Nombre: jose javier | |Nombre del curso:

|Matrcula: |Nombre del profesor:

|Proyecto integrador de Administracin de Tecnologas de |Mayra Alejandra Rodrguez Arriaga |informacin. |Mdulo: |Mdulo 1. Proceso de auditora | |Fecha: 14 de Mayo de 2010 | | |Actividad: |Avance de Practica 1. | | | |

|Bibliografa: | |Explicaciones del tema mdulo I, 19/03/2010, | |http://cursos.tecmilenio.edu.mx/cursos/at8q3ozr5p/prof/as/as04006/anexos/explica1.htm | |http://cursos.tecmilenio.edu.mx/cursos/at8q3ozr5p/prof/as/as04006/anexos/explica5.htm | |ISACA. (2007) Manual de preparacin al examen CISA. (ISBN: 1933284668). | Ttulo: Plan de Auditoria.

Introduccin: El proceso de auditora consta de planificacin en sectores especficos para verificar que los procesos de negocio cuenten con las medidas de control necesarias para atender las normas y polticas internas, las leyes y regulaciones y mantener los riesgos (probabilidad de las operaciones salgan mal) en niveles bajos o en lo esperado sobre lo establecido previamente por la alta gerencia de la organizacin. Contenido: Primer avance A) Elabora un plan de auditora de sistemas que permita identificar las brechas de control (grado de desalineacin), en relacin con un marco de gobernabilidad o mejor prctica del mercado. Considera los procesos siguientes: Plantacin estratgica.

 Adquisicin de aplicaciones e infraestructura. Seguridad de la Informacin. Desarrollo de sistemas. Administracin de cambios. Aseguramiento de la calidad. Continuidad. Elija entre el marco de referencia Cobit e ISO27001.

Plantacin estratgica a. Tema de auditora: Dnde se identifica el rea a ser auditada. En la empresa Industria Qumica El Rey encontramos que el rea a ser auditada es del de sistemas de informacin incluyendo el la infraestructura de telecomunicaciones. Se cuenta con un gran problema que el Director de TI carece polticas y procedimientos inadecuados que permiten operar correctamente, cuenta con una red integrada que se comunica con todos los procesos se tendra que verificar si todos tiene accesos al sistemas y que tan protegido est.

b. Objetivos de Auditora: Dnde se indica el propsito del trabajo de auditora a realizar. Tenemos que identificar los objetivos de cada una de las reas para as plantear el sistema adecuado a sus funciones, se deber tener un entendimiento de la arquitectura de informacin y del rumbo tecnolgico de la informacin. La organizacin desea tener una infraestructura adecuada al funcionamiento de la organizacin y que de tal manera pueda competir con el extranjero, adems de que su demanda ha crecido 50% por lo tanto el adecuar su tecnologa, y la importancia de que los miembros de la organizacin hagan su desempeo.

c. Alcances de auditora: Aqu se identifica los sistemas especficos o unidades de organizacin que se han de incluir en la revisin en un perodo de tiempo determinado. Es importante en la empresa a auditar es todo el sistema de cmputo revisar cmo funcionan, quienes tiene acceso, con qu antivirus cuentan, niveles de proteccin, entre otras cosas que conciernen.

d. Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones donde se va auditar. Se deber hacer un anlisis en cada departamento para identificar los problemas que existen se pueden hacer por medio de unas fichas evaluables dnde contengan todos los rubros de los objetivos de la auditora y hacer otra ficha en donde se establezcan los tiempos y fechas para hacer la auditora.

e. Procedimientos de auditora: para: Recopilacin de datos. Identificacin de lista de personas a entrevistar. Identificacin y seleccin del enfoque del trabajo Identificacin y obtencin de polticas, normas y directivas. Desarrollo de herramientas y metodologa para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicacin con la gerencia. Procedimientos de seguimiento Adquisicin de aplicaciones e infraestructura.

