490 likes | 841 Views
SEMINARIO DE AUDITORÍA INTEGRAL. TEMARIO. CONCEPTOS GENERALES Informática, auditoría, planeación, alcance de la auditoría. LA IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA Antecedentes, preguntas clave en la auditoría.
E N D
SEMINARIO DE AUDITORÍA INTEGRAL TEMARIO • CONCEPTOS GENERALES • Informática, auditoría, planeación, alcance de la auditoría. • LA IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA • Antecedentes, preguntas clave en la auditoría. • METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA • Método 1; Etapa preliminar, etapa de justificación, etapa de adecuación, etapa de formalización, etapa de desarrollo, etapa de implantación. • Método 2; Auditorías integrales pro procesos, revisión financiera, operativa y de informática. • Método 3; Auditorías orientadas al proceso técnico, firewalls, justificación de las bases de datos, respaldos de información, determinación de obsolencia operativa del hardware y del software. • EL REPORTE FINAL • Redacción en base a eventos comprobables, sugerencias sustentables, el rol de auditor de sistemas. • FORMA DE EVALUACIÓN: • * Tareas y lecturas = 20% • * Casos y exposición de los mismos = 80%
CONCEPTOS GENERALES Generar información a tres niveles básicos; manual, mecánico y electrónico. Examen constructivo sobre la estructura organizacional orientada al procesamiento de datos, sin olvidar que sirve a un objetivo general (giro del negocio), dicho examen abarca entre otros aspectos: planes, objetivos, métodos de trabajo, disponibilidad humana y física, funcionalidad del equipo, etc. Preveer situaciones futuras, a fin de evitar problemas en lugar de solucionarlos (prevención vs reacción). Definir el impacto que tendrá el estudio, a fin de delimitar los beneficios que serán obtenidos.
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA Una auditoría nos puede mostrar entre otros factores de debilidad, los siguientes: • Debilidades en la planeación del negocio al no involucrar la informática en sus operaciones. • Resultados negativos (improductividad, duplicidad de funciones, etc), en el desarrollo, operación y mantenimiento de sistemas de información. • Falta de actualización del personal técnico y de informática, mismo que opera los sistemas y soluciones del negocio. • Mínimo o nulo involucramiento de los usuarios en el desarrollo e implantación de soluciones de informática. • Capacitación deficiente en el uso de los sistemas de información, el software (procesador de texto, hojas de cálculo, graficadores, etc), y el hardware (equipos de cómputo, impresoras y otros periféricos, etc). • Administración de proyectos que no es formal ni completa (no se alinea a los objetivos del negocio). • Carencia de un proyecto de análisis costo / beneficio formal previo al arranque de cada proyecto de informática. • Metodologías de planeación y desarrollo orientada a sistematizar sistemas informales no estandarizados y en muchos casos inexistentes. • Uso y entendimiento (al menos mínimo) de técnicas formales para el desempeño de funciones en las áreas de informática.
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA Algunas preguntas clave: • ¿Los usuarios y la alta dirección conocen la situación actual de la función informática en la empresa? • ¿Se aprueba formal y oportunamente el costo / beneficio de cada proyecto relacionado en forma directa con la informática? • ¿La informática apoya las áreas críticas del negocio? • ¿El responsable del área de sistemas, conoce los requerimientos actuales y futuros del negocio, a fin de satisfacerlos desde el punto de vista técnico? • ¿Existen políticas y procedimientos de manera formal? • ¿Hay un plan de seguridad en informática? • ¿Se ha calculado el alcance e impacto de la informática en la empresa? • ¿Existe un plan estratégico de sistemas alineado al negocio? • ¿Existen responsables que que evalúen formal e imparcialmente la función de sistemas? • ¿Se cuenta con un control formal de cada proyecto relativo al área de sistemas? • ¿Auditan sólo sistemas de información y no otras áreas de la informática?
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA De los planteamientos anteriores surge de inmediato un par de preguntas determinantes: • ¿ Cómo saber si la función de sistemas está • administrada correctamente ? • La función de sistemas debe ser auditada, • ¿quién realizará este trabajo ?
IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA Factores de éxito para realizar la auditoría: • Compromiso de los individuos relacionados. • Continuidad en el proceso de evaluación y control. • Especialización por parte de quienes llevan a cabo dicha función. • Conocimiento del negocio a través de un involucramiento permanente en las etapas de planeación. • Enfoque preventivo, no correctivo. • Facilitar soluciones, no limitar la operación de la compañía implantando un exceso de controles. • Estudio del medio tecnológico y organizacional por parte de los encargados de la función. • Trabajar con base en requerimientos y riesgos propios del negocio y no según críticas de mercado. • Lograr que el personal de las organizaciones, advierta que las medidas preventivas forman parte • importante del trabajo diario y que incumben a todos por igual.
CASO NO. 1 • Desde su punto de vista, ¿la tecnología que aplica el área de sistemas y que transforma en informática, debe considerarse un activo en las empresas? ¿por qué?. • ¿Es necesario auditar los sistemas computarizados existentes en la empresa donde labora?, mencione y justifique tres razones para sustentar su respuesta. • ¿Qué acontecimientos llevaron a su empresa a a formalizar o rechazar el proceso de evaluación del área de sistemas? • ¿Cuál cree que debe ser el perfil de un auditor en informática?, mencione y justifique cuatro características inherentes a esta función.
PLANEACIÓN DE LA AUDITORÍA Nosotros comenzaremos a cavar desde este lado de la montaña. Usted y su grupo comenzarán a cavar desde el otro lado. Cuando nos encontremos en el centro, habremos hecho un túnel, y si no nos encontramos, ¡ habremos hecho dos túneles !
PLANEACIÓN DE LA AUDITORÍA Consiste en definir de manera anticipada las áreas o departamentos o sistemas o procesos o procedimientos, que serán revisados, mediante el uso de métodos y herramientas, tendientes a decubrir debilidades y amenazas.
PLANEACIÓN DEL NEGOCIO Determina las estrategias y cursos de acción del negocio; se establece mediante entrevistas y análisis detallados de cada proceso básico de la organización.
PROCESO DE PLANEACIÓN EN SISTEMAS Consiste en definir el conjunto de proyectos relacionados con la función de sistemas a corto mediano y largo plazo, cada proyecto debe estar orientado a objetivos y estrategias específicas del negocio-mismas que debieron ser definidas en el plan de negocio-.
PLANEACIÓN DE LA AUDITORÍA TIENE UN OBJETIVO Algunos de los puntos más importantes que debe considerar la auditoría son: UTILIZA VARIOS RECURSOS TAREAS NO REPETITIVAS MARCO DE TIEMPO ESPECÍFICO TIENE UN GRADO DE INCERTIDUMBRE TIENE UNO O VARIOS CLIENTES
PUNTOS CENTRALES EN LA PLANEACIÓN DE LA AUDITORÍA ALCANCE Es el trabajo que debe realizarse a fin de que el cliente quede satisfecho, (también podemos manejarlo como el dimensionamiento de la auditoría). COSTO Son los montos a erogar, es importante considerar que el presupuesto juega un papel determinante. PROGRAMA Está integrado por una relación de tiempos, misma que especifica cuándo debe ser iniciada y terminada una actividad. SATISFACC. AL CLIENTE Consiste en cumplir con las expectativas creadas al cliente, por ello debe documentarse en la auditoría; las actividades a desarrollar, los costos y el tiempo necesario para realizar el proyecto.
COSTOS QUE IMPACTAN LA AUDITORÍA • Sueldos y salarios; remuneración a las personas que participan en el proyecto ya sea por hora o por proyecto. • Materiales; compra de los enseres que demanda el proyecto, por ejemplo: lápices, cd´s, papel, plumas, folders, etc. • Asesores; contratación de expertos en ciertas fases, para que el proyecto sea completado. • Alquiler de equipos e instalaciones; se refiere a la compra de equipo, herramientas o instalaciones especiales, para realizar la auditoría. • Viajes; En caso de que el proyecto requiera que algunos de los participantes efectúen viajes, es necesario incluír costos tales como: boletos de avión, habitación de hotel, comidas, etc.
