1. • UNIVERSIDAD CENTRAL DEL ECUADOR
• FACULTAD DE CIENCIAS ADMINISTRATIVAS
• ESCUELA DE CONTABILIDAD Y AUDITORIA
• TRABAJO DE AUDITORIA DE SISTEMAS INFORMÁTICOS
• ADQUISICIÒN-IMPLEMENTACIÒN
• DR. CARLOS ESCOBAR
• ESTEFANIA GARCIA
• CA9-4
2. AI. ADQUISICIÓN E IMPLEMENTACIÓN
- DOMINIO
Para llevar a cabo la estrategia de TI, las
soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, así como
implementadas e integradas dentro del
proceso del negocio.
AI1.
Identificación
de Soluciones
AI6 Administración de
Automatizadas
los Cambios
AI2 Adquisición y
Mantenimiento del
AI5 Instalación y
Software Aplicado
Aceptación de los Sistemas
AI3 Adquisición y
Mantenimiento de la
infraestructura AI4 Desarrollo y Mantenimiento de
tecnológica Procesos.
3. AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS - PROCESO
Objetivo. asegurar el mejor enfoque para cumplir con los
requerimientos del usuario mediante un análisis de las
oportunidades comparadas con los requerimientos de los
usuarios para lo cual se debe observar:
¿..Qué
hacer..?
Áreas Requerimientos
usuarias Aplicaciones
(Software) Áreas
Requerimientos/ usuarias
objetivos DIRECCIÓN DE
estratégico SISTEMAS
Sistema - Visión
Gerencial - Misión
- Planes, proyectos y programas
- Políticas
- Prioridades
Organización
4. AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS -
PROCESO
Objetivo. asegurar el mejor enfoque para cumplir con
los requerimientos del usuario con un análisis de las
oportunidades comparadas con los requerimientos de los
AI01.1. usuarios para lo cual se debe observar:
Definición de
requerimientos
de información
AI01.7 Aceptación de
AI01.6
instalaciones y tecnología
Contratación
de terceros
AI01.2. Estudio de
factibilidad
AI01.3 AI01.5 Pistas de
Arquitectura auditoria
de
información
AI01.4 Seguridad con
relación de costo-
beneficio
5. AI5.2 PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN
Pistas de auditoria; Son una serie de registros sobre las actividades del
sistema operativo, de procesos o aplicaciones y/o de usuarios del sistema.
Objetivos de protección Pistas de auditoría-
y seguridad Evidencia
Responsabilidad individual. Identificador del Usuario
Reconstrucción de eventos. Cuándo ha ocurrido el evento
Detección de instrucciones. Identificador de host
Identificación de problemas.. Tipo de Evento
6. AI5.3 PISTAS DE AUDITORIA–EVOLUCIÓN DEL RIESGO- ERRORES POTENCIALES EN
TECNOLOGÍAS INFORMÁTICAS
ERRORES POTENCIALES
Prevención
Riesgo Errores en la
integridad de la
información
Detección
Incidente-error • Datos en blanco
• Datos ilegibles
Represión • Problemas de
trascripción
Daños • Error de cálculo en
medidas indirectas
• Registro de valores
Corrección imposible
• Negligencia
Recuperación
• Falta de aleatoriedad
• Violentar la secuencia
Evaluación establecida para
recolección
7.
8. AI5.6 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD
PARA SISTEMAS DISTRIBUIDOS - PROCESO
AI5.6.1 POLITICAS PARA SISTEMAS
DISTRIBUIDOS
AI5.6.1.6
Dependientes
AI5.6.1.2
y por defecto
Criptográfica
AI5.6.1.5
AI5.6.1.3
No discrecional
Integridad y
Confidencialida
d de datos
AI5.6.1.4
AI5.6.1.1
Disponibilida
Administración y
d
control de accesos
9. AI5.6.2 PISTAS DE AUDITORIA-TÉCNICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS
AI5.6.2.1 TÉCNICA CIFRADO DE
INFORMACIÓN
• Cifrado de la información: Técnicas
de cifrado de claves para garantizar
la confidencialidad de la información
en sistemas distribuidos. Permite
que aunque los datos sufran un
ataque, estos no puedan ser
conocidos por el atacante. Es una
técnica muy usada para aumentar la
seguridad de las redes informáticas.
Convierte el texto normal en algo
ilegible, por medio de algún
esquema reversible de codificación
desarrollado en torno a una clave
privada que sólo conoce el emisor y
receptor. El proceso inverso es el
decifrado, mediante el cual el texto
clave se vuelve en texto legible.
10. AI5.6.2.3 PISTAS DE AUDITORIA-TECNICAS DE SEGURIDAD PARA SISTEMAS
DISTRIBUIDOS
AI5.6.2.3.1 TÉCNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD
Autenticación Confidencialidad
Autorización
Integridad Auditoría
11. AI5.6.2.3 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS
AI5.6.2.3.2 TÉCNICAS DE
AUTENTICACIÓN
12. AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO
Objetivo. Proporcionar funciones
automatizadas que soporten
efectivamente al negocio con
declaraciones específicas sobre
requerimientos funcionales y
operacionales.
Mejora continua
Calidad total
Garantía de calidad
Prevenir defectos
Control de calidad
Detectar defectos
13. AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO
Objetivos de control
Políticas y procedimientos Objetivos y planes
a corto y largo plazo
AI1.3 Documentación AI1.6 Interface usuario-máquina
(materiales de consulta y
soporte para usuarios
AI1.5 Controles de aplicación
y requerimientos funcionales
AI1.7 Pruebas funcionales
(unitarias, de aplicación,
AI1.4 Requerimientos de archivo
de integración y de carga
14. AI3 ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTURA TECNOLÓGICA-
PROCESO
Objetivo. Proporcionar las plataformas apropiadas para soportar
aplicaciones de negocios
originadas de una evaluación del desempeño del hardware y
software apropiada; provisión de mantenimiento preventivo
de hardware e instalación, seguridad y control del
software del sistema y toma en consideración
AI3.1 Evaluación de tecnología AI3.3 Seguridad del software de sistema
AI3.2 Mantenimiento preventivo
15. AI4 DESARROLLO Y MANTENIMIENTO DE PROCESOS - PROCESO
Objetivo. Asegurar el uso apropiado de las aplicaciones y de las soluciones
tecnológicas establecidas. Para ello se diseñará manuales de procedimientos,
de operaciones para usuarios y materiales de entrenamiento con el propósito de
AI4.2 Materiales
de entrenamiento
AI4.1 Manuales de procedimientos
de usuarios y controles
AI4.3 Levantamiento
de procesos
AI4.3 Manuales de Operaciones
y controles
16. AI5 INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS - PROCESO
AI5.1Capacitación del personal
AI5.3 Pruebas específicas
AI5.2 Conversión / carga de datos
AI5.4 Validación y acreditación
AI5.2 Revisiones post implementación
17. AI6 ADMINISTRACIÓN DE CAMBIOS - PROCESO
Técnicas de control
Comprar programas sólo a proveedores fiables;
Usar productos evaluados;
Inspeccionar el código fuente antes de usarlo;
Controlar el acceso y las modificaciones una vez instalado.
18. AI6 ADMINISTRACIÓN DE CAMBIOS - PROCESO
AI.6.3 Evaluación del impacto AI.6. 4 Autorización de cambios
que provocarán los cambios
AI.6.5 Manejo de liberación AI.6.6 Distribución de software