
AI01.4. Seguridad con relación de costo-beneficio favorable para controlar que los costos no
excedan los beneficios.
AI01.5. Pistas de auditoria proporcionar la capacidad de proteger datos sensitivos.
AI01.6. Contratación de terceros con el objeto de adquirir productos con buena calidad y
excelente estado.
AI01.7. Aceptación de instalaciones y Tecnología a través del contrato.
6. PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN
Son una serie de registros sobre las actividades del sistema operativo, de procesos o
aplicaciones y/o de usuarios del sistema. Las pistas de auditoria son procedimientos que
ayudan a cumplir algunos objetivos de protección y seguridad de la información, así como
evidenciar con suficiencia y competencia los hallazgos de auditoria son los conocidos como Log
o registro.
Pistas de auditoria-Evidencia
Objetivos de protección y
seguridad Identificador del Usuario
Responsabilidad Individual. Cuándo ha ocurrido el evento
Seguimiento secuencial de las Identificador de host anfitrión que
acciones del usuario. genera el registro.
Reconstrucción de Eventos. Tipo de Evento
Investigaciones de cómo, cuándo y En el Sistema;
quién ha realizado. En las Aplicaciones
Detección de Instrucciones.
Identificación de Problemas.
7. PISTAS DE AUDITORIA – EVOLUCIÓN DEL RIESGO – ERRO
.
PREVENCION ERRORES POTENCIALES
RIESGO Errores en la integridad de la información
•Datos en blanco
DETECCIÓN
•Datos ilegibles
INCIDENTE-ERROR •Problemas de Trascripción
•Error de cálculo en medidas indirectas
REPRESIÓN
•Registro de valores imposible
DAÑOS
•Negligencia
•Falta de aleatoriedad
CORRECIÓN •Violentar la secuencia establecida para
RECUPERACIÓN recolección
EVALUACIÓN
8. PISTAS DE AUDITORIA - EVOLUCIÓN Y ADMINISTR
S
I 5. EVALUACIÓN
S
3. DIAGNOSTICO
T MATERIALIDAD
E
M
A
S GO
E
S RI
C
D EL 2. DETECCION -
SINTOMAS
N
IO
O
4. CORRECCIÓN
C
LU
N
O
EV
T/
PREDICCIÓN 1. PREVENCIÓN
C ADMINISTRACIÓN DEL RIESGO
I
Actuar sobre las causas
N
T
Técnicas y Políticas de
ACCIONES PARA EVITARLOS control involucrados
E
R Empoderar a las actores
N Crear valores y actitudes
O
RIESGO
9. PISTAS DE AUDITORIA – POLITICAS DE SEGURIDAD PARA SISTEMAS
Debe distinguirse 3 tipos distintos: 1. si se conectan todos los
computadores dentro de un mismo edificio se denomina LAN (Local Area
Network). 2.Si están instalados en edificios diferentes, Wan (Wide Area
Network) estableciendo lacomunicación en un esquema cliente-servidor. 3.
Plataforma de Internet en las actividades empresariales. El Institute for
Defense Analyses en 1995, defina varios tipos de eventos que necesitaban
ser auditados y los agrupaba en seis categorias:
Administración y control de accesos
Criptográfica
Integridad y Confidencialidad de
datos
Disponibilidad
No discrecional
Dependientes y por defecto
10. PISTAS DE AUDITORIA . TECNICAS DE SEGURIDAD PARA S
TÉCNICAS DE INTEGRIDAD Y
CONFIDENCIALIDAD
AUTENTICACIÓN: Identificar a los
usuarios que inicien sesiones en
sistemas o la aplicación.
AUTORIZACIÓN: Una vez autenticado
el usuario hay que comprobar si tiene
los privilegios necesarios para realizar
la acción.
INTEGRIDAD: Garantizar que los
mensajes sean auténticos y no se
alteren.
CONFIDENCIALIDAD: Ocultar los datos
frente a accesos no autorizados.
AUDITORIA: Seguimiento de entidades
que han accedido al sistema
identificando el medio.
11. AI2
ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE
OBJETIVO. Proporcionar funciones automatizadas que soporten
efectivamente al negocio con declaraciones específicas sobre
requerimientos funcionales y operacionales y una implementación
estructurada fundamentada en:
HOY
MEJORA LA . Impacto estratégico, Oportunidad de ventaja
Mejora continua
CALIDAD competitiva.
. Planificación, fijación de objetivos,
GESTION DE CALIDAD
coordinación, formación, adaptación de toda la
organización. CALIDAD TOTAL
. Involucre a toda la empresa: directivos,
trabajadores, clientes.
