SlideShare une entreprise Scribd logo

Semana 06 - Auditoria de Sistemas.pdf

A
asesor8

auditoria semana 6

Design
1  sur  29
Télécharger pour lire hors ligne
Auditoria de Sistema – Jorge Luis Chumpitaz Vélez Auditoría al ciclo de vida de sistemas de información y a la infraestructura tecnológica 06 02
Parte 01 – Auditoría al Mantenimiento y Desarrollo de Sistemas Ing. Jorge Luis Chumpitaz Vélez jchumpitaz@continental.edu.pe
Auditoría de Desarrollo de Sistemas ¿En qué Consiste? El desarrollo de un software debe estar sometido a un exhaustivo control de cada una de sus fases, ya que en caso contrario, además del habitual disparo de los costes, podría producirse una total insatisfacción del usuario si finalmente no cumple las funcionalidades necesarias así como la ergonomía de los interfaces de la misma. Además, la auditoría deberá comprobar la seguridad del software desarrollado al objeto de garantizar que el resultado de su ejecución sea exactamente el previsto, y que no interfiere con el resto de aplicaciones de la empresa.
Auditoría de Desarrollo de Sistemas
Importancia de la Auditoría de Desarrollo
Esquema de Trabajo
Aprobación, Planificación y Gestión de Proyecto
Auditoría de la Fase de Análisis
Auditoría de la Fase de Diseño
Auditoría de la Fase de Construcción
Auditoría de la Fase de Construcción
Auditoría de la Fase de Implantación
Auditoría de Desarrollo de Sistemas Revisión Interna de las Aplicaciones: Se deberá controlar las mismas fases que presuntamente ha debido seguir el área correspondiente de Desarrollo: • Estudio de Aptitud de la Aplicación. (Muy determinante para Aplicaciones complejas, largas y caras). • Definición lógica de la Aplicación. (Se examinará que se han completado los propósitos lógicos de actuación, en función de la metodología elegida y la finalidad del proyecto). • Desarrollo Técnico de la Aplicación. (Se verificará que éste es ordenado y correcto. Las herramientas técnicas utilizadas en los diversos programas deberán ser compatibles entre sí, y a ser posible con las ya existentes en el sistema de la empresa). • Diseño de Algoritmos. (Deberán poseer la máxima sencillez, modularidad y economía de recursos). • Metodología de Ensayos. (Se realizaran de acuerdo a las Normas de la Instalación. Se realizarán juegos de ensayo de datos, sin que se permita en ningún caso el uso de datos reales). • Documentación de la Aplicación. (Cumplirá la Normativa establecida en la Instalación, tanto la de Desarrollo como la de su puesta a Explotación).
Parte 02 – Continuidad del Negocio Ing. Jorge Luis Chumpitaz Vélez jchumpitaz@continental.edu.pe
Continuidad del Negocio https://www.youtube.com/watch?v=MTgYSDzCsa8
Gestión de la Continuidad del Negocio Propósito: Reducir los riesgos en los servicios de TI a niveles acordados y aceptables, así como planear y preparar la recuperación de los servicios de TI. Objetivos: • Mantener la continuidad de TI y los planes de recuperación que soportan los Planes de Continuidad del Negocio(BCPs). • Realizar regularmente ejercicios de Análisis de Impacto al Negocio( así como de Análisis y Gestión de Riesgos). • Implementar los mecanismos de recuperación apropiados. • Evaluar el impacto de todos los cambios en Planes de Continuidad de Servicios de TI y Planes de Recuperación de TI. • En conjunto con Gestión Proveedores, negociar y acordar contratos con los proveedores que proporcionen la recuperación.
ISO 22301 Sistema de Gestión de la Continuidad de Negocio ISO 22301 es la norma internacional de gestión de continuidad de negocio que, mediante el ciclo de mejora continua (PDCA), establece los requisitos para planificar, establecer, implantar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión documentado para prepararse, responder y recuperarse de eventos que generan interrupciones, teniendo en cuenta la gestión de los riesgos globales y su capacidad de resiliencia. Otras Normas Internacionales Única norma existente de desarrollo continuo, que señala áreas funcionales clave y una estrategia global para alertar ante desastres y la continuidad laboral en las organizaciones tanto del sector público como del privado. Guía general para que proporciona una base para comprender, desarrollar e implementar la continuidad de las operaciones y los servicios dentro de una organización. Asimismo, permite medir su resiliencia de manera consistente y reconocida. https://www.youtube.com/watch?v=cOB24QtqaK4
Parte 03 – Planificación y BIA Ing. Jorge Luis Chumpitaz Vélez jchumpitaz@continental.edu.pe
BIA (Business Impact Analysis) • El Análisis de Impacto sobre el Negocio o BIA (Business Impact Analysis) permite identificar los impactos derivados de posibles incidentes disruptivos, asimismo las actividades criticas de la organización, facilidades y recurso humano mínimo necesario para garantizar las operaciones del negocio. • El Análisis de Impacto al Negocio (BIA) responde las siguientes preguntas: • ¿Cuánto podría perder la organización por una interrupción del servicio o por un desastre? • ¿Con qué rapidez se acumulan las pérdidas? • ¿Con cuánto tiempo se cuenta antes de que la empresa no pueda operar? • ¿Cuándo y cómo los servicios se deben recuperar (con base a un análisis de costo/beneficio)?
