Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 44 vistas

    10 - Auditoría de Los Componentes de Los Sistemas

    Cargado por

    Elías Cesar Acuña
    El documento resume los componentes clave de un sistema de auditoría de TI, incluyendo sistemas, procesos de datos y equipos de TI, y seguridad. Describe la importancia de políticas de respaldo, políticas y procedimientos actualizados, y controles de licencias de software. También enfatiza la necesidad de políticas de seguridad física para las instalaciones de TI.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    10 - Auditoría de Los Componentes de Los Sistemas

    Cargado por

    Elías Cesar Acuña
    44 vistas46 páginas
    El documento resume los componentes clave de un sistema de auditoría de TI, incluyendo sistemas, procesos de datos y equipos de TI, y seguridad. Describe la importancia de políticas de respaldo, políticas y procedimientos actualizados, y controles de licencias de software. También enfatiza la necesidad de políticas de seguridad física para las instalaciones de TI.

    Descripción original:

    auditoria de los sistemas

    Título original

    10 - Auditoría de los Componentes de los Sistemas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento resume los componentes clave de un sistema de auditoría de TI, incluyendo sistemas, procesos de datos y equipos de TI, y seguridad. Describe la importancia de políticas de respaldo, políticas y procedimientos actualizados, y controles de licencias de software. También enfatiza la necesidad de políticas de seguridad física para las instalaciones de TI.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    44 vistas46 páginas

    10 - Auditoría de Los Componentes de Los Sistemas

    Cargado por

    Elías Cesar Acuña
    El documento resume los componentes clave de un sistema de auditoría de TI, incluyendo sistemas, procesos de datos y equipos de TI, y seguridad. Describe la importancia de políticas de respaldo, políticas y procedimientos actualizados, y controles de licencias de software. También enfatiza la necesidad de políticas de seguridad física para las instalaciones de TI.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 46

    UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

    FACULTAD DE CIENCIAS CONTABLES

    Auditoria de TI:
    10: Auditoría de los
    Componentes de los Sistemas
    Auditoría de los Componentes de
    los Sistemas

    CONTENIDO
     Sistemas
     Procesos de datos y equipos de TI
     Seguridad.
    Un Sistema

    Es un conjunto de cosas que ordenadamente


    relacionadas entre sí contribuyen a un determinado
    objetivo (Real Academia Española)

    Un modelo formado por una serie de elementos


    interrelacionados entre sí, que opera en un
    entorno cambiante y con unos determinados
    objetivos.
    Elementos de un Sistema

    El entorno del sistema: aquello que lo


    Los componentes del sistema
    rodea, entro del cual está ubicado.
    Las relaciones entre ellos, que determinan
    Los límites del sistema: la frontera entre lo
    la estructura del sistema
    que es el sistema y lo que constituye el
    El objetivo del sistema.
    entorno.
    Un Sistema se Integra de:

    Agentes Externos

    Internet
    Internet
    Auditoría de los Sistemas
    Auditoría de los Sistemas

     La palabra Auditoría viene del latín auditorius y de


    esta proviene auditor, que tiene la virtud de oír y
    revisar cuentas, pero debe estar encaminado a un
    objetivo específico que es el de evaluar la eficiencia
    y eficacia con que se está operando.

     Objetivo: Tiene como objetivo el señalamiento de


    cursos alternativos de acción, se tomen decisiones
    que permitan corregir los errores, en caso de que
    existan, o bien mejorar la forma de actuación.
    Auditoría de Sistemas

     La Auditoría de Sistemas es el
    conjunto de técnicas que permiten
    detectar deficiencias en las
    organizaciones de informática y en
    los sistemas que se desarrollan u
    operan en ellas, incluyendo los
    servicios externos de computación,
    que permitan efectuar acciones
    preventivas y correctivas para
    eliminar las fallas y carencias que se
    detecten.

    Fuente: http://www.ongei.gob.pe
    Auditoría de Sistemas

     Se verifica la existencia y aplicación de todas las


    normas y procedimientos requeridos para minimizar
    las posibles causas de riesgos tanto en las
    instalaciones y equipos, como en los programas
    computacionales y los datos, en todo el ámbito del
    Sistema: usuarios, instalaciones, equipos.
     Las Instituciones afectan Auditorías de Sistemas, con
    la finalidad de asegurar la eficiencia de las
    organizaciones de informática, as¡ como la
    confiabilidad y seguridad de sus sistemas.

