UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
 ESCUELA DE CONTABILIDAD Y AUDITORÍA

  TRABAJO DE AUDITORÍA DE SISTEMAS
           INFORMÁTICOS

AI DOMINIO-ADQUISICIÓN E IMPLEMENTACION

          WALTER MANCHENO


                CA9-4
ADQUISICIÓN E IMPLEMENTACIÓN DOMINIO
     Identificación de
        soluciones
      Automatizadas


                         Adquisición y
                         Mantenimiento
                          del Software
                            Aplicado

                                           Adquisición y
                                         Mantenimiento de
                                         la infraestructura
                                             tecnológica


                                                            Desarrollo y
                                                          Mantenimiento de
                                                             procesos


                                                                           Instalación y
                                                                         aceptación de los
                                                                             sistemas



                                                                                         Administración de
                                                                                           los cambios
DE
              SISTEMAS
              DIRECCIÓN




Identificación de Soluciones Automatizadas
Definición de
                             Requerimientos
                             de información
     Aceptación de                                   Estudio de
    Instalaciones y                                  Factibilidad
      Tecnología


                            OBJETIVO
                        Asegurar el mejor
Contratación de
                       enfoque para cumplir                 Estudio de
   terceros           con los requerimientos                Factibilidad
                            del usuario

                  Seguridad con
                  relación costo          Arquitectura de
                     beneficio             información
PISTAS DE AUDITORÍA



        Son una serie de
       registros sobre las
     actividades del sistema
    operativo, de procesos o
        aplicaciones y / o
      usuarios del sistema
                                                        Identificación de
                                                        Problemas
                                      Responsabilidad
                                      Individual
                     Reconstrucción
                     de Eventos
Detección de
Instrucciones
Errores Potenciales


Prevención
               • Riesgo                                          Datos
                                                               Ilegibles
                                                                                          Datos en
                                                                                           blanco
Detección
               • Incidente Error                                  Registro

Represión                                                        de Valores
                                                                 imposible                Problemas
                                                                                              de
               • Daños                                                                   transcripcion


Corrección                                                                   Falta de


               • Recuperación
                                                                           aleatoriedd




Evaluación

             Errores Potenciales en Tecnologías Informáticas
EVOLUCIÓN Y ADMINISTRACIÓN DEL RIESGO




                                             Evaluación
                           Prevención

             Diagnóstico


Corrección
POLÍTICAS DE SEGURIDAD PARA SISTEMAS
                          DISTRIBUIDOS
                                                                                                • PLATAFORMA DE
• LAN                                       • WAN                                                 INTERNET EN
• (LOCAL AREA                               • (WIDE ARE                                           LAS ACTIVIDADES
  NETWORK)                                    NETWORK                                             EMPRESARIALES


Si se conectan todos los                    Si están instalados en edificios
computadores dentro de un                   diferentes estableciendo l
mismo edificio                              comunicación en un esquema
                                            cliente - servidor




   Administración y                              Integridad y
                                                                                                                    Dependientes y
     Control de             Criptográfica       Confidencialidad               Disponibilidad     No discrecional
                                                                                                                     por defecto
      Accesos                                      de Datos
TÉCNICAS DE SEGURIDAD PARA SISTEMAS
TECNIC DE CIFRADO    DISTRIBUIDOS




                       Para garantizar la confidencialidad de la
                       información en los sistemas distribuidos,
                        permite que aunque los datos sufran un
                    ataque, estos no puedan ser conocidos por el
                                      atacante.
Autenticación- Identificar a los
                              usuarios que inicien sesiones en
Técnicas de Integridad y           sistema o la aplicación

                            Autorización- Una vez autenticado el
                           usuario hay que comprobar si tiene los
   confidencialidad
                            privilegios necesarios para realizar la
                                    acción que ha solicitado

                              Integridad- Garantizar que los
                             mensajes sean auténticos y no se
                                          alteren

                             Confidencialidad- Ocultar los datos
                             frente a accesos no autorizados y
                                asegurar que la información
                            transmitida no ha sido interceptada.

