Este documento describe los diferentes tipos de auditoría de sistemas informáticos, incluyendo la auditoría física, de ofimática, de dirección, de explotación y de desarrollo. También discute conceptos como seguridad física, planes de contingencia y seguros relacionados a fallas de sistemas.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Muestra la estructura y principales partes de un informe de auditoría
HERNÁNDEZ HERNÁNDEZ, Enrique. Auditoría en Informática. Un enfoque práctico, 2ª Edición, México: Compañía Editorial Continental, 2000
•Gomez Vieites, Alvaro. Enciclopedia de la Seguridad Informática. México: Alfaomega, 2007.
•
•Marín, Jorge. Amenazas Informáticas. Disponible en: http://www.mantenimientodecomputadoras.com.mx/index.php?option=com_content&view=article&id=51:amenazas-informaticas&catid=39:software
•Moreno León, Jesús. Test sobre conocimientos de seguridad informática. Disponible en: http://informatica.gonzalonazareno.org/plataforma/mod/forum/discuss.php?d=1673
Muestra la estructura y principales partes de un informe de auditoría
HERNÁNDEZ HERNÁNDEZ, Enrique. Auditoría en Informática. Un enfoque práctico, 2ª Edición, México: Compañía Editorial Continental, 2000
•Gomez Vieites, Alvaro. Enciclopedia de la Seguridad Informática. México: Alfaomega, 2007.
•
•Marín, Jorge. Amenazas Informáticas. Disponible en: http://www.mantenimientodecomputadoras.com.mx/index.php?option=com_content&view=article&id=51:amenazas-informaticas&catid=39:software
•Moreno León, Jesús. Test sobre conocimientos de seguridad informática. Disponible en: http://informatica.gonzalonazareno.org/plataforma/mod/forum/discuss.php?d=1673
En esta presentación encontramos la información utilizada por el Departamento de Sistemas de la Universidad Cooperativa de Colombia Seccional Bucaramanga.
La Unidad Eudista de Espiritualidad se complace en poner a su disposición el siguiente Triduo Eudista, que tiene como propósito ofrecer tres breves meditaciones sobre Jesucristo Sumo y Eterno Sacerdote, el Sagrado Corazón de Jesús y el Inmaculado Corazón de María. En cada día encuentran una oración inicial, una meditación y una oración final.
IMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁClaude LaCombe
Recuerdo perfectamente la primera vez que oí hablar de las imágenes subliminales de los Testigos de Jehová. Fue en los primeros años del foro de religión “Yahoo respuestas” (que, por cierto, desapareció definitivamente el 30 de junio de 2021). El tema del debate era el “arte religioso”. Todos compartíamos nuestros puntos de vista sobre cuadros como “La Mona Lisa” o el arte apocalíptico de los adventistas, cuando repentinamente uno de los participantes dijo que en las publicaciones de los Testigos de Jehová se ocultaban imágenes subliminales demoniacas.
Lo que pasó después se halla plasmado en la presente obra.
LA PEDAGOGIA AUTOGESTONARIA EN EL PROCESO DE ENSEÑANZA APRENDIZAJEjecgjv
La Pedagogía Autogestionaria es un enfoque educativo que busca transformar la educación mediante la participación directa de estudiantes, profesores y padres en la gestión de todas las esferas de la vida escolar.
2. • AUDITORIA FÍSICA
• AUDITORIA DE LA OFIMÁTICA
• AUDITORIA DE LA DIRECCIÓN
• AUDITORIA DE LA EXPLOTACIÓN
• AUDITORIA DEL DESARROLLO
3. Garantiza la integridad de los activos humanos, lógicos y material de un
CPD. (centro de procesamiento de datos)
No están claras los límites , dominios y responsabilidades de los tres tipos
de seguridad que a los usuarios les interesa: seguridad lógica, seguridad
física y seguridad de las comunicaciones
Se deben tener medidas para atender los riesgos de fallos, local o general.
