Professional Documents
Culture Documents
Auditora Informtica
Captulo IV: Metodologa auditora informtica
Captulos restantes
Captulo V: Metodologa y herramientas de la Auditoria informtica Captulo VI: Informe de Auditora Informtica Captulo VII: Principales rea de auditora informtica
Mtodo de trabajo
Revisin material segn el tema del trabajo Inicio de clases se tomar control de lectura Exposicin grupal del tema a tratar
Tiempo de exposicin 30 min Presentar informe del tema tratado
Agenda
Metodologa para la auditora informtica
Planeacin de la auditoria (Grupo 1) Toma de contacto Revisin preliminar Establecer objetivos Determinar punto a evaluar Elaborar plan de auditora Elaborar instrumentos Asignacin de recursos y sistemas
Desarrollo de la auditora (Grupo 2) Fase de diagnstico Realizar acciones programadas Aplicacin de instrumentos Integracin de papeles de trabajo
Agenda
Herramientas de control.
ISO 19011:2011 (grupo 3) ISO 17799 (grupo 4) ISO 27000 (grupo 5) COBIT (grupo 6) ITIL (grupo 7) ISACA (grupo 8) Lunes, 27 mayo Definicin Caractersticas Importancia Aplicacin
Revisin Bibliogrfica.
Martes, 21 de mayo Piattini Mario, Emilio del Peso Navarro, Auditora Informtica un enfoque prctico; Segunda Edicin, 2001 Captulo III Lunes, 27 de mayo
www.isaca.org http://www.itil-officialsite.com/ http://www.iso.org/
Revisin Bibliogrfica.
AIA Martes, 28 de mayo AIB Jueves, 30 de mayo
Enrique Hernandez Hernandez, "Auditoria informtica un enfoque metodolgico. Capitulo 5: Metodologa para el Desarrollo e Implantacin de la Auditora de Informtica
Revisin Bibliogrfica.
AIA Martes, 11 de junio AIB Jueves, 13 de junio
Enrique Hernandez Hernandez, "Auditoria informtica un enfoque metodolgico. Capitulo 6 y 7
Mtodo
Modo de decir o hacer con orden una cosa
Metodologa
Conjunto de mtodos que se siguen en la investigacin cientfica o en una exposicin doctrina
Metodologa
Usada por un profesional dice mucho de su conocimiento sobre el trabajo que realiza Esta directamente relacionada con la experiencia obtenida con el tiempo (acierto error) Es necesaria para que un grupo de profesionales alcancen un resultado homogeneo. La metodologa obliga a la planeacin detallada de cada proyecto bajo criterios estndares.
10
11
Importancia
Se elimina el proceso informal de trabajo Trabajo con caractersticas y requisitos comunes para todos los responsables Orientan sus esfuerzos a la obtencin de productos de calidad Las tareas y productos terminados definidos y formalizados en un documento al alcance de todos los Auditores de Informtica Se facilita en un alto grado la administracin y seguimiento de los proyectos Trabaja sobre tareas y productos terminados perfectamente definidos.
12
13
15
Ejemplos Planificacin
Ejemplos Planificacin
3. Establecer fechas de reuniones formales e informales para dar seguimiento a los planes de compromiso conjunto.
19
Responsable de ejecucin
Lder auditora informtica
Comentarios
Diagnstico actual (punto de vista del negocio), rea de riesgo o debilidades Fechas y periodos en que se auditaran las reas Recomendable hacerlo al inicio
Elaboracin del plan de AI Presentacin del plan a la alta direccin Ejecucin del plan de auditora informtica
Diagnostico preliminar
21
23
Apoyo al negocio
Involucracin de la Funcin de Informtica en los proyectos claves del negocio Difusin de las Polticas y Planes de Informtica en los niveles Estratgico, Tctico y Operativos del Negocio Imagen de Informtica que tiene la Alta Direccin y Responsables de cada rea del Negocio Grado de Satisfaccin que existe por cada servicio prestado por la Funcin de Informtica Expectativas que tiene el negocio por Informtica Fortalezas de Informtica y debilidades de Informtica reas de Oportunidad (Propuestas ya sea por la Alta Direccin, Usuarios o Informtica)
27
Conocimiento de informtica
Conocimientos de la funcin informtica La estructura interna de Informtica Funciones Objetivos Estratgias Planes Polticas De manera general la Tecnologa de Software y Hardware en que se apoya para llevar a cabo su Funcin dentro del negocio.
