El documento presenta el plan de auditoría para evaluar el sistema de información de matrícula de una institución. El objetivo general es garantizar la seguridad del sistema en términos de confidencialidad, integridad y disponibilidad. Los alcances incluyen evaluar el módulo de matrícula en línea y el sistema de control interno. El plan utilizará el estándar COBIT para auditar los dominios y procesos relacionados con el objetivo y alcances, incluyendo la planeación y organización, la definición de procesos, y la
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
El documento describe varias metodologías y herramientas para la auditoría de bases de datos. Explica los objetivos de control a lo largo del ciclo de vida de una base de datos, así como los sistemas, software y herramientas necesarios para la auditoría como sistemas de gestión de bases de datos, software de auditoría y herramientas de minería de datos. También cubre aspectos como la seguridad física y lógica, auditoría de aplicaciones, producción, bases de datos, comunicaciones y redes, y continuidad de operaciones.
Este documento discute los conceptos de métricas, medidas e indicadores de seguridad de la información. Explica que las métricas miden la efectividad de los controles de seguridad implementados, mientras que las medidas evalúan la eficacia del sistema de gestión de seguridad en su conjunto. También describe los diferentes tipos de medidas, como las de cumplimiento y rendimiento, y los pasos para desarrollar medidas válidas e integrarlas en el ciclo de gestión de seguridad de una organización.
La auditoría de base de datos incluye dos métodos: la metodología tradicional que usa listas de verificación, y la metodología de evaluación de riesgos que minimiza los riesgos potenciales. Los objetivos de control a lo largo del ciclo de vida de una base de datos incluyen el estudio previo, la concepción y selección de equipo, el diseño y carga, la explotación y mantenimiento, y la revisión post-implantación. La auditoría también examina el sistema de gestión de base de datos, software de auditoría
El documento habla sobre la auditoría de sistemas. Explica que la auditoría de sistemas involucra la revisión y evaluación de los recursos informáticos y su ambiente, incluyendo software, hardware, comunicaciones, personal, políticas y procedimientos, y controles y seguridad. También describe los objetivos generales de una auditoría de sistemas y el proceso que involucra, como recopilar información, analizar riesgos, realizar pruebas y generar recomendaciones.
Este documento describe los pasos y controles necesarios para realizar una auditoría efectiva de sistemas de información. Explica que la planeación es fundamental, incluyendo obtener información sobre la organización, planificar el programa de trabajo y documentos requeridos. También describe los objetivos de la auditoría como evaluar los sistemas, procedimientos, equipos de cómputo, seguridad, y uso de recursos. Finalmente, detalla varios controles clave como preinstalación, organización, desarrollo de sistemas, procesamiento, y operación.
Este documento discute los conceptos de métricas, medidas e indicadores de seguridad de la información. Explica que las métricas miden la efectividad de los controles de seguridad implementados, mientras que las medidas evalúan la eficacia del sistema de gestión de seguridad en su conjunto. También cubre temas como los tipos de medidas, el proceso de desarrollo de medidas, y cómo generar indicadores a partir de las medidas recopiladas.
Este documento presenta una guía didáctica para la unidad curricular de Auditoría Informática. La guía describe las competencias, objetivos, temario, conocimientos previos, actividades de aprendizaje, medios didácticos, cronograma y evaluación para la unidad. La guía tiene como propósito orientar el aprendizaje autónomo de los estudiantes sobre los fundamentos básicos de la auditoría informática.
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
El documento describe varias metodologías y herramientas para la auditoría de bases de datos. Explica los objetivos de control a lo largo del ciclo de vida de una base de datos, así como los sistemas, software y herramientas necesarios para la auditoría como sistemas de gestión de bases de datos, software de auditoría y herramientas de minería de datos. También cubre aspectos como la seguridad física y lógica, auditoría de aplicaciones, producción, bases de datos, comunicaciones y redes, y continuidad de operaciones.
Este documento discute los conceptos de métricas, medidas e indicadores de seguridad de la información. Explica que las métricas miden la efectividad de los controles de seguridad implementados, mientras que las medidas evalúan la eficacia del sistema de gestión de seguridad en su conjunto. También describe los diferentes tipos de medidas, como las de cumplimiento y rendimiento, y los pasos para desarrollar medidas válidas e integrarlas en el ciclo de gestión de seguridad de una organización.
La auditoría de base de datos incluye dos métodos: la metodología tradicional que usa listas de verificación, y la metodología de evaluación de riesgos que minimiza los riesgos potenciales. Los objetivos de control a lo largo del ciclo de vida de una base de datos incluyen el estudio previo, la concepción y selección de equipo, el diseño y carga, la explotación y mantenimiento, y la revisión post-implantación. La auditoría también examina el sistema de gestión de base de datos, software de auditoría
El documento habla sobre la auditoría de sistemas. Explica que la auditoría de sistemas involucra la revisión y evaluación de los recursos informáticos y su ambiente, incluyendo software, hardware, comunicaciones, personal, políticas y procedimientos, y controles y seguridad. También describe los objetivos generales de una auditoría de sistemas y el proceso que involucra, como recopilar información, analizar riesgos, realizar pruebas y generar recomendaciones.
Este documento describe los pasos y controles necesarios para realizar una auditoría efectiva de sistemas de información. Explica que la planeación es fundamental, incluyendo obtener información sobre la organización, planificar el programa de trabajo y documentos requeridos. También describe los objetivos de la auditoría como evaluar los sistemas, procedimientos, equipos de cómputo, seguridad, y uso de recursos. Finalmente, detalla varios controles clave como preinstalación, organización, desarrollo de sistemas, procesamiento, y operación.
Este documento discute los conceptos de métricas, medidas e indicadores de seguridad de la información. Explica que las métricas miden la efectividad de los controles de seguridad implementados, mientras que las medidas evalúan la eficacia del sistema de gestión de seguridad en su conjunto. También cubre temas como los tipos de medidas, el proceso de desarrollo de medidas, y cómo generar indicadores a partir de las medidas recopiladas.
Este documento presenta una guía didáctica para la unidad curricular de Auditoría Informática. La guía describe las competencias, objetivos, temario, conocimientos previos, actividades de aprendizaje, medios didácticos, cronograma y evaluación para la unidad. La guía tiene como propósito orientar el aprendizaje autónomo de los estudiantes sobre los fundamentos básicos de la auditoría informática.
Este documento describe las metodologías y herramientas de auditoría informática. Explica dos metodologías de auditoría: controles generales y metodologías de auditores internos. También describe el plan de auditoría informática, incluyendo funciones, procedimientos, tipos de auditoría, sistema de evaluación y plan de trabajo anual/quincenal. Finalmente, explica los métodos y procedimientos de control informático, incluyendo la función de control, control interno informático y las herramientas de control.
Auditoría de sistemas de información presentaciónjbersosa
Este documento proporciona una introducción a las auditorías de sistemas de información. Explica que una auditoría evalúa y analiza procesos para identificar problemas y soluciones. Luego describe que una auditoría de sistemas de información evalúa la planificación, control, seguridad y adecuación del servicio informático. Finalmente, resume los objetivos clave de una auditoría de sistemas de información como desarrollar software de control continuo de las operaciones de procesamiento de datos.
Este documento describe los dominios de planificación y organización de la auditoría de sistemas de información. Explica conceptos como planeación estratégica, arquitectura de información, dirección tecnológica, organización de TI, inversión en TI, comunicación, recursos humanos, cumplimiento legal, evaluación de riesgos, administración de proyectos, y administración de calidad.
