• Author / Uploaded
• Antonio Ramos Vela

Citation preview

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ AUDITORIA INFORMATICA PROFESOR : Ing. Fernando Andrade ALUMNO

: Jesús Cisneros Valle

FECHA

: Quito, 10 de septiembre del 2012

CURSO

: 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 7 y 8 DEL LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.

CAPITULO 9 AUDITORIA DE LA OFIMATICA Cuestiones de Repaso: 1. Que elementos de un sistema informático se contemplan dentro de la Ofimática? Las aplicaciones específicas para la gestión de tareas, hojas de cálculo, procesadores de texto, herramientas de gestión de documentos, control de expedientes o sistemas de almacenamiento óptico de información, agendas y bases de datos personales, correo electrónico, control de flujos de trabajo, etc. 2. Explique el paradigma de escritorio virtual? El escritorio virtual, como único panel presentado por la pantalla del computado, sustituye a la mesa de trabajo tradicional y es donde se encuentran todas la herramientas necesarias para desarrollar las actividades del oficinista. La interfaz del escritorio debe parecer natural al usuario y debe ser fácil de aprender y utilizar. 3. Que distingue la auditoria de Ofimática de la de otros entornos informáticos? Lo distingue porque posee dos características peculiares: • La distribución de las aplicaciones por los diferentes departamentos de la organización en lugar de encontrarse en una única ubicación centralizada. • El traslado de la responsabilidad sobre ciertos controles de los sistemas de información a usuarios finales no dedicados profesionalmente a la informática, que pueden no comprender de un modo adecuado la importancia de los mismos y la forma de realizarlos.

1

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ 4. Analice las repercusiones que puede tener en una empresa un inventario poco fiable bajo las perspectivas de la economía, la eficacia y la eficiencia. Puede repercutir en el balance de la organización, posibilitando que no se detecten sustracciones de equipamiento informático o de licencia de programas contratados, se ha seleccionado esto en primer lugar, ya que la fiabilidad del inventario resultara indispensable para auditar otros controles presentados posteriormente. 5. Como debería ser un procedimiento para la realización de cambios de versiones de paquetes informáticos? • Se debe evitar que las nuevas versiones produzcan situaciones de falta de integración y de incompatibilidad entre los nuevos productos instalados y los existentes con anterioridad. • Determinar la existencia de procedimientos formalmente establecidos para la autorización, aprobación y adquisición de nuevas aplicaciones y cambios de versiones. • Comprobar que las aplicaciones instaladas y los cambios de versiones han seguido todos los trámites exigidos en el procedimiento establecido. • Determinar si se han analizado los problemas de integración y las incompatibilidades que puedan plantear los nuevos productos previo a su implantación • Si se ha establecido algún plan para la formación de los usuarios finales que vayan a utilizar los nuevos productos. • Si los encargados de mantener la nuevas versiones han adquirido los conocimientos suficientes para que los cambios que van a producirse no impacten negativamente en el funcionamiento de la organización. 6. Calcule el coste real de un computador personal para una empresa (tenga en cuenta el hardware, software, mantenimiento, formación, etc.) DESCRIPCION: Hardware Software Sistema Operativo (Windows 7) Ofimática Antivirus Impresora de inyección (tinta continua) Formación (todo el personal)

COSTE: ($) : 400 : 250 : 120 : 40 : 180 : 10 _______

2

:

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ $.1000 Compra al por unidad informática al mayor con la ventaja de descuento en caso de compra de más de 10 unidades. 7. Que mecanismos de seguridad de los que conoce se puede aplicar a los computadores personales? Las políticas y procedimientos de seguridad son necesarios, para garantizar la confidencialidad, integridad y disponibilidad de la información almacenada. Las funcionalidades de seguridad de ofimática y sistemas operativos se han incrementado cada año ofreciendo niveles de seguridad aceptables. • • • •

• • • • •

•

Determinar si el procedimiento de clasificación de la información establecido ha sido elaborado atendiendo a la sensibilidad e importancia de la misma. Comprobar que toda la información se ha clasificado en función de los criterios establecidos Verificar que las funciones, obligaciones y responsabilidades en materia de seguridad, de cada puesto de trabajo están claramente definidas y documentadas Todo el personal debe conocer los sistemas de seguridad tanto de hardware como de software que se han instalado en el sistema de la empresa y los accesos a los cuales les está permitido accesar con sus claves de seguridad. Establecer sistemas de seguridad nivel físico que impida accesos indeseables o fraudulentos al sistema informático Establecer mecanismos de autenticación e identificación de acceso al sistema Mantener instalados sistemas antivirus y firewall actualizados Cumplir con los procedimientos establecidos para autorizar la creación de nuevos accesos al sistema y sobre los derechos de acceso de usuarios Determinar la desconexión automática de sistemas cuando estos no son usados por un periodo determinado de tiempo, así como permitir su reactivación previa autenticación del usuario. Instalar un servidor kerberos para administración de claves

