SlideShare una empresa de Scribd logo

Auditoría informática: tipos y áreas clave

Descargar como DOCX, PDF
Y
Yoncastilloquispe

auditoria gubernamental

Economía y finanzas
1 de 13
Tipos de Auditoría Informática INICIO - AUDITORIA FISICA - AUDITORIA OFIMATICA - AUDITORIA DE DIRECCION - AUDITORIA DE MANTENIMIENTO - AUDITORIA DE BASE DE DATOS AUDITORIA FISICA Activos informáticos, observaciones donde estan y que existan en el inventario, prevención y seguridad. Todos estos activos estan fisicamente seguros y adecuados, posibles fallas fisicas, saber si se tiene un plan específico despues de un desastre, identificar cuales son sus planes de acción para la seguridad en cuanto a un desastre. comprueba la existencia de los medios fisicos y también su funcionalidad, racionalidad y seguridad. Ésta garantiza la integridad de los activos humanos, logicos y materiales de centro de computo. Areas de conocimiento de la auditoria fisica Organigrama respectivo de la empresa, auditorias internas pasadas, administración de la seguridad (asignar responsabilidades a cada una de las personas), centro deprocesos de datos (identificar cada una de las salas que se debe asegurar), equipos y comunicaciones (de manera especifica), seguridad fisica del personal (información que se debe tener). Lista donde esta la información Manual de procedimientos, jefes de departamento, recursos humanos, altos directivos,m reglamentos y cursos de capacitación. Herramientas Entrevistras, cuestionarios, encuestas y gráficas. AUDITORIA OFIMATICA Estudio de una aplicación a la cual debemos evaluar, saber si realmente sirve para su requerimiento, previo a compra de software se haya hecho un estudio para saber si realmente lo está utilizando de la manera más adecuada. La Ofimática Sistema automatizado uqe genera, procesa, almacena, recupera,comunica y presenta datos relacionados con el funcionamiento de la oficina. Escritorio virtual, trabajo en equipo (Lotus, Nous, grp, etc.), estaciones de trabajo, aplicaciones, medidas de seguridad que tienen los usuarios, controles de la ofimáticaque se deben ocupar (economia, eficacia y eficiencia). • Determinar si el inventario ofimático de los equipos reflejan con exactitud el número de equipos y aplicaciones reales. • Determinar y evaluar el procedimiento de adqusición de equipos y aplicaciones. • Determinar y evaluar la política de mantenimiento definida en la organización. • Evaluar la calidad de las aplicaciones del entorno ofimático desarrollado por el propio personal de la organización. • Evaluar la corrección del procedimiento existente para la realización de cambios de versiones y aplicaciones. • Determinar si los usuarios cuentancon suficiente información y la documentación de apoyo para la realización de sus actividades de un modelo eficaz y eficiente. • Determinar si el sistema existe y si realmente cumple con las necesidades de la organización. Anomálias - Seguridad.- Determinar si existen garantias suficientes para proteger los accesos no autorizados a la información reservada a la empresa y a la integridad de la misma. 1. Acceso por medio de contraseñas. - Procedimiento para la asignación de contraseñas.
- Procedimiento para cambioperiodico de contraseñas. 2. Información impresa. - Accesos autorizados. - Verificar que esta información se encuentra siempre en cajones. - Maquinas que distribuyen los documentos . 3. Verificar que la información de encuentre clasificada. Determiar si el procedimiento de generación de copias de respaldo es fiable y garantiza la recuperación de la información 1. Que este especificado. 2. Que la perioricidad sea acorde a las condiciones ofimáticas. 3. Que se cumpla el procedimiento. 4. Que la calidad del respaldo este garantizada (tomar un respaldo y verificar si realmente funciona y el procedimiento sea el adecuado). 5. Que realmente esten resguardados los respaldos en un área segura. determinar si estan garantizados el funcionamiento ininterrumpido de aplicaciones críticas. 1. Planta de luz alternativa. 2. Asignación e responsabilidades en cadena para lebvantar el sistema. Determinar el grado de exposición ante la posibilidad de intrusos, de virus (medida del riesgo para poder protegerse por la intrusión de virus por eso es necesario tener antivirus). 1. Tener antivirus. 2. Checar actualizaciones de antivirus y que todas las maquinas lo tengan. AUDITORIA DE DIRECCION Siempre en una organización se dice que esta es un reflejo de las carcxteristicas de su dirección, los modos y maneras de actuar de aquella estan influenciadas por la filosofia y personalidad del director. Acciones de un Director • Planificar. (este acorde al plan estrategico (conocimiento a evaluar acciones a realizar)). - Lectura y analisis de actas, acuerdoss, etc. - Lectura y analisis de informes gerencciales. - Entrevistas con el mismo director dell departamento y con los directores de otras áreas. • Organizar. • Controlar. • Coordinar. Las enormes sumas que las empresas dedican a la tecnólogia de la información y de la dependencia de estás con los procesos de la organización hacen necesaria una evaluación independiente de la función que la gestiona (dirige). AUDITORIA DE LA DIRECCIÓN DE GESTIÓN - Planificar - Evaluar - Plan estrategico. - Recursos asignados a cada plan de proyecto. - Organizar y coordinar Se va a realizar de acuerdo con lo planeado, el director debe establecer los flujos de información para que no haya fallas. - Organizar El proceso de organizar consiste en estructurar recursos, los flujos de información y los controles que permiten alcanzar los objetivos marcados por la calificación. Para poder evaluar y dar seguimiento a estas funciones se establece un comité de informática que afectan a toda la empresa y permite a los usuarios como las actividades de la organización no solo de su área, se pueden fijar las prioridades. El auditor debe asegurarse que exista esté comité y que cumpla su papel adecuadamente. Las acciones a realizar por el auditor son: • Verificar que exista una normativa interna donde se especifique las funciones del comite.
• Entrevistar a miembros de este para conocer por parte de ellos funciones que realmente realizan. Existe comité de informática - Normativa interna. - Entrevistas a los representantes de llos usuarios para conocer si entienden y si estan de acuerdo con el comité. - Entrevista con los miembros. Criterio para asignar a los miembros del comite. • Verificar trabajo del comité - Lectura de actas de comité para comprrobar que el comité cumple efectivamente las funciones y que los acuerdos son tomados correctamente tomando en cuenta la opinión de los miembros del comité. AUDITORIA DE MANTENIMIENTO - Evalua la etapa del mantenimiento (4 a 6 meses la durac. delmantenimiento - Importancia (etapa del mantenimiento (15 dias a 1 mes (mantenimiento con cambios)) "mayor costo". - Evaluar trabajo. - Lista de revisiones. - Existe documentación para el requerimiento de cambios. - Documentación de los cambios. - Pruebas de las modificaciones (lista de prueba y su observación). - La aceptación de pruebas, con la cual se liberan los cambios. - Logistica (por procedimientos) para realixzar el cambio de modificaciones (vesiones) del servidor de producción. Valoración del esfuerzo de trabajo. No. > mayor esfuerzo. No. < menor esfuerzo. Se debe utilizar ciertos criterios que son: - Esfuerzo de la etapa de mantenimientoo. meshombre (etapa de mantenimiento esfuerzo) = trafico de cambio actual meshombre de desarrollo. TCA = numero de lineas nuevas + numero de lineas modificadas numero de lineas iniciales meshombredesarrollo = 2.4Ks1.05 = 3.0Ks = 3.6Ks1.20 Ks = estimación del tamaño del programado en miles de lineas de código. • Comprensibilidad del siatema - Identificar que los archivos tengan nnombre adecuado a lo que se esta codificando. - Facil de entender. - Nombres adecuados de acuerdo al tipo de datos e información - Comentarios por lomenos cada 50 lineaas de código. • Que sea modificable - Que tan modificable es.< • Testeable - Que los pongamos a prueba para verifiicar sirealmente es correcto. - Se introduzca códigode detección de eerrores. AUDITORIA DE BASE DE DATOS 1. Confidencialidad. - Identificar el archivo documento que listen los perfiles de usuarios. - Verificar que el documentotenga el tiipo de acceso "ad hoc" al grupo de usuarios.