    Fuente: http://www.ongei.gob.pe
    ASPECTOS A CONTROLAR

    Para lograr desarrollar e implantar un Sistema con Calidad,


    dentro de los plazos y costos previstos, cuyos beneficios sean
    los planificados, es necesario controlar que:
     El Proyecto de Desarrollo de Sistemas está‚ enmarcado
    dentro del Plan General de Sistemas.
     El Cronograma del Proyecto sea realista y el Sistema esté
    operativo en forma oportuna, de acuerdo a las
    necesidades de la Institución.
     Se aplique la Metodología de Desarrollo de Sistemas.
     Exista un control permanente de la consistencia y
    confiabilidad de los Sistemas Informáticos.
    ASPECTOS A CONTROLAR

     La Calidad del Sistema producido, permita una óptima


    operatividad del mismo.
     La tecnología utilizada sea la más adecuada a los fines
    del sistema y permita una vida útil satisfactoria para la
    inversión realizada.
     Los Costos, tanto del desarrollo como de su operación y
    mantenimiento, sean los planificados y exista un retorno
    de la inversión.
     Se hayan logrado los beneficios esperados.
    Se Espera del Sistema que:

    1. El Proyecto de Desarrollo de Sistemas esté‚


    enmarcado dentro del Plan General de Sistemas.
    2. El Cronograma del Proyecto permita o haya
    permitido que el Sistema esté‚ operativo
    oportunamente.
    3. Se aplique la Metodología de Desarrollo de Sistemas.
    4. Documentación de Sistemas:
    Documentación de Sistemas:

     Si el control es realizado preventivamente, la


    documentación deber ser revisada al finalizar cada
    sub-etapa, siendo recomendable que se revise
    internamente en la Dirección de Informática, previa a
    la entrega del mismo al Comité‚ del Sistema.
     Deber llevarse un Registro de la Documentación
    generada, para efectos de seguimiento permanente y
    control posterior.
     Deber contarse con la firma de conformidad del
    usuario de la documentación que éste deba aprobar.
    Etapas de Desarrollo de Sistemas a
    Auditar
    Análisis de Diseño de Programación : Implantación de
    Sistemas Sistemas Sistemas
    • Entrevistas. • Diseño • Programación • Capacitación.
    • Diagrama de Estructurado. Estructurada. • Creación de
    Flujo de Datos • Diagrama de • Pruebas Unitarias. archivos iniciales.
    (D.F.D.). Estructura de • Pruebas de • Proceso en
    • Modelización de Cuadros. Integración. paralelo.
    Datos. • Optimización del • Prueba del
    • Diagrama de Diseño Físico. Sistema.
    Estructura de • Diseño de
    Datos (D.E.D.). Pruebas.
    • Historia de Vida • Prototipeo.
    de la Entidad
    (H.E.V.).
    • Análisis de Costo-
    Beneficio (A.C.B.).
    • Prototipeo.
    Procesos de datos y equipos de TI
    Procesos de datos y equipos de TI
    Controles:

     Los datos son uno de los recursos más valiosos. Por lo


    cual se debe tener presente:

    1. La responsabilidad de los datos es compartida.

    2. Un problema que se debe considerar es el que se


    origina por la duplicación de los datos.
    Políticas de respaldo

    Los respaldos de la información deben realizarse


    mensual, semanal o diario y se deben observar los
    siguientes puntos:

    Backup’s
    Políticas de respaldo

    1. Se debe contar con políticas que sean formales (por escrito) para
    realizar copias de seguridad.

    2. El almacenamiento de datos debe ser replicado en otros


    dispositivo de almacenamiento.

    3. El acceso debe ser restringido al área en donde se tienen


    almacenada la información.

    Riesgo de Información cuando


    no hay política de Seguridad.
    Políticas de respaldo
    4. También se debe especificar la forma de:

    a. Etiquetación,
    b. Nomenclatura
    c. Rotación de cintas,
    d. Nombres de los responsables de efectuar
    los respaldos
    e. Cintas que serán designadas para ser
    resguardadas fuera de las instalaciones.
    Políticas y Procedimientos

     Las políticas existentes deben estar actualizadas


    en todas las actividades, estar debidamente
    documentadas y ser del conocimiento del
    personal.
    Políticas y Procedimientos

    Conviene tener políticas y


    procedimientos actualizados que
    administre el área de sistemas.
    Políticas y Procedimientos

    Relajamiento Inadecuada
    Administración
    en el división de
    inadecuada
    cumplimiento labores
    Políticas y Procedimientos

    Las políticas y procedimientos deben incluir los siguientes puntos:

    Seguridad de la
    información física y lógica

    Adquisición de Hardware
    y Software

    Operación del centro de


    computo
    Al proceder de esta manera se
    obtendrán las siguientes ventajas:
    1. Se tiene una base uniforme, estable y formal para
    capacitación y fomenta la eficiencia del personal.

    2. Ante la rotación del personal, se evita el


    desvirtuamiento de las normas y procedimientos.

    3. Se precisa la responsabilidad individual de los


    participantes en una operación.
    Política de Revisión de Bitácora

    Deben existir bitácoras de operación en las que se


    registren:
    - Los procesos realizados
    - Los resultados de ejecución
    - La concurrencia de errores
    - Los procesos ejecutados en el equipo
    - La manera en que se concluyeron.
    No contar con una política de revisión de
    bitácoras puede ocasionar :

    1. Carecer de las bases para el rastreo de errores.


    2. Falta de parámetros de evaluación respecto al
    funcionamiento.
    3. Ausencia de controles respecto a registro de
    seguimiento de problemas.
    Controles de licencia del software

    Todas las organizaciones deben tener un inventario


    de las licencias actualizado, que asegure que toda
    la paquetería y software en general sea legal.
    Políticas de Seguridad Física del Sitio

    Las instalaciones del sitio deben ser las adecuadas para


    asegurar el buen funcionamiento y continuidad
    necesaria en las operaciones.