Medidas…
Antes
Obtener y mantener un nivel adecuado de seguridad física sobre los
activos
Durante
Ejecutar un plan de contingencia adecuado
Después
Los contratos de seguros pueden compensar en mayor o menor medida
las pérdidas, gastos o responsabilidades que se puedan derivar una vez
detectado y corregido el Fallo.
4. Antes
El nivel adecuado de seguridad física , o grado de seguridad, es un conjunto
de acciones utilizadas para evitar el fallo, o aminorar las consecuencias.
Es un concepto general , no solo informático, en las que las personas hagan
uso particular o profesional de los entornos físicos.
Ubicación del edificio
Ubicación del CPD
Compartimentación
Elementos de construcción
Potencia eléctrica
Sistemas contra incendios
Control de accesos
Selección del personal
Seguridad de los medios
Medidas de protección
Duplicación de los medios
5. Durante
Desastre: es cualquier evento , que cuando ocurre, tiene la capacidad
de interrumpir e normal proceso de una empresa.
Se debe contar con los medios para afrontarlo cuando éste ocurra.
Los medios quedan definidos en el Plan de recuperación de desastres,
junto con el centro alternativo de proceso de datos, constituyen el Plan
de Contingencia.
Plan de contingencia inexcusablemente debe:
Realizar un análisis de riesgos de sistemas críticos
Establecer un período crítico de recuperación
Realizar un análisis de las aplicaciones críticas estableciendo
prioridades de proceso.
Establecer prioridades de procesos por días del año de las
aplicaciones y orden de los procesos
Establecer objetivos de recuperación que determinen el período
de tiempo (horas, días , semanas) entre la declaración del
desastre y el momento en que el centro alternativo puede
procesar las aplicaciones críticas.
6. Durante
*Designar , entre los distintos tipos existentes, un centro
alternativo de proceso de datos.
*Asegurar la capacidad de las comunicaciones
*Asegurar la capacidad de los servicios de Back-up
Después
*De la gama de seguros pueden darse:
*Centro de proceso y equipamiento
*Reconstrucción de medios de software
*Gastos extra ( continuidad de las operaciones y permite
compensar la ejecución del plan de contingencia)
*Interrupción del negocio ( cubre pérdidas de beneficios
netos causados por la caida de sistemas)
*Documentos y registros valiosos
7. Edificio :
Debe encargarse a peritos especializados
Las áreas en que el auditor chequea directamente :
Organigrama de la empresa
Dependencias orgánicas, funcionales y jeráraquicas.
Separación de funciones y rotación del personal
Da la primera y más amplia visión del Centro de Proceso
Auditoría Interna
Personal, planes de auditoria, historia de auditorias físicas
Administración de la seguridad
Director o responsable de la seguridad integral
Responsable de la seguridad informática
Administradores de redes
Administradores de Base de datos
Responsables de la seguridad activa y pasiva del entorno físico
Normas, procedimientos y planes existentes
8. Centro de proceso de datos e instalaciones
* Entorno en donde se encuentra el CPD
* Sala de Host
* Sala de operadores
* Sala de impresoras
* Cámara acorazada
* Oficinas
* Almacenes
* Instalaciones eléctricas
* Aire acondicionado
Equipos y comunicaciones
* Host, terminales, computadores personales, equipos de almacenamiento masivo de
datos, impresoras, medios y sistemas de telecomunicaciones.
Seguridad física del personal
* Accesos seguros
* Salidas seguras
* Medios y rutas de evacuación, extinción de incendios, sistemas de bloqueos de
puertas y ventanas
* Normas y políticas emitidas y distribuidas al personal referente al uso de las
instalaciones por el personal
9. Debieran estar accesibles:
*Políticas , normas y planes de seguridad
*Auditorías anteriores, generales o parciales
*Contratos de seguros, de proveedores y de
mantenimiento
*Actas e informes de técnicos y consultores
*Informes de accesos y visitas
*Informes sobre pruebas de evacuación
*Políticas del personal
*Inventarios de soportes ( cintoteca , back-up,
procedimientos de archivos, controles de salida y
recuperación de soporte, control de copias, etc.)