Fases de un BIA (Business Impact Analysis) ▪ Método (Cuantitativo o Cualitativo). ▪ Documentación necesaria de la organización. ▪ Recursos humanos (Dueños de procesos). ▪ Impactos a ser analizados. ▪ Identificación de los procesos del negocio. PLANIFICACIÓN . RECOLECCION DE DATOS . ▪ Entrevistas Grupales (Dueño del proceso, Experto del proceso ) ▪ Información a recolectar (Evaluación de impactos, Identificación de Interdependencias y de RTO,RPO, Subprocesos por cada proceso del negocio). ANALISIS . De la información recolectada, se debe realizar las siguientes actividades: ▪ Verificar que los cuestionarios estén completos ▪ Identificar puntos a consultar
Fases de un BIA (Business Impact Analysis) ▪ Validar la información recolectada y analizada. ▪ Validar con dueños del proceso a los recursos utilizados por cada proceso. ▪ Valores proporcionados sobre RTO y RPO VALIDACIÓN . PRESENTACIÓN . No existe un formato común para presentar un informe. Considerar como mínimo: ▪ Evaluación de Impacto ▪ RTO y RPO ▪ Interdependencia de recursos tecnológicos ▪ Actividades principales ▪ Evaluación Financiera, de Proveedores Externos (Opcional)
Análisis de Riesgos en BIA (Business Impact Analysis) A partir de la información obtenida en las reuniones iniciales, se identifica: • ¿Qué amenazas pueden materializarse afectando a los procesos del alcance? ¿Con qué probabilidad? • ¿Qué impacto tendrían en éstos y qué activos de aquellos que intervienen en los procesos de negocio críticos se verían afectados? 1. Determinar amenazadas 2. Determinar Probabilidad e Impacto 3. Calcular el producto (**) (**) De la probabilidad por impacto de cada amenaza. Por último, una vez establecidos los principales riesgos, se de deben tratar de manera adecuada mediante una de las siguientes estrategias:
Parte 04 – Recuperación de desastres Ing. Jorge Luis Chumpitaz Vélez jchumpitaz@continental.edu.pe
Desastres ¿Qué son los Desastres? Son interrupciones que ocasionan que una compañía quede inoperativa por un periodo de tiempo que impacte adversamente sus operaciones, las cuales obligan a tomar decisiones para recuperar el estado operativo. ¿Cuál puede ser el origen? • Natural: Terremotos, tsunamis, inundaciones, huaicos, huracanes, etc. (Ej. derrumbe de las torres gemelas, epidemia SARS, el apagón a gran escala en el Noreste de USA y Canadá, etc. • Técnico: Muy común en las organizaciones, por ejemplo: apagones, malware, fallas en la infraestructura, etc. • Humano: Por ejemplo, un incendio provocado por un atentado, una huelga, entre otros.
Planeación a la Continuidad del Negocio y recuperación de Desastres El Plan de continuidad del negocio o BCP (Business Continuity Plan), es un método logístico para ser ejecutado y practicado en la forma del “Cómo” una organización debe recuperar y restaurar las funciones críticas que han sido interrumpidas de manera súbita o no deseada dentro de un tiempo específico. Plan de Continuidad de Operaciones Ejecutado por las áreas usuarios, en donde para ejecutar sus procesos podrían usar sistemas stand-alone, hojas cálculo o incluso procedimientos manuales a papel y lápiz para continuar con las operaciones críticas. Plan de Recuperación de Desastres Ejecutado por el área de TI y tiene como objetivo recuperar los recursos informáticos que soportan los procesos críticos de una compañía. El BCP puede ser escrito para un proceso de negocio específico o para todos aquellos de misión crítica, y se compone de un conjunto de planes, por lo que ambos ambos planes se debe trabajar en paralelo.
Recuperación de desastres • Planes de recuperación ante desastres (DRP): un conjunto de planes claramente definidos relacionados con la forma en que una organización se recuperará de un desastre y regresará a una condición previa al desastre considerando los cuatro dominios de la administración de servicios. • Objetivo de tiempo de recuperación (RTO-Recovery time objective) el período de tiempo máximo aceptable después de una interrupción del servicio que puede transcurrir antes de que la falta de funcionalidad empresarial afecte gravemente a la organización el tiempo máximo acordado dentro del cual se debe reanudar un producto o una actividad, o los recursos recuperado. • Objetivo de punto de recuperación (RPO - Recovery point objective) el punto en el que la información utilizada por una actividad debe restaurarse para permitir que la actividad funcione en la reanudación.
Plan de Recuperación de desastres (DRP) El Plan de Recuperación de Desastres (DRP) se refiere a un procedimiento estratégico muy específico del área de tecnologías de la información que se pone en marcha cuando hay un daño en los sistemas de cómputo. Implica un análisis de los procesos de negocio y las necesidades de continuidad de la organización, debe implementarse en base al tipo de negocio o servicio que se brinda, por lo que es importante que en cada empresa se conozcan los procesos de TI, vulnerabilidades y el nivel de seguridad que tienen para la protección de los datos.
Gracias! Ing. Jorge Luis Chumpitaz Vélez Docente Universidad Continental E-Mail: jchumpitaz@continental.edu.pe Facebook: facebook.com/jorgeluischumpitaz Linkedin: pe.linkedin.com/in/jorgeluischumpitaz Skype: jorgeluischumpitaz
Semana 06 - Auditoria de Sistemas.pdf

