SlideShare una empresa de Scribd logo

Adquisición e Implementación de Sistemas Informáticos - Pistas de Auditoría

Descargar como PPT, PDF
E
EDUARKON

Este documento presenta información sobre la adquisición e implementación de sistemas informáticos. Explica los procesos involucrados como la identificación de soluciones automatizadas, la adquisición y mantenimiento de software y hardware, el desarrollo y mantenimiento de procesos, la instalación y aceptación de sistemas, y la administración de cambios. También describe objetivos, técnicas y consideraciones clave para cada uno de estos procesos de adquisición e implementación de sistemas informáticos.

1 de 18
UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA AUDITORIA SISTEMAS INFORMATICOS I TEMA: ADQUISICIÓN E IMPLEMENTACIÓN ALUMNO: EDUARDO CONDE CURSO: 9-6 PROFESOR: DR. CARLOS ESCOBAR SEMESTRE 2012
AI. ADQUISICION E IMPLEMENTACION - DOMINIO  Deben ser identificadas, desarrolladas o adquiridas, asi como implementadas e integradas dentro del proceso del negocio, además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
PROCESOS  AI1. Identificación de Soluciones Automatizadas  AI2. Adquisición y Mantenimiento del Software Aplicado  AI3. Adquisición y Mantenimiento de la Infraestructura Te  AI4. Desarrollo y Mantenimiento de Procesos  AI5. Instalación y Aceptación de los Sistemas  AI6. Administración de los Cambios
AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS – PROCESO  OBJETIVO.- Asegurar el mejor enfoque para cumplir con los requerimientos del usuario mediante un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar: Aplicaciones (software) Requerimientos Que hacer? Areas usuarias Areas usuarias Dirección de Sistemas objetivos Estratégicos Visión Sistema Gerencial Misión Planes, proyectos ORGANIZACIÓN y programas
OBJETIVOS  AI01.1. Definición de información para aprobar un proyecto de desarrollo.  AI01.2. Estudio de Factibilidad con la finalidad de satisfacer los requerimientos del negocio.  AI01.3. Arquitectura de Información para tener en consideración el modelo de datos  AI01.4. Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los beneficios.  AI01.5. Pistas de auditoria proporcionar la capacidad de proteger datos sensitivos.  AI01.6. Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado.  AI01.7. Aceptación de instalaciones y Tecnología a través del contrato.
PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN Son una serie de registros sobre las actividades del sistema operativo, de procesos o aplicaciones y/o de usuarios del sistema. Las pistas de auditoria son procedimientos que ayudan a cumplir algunos objetivos de protección y seguridad de la información, así como evidenciar con suficiencia y competencia los hallazgos de auditoria son los conocidos como Log o registro.  Pistas de auditoria-Evidencia  Objetivos de protección y seguridad  Identificador del Usuario  Responsabilidad Individual.  Cuándo ha ocurrido el evento Seguimiento secuencial de las  Identificador de host anfitrión que acciones del usuario. genera el registro.  Reconstrucción de Eventos.  Tipo de Evento Investigaciones de cómo, cuándo y  En el Sistema; quién ha realizado.  En las Aplicaciones  Detección de Instrucciones.  Identificación de Problemas.
PISTAS DE AUDITORIA – EVOLUCIÓN DEL RIESGO – ERRO . PREVENCION ERRORES POTENCIALES RIESGO Errores en la integridad de la información •Datos en blanco DETECCIÓN •Datos ilegibles INCIDENTE-ERROR •Problemas de Trascripción •Error de cálculo en medidas indirectas REPRESIÓN •Registro de valores imposible DAÑOS •Negligencia •Falta de aleatoriedad CORRECIÓN •Violentar la secuencia establecida para RECUPERACIÓN recolección EVALUACIÓN
PISTAS DE AUDITORIA - EVOLUCIÓN Y ADMINISTR S I 5. EVALUACIÓN S 3. DIAGNOSTICO T MATERIALIDAD E M A S GO E S RI C D EL 2. DETECCION - SINTOMAS N IO O 4. CORRECCIÓN C LU N O EV T/ PREDICCIÓN 1. PREVENCIÓN C ADMINISTRACIÓN DEL RIESGO I Actuar sobre las causas N T Técnicas y Políticas de ACCIONES PARA EVITARLOS control involucrados E R Empoderar a las actores N Crear valores y actitudes O RIESGO
PISTAS DE AUDITORIA – POLITICAS DE SEGURIDAD PARA SISTEMAS  Debe distinguirse 3 tipos distintos: 1. si se conectan todos los computadores dentro de un mismo edificio se denomina LAN (Local Area Network). 2.Si están instalados en edificios diferentes, Wan (Wide Area Network) estableciendo lacomunicación en un esquema cliente-servidor. 3. Plataforma de Internet en las actividades empresariales. El Institute for Defense Analyses en 1995, defina varios tipos de eventos que necesitaban ser auditados y los agrupaba en seis categorias:  Administración y control de accesos  Criptográfica  Integridad y Confidencialidad de datos  Disponibilidad  No discrecional  Dependientes y por defecto
