Bitácora Personal: BITACORA YMEJ AUDITORES ASOCIADOS
1)Es importante a la hora de efectuar una auditoria de sistema detectar fallos dentro del negocio, ver qué hacemos bien y qué estrategias se puede mejorar o definir un nuevo camino más acorde con los nuevos tiempos son algunas de las cuestiones a las que nos puede ayudar una auditoria de sistemas
2) Las unidades mas importantes de un departamento TI para identificar riesgos e la organización serian
◦Unidad de Metodologías y Estándares: permite realizar mejoras continuas en los procesos de la Dirección del Trabajo
◦Unidad de Desarrollo:ya que permite analizar, diseñar y desarrollar sistemas informáticos que requiera la Dirección del Trabajo, Supervisar y participar en el desarrollo de sistemas informáticos que sean responsabilidad de contrapartes externas
◦Unidad de Sistemas: permite Administrar eficientemente las redes locales y extendidas, y servicios de telecomunicaciones de la Dirección a nivel nacional
3) El alcance describe todo el sistema de gestión de auditoría, procedimientos, y de todos los apartados de la norma de auditoría aplicada para la implantación del sistema así como la información relativa a documentación legal y administrativa de la empresa por el equipo auditor, en factores tales como la ubicación física, actividades organizacionales, y la forma de realizar los informes.
El alcance de la auditoría debe ser determinado entre el cliente y el auditor líder auditoría. Cualquier cambio posterior al alcance de la auditoria debe realizarse de común acuerdo entre el cliente y el auditor líder.
4) La importancia del alcance es muy relevante en el proceso de una auditoria informática.
Porque el alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse
la Auditoria informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes? La indefinición de los alcances de la Auditoria compromete el éxito de la misma.
5) Párrafo de alcance: El auditor indica haber cumplido con las normas establecidas por la profesión para la realización de la auditoría. Las normas establecen criterios para las calificaciones profesionales del auditor, la naturaleza y alcance de los criterios aplicados a la auditoría y la preparación del informe del auditor independiente
6) Cuando las empresas crecen y comienzan a desarrollarse el numero de transacciones aumentan, la gestión de la empresa se torna más difícil, los Sistemas de Información logran llevar a cabo la gestión administrativa de la empresa, cuando se implementa un S.I.A, se presume que esta cubriendo las necesidades de Gestión de las diferentes áreas de la empresa, esto quiere decir que facilita el proceso de Información, para la correcta toma de decisiones por parte de la empresa. Cuando se auditan los Sistemas de Información, se logra minimizar el riesgo de error por parte de los usuarios de este sistema, además de controlar el correcto funcionamiento y el resultado que el S.I.A está rindiendo, y de esta forma, asegurar la entrega correcta de Información, que forma parte de los estados Financieros.Convalida los proceso que se ejecutan, y además verifica la información que estos sistemas poseen.
7) Consideramos que lo más importante dentro la implementación de la auditoria es recordar que de nada sirve implementar este tipo de sistemas si no vamos a realizarles un seguimiento, con control de su funcionamiento, que nos permita verificar que los resultados que nos muestra son útiles para la toma de decisiones. Por otra parte, tampoco es útil que confiemos ciegamente en estos sistemas y no los protejamos de factores externos al mismo como humanos, accidentes, etc, que puedan comprometer su integridad.
La importancia de la información que hoy guardamos en el “ciberespacio” y el perjuicio
que su pérdida podría causarnos, motiva tomar medidas de seguridad que intenten prevenir este tipo de situaciones.
Es importante cuidar parte de la Información de la empresa, que se encuentra en estos sistemas y validar el correcto funcionamiento de esto
2. En su bitácora debe poner la estrategia de trabajo, que usted realizara con su grupo, frente a una empresa que debe auditar, en este caso debe tener en cuenta la materia conversada en clase y además del material que se hace referencia en cada clase.
La seguridad en los sistemas abarca cinco funciones:
Evitar, Disuadir, Prevenir, Detectar, Recuperar y corregir
ESTRATEGIA DE LA SEGURIDAD
Ya se trate de actos naturales, errores u omisiones humanos y actos intencionales, cada riesgo debería ser atacado de cuatro maneras:.
a) Minimizando la posibilidad de ocurrencia.
b) Reduciendo al mínimo el perjuicio sufrido, si no ha podido evitarse que ocurriera.
c) Diseño de métodos para la más rápida recuperación de los daños experimentados.
d) Corrección de las medidas de seguridad en función de la experiencia recogida.
ANÁLISIS DE LOS RIESGOS
Los elementos claves en el análisis de riesgos son:
Determinación del impacto que originaría un acontecimiento.
Fijación de la probabilidad de ocurrencia de un hecho, dentro de un lapso especificado.
Una vez listados y analizados los riesgos tenemos cuatro posibilidades:
1) Eliminar el riesgo, con medidas adecuadas.
2) Soportarlo o tolerarlo, con la debida conciencia, tratándose de casos en los que el perjuicio ocasionara efectos menores.
3) Reducirlo.
4) Transferirlo, mediante seguros o convenios especiales. El problema consiste en hallar una combinación de estas variables, en forma tal de reducir los riesgos a un nivel aceptable y con costos mínimos.
RIESGOS Y MEDIDAS A TOMAR
RIESGOS DEL DEPARTAMENTO DE SISTEMAS
El auditor debe evaluar los principales controles del Departamento de Sistemas. Estaevaluación es necesaria para asegurarse de que los controles o las funciones en las que intenta confiar no hayan sufrido alteraciones que reduzcan o eliminen su capacidad de evitar o detectar errores o irregularidades, o respaldar las afirmaciones correspondientes.