. Una filosofía, cultura, estrategia, estilo de
gestión.
. ISO 9001:2000 GARANTIA DE CALIDAD PREVENIR DEFECTOS
CONTROL DE CALIDAD
DETECTA DEFECTOS
TIEMPO
12. OBJETIVOS DE CONTROL
Objetivos y planes a corto y largo
plazo de tecnología de
información.
Documentación (materiales de
consulta y soporte para
usuarios)
Requerimientos de archivo; de
entrada, procesos y salida de la
información.
Controles de aplicación y
requerimientos funcionales;
Interface usuario- máquina;
asegurar que el software sea
fácil de utlizar y capaz de auto
documentarse.
Pruebas funcionales (unitarias,
de aplicación, de integración y
de carga); de acuerdo con el
plan de prueba del proyectos y
los estándares establecidos.
13. AI3
ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTUR
OBJETIVO. Proporcionar las plataformas apropiadas para soportar
aplicaciones de negocios originadas de una evaluación del
desempeño del hardware y software apropiada; provisión de
mantenimiento preventivo de hardware e instalación, seguridad y
control del software del sistema y toma en consideración:
AI3.1 EVALUACION DE TECNOLOGIA; Para identificar el impacto
del nuevo hardware o software sobre el rendimiento del sistema.
AI3.2 MANTENIMIENTO PREVENTIVO; Del hardware con el objeto
de reducir la frecuencia y el impacto de fallas de rendimiento.
AI3.3 SEGURIDAD DEL SOFTWARE DE SISTEMA; Instalación y
mantenimiento para no arriesgar la seguridad de los datos y
programas
14. AI4
DESARROLLO Y MANTENIMIENTO DE PROCESOS
OBJETIVO.- Asegurar el uso
apropiado de las aplicaciones y de
las soluciones tecnológicas
establecidas. Para ello se diseñara
manuales de procedimientos, de
operaciones para usuarios y
materiales de entrenamiento con el
propósito de:
AI4.1 Manuales de procedimientos
de usuarios y controles;
AI4.2 Materiales de entrenamiento;
Enfocados al uso del sistema en la
práctica diaria del usuario.
AI4.3 Manuales de Operaciones y
Controles; para que el usuario
comprenda el alcance de su
actividad y valide su trabajo.
AI4.4 Levantamiento de procesos;
Los procesos deben ser organizados
y secuenciados.
15. AI5
INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS –
OBJETIVO.- Verificar y confirmar AI5.1 CAPACITACIÓN DEL
que la solución tecnológica PERSONAL;
PROPUESTA sea adecuada al AI5.2 CONVERSIÓN/CARGA
propósito deseado, para lo cual DATOS;
debe aplicarse un procedimiento
de instalación y aceptación que
AI5.3 PRUEBAS ESPECÍFICAS;
incluya; conversión y migración (cambios, desempeño, aceptación
de datos, plan de aceptaciones final, operacional)
formalizado con pruebas, AI5.4 VALIDACIÓN Y
validaciones y revisiones ACREDITACIÓN;
posteriores a la implementación AI5.5 REVISIONES POST
de los sistemas, de manera IMPLEMENTACIÓN;
puntual en:
16. AI6
ADMINISTRACIÓN DE CAMBIOS – PROCESO
OBJETIVO.- Minimizar la TECNICAS DE CONTROL
probabilidad de interrupciones,
alteraciones y errores a través Comprar programas sólo a
de una eficiencia proveedores fiables.
administración del sistema, las Usar productos evaluados
aplicaciones y la base de datos Inspeccionar el código fuente
con análisis, implementación y
seguimiento de todos los antes de usarlo
cambios requeridos y llevados Controlar el acceso y las
para lo cual debe; modificaciones una vez instalado
AI6.1 IDENTIFICACIÓN DE
CAMBIOS.- Los cambios en las
aplicaciones diseñadas
internamente; así como, las
adquiridas a proveedores.
17. AI6.2 Procedimientos; de
categorización, priorización y
emergencia de solicitudes de
cambios.
AI6.3 Evaluación del impacto que
provocaran los cambios;
tecnológicos en la perspectiva del
cliente, financiera, de procesos, del
talento humano y la estructura
AI6.4 Autorización de cambios;
registro y documentación de los
cambios autorizados.
AI6.5 Manejo de Liberación. La
liberación de software debe estar
regida por procedimientos formales
asegurando aprobación.
AI6.6 Distribución de software.
Estableciendo medidas de control
especificas para asegurar la
distribución de software sea el
lugar y usuario correcto.