8. Escriba un procedimiento para la utilización de equipos ofimáticos que puede ser entendido por usuarios finales. Primero: Los equipos y/o sistemas ofimáticos que se desarrollen y se instalen deben ser los más accesibles posible, sin conllevar complicaciones de uso, la facilidad de uso permite un acceso rápido y majeo sencillo, seguro y adecuado de los sistemas. 3

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ Segundo: Una vez desarrollado, se debe crea un manual de uso para usuarios y uno del administrador del sistema, este último determinara los accesos, permisos, usuarios, etc. Tercero: Instruir a los usuarios en el uso del sistema ofimático por ejemplo de uso de un cajero automático de un banco, basado en los siguientes puntos: 1. La interface del cajero debe ser accesible e intuitiva sin ninguna restricción, más que las claves de acceso y la tarjeta de débito o crédito. 2. La pantalla debe desplegar las posibles peticiones o requerimientos del usuario para que sean accesadas de manera automática ya sea con pantalla táctil o botones del panel correspondiente. 3. Los requerimientos deben ser procesados de manera transparente con el software ofimático que se ha creado para el efecto, y sobre todo seguro. 4. Los usuarios sin importancia de su conocimiento informático, puede y deben acceder al sistema sin ningún tipo de inconveniente, realizar sus trámites y sentirse seguros de que su transacción fue hecha según sus requerimientos. 9. Analice las principales vacunas existentes en el mercado contra virus que afecten a computadores personales. Un antivirus debe ser evaluado por distintas características como son, capacidad de detección de virus y programas malignos conocidos y desconocidos, actualización constante y efectiva, velocidad de escaneo y monitorización, dar grandes posibilidades a los expertos, y sencillez a los inexpertos, efectiva limpieza de los virus y buena documentación de ayuda. KASPERSKY ANTIVIRUS Es el mejor antivirus existente en el mercado, el mejor en nuestra evaluación. Gran cantidad de opciones. Es el más completo en cuanto a software maligno ya que no sólo se encarga de virus, gusanos y troyanos, sino que detecta dialers, espías, keyloggers, entre otros malwares. También es de los más actualizados que existen. El punto en contra es su lentitud para analizar en computadoras que no son potentes. Igualmente Kaspersky cuenta con una base de datos interna que "memoriza" los archivos escaneados para que el segundo escaneado sea más rápido. Posee gran capacidad de detección de virus desconocidos. Características: • Escaneo rápido 4

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ • Buena capacidad de actualización. • Excelente capacidad de detectar virus. • Fácil de remover. • Gran número de herramientas. NOD32 Anti-Virus. Muy rápido, eficiente, excelente heurística y excelente en cuanto a servicio técnico online. Cuenta con una versión de prueba de 25 días. Características: • Escaneo rápido • Buena capacidad de actualización. • Excelente capacidad de detectar virus. • Fácil de remover. • Mínimo consumo de recursos del sistema. • Gran número de herramientas. AVG Anti-virus Tiene una versión totalmente gratuita y una de pago. Sin dudar es el mejor antivirus gratuito que se puede encontrar. En su versión gratuita ofrece la misma seguridad que la paga, pero con menos posibilidades de configuración. Es excelente para uso personal y especialmente para computadoras que no son potentes. Su monitor para el escaneo de virus en tiempo real utiliza muy pocos recursos. Por ser la versión gratuita, hay muchas características que desearían tener los expertos que no están, desde consultas online las 24 horas y otras herramientas que mejoran la detección. Igualmente para uso personal es altamente recomendado. Características: • Escaneo rápido • Buena capacidad de actualización. • Mínimo consumo de recursos del sistema. • Gran número de herramientas. • Versión gratuita personal (no uso comercial)

10. Que consideraciones al entorno ofimático se encuentra en la LOPD? • La LOPD, establece una serie de principios y derechos de los ciudadanos en relación con sus datos de carácter personal incluido archivos automatizados. • Los afectados que sufran daños o lesión de sus bienes o derechos como consecuencia del incumplimiento de lo dispuesto en esta normativa, pueden reclamar indemnización ante los tribunales de justicia.