10. Técnicas:
*Observación de las instalaciones, sistemas, cumplimiento de normas y
procedimientos, etc. ( tanto de espectador como actor)
*Revisión analítica de:
*Documentación sobre construcción y preinstalaciones
*Documentación sobre seguridad física
*Políticas y normas de actividad de sala
*Normas y procedimientos sobre seguridad física de los datos
*Contratos de seguros y de mantenimiento
*Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio)
*Consultas a técnicos y peritos que formen parte de la plantilla o
independientes
Herramientas:
*Cuaderno de campo/ grabadora de audio
*Máquina fotográfica / cámara de video
*Su uso debe ser discreto y con autorización
11. Considerando la metodología de ISACA (Information Systems
Audit and Control Association)
*Fase 1 Alcance de la Auditoría
*Fase 2 Adquisición de Información general
*Fase 3 Administración y Planificación
*Fase 4 Plan de auditoría
*Fase 5 Resultados de las Pruebas
*Fase 6 Conclusiones y Comentarios
*Fase 7 Borrador del Informe
*Fase 8 Discusión con los Responsables de Area
*Fase 9 Informe Final
*Informe – anexo al informe – carpeta de evidencias
*Fase 10 Seguimiento de las modificaciones acordadas
12.
13. Sistema informatizado que genera, procesa, almacena , recupera, comunica
y presenta datos relacionados con el funcionamiento de la oficina [Schill]
Ejemplos:
aplicaciones específicas ara la gestión de tareas como Hojas de cálculo
o Procesadores de texto,
Herramientas para la gestión de documentos, como control de
expedientes o sistemas de almacenamiento óptico de información,
Agendas y bases de datos personales;
Sistemas de trabajo en grupo como el correo electrónico o el control de
flujo de trabajo;
La evolución ha sido tal que hoy en día , parece incuestionable que los
productos desarrollados en plataformas microinformaticas ofrecen
prestaciones y una relación costo/beneficio muy superiores a las
soluciones sobre computadores centralizados.
Este desarrollo de sistemas ofimáticos ha mantenido dos paradigmas
fundamentales:
El escritorio virtual
El trabajo cooperativo (CSCW, computed Supported Cooperative Work)
14. Escritorio Virtual:
Un único panel representado por la pantalla del computador, que sustituya la mesa
de trabajo tradicional, y donde se encuentren disponibles todas las herramientas
necesarias para desarrollar las actividades del oficinista. La interfaz debe parecer
natural al usuario y debe ser fácil de aprender y utilizar.
El Trabajo Cooperativo:
Puede considerarse como una extensión del concepto de integración de
aplicaciones. Según Kraemer es como una multiplicidad de actividades coordinadas,
desarrolladas por un conjunto de participantes y soportadas por un sistema
informático. Lo anterior implica permitir intercambiar la información necesaria en los
diversos procesos de la organización y/o con otras organizaciones.
Controles de auditoría
Existen dos características peculiares de los entornos ofimáticos:
La distribución de las aplicaciones por los diferentes departamentos de la
organización en lugar de encontrarse en una única ubicación centralizada; y
El traslado de la responsabilidad sobre ciertos controles de los sistemas de
información a usuarios finales no dedicados profesionalmente a la informática, que
pueden no comprender de un modo adecuado la importancia de los mismos y la
forma de realizarlos
15. *Adquisición poco planificada
*Desarrollos ineficaces e ineficientes
*Falta de conciencia de los usuarios acerca de la seguridad de la
información
*Utilización de copias ilegales de aplicaciones
*Procedimientos de copias de seguridad deficientes
*Escasa formación del personal
*Ausencia de documentación suficiente
Los controles
Se presentan agrupados siguiendo criterios relacionados con aspectos de
economía, eficacia y eficiencia; seguridad y condicionantes legales, son
los suficientemente generales para servir de base en la elaboración del
guion de trabajo de la labor del equipo auditor
16. Determinar si el inventario ofimático refleja con
exactitud los equipos y aplicaciones existentes en la
organización:
Mecanismos para garantizar que los equipos adquiridos son
inventariados.