PISTAS DE AUDITORIA . TECNICAS DE SEGURIDAD PARA S  TÉCNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD  AUTENTICACIÓN: Identificar a los usuarios que inicien sesiones en sistemas o la aplicación.  AUTORIZACIÓN: Una vez autenticado el usuario hay que comprobar si tiene los privilegios necesarios para realizar la acción.  INTEGRIDAD: Garantizar que los mensajes sean auténticos y no se alteren.  CONFIDENCIALIDAD: Ocultar los datos frente a accesos no autorizados.  AUDITORIA: Seguimiento de entidades que han accedido al sistema identificando el medio.
AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE  OBJETIVO. Proporcionar funciones automatizadas que soporten efectivamente al negocio con declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada fundamentada en: HOY MEJORA LA . Impacto estratégico, Oportunidad de ventaja Mejora continua CALIDAD competitiva. . Planificación, fijación de objetivos, GESTION DE CALIDAD coordinación, formación, adaptación de toda la organización. CALIDAD TOTAL . Involucre a toda la empresa: directivos, trabajadores, clientes. . Una filosofía, cultura, estrategia, estilo de gestión. . ISO 9001:2000 GARANTIA DE CALIDAD PREVENIR DEFECTOS CONTROL DE CALIDAD DETECTA DEFECTOS TIEMPO
OBJETIVOS DE CONTROL Objetivos y planes a corto y largo plazo de tecnología de información.  Documentación (materiales de consulta y soporte para usuarios)  Requerimientos de archivo; de entrada, procesos y salida de la información.  Controles de aplicación y requerimientos funcionales;  Interface usuario- máquina; asegurar que el software sea fácil de utlizar y capaz de auto documentarse.  Pruebas funcionales (unitarias, de aplicación, de integración y de carga); de acuerdo con el plan de prueba del proyectos y los estándares establecidos.
AI3 ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTUR  OBJETIVO. Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios originadas de una evaluación del desempeño del hardware y software apropiada; provisión de mantenimiento preventivo de hardware e instalación, seguridad y control del software del sistema y toma en consideración:  AI3.1 EVALUACION DE TECNOLOGIA; Para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema.  AI3.2 MANTENIMIENTO PREVENTIVO; Del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento.  AI3.3 SEGURIDAD DEL SOFTWARE DE SISTEMA; Instalación y mantenimiento para no arriesgar la seguridad de los datos y programas
AI4 DESARROLLO Y MANTENIMIENTO DE PROCESOS  OBJETIVO.- Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. Para ello se diseñara manuales de procedimientos, de operaciones para usuarios y materiales de entrenamiento con el propósito de:  AI4.1 Manuales de procedimientos de usuarios y controles;  AI4.2 Materiales de entrenamiento; Enfocados al uso del sistema en la práctica diaria del usuario.  AI4.3 Manuales de Operaciones y Controles; para que el usuario comprenda el alcance de su actividad y valide su trabajo.  AI4.4 Levantamiento de procesos; Los procesos deben ser organizados y secuenciados.
AI5 INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS –  OBJETIVO.- Verificar y confirmar  AI5.1 CAPACITACIÓN DEL que la solución tecnológica PERSONAL; PROPUESTA sea adecuada al  AI5.2 CONVERSIÓN/CARGA propósito deseado, para lo cual DATOS; debe aplicarse un procedimiento de instalación y aceptación que  AI5.3 PRUEBAS ESPECÍFICAS; incluya; conversión y migración (cambios, desempeño, aceptación de datos, plan de aceptaciones final, operacional) formalizado con pruebas,  AI5.4 VALIDACIÓN Y validaciones y revisiones ACREDITACIÓN; posteriores a la implementación  AI5.5 REVISIONES POST de los sistemas, de manera IMPLEMENTACIÓN; puntual en:
AI6 ADMINISTRACIÓN DE CAMBIOS – PROCESO  OBJETIVO.- Minimizar la  TECNICAS DE CONTROL probabilidad de interrupciones, alteraciones y errores a través  Comprar programas sólo a de una eficiencia proveedores fiables. administración del sistema, las  Usar productos evaluados aplicaciones y la base de datos  Inspeccionar el código fuente con análisis, implementación y seguimiento de todos los antes de usarlo cambios requeridos y llevados  Controlar el acceso y las para lo cual debe; modificaciones una vez instalado  AI6.1 IDENTIFICACIÓN DE CAMBIOS.- Los cambios en las aplicaciones diseñadas internamente; así como, las adquiridas a proveedores.
 AI6.2 Procedimientos; de categorización, priorización y emergencia de solicitudes de cambios.  AI6.3 Evaluación del impacto que provocaran los cambios; tecnológicos en la perspectiva del cliente, financiera, de procesos, del talento humano y la estructura  AI6.4 Autorización de cambios; registro y documentación de los cambios autorizados.  AI6.5 Manejo de Liberación. La liberación de software debe estar regida por procedimientos formales asegurando aprobación.  AI6.6 Distribución de software. Estableciendo medidas de control especificas para asegurar la distribución de software sea el lugar y usuario correcto.
SALIR

