1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría de SistemasIngeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, [email protected]
Sesiones 10 y 11
2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.htmlhttp://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.dochttp://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.dochttp://www.impulsotecnologico.com/empresa-madrid/auditoria-informatica-checklist-informes-auditores-informaticos/
RecordemosSi se requiere, entre otros
Evaluación administrativa del área de procesos electrónicos.
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Evaluación del proceso de datos, de los sistemas y de los equipos de cómputo (entre otros, pero no limitados a: software, hardware, redes, bases de datos, comunicaciones).
Seguridad y confidencialidad de la información.
Considerar aspectos legales de los sistemas de la información
3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Es necesario dimensionar
El tamaño del organismo a auditar
Las características del área a
auditar
Los sistemas, organización y equipo
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.htmlhttp://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.dochttp://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
Determinar el nivel de servicio requerido
Requerido para
Requerirá gestión
4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Entonces se requiere un plan que contemple, como mínimo
Fuente: http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.dochttp://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm
http://s3.amazonaws.com/ppt-download/planeaciondelaauditoriainformatica-100218170948-phpapp01.pdf?response-content-disposition=attachment&Signature=H61Mb%2B%2BGYAEosV0ApKjrYoU4OWk%3D&Expires=1430003671&AWSAccessKeyId=AKIAIA7Q
TBOH2LDUZRTQ
Establecer objetivos, alcance, inclusiones, exclusiones, limitaciones, restricciones, presupuestosy cronograma (costos, responsables, H-H, hitos, calendario) del trabajo.
Obtener información de apoyo sobre las actividades que se auditarán –nivel de exposición.
Determinar los recursos necesarios para realizar la auditoría, incluidos personal, funciones,procedimientos, técnicas y herramientas (listas de verificación, encuestas, entre otros),sistema de evaluación.
Establecer el plan de gestión de comunicaciones.
Gestión de la calidad.
Seguimiento de acciones correctoras.
Realización del diagnóstico, análisis y evaluación de desviaciones.
Gestión de riesgos.
Realizar, en la forma más apropiada, una inspección física para familiarizarse con las actividadesy controles a auditar, así como identificación de las áreas en las que se deberá hacer énfasis alrealizar la auditoría y promover comentarios y la promoción de los auditados.
Preparar por escrito el programa de auditoría –el plan de gestión.
Obtener la aprobación del plan de trabajo de la auditoría –acta de constitución.
¡Un plan de gestión de proyecto!
¡6W-2H!
8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Casos …
En un “Laboratorio de Medicamentos” se llevó a cabo la “Auditoría de la Documentación”, la cual es utilizada por el área de Sistemas para controlar el cumplimiento del desarrollo de los sistemas.
Se observa lo siguiente:
en las distintas etapas de desarrollo, la documentación está incompleta
ciertos datos de los documentos no se corresponden con la realidad, es decir que la documentación no fue actualizada
no se especifica quién llevó a cabo la documentación
no existe un lugar o acceso directo en el que cualquier persona autorizada pueda acceder a la documentación de un sistema determinado
no hay un formato determinado de documentación para cada etapa de desarrollo
9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Casos …
En una “Empresa Automotriz” se llevó a cabo la “Auditoría de una BPR”, la cual es utilizada por el área de Sistemas y por la Alta Dirección para controlar el cumplimiento de este tipo de proyecto. La empresa cuenta con equipos mainframes, los cuales serán reemplazados por Servers que estarán distribuidos según las distintas áreas de la empresa. Se realizará un nuevo planteo de todas las aplicaciones existentes.
Se observa lo siguiente:
determinados procesos de negocio de la empresa no fueron cambiados en un 100%
el personal, en su totalidad, no estaba capacitado para llevar a cabo este cambio tecnológico
sería necesario re-definir los roles y responsabilidades de todas las personas que intervienen en el proyecto
10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Casos …
En una “Empresa de Telefonía Celular” se llevó a cabo la “Auditoría de una Etapa de Implantación”, la cual es utilizada por el Director del proyecto para evaluar el desarrollo del mismo. Un equipo de 20 programadores se ocupa de llevar a cabo la prueba de los sistemas en desarrollo. Cada programador se ocupa, entre otras cosas, de probar aplicaciones y de emitir un informe en base a los resultados obtenidos de la prueba. En caso de encontrar fallas, el programador informará en qué sistema existen los inconvenientes. El Analista funcional decidirá quién resuelve las fallas encontradas. La aprobación final de una aplicación se registra en un documento.
Se observa que:
no todas las componentes cumplen las especificaciones funcionales llevadas a cabo
los resultados de las pruebas no son los correctos
no existe un documento de conformidad de los usuarios hacia el equipo de desarrollo respecto de lo realizado hasta el momento
la BD no cuenta con todos los objetos necesarios para la prueba de los sistemas
11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Casos …
En una “Empresa siderúrgica” se llevó a cabo la “Auditoría de Calidad de Software”, la cual es utilizada por el equipo del proyecto para evaluar el software existente en la empresa. Un equipo de 12 profesionales de sistemas utiliza el modelo ISO 9126 para llevar a cabo la auditoría. Se evaluarán los siguientes aspectos:
1. Funcionalidad (aptitud, precisión, interoperatividad, conformidad y seguridad)
2. Fiabilidad (madurez, tolerante a fallos y recuperabilidad)
3. Usabilidad (comprensibilidad, facilidad de aprendizaje y operatividad)
4. Eficiencia (respecto al tiempo y respecto a los recursos)
5. Mantenibilidad (facilidad de análisis, facilidad de cambio, estabilidad y facilidad de prueba)
6. Portabilidad (adaptabilidad, facilidad de instalación, conformidad y reemplazabilidad)
Se auditará la aplicación correspondiente al “Proceso de Elaboración del Acero”
Mg. Ing. Jack Daniel Cáceres Meza, [email protected]
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, [email protected]
Top Related