Realizar conciliación
Identificación de diferencias
Determinar y evaluar el procedimiento de
adquisiciones de equipos y aplicaciones
Políticas
Revisión cumplimiento de políticas
Consideración de otros mecanismos que optimicen el
proceso actual de adquisición
17. Determinar y evaluar la política de mantenimiento definida en la
organización:
Revisión de contratos y si incluyen a todo el inventario
Garantías
Registro de incidencias producidas
Tiempo de atención de las incidencias y mecanismos
Evaluar la calidad de las aplicaciones del entorno ofimático desarrollada
por personal de la propia organización:
Responsables del desarrollo
Metodologías y test de pruebas
Ambiente de desarrollo vs ambiente explotación
Reporte de incidencias y seguimiento
Evaluar la corrección del procedimiento existente para la realización de los
cambios de versiones y aplicaciones:
Procedimientos y mecanismos formales para la autorización,
aprobación, adquisición de nuevas aplicaciones y cambios de versiones
Comprobación del cumplimiento sobre lo instalado en usuarios
18. Compatibilidad e integración en el entorno operativo
Determinar si los usuarios cuentan con suficiente formación y la documentación
de apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente :
Plan de formación y/o capacitación
Utilización real de las últimas versiones en los usuarios
Determinar si el sistema existente se ajusta a las necesidades reales de la
organización:
Obsolescencia de equipos
Uso de equipos y labores sobre éstos
Detección de nuevas necesidades
19. Determinar si existen garantías para proteger los acceso no autorizados a la
información reservada de la empresa y la integridad de la misma
Determinar si el procedimiento de generación de las copias de respaldo es fiable y
garantiza la recuperación de la información en caso de necesidad
Determinar si está garantizado el funcionamiento ininterrumpido de aquellas
aplicaciones cuya caída podría suponer pérdidas de integridad de la información y
aplicaciones
Determinar el grado de exposición ante la posibilidad de intrusión de virus
Determinar si en el entorno ofimático se producen situaciones que puedan suponer
infracciones a lo dispuesto por ley de protección de datos de carácter personal
Determinar si en el entorno ofimático se producen situaciones que puedan suponer
infracciones a los dispuesto por la ley sobre propiedad intelectual.
20.
21. La Explotación Informática se ocupa de producir resultados informáticos de todo
tipo: listados impresos, ficheros soportados magnéticamente para otros
informáticos, ordenes automatizadas para lanzar o modificar procesos industriales,
etc.
Para realizar la Explotación Informática se dispone de una materia prima, los Datos,
que es necesario transformar, y que se someten previamente a controles de
integridad y calidad
Auditar Explotación consiste en auditar las secciones que la componen y sus
interrelaciones. La Explotación Informática se divide en tres grandes áreas:
Planificación, Producción y Soporte Técnico, en la que cada cual tiene varios
grupos.
Control de Entrada de Datos:
Se analizará la captura de la información en soporte compatible con los Sistemas,
el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la
correcta transmisión de datos entre entornos diferentes. Se verificará que los
controles de integridad y calidad de datos se realizan de acuerdo a Norma.
Auditoría Informática de Explotación:
22. Planificación y Recepción de Aplicaciones:
Se auditarán las normas de entrega de Aplicaciones por parte de
Desarrollo, verificando su cumplimiento y su calidad de interlocutor único.
Deberán realizarse muestreos selectivos de la Documentación de las
Aplicaciones explotadas. Se inquirirá sobre la anticipación de contactos
con Desarrollo para la planificación a medio y largo plazo.
Centro de Control y Seguimiento de Trabajos:
Se analizará cómo se prepara, se lanza y se sigue la producción diaria.
Básicamente, la explotación Informática ejecuta procesos por cadenas o
lotes sucesivos (Batch*), o en tiempo real (Tiempo Real*). Mientras que las
Aplicaciones de Teleproceso están permanentemente activas y la función
de Explotación se limita a vigilar y recuperar incidencias, el trabajo Batch
absorbe una buena parte de los efectivos de Explotación. En muchos
Centros de Proceso de Datos, éste órgano recibe el nombre de Centro de
Control de Batch. Este grupo determina el éxito de la explotación, en
cuanto que es uno de los factores más importantes en el mantenimiento
de la producción.