Recommandé

Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasStéfano Morán Noboa
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMaria Martinez
 
18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticasyomito_2
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaOsita Sweet
 
Tarea Auditoria
Tarea Auditoria Tarea Auditoria
Tarea Auditoria Andrea Jimenez
 
Pericana jesus
Pericana jesusPericana jesus
Pericana jesusjesuspericana2
 
Auditoria grupo 2
Auditoria grupo 2Auditoria grupo 2
Auditoria grupo 2shirley31july
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidadLeonardo Lenin Banegas Barahona
 

Recommandé

Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasStéfano Morán Noboa
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMaria Martinez
 
18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticasyomito_2
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaOsita Sweet
 
Tarea Auditoria
Tarea Auditoria Tarea Auditoria
Tarea Auditoria Andrea Jimenez
 
Pericana jesus
Pericana jesusPericana jesus
Pericana jesusjesuspericana2
 
Auditoria grupo 2
Auditoria grupo 2Auditoria grupo 2
Auditoria grupo 2shirley31july
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidadLeonardo Lenin Banegas Barahona
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutableBella Loor
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticarubicolimba
 
Auditoría informática 1...
Auditoría informática 1...Auditoría informática 1...
Auditoría informática 1...rubicolimba
 
Presentacion clase 2
Presentacion clase 2Presentacion clase 2
Presentacion clase 2ESPOCH
 
Proyectos informaticos
Proyectos informaticosProyectos informaticos
Proyectos informaticosvegaheyler
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJosé Moo Chan
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaUniversidad Central Del Ecuador
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaGustavo Fabian Dominguez Candia
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaMiguel Angel Sandoval Calderon
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaEmilet de Sanoja
 
Plan de-contingencias
Plan de-contingenciasPlan de-contingencias
Plan de-contingenciasUniversidad Militar Nueva Granada-Universidad de Cundinamarca
 
Ciclo de vida de un sistema de información
Ciclo de vida de un sistema de informaciónCiclo de vida de un sistema de información
Ciclo de vida de un sistema de informaciónJesus Peralta
 
Yamilet..
Yamilet..Yamilet..
Yamilet..yamiletgonzalez9
 
Administracion de proyectos de sist infor
Administracion de proyectos de sist inforAdministracion de proyectos de sist infor
Administracion de proyectos de sist inforlisbethhidalgo
 
Metodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónMetodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónJose Martinez
 
Foro tematico
Foro tematicoForo tematico
Foro tematicoSergio Mora
 
manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...
manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...
manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...CristianVillar11
 
Modulo ii sig
Modulo ii sigModulo ii sig
Modulo ii sigElianaE Corona
 
Sistema
SistemaSistema
Sistemazet69lie
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 
Proceso de percepción visual y de reconocimiento
Proceso de percepción visual y de reconocimientoProceso de percepción visual y de reconocimiento
Proceso de percepción visual y de reconocimientoJorge Fernandez
 
Torre 222 sobre instalaciones de este mismo edificio
Torre 222 sobre instalaciones de este mismo edificioTorre 222 sobre instalaciones de este mismo edificio
Torre 222 sobre instalaciones de este mismo edificio2021ArqROLDANBERNALD
 