                            Auditoría- Seguimiento de entidades
                               que han accedido al sistema
                                   identificando el medio.
TÉCNICAS DE AUTENTICACIÓN
     Son habituales los
        sistemas de
  identificación mediante
    tarjetas, los cajeros
    automáticos de los
 bancos. El usuario debe
insertar primero la tarjeta
 donde está codificada la
     información de su
cuenta, y luego introducir
  una palabra clave o un
 número de identificación
   personal que sirve de
 comprobación adicional.
OBJETIVOS DE CONTROL

    DOCUMENTACIÓN
                              REQUERIMIENTO DE ARCHIVO
MATERIALES DE CONSULTA Y
 SOPORTE PARA USUARIO



PRUEBAS FUNCIONALES




                           CONTROL DE APLICACIÓN
   INTERFACE                 Y REQUERIMIENTOS
    USUARIO                     FUNCIONALES
    MAQUINA
ADQUISICIÓN Y MANTENIMIENTO DE LA
      INFRAESTRUCTURA TECNOLÓGICA -PROCESO




• EVALUACIÓN DE
                           .        • SEGURIDAD DEL
  LA TECNOLOGÍA                       SOFTWARE DE
                                      SISTEMA
                  • MANTENIMIENTO
                    PREVENTIVO


          .                                   .
DESARROLLO Y MANTENIMIENTO DE PROCESOS-
               PROCESO

 • Manuales de      • Levantamiento   • Manuales de
   procedimientos     de procesos       operaciones y
   de usuarios y                        controles
   controles




                    • Materiales de
                      entrenamiento
INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS -PROCESO


    CAPACITACIÓN                                  PRUEBAS
    DEL PERSONAL                                 ESPECÍFICAS

                                  REVISIONES
                                     POST
                                IMPLEMENTACIÑO
                                       N




                CONVERSIÓN
               CARGA DE DATOS                     VALIDACIÓN Y
                                                  ACREDITACIÓN
ADMINISTRACIÒN DE CAMBIOS –PROCESO



              IDENTIFICACIÓN
                DE CAMBIO




EVALUACIÓN
DEL IMPACTO
    QUE                                   MANEJO DE
 PROVACARÀ                                LIBERACIÒN
LOS CAMBIOS


                        AUTORIZACIÓN DE                DISTRIBUCIÓN DE
                           CAMBIOS
                                                          SOFTWARE