- Realizar encuestas y aplicar cuestionnarios para verificar que los perfiles realmente hayan sido aplicados. - Revisar los usuarios en el sistema manejador de base de datos y canalizar los perfiles con el documento arriba mencionado. PUNTOS A LOS QUE SE ENFOCA EL AUDITOR Control y seguridad de la base de datos (se tenga siempre una lista de los usuarios asi como tambien diferentes perfiles, tipos de usuarios, documentación sobre cambios, accesos limitados, buscar e identificar que cada uno este en su puesto, que administradores tienen acceso, los programadores no deben tener acceso a la base realsino que debe tener acceso a usuarios en la misma, que usuarios tienen acceso a toda la base de datos en caso de que no tenga los perfiles el auditor debe de identificarlos e identificar que cada persona este en su puesto), diseño(identificar que realemente se deje una trayectoria o documentación sobre la base de datos, que tenga diccionario de base de datos y cada uno tenga los datos adecuados, lista de los objetos. La investigación de la arquitectura (se refiere al sistema operativo y el software para crear una base de datos ademas de que deban ser compatible, checar estudio previo para escojer el sofware adecuado, verificar que los componentes que se compren sean los adecuados para la compatibilidad) el ciclo de vida de una base de datos (cuanto tiempo duraráel sistema o base de datos que se diseño), estudio de la información este realmente de acuerdo con la empresa que esta utilizando en este momento, si se cuenta con la documentación de la reingenieria aplicada, tener almacenados ciertos archivos que se modifican, verificar que exista un oficio para poder hacer la modificación con las autorizaciones necesarias, verificar que exista registro de todo. Las normas mas utilizadas son: Norma COBIT La norma COBIT fue lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores. Usuarios: La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus áreas. Características: Orientado al negocio Alineado con estándares y regulaciones “de facto” Basado en una revisión crítica y analítica de las tareas y actividades en TI Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA) Principios: El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. COBIT se divide en tres niveles: Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible. Descargar: COBIT Norma Técnica Peruana (NTP) Esta Norma Técnica Peruana establece un marco de referencia común para los procesos del ciclo de vida del software, con una terminología bien definida a la que puede hacer referencia la industria del software. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un producto software puro o un servicio software y durante el suministro, desarrollo, operación y mantenimiento de productos software. El software incluye la parte software del firmware. Limitaciones Esta NTP describe la arquitectura de los procesos del ciclo de vida del software, pero no especifica los detalles de cómo implementar o llevar a cabo las actividades y tareas incluidas en los procesos.
AUDITORIA INFORMÁTICA Auditoría de la Gestión de las Tecnologías de Información La Auditoría de la Gestión de las Tecnologías de Información, es vital para que se pueda mejorar la gestión de las gerencias de informática y en general de las diversas áreas usuarias de los servicios de tecnologías de información en las organizaciones. La auditoria informática comprende la evaluación de la gestión de las tecnologías de información sobre la base de normas nacionales y/o internacionales, verificándose su cumplimiento enmarcado en el ciclo de calidad: Planificar, Ejecutar, Evaluar y Actuar (tomar acciones correctivas). Se explicó brevemente las siguientes normas internacionales: COBIT, ISO/IEC 12207, ISO/IEC 17799, ITIL (ISO/IEC 20000), y PMBOK, las cuales sirvieron de base para la Metodología para la Auditoria Integral de la Gestión de las Tecnologías de Información (MAIGTI). Se explicó, también brevemente las certificaciones que existen relacionadas a la auditoria informática. En conducción: Ing. Rosa Menéndez, docente e investigadora a tiempo completo de la Universidad Wiener, conductora del programa Sociedad Láser tuvo como invitado al Ing. Emigdio Alfaro, Decano de la Facultad de Ingeniería de la Universidad Privada Norbert Wiener. Certificaciones en Auditoria, Seguridad y Gobernabilidad TI Posted by jdcaramutti en 1 junio, 2010 La Asociación de Auditoria y Control de Sistemas de Información o ISACA – Information Systems Audit and Control Association, cuyo slogan es “al servicio de los profesionales encargados de la gobernabilidad de las tecnologías de la información (TI)”, ofrece tres certificaciones: CISA, CISM y CGEIT, en auditoria, seguridad y gobernabilidad de TI respectivamente. La certificación ISACA CISM-Certified Information Security Manager o administrador de seguridad de sistemas de información, está dirigida específicamente a profesionales experimentados en seguridad de la información. Esta orientada a la gerencia de riesgos y seguridad de la información, así como al diseño y manejo de aspectos técnicos a un nivel conceptual. Los exámenes son en junio y diciembre, y para la preparación ISACA ofrece el Manual de preparación al examen CISM 2008 (US$75) y otros manuales de preguntas, respuestas y explicaciones. La edición 2008 del manual se ha desarrollado y organizado para ayudar a los candidatos a CISM a prepararse en las siguientes áreas de práctica de trabajo: 1. Gobierno de la seguridad de información, 2. Administración de riesgos de información, 3. Desarrollo del programa de seguridad de información, 4. Administración del programa de seguridad de información, 5. Manejo y respuesta de incidentes.
También puede preparase a través de cursos ofrecidos por las “filiales” o capítulos existentes en diversos países de la región, tales como ISACA Perú, Colombia y Chile. Este último será sede del gran evento ISACA Latin American CACS 2008 (Agosto 17-20). En todos los casos, los costos son menores para los miembros de ISACA, cuya suscripción anual está alrededor de US$160, pudiendo hacerlo también en forma semestral (Jun-Set) a menos del 50%. Si eres un profesional orientado a la gestión de TI, considera seriamente estas certificaciones. Posted in ISACA | Leave a Comment » Política de Seguridad Posted by jdcaramutti en 1 junio, 2010 La PCM conciente de los riesgos tecnológicos actuales, al cual estan expuestos los activos de información de las diferentes organizaciones del sector público, el 25 de Agosto del 2007 emitió a través de la Resolución Ministerial 246-2007-PCM, el uso obligatorio de la NTP-ISO/IEC 17799:Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. Toda norma que regule la materia de seguridad de la información, tiene como finalidad asegurar los tres requisitos básicos:  Confidencialidad. Exclusivamente las personas autorizadas a disponer de la información pueden acceder a ella.  Integridad. La información ha de encontrarse operativa tal y como se encuentra en los sistemas de información. No ha de ser manipulada ni en su origen, ni en su destino, salvo por aquellas personas autorizadas.  Disponibilidad. El acceso continúo a la información, en cualquier momento, por aquellas personas autorizadas a tratar y disponer de aquella. Los tres requisitos precedentes son los pilares para asegurar la información y cualquier proceso que haga uso de esta como por ejemplo, la normativa de firma electrónica, el funcionamiento del D.N.I. electrónico, las medidas de seguridad en materia de protección de datos de carácter personal, etc. La NTP contempla diferentes aspectos a ser considerados en la elaboración de los planes de seguridad de la información:  Política de seguridad  Aspectos organizativos para la seguridad  Clasificación y control de activos  Seguridad ligada al personal  Seguridad física y del entorno  Gestión de comunicaciones y operaciones  Control de accesos  Desarrollo y mantenimiento de sistemas  Gestión de incidentes de seguridad de la información  Gestión de continuidad de negocio  Conformidad
Puedes encontrar mayor información en la NTP publicada en el banco de normas de la ONGEI Alcances Todas las instituciones públicas del Estado Peruano deberan considerar en materia de seguridad de la información lo siguiente:  Las instituciones deberán implementar sus planes de seguridad en base a la NTP-ISO/IEC 17799.  Las máximas autoridades de las instituciones deberán conformar un Comité de Seguridad de la Información integrado por representantes de las Direcciones Nacionales o Generales o equivalentes de la institución.  Las máximas autoridades de las instituciones deberán asignar las responsabilidades en materia de seguridad de la información a funcionarios de su planta.  Los planes de seguridad se reflejarán en los planes operativos informáticos de las instituciones(POI). Ambito de aplicación de la Norma:  Segun Decreto Supremo N° 063-2007-PCM y Decreto Legislativo N° 604, la ONGEI es el órgano especializado que depende jerárquicamente del Presidente del consejo de Ministros encargada de dirigir, como ente rector, el Sistema Nacional de Informática y de implementar la política nacional de Gobierno Electrónico e Informático.  En este sentido el ámbito de aplicación incluye a todas las entidades del Gobierno Central, Organismos Públicos Descentralizados, Gobiernos Regionales, Direcciones Regionales y cualquier organización estatal no empresarial con: o Autonomía financiera o Personalidad jurídica o Patrimonio propio Donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de las decisiones. Plazos: La implementación de la Norma se dará de manera progresiva y teniendo como plazos los estipulados en la RM 244-2004-PCM el haber preparado su plan de implementación. Modelo simplificado de Implementación La aplicación de la Norma Técnica Peruana de Seguridad de la Información tiene que estar alineada a la misión, visión, y objetivos que persigue la organización. A partir de este análisis se tiene que aplicar un esquema de gestión de la seguridad de la información. Para lo cual se detalla a continuación un esquema simplificado de cómo debería de aplicarse la NTP-ISO/IEC 17799:2004 dentro de cualquier organización pública. 1. ETAPA I Esta primera etapa consiste en analizar la misión, visión y objetivos de la organización. Misión y Visión y Objetivos de la Organización.