Contenu connexe

Similaire à Semana 06 - Auditoria de Sistemas.pdf

Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutableBella Loor
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticarubicolimba
 
Auditoría informática 1...
Auditoría informática 1...Auditoría informática 1...
Auditoría informática 1...rubicolimba
 
Presentacion clase 2
Presentacion clase 2Presentacion clase 2
Presentacion clase 2ESPOCH
 
Proyectos informaticos
Proyectos informaticosProyectos informaticos
Proyectos informaticosvegaheyler
 
Ciclo de vida de un sistema de información
Ciclo de vida de un sistema de informaciónCiclo de vida de un sistema de información
Ciclo de vida de un sistema de informaciónJesus Peralta
 
Administracion de proyectos de sist infor
Administracion de proyectos de sist inforAdministracion de proyectos de sist infor
Administracion de proyectos de sist inforlisbethhidalgo
 
Metodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónMetodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónJose Martinez
 
manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...
manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...
manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...CristianVillar11
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 

Similaire à Semana 06 - Auditoria de Sistemas.pdf (20)

Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutable
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Auditoría informática 1...
Auditoría informática 1...Auditoría informática 1...
Auditoría informática 1...
 
Presentacion clase 2
Presentacion clase 2Presentacion clase 2
Presentacion clase 2
 
Proyectos informaticos
Proyectos informaticosProyectos informaticos
Proyectos informaticos
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Plan de-contingencias
Plan de-contingenciasPlan de-contingencias
Plan de-contingencias
 
Ciclo de vida de un sistema de información
Ciclo de vida de un sistema de informaciónCiclo de vida de un sistema de información
Ciclo de vida de un sistema de información
 
Yamilet..
Yamilet..Yamilet..
Yamilet..
 
Administracion de proyectos de sist infor
Administracion de proyectos de sist inforAdministracion de proyectos de sist infor
Administracion de proyectos de sist infor
 
Metodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónMetodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de información
 
Foro tematico
Foro tematicoForo tematico
Foro tematico
 
manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...
manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...
manual-mantenimiento-rcm-mantenimiento-centrado-confiabilidad-analisis-implan...
 
Modulo ii sig
Modulo ii sigModulo ii sig
Modulo ii sig
 
Sistema
SistemaSistema
Sistema
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1
 

Dernier

Proceso de percepción visual y de reconocimiento
Proceso de percepción visual y de reconocimientoProceso de percepción visual y de reconocimiento
Proceso de percepción visual y de reconocimientoJorge Fernandez
 
Torre 222 sobre instalaciones de este mismo edificio
Torre 222 sobre instalaciones de este mismo edificioTorre 222 sobre instalaciones de este mismo edificio
Torre 222 sobre instalaciones de este mismo edificio2021ArqROLDANBERNALD
 
Topografía cuadro de construcción ing.civil
Topografía cuadro de construcción ing.civilTopografía cuadro de construcción ing.civil
Topografía cuadro de construcción ing.civilmeloamerica93
 
Jesus Diaz afiche Manierismo .pdf arquitectura
Jesus Diaz afiche Manierismo .pdf arquitecturaJesus Diaz afiche Manierismo .pdf arquitectura
Jesus Diaz afiche Manierismo .pdf arquitecturajesusgrosales12
 
Afiche de arquitectura manierista Paola Perez
Afiche de arquitectura manierista Paola PerezAfiche de arquitectura manierista Paola Perez
Afiche de arquitectura manierista Paola PerezPaola575380
 
Diseño de sifones y alcantarillas para obras hidraulicas
Diseño de sifones y alcantarillas para obras hidraulicasDiseño de sifones y alcantarillas para obras hidraulicas
Diseño de sifones y alcantarillas para obras hidraulicasRiegosVeracruz
 
diseño de plantas agroindustriales unidad
diseño de plantas agroindustriales unidaddiseño de plantas agroindustriales unidad
diseño de plantas agroindustriales unidaddabuitragoi
 
Presentación Proyecto Vintage Scrapbook Marrón (1).pdf
Presentación Proyecto Vintage Scrapbook Marrón (1).pdfPresentación Proyecto Vintage Scrapbook Marrón (1).pdf
Presentación Proyecto Vintage Scrapbook Marrón (1).pdfAdrianaCarolinaMoral2
 
Geometrías de la imaginación: Diseño e iconografía de Querétaro
Geometrías de la imaginación: Diseño e iconografía de QuerétaroGeometrías de la imaginación: Diseño e iconografía de Querétaro
Geometrías de la imaginación: Diseño e iconografía de QuerétaroJuan Carlos Fonseca Mata
 