5

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

CAPITULO 8 AUDITORIA DE LA DIRECCION Cuestiones de Repaso: 1. Descríbanse las actividades a realizar por un auditor para evaluar un plan estratégico de sistemas de información. • Durante el proceso de planificación se presta atención al plan estratégico de la empresa, es establecen mecanismos de sincronización entre sus grandes hitos y los proyectos informáticos asociados y se tiene en cuenta aspectos como cambios organizativos, legislación, evolución tecnológica, organización informática, etc. Los impactos deben estar recogidos en el plan estratégico de sistemas de información. • Las tareas y actividades presentes en el plan tienen la correspondiente y adecuada asignación de recursos para poder llevarlos a cabo. 1. Lectura de actas de sesiones del Comité de Informática dedicadas a la planificación estratégica. 2. Identificación y lectura de los documentos intermedios prescritos por la metodología de planificación 3. Lectura y compresión detallada del plan e identificación e identificación de las consideraciones incluidas en el mismo sobre los objetivos empresariales, cambios organizativos, evolución tecnológica, plazos y niveles de recursos. 4. Realización de entrevistas al Director de Informática y a otros miembros del Comité de Informática participantes en el proceso de elaboración del Plan Estratégico. Realización de entrevistas a representantes de los usuarios con el fin de evaluar su grado de participación y sintonía con el contenido del Plan. 5. Identificación y compresión de mecanismos existentes de seguimiento y actualización del plan y de su relación con la evolución de la empresa. 2. Descríbanse las funciones de un comité de informática. Elabórese una lista con las funciones empresariales que deberían estar representadas en dicho comité. Que objetivo tiene para los usuarios su presencia en el comité? Funciones del Comité de Informática: • Aprobación del plan estratégico de sistemas informáticos • Aprobación de las grandes inversiones en tecnologías de la información 6

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ • • •

Fijación de prioridades entre los grandes proyectos informáticos Vehículo de discusión entre la informática y sus usuarios Vigila y realiza el seguimiento de la actividad del departamento de informática.

Lista de las funciones empresariales que deberían estar representadas en dicho comité: • • • • •

Director de Informática Todas las grandes áreas de la empresa deben estar representadas en el comité El director de auditoria interna Otros miembros de la organización como miembros temporales cuando hayan asuntos que les conciernan Representante de los usuarios

Objetivo de la presencia de los usuarios en el Comité? Verificar si el Comité cumple con las funciones encomendadas; y, que en los acuerdos son tomados correctamente y los puntos de vista de los representantes de los usuarios son tomados en cuenta. 3. Descríbanse las ventajas de tener procedimientos. Elabórese un guión de lo que podrían ser procedimientos de: a) diseño de sistemas, b) programación. Descríbanse las ventajas de tener procedimientos: Los procedimientos son: • Planificar • Organizar • Coordinar • Controlar El poder planificar permite asegurar el lineamiento de las acciones de la empresa con los objetivos de la misma, plasmar un plan estratégico a largo plazo, la organización y coordinación sirve para estructurar los recursos, los flujos de información y los controles que permitan alcanzar los objetivos marcados durante la planificación; y, el control, le permite a la Dirección informática supervisar y ejecutar un seguimiento permanente de las actividades del Departamento Informático evaluándolo y analizándolo periódicamente. Guión de procedimientos de: a) diseño de sistemas 7

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

Planificación: Las políticas del departamento de diseño de sistemas, estarán basados en los objetivos trazados por la empresa es identificar claramente la naturaleza y el alcance del departamento donde para cada trabajo se presentará un proyecto viable y un Estudio de Viabilidad. Organizar y Coordinar: El comité de informática deberá aprobar el plan estratégico del departamento que ha sido presentado a la Dirección de Sistemas de la empresa. El documento o planificado para cualquier desarrollo informático se llamará Especificaciones del Diseño del Sistema y debe ser aprobado por la gerencia y los usuarios. Se asegurará la calidad del proceso del producto que se diseñe en Dep. de diseño de Sistemas, se gestionara al mejor personal capacitado, dentro de los parámetros económicos de la empresa y se tomara siempre en consideración el requerimiento de los Usuarios. Controlar: La Dirección de sistemas, controlara y efectuar un seguimiento permanente de toda actividad del Departamento de diseño, se ha de vigilar el cumplimiento de los planes estratégicos, operativos y los proyectos que se desarrollan, la ejecución del presupuesto y la evolución de las peticiones de usuarios pendientes, el cumplimento de los costos, etc. En cada caso se cumplirán las recomendaciones de auditoria. b) programación Planificar (Requerimientos) Esta fase es fundamental para que la estrategia informática encaje dentro de las metas de la empresa, ya que en ella se cumplen las funciones del modelaje del negocio y planificación de programas; esto con el fin de proyectar las estrategias del negocio y determinar de esta forma los requerimientos de información. Organizar y Coordinar (Análisis / Diseño) El objetivo de esta fase es desarrollar el diseño arquitectónico de los programas, utilizando los requerimientos obtenidos en la primera fase. En el diseño arquitectónico se engloban dos componentes: los casos de uso, los lenguajes de programación, las bases de datos, etc., los cuales serán analizados y diseñados desde una perspectiva conceptual a una física Control (Pruebas)