La misión y visión dan el enfoque claro de lo que la organización debería plantearse en términos de seguridad de la información de manera general. Identificación de los recursos dentro de los procesos de la organización El análisis de las principales funciones dentro de los procesos de la organización nos permitirá identificar todos los recursos que interactúan en estos procesos, los cuales podemos clasificarlos de la siguiente manera: Materiales y Tecnológicos Los recursos materiales y tecnológicos involucrados. Recursos Humanos Los recursos humanos involucrados. Como resultado de esta etapa se tiene que tener una matriz con las funciones y todos los recursos o activos de información involucrados dentro del proceso analizado. 2. ETAPA II En esta etapa debemos de usar la información obtenida de la Etapa I, para implementar lo que se recomienda dentro de la NTP-ISO/IEC 17799. Establecimiento de la Política de Seguridad de la organización. Se establecerá la política general a nivel de toda la organización, a partir de esta política se desarrollarán las normativas internas y procedimientos específicos, para cada área dentro de la empresa con el fin de cumplir con la política general. Efectuar un análisis de riesgos. En base a los activos identificados en la Etapa I, se comenzará a elaborar un análisis de riesgos, con la finalidad de poder identificar las vulnerabilidades, amenazas e impacto de estos sobre los activos identificados. En base a los controles establecidos para cada dominio de la Norma que permita establecer la Brecha El análisis de riesgos nos permitirá priorizar cuales son los activos prioritarios a proteger, y en base a esto realizar una comparación de lo que ya se tiene implementado versus lo que falta implementar, como medidas de seguridad. 3. ETAPA III
En esta etapa se tiene que proyectar la implementación de lo que se necesita en términos de seguridad. Documentación del Plan de Seguridad de la Información Establecimiento del documento del plan a 1, 2 o 3 años. Implementación del Plan de Seguridad dentro del POI Lo que se tiene en el plan tiene que estar reflejado como un proyecto de TI adicional dentro del Plan Operativo Informático. 4. ETAPA IV Una vez elaborados los pasos anteriores se definen como entregables los siguientes documentos:  Política de Seguridad  Análisis de riesgos  Brecha de lo implementado y lo que falta por implementar  Plan de Seguridad de la Información (reflejado en el POI) Gestión de la Seguridad Consideramos que la protección de la información se consigue mediante un conjunto de acciones coordinadas y planificadas consistentes en minimizar los riesgos y maximizar la eficiencia en los procesos de la organización. La información es uno de los activos más importantes de una empresa, por lo que la protección en ese ámbito ha de ser de prioritaria. La norma ISO 27001 es un instrumento base para la gestión de la seguridad de la información, estructurándose en un conjunto de controles y de recomendaciones dirigido a los responsables de promover, implantar y mantener la seguridad en las entidades. Mediante ella las empresas pueden certificar sus Sistemas de gestión de Seguridad de la Información (SGSI). Un SGSI es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información en función de los requisitos técnicos, legales y organizativos identificados en la organización. Gestion del Riesgo El análisis del riesgo es una de las fases cruciales para el desarrollo y operación de un SGSI. En esta fase la organización debe construir lo que será su “modelo de seguridad”, una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización). El análisis de riesgos es como la visita del doctor donde nos identifica alguna enfermedad. Se realizan una serie de actividades como son: identificación de activos, identificación de amenazas, estimación de impactos y vulnerabilidades y con todo ello ya se puede calcular el riesgo.
Pero éste diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación en la ocurrencia de las amenazas. Por tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si tiene nuevos sintomas o si los sintomas detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La mejora contínua afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es plantearse para el siguiente año atacar los siguientes menos altos. Posted in ONGEI | Leave a Comment » Auditorias Posted by jdcaramutti en 1 junio, 2010 1. Auditoria De Gestion En El Area De Recursos Humanos De Essalud” CONCLUSIONES Y RECOMENDACIONES 1. CONCLUSIONES 1.1. CONCLUSIÓN FINAL En relación a la auditoría de gestión los resultados obtenidos en la investigación; permiten establecer, que la evaluación realizada contribuye en gran medida con la efectividad, eficiencia y economía de los recursos humanos. 1.2. CONCLUSIONES PARCIALES a. El adecuado planeamiento de la auditoría de gestión, sin ninguna duda, facilita la determinación de la efectividad, eficiencia y economía del Area de Recursos Humanos de EsSalud. b. La preparación de programas de auditoría, la aplicación de técnicas, pruebas y obtención de evidencias de auditoría permiten la elaboración de hallazgos de auditoría, observaciones, conclusiones y recomendaciones del Area de Recursos Humanos. c. Las medidas correctivas para optimizar la gestión de los recursos humanos, sólo se puede llevar a cabo si se analiza e interpreta correctamente el contenido de los informes de la auditoría de gestión. d. La supervisión o monitoreo llevadas a cabo en forma permanente y/o puntual asegura el seguimiento de las medidas correctivas adoptadas por el Area de Recursos Humanos, hasta obtener la eficiencia y eficacia del Area. e. Mediante la aplicación de la Auditoría de Gestión, es posible realizar ajustes, si fuera el caso, a los planes y programas del Area de Recursos Humanos para su gerenciamiento óptimo.
2. Policía Nacional Del Perú: Auditoría Integral, Herramienta Para El Buen Gobierno Y Respuesta Efectiva Contra La Corrupción La investigación titulada “Policia Nacional Del Peru: Auditoria Integral, Herramienta Para El Buen Gobierno Y Respuesta Efectiva Contra La Corrupcion”, tiene como objetivo: “Identificar el alcance de la auditoría integral, que permita formular el planeamiento, ejecución y obtención de resultados de la auditoría, de modo que contribuyan al buen gobierno institucional y luchar efectivamente contra la corrupción en la Policía Nacional del Perú“. La corrupción es un acto ilegal casi institucionalizado en el quehacer de los niveles gubernamentales. Para enfrentarse a tales actos la Dirección General de la Policía Nacional del Perú, debe hacer uso de una extraordinaria herramienta de gestión y control institucional, como es la auditoría integral. La auditoría integral, además de evidenciar los procesos y procedimientos institucionales, va a aportar las recomendaciones que requiere la entidad para adoptar una política severa, justa y decidida para no tolerar comportamientos de corrupción por parte de directores, jefes, personal policial; funcionarios y trabajadores. Para el desarrollo de este trabajo se ha aplicado la metodología, las técnicas e instrumentos necesarios para una adecuada investigación, en el marco de las normas de la Escuela de Post Grado de la Universidad Nacional Federico Villarreal. 3. Perú: La Auditoria Académica Y Las Acciones De Control Para La Buena Administración De Las Universidades Nacionales En El Perú ” La auditoría académica permite emitir una opinión profesional independiente, respecto a si las actividades académicas en su conjunto, presentan razonablemente la situación de dichas actividades, de acuerdo con las leyes, políticas, procesos y procedimientos establecidos ” 4. Auditoría médica de historias clínicas en consulta externa de cuatro hospitales públicos peruanos. RESULTADOS Se evaluaron 04 hospitales del MINSA, en cada uno de ellos fueron revisadas no menos de 384 Historias Clínicas: Hospital de Apoyo Bagua – Amazonas:396 historias clínicas (HC), Hospital Las Mercedes de Chiclayo – Lambayeque:390 HC, Hospital Daniel Alcides Carrión de Huancayo – Junín: 384 HC, y Hospital Regional de Ica: 396 HC. La recolección de las datas se hizo durante las dos primeras semanas del mes de abril del 2005.
Considerando las dimensiones propuestas, se evidenciaron los resultados agrupando las mismas en cuatro categorías básicas: registro de funciones vitales con 8,75% (rango: Junín 0,00%-Amazonas 25,76%), registro de síntomas de consulta con 91,08% (rango: Lambayeque 77,18%-Amazonas 99,49%), registro de examen físico con 56,63% (rango: Junín 17,06%-Amazonas 80,46%), registro de diagnóstico del paciente con 97,43% (rango: Lambayeque 93,04%-Amazonas 100,00%), y registro del tratamiento o plan de trabajo con 89,37% (rango: Junín 82,41%-Amazonas 99,75%). Además se evaluaron las variables administrativas siguientes: registro de fecha y hora con 13,70% (rango: Amazonas 0,25%-Ica 37,20%), y registro de la firma y sello del profesional que hizo dicha consulta con 54,65% (rango: Ica 41,67%-Amazonas 65,65%)