El documento presenta una introducción al curso de Auditoría de Sistemas Informáticos. Explica las reglas del curso, el contenido que se verá y el sistema de evaluación. Luego, introduce el rol del Auditor de Sistemas, cubriendo su perfil, responsabilidades y principios éticos. Finalmente, analiza brevemente el caso Arthur Andersen como ejemplo de falta de ética.
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosMarco
Este documento presenta el plan de estudios de la asignatura de Auditoría de Sistemas Informáticos I. Describe los objetivos y contenidos de la asignatura, la cual se impartirá de forma semipresencial utilizando recursos tecnológicos. El programa consta de tres unidades temáticas y los estudiantes serán evaluados continuamente a través de actividades como foros de discusión, ensayos y pruebas. El objetivo es que los estudiantes aprendan los principios y procesos de la auditoría informática en las organizaciones.
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Arturo GR
El documento presenta una tesis para optar el título de Ingeniero de Sistemas. La tesis propone realizar una auditoría del desarrollo de sistemas de información en el Gobierno Regional de Cajamarca. El documento contiene una introducción, marco metodológico, marco referencial, desarrollo de la metodología y análisis de resultados. La auditoría evaluará la organización y gestión del área de sistemas, proyectos de desarrollo, fases de estudio, análisis, diseño, construcción,
Este documento presenta la Política de Seguridad de la Información de la Unidad de Servicios Electrónicos de Correo Uruguayo. La política establece los objetivos y principios generales para garantizar la confidencialidad, integridad y disponibilidad de la información relacionada con los servicios de certificación. Incluye secciones sobre gestión de riesgos, roles y responsabilidades, controles de acceso, operaciones, comunicaciones y continuidad del negocio. La política busca cumplir con los estándares internacionales y requisitos legales para prote
Este documento presenta el plan de prácticas pre-profesionales para realizar una auditoría de red informática en el Centro de Salud Pueblo Joven Centenario en Abancay. El objetivo general es desarrollar un modelo de gestión mediante la verificación de vulnerabilidades y riesgos en la red. Se utilizará la metodología COBIT para la planificación, ejecución e informe de la auditoría. La auditoría evaluará aspectos como la seguridad, recursos humanos y sistemas informáticos para mejorar el control y toma de
Unidad iii control interno en los sistemas de procesamientoJoannamar
El documento habla sobre el control interno en los sistemas de procesamiento. Explica que el control interno tiene como finalidad evaluar la eficacia y eficiencia de la gestión administrativa. Define el control interno informático como la función de controlar que todas las actividades relacionadas a los sistemas de información se realicen cumpliendo las normas y procedimientos. Describe los componentes, tipos de controles y cómo se aplican los controles internos en la gestión de sistemas de información. Finalmente, explica la metodología COBIT para el control
El documento presenta el plan de auditoría de sistemas de una organización. El objetivo general es revisar y evaluar los controles, sistemas y procedimientos de informática para lograr una utilización más eficiente y segura de la información. La auditoría evaluará aspectos como el diseño de sistemas, controles de seguridad, programas de protección de datos, mecanismos de detección de fraude y administración de dispositivos de almacenamiento.
Este documento presenta una introducción a la auditoría de bases de datos. Explica que existen dos metodologías principales para realizar auditorías: la metodología tradicional y la metodología de evaluación de riesgos. Luego, detalla varios objetivos de control que deben cumplirse en el ciclo de vida de una base de datos, como el estudio previo, la selección del equipo, el diseño y la carga de datos, y el mantenimiento posterior. Finalmente, cubre otros procesos auxiliares como la formación del personal y el aseg
TRABAJO DE AUD. SISTE. TEMA CONTROLES OPERATIVO, MICROCOMPUTADOR, CONROLES AD...anitadelgado
El documento describe los controles de operación que deben implementarse en un centro de procesamiento de datos para prevenir errores, fraudes y garantizar la integridad y seguridad de la información. Estos controles incluyen restringir el acceso físico y lógico al equipo, mantener bitácoras de procesos, realizar copias de respaldo, establecer políticas de seguridad y mantenimiento preventivo. También se mencionan controles específicos para microcomputadoras como protección contra variaciones eléctricas y mantener antivirus
El documento describe las relaciones entre el mantenimiento y otros procesos clave como la adquisición, operación, modernización, retirada y gestión de activos. Explica que estos procesos se interrelacionan y se proveen información mutuamente para lograr una gestión efectiva del ciclo de vida de los activos y mejorar la competitividad de la organización.
Este documento define la auditoría de sistemas y describe sus objetivos, fines y requisitos. La auditoría de sistemas evalúa los controles, técnicas y procedimientos de una empresa para garantizar la confiabilidad, oportunidad, seguridad y confidencialidad de la información procesada a través de los sistemas. Algunos objetivos específicos incluyen la evaluación de la seguridad informática, los planes de contingencia y el uso adecuado de los recursos. La auditoría de sistemas busca mejorar el control interno y la ef
El documento habla sobre la auditoría de bases de datos y redes. Define la auditoría de bases de datos y describe dos metodologías para realizarla. También describe los objetivos de control en el ciclo de vida de una base de datos y diferentes herramientas relacionadas con la auditoría de bases de datos y redes.
El documento describe diferentes tipos de controles para sistemas de información, incluyendo controles preventivos, detectivos y correctivos. También describe controles físicos y lógicos específicos como autenticidad, exactitud, totalidad, privacidad y protección de activos. Por último, explica controles administrativos como controles de preinstalación, organización, sistemas en desarrollo, procesamiento y operación.
La arquitectura de SQL Server consta de 4 componentes principales: la capa de protocolo, el motor relacional, el motor de almacenamiento y SqlOS. La capa de protocolo establece la conexión y traduce las solicitudes. El motor relacional procesa las consultas mediante un analizador de comandos, un optimizador de consultas y un ejecutor de consultas. El motor de almacenamiento gestiona el acceso y almacenamiento de datos a través de métodos de acceso, bloqueos y servicios de transacciones. SqlOS proporciona
Trabajo realizado por alumnos de la carrera de Ingeniería en Tecnologías de la Información y la Comunicación, de la Universidad Tecnológica de Nezahualcoyótl.
Este documento presenta la asignatura "Taller de Auditoria de Sistemas Seguridad de la Información" para la carrera de Ingeniería en Sistemas Computacionales. La asignatura enseña técnicas y herramientas para auditar sistemas de gestión de seguridad de la información implementados en organizaciones. El temario cubre introducción a auditorías, planeación, auditoría de funciones informáticas, seguridad física, lógica y del personal. El objetivo es que los estudiantes aprendan a auditar sistemas de gest
Este documento presenta una asignatura de Taller de Auditoría de Sistemas de Seguridad de la Información para la carrera de Ingeniería en Sistemas Computacionales. La asignatura cubre temas relacionados con la planeación e implementación de auditorías de sistemas de gestión de seguridad de la información, incluyendo normativas, técnicas y herramientas de auditoría, seguridad física, lógica y de datos, y la elaboración de informes de auditoría. El objetivo es que los estudiantes aprendan a
Este documento describe los controles administrativos necesarios para auditar sistemas de información. Explica que la planeación es fundamental para auditar tanto los sistemas y procedimientos como los equipos de cómputo. También describe los pasos para evaluar los sistemas, como evaluar la seguridad, los controles de preinstalación, organización, desarrollo de sistemas, procesamiento, operación y uso de microcomputadoras.
Este documento describe las metodologías y herramientas de auditoría informática. Explica dos metodologías de auditoría: controles generales y metodologías de auditores internos. También describe el plan de auditoría informática, incluyendo funciones, procedimientos, tipos de auditoría, sistema de evaluación y plan de trabajo anual/quincenal. Finalmente, explica los métodos y procedimientos de control informático, incluyendo la función de control, control interno informático y las herramientas de control.