Recomendados

Adquisicion e implementación
Adquisicion e implementaciónAdquisicion e implementación
Adquisicion e implementaciónEDUARKON
 
Módulo Adquisición e Implementación
Módulo Adquisición e ImplementaciónMódulo Adquisición e Implementación
Módulo Adquisición e ImplementaciónCarlos Marcelo Escobar
 
Adquisicion e implementacion dominio
Adquisicion e implementacion dominioAdquisicion e implementacion dominio
Adquisicion e implementacion dominiomafer021087
 
Adquisición e implementación dominio-adrian fonseca
Adquisición e implementación dominio-adrian fonsecaAdquisición e implementación dominio-adrian fonseca
Adquisición e implementación dominio-adrian fonsecaAdrian_Fonseca
 
Adquisición e implementación dominio-sylvia esther galindo recalde-ca9-6
Adquisición e implementación dominio-sylvia esther galindo recalde-ca9-6Adquisición e implementación dominio-sylvia esther galindo recalde-ca9-6
Adquisición e implementación dominio-sylvia esther galindo recalde-ca9-6sylviaesthergalindo
 
Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01garridooyola201224
 
Cobit
CobitCobit
Cobitanibal5668
 
Pres.control int1(1)
Pres.control int1(1)Pres.control int1(1)
Pres.control int1(1)luis_edwin
 

Recomendados

Adquisicion e implementación
Adquisicion e implementaciónAdquisicion e implementación
Adquisicion e implementaciónEDUARKON
 
Módulo Adquisición e Implementación
Módulo Adquisición e ImplementaciónMódulo Adquisición e Implementación
Módulo Adquisición e ImplementaciónCarlos Marcelo Escobar
 
Adquisicion e implementacion dominio
Adquisicion e implementacion dominioAdquisicion e implementacion dominio
Adquisicion e implementacion dominiomafer021087
 
Adquisición e implementación dominio-adrian fonseca
Adquisición e implementación dominio-adrian fonsecaAdquisición e implementación dominio-adrian fonseca
Adquisición e implementación dominio-adrian fonsecaAdrian_Fonseca
 
Adquisición e implementación dominio-sylvia esther galindo recalde-ca9-6
Adquisición e implementación dominio-sylvia esther galindo recalde-ca9-6Adquisición e implementación dominio-sylvia esther galindo recalde-ca9-6
Adquisición e implementación dominio-sylvia esther galindo recalde-ca9-6sylviaesthergalindo
 
Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01garridooyola201224
 
Cobit
CobitCobit
Cobitanibal5668
 
Pres.control int1(1)
Pres.control int1(1)Pres.control int1(1)
Pres.control int1(1)luis_edwin
 
Identificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposiciónIdentificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposicióncristiandelvi2
 
Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Carmen Hevia Medina
 
Thalia pojota
Thalia pojotaThalia pojota
Thalia pojotaMercyPojota
 
DesempeñO..
DesempeñO..DesempeñO..
DesempeñO..guestd2897f
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionseguinfo2012
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia primaPaolita Gomez
 