Recomendados

Unidad II
Unidad IIUnidad II
Unidad IIjoseaunefa
 
Enfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibertEnfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibertFeibert Alirio Guzmán Pérez
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Control interno
Control internoControl interno
Control internoJuan José Sandoval Zapata
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 

Recomendados

Unidad II
Unidad IIUnidad II
Unidad IIjoseaunefa
 
Enfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibertEnfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibertFeibert Alirio Guzmán Pérez
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Control interno
Control internoControl interno
Control internoJuan José Sandoval Zapata
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasJoha2210
 
Auditoria sistemas estudiar
Auditoria sistemas estudiarAuditoria sistemas estudiar
Auditoria sistemas estudiaralexandra carranza
 
Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Arturo GR
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasMilver Illaconza Ccaulla
 
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...UNEG-AS
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computokmiloguitar
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS
 
Juan velasquez
Juan velasquezJuan velasquez
Juan velasquezJuan Carlos Velasquez Duerto
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJesus Miguel Montilla Dunn
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimaticaManuel Medina
 
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdfEVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdfCamilomechas
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistemagabych88
 
auditoria
auditoria auditoria
auditoria xxgiancarloxx
 
03 objetivosplanprograma
03 objetivosplanprograma03 objetivosplanprograma
03 objetivosplanprogramaMiguel Angel Sandoval Calderon
 
Auditoria danper
Auditoria danperAuditoria danper
Auditoria danperManuel Tapia Cruz
 
Administracion y desarrollo desofteare y hadware
Administracion y desarrollo desofteare y hadwareAdministracion y desarrollo desofteare y hadware
Administracion y desarrollo desofteare y hadwarejosefina1123
 
Areas de la auditoria informatica primera parte
Areas de la auditoria informatica primera parteAreas de la auditoria informatica primera parte
Areas de la auditoria informatica primera parteWASHOISRAEL
 
Areas de la uditoria informática
Areas de la uditoria informáticaAreas de la uditoria informática
Areas de la uditoria informáticaISTELAM
 

Más contenido relacionado

La actualidad más candente

Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasJoha2210
 
Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Arturo GR
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...UNEG-AS
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computokmiloguitar
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimaticaManuel Medina
 
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdfEVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdfCamilomechas
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistemagabych88
 
Administracion y desarrollo desofteare y hadware
Administracion y desarrollo desofteare y hadwareAdministracion y desarrollo desofteare y hadware
Administracion y desarrollo desofteare y hadwarejosefina1123
 

La actualidad más candente (20)

Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Auditoria sistemas estudiar
Auditoria sistemas estudiarAuditoria sistemas estudiar
Auditoria sistemas estudiar
 
Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Auditoria del desarrollo de sistemas de información en el gobierno regional c...
Auditoria del desarrollo de sistemas de información en el gobierno regional c...
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
UNEG-AS 2012-Inf3: Control interno para la organización del área de informáti...
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computo
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
 
Juan velasquez
Juan velasquezJuan velasquez
Juan velasquez
 
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemasUNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
UNEG-AS 2012-Pres8: Verificación del rendimiento de sistemas
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamiento
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimatica
 
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdfEVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistema
 
auditoria
auditoria auditoria
auditoria
 
03 objetivosplanprograma
03 objetivosplanprograma03 objetivosplanprograma
03 objetivosplanprograma
 
Auditoria danper
Auditoria danperAuditoria danper
Auditoria danper
 
Administracion y desarrollo desofteare y hadware
Administracion y desarrollo desofteare y hadwareAdministracion y desarrollo desofteare y hadware
Administracion y desarrollo desofteare y hadware
 

Similar a Auditoría informática: tipos y áreas clave

Areas de la auditoria informatica primera parte
Areas de la auditoria informatica primera parteAreas de la auditoria informatica primera parte
Areas de la auditoria informatica primera parteWASHOISRAEL
 
Areas de la uditoria informática
Areas de la uditoria informáticaAreas de la uditoria informática
Areas de la uditoria informáticaISTELAM
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas Michelle Perez
 
Presentación de Auditoria de Sistemas. Grupo 2
Presentación de Auditoria de Sistemas. Grupo 2Presentación de Auditoria de Sistemas. Grupo 2
Presentación de Auditoria de Sistemas. Grupo 2ClaraDaSilva5
 
“ Normatividad De La FuncióN Informatica”
“ Normatividad De La FuncióN Informatica”“ Normatividad De La FuncióN Informatica”
“ Normatividad De La FuncióN Informatica”JOSEPH DE JESUS
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Marco Perez
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32diegoferza
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32josorioq
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32carolinarueda13
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32pane1a
 
Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)fila144
 
Gerencia de sistemas de informacion
Gerencia de sistemas de informacionGerencia de sistemas de informacion
Gerencia de sistemas de informacionCarlos Blandon
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32victorio669
 
Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)Jose Salas
 
Gerencia de sistemas de Información
Gerencia de sistemas de InformaciónGerencia de sistemas de Información
Gerencia de sistemas de InformaciónJohn Arley
 
Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)Juan Garcia
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32juancampo268
 

Similar a Auditoría informática: tipos y áreas clave (20)

Areas de la auditoria informatica primera parte
Areas de la auditoria informatica primera parteAreas de la auditoria informatica primera parte
Areas de la auditoria informatica primera parte
 
Areas de la uditoria informática
Areas de la uditoria informáticaAreas de la uditoria informática
Areas de la uditoria informática
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas
 
Presentación de Auditoria de Sistemas. Grupo 2
Presentación de Auditoria de Sistemas. Grupo 2Presentación de Auditoria de Sistemas. Grupo 2
Presentación de Auditoria de Sistemas. Grupo 2
 
“ Normatividad De La FuncióN Informatica”
“ Normatividad De La FuncióN Informatica”“ Normatividad De La FuncióN Informatica”
“ Normatividad De La FuncióN Informatica”
 
Herramientas y Técnicas
Herramientas y TécnicasHerramientas y Técnicas
Herramientas y Técnicas
 
Herramientas y Tecnicas
Herramientas y TecnicasHerramientas y Tecnicas
Herramientas y Tecnicas
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32
 
Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)
 
Gerencia de sistemas de informacion
Gerencia de sistemas de informacionGerencia de sistemas de informacion
Gerencia de sistemas de informacion
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32
 
Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)
 
