Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Evelin tabango adquisicion_e_implementacion
1. UNIVERSIDAD CENTRAL
DEL
ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
ESCUELA DE CONTABILIDAD Y AUDITORIA
AUDITORIA DE SISTEMAS INFORMATICOS
ADQUISICIÓN E IMPLEMENTACION
EVELIN TABANGO
CA 9-4
AÑO LECTIVO
2012-2012
2. AI ADQUISICIÓN E IMPLEMENTACION -
DOMINIO
PROCESOS AI1 Identificación de soluciones automatizadas
AI2 Adquisición y mantenimiento del software apropiado
AI3 Adquisición y mantenimiento de la infraestructura
tecnológica
AI4 Desarrollo y mantenimiento de Procesos
AI5 Instalación y aceptación de los sistemas
AI6 Administración de los Cambios
3. AI 1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS
La definición de las necesidades
Considera las fuentes
alternativas
Realiza una revisión de la
factibilidad tecnológica y
Permite a las organizaciones minimizar el costo
económica
para Adquirir e Implementar soluciones,
mientras que al mismo tiempo facilitan el logro
de los objetivos del negocio.
Ejecuta un análisis de riesgo
Ejecuta un análisis de costo-
beneficio
Concluye con una decisión final
de “desarrollar” o “comprar”
4.
5. AI 1.4 Seguridad con relación AI 1.5 Pistas de auditoria
costo-beneficio
Proteger a los datos del usuario
Controlar que los costos de como pueden se su identificación o
inversión no superen a los evitar que se creen campos
beneficios adicionales en su registro.
AI 1.7 Aceptación de
instalaciones y tecnologías
AI 1.6 Contratación de terceros
El patrocinador del negocio tiene la
Busca adquirir productos en buen decisión final con respecto a la
estado y de calidad elección de la solución y al enfoque
de adquisición.
6. AI 5.2 PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCION
Para llevar a cabo un examen, revisión o auditoría, se hace necesario,
para poder emitir una opinión sobre el trabajo realizado, recopilar la
evidencia suficiente y apropiada que sirva e base para sustentar las
conclusiones, opiniones y recomendaciones.
Este tipo de prueba tiene una función relevante, que permita tener un
mejor criterio a la hora de determinar y esclarecer ciertos hallazgos.
Lo que se pretende es dar un nuevo enfoque al uso y aplicación de
este tipo de instrumento.
Objetivos de protección y Seguridad Pistas de auditoria - Evidencia
Responsabilidad Individual Identificador del Usuario
Seguimiento de las acciones del usuario Debe proporcionarse en cada evento
Reconstrucción de eventos Cuando a ocurrido el evento
Identificar acciones anormales realizadas y a sus autores Registrado por fecha y hora
Detección de Instrucciones Identificador de host
Realizar un examen en tiempo real o por tramos. El registro informa de las conexiones realizadas a la red
Identificación de Problemas Tipo de evento
Para detectar problemas adicionales en el sistema Registrar las acciones realizadas a niveles de capas ya se
en el sistema o en las aplicaciones
7. AI5.3 PISTAS DE AUDITORIA- EVOLUCIÓN DEL RIESGO-ERRORES
POTENCIALES EN TECNOLOGIAS INFORMATICAS
Errores Potenciales
Datos Blancos
Datos Ilegibles
Problemas de Transcripción
Error de Cálculos en medidas indirectas
Registro de Valores Imposibles
Negligencias
Falta de aleatoriedad
Violentar la secuencia para recolección
Riesgo
• Prevención
Incidente Error
• Detección
Represión
• Represión
Corrección
• Corrección
Recuperación
• Evaluación
8. AI5.4 PISTA DE AUDITORIA-EVOLUCIÓN Y ADMINISTRACION
DEL RIESGO
Evaluación
Corrección
Diagnostico
- Actuar sobre la causa
Predicción - Técnicas y políticas de
Detección - control involucrados
Síntomas
- Empoderar a los actores
Prevención - Crear valores y
actitudes
9. AI5.6 PISTAS DE AUDITORIA – POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS-PROCESO
AI 5.6.1 No
Discrecional
AI5.6.6
AI 5.6.2
Dependientes
Disponibilidad
y por defecto
Políticas para sistemas
distribuidos
Existen tres tipos de
conexiones que se deben
definir estas son LAN(red
de área local), WAN(Red
de área amplia),
Plataformas de internet.
AI 5.6.5 AI 5.6.3
Integridad y Administración
confidenciali y control de
dad de datos acceso
AI 5.6.4
Criptográfica
10. AI5.6.2.1 Técnicas de cifrado de la información
• Cifrado de la información
Para cifrara la información se emplea un código que se de
conocimiento del emisor y receptor, actualmente muy
utilizada en sistemas distribuidos para otorgar permisos de
acceso.
11. AI5.6.2.3.1 Técnicas de integridad y confidencialidad
Confidencialida
d
Autenticación
Autorización Integridad Auditoria
Se verifica la Mostrar la
identidad del información
usuario que Se verifica los Verificar solo al personal Permite
trata de iniciar permisos de integridad de la con el permiso seguimiento de
sesión a una acceso información correspondiente la intrusión
aplicación Y controlar que
no se intercepte
la información
12. AI 5.6.2.3.2 Técnicas de
autenticación
En entornos de red lo mas
común es utilizar un password
para ingresar a una aplicación
determinada.
Controles de acceso mas
sofisticados pueden incluir
identificadores físicos,
biológicos o de otra índole.
En los bancos es común una
identificación de la cuenta y el
usuario por medio de tarjetas de
crédito
13. AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Permite a las organizaciones
apoyar la operatividad del
negocio de forma apropiada
con las aplicaciones
automatizadas correctas.