INICIOS DEL MOVIMIENTO MODERNO 1900-1930.pdf
INICIOS DEL MOVIMIENTO MODERNO 1900-1930.pdfINICIOS DEL MOVIMIENTO MODERNO 1900-1930.pdf
INICIOS DEL MOVIMIENTO MODERNO 1900-1930.pdfBrbara57940
 
Brochure Tuna Haus _ Hecho para mascotas.pdf
Brochure Tuna Haus _ Hecho para mascotas.pdfBrochure Tuna Haus _ Hecho para mascotas.pdf
Brochure Tuna Haus _ Hecho para mascotas.pdfhellotunahaus
 
guia de talles de camitas cucciolos 2024.pdf
guia de talles de camitas cucciolos 2024.pdfguia de talles de camitas cucciolos 2024.pdf
guia de talles de camitas cucciolos 2024.pdfcucciolosfabrica
 
Presentacion de 100 psicologos dijeron.pptx
Presentacion de 100 psicologos dijeron.pptxPresentacion de 100 psicologos dijeron.pptx
Presentacion de 100 psicologos dijeron.pptxbarbaracantuflr
 
Arquitectos del Movimiento Moderno Pt. 2.pdf
Arquitectos del Movimiento Moderno Pt. 2.pdfArquitectos del Movimiento Moderno Pt. 2.pdf
Arquitectos del Movimiento Moderno Pt. 2.pdfLeonardoDantasRivas
 
PDU - PLAN DE DESARROLLO URBANO DE LA CIUDAD DE CHICLAYO
PDU - PLAN DE DESARROLLO URBANO DE LA CIUDAD DE CHICLAYOPDU - PLAN DE DESARROLLO URBANO DE LA CIUDAD DE CHICLAYO
PDU - PLAN DE DESARROLLO URBANO DE LA CIUDAD DE CHICLAYOManuelBustamante49
 
Slaimen Barakat - SLIDESHARE TAREA 2.pdf
Slaimen Barakat - SLIDESHARE TAREA 2.pdfSlaimen Barakat - SLIDESHARE TAREA 2.pdf
Slaimen Barakat - SLIDESHARE TAREA 2.pdfslaimenbarakat
 
plantilla-de-messi-1.pdf es muy especial
plantilla-de-messi-1.pdf es muy especialplantilla-de-messi-1.pdf es muy especial
plantilla-de-messi-1.pdf es muy especialAndreaMlaga1
 
Espacios únicos creados por nuestros clientes
Espacios únicos creados por nuestros clientesEspacios únicos creados por nuestros clientes
Espacios únicos creados por nuestros clientesespejosflorida
 

Dernier (20)

Proceso de percepción visual y de reconocimiento
Proceso de percepción visual y de reconocimientoProceso de percepción visual y de reconocimiento
Proceso de percepción visual y de reconocimiento
 
Torre 222 sobre instalaciones de este mismo edificio
Torre 222 sobre instalaciones de este mismo edificioTorre 222 sobre instalaciones de este mismo edificio
Torre 222 sobre instalaciones de este mismo edificio
 
Topografía cuadro de construcción ing.civil
Topografía cuadro de construcción ing.civilTopografía cuadro de construcción ing.civil
Topografía cuadro de construcción ing.civil
 
Jesus Diaz afiche Manierismo .pdf arquitectura
Jesus Diaz afiche Manierismo .pdf arquitecturaJesus Diaz afiche Manierismo .pdf arquitectura
Jesus Diaz afiche Manierismo .pdf arquitectura
 
Afiche de arquitectura manierista Paola Perez
Afiche de arquitectura manierista Paola PerezAfiche de arquitectura manierista Paola Perez
Afiche de arquitectura manierista Paola Perez
 
Diseño de sifones y alcantarillas para obras hidraulicas
Diseño de sifones y alcantarillas para obras hidraulicasDiseño de sifones y alcantarillas para obras hidraulicas
Diseño de sifones y alcantarillas para obras hidraulicas
 
diseño de plantas agroindustriales unidad
diseño de plantas agroindustriales unidaddiseño de plantas agroindustriales unidad
diseño de plantas agroindustriales unidad
 
Presentación Proyecto Vintage Scrapbook Marrón (1).pdf
Presentación Proyecto Vintage Scrapbook Marrón (1).pdfPresentación Proyecto Vintage Scrapbook Marrón (1).pdf
Presentación Proyecto Vintage Scrapbook Marrón (1).pdf
 