29
Conocimiento de informtica
Servicios Implantacin de Soluciones de Informacin : Desarrollo de Sistemas de Informacin : No integrados Integrales Estratgicos Compra y adecuacin de Aplicaciones hechas por externos Bases de Datos : Centralizadas Descentralizadas Evaluacin, Adquisicin, Instalacin y Reemplazo de : Equipo de Computo Paquetes de Software (Procesadores de palabras, Hojas de Clculo, etc.) Equipos de Telecomunicaciones Lenguajes de Programacin
Conocimiento de informtica
Mantenimiento: Sistemas de Informacin Base de Datos Equipos de Computo y de Telecomunicaciones Redes Locales Soporte a Usuarios Capacitacin y Asesora Investigacin : Tecnologa (Equipos de Computo, Comunicaciones, CASE, EDI, etc.)
Conocimiento de informtica
Aspectos de control Polticas y Procedimientos de Organizacin de la Funcin de Informtica : Descripcin de Puestos y Funciones - Evaluacin de Desempeo Polticas y Procedimientos para el Desarrollo e Implantacin de Sistemas Polticas y Procedimientos de Evaluacin de Hardware y Software Polticas y Procedimientos de Seguridad Polticas y Procedimientos de Mantenimiento: Preventivo Detectivo Correctivo Plan de Contingencias
Metodologa para la AI
Planeacin de la auditoria Toma de contacto Reunin inicial Alcance Revisin preliminar Listado de principales sistemas de informacin (In house comercial) Usuarios principales Determinar volmenes de transacciones promedios Fallas y/o regularidades ms comunes Informes de desempeo por parte de analistas o personal.
33
Etapa de justificacin
34
Matriz de Riesgos Plan General de Auditora de Informtica Visto Bueno por escrito
Matriz de Riesgos Plan General de Auditora de Informtica Visto Bueno por escrito
Etapa de Desarrollo
40
41
Diagnostico preliminar
Visin sistmica
OBJETIVOS
P R OC E S O S
INSUMOS
PRODUCTOS
METAS
USUARIOS
ENTORNO
COMUNIDAD AMBIENTE
metas
Parmetros de satisfaccin
incidencia
11-1
Leyes
Proveedores
Entidad
Clientes
Entorno Remoto
Tecnologa
Economa
Poltica
Trabajo grupal: 1. Determine la visin sistmica de la empresa 2. Determine los factores de entorno prximo y remoto de la empresa
Propsito
Todo sistema organizacional tiene un Propsito
El propsito de la organizacin gua o inspira, no necesariamente permite obtener ventajas competitivas o diferenciar
49
Misin
El propsito del sistema organizacional lo expresa su MISION
50
Misin
La misin debe responder a la pregunta por qu existimos en la comunidad?
51
Caractersticas de la Misin
La declaracin de Misin debe ser: Amplia Fundamental y duradera Estable durante muchos aos Sin importar quines gestionan la organizacin, y hasta que las condiciones competitivas obliguen a ajustar la razn de ser de la organizacin.
52
Caractersticas de la Misin
Corta Fcil de entender Sin palabras tcnicas .
53
Caractersticas de la Misin
Corta Memorable Fcil de recordar .
54
Caractersticas de la Misin
Corta Memorable Inspiradora Clientes internos, externos y proveedores
55
Caractersticas de la Misin
Corta Memorable Inspiradora Hable de nuestra empresa Personalizada Determinar cual es mi valor agregado Por qu soy diferente? Por qu tienen que escogerme a mi?
.