ELEMENTOS NEGATIVOS QUE IMPACTAN LA AUDITORÍA ¿ Por qué algunas auditorías exceden el presupuesto ? La respuesta está en base a cuatro puntos centrales: • Muchos excesos en costos, provienen de estimaciones deficientes de los mismos. • En muchas compañías no existen normas ni un grupo común de reglas para desarrollar las estimaciones de costos y técnicas para su control como tampoco a ninguna de ellas se le da mucha importancia. • Muchas personas creen que, debido al enorme número de variables en un proyecto de auditoría, los excesos en los costos, son simplemente irremediables -lo cual es una forma de pensar devastadora, en particular, por no ser cierta- • Con frecuencia los planes y controles de la auditoría, no toman en cuenta medidas probabilísticas, que pueden ser aplicadas.
PLANEACIÓN Y CONTROL DE LA AUDITORÍA Duración estimada de las actividades: El tiempo más probable (tm) Es el tiempo en que se completará una actividad en particular bajo condiciones normales. El tiempo optimista (to) Es el tiempo en que una actividad puede ser completada sin si todo marcha perfectamente y sin complicaciones El tiempo pesimista (tp) Es el tiempo en que se puede terminar una actividad en particular bajo condiciones adversas.
PLANEACIÓN Y CONTROL DE LA AUDITORÍA Estimar el tiempo optimista (to), el tiempo más probable (tm) y el tiempo pesimista (tp), hace posible tomar en cuenta la incertidumbre y estimar cuánto durará una actividad y con ello calcular en base a distribución de probabilidades, la duración esperada (te). EJEMPLO 1: Supóngase que el tiempo optimista para una actividad es de 1 semana, el más probable es de 5 y el pesimista es de 15, calcule la duración esperada te = to + 4(tm) + tp te = 1 + 4(5) + 15 6 6 te = 6 semanas
PLANEACIÓN Y CONTROL DE LA AUDITORÍA EJEMPLO 2: Supóngase que el tiempo optimista para otra actividad es de 10 semanas, el más probable es de 15 y el pesimista es de 20, calcule la duración esperada te = to + 4(tm) + tp te = 10 + 4(15) + 20 6 6 te = 15 semanas
PLANEACIÓN Y CONTROL DE LA AUDITORÍA La varianza de la distribución de probabilidad beta de una actividad se determina con la fórmula siguiente: ) ( tp - to 2 2 = 6 -3 -2 -1 Media +1 +2 +3 68 % 95 % 99%
PLANEACIÓN Y CONTROL DE LA AUDITORÍA EJEMPLO 3: Supóngase que la auditoría al departamento “X”, en cuanto a su aplicación y uso de sistemas, se puede iniciar el día 0 y tiene para completarse 42 días, además tiene las siguientes duraciones para las tres actividades que lo integran: te = 2 + 4(4) + 6 = 4 días 6 te = 5 + 4(13) + 15 = 12 días 6 te = 13 + 4(18) + 35 te = 20 + 4(35) + 56 = 20 días = 36 días 6 6 Total = 36 días
PLANEACIÓN Y CONTROL DE LA AUDITORÍA EJEMPLO 3: Por lo tanto, la auditoría tiene el tiempo de terminación esperado más temprano del día 36. Como se afirmó antes, el proyecto tiene un tiempo de terminación requerido del día 42. Por regla probabilística, existe un 0.5 de que la auditoría sea completado el día 36 y una probabilidad del 0.5 de que sea completado después, las varianzas serían las mostradas a continuación: 6 - 2 ) ( 2 Actividad A 2 = = 0.444 6 15 - 5 ) ( 2 Actividad B 2 = Total = 16.666 = 2.778 6 35 - 13 ) ( 2 Actividad C 2 = = 13.444 6