Geometrías de la imaginación: Diseño e iconografía de Querétaro
Geometrías de la imaginación: Diseño e iconografía de QuerétaroGeometrías de la imaginación: Diseño e iconografía de Querétaro
Geometrías de la imaginación: Diseño e iconografía de Querétaro
 
INICIOS DEL MOVIMIENTO MODERNO 1900-1930.pdf
INICIOS DEL MOVIMIENTO MODERNO 1900-1930.pdfINICIOS DEL MOVIMIENTO MODERNO 1900-1930.pdf
INICIOS DEL MOVIMIENTO MODERNO 1900-1930.pdf
 
Brochure Tuna Haus _ Hecho para mascotas.pdf
Brochure Tuna Haus _ Hecho para mascotas.pdfBrochure Tuna Haus _ Hecho para mascotas.pdf
Brochure Tuna Haus _ Hecho para mascotas.pdf
 
guia de talles de camitas cucciolos 2024.pdf
guia de talles de camitas cucciolos 2024.pdfguia de talles de camitas cucciolos 2024.pdf
guia de talles de camitas cucciolos 2024.pdf
 
Presentacion de 100 psicologos dijeron.pptx
Presentacion de 100 psicologos dijeron.pptxPresentacion de 100 psicologos dijeron.pptx
Presentacion de 100 psicologos dijeron.pptx
 
Arquitectos del Movimiento Moderno Pt. 2.pdf
Arquitectos del Movimiento Moderno Pt. 2.pdfArquitectos del Movimiento Moderno Pt. 2.pdf
Arquitectos del Movimiento Moderno Pt. 2.pdf
 
PDU - PLAN DE DESARROLLO URBANO DE LA CIUDAD DE CHICLAYO
PDU - PLAN DE DESARROLLO URBANO DE LA CIUDAD DE CHICLAYOPDU - PLAN DE DESARROLLO URBANO DE LA CIUDAD DE CHICLAYO
PDU - PLAN DE DESARROLLO URBANO DE LA CIUDAD DE CHICLAYO
 
Arte textil: Tejidos artesanos en la frontera hispano-lusa
Arte textil: Tejidos artesanos en la frontera hispano-lusaArte textil: Tejidos artesanos en la frontera hispano-lusa
Arte textil: Tejidos artesanos en la frontera hispano-lusa
 
Slaimen Barakat - SLIDESHARE TAREA 2.pdf
Slaimen Barakat - SLIDESHARE TAREA 2.pdfSlaimen Barakat - SLIDESHARE TAREA 2.pdf
Slaimen Barakat - SLIDESHARE TAREA 2.pdf
 
plantilla-de-messi-1.pdf es muy especial
plantilla-de-messi-1.pdf es muy especialplantilla-de-messi-1.pdf es muy especial
plantilla-de-messi-1.pdf es muy especial
 
1.La locomoción de los seres vivos diseño
1.La locomoción de los seres vivos diseño1.La locomoción de los seres vivos diseño
1.La locomoción de los seres vivos diseño
 
Espacios únicos creados por nuestros clientes
Espacios únicos creados por nuestros clientesEspacios únicos creados por nuestros clientes
Espacios únicos creados por nuestros clientes
 