La empresa cuenta con un sistema EPR y su sistema de contabilidad que se alimenta del EPR, tambin cuenta con una red tipo VPN que se conecta con el otro sistema, ahora bien revisar qu tipo de tecnologa tienen, verificar si las computadoras si se encuentran en buen estado y qu tan antiguas son. En dado caso de adquirir nuevas se tendra que buscar el modelo adecuado con todos los implementos que se necesiten. Si es importante determinar quin es el que comprara los productos, se considera en primer lugar del Director de TI por ser la persona que tiene conocimientos al respecto, en cuanto a quien autorice la compra ese es el Director General. Analizar cuales paquetes de software son los convenientes para cada rea.

Seguridad de informacin

Un extranet para la comunicacin de las oficinas con las bodegas y sirve para la comunicacin con los proveedores y clientes. Verificar qu tipo de contrasea tiene ya que tiene niveles, quienes son los usuarios de las mquinas, que tanto se rota al personal y evaluar sin son las personas calificadas para el puesto. En cuestin del respaldo ver la periodicidad del mismo, cmo llevan la bitcora y quien o quienes la hacen y si firma la bitcora, aunado a esto si el respaldo se encuentra en algn lugar especfico. Dentro de la TI es de importancia tener un nivel de seguridad alto, en este caso como es una empresa ya grande con vas de expansin al extranjero. Que se considere que introduzca una red interna corporativa para facilitar la comunicacin entre las oficinas.

 Desarrollo de sistemas:

Ser necesaria la revisin de diagramas de flujo de sistema, revisando que se logre ajustar a el diseo general, pues se busca la aprobacin para cualquier cambio, ya que absolutamente todos los cambios antes de realizarlos sern discutidos y aprobados por la gerencia de usuario apropiada.

Dar seguimiento a la revisin del diseo en los controles para el ingreso de los datos, del procesamiento y de los resultados, diseados en el sistema para la aprobacin de estos.

Comprobar que los datos sean reales con respecto al parmetro, a una clasificacin, o a un dato comparado, aceptando datos que cumplan el lxico pre definido. Entrevistando a los usuarios claves del sistema, con el fin de determinar su comprensin de la manera en la que operarn el sistema, determinado su nivel de participacin en el diseo de los formatos de pantalla y reportes de salida. Verificando la integridad de los clculos y procesos claves.

As mismo el auditor deber verificar inicialmente que existan polticas, procedimientos y metodologa necesaria para el desarrollo de sistemas. Si estos no existieran deber emitir una recomendacin a la direccin general de sistemas sealando los riesgos y necesidades que corre al no contar con el marco normativo que se requiere. Tomar nota si es que hay controles correctos para la administracin de cambios a versiones, incluyendo el control de asignacin de tareas de programacin y mantenimiento. Cerciorndonos si el sistema identifica y procesa los datos errneos correctamente, as como los resultados de aseguramiento de calidad de los programas desarrollados durante esta etapa de programacin y pruebas.

Despus de que se haya verificado la correccin de los errores de programacin, se iniciara la documentacin tcnica relacionada con los nuevos programas computacionales. Documentando el resultado de las pruebas y notas tomadas para la adecuacin de los procesos probados.

Asegurar la existencia de los procedimientos programados de la ejecucin del cronograma de produccin. Partiendo de la fase de pruebas dar paso a la revisin de toda la documentacin del sistema para saber que est completa y dar paso al aseguramiento de todas las actualizaciones recientes. Antes de implementar las conversiones de datos al

sistema de produccin, se debern verificar que estn completas y correctas. Ya que requerimientos y objetivos del sistema se tiene que determinar si se alcanzaron.

