Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Curso: Auditoría de sistemas: 03 Auditoría informática
1. 1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría de Sistemas
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesiones 10 y 11
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.html
http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.doc
http://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
http://www.impulsotecnologico.com/empresa-madrid/auditoria-informatica-checklist-informes-auditores-informaticos/
Recordemos
Si se requiere, entre otros
Evaluación administrativa del área de
procesos electrónicos.
Evaluación de los sistemas y
procedimientos.
Evaluación de los equipos de
cómputo.
Evaluación del proceso de datos, de los
sistemas y de los equipos de cómputo
(entre otros, pero no limitados a:
software, hardware, redes, bases de
datos, comunicaciones).
Seguridad y confidencialidad de la
información.
Considerar aspectos legales de los
sistemas de la información
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Es necesario dimensionar
El tamaño del organismo a
auditar
Las características del área a
auditar
Los sistemas, organización y
equipo
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.html
http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.doc
http://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
Determinar el nivel de servicio
requerido
Requerido
para
Requerirá gestión
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Entonces se requiere un plan que contemple, como mínimo
Fuente: http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm
http://s3.amazonaws.com/ppt-download/planeaciondelaauditoriainformatica-100218170948-phpapp01.pdf?response-content-
disposition=attachment&Signature=H61Mb%2B%2BGYAEosV0ApKjrYoU4OWk%3D&Expires=1430003671&AWSAccessKeyId=AKIAIA7Q
TBOH2LDUZRTQ
Establecer objetivos, alcance, inclusiones, exclusiones, limitaciones, restricciones, presupuestos
y cronograma (costos, responsables, H-H, hitos, calendario) del trabajo.
Obtener información de apoyo sobre las actividades que se auditarán –nivel de exposición.
Determinar los recursos necesarios para realizar la auditoría, incluidos personal, funciones,
procedimientos, técnicas y herramientas (listas de verificación, encuestas, entre otros),
sistema de evaluación.
Establecer el plan de gestión de comunicaciones.
Gestión de la calidad.
Seguimiento de acciones correctoras.
Realización del diagnóstico, análisis y evaluación de desviaciones.
Gestión de riesgos.
Realizar, en la forma más apropiada, una inspección física para familiarizarse con las actividades
y controles a auditar, así como identificación de las áreas en las que se deberá hacer énfasis al
realizar la auditoría y promover comentarios y la promoción de los auditados.
Preparar por escrito el programa de auditoría –el plan de gestión.
Obtener la aprobación del plan de trabajo de la auditoría –acta de constitución.
¡Un plan de gestión
de proyecto!
¡6W-2H!
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Casos …
En un “Laboratorio de Medicamentos” se llevó a cabo la “Auditoría de
la Documentación”, la cual es utilizada por el área de Sistemas para
controlar el cumplimiento del desarrollo de los sistemas.
Se observa lo siguiente:
en las distintas etapas de desarrollo, la documentación está incompleta
ciertos datos de los documentos no se corresponden con la realidad, es decir
que la documentación no fue actualizada
no se especifica quién llevó a cabo la documentación
no existe un lugar o acceso directo en el que cualquier persona autorizada
pueda acceder a la documentación de un sistema determinado
no hay un formato determinado de documentación para cada etapa de
desarrollo
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Casos …
En una “Empresa Automotriz” se llevó a cabo la “Auditoría de una
BPR”, la cual es utilizada por el área de Sistemas y por la Alta Dirección
para controlar el cumplimiento de este tipo de proyecto. La empresa
cuenta con equipos mainframes, los cuales serán reemplazados por
Servers que estarán distribuidos según las distintas áreas de la
empresa. Se realizará un nuevo planteo de todas las aplicaciones
existentes.
Se observa lo siguiente:
determinados procesos de negocio de la empresa no fueron cambiados en un
100%
el personal, en su totalidad, no estaba capacitado para llevar a cabo este
cambio tecnológico
sería necesario re-definir los roles y responsabilidades de todas las personas
que intervienen en el proyecto
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Casos …
En una “Empresa de Telefonía Celular” se llevó a cabo la “Auditoría de
una Etapa de Implantación”, la cual es utilizada por el Director del
proyecto para evaluar el desarrollo del mismo. Un equipo de 20
programadores se ocupa de llevar a cabo la prueba de los sistemas en
desarrollo. Cada programador se ocupa, entre otras cosas, de probar
aplicaciones y de emitir un informe en base a los resultados obtenidos
de la prueba. En caso de encontrar fallas, el programador informará en
qué sistema existen los inconvenientes. El Analista funcional decidirá
quién resuelve las fallas encontradas. La aprobación final de una
aplicación se registra en un documento.
Se observa que:
no todas las componentes cumplen las especificaciones funcionales llevadas a
cabo
los resultados de las pruebas no son los correctos
no existe un documento de conformidad de los usuarios hacia el equipo de
desarrollo respecto de lo realizado hasta el momento
la BD no cuenta con todos los objetos necesarios para la prueba de los
sistemas
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Casos …
En una “Empresa siderúrgica” se llevó a cabo la “Auditoría de Calidad
de Software”, la cual es utilizada por el equipo del proyecto para
evaluar el software existente en la empresa. Un equipo de 12
profesionales de sistemas utiliza el modelo ISO 9126 para llevar a cabo
la auditoría. Se evaluarán los siguientes aspectos:
1. Funcionalidad (aptitud, precisión, interoperatividad, conformidad y
seguridad)
2. Fiabilidad (madurez, tolerante a fallos y recuperabilidad)
3. Usabilidad (comprensibilidad, facilidad de aprendizaje y operatividad)
4. Eficiencia (respecto al tiempo y respecto a los recursos)
5. Mantenibilidad (facilidad de análisis, facilidad de cambio, estabilidad y
facilidad de prueba)
6. Portabilidad (adaptabilidad, facilidad de instalación, conformidad y
reemplazabilidad)
Se auditará la aplicación correspondiente al “Proceso de Elaboración
del Acero”
12. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com