Semana 06 - Auditoria de Sistemas.pdf

  • 1. Auditoria de Sistema – Jorge Luis Chumpitaz Vélez Auditoría al ciclo de vida de sistemas de información y a la infraestructura tecnológica 06 02
  • 2. Parte 01 – Auditoría al Mantenimiento y Desarrollo de Sistemas Ing. Jorge Luis Chumpitaz Vélez jchumpitaz@continental.edu.pe
  • 3. Auditoría de Desarrollo de Sistemas ¿En qué Consiste? El desarrollo de un software debe estar sometido a un exhaustivo control de cada una de sus fases, ya que en caso contrario, además del habitual disparo de los costes, podría producirse una total insatisfacción del usuario si finalmente no cumple las funcionalidades necesarias así como la ergonomía de los interfaces de la misma. Además, la auditoría deberá comprobar la seguridad del software desarrollado al objeto de garantizar que el resultado de su ejecución sea exactamente el previsto, y que no interfiere con el resto de aplicaciones de la empresa.
  • 5. Importancia de la Auditoría de Desarrollo
  • 7. Aprobación, Planificación y Gestión de Proyecto
  • 8. Auditoría de la Fase de Análisis
  • 9. Auditoría de la Fase de Diseño
  • 10. Auditoría de la Fase de Construcción
  • 11. Auditoría de la Fase de Construcción
  • 12. Auditoría de la Fase de Implantación
  • 13. Auditoría de Desarrollo de Sistemas Revisión Interna de las Aplicaciones: Se deberá controlar las mismas fases que presuntamente ha debido seguir el área correspondiente de Desarrollo: • Estudio de Aptitud de la Aplicación. (Muy determinante para Aplicaciones complejas, largas y caras). • Definición lógica de la Aplicación. (Se examinará que se han completado los propósitos lógicos de actuación, en función de la metodología elegida y la finalidad del proyecto). • Desarrollo Técnico de la Aplicación. (Se verificará que éste es ordenado y correcto. Las herramientas técnicas utilizadas en los diversos programas deberán ser compatibles entre sí, y a ser posible con las ya existentes en el sistema de la empresa). • Diseño de Algoritmos. (Deberán poseer la máxima sencillez, modularidad y economía de recursos). • Metodología de Ensayos. (Se realizaran de acuerdo a las Normas de la Instalación. Se realizarán juegos de ensayo de datos, sin que se permita en ningún caso el uso de datos reales). • Documentación de la Aplicación. (Cumplirá la Normativa establecida en la Instalación, tanto la de Desarrollo como la de su puesta a Explotación).
  • 14. Parte 02 – Continuidad del Negocio Ing. Jorge Luis Chumpitaz Vélez jchumpitaz@continental.edu.pe
  • 16. Gestión de la Continuidad del Negocio Propósito: Reducir los riesgos en los servicios de TI a niveles acordados y aceptables, así como planear y preparar la recuperación de los servicios de TI. Objetivos: • Mantener la continuidad de TI y los planes de recuperación que soportan los Planes de Continuidad del Negocio(BCPs). • Realizar regularmente ejercicios de Análisis de Impacto al Negocio( así como de Análisis y Gestión de Riesgos). • Implementar los mecanismos de recuperación apropiados. • Evaluar el impacto de todos los cambios en Planes de Continuidad de Servicios de TI y Planes de Recuperación de TI. • En conjunto con Gestión Proveedores, negociar y acordar contratos con los proveedores que proporcionen la recuperación.
  • 17. ISO 22301 Sistema de Gestión de la Continuidad de Negocio ISO 22301 es la norma internacional de gestión de continuidad de negocio que, mediante el ciclo de mejora continua (PDCA), establece los requisitos para planificar, establecer, implantar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión documentado para prepararse, responder y recuperarse de eventos que generan interrupciones, teniendo en cuenta la gestión de los riesgos globales y su capacidad de resiliencia. Otras Normas Internacionales Única norma existente de desarrollo continuo, que señala áreas funcionales clave y una estrategia global para alertar ante desastres y la continuidad laboral en las organizaciones tanto del sector público como del privado. Guía general para que proporciona una base para comprender, desarrollar e implementar la continuidad de las operaciones y los servicios dentro de una organización. Asimismo, permite medir su resiliencia de manera consistente y reconocida. https://www.youtube.com/watch?v=cOB24QtqaK4
  • 18. Parte 03 – Planificación y BIA Ing. Jorge Luis Chumpitaz Vélez jchumpitaz@continental.edu.pe
  • 19. BIA (Business Impact Analysis) • El Análisis de Impacto sobre el Negocio o BIA (Business Impact Analysis) permite identificar los impactos derivados de posibles incidentes disruptivos, asimismo las actividades criticas de la organización, facilidades y recurso humano mínimo necesario para garantizar las operaciones del negocio. • El Análisis de Impacto al Negocio (BIA) responde las siguientes preguntas: • ¿Cuánto podría perder la organización por una interrupción del servicio o por un desastre? • ¿Con qué rapidez se acumulan las pérdidas? • ¿Con cuánto tiempo se cuenta antes de que la empresa no pueda operar? • ¿Cuándo y cómo los servicios se deben recuperar (con base a un análisis de costo/beneficio)?