56
Caractersticas de la Misin
Corta Memorable Inspiradora Hable de nuestra empresa Hable al mercado Cmo yo le agrego valor a mi cliente?
57
Estructura de la Misin
La Misin de una Organizacin debe sealar: 1. La finalidad de la organizacin ( PARA QUE EXISTE) 2. La oferta que hace a los Clientes 3. Las caractersticas distintivas de su oferta.
58
Ejemplos de la Misin
a) Empresa de capacitacin online en gestin
Nuestra Misin es Mejorar el desempeo de los equipos de trabajo optimizando su capacidad de gestin utilizando tecnologas de punta Finalidad Oferta Caractersticas distintivas
b) Hotel
Nuestra Misin es infundir bienestar y reanimar los sentidos de nuestros huspedes Finalidad proporcionndoles un servicio personal fino y las mejores instalaciones Oferta para que disfruten de un ambiente clido, relajado Caractersticas dist y refinado
59
Ejemplos de la Misin
c) Colegio
Nuestra Misin es educar a nuestros alumnos para que desempeen eficazmente en el mundo social, laboral y acadmico y colaboren al desarrollo de una sociedad democrtica en continuo proceso de cambios e interdependencia global, mediante procesos de enseanza aprendizaje bilinges, participativos y en contacto con la comunidad
60
Ejemplos de la Misin
d) Empresa de servicios I.T
Nuestra Misin es generar valor al negocio de nuestros Clientes, optimizando la calidad de atencin, la productividad y los resultados
Finalidad Oferta
mediante servicios de tecnologa de informacin y comunicaciones Caractersticas Ejecutados con estndares de clase mundial.
distintivas
Trabajo grupal: 3. Plantee la misin de la empresa sobre la cual va a trabajar y proponga una nueva basada en lo visto en clases
Visin
Es un sueo realizable o alcanzable a largo plazo
Es una declaracin que define los propsitos de la organizacin de mediano y largo plazo (3 a 10 aos
64
Caractersticas de la Visin
Futurista Sealar las percepciones que la empresa desea que el mundo tenga de ella
cul es la imagen futura que queremos proyectar de nuestra empresa? cules son nuestros deseos o aspiraciones? hacia dnde nos dirigimos? hacia dnde queremos llegar?
65
Caractersticas de la Visin
Futurista Audaz Expresarse en trminos atractivos y visionarios
66
Caractersticas de la Visin
Futurista Audaz Expresarse en trminos atractivos y visionarios Clara y visible Orientarse al mercado
67
Tipos de Visin
Cualitativas
68
Tipos de Visin
Cualitativas Competitivas
69
Tipos de Visin
Cualitativas Competitivas Superlativas
70
Ejemplos de la Visin
71
Ejemplos de la Visin
General Motors: Ser el lder mundial en productos y servicios relacionados al transporte. Nosotros lograremos el entusiasmo de nuestros clientes a travs de la mejora continua de nuestros productos, guiada por la integridad, el trabajo en equipo y la innovacin de nuestra gente. McDonalds: Ser el mejor restaurante de comida rpida en el mundo. Ser el mejor significa proveer calidad excepcional, servicio, higiene y valor, de manera tal que hagamos que cada cliente en cada restaurante sonra.
72
Ejemplos de la Visin
Samsung: Liderar la revolucin de la convergencia digital. Wal-Mart: Ser el ms eficiente operador multiformato de bajo costo, ofreciendo a los clientes el mejor valor por su dinero.
73
Trabajo grupal: 4. Plantee la visin de la empresa sobre la cual va a trabajar y proponga una nueva basada en lo visto en clases
Valores
Principios bsicos de comportamiento esperado de las personas de una organizacin
76
77
Trabajo grupal: 5. Plantee los valores de la empresa sobre la cual va a trabajar y proponga nuevos basado en lo visto en clases
Fortalezas
Lo que hacemos bien que nos brinda una ventaja competitiva con respecto a los demas.
Representan los principales puntos a favor con los que cuenta la empresa o institucin.