La inclusión apropiada de
Este proceso cubre el diseño El desarrollo y configuración
controles aplicativos y
de las aplicaciones de acuerdo a los estándares
requerimientos de seguridad
14. AI3 ADQUISICIONY MANTENIMIENTO DE LA
INFRAESTRUCTURA TECNOLOGICA - PROCESO
Esto requiere de un
enfoque planeado para
Las organizaciones adquirir, mantener y
deben contar con proteger la Esto garantiza que
procesos para adquirir, infraestructura de exista un soporte
implementar y acuerdo con las tecnológico continuo
actualizar la estrategias tecnológicas para las aplicaciones del
infraestructura convenidas y la negocio.
tecnológica disposición del
ambiente de desarrollo y
pruebas.
15. AI3.1 Evaluación de Tecnología
Para identificar como afectara el nuevo hardware y software sobre el
sistema en general. Evaluar los costos de complejidad y viabilidad
comercial del proveedor y producto al añadir nueva capacidad técnica.
AI3.2 Mantenimiento preventivo
Desarrollar una estrategia y un plan de mantenimiento de la
infraestructura y garantizar que se controlan los cambios, de acuerdo
con el procedimiento de administración de cambios de la organización.
AI 3.3 Seguridad del software de sistemas
Implementar medidas de control interno, seguridad y auditabilidad
durante la configuración, integración y mantenimiento del hardware y
software para proteger los recursos y garantizar su disponibilidad e
integridad.
16. AI4 DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO
AI4.1 Manuales de procedimiento de usuarios y controles
• Transferencia de conocimiento y habilidad para permitir que los usuarios finales utilicen
con efectividad y eficiencia el sistema de aplicación como apoyo a los procesos del
negocio.
AI4.2 Manuales de entrenamiento
• Para que el usuario se familiarice con el uso diario del sistema
AI 3 Manuales de operaciones y controles
Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y de
operaciones que entregue, apoyen y mantenga la aplicación y la infraestructura asociada de
manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos
AI4 Levantamiento de proceso
Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad de
operación y los niveles de servicio requeridos, de manera que todos los interesados puedan
tomar la responsabilidad oportunamente por la producción de procedimientos de
administración, de usuario y operativos, como resultado de la introducción o actualización de
sistemas automatizados o de infraestructura
17. AI 5 INSTALACION Y ACEPTACION DE LOS SISTEMAS - PROCESO
Los nuevos sistemas necesitan estar funcionales una
vez que su desarrollo se completa. Esto requiere
pruebas adecuadas en un ambiente dedicado con
datos de prueba relevantes, definir la transición e
instrucciones de migración, planear la liberación y
la transición en si al ambiente de producción, y
revisar la post-implantación. Esto garantiza que los
sistemas operativos estén en línea con las
expectativas convenidas y con los resultados.
18. AI 5.1 Capacitación del personal
Entrenar ala personal de los departamentos de usuario afectados y al grupo de
operaciones de la función de TI de acuerdo con el plan definido de entrenamiento e
implantación y a los materiales asociados, como parte de cada proyecto de sistemas
de la información de desarrollo, implementación o modificación.
AI 5.2 Conversión /Carga de datos
Plan de conversión de datos y migración de infraestructura como parte de los
métodos de desarrollo de la organización, incluyendo pistas de auditoria, respaldo
y vuelta atrás.
AI 5.3 Pruebas Especificas
Remediar los errores significativos identificaciones en el proceso de pruebas,
habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y
cualquier prueba de regresión necesaria. Siguiendo la evaluación, aprobación
promoción a producción.
AI 5.4 Validación y acreditación
Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a
operaciones, manteniéndolo en línea con el plan de implantación. Obtener la
aprobación de los interesados clave, tales como usuarios, dueño de sistemas y
gerente de operaciones
AI 5.5 Revisión Posterior a la implantación
Establecer procedimientos en línea con los estándares de gestión de cambios
organizacionales para requerir una revisión posterior a la implantación como
conjunto de salida en el plan de implementación.
19. AI 6 ADMINISTRACION DE CAMBIOS- PROCESO
• Todos los cambios, incluyendo el mantenimiento de emergencia y parches,
relacionados con la infraestructura y las aplicaciones dentro del ambiente de
producción, deben administrarse formalmente y controladamente. Los cambios
(incluyendo procedimientos, procesos, sistemas y parámetros del servicio) se
deben registrar, evaluar y autorizar previo a la implantación y revisar contra los
resultados planteados después de la implantación. Esto garantiza la reducción de
riesgos que impactan negativamente la estabilidad o integridad del ambiente de
producción.
20. AI6.2 AI6.3 Evaluación
AI 6.1 del impacto que
Identificación de Procedimientos
provocaran los
Cambio cambios
• Garantizar que
• Establecer • . Esta evaluación todas las
procedimientos de deberá incluir solicitudes de
administración de categorización y cambio se
cambio formales para priorización de los evalúen de una
manejar de manera cambios. estructurada
estándar todas las manera en
solicitudes (incluyendo cuanto a
mantenimiento y impactos en el
parches) para cambios a sistema
aplicaciones, operacional y su
procedimientos, funcionalidad.
procesos, parámetros
de sistemas y servicios,
y las plataformas
fundamentales.
21. AI 6.4 AI 6.5 Manejo de AI 6.6
Autorización de Liberación Distribución de
Cambios Software
• Previo a la • Se siguen • Siempre que se
migración hacia procedimientos implantan cambios
producción, los formales que al sistema,
interesados garanticen la actualizar el
correspondient aprobación de sistema asociado y
es autorizan los liberación de la documentación
cambios. software de usuario y
procedimientos
correspondientes.
Establecer un
proceso de revisión
para garantizar la
implantación
completa de los
cambios.