Gerencia de sistemas de Información
Gerencia de sistemas de InformaciónGerencia de sistemas de Información
Gerencia de sistemas de Información
 
Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)Gerencia de sistemas_de_información_sesión_32 (1)
Gerencia de sistemas_de_información_sesión_32 (1)
 
Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32Gerencia de sistemas_de_información_sesión_32
Gerencia de sistemas_de_información_sesión_32
 

Último

383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf
383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf
383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdfemerson vargas panduro
 
ley del ISO Y acreditamientos y extensiones
ley del ISO Y acreditamientos y extensionesley del ISO Y acreditamientos y extensiones
ley del ISO Y acreditamientos y extensionesYimiLopesBarrios
 
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptx
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptxHUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptx
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptxGerardoOroc
 
Proyecto de catálogo de cuentas EMPRESA.
Proyecto de catálogo de cuentas EMPRESA.Proyecto de catálogo de cuentas EMPRESA.
Proyecto de catálogo de cuentas EMPRESA.ssuser10db01
 
5.2 ENLACE QUÍMICO manual teoria pre universitaria
5.2 ENLACE QUÍMICO manual teoria pre universitaria5.2 ENLACE QUÍMICO manual teoria pre universitaria
5.2 ENLACE QUÍMICO manual teoria pre universitariamkt0005
 
Estructura y elaboración de un presupuesto financiero
Estructura y elaboración de un presupuesto financieroEstructura y elaboración de un presupuesto financiero
Estructura y elaboración de un presupuesto financieroMARTINMARTINEZ30236
 
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdf
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdfMANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdf
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdflupismdo
 
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZAS
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZASVALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZAS
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZASJhonPomasongo1
 
Trabajo no remunerado de las mujeres en México.pptx
Trabajo no remunerado de las mujeres en México.pptxTrabajo no remunerado de las mujeres en México.pptx
Trabajo no remunerado de las mujeres en México.pptxguadalupevjara
 
Administración del capital de trabajo - UNR.pdf
Administración del capital de trabajo - UNR.pdfAdministración del capital de trabajo - UNR.pdf
Administración del capital de trabajo - UNR.pdfMarcelo732474
 
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdf
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdfQUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdf
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdflupismdo
 
Trabajo tres_23 de abrilkckckckkckkccckc
Trabajo tres_23 de abrilkckckckkckkccckcTrabajo tres_23 de abrilkckckckkckkccckc
Trabajo tres_23 de abrilkckckckkckkccckclauravacca3
 
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptx
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptxPRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptx
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptxmanuelrojash
 
puntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdfpuntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdfosoriojuanpablo114
 
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptx
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptxS. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptx
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptxMayraTorricoMaldonad
 
Situación y Perspectivas de la Economía Mundial (WESP) 2024-UN.pdf
Situación y Perspectivas de la Economía Mundial (WESP) 2024-UN.pdfSituación y Perspectivas de la Economía Mundial (WESP) 2024-UN.pdf
Situación y Perspectivas de la Economía Mundial (WESP) 2024-UN.pdfCondor Tuyuyo
 
Sección 13 Inventarios, NIIF PARA PYMES
Sección 13 Inventarios, NIIF PARA PYMESSección 13 Inventarios, NIIF PARA PYMES
Sección 13 Inventarios, NIIF PARA PYMESssuser10db01
 
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICOlupismdo
 
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdf
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdfEL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdf
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdfssuser2887fd1
 
Sistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacionSistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacionPedroSalasSantiago
 

Último (20)

383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf
383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf
383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf
 
ley del ISO Y acreditamientos y extensiones
ley del ISO Y acreditamientos y extensionesley del ISO Y acreditamientos y extensiones
ley del ISO Y acreditamientos y extensiones
 
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptx
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptxHUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptx
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptx
 
Proyecto de catálogo de cuentas EMPRESA.
Proyecto de catálogo de cuentas EMPRESA.Proyecto de catálogo de cuentas EMPRESA.
Proyecto de catálogo de cuentas EMPRESA.
 
5.2 ENLACE QUÍMICO manual teoria pre universitaria
5.2 ENLACE QUÍMICO manual teoria pre universitaria5.2 ENLACE QUÍMICO manual teoria pre universitaria
5.2 ENLACE QUÍMICO manual teoria pre universitaria
 
Estructura y elaboración de un presupuesto financiero
Estructura y elaboración de un presupuesto financieroEstructura y elaboración de un presupuesto financiero
Estructura y elaboración de un presupuesto financiero
 
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdf
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdfMANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdf
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdf
 
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZAS
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZASVALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZAS
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZAS
 
Trabajo no remunerado de las mujeres en México.pptx
Trabajo no remunerado de las mujeres en México.pptxTrabajo no remunerado de las mujeres en México.pptx
Trabajo no remunerado de las mujeres en México.pptx
 
Administración del capital de trabajo - UNR.pdf
Administración del capital de trabajo - UNR.pdfAdministración del capital de trabajo - UNR.pdf
Administración del capital de trabajo - UNR.pdf
 
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdf
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdfQUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdf
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdf
 
Trabajo tres_23 de abrilkckckckkckkccckc
Trabajo tres_23 de abrilkckckckkckkccckcTrabajo tres_23 de abrilkckckckkckkccckc
Trabajo tres_23 de abrilkckckckkckkccckc
 
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptx
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptxPRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptx
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptx
 
puntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdfpuntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdf
 
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptx
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptxS. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptx
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptx
 
Situación y Perspectivas de la Economía Mundial (WESP) 2024-UN.pdf
Situación y Perspectivas de la Economía Mundial (WESP) 2024-UN.pdfSituación y Perspectivas de la Economía Mundial (WESP) 2024-UN.pdf
Situación y Perspectivas de la Economía Mundial (WESP) 2024-UN.pdf
 
Sección 13 Inventarios, NIIF PARA PYMES
Sección 13 Inventarios, NIIF PARA PYMESSección 13 Inventarios, NIIF PARA PYMES
Sección 13 Inventarios, NIIF PARA PYMES
 
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO
41 RAZONES DE PORQUE SI ESTAMOS MAL EN MÉXICO
 
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdf
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdfEL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdf
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdf
 
Sistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacionSistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacion
 