Categorías:
Estructura organizativa y procedimientos operativos no confiables Riesgo
si las funciones incompatibles del departamento de EDP no están segregadas existe el riesgo de que ocurran errores o irregularidades que no sean detectadas durante el transcurso normal de las operaciones.
Medios de control:
Dentro de la organización del Departamento de Sistemas es conveniente separar las principales responsabilidades de las actividades de operación y programación.
Evidencia de control:
Indagación con los empleados del Departamento de Sistemas, para verificar las funciones de cada uno y sus limitaciones.
Observación y prueba de los medios existentes para la limitación del acceso físico a las instalaciones y recursos que deben estar protegidos.
Procedimientos no autorizados para cambios en los programas:
Riesgo
Los programadores pueden realizar cambios incorrectos no autorizados en el software de aplicación, lo cual reducirá la confiabilidad de la información procesada en el sistema.
Medios de control:
Es esencial que los resultados de las modificaciones de programas sean revisados por el usuario y el supervisor del programador antes de ponerlo en funcionamiento.
Evidencia de control:
Una forma de probar la existencia de adecuados controles sobre el cambio a los programas es seleccionando cambios representativos y determinando si los procedimientos de revisión y aprobación fueron cumplidos.
Acceso general no autorizado, a los datos o programas de aplicación
Riesgo: Personas no autorizadas pueden tener acceso directo a los archivos de datos o programas de aplicación utilizados para procesar transacciones, permitiéndoles realizar cambios no autorizados a los datos o programas.
Medios de control:
Software de seguridad: además de restringir el acceso a nivel de aplicaciones, pueden ser utilizados para controlar los riesgos de acceso general.
Registro de operaciones (consola): es un registro completo de cada actividad de procesamiento realizada en el computador.
Informes gerenciales especiales: para alertar a la gerencia sobre la existencia de actividades inusuales o no autorizadas.
Evidencia de control:
Obtener copia de las tablas de contraseñas y verificar si los usuarios con acceso a determinadas aplicaciones guardan una lógica con sus funciones específicas.
Intentar llevar a cabo violaciones a la seguridad para probar si el software de seguridad restringe el acceso de manera efectiva. A continuación enumeraremos medidas que deberían tomarse en otros tipos de riesgos:
Seguridad física:
El edificio, de ser posible, debe ser expresamente construido para el centro de cómputos. El área del computador debe estar en un local que no sea combustible. El local del computador no debe situarse encima, debajo o adyacente a áreas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases tóxicos, etc. El espacio entre el falso suelo y el normal debe limpiarse y pintarse antes de la instalación de los equipos. El piso y el techo deben ser impermeables. Debe existir prohibición absoluta de fumar en el área de Proceso. Protección contra incendios.
3. Debe colocar punto por punto las actividades a desarrollar y quien de su empresa será responsable de tal actividad, además de colocar en forma ficticia pero respaldada por sus conocimientos el tiempo que dura cada actividad, para la confección del diagrama GANTT.
La carta Gantt. De YMEJ AUDITORES ASOCIADOS CONTIENE las siguientes Actividades:
-Solicitud de los estándares utilizados y programa de trabajo
-Aplicación del cuestionario al personal
-Análisis y evaluación del a información
-Elaboración del informe
Encargado de realizar esas actividades: ESTHEFANY ESCOBAR.
-Para la evaluación de los sistemas tanto en operación como en desarrollo se
Llevarán a cabo las siguientes actividades:
- Solicitud del análisis y diseño del os sistemas en desarrollo y en operación
-Solicitud de la documentación de los sistemas en operación (manuales
Técnicos, de operación del usuario, diseño de archivos y programas)
-Recopilación y análisis de los procedimientos administrativos de cada
Sistema (flujo de información, formatos, reportes y consultas)
-Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos
-Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado.
-Entrevista con los usuarios de los sistemas
- Evaluación directa de la información obtenida contra las necesidades y
Requerimientos del usuario
Encargado de realizar esas actividades: MARIO FARIAS.
- Análisis objetivo de la estructuración y flujo de los programas
-Análisis y evaluación de la información recopilada -
- Elaboración del informe
Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:
-Solicitud de los estudios de viabilidad y características de los equipos
actuales, proyectos sobre ampliación de equipo, su actualización
-Solicitud de contratos de compra y mantenimientos de equipo y sistemas
-Solicitud de contratos y convenios de respaldo
-Solicitud de contratos de Seguros
Encargado de realizar esas actividades: YASMIN VILCHES
-Elaboración de un cuestionario sobre la utilización de equipos, memoria,
archivos, unidades de entrada/salida, equipos periféricos y su seguridad
-Visita técnica de comprobación de seguridad física y lógica de la
Instalaciones de la Dirección de Informática
-Evaluación técnica del sistema electrónico y ambiental de los equipos y del
local utilizado
-Evaluación de la información recopilada, obtención de gráficas, porcentaje
de utilización de los equipos y su justificación
-Elaboración y presentación del informe final (conclusiones y recomendaciones)
Encargado de realizar esas actividades: JUAN ROJAS
Cabe mencionar, que no colocamos los plazos de cada una de las actividades, yaqué debido a la naturaleza de la empresa, estos tienden a Variar dependiendo del tamaño de la empresa. Por lo tanto solo mencionamos lo que debe contener la carta Gantt de YMEJ AUDITORES ASOCIADOS.
No hay comentarios:
Publicar un comentario