Dominio adquisicion e implementacion

  • 1.
    UNIVERSIDAD CENTRAL DELECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORÍA TRABAJO DE AUDITORÍA DE SISTEMAS INFORMÁTICOS AI DOMINIO-ADQUISICIÓN E IMPLEMENTACION WALTER MANCHENO CA9-4
  • 2.
    ADQUISICIÓN E IMPLEMENTACIÓNDOMINIO Identificación de soluciones Automatizadas Adquisición y Mantenimiento del Software Aplicado Adquisición y Mantenimiento de la infraestructura tecnológica Desarrollo y Mantenimiento de procesos Instalación y aceptación de los sistemas Administración de los cambios
  • 3.
    DE SISTEMAS DIRECCIÓN Identificación de Soluciones Automatizadas
  • 4.
    Definición de Requerimientos de información Aceptación de Estudio de Instalaciones y Factibilidad Tecnología OBJETIVO Asegurar el mejor Contratación de enfoque para cumplir Estudio de terceros con los requerimientos Factibilidad del usuario Seguridad con relación costo Arquitectura de beneficio información
  • 5.
    PISTAS DE AUDITORÍA Son una serie de registros sobre las actividades del sistema operativo, de procesos o aplicaciones y / o usuarios del sistema Identificación de Problemas Responsabilidad Individual Reconstrucción de Eventos Detección de Instrucciones
  • 6.
    Errores Potenciales Prevención • Riesgo Datos Ilegibles Datos en blanco Detección • Incidente Error Registro Represión de Valores imposible Problemas de • Daños transcripcion Corrección Falta de • Recuperación aleatoriedd Evaluación Errores Potenciales en Tecnologías Informáticas
  • 7.
    EVOLUCIÓN Y ADMINISTRACIÓNDEL RIESGO Evaluación Prevención Diagnóstico Corrección
  • 8.
    POLÍTICAS DE SEGURIDADPARA SISTEMAS DISTRIBUIDOS • PLATAFORMA DE • LAN • WAN INTERNET EN • (LOCAL AREA • (WIDE ARE LAS ACTIVIDADES NETWORK) NETWORK EMPRESARIALES Si se conectan todos los Si están instalados en edificios computadores dentro de un diferentes estableciendo l mismo edificio comunicación en un esquema cliente - servidor Administración y Integridad y Dependientes y Control de Criptográfica Confidencialidad Disponibilidad No discrecional por defecto Accesos de Datos
  • 9.
    TÉCNICAS DE SEGURIDADPARA SISTEMAS TECNIC DE CIFRADO DISTRIBUIDOS Para garantizar la confidencialidad de la información en los sistemas distribuidos, permite que aunque los datos sufran un ataque, estos no puedan ser conocidos por el atacante.
  • 10.
    Autenticación- Identificar alos usuarios que inicien sesiones en Técnicas de Integridad y sistema o la aplicación Autorización- Una vez autenticado el usuario hay que comprobar si tiene los confidencialidad privilegios necesarios para realizar la acción que ha solicitado Integridad- Garantizar que los mensajes sean auténticos y no se alteren Confidencialidad- Ocultar los datos frente a accesos no autorizados y asegurar que la información transmitida no ha sido interceptada. Auditoría- Seguimiento de entidades que han accedido al sistema identificando el medio.
  • 11.
    TÉCNICAS DE AUTENTICACIÓN Son habituales los sistemas de identificación mediante tarjetas, los cajeros automáticos de los bancos. El usuario debe insertar primero la tarjeta donde está codificada la información de su cuenta, y luego introducir una palabra clave o un número de identificación personal que sirve de comprobación adicional.
  • 12.
    OBJETIVOS DE CONTROL DOCUMENTACIÓN REQUERIMIENTO DE ARCHIVO MATERIALES DE CONSULTA Y SOPORTE PARA USUARIO PRUEBAS FUNCIONALES CONTROL DE APLICACIÓN INTERFACE Y REQUERIMIENTOS USUARIO FUNCIONALES MAQUINA
  • 13.
    ADQUISICIÓN Y MANTENIMIENTODE LA INFRAESTRUCTURA TECNOLÓGICA -PROCESO • EVALUACIÓN DE . • SEGURIDAD DEL LA TECNOLOGÍA SOFTWARE DE SISTEMA • MANTENIMIENTO PREVENTIVO . .
  • 14.
    DESARROLLO Y MANTENIMIENTODE PROCESOS- PROCESO • Manuales de • Levantamiento • Manuales de procedimientos de procesos operaciones y de usuarios y controles controles • Materiales de entrenamiento
  • 15.
    INSTALACIÓN Y ACEPTACIÓNDE LOS SISTEMAS -PROCESO CAPACITACIÓN PRUEBAS DEL PERSONAL ESPECÍFICAS REVISIONES POST IMPLEMENTACIÑO N CONVERSIÓN CARGA DE DATOS VALIDACIÓN Y ACREDITACIÓN
  • 16.
    ADMINISTRACIÒN DE CAMBIOS–PROCESO IDENTIFICACIÓN DE CAMBIO EVALUACIÓN DEL IMPACTO QUE MANEJO DE PROVACARÀ LIBERACIÒN LOS CAMBIOS AUTORIZACIÓN DE DISTRIBUCIÓN DE CAMBIOS SOFTWARE