    Por tal motivo durante la visita de las instalaciones se


    deben observar los siguientes puntos:
    Políticas de Seguridad Física del Sitio

    • Diseñar un lugar • El acceso debe • Debe existir un plan


    exclusivo y estar restringido por que permita que los
    adecuado para los llaves electrónicas, sistemas sigan
    equipos centrales. chapas funcionando en
    magnéticas, etc. caso de algún
    siniestro o en caso
    de alguna huelga.
    Que contiene el Plan de Contingencias?

    1. Delegación de funciones y entrenamiento.


    2. Resumen de actividades a seguir en contingencia.
    3. Estudio detallado con la zona geográfica.
    4. Realizar un estudio de tiempo de restablecimiento
    de operaciones a una determinada contingencia.
    Control de Operación

    Esta parte se relaciona con la eficiencia y satisfacción


    del usuario.
    Control de medio de almacenamiento
    masivo

    Los dispositivos de almacenamiento representan para


    cualquier centro de cómputo archivos
    extremadamente importantes cuya pérdida podría
    tener repercusiones muy serias no solo en la unidad
    de informática sino en la dependencia en la cual se
    presta servicio.
    Control de mantenimiento

    Total

    TIPOS

    Programado Alerta
    CONTROLES

     Prevenir o detectar errores accidentales que puedan


    ocurrir en el Centro de Cómputo durante un
    proceso.
     Evitar o detectar el manejo de datos con fines
    fraudulentos por parte de funcionarios Garantizar la
    integridad de los recursos informáticos.
     Asegurar la utilización adecuada de equipos acorde
    a planes y objetivos.
    CONTROL DE LOS DATOS FUENTE Y
    CIFRAS DE CONTROL
     Duplicar procesos. Esto es de suma importancia en caso
    de equipos de cómputo que cuentan con sistemas en
    línea.
     Primer nivel
     Segundo nivel
     Tercer nivel
    CONTROL DE ASIGNACION DE
    TRABAJO

     Trabajar con archivos de una carpeta.


     Crear un área de trabajo compleja.
     Trabajar en varias ramificaciones crear una
    compilación local.
    Mantenimiento y Orden

    Mantenimiento Periódico y
    Diagnóstico Preventivo

    Por otro lado, debe haber Orden en el centro de cómputo: Una dirección
    de informática bien administrada debe tener y observar reglas relativas
    al orden y cuidado en la sala de maquinas.
    Evaluación de la configuración del
    sistema de cómputo

    Esta sección esta orientada a:


    Evaluar posibles cambios en el hardware a fin de
    nivelar el sistema de cómputo.

    Evaluar las posibilidades de modificar el equipo


    para reducir el costo o bien el tiempo de proceso.

    Evaluar la utilización de los diferentes dispositivos


    periféricos.
    Puntos a evaluar en los equipos

    Forma de adquisición, estándares y opciones de


    renta, renta con opción a compra o compra.
    EVALUACION DEL PROCESO DE
    DATOS Y DE LOS EQUIPOS DE TI

     Relación de los datos


     Duplicidad de datos
     Clasificación e identidad de los datos
     Responsabilidad de los datos
    Seguridad
    Todos los Riesgos Posibles debemos:

     Evitarlos.- No direccionar acciones donde siempre


    hay peligro
     Transferirlos.- Con un servicio externo especializado.
     Reducirlo.- Detectarlo y extinguirlo en lo mayor
    posible.
     Asumirlos.- Cuando no se asume el riesgo absoluto.
    Niveles de Seguridad

    Se debe verificar que los siguientes elementos sean


    los más adecuados:
     Equipos.
     Sistema de Red.
     Sistema de Base de Datos.
     Sistema de Comunicaciones.
     Lenguaje de Programación.
    Factores que Intervienen en la
    Composición de una Contramedida

    Normas
    Estándares Políticas

    Organización Funciones,
    (Personas) procedimientos, planes

    Metodologías

    Objetivos de Control

    Procedimientos de Control Informática, Usuarios

    Tecnología de Seguridad Hardware, Software

    Herramientas
    Factores que Intervienen en una
    Contramedida
    Política
    de
    Seguridad

    Plan de
    Seguridad

    Normas y
    Procedimientos

    Medidas Tecnológicas
    Implantadas

    También podría gustarte

    pFad - Phonifier reborn

    Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

    Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


    Alternative Proxies:

    Alternative Proxy

    pFad Proxy

    pFad v3 Proxy

    pFad v4 Proxy