Auditoría informática: tipos y áreas clave

  • 1. Tipos de Auditoría Informática INICIO - AUDITORIA FISICA - AUDITORIA OFIMATICA - AUDITORIA DE DIRECCION - AUDITORIA DE MANTENIMIENTO - AUDITORIA DE BASE DE DATOS AUDITORIA FISICA Activos informáticos, observaciones donde estan y que existan en el inventario, prevención y seguridad. Todos estos activos estan fisicamente seguros y adecuados, posibles fallas fisicas, saber si se tiene un plan específico despues de un desastre, identificar cuales son sus planes de acción para la seguridad en cuanto a un desastre. comprueba la existencia de los medios fisicos y también su funcionalidad, racionalidad y seguridad. Ésta garantiza la integridad de los activos humanos, logicos y materiales de centro de computo. Areas de conocimiento de la auditoria fisica Organigrama respectivo de la empresa, auditorias internas pasadas, administración de la seguridad (asignar responsabilidades a cada una de las personas), centro deprocesos de datos (identificar cada una de las salas que se debe asegurar), equipos y comunicaciones (de manera especifica), seguridad fisica del personal (información que se debe tener). Lista donde esta la información Manual de procedimientos, jefes de departamento, recursos humanos, altos directivos,m reglamentos y cursos de capacitación. Herramientas Entrevistras, cuestionarios, encuestas y gráficas. AUDITORIA OFIMATICA Estudio de una aplicación a la cual debemos evaluar, saber si realmente sirve para su requerimiento, previo a compra de software se haya hecho un estudio para saber si realmente lo está utilizando de la manera más adecuada. La Ofimática Sistema automatizado uqe genera, procesa, almacena, recupera,comunica y presenta datos relacionados con el funcionamiento de la oficina. Escritorio virtual, trabajo en equipo (Lotus, Nous, grp, etc.), estaciones de trabajo, aplicaciones, medidas de seguridad que tienen los usuarios, controles de la ofimáticaque se deben ocupar (economia, eficacia y eficiencia). • Determinar si el inventario ofimático de los equipos reflejan con exactitud el número de equipos y aplicaciones reales. • Determinar y evaluar el procedimiento de adqusición de equipos y aplicaciones. • Determinar y evaluar la política de mantenimiento definida en la organización. • Evaluar la calidad de las aplicaciones del entorno ofimático desarrollado por el propio personal de la organización. • Evaluar la corrección del procedimiento existente para la realización de cambios de versiones y aplicaciones. • Determinar si los usuarios cuentancon suficiente información y la documentación de apoyo para la realización de sus actividades de un modelo eficaz y eficiente. • Determinar si el sistema existe y si realmente cumple con las necesidades de la organización. Anomálias - Seguridad.- Determinar si existen garantias suficientes para proteger los accesos no autorizados a la información reservada a la empresa y a la integridad de la misma. 1. Acceso por medio de contraseñas. - Procedimiento para la asignación de contraseñas.
  • 2. - Procedimiento para cambioperiodico de contraseñas. 2. Información impresa. - Accesos autorizados. - Verificar que esta información se encuentra siempre en cajones. - Maquinas que distribuyen los documentos . 3. Verificar que la información de encuentre clasificada. Determiar si el procedimiento de generación de copias de respaldo es fiable y garantiza la recuperación de la información 1. Que este especificado. 2. Que la perioricidad sea acorde a las condiciones ofimáticas. 3. Que se cumpla el procedimiento. 4. Que la calidad del respaldo este garantizada (tomar un respaldo y verificar si realmente funciona y el procedimiento sea el adecuado). 5. Que realmente esten resguardados los respaldos en un área segura. determinar si estan garantizados el funcionamiento ininterrumpido de aplicaciones críticas. 1. Planta de luz alternativa. 2. Asignación e responsabilidades en cadena para lebvantar el sistema. Determinar el grado de exposición ante la posibilidad de intrusos, de virus (medida del riesgo para poder protegerse por la intrusión de virus por eso es necesario tener antivirus). 1. Tener antivirus. 2. Checar actualizaciones de antivirus y que todas las maquinas lo tengan. AUDITORIA DE DIRECCION Siempre en una organización se dice que esta es un reflejo de las carcxteristicas de su dirección, los modos y maneras de actuar de aquella estan influenciadas por la filosofia y personalidad del director. Acciones de un Director • Planificar. (este acorde al plan estrategico (conocimiento a evaluar acciones a realizar)). - Lectura y analisis de actas, acuerdoss, etc. - Lectura y analisis de informes gerencciales. - Entrevistas con el mismo director dell departamento y con los directores de otras áreas. • Organizar. • Controlar. • Coordinar. Las enormes sumas que las empresas dedican a la tecnólogia de la información y de la dependencia de estás con los procesos de la organización hacen necesaria una evaluación independiente de la función que la gestiona (dirige). AUDITORIA DE LA DIRECCIÓN DE GESTIÓN - Planificar - Evaluar - Plan estrategico. - Recursos asignados a cada plan de proyecto. - Organizar y coordinar Se va a realizar de acuerdo con lo planeado, el director debe establecer los flujos de información para que no haya fallas. - Organizar El proceso de organizar consiste en estructurar recursos, los flujos de información y los controles que permiten alcanzar los objetivos marcados por la calificación. Para poder evaluar y dar seguimiento a estas funciones se establece un comité de informática que afectan a toda la empresa y permite a los usuarios como las actividades de la organización no solo de su área, se pueden fijar las prioridades. El auditor debe asegurarse que exista esté comité y que cumpla su papel adecuadamente. Las acciones a realizar por el auditor son: • Verificar que exista una normativa interna donde se especifique las funciones del comite.
  • 3. • Entrevistar a miembros de este para conocer por parte de ellos funciones que realmente realizan. Existe comité de informática - Normativa interna. - Entrevistas a los representantes de llos usuarios para conocer si entienden y si estan de acuerdo con el comité. - Entrevista con los miembros. Criterio para asignar a los miembros del comite. • Verificar trabajo del comité - Lectura de actas de comité para comprrobar que el comité cumple efectivamente las funciones y que los acuerdos son tomados correctamente tomando en cuenta la opinión de los miembros del comité. AUDITORIA DE MANTENIMIENTO - Evalua la etapa del mantenimiento (4 a 6 meses la durac. delmantenimiento - Importancia (etapa del mantenimiento (15 dias a 1 mes (mantenimiento con cambios)) "mayor costo". - Evaluar trabajo. - Lista de revisiones. - Existe documentación para el requerimiento de cambios. - Documentación de los cambios. - Pruebas de las modificaciones (lista de prueba y su observación). - La aceptación de pruebas, con la cual se liberan los cambios. - Logistica (por procedimientos) para realixzar el cambio de modificaciones (vesiones) del servidor de producción. Valoración del esfuerzo de trabajo. No. > mayor esfuerzo. No. < menor esfuerzo. Se debe utilizar ciertos criterios que son: - Esfuerzo de la etapa de mantenimientoo. meshombre (etapa de mantenimiento esfuerzo) = trafico de cambio actual meshombre de desarrollo. TCA = numero de lineas nuevas + numero de lineas modificadas numero de lineas iniciales meshombredesarrollo = 2.4Ks1.05 = 3.0Ks = 3.6Ks1.20 Ks = estimación del tamaño del programado en miles de lineas de código. • Comprensibilidad del siatema - Identificar que los archivos tengan nnombre adecuado a lo que se esta codificando. - Facil de entender. - Nombres adecuados de acuerdo al tipo de datos e información - Comentarios por lomenos cada 50 lineaas de código. • Que sea modificable - Que tan modificable es.< • Testeable - Que los pongamos a prueba para verifiicar sirealmente es correcto. - Se introduzca códigode detección de eerrores. AUDITORIA DE BASE DE DATOS 1. Confidencialidad. - Identificar el archivo documento que listen los perfiles de usuarios. - Verificar que el documentotenga el tiipo de acceso "ad hoc" al grupo de usuarios.
  • 4. - Realizar encuestas y aplicar cuestionnarios para verificar que los perfiles realmente hayan sido aplicados. - Revisar los usuarios en el sistema manejador de base de datos y canalizar los perfiles con el documento arriba mencionado. PUNTOS A LOS QUE SE ENFOCA EL AUDITOR Control y seguridad de la base de datos (se tenga siempre una lista de los usuarios asi como tambien diferentes perfiles, tipos de usuarios, documentación sobre cambios, accesos limitados, buscar e identificar que cada uno este en su puesto, que administradores tienen acceso, los programadores no deben tener acceso a la base realsino que debe tener acceso a usuarios en la misma, que usuarios tienen acceso a toda la base de datos en caso de que no tenga los perfiles el auditor debe de identificarlos e identificar que cada persona este en su puesto), diseño(identificar que realemente se deje una trayectoria o documentación sobre la base de datos, que tenga diccionario de base de datos y cada uno tenga los datos adecuados, lista de los objetos. La investigación de la arquitectura (se refiere al sistema operativo y el software para crear una base de datos ademas de que deban ser compatible, checar estudio previo para escojer el sofware adecuado, verificar que los componentes que se compren sean los adecuados para la compatibilidad) el ciclo de vida de una base de datos (cuanto tiempo duraráel sistema o base de datos que se diseño), estudio de la información este realmente de acuerdo con la empresa que esta utilizando en este momento, si se cuenta con la documentación de la reingenieria aplicada, tener almacenados ciertos archivos que se modifican, verificar que exista un oficio para poder hacer la modificación con las autorizaciones necesarias, verificar que exista registro de todo. Las normas mas utilizadas son: Norma COBIT La norma COBIT fue lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores. Usuarios: La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