Auditoría de sistemas de información presentaciónjbersosa
Este documento proporciona una introducción a las auditorías de sistemas de información. Explica que una auditoría evalúa y analiza procesos para identificar problemas y soluciones. Luego describe que una auditoría de sistemas de información evalúa la planificación, control, seguridad y adecuación del servicio informático. Finalmente, resume los objetivos clave de una auditoría de sistemas de información como desarrollar software de control continuo de las operaciones de procesamiento de datos.
Este documento describe los dominios de planificación y organización de la auditoría de sistemas de información. Explica conceptos como planeación estratégica, arquitectura de información, dirección tecnológica, organización de TI, inversión en TI, comunicación, recursos humanos, cumplimiento legal, evaluación de riesgos, administración de proyectos, y administración de calidad.
El documento presenta una introducción al curso de Auditoría de Sistemas Informáticos. Explica las reglas del curso, el contenido que se verá y el sistema de evaluación. Luego, introduce el rol del Auditor de Sistemas, cubriendo su perfil, responsabilidades y principios éticos. Finalmente, analiza brevemente el caso Arthur Andersen como ejemplo de falta de ética.
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosMarco
Este documento presenta el plan de estudios de la asignatura de Auditoría de Sistemas Informáticos I. Describe los objetivos y contenidos de la asignatura, la cual se impartirá de forma semipresencial utilizando recursos tecnológicos. El programa consta de tres unidades temáticas y los estudiantes serán evaluados continuamente a través de actividades como foros de discusión, ensayos y pruebas. El objetivo es que los estudiantes aprendan los principios y procesos de la auditoría informática en las organizaciones.
Auditoria del desarrollo de sistemas de información en el gobierno regional c...Arturo GR
El documento presenta una tesis para optar el título de Ingeniero de Sistemas. La tesis propone realizar una auditoría del desarrollo de sistemas de información en el Gobierno Regional de Cajamarca. El documento contiene una introducción, marco metodológico, marco referencial, desarrollo de la metodología y análisis de resultados. La auditoría evaluará la organización y gestión del área de sistemas, proyectos de desarrollo, fases de estudio, análisis, diseño, construcción,
Este documento presenta la Política de Seguridad de la Información de la Unidad de Servicios Electrónicos de Correo Uruguayo. La política establece los objetivos y principios generales para garantizar la confidencialidad, integridad y disponibilidad de la información relacionada con los servicios de certificación. Incluye secciones sobre gestión de riesgos, roles y responsabilidades, controles de acceso, operaciones, comunicaciones y continuidad del negocio. La política busca cumplir con los estándares internacionales y requisitos legales para prote
Este documento presenta el plan de prácticas pre-profesionales para realizar una auditoría de red informática en el Centro de Salud Pueblo Joven Centenario en Abancay. El objetivo general es desarrollar un modelo de gestión mediante la verificación de vulnerabilidades y riesgos en la red. Se utilizará la metodología COBIT para la planificación, ejecución e informe de la auditoría. La auditoría evaluará aspectos como la seguridad, recursos humanos y sistemas informáticos para mejorar el control y toma de
Unidad iii control interno en los sistemas de procesamientoJoannamar
El documento habla sobre el control interno en los sistemas de procesamiento. Explica que el control interno tiene como finalidad evaluar la eficacia y eficiencia de la gestión administrativa. Define el control interno informático como la función de controlar que todas las actividades relacionadas a los sistemas de información se realicen cumpliendo las normas y procedimientos. Describe los componentes, tipos de controles y cómo se aplican los controles internos en la gestión de sistemas de información. Finalmente, explica la metodología COBIT para el control
El documento presenta el plan de auditoría de sistemas de una organización. El objetivo general es revisar y evaluar los controles, sistemas y procedimientos de informática para lograr una utilización más eficiente y segura de la información. La auditoría evaluará aspectos como el diseño de sistemas, controles de seguridad, programas de protección de datos, mecanismos de detección de fraude y administración de dispositivos de almacenamiento.
Este documento presenta una introducción a la auditoría de bases de datos. Explica que existen dos metodologías principales para realizar auditorías: la metodología tradicional y la metodología de evaluación de riesgos. Luego, detalla varios objetivos de control que deben cumplirse en el ciclo de vida de una base de datos, como el estudio previo, la selección del equipo, el diseño y la carga de datos, y el mantenimiento posterior. Finalmente, cubre otros procesos auxiliares como la formación del personal y el aseg
TRABAJO DE AUD. SISTE. TEMA CONTROLES OPERATIVO, MICROCOMPUTADOR, CONROLES AD...anitadelgado
El documento describe los controles de operación que deben implementarse en un centro de procesamiento de datos para prevenir errores, fraudes y garantizar la integridad y seguridad de la información. Estos controles incluyen restringir el acceso físico y lógico al equipo, mantener bitácoras de procesos, realizar copias de respaldo, establecer políticas de seguridad y mantenimiento preventivo. También se mencionan controles específicos para microcomputadoras como protección contra variaciones eléctricas y mantener antivirus
El documento describe las relaciones entre el mantenimiento y otros procesos clave como la adquisición, operación, modernización, retirada y gestión de activos. Explica que estos procesos se interrelacionan y se proveen información mutuamente para lograr una gestión efectiva del ciclo de vida de los activos y mejorar la competitividad de la organización.
Este documento define la auditoría de sistemas y describe sus objetivos, fines y requisitos. La auditoría de sistemas evalúa los controles, técnicas y procedimientos de una empresa para garantizar la confiabilidad, oportunidad, seguridad y confidencialidad de la información procesada a través de los sistemas. Algunos objetivos específicos incluyen la evaluación de la seguridad informática, los planes de contingencia y el uso adecuado de los recursos. La auditoría de sistemas busca mejorar el control interno y la ef
El documento habla sobre la auditoría de bases de datos y redes. Define la auditoría de bases de datos y describe dos metodologías para realizarla. También describe los objetivos de control en el ciclo de vida de una base de datos y diferentes herramientas relacionadas con la auditoría de bases de datos y redes.
El documento describe diferentes tipos de controles para sistemas de información, incluyendo controles preventivos, detectivos y correctivos. También describe controles físicos y lógicos específicos como autenticidad, exactitud, totalidad, privacidad y protección de activos. Por último, explica controles administrativos como controles de preinstalación, organización, sistemas en desarrollo, procesamiento y operación.
La arquitectura de SQL Server consta de 4 componentes principales: la capa de protocolo, el motor relacional, el motor de almacenamiento y SqlOS. La capa de protocolo establece la conexión y traduce las solicitudes. El motor relacional procesa las consultas mediante un analizador de comandos, un optimizador de consultas y un ejecutor de consultas. El motor de almacenamiento gestiona el acceso y almacenamiento de datos a través de métodos de acceso, bloqueos y servicios de transacciones. SqlOS proporciona
Trabajo realizado por alumnos de la carrera de Ingeniería en Tecnologías de la Información y la Comunicación, de la Universidad Tecnológica de Nezahualcoyótl.