Gestión de Riesgos Corporativos (ERM)
Gestión de Riesgos Corporativos (ERM)Gestión de Riesgos Corporativos (ERM)
Gestión de Riesgos Corporativos (ERM)Rafael Antona
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaOsv511
 
Adquisiciones e implementacion
Adquisiciones e implementacionAdquisiciones e implementacion
Adquisiciones e implementacionChikita Patty
 
Dr.villasante
Dr.villasanteDr.villasante
Dr.villasantecefic
 
Actividad 3 6 métodos de evaluación de riesgos
Actividad 3 6 métodos de evaluación de riesgosActividad 3 6 métodos de evaluación de riesgos
Actividad 3 6 métodos de evaluación de riesgosPaula Andrea Escobar
 
Planificacion y organizacion
Planificacion y organizacionPlanificacion y organizacion
Planificacion y organizacionSilvia Patricia Calderón Viveros
 
Gtc45 versión 2010
Gtc45 versión 2010Gtc45 versión 2010
Gtc45 versión 2010domino94300
 
TRABAJO DE AUDITORIA INFORMATICA
TRABAJO DE AUDITORIA INFORMATICATRABAJO DE AUDITORIA INFORMATICA
TRABAJO DE AUDITORIA INFORMATICAJeny Patricia E
 
El cobit yadira
El cobit yadiraEl cobit yadira
El cobit yadiraYADICP
 
Cobit: Dominio 2: Adquisición e Implementación
Cobit: Dominio 2: Adquisición e ImplementaciónCobit: Dominio 2: Adquisición e Implementación
Cobit: Dominio 2: Adquisición e ImplementaciónRaúl López
 
Evelin tabango adquisicion_e_implementacion
Evelin tabango adquisicion_e_implementacionEvelin tabango adquisicion_e_implementacion
Evelin tabango adquisicion_e_implementacionEvelin Tabango
 
03 administracion de requisitos
03 administracion de requisitos03 administracion de requisitos
03 administracion de requisitosRicardo Quintero
 
Adquisicion e implementacion cobit
Adquisicion e implementacion cobitAdquisicion e implementacion cobit
Adquisicion e implementacion cobitjulioandres55
 
COBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxCOBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxRamón Alexander Paula Reynoso
 

Más contenido relacionado

La actualidad más candente

Identificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposiciónIdentificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposicióncristiandelvi2
 
Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Carmen Hevia Medina
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionseguinfo2012
 
Gestión de Riesgos Corporativos (ERM)
Gestión de Riesgos Corporativos (ERM)Gestión de Riesgos Corporativos (ERM)
Gestión de Riesgos Corporativos (ERM)Rafael Antona
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaOsv511
 
Adquisiciones e implementacion
Adquisiciones e implementacionAdquisiciones e implementacion
Adquisiciones e implementacionChikita Patty
 
Dr.villasante
Dr.villasanteDr.villasante
Dr.villasantecefic
 
Actividad 3 6 métodos de evaluación de riesgos
Actividad 3 6 métodos de evaluación de riesgosActividad 3 6 métodos de evaluación de riesgos
Actividad 3 6 métodos de evaluación de riesgosPaula Andrea Escobar
 
Gtc45 versión 2010
Gtc45 versión 2010Gtc45 versión 2010
Gtc45 versión 2010domino94300
 
TRABAJO DE AUDITORIA INFORMATICA
TRABAJO DE AUDITORIA INFORMATICATRABAJO DE AUDITORIA INFORMATICA
TRABAJO DE AUDITORIA INFORMATICAJeny Patricia E
 
El cobit yadira
El cobit yadiraEl cobit yadira
El cobit yadiraYADICP
 
Cobit: Dominio 2: Adquisición e Implementación
Cobit: Dominio 2: Adquisición e ImplementaciónCobit: Dominio 2: Adquisición e Implementación
Cobit: Dominio 2: Adquisición e ImplementaciónRaúl López
 

La actualidad más candente (18)

Identificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposiciónIdentificacion de peligros y evaluación exposición
Identificacion de peligros y evaluación exposición
 
Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)
 
Thalia pojota
Thalia pojotaThalia pojota
Thalia pojota
 
DesempeñO..
DesempeñO..DesempeñO..
DesempeñO..
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoría
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia prima
 
Gestión de Riesgos Corporativos (ERM)
Gestión de Riesgos Corporativos (ERM)Gestión de Riesgos Corporativos (ERM)
Gestión de Riesgos Corporativos (ERM)
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Adquisiciones e implementacion
Adquisiciones e implementacionAdquisiciones e implementacion
Adquisiciones e implementacion
 