PLANEACIÓN Y CONTROL DE LA AUDITORÍA EJEMPLO 3: La varianza para la distribución total, que es una distribución de probabilidades normal, es la suma de las tres varianzas individuales, o sea, 16.666, la desviación estándar de la distribución total es: Desviación estándar = 16.666 Desviación estándar = 4.08 días Para encontrar la probabilidad de completar la auditoría antes de su tiempo de terminación requerido, se usa la fórmula siguiente: LF - EF Donde: LF = el tiempo de terminación requerido (la terminación más tardía), para el proyecto. EF = el tiempo de terminación más temprano, esperado para el proyecto (la media de la distribución normal). = es la desviación estándar en cuanto a la distribución total de las actividades ( ) Z = t t
PLANEACIÓN Y CONTROL DE LA AUDITORÍA EJEMPLO 3, Sustituyendo: LF - EF 42 - 36 6 ( ) ( ) ( ) Z = = = = 1.47 t 4.08 4.08 El valor de Z, señala que hay 1.47 desviaciones estándar (1 desviación estándar equivale a 4.08 días) entre LF y EF. Sin embargo, el valor Z no genera directamente la proporción del área bajo la curva entre LF y EF. Para encontrar esta área, se tiene que convertir el valor Z mediante tablas, Conclusión; Z = 0.42922, lo cual señala que la probabilidad de completar realmente la auditoría entre entre EF (36 días) a LF (42 días), es de 42.92%, sin embargo, el interés es de encontrar la probabilidad de completar realmente el proyecto en algún momento antes de los 42 días, por lo que el razonamiento a seguir es el de añadir la probabilidad de terminar a los 36 días. Esto significa que la probabilidad de concluír la auditoría antes de 42 días es igual a la probabilidad de acabar a los 36 días, más la probabilidad de terminar entre 36 y 41 días:
PLANEACIÓN Y CONTROL DE LA AUDITORÍA Conclusión . . . LF - EF 41 - 36 5 ( ) ( ) ( ) Z = = = = 1.22 t 4.08 4.08 0.50000 + 0.38877 = 0.88877 PROBABILIDAD DE TERMINAR EL PROYECTO A LOS 36 DÍAS PROBABILIDAD DE TERMINAR EL PROYECTO ANTES DE 42 DÍAS PROBABILIDAD DE TERMINAR EL PROYECTO ENTRE 36 Y 41 DÍAS La probabilidad de completar la auditoría antes de su tiempo de terminación requerido de 42 días es del 88.87%
CASO NO. 2 • ¿Qué se entiende en su organización por planeación? • ¿Qué se entiende en su organización por realizar un plan de negocios? • ¿Conocen los auditores de sistemas el plan de negocios? • si …. ¿ cuál es la forma en que accesaron al plan? • no … ¿ porqué ? • ¿Qué entiende el área de sistemas por planeación de auditoría en informática ? • Muestre un plan de auditoría de sistemas de la organización donde labora, considerando los siguientes puntos: • * Fecha y responsable de la auditoría. • * Tiempo utilizado para concluír la misma. • * Costo aproximado de la auditoría (mencione a que fecha están expresados los • costos). • * Documento de saqtisfacción del usuario o comentarios sobre el resultado de la • revisión. • * Listado de salvedades. • * Actualización de los resultados de la auditoría. • * Metodología utilizada para realizar la auditoría.
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Etapa preliminar Lo primero, es definir claramente las actividades que desempeñará el auditor en informática y sistemas, dentro de la organización. Es importante determinar el medio que rodea a la auditoría, en términos del negocio, es decir: • ¿ Se auditará una ( o varias ) aplicación (es) actual (es) ? • ¿ Se auditará una nueva aplicación ? • ¿ Es complejo el negocio en su forma de operar ? • ¿ Se tiene que auditar una fusión entre negocios ? • ¿ Se tiene que auditar una alianza entre negocios ?