Este documento presenta la asignatura "Taller de Auditoria de Sistemas Seguridad de la Información" para la carrera de Ingeniería en Sistemas Computacionales. La asignatura enseña técnicas y herramientas para auditar sistemas de gestión de seguridad de la información implementados en organizaciones. El temario cubre introducción a auditorías, planeación, auditoría de funciones informáticas, seguridad física, lógica y del personal. El objetivo es que los estudiantes aprendan a auditar sistemas de gest
Este documento presenta una asignatura de Taller de Auditoría de Sistemas de Seguridad de la Información para la carrera de Ingeniería en Sistemas Computacionales. La asignatura cubre temas relacionados con la planeación e implementación de auditorías de sistemas de gestión de seguridad de la información, incluyendo normativas, técnicas y herramientas de auditoría, seguridad física, lógica y de datos, y la elaboración de informes de auditoría. El objetivo es que los estudiantes aprendan a
Este documento describe los controles administrativos necesarios para auditar sistemas de información. Explica que la planeación es fundamental para auditar tanto los sistemas y procedimientos como los equipos de cómputo. También describe los pasos para evaluar los sistemas, como evaluar la seguridad, los controles de preinstalación, organización, desarrollo de sistemas, procesamiento, operación y uso de microcomputadoras.
Este documento describe los pasos y controles necesarios para realizar una auditoría de sistemas de información. Explica que la planeación es fundamental, requiriendo obtener información general sobre la organización y función de informática a evaluar. Luego detalla los dos objetivos principales de la auditoría: 1) evaluar los sistemas y procedimientos, y 2) evaluar los equipos de cómputo. Finalmente, enumera una serie de controles administrativos que deben implementarse en el área de procesamiento de datos para garantizar la integridad, seguridad y privacidad de la
El documento describe los pasos involucrados en una auditoría informática. Explica que primero se realiza un estudio preliminar, luego una revisión y evaluación de controles y seguridad. A continuación, se lleva a cabo un examen detallado de las áreas críticas. Finalmente, se comunican los resultados.
La auditoría de sistemas de información es un proceso complejo que requiere habilidades especializadas. Se define como la revisión y evaluación de todos los aspectos de los sistemas de procesamiento de información, incluidos los procedimientos relacionados y las interfaces. Para realizar una auditoría adecuada, se debe seguir una metodología que incluye la planificación, recolección de evidencia, evaluación de controles, y comunicación de resultados a la gerencia.
El documento presenta un plan de auditoría de sistemas de información que incluye definir el alcance, objetivos y equipo de trabajo, realizar visitas para conocer detalles, revisar diagramas y flujos de procesos, establecer áreas críticas, elaborar un informe con los hallazgos y recomendaciones.
El documento presenta los detalles de una auditoría de sistemas de información que incluye la definición del grupo de trabajo, el programa de auditoría, las áreas a revisar, y la comunicación de resultados. Se revisarán procesos, aplicaciones, respaldos y documentación de las áreas críticas para identificar oportunidades de mejora en seguridad, procesos y cumplimiento normativo. El informe final presentará el alcance, objetivos y hallazgos de la auditoría.
Este documento presenta una introducción a las auditorías de sistemas. Explica que las auditorías inicialmente se limitaban a verificar registros contables, pero ahora se han extendido para evaluar los riesgos asociados con la tecnología. También describe los objetivos, normas, procesos, alcances y pruebas involucradas en una auditoría de sistemas, incluyendo el uso de herramientas asistidas por computadora. Finalmente, brinda información sobre la certificación CISA de ISACA.
Este documento presenta una introducción a las auditorías de sistemas. Explica que las auditorías inicialmente se limitaban a verificar registros contables, pero ahora se han extendido para evaluar los riesgos asociados con la tecnología. También describe los objetivos, normas, procesos, alcances y pruebas involucradas en una auditoría de sistemas, incluyendo el uso de herramientas asistidas por computadora. Finalmente, brinda información sobre la certificación CISA de ISACA.
Este documento presenta una introducción a las auditorías de sistemas. Explica que las auditorías inicialmente se limitaban a verificar registros contables, pero ahora se han extendido para evaluar los riesgos asociados con la tecnología. También describe los objetivos, normas, procesos, alcances y pruebas involucradas en una auditoría de sistemas, incluyendo el uso de herramientas asistidas por computadora. Finalmente, brinda información sobre la certificación CISA de ISACA.
Este documento describe la auditoría de sistemas a través del tiempo. Explica que la auditoría evalúa la eficacia y eficiencia de los procesos y sistemas para mejorarlos. También describe los objetivos, técnicas y estándares de una auditoría de sistemas, incluyendo la evaluación de controles, riesgos, seguridad física y lógica. Resalta la importancia de la auditoría de sistemas para asegurar que la información y tecnología se utilizan de forma adecuada y confiable.
El documento presenta el plan de auditoría de sistemas de una empresa. Resume los objetivos, el alcance y las áreas a examinar, incluyendo la seguridad de la información, los procesos, el hardware y el software. También describe las etapas de la auditoría como la recopilación de datos, identificación de personal clave y desarrollo de herramientas para probar los controles.
El documento presenta el plan de auditoría de sistemas de una empresa. Resume los objetivos, el alcance y las áreas a examinar, incluyendo la seguridad de la información, los procesos, el hardware y el software. También describe las etapas de la auditoría como la recopilación de datos, identificación de personal a entrevistar, y desarrollo de herramientas para probar los controles existentes.
El documento presenta el plan de auditoría de sistemas de una empresa. Resume los objetivos, el alcance y las áreas a examinar, incluyendo la seguridad de la información, los procesos, el hardware y el software. También describe las etapas de la auditoría como la recopilación de datos, identificación de personal clave y desarrollo de herramientas para probar los controles.
Dominio Planificacion y Organizacion Beatriz CriolloBeatrizCriolloC
Este documento describe 11 procesos relacionados con la planificación y organización de sistemas de información. Los procesos incluyen la definición de un plan estratégico, arquitectura de información, dirección tecnológica, organización, manejo de inversión, comunicación, administración de recursos humanos, cumplimiento de requisitos externos, evaluación de riesgos, administración de proyectos y administración de calidad. Cada proceso describe sus objetivos y factores clave a considerar para su implementación efectiva.
El documento proporciona información sobre una auditoría de sistemas realizada por estudiantes de ingeniería de sistemas. Explica brevemente los tipos y objetivos de auditoría de sistemas, así como el proceso de auditoría que incluye actividades como la planificación, el análisis de riesgos, las pruebas de cumplimiento y sustantivas, y la elaboración del informe. También destaca aspectos clave a auditar como la seguridad, la administración del departamento de TI, el control de cambios en los sistemas y la continuid
Este documento trata sobre diferentes tipos de auditorías informáticas, incluyendo auditorías de base de datos, desarrollo y redes. Explica que una auditoría de base de datos monitorea y asegura el acceso a la información almacenada, mientras que una auditoría de desarrollo evalúa los controles en el proceso de desarrollo de software. Por último, una auditoría de redes prueba la seguridad y desempeño de una red para lograr mayor eficiencia.
Mi Carnaval, sistema utilizará algoritmos de ML para optimizar la distribució...micarnavaltupatrimon
El sistema utilizará algoritmos de ML para optimizar la distribución de recursos, como el transporte, el alojamiento y la seguridad, en función de la afluencia prevista de turistas. La plataforma ofrecerá una amplia oferta de productos, servicios, tiquetería e información relevante para incentivar el uso de está y generarle valor al usuario, además, realiza un levantamiento de datos de los espectadores que se registran y genera la estadística demográfica, ayudando a reducir la congestión, las largas filas y otros problemas, así como a identificar áreas de alto riesgo de delincuencia y otros problemas de seguridad.