81
Debilidades
Problemas internos que bajan el rendimiento competitivo con respecto a los demas.
Provocan una posicin desfavorable frente a la competencia en cuanto a limitaciones relacionadas con potencial humano, capacidad de procesos o finanzas
83
Oportunidades
Condiciones en el ambiente externo que pueden ser favorables
Son eventos o circunstancias que se espera que ocurran o puedan inducirse a que ocurran en el mundo exterior y que podran tener un impacto positivo en el futuro de la empresa,
85
Amenazas
Condiciones en el ambiente externo que pueden ser desfavorables.
Son eventos o circunstancias que pueden ocurrir en el mundo exterior y que pudieran tener un impacto negativo en el futuro de la empresa, aparecen en las mismas categoras que las oportunidades.
87
Entrega: Fecha de entrega: lunes, 10 de junio 2013 17:00 Arial 11, espaciado simple Tres hojas Referencia bibliogrfica http://manuelgross.bligoo.com/comohacer-un-analisis-foda
88
Matriz de riesgo
Herramienta de control y de gestin Utilizada para identificar:
Las actividades relevantes de la empresa El tipo y nivel de riesgos inherentes de las actividades Los factores exgenos y endgenos relacionados con los riesgos.
Permite evaluar la efectividad de una adecuada gestin y administracin de los riesgos La forma en que impactan a los resultados y por ende al logro de los objetivos de una organizacin.
90
Detectar las reas de mayor riesgo que existen en relacin a Informtica y que requieren una revisin de manera formal y oportuna.
91
92
93
Siete pasos
1. El objetivo debe ser expresado en positivo Qu es lo que quieres? Qu quieres en lugar de lo que tienes? Qu preferiras tener? 2. El objetivo tiene que ser especfico y medible Qu es exactamente lo que vers, oirs o sentirs cuando alcances tu objetivo? Cunto tiempo necesitars para alcanzarlo? Cundo quieres alcanzarlo?
95
Siete pasos
3. Decide cmo y cundo medirs el avance en el cumplimiento Cmo medirs tu progreso hacia el objetivo? Con cunta frecuencia medirs tu progreso? Cmo sabrs que has logrado el objetivo? Cmo verificars que ests en el camino correcto hacia el objetivo?
96
Siete pasos
4. Organiza los recursos que necesitars durante la travesa hacia el logro del objetivo Qu recursos (objetos, personas, tiempo, modelos, cualidades) vas a necesitar para alcanzar tu objetivo? De cuales dispones ya? Dnde encontrars los otros?
97
Siete pasos
5. Se proactiva/o
Hasta qu punto controlas el cumplimiento de ese objetivo? Qu hars para alcanzarlo? Qu puedes ofrecer a los dems de tal modo que se interesen por ayudarte?
98
Siete pasos
6. Presta atencin al impacto de las consecuencias ms all de ti misma/o Cules son las consecuencias para otras personas importantes? Puedes mirar su impacto en ellas ponindote en su lugar? Cul es el costo en tiempo, dinero y oportunidad? A qu podras tener que renunciar? Cmo quedar afectado el equilibrio entre los diferentes aspectos de tu vida cuando alcances ese objetivo o durante su consecucin?
99
Siete pasos
7. Elabora un Plan de Accin Un objetivo, sobre todo si es a largo plazo, puede parecer intimidador. El Plan de Accin fracciona el objetivo en pasos pequeos, cada uno de ellos claramente tangibles, alcanzables. Es el mapa de tu viaje. Tu GPS que te indica claramente tu posicin en el viaje.
100
El Proceso aporta de manera fundamental en el cumplimiento del objetivo estratgico El Proceso aporta de manera importante en el cumplimiento del objetivo estratgico. El Proceso aporta de manera menor en el cumplimiento del objetivo estratgico. No aporta en el cumplimiento del objetivo estratgico.
3 2 1 0
Escala para medir el nivel de contribucin que afecta el cumplimiento del objetivo estratgico.