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Etapa preliminar Para atacar lo mencionado anteriormente, se sugiere que en esta primera etapa se sigan los pasos mencionados a continuación: PASO 1: Diagnóstico preliminar
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Etapa preliminar Algunas métricas . . . TIEMPOS DE ATENCIÓN; duración de un evento desde su inicio, hasta su conclusión. EFICIENCIA; Cantidad de recursos de cómputo que consume el software durante su ejecución. OPERATIVIDAD; Apego a las políticas y procedimientos definidos por la normatividad de la organización y sistemas. ARQUITECTURA; Apego y uso de la infraestructura definida en la normatividad de sistemas. CONTINGENCIAS; Existencia de procedimientos para recuperar la información o en su caso, para trabajar de manera alterna sin impactar negativamente a la operación.
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Etapa preliminar Para atacar lo mencionado anteriormente, se sugiere que en esta primera etapa se sigan los pasos mencionados a continuación: PASO 1: Diagnóstico preliminar ¿POR QUÉ HACER ESTO? Para que el auditor conozca la organización y determine si ésta tiene; misión, estrategias, planes y sobre todo jerarquías (organigrama)
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Etapa preliminar Para atacar lo mencionado anteriormente, se sugiere que en esta primera etapa se sigan los pasos mencionados a continuación: PASO 1: Diagnóstico preliminar ¿POR QUÉ HACER ESTO? Para que el auditor conozca el grado de apoyo y satisfacción que brinda la función de sistemas al negocio, este paso debe estar orientado a los siguientes puntos: Apoyo a la alta dirección, por ejemplo; sistemas de info. estratégica, tecnología, etc.) Apoyo a las gerencias, por ejemplo; sistemas de info. Integrales, entre otros. Apoyo a niveles operativos, por ejemplo; sistemas de info. básicos, etc.
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Etapa preliminar Para atacar lo mencionado anteriormente, se sugiere que en esta primera etapa se sigan los pasos mencionados a continuación: PASO 1: Diagnóstico preliminar ¿POR QUÉ HACER ESTO? Para que el auditor determine, si la función informática tiene; misión, estrategias, planes y sobre todo jerarquías (organigrama)
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Etapa preliminar Para atacar lo mencionado anteriormente, se sugiere que en esta primera etapa se sigan los pasos mencionados a continuación: ¿POR QUÉ HACER ESTO? Para que el auditor determine, si la función informática maneja; bitácoras, guardias, productos y servicios entregados al usuario, árboles de operación, documentación de las peticiones del usuario, Matrices de impactos entre programas, manuales; de programación, de comunicaciones, del usuario, de calidad entre otros, programas (piezas) fuentes, files, jobs, objetos, manejo de derechos de autor, etc. PASO 1: Diagnóstico preliminar
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Etapa preliminar Para atacar lo mencionado anteriormente, se sugiere que en esta primera etapa se sigan los pasos mencionados a continuación: • ¿POR QUÉ HACER ESTO? • Para que el auditor conozca, si la función informática maneja mediciones que reflejen su productividad y su contribución al negocio, algunos ejemplos son los siguientes: • Arquitectura • Tolerancia a errores • Consumo de recursos • Complejidad • Estructuración • Satisfacción de requerimientos al usuario PASO 1: Diagnóstico preliminar