Bienvenido al mundo real de la teoría organizacional. La suerte cambiante de Xerox
muestra la teoría organizacional en acción. Los directivos de Xerox estaban muy involucrados en la teoría organizacional cada día de su vida laboral; pero muchos nunca se
dieron cuenta de ello. Los gerentes de la empresa no entendían muy bien la manera en que
la organización se relacionaba con el entorno o cómo debía funcionar internamente. Los
conceptos de la teoría organizacional han ayudado a que Anne Mulcahy y Úrsula analicen
y diagnostiquen lo que sucede, así como los cambios necesarios para que la empresa siga
siendo competitiva. La teoría organizacional proporciona las herramientas para explicar
el declive de Xerox, entender la transformación realizada por Mulcahy y reconocer algunos pasos que Burns pudo tomar para mantener a Xerox competitiva.
Numerosas organizaciones han enfrentado problemas similares. Los directivos de
American Airlines, por ejemplo, que una vez fue la aerolínea más grande de Estados
Unidos, han estado luchando durante los últimos diez años para encontrar la fórmula
adecuada para mantener a la empresa una vez más orgullosa y competitiva. La compañía
matriz de American, AMR Corporation, acumuló $11.6 mil millones en pérdidas de 2001
a 2011 y no ha tenido un año rentable desde 2007.2
O considere los errores organizacionales dramáticos ilustrados por la crisis de 2008 en el sector de la industria hipotecaria
y de las finanzas en los Estados Unidos. Bear Stearns desapareció y Lehman Brothers se
declaró en quiebra. American International Group (AIG) buscó un rescate del gobierno
estadounidense. Otro icono, Merrill Lynch, fue salvado por formar parte de Bank of
America, que ya le había arrebatado al prestamista hipotecario Countrywide Financial
Corporation.3
La crisis de 2008 en el sector financiero de Estados Unidos representó un
cambio y una incertidumbre en una escala sin precedentes, y hasta cierto grado, afectó a
los gerentes en todo tipo de organizaciones e industrias del mundo en los años venideros.
El-Codigo-De-La-Abundancia para todos.pdfAshliMack
Si quieres alcanzar tus sueños y tener el estilo de vida que deseas, es primordial que te comprometas contigo mismo y realices todos los ejercicios que te propongo para recibieron lo que mereces, incluso algunos milagros que no tenías en mente
Actividad Sumativa #2 Realizado por Luis Leal..pptx
Modelo plan auditoria
1. Incialmente hay que tener en cuenta el plan de auditoría porque allí se tiene el objetivo que se
pretende en la auditoría y los alcances de cada uno de los ítem evaluados.
Plan de auditoría
Objetivo general: Evaluar el sistema de información de usado para el sistema de
matrícula para garantizar la seguridad en cuanto a confidencialidad, integridad y
disponibilidad que permitan el mejoramiento del sistema de control existente.
Alcances: En cuanto a los alcances de la auditoría se trabajará el módulo de
matrícula académica en línea, incluyendo los procesos de registro y control, y el
sistema de control interno que maneja la dependencia para la protección de los
datos e información.
Del módulo de matrícula académica se evaluará: Asignaturas a matricular del
Pensum, Asignaturas a matricular de formación humanística, Matricular idiomas
extranjeros, Cancelación de asignaturas del Pensum, Cancelación de formación
humanísticas, Cancelación idiomas extranjeros, Autorizaciones, Reporte de
Matrícula, Actualización de información, Calificaciones, Calendario Horarios,
Horarios Humanística.
En cuanto al hardware: En cuanto al hardware se evaluará el inventario de
hardware de servidores, equipos y redes, incluyendo los procesos mantenimiento,
adquisición y actualización de los mismos.
En cuanto al sistema: En cuanto al sistema se evaluará la funcionalidad,
procesamiento, seguridad perimetral del sistema, seguridad interna del sistema,
entradas y salidas generadas por el sistema, calidad de los datos de entrada, la
configuración del sistema, la administración del sistema, planes de contingencias.
En cuanto a la operatividad del sistema: En cuanto a la operatividad del sistema
se evaluará los usuarios que manejan la información, la administración del sistema
y el monitoreo del sistema.
Teniendo en cuenta el objetivo y los alcances especificados anteriormente, y una
vez seleccionado el estándar a trabajar (CobIT 4.1), se selecciona los dominios y
procesos del estándar que tengan relación directa con el objetivo y los alcances.
PROGRAMA DE AUDITORÍA
Para realizar el proceso de auditoría al Sistema de información de Registro y
control académico, se utilizará el estándar de mejores práctica en el uso de
Tecnología de información (TI) COBIT (Objetivos de Control para la Información y
Tecnologías Relacionadas), donde se especifica el dominio, el proceso y los
objetivos de control que se debe trabaar en relación directa con el objetivo y
alcances, dentro de ellos se elegiría los siguientes:
2. Dominio: Planeación Y Organización (PO). Este dominio cubre las estrategias y
las tácticas, tiene que ver con identificar la manera en que las tecnologías de
información pueden contribuir de la mejor manera al logro de los objetivos de una
entidad.
Los procesos seleccionados que se revisará y los objetivos de control a verificar
son los siguientes:
Proceso: PO1 Definir un Plan Estratégico de TI: La definición de un plan
estratégico de tecnología de información, permite la gestión y dirección de los
recursos de TI de acuerdo a las estrategias y requerimientos de la dependencia.
Los objetivos de control relacionados con los alcances de la auditoría son los
siguientes:
PO1.3 Ecaluación del desempeño y la capacidadactual: La dependencia de registro
y control académico manteiene una evaluación períodica del desempeño de los
planes institucionales y de los sistemas de información encaminados a la
contribución del cumplimiento de los objetivos de la dependencia.
PO2 Definir la Arquitectura de la Información: Permite definir un modelo de
información, con el fin de integrar de forma transparente las aplicaciones dentro de
los procesos de la dependencia.
Los objetivos de control que se evaluaran son los siguientes:
PO2.2 Diccionario de datos y reglas de sintaxis de datos: Es necesario la existencia
de un diccionario de datos del sistema en la dependencia y las actualizaciones que
se hayan realizado al mismo en las actualizaciones del sistema de acuerdo a los
nuevos requerimientos.
PO2.3 Esquema de clasificación de los datos: Se debe establecer un marco de
referencia de los datos, clasificándolos por categorias, y con la definición de normas
y políticas de acceso a dichos datos.
PO2.4 Administración de la integridad de datos: Los desarrolladores de la aplicación
deben garantizar la integridad y consistencia de los datos almacenados mediante la
creación de procesos y procedimientos.
PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de
sistemas debe estar claro y definido el personal de la tecnología de la información,
los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento de
servicios que satisfagan los objetivos de la Institución.
Los objetivos de control que se evaluarán son los siguientes:
PO4.6 Establecer roles y responsabilidades: Evaluar el comportameinto de los roles
y las responsabilidades definidas para el personal de TI, el el área informática
3. (administradores de la red. administrador de sistema, supervisor de los indicadores
de cumplimiento, otros)
PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se debe asignar la
responsabilidad para el desempñeo de la función de aseguramiento de la calidad
(QA) proporcionando el grupo QA del área informática los controles y la experiencia
para comunicarlos. Ademas se debe asegurar que la ubicación organizacional, la
responsabilidades y el tamaño del grupo de QA satisfacen los requerimientos de la
dependencia.
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento: Se debe
establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un
nivel superior apropiado. Definir y asignar roles críticos para administrar los riesgos
de TI, incluyendo la responsabilidad específica de la seguridad de la información, la
seguridad física y el cumplimiento. Establecer responsabilidad sobre la
adminsitración del riesgo y la seguridad a nivel de toda la dependencia para manejar
los problemas a nivel institucional. Es necesario asignar responsabilidades
adicionales de administración de la seguridad a nivel del sistema específico para
manejar problemas relacionados con la seguridad.
PO4.9 Propiedad de datos y del sistema: Proporcionar a la dependencia de registro
y control los procedimientos y herramientas que le permitan enfrentar sus
responsabilidades de propiedad sobre los datos y los sistemas de información.