8

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ Esta fase, da inicio luego de que las diferentes unidades de diseño han sido desarrolladas y probadas por separado. Durante su desarrollo, el programa se emplea de forma experimental para asegurar que el software no falle, es decir que funcione de acuerdo a sus especificaciones y a la manera que los usuarios esperan que lo haga, y de esta forma poder detectar cualquier anomalía, antes de que el programa sea puesto en marcha y se dependa de él. Para evaluar el desenvolvimiento del programa, en esta fase se llevan a cabo varias pruebas para controlar el sistema y que sea un entregable aceptable y sin fallas. Producción / Mantenimiento Una vez que un programa pasa a formar parte de la vida diaria de la empresa, cada procedimiento y cada estructura de datos se convierte en una pieza del negocio que, como tal, deberá funcionar en forma constante, exacta y confiable. La operación del negocio ahora dependerá del funcionamiento del sistema, por lo que las tareas de mantenimiento cobran vital importancia. Durante la fase de mantenimiento, se ponen en práctica todas las políticas y los procedimientos destinados a garantizar la operación continúan de los de los sistemas y a asegurar su uso efectivo, con el fin, de que éstos se constituyan en una verdadera herramienta de apoyo al logro de los objetivos estratégicos de la empresa

4. Que evidencias deberá buscar el auditor para poder evaluar si las necesidades de los usuarios son tenidas en cuenta adecuadamente? Deberá buscar el grado de atención que se ha dado y si se ha plasmado dentro del Plan Estratégico a las necesidades de los usuarios. 5. Identifíquese las actividades incompatibles desde el punto de vista de control de un departamento de Informática. Razónese. Los puntos incompatibles seria que no existiese mecanismos de controles a nivel de estándares de rendimientos con los que comprara las diversas tareas. Sería incompatible además que no existiesen evaluaciones periódicas de los procesos y presupuesta iones, otro punto seria no tener planes, proyectos y presupuesto de años anteriores y del actual para comprobar que son controlados, que se analizan las desviaciones y que se toman medidas correctivas de ser necesario.

9

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ 6. Que ventajas de control aporta la existencia de la función de aseguramiento de la calidad? • Permite el control de la calidad de los servicios informáticos • Da particular importancia al cumplimiento de la metodología del ciclo de vida de los sistemas de información, de los procedimientos que gobiernan la explotación del computador y de la investigación de la calidad de los datos que se envían a los usuarios. 7. Descríbanse los objetivos de control a ser evaluados por el auditor en el apartado de gestión de recursos humanos. • La selección del personal se basa en criterios objetivos y tiene en cuenta la formación, experiencia y niveles de responsabilidad anteriores. • El rendimiento de cada empleado se avalúa regularmente en base a estándares establecidos y responsabilidades específicas del puesto de trabajo. Existen procesos para determinar las necesidades de formación de los empleados en base a su experiencia, puestos de trabajo, responsabilidad y desarrollo futuro personal y tecnológico de la instalación. Se planifica la cobertura ordenada de estas necesidades y se lleva a la práctica. • Existen procesos para la promoción del personal que tienen en cuenta su desempeño profesional • Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalización de los contratos laborales no afectan a los controles internos y a la seguridad informática. 8. Que tareas debe realizar un auditor para evaluar el plan de formación del departamento de informática? Como puede juzgar si dicho plan es acorde con los objetivos de la empresa? El principal es el económico, ya que los costos de implementar un departamento de informantica requiere de inversiones hasta cierto punto elevadas. Cabe mencionar que el auditor deberá constatar la existencia del presupuesto y aprobarlo y que dicho presupuesto este en línea con las políticas de la empresa y con los planes estratégicos y operativos del propio departamento. El auditor deberá seguir básicamente las directrices y programas de trabajo de auditoria para el proceso de implementar el departamento de informática siguiendo la línea empresarial.

10

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ 9. Relaciónense las actividades a realizar por el auditor para la evaluación del precio de transferencia de reparto de costes entre el departamento de informática y los usuarios. • Realización de entrevistas a la dirección de los departamentos usuarios para evaluar su grado de compresión de los componentes de costes utilizados en la fórmula de cálculo del precio de trasferencia. • Análisis de los componentes y criterios con los que está calculando el precio de transferencia para evaluar su ecuanimidad y consistencia, y acudir al mercado externo y a ofertas de centros de proceso de datos independientes para compararlas con dichos constes internos • Conocimiento de los diversos sistemas existentes en el Departamento para recoger y registrar la actividad del mismo (consumo de recursos máquina, número de líneas impresas, horas de programación, etc.) para procesarla y obtener la información de costes y para presentarla de una manera apropiada. 10. Cuales son la áreas legales cuyo cumplimiento es el más importante de auditar? • El auditor debe empaparse de la normativa que rige área informática • Evaluar el cumplimiento de las normas en especial de los aspectos críticos • Si desconoce completamente del aspecto legal debe buscar asesoría legal en la empresa.

11