  • 5. Los Responsables de TI: para identificar los controles que requieren en sus áreas. Características: Orientado al negocio Alineado con estándares y regulaciones “de facto” Basado en una revisión crítica y analítica de las tareas y actividades en TI Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA) Principios: El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. COBIT se divide en tres niveles: Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible. Descargar: COBIT Norma Técnica Peruana (NTP) Esta Norma Técnica Peruana establece un marco de referencia común para los procesos del ciclo de vida del software, con una terminología bien definida a la que puede hacer referencia la industria del software. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un producto software puro o un servicio software y durante el suministro, desarrollo, operación y mantenimiento de productos software. El software incluye la parte software del firmware. Limitaciones Esta NTP describe la arquitectura de los procesos del ciclo de vida del software, pero no especifica los detalles de cómo implementar o llevar a cabo las actividades y tareas incluidas en los procesos.
  • 6. AUDITORIA INFORMÁTICA Auditoría de la Gestión de las Tecnologías de Información La Auditoría de la Gestión de las Tecnologías de Información, es vital para que se pueda mejorar la gestión de las gerencias de informática y en general de las diversas áreas usuarias de los servicios de tecnologías de información en las organizaciones. La auditoria informática comprende la evaluación de la gestión de las tecnologías de información sobre la base de normas nacionales y/o internacionales, verificándose su cumplimiento enmarcado en el ciclo de calidad: Planificar, Ejecutar, Evaluar y Actuar (tomar acciones correctivas). Se explicó brevemente las siguientes normas internacionales: COBIT, ISO/IEC 12207, ISO/IEC 17799, ITIL (ISO/IEC 20000), y PMBOK, las cuales sirvieron de base para la Metodología para la Auditoria Integral de la Gestión de las Tecnologías de Información (MAIGTI). Se explicó, también brevemente las certificaciones que existen relacionadas a la auditoria informática. En conducción: Ing. Rosa Menéndez, docente e investigadora a tiempo completo de la Universidad Wiener, conductora del programa Sociedad Láser tuvo como invitado al Ing. Emigdio Alfaro, Decano de la Facultad de Ingeniería de la Universidad Privada Norbert Wiener. Certificaciones en Auditoria, Seguridad y Gobernabilidad TI Posted by jdcaramutti en 1 junio, 2010 La Asociación de Auditoria y Control de Sistemas de Información o ISACA – Information Systems Audit and Control Association, cuyo slogan es “al servicio de los profesionales encargados de la gobernabilidad de las tecnologías de la información (TI)”, ofrece tres certificaciones: CISA, CISM y CGEIT, en auditoria, seguridad y gobernabilidad de TI respectivamente. La certificación ISACA CISM-Certified Information Security Manager o administrador de seguridad de sistemas de información, está dirigida específicamente a profesionales experimentados en seguridad de la información. Esta orientada a la gerencia de riesgos y seguridad de la información, así como al diseño y manejo de aspectos técnicos a un nivel conceptual. Los exámenes son en junio y diciembre, y para la preparación ISACA ofrece el Manual de preparación al examen CISM 2008 (US$75) y otros manuales de preguntas, respuestas y explicaciones. La edición 2008 del manual se ha desarrollado y organizado para ayudar a los candidatos a CISM a prepararse en las siguientes áreas de práctica de trabajo: 1. Gobierno de la seguridad de información, 2. Administración de riesgos de información, 3. Desarrollo del programa de seguridad de información, 4. Administración del programa de seguridad de información, 5. Manejo y respuesta de incidentes.
  • 7. También puede preparase a través de cursos ofrecidos por las “filiales” o capítulos existentes en diversos países de la región, tales como ISACA Perú, Colombia y Chile. Este último será sede del gran evento ISACA Latin American CACS 2008 (Agosto 17-20). En todos los casos, los costos son menores para los miembros de ISACA, cuya suscripción anual está alrededor de US$160, pudiendo hacerlo también en forma semestral (Jun-Set) a menos del 50%. Si eres un profesional orientado a la gestión de TI, considera seriamente estas certificaciones. Posted in ISACA | Leave a Comment » Política de Seguridad Posted by jdcaramutti en 1 junio, 2010 La PCM conciente de los riesgos tecnológicos actuales, al cual estan expuestos los activos de información de las diferentes organizaciones del sector público, el 25 de Agosto del 2007 emitió a través de la Resolución Ministerial 246-2007-PCM, el uso obligatorio de la NTP-ISO/IEC 17799:Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. Toda norma que regule la materia de seguridad de la información, tiene como finalidad asegurar los tres requisitos básicos:  Confidencialidad. Exclusivamente las personas autorizadas a disponer de la información pueden acceder a ella.  Integridad. La información ha de encontrarse operativa tal y como se encuentra en los sistemas de información. No ha de ser manipulada ni en su origen, ni en su destino, salvo por aquellas personas autorizadas.  Disponibilidad. El acceso continúo a la información, en cualquier momento, por aquellas personas autorizadas a tratar y disponer de aquella. Los tres requisitos precedentes son los pilares para asegurar la información y cualquier proceso que haga uso de esta como por ejemplo, la normativa de firma electrónica, el funcionamiento del D.N.I. electrónico, las medidas de seguridad en materia de protección de datos de carácter personal, etc. La NTP contempla diferentes aspectos a ser considerados en la elaboración de los planes de seguridad de la información:  Política de seguridad  Aspectos organizativos para la seguridad  Clasificación y control de activos  Seguridad ligada al personal  Seguridad física y del entorno  Gestión de comunicaciones y operaciones  Control de accesos  Desarrollo y mantenimiento de sistemas  Gestión de incidentes de seguridad de la información  Gestión de continuidad de negocio  Conformidad
  • 8. Puedes encontrar mayor información en la NTP publicada en el banco de normas de la ONGEI Alcances Todas las instituciones públicas del Estado Peruano deberan considerar en materia de seguridad de la información lo siguiente:  Las instituciones deberán implementar sus planes de seguridad en base a la NTP-ISO/IEC 17799.  Las máximas autoridades de las instituciones deberán conformar un Comité de Seguridad de la Información integrado por representantes de las Direcciones Nacionales o Generales o equivalentes de la institución.  Las máximas autoridades de las instituciones deberán asignar las responsabilidades en materia de seguridad de la información a funcionarios de su planta.  Los planes de seguridad se reflejarán en los planes operativos informáticos de las instituciones(POI). Ambito de aplicación de la Norma:  Segun Decreto Supremo N° 063-2007-PCM y Decreto Legislativo N° 604, la ONGEI es el órgano especializado que depende jerárquicamente del Presidente del consejo de Ministros encargada de dirigir, como ente rector, el Sistema Nacional de Informática y de implementar la política nacional de Gobierno Electrónico e Informático.  En este sentido el ámbito de aplicación incluye a todas las entidades del Gobierno Central, Organismos Públicos Descentralizados, Gobiernos Regionales, Direcciones Regionales y cualquier organización estatal no empresarial con: o Autonomía financiera o Personalidad jurídica o Patrimonio propio Donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de las decisiones. Plazos: La implementación de la Norma se dará de manera progresiva y teniendo como plazos los estipulados en la RM 244-2004-PCM el haber preparado su plan de implementación. Modelo simplificado de Implementación La aplicación de la Norma Técnica Peruana de Seguridad de la Información tiene que estar alineada a la misión, visión, y objetivos que persigue la organización. A partir de este análisis se tiene que aplicar un esquema de gestión de la seguridad de la información. Para lo cual se detalla a continuación un esquema simplificado de cómo debería de aplicarse la NTP-ISO/IEC 17799:2004 dentro de cualquier organización pública. 1. ETAPA I Esta primera etapa consiste en analizar la misión, visión y objetivos de la organización. Misión y Visión y Objetivos de la Organización.