23. *Las Aplicaciones que son Batch son Aplicaciones que cargan
mucha información durante el día y durante la noche se corre un
proceso enorme que lo que hace es relacionar toda la información,
calcular cosas y obtener como salida, por ejemplo, reportes. O
sea, recolecta información durante el día, pero todavía no procesa
nada. Es solamente un tema de "Data Entry" que recolecta
información, corre el proceso Batch (por lotes), y calcula todo lo
necesario para arrancar al día siguiente.
*Las Aplicaciones que son Tiempo Real u Online, son las que,
luego de haber ingresado la información correspondiente,
inmediatamente procesan y devuelven un resultado. Son Sistemas
que tienen que responder en Tiempo Real.
24. Operación. Salas de Ordenadores:
Se intentarán analizar las relaciones personales y la coherencia de
cargos y salarios, así como la equidad en la asignación de turnos de
trabajo.
Se verificará la existencia de un responsable de Sala en cada turno de
trabajo.
Se analizará el grado de automatización de comandos, se verificara la
existencia y grado de uso de los Manuales de Operación.
Se analizará no solo la existencia de planes de formación, sino el
cumplimiento de los mismos y el tiempo transcurrido para cada
Operador desde el último Curso recibido.
Se estudiarán los montajes diarios y por horas de cintas o cartuchos,
así como los tiempos transcurridos entre la petición de montaje por
parte del Sistema hasta el montaje real.
Se verificarán las líneas de papel impresas diarias y por horas, así
como la manipulación de papel que comportan.
25. Centro de Control de Red y Centro de Diagnosis:
El Centro de Control de Red suele ubicarse en el área de producción
de Explotación. Sus funciones se refieren exclusivamente al ámbito de
las Comunicaciones, estando muy relacionado con la organización de
Software de Comunicaciones de Técnicas de Sistemas.
Debe analizarse la fluidez de esa relación y el grado de coordinación
entre ambos. Se verificará la existencia de un punto focal único, desde el
cual sean perceptibles todos las líneas asociadas al Sistema. El Centro
de Diagnosis es el ente en donde se atienden las llamadas de los
usuarios-clientes que han sufrido averías o incidencias, tanto de
Software como de Hardware.
El Centro de Diagnosis está especialmente indicado para informáticos
grandes y con usuarios dispersos en un amplio territorio. Es uno de los
elementos que más contribuyen a configurar la imagen de la Informática
de la empresa.
26.
27. Satisfacción de usuarios:
Una Aplicación técnicamente eficiente y bien desarrollada,
deberá considerarse fracasada si no sirve a los intereses
del usuario que la solicitó .
Control de Procesos y Ejecuciones de Programas Críticos
Se ha de comprobar la correspondencia biunívoca y
exclusiva entre el programa codificado y su compilación. Si
los programas fuente y los programa módulo no
coincidieran podría provocar graves y altos costos de
mantenimiento, hasta fraudes, pasando por acciones de
sabotaje, espionaje industrial informativo, etc.
28.
29. Siempre en una organización se dice que esta es un reflejo de las características de su
dirección, los modos y maneras de actuar de aquella están influenciadas por la
filosofía y personalidad del director.
Acciones de un Director
• Planificar. (este acorde al plan estratégico (conocimiento a evaluar acciones a
realizar)).
- Lectura y análisis de actas, acuerdos, etc.
- Lectura y análisis de informes gerenciales.
- Entrevistas con el mismo director Del departamento y con los directores de otras
áreas.
• Organizar.
• Controlar.
• Coordinar.
Las enormes sumas que las empresas dedican a la tecnología de la información y de la
dependencia de estás con los procesos de la organización hacen necesaria una
evaluación independiente de la función que la gestiona (dirige).
AUDITORIA DE DIRECCION