101
Alto (3), Medio (2), Bajo (1), Nulo (0) Alto (3), Medio (2), Bajo (1), Nulo (0)
Alto (3), Medio (2), Bajo (1), Nulo (0) Alto (3), Medio (2), Bajo (1), Nulo (0)
Alto (3), Medio (2), Bajo (1), Nulo (0) Alto (3), Medio (2), Bajo (1), Nulo (0)
Alto (3), Medio (2), Bajo (1), Nulo (0) Alto (3), Medio (2), Bajo (1), Nulo (0)
X Y
..
Alto (3), Medio (2), Bajo (1), Nulo (0)
.
Alto (3), Medio (2), Bajo (1), Nulo (0)
Esquema de relacin y priorizacin de procesos relevantes en la institucin en relacin a los objetivos estratgico
102
103
Administracin de riesgo
Aceptacin o rechazo del riesgo residual se realiza la determinacin de las acciones a seguir respecto: Controlar el riesgo.- fortaleciendo los controles existentes o agregar nuevos controles. Eliminar el riesgo.- Se elimina el activo relacionado Compartir el riesgo.- mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informtica). Aceptar el riesgo, determinando el nivel de exposicin.
105
106
1 2 3 4 5
107
108
Descripcin Controles claves aplicados durante todo el proceso, es decir, en cada operacin. Controles claves aplicados en forma constante slo cuando ha transcurrido un peridico especfico de tiempo Controles claves que se aplican slo en forma ocasional en un proceso.
Control 2
Control 3 Control n
Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0)
..
Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0)
Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0)
.
Destacado (4), Alto (3), Medio (2), Bajo (1), Ninguno (0)
0 2 3 4 5
112
113
114
Revisin Bibliogrfica 1.
1. Basado en la lectura Defina segn sus palabras lo que es mtodo 2. Sobre la pirmide de Contramedida defina Normativa y organizacin 3. LOPD 4. Plan de contingencia 5. Metodologas propuestas cuales son? 6. Diferencias entre las metodologas 7. Basado en la lectura Defina segn sus palabras lo que es metodologa 8. Sobre la pirmide de Contramedida defina que son herramientas 9. Describa la metodologa PRIMA 10. Segn el autor cual es la mejor recomendacin en lo que respecta a metodologa
116
Revisin Bibliogrfica 2.
1. Cules seran las actividades a realizar en la etapa de desarrollo? 2. Cules seran las actividades principales en Concertar fechas de entrevistas, visitas y de Aplicacin Cuestionarios? 3. Cules seran las actividades principales en Efectuar visitas de verificacin? 4. Cules seran las tareas principales en Revisin del informe preliminar?
117
1. De que dependen los resultados pobres o exitosos de los auditores informticos segn el autor? 2. Qu nos garantiza usar un mtodo? 3. Enumere 3de los aspectos complementarios que son la base para el xito de una auditora 4. Analice el por que del grado de importancia en el anlisis preliminar, de la siguiente tabla
118
1. Para el desarrollo exitoso AI depende de un conjunto de factores enumere 4? 2. Enumere los productos terminados de la etapa de Justificacin? 3. Enumere 4 ventajas de usar un proceso metodolgico 4. Analice el por que del grado de importancia en el anlisis preliminar, de la siguiente tabla
119
120
1. Enumere y describa al cuatro marcos referenciales mas conocidos, propuestos por el autor? 2. Si se busca garantizar la disponibilidad del servicio que marco es recomendable 3. Cul es el futuro para la ISO 9000 4. Por que son importantes los estandares internacionales ISO para las organizaciones
121
122
123
Entrega: Fecha de entrega: lunes, 27 de mayo 2013 17:00 Arial 11, espaciado simple Dos hojas 5 referencias bibliogrficas
124
125
Entrega: Fecha de entrega: jueves, 20 de junio 2013 17:00 Arial 11, espaciado simple
126
Contenido Avance 1
Elementos estratgicos de la organizacin
Misin Visin Valores Conocimiento del negocio Visin sistmica
Contenido Avance 1
Elementos referidos al diseo organizacional
FODA