Dr.villasante
Dr.villasanteDr.villasante
Dr.villasante
 
Actividad 3 6 métodos de evaluación de riesgos
Actividad 3 6 métodos de evaluación de riesgosActividad 3 6 métodos de evaluación de riesgos
Actividad 3 6 métodos de evaluación de riesgos
 
Planificacion y organizacion
Planificacion y organizacionPlanificacion y organizacion
Planificacion y organizacion
 
Gtc45 versión 2010
Gtc45 versión 2010Gtc45 versión 2010
Gtc45 versión 2010
 
TRABAJO DE AUDITORIA INFORMATICA
TRABAJO DE AUDITORIA INFORMATICATRABAJO DE AUDITORIA INFORMATICA
TRABAJO DE AUDITORIA INFORMATICA
 
El cobit yadira
El cobit yadiraEl cobit yadira
El cobit yadira
 
Cobit: Dominio 2: Adquisición e Implementación
Cobit: Dominio 2: Adquisición e ImplementaciónCobit: Dominio 2: Adquisición e Implementación
Cobit: Dominio 2: Adquisición e Implementación
 

Destacado

Evelin tabango adquisicion_e_implementacion
Evelin tabango adquisicion_e_implementacionEvelin tabango adquisicion_e_implementacion
Evelin tabango adquisicion_e_implementacionEvelin Tabango
 
03 administracion de requisitos
03 administracion de requisitos03 administracion de requisitos
03 administracion de requisitosRicardo Quintero
 
Adquisicion e implementacion cobit
Adquisicion e implementacion cobitAdquisicion e implementacion cobit
Adquisicion e implementacion cobitjulioandres55
 
Protección de equipos, documentos y contraseñas
Protección de equipos, documentos y contraseñasProtección de equipos, documentos y contraseñas
Protección de equipos, documentos y contraseñasJorge Luis Sierra
 
Cobit 4, trabajo final
Cobit 4, trabajo finalCobit 4, trabajo final
Cobit 4, trabajo finalOsita Sweet
 
ADMINISTRACION DE LOS RECURSOS DE UNA RED
ADMINISTRACION DE LOS RECURSOS DE UNA REDADMINISTRACION DE LOS RECURSOS DE UNA RED
ADMINISTRACION DE LOS RECURSOS DE UNA REDTonatiuh Alvarez
 
Archivos digitales
Archivos digitalesArchivos digitales
Archivos digitalesjosecito2011
 
Recursos de redes
Recursos de redesRecursos de redes
Recursos de redespollotico
 
Gestion de Control de Documentos
Gestion de Control de Documentos Gestion de Control de Documentos
Gestion de Control de Documentos Meinzul ND
 

Destacado (11)

Evelin tabango adquisicion_e_implementacion
Evelin tabango adquisicion_e_implementacionEvelin tabango adquisicion_e_implementacion
Evelin tabango adquisicion_e_implementacion
 
03 administracion de requisitos
03 administracion de requisitos03 administracion de requisitos
03 administracion de requisitos
 
Adquisicion e implementacion cobit
Adquisicion e implementacion cobitAdquisicion e implementacion cobit
Adquisicion e implementacion cobit
 
COBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptxCOBIT - CURNE - UASD.pptx
COBIT - CURNE - UASD.pptx
 
Protección de equipos, documentos y contraseñas
Protección de equipos, documentos y contraseñasProtección de equipos, documentos y contraseñas
Protección de equipos, documentos y contraseñas
 
Cobit 4, trabajo final
Cobit 4, trabajo finalCobit 4, trabajo final
Cobit 4, trabajo final
 
ADMINISTRACION DE LOS RECURSOS DE UNA RED
ADMINISTRACION DE LOS RECURSOS DE UNA REDADMINISTRACION DE LOS RECURSOS DE UNA RED
ADMINISTRACION DE LOS RECURSOS DE UNA RED
 
Archivos digitales
Archivos digitalesArchivos digitales
Archivos digitales
 
Recursos de redes
Recursos de redesRecursos de redes
Recursos de redes
 
Gestion de Control de Documentos
Gestion de Control de Documentos Gestion de Control de Documentos
Gestion de Control de Documentos
 
ISO TS 16949
ISO TS 16949ISO TS 16949
ISO TS 16949
 

Similar a Adquisición e Implementación de Sistemas Informáticos - Pistas de Auditoría

Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionCalipaul
 
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Manuel Mujica
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionCecibel12
 
Módulo adquisición e implementación
Módulo adquisición e implementaciónMódulo adquisición e implementación
Módulo adquisición e implementaciónMercyPojota
 
Pineida Tarco Alexandra Gabriela
Pineida Tarco Alexandra GabrielaPineida Tarco Alexandra Gabriela
Pineida Tarco Alexandra GabrielaAlexandra Pjc
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJesvale
 
Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6sandrasc1989
 
Vanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionVanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionvanessagiovannasierra
 
Adquisición e Implementación Christian Peralta
Adquisición e Implementación Christian PeraltaAdquisición e Implementación Christian Peralta
Adquisición e Implementación Christian Peraltachristyperalta
 
Exposicionauditoriasistemas 110422174241-phpapp02
Exposicionauditoriasistemas 110422174241-phpapp02Exposicionauditoriasistemas 110422174241-phpapp02
Exposicionauditoriasistemas 110422174241-phpapp02alexiss17811981
 
Estefania Garcia
Estefania GarciaEstefania Garcia
Estefania Garciaestefiame
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionEmy Cajilema
 
Adquisición e implementacion valeria pereira
Adquisición e implementacion valeria pereiraAdquisición e implementacion valeria pereira
Adquisición e implementacion valeria pereiragloriavaleria
 
ADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAelianitapabon
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjslMariaSalazarLopez
 
Adquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camachoAdquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camachocielitomamor23
 

Similar a Adquisición e Implementación de Sistemas Informáticos - Pistas de Auditoría (20)

Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
 
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
 
Módulo adquisición e implementación
Módulo adquisición e implementaciónMódulo adquisición e implementación
Módulo adquisición e implementación
 
Pineida Tarco Alexandra Gabriela
Pineida Tarco Alexandra GabrielaPineida Tarco Alexandra Gabriela
Pineida Tarco Alexandra Gabriela
 
Fundamentos De Auditoria
Fundamentos De AuditoriaFundamentos De Auditoria
Fundamentos De Auditoria
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementación
 
Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6Sandra collaguazo ca 9 6
Sandra collaguazo ca 9 6
 
Vanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacionVanessa sierra adquisicion e implementacion
Vanessa sierra adquisicion e implementacion
 
Adquisición e Implementación Christian Peralta
Adquisición e Implementación Christian PeraltaAdquisición e Implementación Christian Peralta
Adquisición e Implementación Christian Peralta
 
Exposicionauditoriasistemas 110422174241-phpapp02
Exposicionauditoriasistemas 110422174241-phpapp02Exposicionauditoriasistemas 110422174241-phpapp02
Exposicionauditoriasistemas 110422174241-phpapp02
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementación
 
Estefania Garcia
Estefania GarciaEstefania Garcia
Estefania Garcia
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacion
 
Adquisición e implementacion valeria pereira
Adquisición e implementacion valeria pereiraAdquisición e implementacion valeria pereira
Adquisición e implementacion valeria pereira
 
ADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICAADQ E IMP-DOMINIO INFORMATICA
ADQ E IMP-DOMINIO INFORMATICA
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjsl
 
Adquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camachoAdquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camacho
 