PO4.13 Personal clave de TI: Definir e identificar el personal clave de TI y minimizar
la dependencia de una sola persona desempeñando la función de trabajo crítico.
PO8 Administrar la Calidad: Se debe elaborar y mantener un sistema de
administración de calidad, el cual incluya procesos y estándares probados de
desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación
y mantenimiento del sistema de administración de calidad, proporcionando
requerimientos, procedimientos y políticas claras de calidad. Los requerimientos de
calidad se deben manifestar y documentar con indicadores cuantificables y
alcanzables. La mejora continua se logra por medio del constante monitoreo,
corrección de desviaciones y la comunicación de los resultados a los interesados.
La administración de calidad es esencial para garantizar que TI está dando valor a
la información de la dependencia, mejora continua y transparencia para los
interesados.
Los objetivos de control que serán evaluados son los siguientes:
PO8.3 Estándares de desarrollo y de adquisición: Adoptar y mantener estándares
para desarrollo y adquisición que siga el ciclo de vida, hasta los entregables finales
incluyendo la aprobación o no en puntos clave con base en los criterios de
aceptación acordados. Los temas a considerar incluyen los estándares de
codificación del software, normas de nomenclatura, los formatos de archivos,
estándares de diseño para los esquemas y diccionarios de datos, estándares para
interfaz de ususrio, inter operatividad, eficiencia en el desempaño del sistema,
4. escalabilidad, estándares para el desarrollo y pruebas, validación de los
requerimientos, planes de pruebas, pruebas unitarias, y de integración.
PO8.5 Mejora continua: Mantener y comunicar regularmente un plan global de
calidad que promueva la mejora contínua.
PO9 Evaluar y administrar los riesgos de TI: Encargado de identificar, analizar y
comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de
la dependencia, con el objetivo de asegurar el logro de los objetivos de TI.
PO9.1 Marco de trabajo de administración de riesgos: Se debe establecer un marco
de referencia de evaluación sistemática de riesgos que contenga una evaluación
regular de los riesgos de la parte física de las comunicaciones, servidores y equipos
con indicadores de cumplimiento.
PO9.3 Identificación de eventos: Identificar los riesgos (una amenaza explota las
vulnerabilidades existentes), clasificandolas si son relevantes y en que medida
afectan al área informática y la dependencia de registro y control donde se maneja
el sistema de información.
PO9.4 Evaluación de los riesgos de TI: Medir los riesgos a través de la evaluación
periódica de la probabilidad e impacto de los riesgos identificados, usando métodos
cuantitativos y cualitativos, que permitan la medición del riesgo encontrado.
PO9.5 Respuesta a los riesgos: Definir un plan de acción contra riesgos, el proceso
de respuesta a riesgos debe identificar las estrategias tales como evitar, reducir,
compartir o aceptar los riesgos determinando los niveles de tolerancia a los riesgos
y los controles para mitigarlos.
PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos: Priorizar y
planear las actividades de control y respuesta a la solución de riesgos encontrados,
teniendo en cuenta también la parte económica de la solución de esta prioridad.
Monitorear la ejecucción de los planes y reportar cualquier desviciación a la alta
dirección.
Dominio: Adquirir e implementar (AI) Para llevar a cabo la estrategia TI, se
debe identificar las soluciones, desarrollarlas y adquirirlas, así como
implementarlas e integrarlas en la empresa, esto para garantizar que las
soluciones satisfaga los objetivos de la empresa.
De este dominio se ha seleccionado los siguientes procesos y objetivos de control:
AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones deben estar
disponibles de acuerdo con los requerimientos de la dependencia. Este proceso
cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos
y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a
5. los estándares. Esto permite apoyar la operatividad de la dependencia de forma
apropiada con las aplicaciones automatizadas correctas.
AI2.1 Diseño de Alto Nivel: Traducir los requerimientos a una especificación de
diseño de alto nivel para la adquisición de software, teniendo en cuenta las
directivas tecnológicas y la arquitectura de información dentro de la dependencia.
Tener aprobadas las especificaciones de diseño por la dependencia para garantizar
que el diseño de alto nivel responde a los requerimientos. Reevaluar cuando
sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o
mantenimiento.
AI2.2 Diseño Detallado: Preparar el diseño detallado y los requerimientos técnicos
del software de aplicación. Definir el criterio de aceptación de los requerimientos.
Aprobar los requerimientos para garantizar que corresponden al diseño de alto nivel.
Realizar reevaluaciones cuando sucedan discrepancias significativas técnicas o
lógicas durante el desarrollo o mantenimiento.
AI2.3 Control y Posibilidad de Auditar las Aplicaciones: Implementar controles
de aplicación automatizados tal que el procesamiento sea exacto, completo,
oportuno, autorizado y auditable.
AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la seguridad de las
aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos
identificados y en línea con la clasificación de datos, la arquitectura de la
información, la arquitectura de seguridad de la información y la tolerancia a riesgos
de la organización.
AI2.5 Configuración e Implantación de Software Aplicativo Adquirido: Configurar e
implementar software de aplicaciones adquiridas para conseguir los objetivos de
negocio.
AI2.6 Actualizaciones Importantes en Sistemas Existentes: En caso de cambios
importantes a los sistemas existentes que resulten en cambios significativos al
diseño actual y/o funcionalidad, seguir un proceso de desarrollo similar al empleado
para el desarrollo de sistemas nuevos.
AI2.7 Desarrollo de Software Aplicativo: Garantizar que la funcionalidad de
automatización se desarrolla de acuerdo con las especificaciones de diseño, los
estándares de desarrollo y documentación, los requerimientos de calidad y
estándares de aprobación. Asegurar que todos los aspectos legales y contractuales
se identifican y direccionan para el software aplicativo desarrollado por terceros.
AI2.9 Administración de los Requerimientos de Aplicaciones: Seguir el estado de
los requerimientos individuales durante el diseño, desarrollo e implementación, y
aprobar los cambios a los requerimientos a través de un proceso de gestión de
cambios establecido.
6. AI2.10 Mantenimiento de Software Aplicativo: Desarrollar una estrategia y un plan
para el mantenimiento de aplicaciones de software.
AI3 Adquirir y Mantener Infraestructura Tecnológica: Las Dependencias deben
contar con procesos para adquirir, Implementar y actualizar la infraestructura
tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y
proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas
y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un
soporte tecnológico en la organización.
AI3.1 Plan de Adquisición de Infraestructura Tecnológica: Generar un plan para
adquirir, Implementar y mantener la infraestructura tecnológica que satisfaga los
requerimientos establecidos funcionales y técnicos que esté de acuerdo con la
dirección tecnológica de la dependencia. El plan debe considerar extensiones
futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y
vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de
complejidad y la viabilidad del software al añadir nueva capacidad técnica.
AI3.2 Protección y Disponibilidad del Recurso de Infraestructura: Implementar
medidas de control interno, seguridad y auditabilidad durante la configuración,
integración y mantenimiento del hardware y del software de la infraestructura para
proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y
comprender claramente las responsabilidades al utilizar componentes de
infraestructura sensitivos por todos aquellos que desarrollan e integran los
componentes de infraestructura. Se debe monitorear y evaluar su uso.
AI3.3 Mantenimiento de la Infraestructura: Desarrollar una estrategia y un plan de
mantenimiento de la infraestructura y garantizar que se controlan los cambios, de
acuerdo con el procedimiento de administración de cambios de la dependencia.
Incluir una revisión periódica contra las necesidades, administración de parches y
estrategias de actualización, riesgos, evaluación de vulnerabilidades y
requerimientos de seguridad.