  • 20. Fases de un BIA (Business Impact Analysis) ▪ Método (Cuantitativo o Cualitativo). ▪ Documentación necesaria de la organización. ▪ Recursos humanos (Dueños de procesos). ▪ Impactos a ser analizados. ▪ Identificación de los procesos del negocio. PLANIFICACIÓN . RECOLECCION DE DATOS . ▪ Entrevistas Grupales (Dueño del proceso, Experto del proceso ) ▪ Información a recolectar (Evaluación de impactos, Identificación de Interdependencias y de RTO,RPO, Subprocesos por cada proceso del negocio). ANALISIS . De la información recolectada, se debe realizar las siguientes actividades: ▪ Verificar que los cuestionarios estén completos ▪ Identificar puntos a consultar
  • 21. Fases de un BIA (Business Impact Analysis) ▪ Validar la información recolectada y analizada. ▪ Validar con dueños del proceso a los recursos utilizados por cada proceso. ▪ Valores proporcionados sobre RTO y RPO VALIDACIÓN . PRESENTACIÓN . No existe un formato común para presentar un informe. Considerar como mínimo: ▪ Evaluación de Impacto ▪ RTO y RPO ▪ Interdependencia de recursos tecnológicos ▪ Actividades principales ▪ Evaluación Financiera, de Proveedores Externos (Opcional)
  • 22. Análisis de Riesgos en BIA (Business Impact Analysis) A partir de la información obtenida en las reuniones iniciales, se identifica: • ¿Qué amenazas pueden materializarse afectando a los procesos del alcance? ¿Con qué probabilidad? • ¿Qué impacto tendrían en éstos y qué activos de aquellos que intervienen en los procesos de negocio críticos se verían afectados? 1. Determinar amenazadas 2. Determinar Probabilidad e Impacto 3. Calcular el producto (**) (**) De la probabilidad por impacto de cada amenaza. Por último, una vez establecidos los principales riesgos, se de deben tratar de manera adecuada mediante una de las siguientes estrategias:
  • 23. Parte 04 – Recuperación de desastres Ing. Jorge Luis Chumpitaz Vélez jchumpitaz@continental.edu.pe
  • 24. Desastres ¿Qué son los Desastres? Son interrupciones que ocasionan que una compañía quede inoperativa por un periodo de tiempo que impacte adversamente sus operaciones, las cuales obligan a tomar decisiones para recuperar el estado operativo. ¿Cuál puede ser el origen? • Natural: Terremotos, tsunamis, inundaciones, huaicos, huracanes, etc. (Ej. derrumbe de las torres gemelas, epidemia SARS, el apagón a gran escala en el Noreste de USA y Canadá, etc. • Técnico: Muy común en las organizaciones, por ejemplo: apagones, malware, fallas en la infraestructura, etc. • Humano: Por ejemplo, un incendio provocado por un atentado, una huelga, entre otros.
  • 25. Planeación a la Continuidad del Negocio y recuperación de Desastres El Plan de continuidad del negocio o BCP (Business Continuity Plan), es un método logístico para ser ejecutado y practicado en la forma del “Cómo” una organización debe recuperar y restaurar las funciones críticas que han sido interrumpidas de manera súbita o no deseada dentro de un tiempo específico. Plan de Continuidad de Operaciones Ejecutado por las áreas usuarios, en donde para ejecutar sus procesos podrían usar sistemas stand-alone, hojas cálculo o incluso procedimientos manuales a papel y lápiz para continuar con las operaciones críticas. Plan de Recuperación de Desastres Ejecutado por el área de TI y tiene como objetivo recuperar los recursos informáticos que soportan los procesos críticos de una compañía. El BCP puede ser escrito para un proceso de negocio específico o para todos aquellos de misión crítica, y se compone de un conjunto de planes, por lo que ambos ambos planes se debe trabajar en paralelo.
  • 26. Recuperación de desastres • Planes de recuperación ante desastres (DRP): un conjunto de planes claramente definidos relacionados con la forma en que una organización se recuperará de un desastre y regresará a una condición previa al desastre considerando los cuatro dominios de la administración de servicios. • Objetivo de tiempo de recuperación (RTO-Recovery time objective) el período de tiempo máximo aceptable después de una interrupción del servicio que puede transcurrir antes de que la falta de funcionalidad empresarial afecte gravemente a la organización el tiempo máximo acordado dentro del cual se debe reanudar un producto o una actividad, o los recursos recuperado. • Objetivo de punto de recuperación (RPO - Recovery point objective) el punto en el que la información utilizada por una actividad debe restaurarse para permitir que la actividad funcione en la reanudación.
  • 27. Plan de Recuperación de desastres (DRP) El Plan de Recuperación de Desastres (DRP) se refiere a un procedimiento estratégico muy específico del área de tecnologías de la información que se pone en marcha cuando hay un daño en los sistemas de cómputo. Implica un análisis de los procesos de negocio y las necesidades de continuidad de la organización, debe implementarse en base al tipo de negocio o servicio que se brinda, por lo que es importante que en cada empresa se conozcan los procesos de TI, vulnerabilidades y el nivel de seguridad que tienen para la protección de los datos.
  • 28. Gracias! Ing. Jorge Luis Chumpitaz Vélez Docente Universidad Continental E-Mail: jchumpitaz@continental.edu.pe Facebook: facebook.com/jorgeluischumpitaz Linkedin: pe.linkedin.com/in/jorgeluischumpitaz Skype: jorgeluischumpitaz