Cobit
CobitCobit
Cobit
 
Cobit
CobitCobit
Cobit
 

Adquisición e Implementación de Sistemas Informáticos - Pistas de Auditoría

  • 1. UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA AUDITORIA SISTEMAS INFORMATICOS I TEMA: ADQUISICIÓN E IMPLEMENTACIÓN ALUMNO: EDUARDO CONDE CURSO: 9-6 PROFESOR: DR. CARLOS ESCOBAR SEMESTRE 2012
  • 2. AI. ADQUISICION E IMPLEMENTACION - DOMINIO  Deben ser identificadas, desarrolladas o adquiridas, asi como implementadas e integradas dentro del proceso del negocio, además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
  • 3. PROCESOS  AI1. Identificación de Soluciones Automatizadas  AI2. Adquisición y Mantenimiento del Software Aplicado  AI3. Adquisición y Mantenimiento de la Infraestructura Te  AI4. Desarrollo y Mantenimiento de Procesos  AI5. Instalación y Aceptación de los Sistemas  AI6. Administración de los Cambios
  • 4. AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS – PROCESO  OBJETIVO.- Asegurar el mejor enfoque para cumplir con los requerimientos del usuario mediante un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar: Aplicaciones (software) Requerimientos Que hacer? Areas usuarias Areas usuarias Dirección de Sistemas objetivos Estratégicos Visión Sistema Gerencial Misión Planes, proyectos ORGANIZACIÓN y programas
  • 5. OBJETIVOS  AI01.1. Definición de información para aprobar un proyecto de desarrollo.  AI01.2. Estudio de Factibilidad con la finalidad de satisfacer los requerimientos del negocio.  AI01.3. Arquitectura de Información para tener en consideración el modelo de datos  AI01.4. Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los beneficios.  AI01.5. Pistas de auditoria proporcionar la capacidad de proteger datos sensitivos.  AI01.6. Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado.  AI01.7. Aceptación de instalaciones y Tecnología a través del contrato.
  • 6. PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN Son una serie de registros sobre las actividades del sistema operativo, de procesos o aplicaciones y/o de usuarios del sistema. Las pistas de auditoria son procedimientos que ayudan a cumplir algunos objetivos de protección y seguridad de la información, así como evidenciar con suficiencia y competencia los hallazgos de auditoria son los conocidos como Log o registro.  Pistas de auditoria-Evidencia  Objetivos de protección y seguridad  Identificador del Usuario  Responsabilidad Individual.  Cuándo ha ocurrido el evento Seguimiento secuencial de las  Identificador de host anfitrión que acciones del usuario. genera el registro.  Reconstrucción de Eventos.  Tipo de Evento Investigaciones de cómo, cuándo y  En el Sistema; quién ha realizado.  En las Aplicaciones  Detección de Instrucciones.  Identificación de Problemas.
  • 7. PISTAS DE AUDITORIA – EVOLUCIÓN DEL RIESGO – ERRO . PREVENCION ERRORES POTENCIALES RIESGO Errores en la integridad de la información •Datos en blanco DETECCIÓN •Datos ilegibles INCIDENTE-ERROR •Problemas de Trascripción •Error de cálculo en medidas indirectas REPRESIÓN •Registro de valores imposible DAÑOS •Negligencia •Falta de aleatoriedad CORRECIÓN •Violentar la secuencia establecida para RECUPERACIÓN recolección EVALUACIÓN
  • 8. PISTAS DE AUDITORIA - EVOLUCIÓN Y ADMINISTR S I 5. EVALUACIÓN S 3. DIAGNOSTICO T MATERIALIDAD E M A S GO E S RI C D EL 2. DETECCION - SINTOMAS N IO O 4. CORRECCIÓN C LU N O EV T/ PREDICCIÓN 1. PREVENCIÓN C ADMINISTRACIÓN DEL RIESGO I Actuar sobre las causas N T Técnicas y Políticas de ACCIONES PARA EVITARLOS control involucrados E R Empoderar a las actores N Crear valores y actitudes O RIESGO
  • 9. PISTAS DE AUDITORIA – POLITICAS DE SEGURIDAD PARA SISTEMAS  Debe distinguirse 3 tipos distintos: 1. si se conectan todos los computadores dentro de un mismo edificio se denomina LAN (Local Area Network). 2.Si están instalados en edificios diferentes, Wan (Wide Area Network) estableciendo lacomunicación en un esquema cliente-servidor. 3. Plataforma de Internet en las actividades empresariales. El Institute for Defense Analyses en 1995, defina varios tipos de eventos que necesitaban ser auditados y los agrupaba en seis categorias:  Administración y control de accesos  Criptográfica  Integridad y Confidencialidad de datos  Disponibilidad  No discrecional  Dependientes y por defecto
  • 10. PISTAS DE AUDITORIA . TECNICAS DE SEGURIDAD PARA S  TÉCNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD  AUTENTICACIÓN: Identificar a los usuarios que inicien sesiones en sistemas o la aplicación.  AUTORIZACIÓN: Una vez autenticado el usuario hay que comprobar si tiene los privilegios necesarios para realizar la acción.  INTEGRIDAD: Garantizar que los mensajes sean auténticos y no se alteren.  CONFIDENCIALIDAD: Ocultar los datos frente a accesos no autorizados.  AUDITORIA: Seguimiento de entidades que han accedido al sistema identificando el medio.