AI3.4 Ambiente de Prueba de Factibilidad: Establecer el ambiente de desarrollo y
pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e
integración de aplicaciones e infraestructura, en las primeras fases del proceso de
adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de
hardware y software, pruebas de integración y desempeño, migración entre
ambientes, control de la versiones, datos y herramientas de prueba y seguridad.
AI6 Administrar cambios: Para realizar algún cambio bien sea de software, de
hardware de comunicaciones o de servidores, debe existir un proceso que
administre formalmente y controladamente dichos cambios, cada cambio debe
seguir un proceso de recepción, evaluación, prioridad y autorización previo a la
implantación, sin obviar la constatación o revisión después del cambio, esto con el
fin de reducir riesgos que impacten negativamente la estabilidad o integridad del
ambiente del buen funcionamiento de las comunicaciones y servidores.
7. AI6.3 Cambios de emergencia: La Dependencia debe tener establecido un
proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que
no sigan el proceso de cambio establecido. La documentación y pruebas se
realizan, posiblemente, después de la implantación del cambio de emergencia.
AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer un
seguimiento a través de un reporte de las solicitudes de cambio, de solución y
autorización.
AI6.5 Cierre y documentación del cambio: Establecer un proceso de revisión para
garantizar la implantación completa de los cambios.
Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar la entrega de
los servicios requeridos por la empresa, dentro de este dominio se evaluará los
siguientes procesos y objetivos de control:
DS4 Garantizar la Continuidad del Servicio: Es importante que dentro de la
dependencia se garantice la continuidad de los servicios de TI, para ello es
importante desarrollar, mantener y probar planes de continuidad y así asegurar el
mínimo impacto en caso de una interrupción de servicios TI, esto se logra con el
desarrollo y mantenimiento (mejorado) de los planes de contingencia de TI, con
entrenamiento y pruebas de los planes de contingencia de TI y guardando copias
de los planes de contingencia.
DS4.2 Planes de continuidad de TI: La metodología de continuidad debe ser
diseñado para reducir el impacto de un desastre, debe presentar diferentes
alternativas de recuperación inmediata de los servicios, también debe cubrir los
lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos
de comunicación y el enfoque de pruebas.
DS4.3 Recursos críticos de TI: Revisar si se lleva un control de los planes de
continuidad, de acuerdo al nivel de prioridad, asegurarse de que la respuesta y la
recuperación están alineadas con las necesidades prioritarias de la dependencia y
considerar los requerimientos de resistencia, respuesta y recuperación para
diferentes niveles de prioridad.
DS4.4 Mantenimiento del plan de continuidad de TI: Se debe mantener el plan de
continuidad activo, vigente y actualizado y que refleje de manera continua los
requerimientos actuales del Área Informática y de la dependencia de registro y
control.
DS4.5 Pruebas del plan de continuidad de TI: Es importante que dentro de la
dependencia el plan de continuidad sea conocido por todas las partes interesadas,
es esencial que los cambios en los procedimientos y las responsabilidades sean
comunicados de forma clara y oportuna. Hacer pruebas de continuidad de forma
regular para asegurar que los procesos de TI pueden ser recuperados de forma
efectiva y así probar que el plan es efectivo o sino corregir deficiencias en el plan, y
así ejecutar un plan de acción para permitir que el plan permanezca aplicable.
8. DS4.6 Entrenamiento del plan de continuidad de TI: La organización debe
asegurarse que todos las partes involucradas reciban capacitaciones de forma
regular respecto a los procesos y sus roles y responsabilidades en caso de incidente
o desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados
de las pruebas de contingencia.
DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones: Almacenar fuera
de las instalaciones todos los medios de respaldo, documentación y otros recursos
de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad
de la dependencia. El contenido de los respaldos a almacenar debe determinarse
en conjunto entre los responsables de los procesos de la dependencia y el personal
de TI. La administración del sitio de almacenamiento externo a las instalaciones,
debe apegarse a la política de clasificación de datos y a las prácticas de
almacenamiento de datos de la organización. Las directivas de TI debe asegurar
que los acuerdos con sitios externos sean evaluados periódicamente, al menos una
vez por año, respecto al contenido, a la protección ambiental y a la seguridad.
Asegurarse de la compatibilidad del hardware y del software para poder recuperar
los datos archivados y periódicamente probar y renovar los datos archivados.
DS4.10 Revisión Post Reanudación: Una vez lograda una exitosa reanudación de las
funciones de TI después de un desastre, determinar si las directivas de TI ha
establecido procedimientos para valorar lo adecuado del plan y actualizar el plan en
consecuencia.
DS5 Garantizar la seguridad de los sistemas: Garantizar la protección de la
información e infraestructura de TI con el fin de minimizar el impacto causado por
violaciones o debilidades de seguridad de la TI.
Los objetivos de control que se evaluarán son los siguientes:
DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la dependencia,
riesgos y cumplimiento dentro de un plan de seguridad de TI completo, teniendo en
consideración la infraestructura de TI y la cultura de seguridad. Asegurar que el plan
esta implementado en las políticas y procedimientos de seguridad junto con las
inversiones apropiadas en los servicios, personal, software y hardware. Comunicar
las políticas y procedimientos de seguridad a los interesados y a los usuarios.
DS5.3 Administración de Identidad: Asegurar que todos los usuarios (internos,
externos y temporales) y su actividad en sistemas de TI (Entorno de TI, operación
de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única.
Permitir que el usuario se identifique a través de mecanismos de autenticación.
Confirmar que los permisos de acceso del usuario al sistema y los datos están en
línea con las necesidades del módulo definidas y documentadas y que los
requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar
que los derechos de acceso del usuario se solicitan por la gerencia del usuario,
aprobados por el responsable del sistema e implementado por la persona
responsable de la seguridad. Las identidades del usuario y los derechos de acceso
9. se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y
procedimientos rentables, y se mantienen actualizados para establecer la
identificación del usuario, realizar la autenticación y habilitar los derechos de
acceso.
DS5.4 Administración de Cuentas del Usuario: Garantizar que la solicitud,
establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario
y de los privilegios relacionados, sean tomados en cuenta por un conjunto de
procedimientos. Debe incluirse un procedimiento de aprobación que describa al
responsable de los datos o del sistema otorgando los privilegios de acceso. Estos
procedimientos deben aplicarse a todos los usuarios, incluyendo administradores,
usuarios externos e internos, para casos normales y de emergencia. Los derechos
y obligaciones relativos al acceso a los sistemas e información del módulo deben
acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones
regulares de la gestión de todas las cuentas y los privilegios asociados.
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar que la
implementación de la seguridad en TI sea probada y monitoreada de forma pro-
activa. La seguridad en TI debe ser re-acreditada periódicamente para garantizar
que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema
(loggin) y de monitoreo permite la detección oportuna de actividades inusuales o
anormales que pueden requerir atención.
DS5.6 Definición de Incidente de Seguridad: Implementar procedimientos para
atender casos de incidentes, mediante el uso de una plataforma centralizada con
suficiente experiencia y equipada con instalaciones de comunicación rápidas y
seguras. Igualmente establecer las responsabilidades y procedimientos para el
manejo de incidentes.
DS5.7 Protección de la Tecnología de Seguridad: Garantizar que la tecnología
relacionada con la seguridad sea resistente al sabotaje y no revele documentación
de seguridad innecesaria.
DS5.8 Administración de Llaves Criptográficas: Asegurar que la información de
transacciones (datos, password, llaves criptográficas) es enviada y recibida por
canales confiables (trustedpaths), mediante encriptamiento de sistemas y usuarios.
