Este documento trata sobre la auditoría de la ofimática. Define la ofimática como el sistema informatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de una oficina. Explica que la auditoría de la ofimática debe evaluar aspectos como la economía, eficiencia y efectividad; seguridad; y cumplimiento de la normativa vigente en materia de protección de datos personales. Detalla los controles específicos que el auditor debe realizar en cada una de estas áreas.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Instrucciones del procedimiento para la oferta y la gestión conjunta del proceso de admisión a los centros públicos de primer ciclo de educación infantil de Pamplona para el curso 2024-2025.
Las capacidades sociomotrices son las que hacen posible que el individuo se pueda desenvolver socialmente de acuerdo a la actuación motriz propias de cada edad evolutiva del individuo; Martha Castañer las clasifica en: Interacción y comunicación, introyección, emoción y expresión, creatividad e imaginación.
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Auditoria de la ofimatica
1. Universidad Juárez autónoma de tabasco
División Académica multidisciplinaria de los ríos
Materia:
Auditoria Informática
Tema:
Auditoría de la ofimática
Alumno:
José Jacobo Jiménez Mosqueda
Catedrático:
Elizabeth Torres Guillermo
2. Introducción
El termino ofimática, comúnmente utilizado en
diferentes ámbitos profesionales, no aparecen
definidos
El concepto de la ofimática nace a comienzos de la pasada década y las primeras
aplicaciones se desarrollaron sobre los computadores centrales de las organizaciones.
Ejemplos de estos son :
Las aplicaciones especificas para la gestión de tareas, como hoja de calculo o
procesadores de texto; herramientas de gestión de documentos, como control de
expedientes o sistemas de almacenamiento óptico de información; agendas base de
datos personal
Concepto por Schill sistema informatizado que genera, procesa, almacena, recupera,
comunica y presenta datos relacionados con funcionamiento de oficina
3.
4. Este desarrollo de sistema ofimático ha mantenido dos paradigmas fundamentales: el
escritorio virtual y el trabajo cooperativo (CSCW, computed supported cooperative
work).
El escritorio virtual como único panel representado por la pantalla del computador, que
sustituya las mesas de trabajos tradicionales, y donde se encuentres disponibles todas
las herramientas necesarias para desarrollar las actividades del oficinista
El trabajo cooperativo (CSCW, computed supported cooperative work)
De acuerdo con Kraemer, podríamos definirlo como una multiplicidad de actividades
coordinadas, desarrolladas por un conjunto de participantes y soportadas por un
sistema informático.
5. La mayoría de los problemas que se producen en la
informatización de oficinas no difieren sustancialmente de los
encontrados en otro ámbito de la organización. Sin embargo
existen dos características peculiares de los entornos ofimáticos:
La distribución de las aplicaciones por los diferentes departamentos de la organización
en lugar de encontrarse en una única ubicación centralizada
El atraso de la responsabilidad sobre ciertos controles de los sistemas de información a
usuarios finales no dedicados profesionalmente a la informática, que pueden no
comprender de un modo adecuado la importancia de los mismos y la forma de
realizarlos.
Controles de auditoria
6. Economía, eficacia y eficiencia
Determinar si los inventarios ofimáticos reflejan con exactitud los equipos y las
aplicaciones existentes en la organización.
El equipo auditor comprobara que se han definido mecanismos para garantizar
que todos lo equipos adquiridos en la organización son debidamente
inventariados.
Delimitar y evaluar el procedimiento de adquisición de equipos y aplicaciones
El auditor comprobara que en el procedimiento de adquisición se valoran los
aspectos relativos a la necesidad real de los equipos solicitados y ala
integración de dichos equipos con el sistema existente
Determinar y avaluar las política de mantenimiento definidas en la organización
El auditor examinara la utilización de las garantías de los productos adquiridos,
comprobando que no se realizan pagos innecesarios por asistencia de equipos
y aplicaciones que se encuentran en garantía. Para ello, deberá verificar que
los usuarios finales conocen el estado de las garantías de cada uno de los
productos que utilizan y los mecanismos para hacerlas efectivas
7. Evaluar la calidad de las aplicaciones del entorno ofimático desarrolladas por personal
de la propia organización.
El auditor determinara la existencia de un departamento responsable de controlar el
desarrollo de la aplicación de todas la organizacion, y que se ha definido
procedimientos generales de petición, autorización, asignación de prioridades,
programas y entrega de aplicaciones etc.
Evaluar la corrección del procedimiento existente para la realización de los cambios de
versiones y aplicaciones.
El auditor determinara la existencia de procedimientos formalmente establecidos por
autorización, aprobación, adquisición de nuevas aplicaciones y cambios de versiones
Determinar si los usuarios cuentan con suficiente formación y la documentación de
apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente.
El equipo auditor determinara la existencia de un plan de formación para garantizar que
todo el personal conoce los productos que tiene que utilizar, incluyendo las nuevas
aplicaciones y las versiones instaladas
Determinar si el sistema existente se ajuste alas necesidades reales de la
organización.
El auditor valorara el uso que se realiza de los equipos existentes, elaborando una
relación de aquellos computadores que no se encuentren operativos
8. Seguridad
Determinar si existen garantías suficientes para proteger los accesos no autorizados a
las información reservada de la empresa y la integridad de la misma.
El equipo auditor examinara la documentación en materia de seguridad existente en la
organización y comprobar que han sido definidos, al menos, procedimientos de
clasificación de la información, control de acceso identificación e identificación gestión
de soporte, gestión de incidencia y control de la auditoría Con posterioridad pasara a
comprobar si las medidas de seguridad definidas se encuentran realmente operativas
Determinar si el procedimiento de generación de las copias de respaldo es fiable y
garantiza la recuperación de las información en caso de necesidad.
El equipo auditor examinara el procedimiento de copias de seguridad seguido en la
organizacion, verificando la suficiencia de la periodicidad, la correcta asignación de
responsabilidad y el adecuado almacenamiento de los soportes.
9. Determinar el grado de exposición ante la posibilidad de intrusión de virus.
El equipo auditor analizara la protección establecida en cada uno de los puntos del
sistema por los que podrían introducirse virus: disqueteras, módem, accesos a redes,
etc.; y revisar la normativa para la instalación y actualización periódica de productos
antivirus etc.
Determinar si esta garantizado el funcionamiento ininterrumpido de aquellas
aplicaciones cuya caída podría suponer perdida de integridad de la información y
aplicaciones.
El auditor determinara la existencia de sistema de alimentación ininterrumpida, y si
estos cubren el funcionamiento de aquellos equipos en los que se ejecutan procesos
cuya interrupción podría ocasionar graves repercusiones.
10. Normativa vigente
Determinar si en el entorno ofimático se producen situaciones que puedan suponer infracciones a lo
dispositivos en Ley Orgánica 51/1999, de protección de datos de carácter personal (LOPD)
La LOPD establece una serie de principios y derechos de los ciudadanos en relación con sus datos
de carácter personal incluido en archivo automatizado.
Si sufren daños o lesiones en su bienes o derechos como consecuencia del incumplimiento de lo
dispuesto en la LOPD puede reclamar ante los tribunales de justicia
El equipo auditor deberá comprobar que exista un inventario de archivos que maneje datos de
carácter personal y constar que este inventario contiene todos las archivos gestionados en el entorno
ofimático