Para la evaluacin del tipo de cambios que requiere el sistema se revisara las solicitudes de cambio a programas. Pues para el aseguramiento que los mismos estn operando en conformidad con el diseo se verificara los controles integrados en el sistema. Si es que existir algn problema de recursos operacin inherente en el sistema se verificarn los registros de error de operacin. Revisar que el sistema este procesando los datos correctamente de acuerdo a cuadres de control de entrada, salida y dems informes. Administracin de cambios: Es necesaria la aplicacin de herramientas en base a los conocimientos que se desean cambiar, ya que sus procesos desde el inicio, la planificacin, la ejecucin, el control y cierre del dicho cambio. Se basaran en el riesgo, utilizando tcnicas programadas en actividades, asignando recursos, y dando una medicin a la productividad.

Se designara personal de confianza a la supervisin y coordinacin en los cambios administrativos, pues los responsables debern aprender sobre administracin de proyectos, durante el desarrollo del mismo.

Llegando a considerar algunos de los factores crticos para el xito de la Administracin de los cambios:

Antes del inicio de cada cambio se deber documentarse claramente los beneficios esperados y debern recabarse las autorizaciones requeridas. Los coordinadores, supervisores, responsables y participantes de los cambios debern tener los conocimientos y habilidades necesarias. Realizar y dar seguimiento a avances de informe de los cambios, dando informacin de este a todos los involucrados. Se tendr una metodologa que permita identificar y valorar los riesgos que correr la organizacin por el desarrollo de los cambios. Formalizar un plan considerando los alcances, limitaciones, metas, objetivos, recursos necesarios, habilidades necesarias, aspectos de calidad y seguimiento.

 Dar manejo de un mecanismo que asegure el cumplimiento de los objetivos organizacionales trazados inicialmente. Existirn polticas y procedimientos para el adecuado traspaso de personal operativo de sistemas. Existir un mecanismo formal de comunicacin de avances y cumplimiento de objetivos entre todos los participantes de los cambios.

Llegando a la realizacin de Cronogramas con el fin de tener una visualizacin del desarrollo de las actividades en funcin del tiempo.

Sabemos que una descripcin de una actividad puede ser extensa, por eso es necesario considerar que las descripciones de actividades cumplan con lo siguiente:

1. Concisa. 2. Que sean consecutivas. 3. Que describa claramente su alcance. 4. Que se presente interesante para el lector. 5. No ms de un rengln. 6. Que marque un lmite con la siguiente actividad. Y lgicamente de fechas, pues si queremos que se exitoso el resultado del cronograma es necesario que las fechas incluidas para cada actividad sean especficas y no vagas: 1. Que no se dupliquen. 2. Que sean consecutivas. 3. Que no se traslapen. 4. Da Mes Ao Hora Duracin, tanto detalle como sea requerido. 5. Que marque un lmite con la siguiente actividad. 6. Que sean razonables para la actividad. Adicionar a nuestro cronograma al final una lista de instrucciones detalladas, a fin de que el lector vea en el cuadro, solo los aspectos de actividades y tiempos crticos. Logrando que cualquier aclaracin adicional la podr consultar fcilmente. Pues sabemos que en el proceso de administracin de cambios debe existir un modelo y una metodologa para aprobar las solicitudes de cambio a los sistemas de informacin cuando estos sean solicitados. Llegando a definir el cambio, analizando el impacto y riesgos, obteniendo pruebas y confirmacin, llegando a planear los cambios, efectuando los cambios, monitorendolos, analizndolos obteniendo mejoras.

 Aseguramiento de la calidad

Todas las aplicaciones de negocio se enfrentan a la misma prueba, que el departamento de TI debe proporcionar tecnologa que funcione como se pretende, ofrezca el rendimiento esperado y contribuya al xito de la empresa.

Como auditores de TI tenemos un esfuerzo constante por satisfacer las necesidades de nuestro cliente, ofrecindoles soluciones que le den un alto rendimiento; sin embargo aunque todos los proyectos iniciados tienen el objetivo de llevarse a cabo con xito, muchos de ellos terminan en condiciones no esperadas, es decir que pueden terminar tarde, sobrepasan el presupuesto o se ven llenos con problemas de rendimiento.