DS5.9 Prevención, Detección y Corrección de Software Malicioso: Garantizar
procedimientos para el manejo y corrección de problemas ocasionados por software
malicioso generalmente en el caso de virus.
DS5.10 Seguridad de la Red: En la organización al existir conexión a la red de
internet se debe implementar el uso de técnicas de seguridad y procedimientos de
administración asociados como firewalls, para proteger los recursos informáticos y
dispositivos de seguridad.
DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos los
usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar
10. las necesidades de entrenamiento de cada grupo de usuarios. Además de identificar
las necesidades, este proceso incluye la definición y ejecución de una estrategia
para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un
programa efectivo de entrenamiento incrementa el uso efectivo de la tecnología al
disminuir los errores, incrementando la productividad y el cumplimiento de los
controles clave tales como las medidas de seguridad de los usuarios.
Para ello se tomaran en cuenta los siguientes objetivos de control:
DS7.1 Identificación de Necesidades de Entrenamiento y Educación: Establecer y
actualizar de forma regular un programa de entrenamiento para cada grupo objetivo
de empleados, que incluya: Implementar procedimientos junto con el plan de largo
plazo, valores sistémicos (valores éticos, cultura de control y seguridad, otros),
implementación de nuevo software e infraestructura de TI (paquetes y
aplicaciones), perfiles de competencias y certificaciones actuales y/o credenciales
necesarias, metodos de impartir la capacitación, tamaño del grupo, accesibilidad y
tiempo.
DS7.3 Evaluación del Entrenamiento Recibido: Al finalizar el entrenamiento,
evaluar el contenido del entrenamiento respecto a la relevancia, calidad, efectividad,
percepción y retención del conocimiento, costo y valor. Los resultados de esta
evaluación deben contribuir en la definición futura de los planes de estudio y de las
sesiones de entrenamiento.
DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar que cualquier
problema experimentado por los usuarios o estudiantes sea atendido
apropiadamente realizando una mesa de ayuda que proporcione soporte y asesoría
de primera línea.
DS8.1 Mesa de Servicios: Establecer la función de mesa de servicio, la cual es
la conexión del usuario con TI, para registrar, comunicar, atender y analizar todas
las llamadas, incidentes reportados, requerimientos de servicio y solicitudes de
información. Deben existir procedimientos de monitoreo y escalamiento basados en
los niveles de servicio acordados en los SLAs, que permitan clasificar y priorizar
cualquier problema reportado como incidente, solicitud de servicio o solicitud de
información. Medir la satisfacción del usuario final respecto a la calidad de la mesa
de servicios y de los servicios de TI.
DS8.3 Escalamiento de Incidentes: Establecer procedimientos de mesa de
servicios de manera que los incidentes que no puedan resolverse de forma
inmediata sean escalados apropiadamente de acuerdo con los límites acordados en
el SLA y, si es adecuado, brindar soluciones alternas. Garantizar que la asignación
de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios,
independientemente de qué grupo de TI esté trabajando en las actividades de
resolución.
DS8.4 Cierre de Incidentes: Establecer procedimientos para el monitoreo puntual
de la resolución de consultas de los usuarios. Cuando se resuelve el incidente la
11. mesa de servicios debe registrar la causa raíz, si la conoce, y confirmar que la
acción tomada fue acordada con el usuario.
DS8.5 Análisis de Tendencias: Emitir reportes de la actividad de la mesa de
servicios para permitir a la dependencia medir el desempeño del servicio y los
tiempos de respuesta, así como para identificar tendencias de problemas
recurrentes de forma que el servicio pueda mejorarse de forma continua.
DS9 Administración de la Configuración: Mantener un depósito centralizado
donde se almacene la información de configuración de software y hardware,
ofreciendo así mayor disponibilidad a los usuarios y administradores del sistema,
además de mantener un inventario actualizado de la existencia física de TI.
El objetivo de control que se evalua es el siguiente:
DS9.3 Revisión de Integridad de la Configuración: El Área Informática debe revisar
periódicamente los datos de configuración para verificar y confirmar la integridad de
la configuración actual y ejecuta rutinas de revisión de software instalado para
establecer inconsistencias o desviaciones que perjudiquen los intereses de la
organización o que violen políticas de uso.
DS12 Administración del Ambiente Físico: La protección del equipo de cómputo
y del personal, requiere de instalaciones bien diseñadas y bien administradas. El
proceso de administrar el ambiente físico incluye la definición de los requerimientos
físicos del centro de datos (site), la selección de instalaciones apropiadas y el diseño
de procesos efectivos para monitorear factores ambientales y administrar el acceso
físico. La administración efectiva del ambiente físico reduce las interrupciones del
módulo ocasionadas por daños al equipo de cómputo y al personal.
DS12.1 Selección y Diseño del Centro de Datos: Registro y control y el Área
Informática deben definir y seleccionar los centros de datos físicos para el equipo
de TI para soportar la estrategia de tecnología ligada a la estrategia del negocio.
Esta selección y diseño del esquema de un centro de datos debe tomar en cuenta
el riesgo asociado con desastres naturales y causados por el hombre. También
debe considerar las leyes y regulaciones correspondientes, tales como regulaciones
de seguridad y de salud en el trabajo.
DS12.2 Medidas de Seguridad Física: Evaluar las medidas de seguridad físicas
alineadas con los requerimientos de la organización. Las medidas deben incluir,
zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío y
recepción. En particular mantenga un perfil bajo respecto a la presencia de
operaciones críticas de TI. Deben establecerse las responsabilidades sobre el
monitoreo y los procedimientos de reporte y de resolución de incidentes de
seguridad física.
DS12.3 Acceso Físico: Evaluar e implementar procedimientos para otorgar,
limitar y revocar el acceso a locales, edificios y áreas de emergencias. El acceso a
locales, edificios y áreas debe justificarse, autorizarse, registrarse y monitorearse.
12. Esto aplica para todas las personas que accedan a las instalaciones, incluyendo
personal, estudiantes, visitantes o cualquier tercera persona.
DS12.4 Protección Contra Factores Ambientales: Diseñar e implementar medidas de
protección contra factores ambientales. Deben instalarse dispositivos y equipo
especializado para monitorear y controlar el ambiente.
DS12.5 Administración de Instalaciones Físicas: Se debe administrar las
instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía,
de acuerdo con las leyes y los reglamentos, los requerimientos técnicos y de la
institución, las especificaciones del proveedor y los lineamientos de seguridad y
salud.
DS13Administración de Operaciones: Se requiere de una efectiva administración
protección de datos de salida sensitivos, monitoreo de infraestructura y
mantenimiento preventivo de hardware en la organización.
Para ello se evalua el siguiente objetivo de control:
DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los procedimientos para
garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia
y el impacto de las fallas o de la disminución del desempeño.
Dominio Monitorear Y Evaluar (ME). Todos los procesos del módulo de matrícula
necesitan ser evaluados regularmente a través del tiempo para verificar su calidad
y suficiencia en cuanto a los requerimientos de control, integridad y
confidencialidad, por tal se evaluara el sigueinte proceso:
ME2 Monitorear y Evaluar el Control Interno: Se debe proporcionar e incrementar
los niveles de confianza entre la organización, empleados y clientes con respecto
a las operaciones eficientes y efectivas dentro del módulo.
ME2.3 Excepciones de Control: Identificar los incidentes, analizar e identificar sus
causas raíz subyacentes para establecer acciones correctivas necesarias y verificar
si los resultados de los controles, son reportados y analizados rápidamente, para
evitar errores e inconsistencias y que sean corregidos a tiempo.