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Etapa preliminar Para atacar lo mencionado anteriormente, se sugiere que en esta primera etapa se sigan los pasos mencionados a continuación: • ¿POR QUÉ HACER ESTO? • Para que el auditor determine, si la función informática presenta debilidades en su operación, por ejemplo; • No existe arquitectura definida • El consumo de recursos es excesivo • Complejidad para el usuario en la operación de los sistemas en funcionamiento • No existe estructuración de los programas que conforman los sistemas actuales • Bajo nivel de satisfacción de requerimientos del usuario • Bajo nivel de capacitación del personal de sistemas • No se actualiza el equipo y el software PASO 1: Diagnóstico preliminar
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Etapa preliminar Para atacar lo mencionado anteriormente, se sugiere que en esta primera etapa se sigan los pasos mencionados a continuación: • ¿POR QUÉ HACER ESTO? • Para que el auditor determine, el grado en que la función informática está amenazada en su operación, por ejemplo; • Nuevas tendencias en el cambio de arquitectura • Sugimiento de nuevas aplicaciones • Operación de los sistemas cada vez mayor “en línea” • Técnicas de documentación para programas orientados a objetos • Búsqueda del usuario, de apoyos externos para el desarrollo y administración de los sistemas de la organización • Multihabilidades en el personal de sistemas de otras organizaciones PASO 1: Diagnóstico preliminar
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Caso 3 • ¿Qué condiciones deben existir antes de que el auditor en sistemas inicie la primera etapa de la metodología ? • ¿ Cómo definiría la etapa de evaluación preliminar ? • Existen dos tipos de diagnóstico de esta etapa, ¿cuáles son ? • ¿ Qué resultados mínimos ha de arrojar cada uno de tales diagnósticos? • ¿ Qué restricciones se pueden presentar en la etapa de evaluación preliminar, y que acciones debe ejecutar el personal de auditoría en informática para eliminarlas, o al menos minimizarlas, con el fin de asegurar el éxito del proyecto ? • ¿ Cuáles de las siguientes técnicas y herramientas debe utilizar el personal del área de auditoría en sistemas durante dicha etapa ? • - muestreo • - observación / inspección • - documentación • - análisis costo / beneficio • - software de auditoría • - otros (especifique) • 7. ¿Qué problemática se puede presentar a los auditores en informática, si se omite la etapa de evaluación preliminar?
METODOLOGÍAS PARA EL DESARROLLO E IMPLANTACIÓN DE LA AUDITORÍA EN INFORMÁTICA Etapa de justificación
Justificación de la matriz de riesgos
DEFINICIÓN: Se emplea para diagramar de forma sistemática todas las posibles cadenas de eventos para alcanzar un objetivo amplio o para implantar una solución compleja, esta técnica, se implementa cuando existe incertidumbre en el funcionamiento del sistema (electrónico o administrativo), • Reunir el equipo apropiado; el equipo deberá incluir a miembros que tengan un conocimiento genérico de los flujogramas, así como personas con experiencia en cada paso del proceso. • Elegir el flujo básico de implantación; consiste en construir un flujo básico de actividades que deberá ser amplio y la ruta trazada deberá ser directa y evitar el detalle. • Construir el formato de la gráfica; consiste en graficar mediante una combinación de diagrama de árbol y flujograma el proceso en cuestión. • Establecer un objetivo principal. • Enumerar los pasos del proceso;consiste en dar secuencia a cada uno de los pasos del proceso. • Deteminar contramedidas; esta contramedida se representará por medio de una nube. • Evaluar las contramedidas; las contramedidas serán marcadas con los signos: • 0 = seleccionada • X = no factible NUEVAS HERRAMIENTAS DE AUDITORÍA DE SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE PROCESOS