  • 9. La misión y visión dan el enfoque claro de lo que la organización debería plantearse en términos de seguridad de la información de manera general. Identificación de los recursos dentro de los procesos de la organización El análisis de las principales funciones dentro de los procesos de la organización nos permitirá identificar todos los recursos que interactúan en estos procesos, los cuales podemos clasificarlos de la siguiente manera: Materiales y Tecnológicos Los recursos materiales y tecnológicos involucrados. Recursos Humanos Los recursos humanos involucrados. Como resultado de esta etapa se tiene que tener una matriz con las funciones y todos los recursos o activos de información involucrados dentro del proceso analizado. 2. ETAPA II En esta etapa debemos de usar la información obtenida de la Etapa I, para implementar lo que se recomienda dentro de la NTP-ISO/IEC 17799. Establecimiento de la Política de Seguridad de la organización. Se establecerá la política general a nivel de toda la organización, a partir de esta política se desarrollarán las normativas internas y procedimientos específicos, para cada área dentro de la empresa con el fin de cumplir con la política general. Efectuar un análisis de riesgos. En base a los activos identificados en la Etapa I, se comenzará a elaborar un análisis de riesgos, con la finalidad de poder identificar las vulnerabilidades, amenazas e impacto de estos sobre los activos identificados. En base a los controles establecidos para cada dominio de la Norma que permita establecer la Brecha El análisis de riesgos nos permitirá priorizar cuales son los activos prioritarios a proteger, y en base a esto realizar una comparación de lo que ya se tiene implementado versus lo que falta implementar, como medidas de seguridad. 3. ETAPA III
  • 10. En esta etapa se tiene que proyectar la implementación de lo que se necesita en términos de seguridad. Documentación del Plan de Seguridad de la Información Establecimiento del documento del plan a 1, 2 o 3 años. Implementación del Plan de Seguridad dentro del POI Lo que se tiene en el plan tiene que estar reflejado como un proyecto de TI adicional dentro del Plan Operativo Informático. 4. ETAPA IV Una vez elaborados los pasos anteriores se definen como entregables los siguientes documentos:  Política de Seguridad  Análisis de riesgos  Brecha de lo implementado y lo que falta por implementar  Plan de Seguridad de la Información (reflejado en el POI) Gestión de la Seguridad Consideramos que la protección de la información se consigue mediante un conjunto de acciones coordinadas y planificadas consistentes en minimizar los riesgos y maximizar la eficiencia en los procesos de la organización. La información es uno de los activos más importantes de una empresa, por lo que la protección en ese ámbito ha de ser de prioritaria. La norma ISO 27001 es un instrumento base para la gestión de la seguridad de la información, estructurándose en un conjunto de controles y de recomendaciones dirigido a los responsables de promover, implantar y mantener la seguridad en las entidades. Mediante ella las empresas pueden certificar sus Sistemas de gestión de Seguridad de la Información (SGSI). Un SGSI es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información en función de los requisitos técnicos, legales y organizativos identificados en la organización. Gestion del Riesgo El análisis del riesgo es una de las fases cruciales para el desarrollo y operación de un SGSI. En esta fase la organización debe construir lo que será su “modelo de seguridad”, una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización). El análisis de riesgos es como la visita del doctor donde nos identifica alguna enfermedad. Se realizan una serie de actividades como son: identificación de activos, identificación de amenazas, estimación de impactos y vulnerabilidades y con todo ello ya se puede calcular el riesgo.
  • 11. Pero éste diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación en la ocurrencia de las amenazas. Por tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si tiene nuevos sintomas o si los sintomas detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La mejora contínua afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es plantearse para el siguiente año atacar los siguientes menos altos. Posted in ONGEI | Leave a Comment » Auditorias Posted by jdcaramutti en 1 junio, 2010 1. Auditoria De Gestion En El Area De Recursos Humanos De Essalud” CONCLUSIONES Y RECOMENDACIONES 1. CONCLUSIONES 1.1. CONCLUSIÓN FINAL En relación a la auditoría de gestión los resultados obtenidos en la investigación; permiten establecer, que la evaluación realizada contribuye en gran medida con la efectividad, eficiencia y economía de los recursos humanos. 1.2. CONCLUSIONES PARCIALES a. El adecuado planeamiento de la auditoría de gestión, sin ninguna duda, facilita la determinación de la efectividad, eficiencia y economía del Area de Recursos Humanos de EsSalud. b. La preparación de programas de auditoría, la aplicación de técnicas, pruebas y obtención de evidencias de auditoría permiten la elaboración de hallazgos de auditoría, observaciones, conclusiones y recomendaciones del Area de Recursos Humanos. c. Las medidas correctivas para optimizar la gestión de los recursos humanos, sólo se puede llevar a cabo si se analiza e interpreta correctamente el contenido de los informes de la auditoría de gestión. d. La supervisión o monitoreo llevadas a cabo en forma permanente y/o puntual asegura el seguimiento de las medidas correctivas adoptadas por el Area de Recursos Humanos, hasta obtener la eficiencia y eficacia del Area. e. Mediante la aplicación de la Auditoría de Gestión, es posible realizar ajustes, si fuera el caso, a los planes y programas del Area de Recursos Humanos para su gerenciamiento óptimo.
  • 12. 2. Policía Nacional Del Perú: Auditoría Integral, Herramienta Para El Buen Gobierno Y Respuesta Efectiva Contra La Corrupción La investigación titulada “Policia Nacional Del Peru: Auditoria Integral, Herramienta Para El Buen Gobierno Y Respuesta Efectiva Contra La Corrupcion”, tiene como objetivo: “Identificar el alcance de la auditoría integral, que permita formular el planeamiento, ejecución y obtención de resultados de la auditoría, de modo que contribuyan al buen gobierno institucional y luchar efectivamente contra la corrupción en la Policía Nacional del Perú“. La corrupción es un acto ilegal casi institucionalizado en el quehacer de los niveles gubernamentales. Para enfrentarse a tales actos la Dirección General de la Policía Nacional del Perú, debe hacer uso de una extraordinaria herramienta de gestión y control institucional, como es la auditoría integral. La auditoría integral, además de evidenciar los procesos y procedimientos institucionales, va a aportar las recomendaciones que requiere la entidad para adoptar una política severa, justa y decidida para no tolerar comportamientos de corrupción por parte de directores, jefes, personal policial; funcionarios y trabajadores. Para el desarrollo de este trabajo se ha aplicado la metodología, las técnicas e instrumentos necesarios para una adecuada investigación, en el marco de las normas de la Escuela de Post Grado de la Universidad Nacional Federico Villarreal. 3. Perú: La Auditoria Académica Y Las Acciones De Control Para La Buena Administración De Las Universidades Nacionales En El Perú ” La auditoría académica permite emitir una opinión profesional independiente, respecto a si las actividades académicas en su conjunto, presentan razonablemente la situación de dichas actividades, de acuerdo con las leyes, políticas, procesos y procedimientos establecidos ” 4. Auditoría médica de historias clínicas en consulta externa de cuatro hospitales públicos peruanos. RESULTADOS Se evaluaron 04 hospitales del MINSA, en cada uno de ellos fueron revisadas no menos de 384 Historias Clínicas: Hospital de Apoyo Bagua – Amazonas:396 historias clínicas (HC), Hospital Las Mercedes de Chiclayo – Lambayeque:390 HC, Hospital Daniel Alcides Carrión de Huancayo – Junín: 384 HC, y Hospital Regional de Ica: 396 HC. La recolección de las datas se hizo durante las dos primeras semanas del mes de abril del 2005.
  • 13. Considerando las dimensiones propuestas, se evidenciaron los resultados agrupando las mismas en cuatro categorías básicas: registro de funciones vitales con 8,75% (rango: Junín 0,00%-Amazonas 25,76%), registro de síntomas de consulta con 91,08% (rango: Lambayeque 77,18%-Amazonas 99,49%), registro de examen físico con 56,63% (rango: Junín 17,06%-Amazonas 80,46%), registro de diagnóstico del paciente con 97,43% (rango: Lambayeque 93,04%-Amazonas 100,00%), y registro del tratamiento o plan de trabajo con 89,37% (rango: Junín 82,41%-Amazonas 99,75%). Además se evaluaron las variables administrativas siguientes: registro de fecha y hora con 13,70% (rango: Amazonas 0,25%-Ica 37,20%), y registro de la firma y sello del profesional que hizo dicha consulta con 54,65% (rango: Ica 41,67%-Amazonas 65,65%)