Las prcticas de aseguramiento de la calidad deben estar en sintona con la necesidad que tiene la organizacin de TI de planificar, controlar y medir la calidad frente a lo que el negocio espera de ella. No obstante, los ejecutivos de TI se quejan de que su reto nmero uno a la hora de entregar aplicaciones es la calidad. La falta de visibilidad de sus prcticas de calidad les impide gestionar los tiempos de entrega y los recursos. Los esfuerzos de calidad hoy en da deben cumplir con las necesidades de la empresa, tanto las de la parte de TI como las del negocio.

Existen diversos mtodos para poder asegurar la calidad de la implementacin de un sistema, una vez conociendo cules sern las acciones a implementar podemos iniciar con el procesos que asegure la calidad, las organizaciones de TI pueden optimizar la calidad de las nuevas aplicaciones, al permitirles centrarse en las intenciones del negocio a lo largo de todo el proceso de calidad. Se establecen prioridades para los requisitos de negocio y stos conforman la base para los planes de pruebas del proyecto, asegurando de esta forma que los esfuerzos de calidad realizados se centran en la funcionalidad ms importante para la empresa.

Continuidad.

Es una funcin complementaria del auditor de TI el brindar un plan de seguimiento para asegurar que la aplicacin de las recomendaciones dadas den los resultados esperados.

La funcin principal del auditor es identificar posibles errores y disminuir las fallas dentro del rea de TI en medida de lo posible, sin embargo la decisin de aplicar o no es completamente de los directivos; por lo que el auditor deber estar al pendiente de las decisiones que hayan tomado sobre sus recomendaciones, una vez conociendo cules sern las modificaciones aprobadas debemos ofrecer un plan de continuidad que respalde los buenos resultados de nuestro trabajo.

Recabaremos y evaluaremos informacin apropiada sobre la efectividad de las acciones implementadas, para poder observar si estas fueron oportunas para la situacin de la empresa.

Es un punto crtico la evaluacin posterior a la implementacin, en donde tambin documentaremos los resultados obtenidos para incluirlos en un reporte de seguimiento, el cual ser dirigido a los directivos de la empresa.

Planeacin de recoleccin de informacin. Hemos desarrollado un plan para la recoleccin de la informacin necesaria para los reportes de seguimiento: Identificar los principales problemas que la empresa deseaba resolver: El rea de TI no satisface sus necesidades en tiempo y calidad. Identificar cules son las mejoras propuestas al sistema que fueron aprobadas: Realizar una expansin del rea de TI para que tenga la capacidad de satisfacer las necesidades dela expansin a Estados Unidos. Recolectar informacin de forma directa en todos los departamentos para conocer si sus necesidades de TI han sido satisfactorias. Evaluar los sistemas implementados para confirmar que trabajan de forma adecuada y cumplen con todas las reglas y normativas. Documentar los resultados de cada uno de los pasos anteriores. Evaluar los resultados, en caso se de ser satisfactorios se entregara este reporte a los directivos; en caso contrario retomaremos medidas de cambio.

 Elija entre el marco de referencia Cobit e ISO27001. Pienso que en este caso se debera de aplicar el ISO27001 ya que es una certificacin que tiene un gran respaldo y cuenta con un grado muy alto de madurez en la seguridad de la informacin y alcance, entendiendo por alcance el mbito de la organizacin que va estar sometido al sistema de gestin de la seguridad de informacin elegido. Tambin es recomendable la ayuda de consultores externos. El equipo de proyecto de implantacin debe estar formado por representantes de todas las reas de la organizacin que se vean afectadas por el SGSI, liderado por la direccin y asesorado por consultores externos especializados en seguridad informtica, derecho de las nuevas tecnologas, proteccin de datos y sistemas de gestin de seguridad de la informacin (que hayan realizado un curso de implantador de SGSI).