IMPLANTACIÓN DE NIVELES DE SEGURIDADCON RECS. PROPIOS. X INEXISTENCIA DE SEGURIDAD IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS. AJENOS. 0 EVALUAR LA SEGURIDAD LÓGICA IMPLANTAR NIVELES CONFIABLES DE SEGURIDAD EN MENOS DE 4 MESES X BAJOS NIVELES DE SEGURIDAD IMPLANTAR NIVELES CONFIABLES DE SEG. EN MÁS DE 4 MESES Y MENOS DE UN AÑO SEGURIDAD DE LA INFO. DE LA CORPORACIÓN “X” 0 NUEVAS HERRAMIENTAS DE AUDITORÍA DE SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE PROCESOS IMPLANTACIÓN DE NIVELES DE SEGURIDADCON RECS. PROPIOS. X INEXISTENCIA DE SEGURIDAD IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS. AJENOS. EVALUAR LA SEGURIDAD FÍSICA X 0 IMPLANTAR NIVELES CONFIABLES DE SEGURIDAD EN MENOS DE 4 MESES BAJOS NIVELES DE SEGURIDAD IMPLANTAR NIVELES CONFIABLES DE SEG. EN MÁS DE 4 MESES Y MENOS DE UN AÑO X 0 SELECCIONADA NO FACTIBLE X
EVALUAR LA SEGURIDAD LÓGICA INEXISTENCIA DE SEGURIDAD IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS. PROPIOS. • ¿ S e cuenta con asignación de claves (passwords) ? (fuerza) si • ¿ Hay personal capacitado para la administración del sistema y asignación de claves ? (debilidad) no • ¿ Existe la capacidad humana y tecnológica para diseñar e implantar firewalls ?(amenaza)no • ¿ Existe la capacidad humana y tecnológica para diseñar e implantar métodos tipo kerberos ?(amenaza)no NUEVAS HERRAMIENTAS DE AUDITORÍA DE SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE PROCESOS EVALUAR LA SEGURIDAD FÍSICA BAJOS NIVELES DE SEGURIDAD IMPLANTAR NIVELES CONFIABLES DE SEG. EN MÁS DE 4 MESES Y MENOS DE UN AÑO • ¿ S e cuenta con un plan de traslado y guarda de la información ? (fuerza) si • ¿ Existe un espacio físico (edificio), que tenga capacidad para guardar la información? (fuerza)si • ¿ Existe una estructura administrativa que maneje el proceso de traslado y guarda de la información ? (debilidad) no • ¿ Existen procedimientos para consultar y/o disponer de la información en guarda? (fuerza)si • ¿ La organización cuenta con la capacidad tecnológica para la guarda de información ? (debilidad) no
EVALUAR LA SEGURIDAD LÓGICA INEXISTENCIA DE SEGURIDAD IMPLANTACIÓN DE NIVELES DE SEGURIDAD CON RECS. PROPIOS. ¿ Se cuenta con asignación de claves (passwords) ? (30%) FUERZAS OPORTUNIDADES NUEVAS HERRAMIENTAS DE AUDITORÍA DE SISTEMAS GRÁFICOS DE PROGRAMAS DE DECISIÓN DE PROCESOS ¿ Hay personal capacitado para la administración del sistema y asignación de claves ? (30%) ¿Existe la capacidad humana y tecnológica para diseñar e implantar firewalls ? (20%) ¿Existe la capacidad humana y tecnológica para diseñar e implantar métdos tipo kerberos ? (20%) DEBILIDADES AMENAZAS
DEFINICIÓN: Son herramientas que se emplean para revelar las correlaciones entre responsabilidades y funciones, éstas matrices son utilizadas por auditoría, para descubrir desviaciones en términos generales o específicos de las áreas sujetas a revisión. • Reunir el equipo apropiado; el equipo deberá incluir a miembros que tengan un conocimiento de los procesos. • Elegir las consideraciones clave; consiste en definir ¿qué información queremos mostrar en la matriz ?. • Construir la matriz; consiste en cruzar la información (variables), definidas en el paso anterior. • Asignación de pesos a cada una de los cruces. en este paso, debe ser calculado el grado de correlación. • Requisitar la matriz;consiste en calificar las variables relacionadas, en base a un índice de correlación obtenido en el paso anterior. NUEVAS HERRAMIENTAS DE AUDITORÍA DE SISTEMAS DIAGRAMA MATRICIAL
NO. DE ERRORES MENCIONADOS POR LA DIRECCIÓN NUEVAS HERRAMIENTAS DE AUDITORÍA DE SISTEMAS DIAGRAMA MATRICIAL
NO. DE ERRORES MENCIONADOS POR EL USUARIO NUEVAS HERRAMIENTAS DE AUDITORÍA DE SISTEMAS DIAGRAMA MATRICIAL
NO. DE HORAS DEDICADAS A ATENDER REQUERIMIENTOS DE LA DIRECCIÓN NUEVAS HERRAMIENTAS DE AUDITORÍA DE SISTEMAS DIAGRAMA MATRICIAL
NUEVAS HERRAMIENTAS DE AUDITORÍA DE SISTEMAS DIAGRAMA MATRICIAL VISIÓN GLOBAL DE SISTEMAS VISIÓN A DETALLE DE SISTEMAS