  • 11. AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE  OBJETIVO. Proporcionar funciones automatizadas que soporten efectivamente al negocio con declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada fundamentada en: HOY MEJORA LA . Impacto estratégico, Oportunidad de ventaja Mejora continua CALIDAD competitiva. . Planificación, fijación de objetivos, GESTION DE CALIDAD coordinación, formación, adaptación de toda la organización. CALIDAD TOTAL . Involucre a toda la empresa: directivos, trabajadores, clientes. . Una filosofía, cultura, estrategia, estilo de gestión. . ISO 9001:2000 GARANTIA DE CALIDAD PREVENIR DEFECTOS CONTROL DE CALIDAD DETECTA DEFECTOS TIEMPO
  • 12. OBJETIVOS DE CONTROL Objetivos y planes a corto y largo plazo de tecnología de información.  Documentación (materiales de consulta y soporte para usuarios)  Requerimientos de archivo; de entrada, procesos y salida de la información.  Controles de aplicación y requerimientos funcionales;  Interface usuario- máquina; asegurar que el software sea fácil de utlizar y capaz de auto documentarse.  Pruebas funcionales (unitarias, de aplicación, de integración y de carga); de acuerdo con el plan de prueba del proyectos y los estándares establecidos.
  • 13. AI3 ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTUR  OBJETIVO. Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios originadas de una evaluación del desempeño del hardware y software apropiada; provisión de mantenimiento preventivo de hardware e instalación, seguridad y control del software del sistema y toma en consideración:  AI3.1 EVALUACION DE TECNOLOGIA; Para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema.  AI3.2 MANTENIMIENTO PREVENTIVO; Del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento.  AI3.3 SEGURIDAD DEL SOFTWARE DE SISTEMA; Instalación y mantenimiento para no arriesgar la seguridad de los datos y programas
  • 14. AI4 DESARROLLO Y MANTENIMIENTO DE PROCESOS  OBJETIVO.- Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. Para ello se diseñara manuales de procedimientos, de operaciones para usuarios y materiales de entrenamiento con el propósito de:  AI4.1 Manuales de procedimientos de usuarios y controles;  AI4.2 Materiales de entrenamiento; Enfocados al uso del sistema en la práctica diaria del usuario.  AI4.3 Manuales de Operaciones y Controles; para que el usuario comprenda el alcance de su actividad y valide su trabajo.  AI4.4 Levantamiento de procesos; Los procesos deben ser organizados y secuenciados.
  • 15. AI5 INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS –  OBJETIVO.- Verificar y confirmar  AI5.1 CAPACITACIÓN DEL que la solución tecnológica PERSONAL; PROPUESTA sea adecuada al  AI5.2 CONVERSIÓN/CARGA propósito deseado, para lo cual DATOS; debe aplicarse un procedimiento de instalación y aceptación que  AI5.3 PRUEBAS ESPECÍFICAS; incluya; conversión y migración (cambios, desempeño, aceptación de datos, plan de aceptaciones final, operacional) formalizado con pruebas,  AI5.4 VALIDACIÓN Y validaciones y revisiones ACREDITACIÓN; posteriores a la implementación  AI5.5 REVISIONES POST de los sistemas, de manera IMPLEMENTACIÓN; puntual en:
  • 16. AI6 ADMINISTRACIÓN DE CAMBIOS – PROCESO  OBJETIVO.- Minimizar la  TECNICAS DE CONTROL probabilidad de interrupciones, alteraciones y errores a través  Comprar programas sólo a de una eficiencia proveedores fiables. administración del sistema, las  Usar productos evaluados aplicaciones y la base de datos  Inspeccionar el código fuente con análisis, implementación y seguimiento de todos los antes de usarlo cambios requeridos y llevados  Controlar el acceso y las para lo cual debe; modificaciones una vez instalado  AI6.1 IDENTIFICACIÓN DE CAMBIOS.- Los cambios en las aplicaciones diseñadas internamente; así como, las adquiridas a proveedores.
  • 17. AI6.2 Procedimientos; de categorización, priorización y emergencia de solicitudes de cambios.  AI6.3 Evaluación del impacto que provocaran los cambios; tecnológicos en la perspectiva del cliente, financiera, de procesos, del talento humano y la estructura  AI6.4 Autorización de cambios; registro y documentación de los cambios autorizados.  AI6.5 Manejo de Liberación. La liberación de software debe estar regida por procedimientos formales asegurando aprobación.  AI6.6 Distribución de software. Estableciendo medidas de control especificas para asegurar la distribución de software sea el lugar y usuario correcto.
  • 18. SALIR