AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 11 y 12

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ AUDITORIA INFORMATICA

PROFESOR  : Ing. Fernando Andrade ALUMNO

: Jesús Cisneros Valle

FECHA

: Quito, 16 de septiembre del 2012

CURSO

: 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 11 y 12 DEL LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico. p ráctico.

CAPITULO 11

AUDITORIA DE LA EXPLOTACION Cuestiones de Repaso: 1. Cuáles son los componentes de un SI según el proyecto CobiT? •

• •

• •

Datos. En general se consideran datos tanto los estructurados como los no estructurados, estructurados, las imágenes, los sonidos, etc.  Aplicaciones.  Aplicaciones. Se incluyen las aplicaciones aplicaciones manuales y las informativas informativas Tecnología. El software y el hardware, los sistemas operativos, los sistemas de gestión, los sistemas de red, etc. Instalaciones. En ellas se ubican y se mantienen los sistemas de información Personal. Los conocimientos específicos que ha de tener el personal de los sistemas de información para planificarlos, organizarlos, administrarlos y gestionarlos.

2. Cuál es el fin de la carta de encargo? El fin es recoger o plasmar las responsabilidades de un trabajo de auditoría; además, determinar el alcance del trabajo de auditoría. 3. Cuáles son las fases de la l a Planificación de la Auditoría? 1. Planificación Planificación estratégica 2. Planificación Planificación administrativa 3. Planificación técnica 4. Que categoría se puede distinguir en los controles co ntroles generales? 1. Controles operativos operativos y de organización

1

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ 2. 3. 4. 5.

Controles sobre el desarrollo de programas y su organizació or ganización n Controles sobre los programas y los equipos Controles de acceso Controles sobre los procedimientos procedimientos y los datos

5. Defina “control”. Como se evalúan los controles? •

•

Según COSO control es: Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de las empresas se alcanzaran y que los eventos no deseados se  preverán, se detectarán detectarán y se corregirán. Para evaluar los controles es necesario encontrar evidencia sobre: o La terminación total de todos los procesos. o La separación física y lógica de los programas fuente y objetos y de las bibliotecas de desarrollo, de pruebas y de producción. o La existencia de normas y procedimientos para pasar los programas de una biblioteca a otra. o Las estadísticas de funcionamiento, donde se incluya: Capacidad y  utilización del equipo central y de los periféricos, utilización de la memoria, utilización de las telecomunicaciones. o Las normas de nivel de servicios de los proveedores o Los estándares de funcionamiento interno o El mantenimiento y revisión de los diarios de explotación o La realización del mantenimiento periódico de todos los equipos o La evidencia de la rotación de los turnos de los operadores y de las vacaciones tomadas.

6. Que diferencias existen entre las pruebas pru ebas sustantivas y las de cumplimiento? Las Pruebas de cumplimiento consisten en comprobar que se están cumpliendo las normas previamente establecidas en los manuales; pero las Pruebas sustantivas son aquellas que se usan cuando no existen manuales o normas establecidas. 7. Cuáles son los tipos de informes de auditoría? Informe favorable, el sistema auditado es satisfactorio • Informe desfavorable, El sistema auditado tiene múltiples fallas • Informe con salvedades, el sistema auditado es válido pero posee fallas que no lo • invalidan Informe de denegación de opinión, El auditor no posee los suficientes elementos elementos de •  juicio para emitir su opinión. opinión.

2

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ 8. Como se estructura un informe de auditoría? Para estructurar un informe de auditoría se debe utilizar las Normas de Auditoría de Sistemas de Información Generalmente Generalmente Aceptadas y Aplicables (NASIGAA) y además tener en cuenta las normas 9 y 10 emitidas por ISACA. Además el informe debe contener información adicional.

El informe es un instrumento que debe contener: Los objetivos de la auditoría, el alcance que vaya a tener, las debilidades encontradas y las conclusiones a las que se lleguen. El informe debe plasmar cuales son las NASIGAA que se han seguido para realizar el trabajo. Indicando las excepciones en el seguimiento de estas normas técnicas, el motivo de no seguirlas y cuando proceda indicar los potenciales efectos que pudiera tener en los resultados de la auditoría. El informe debe contener las debilidades detectadas en el SI del auditado, así como las causas y sus efectos y las recomendaciones para mejorar o eliminar las debilidades. El informe debe presentarse de manera lógica y organizada y debe ser comprensible  para el auditado auditado El informe debe ser emitido en el momento apropiado, para que le permita al auditado  poner en ejecución ejecución inmediata inmediata las recomendaciones recomendaciones del del mismo. El informe debe contener la entidad que se audita y la fecha de emisión, además contener las restricciones de distribución del documento para que el informe no llegue a manos indebidas. 9. Defina los tipos de archivos principales y contenido de cada uno? •

 Archivo permanente, contiene todos los papeles que tienen un interés continuo y  una validez plurianual, tales como: o Característica de los equipos y de las aplicaciones o Manuales de los equipos y de las aplicaciones o Organigrama de la empresa en general g eneral o Organigramas del servicio de información i nformación y división de funciones o Cuadro de planificación plurianual de auditoria o Escrituras y contratos o Consideraciones Consideraciones obres el negocio o Consideraciones sobre el sector 3

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ Y toda aquella información que pueda tener importancia para auditorias  posteriores.  Archivo corriente, este se subdivide en: Archivo general y archivos de áreas de  proceso. o  Archivo general: Son aquellos que no tiene cabida específica en algunas alg unas de las áreas/procesos en que hemos dividido el trabajo de auditoria. El informe del auditor La carta de recomendaciones Los acontecimientos acontecimientos posteriores El cuadro de aplicaciones de la auditoria corriente Correspondencia que se ha mantenido con la dirección de la empresa El tiempo que cada persona del equipo a empleado en cada área/proceso o  Archivos por áreas/procesos: áreas/procesos: Se debe prepara un archivo para cada área o  proceso en que hayamos dividido el trabajo e incluir en cada archivo los documentos que hayamos necesitado para realizar el trabajo de esa área/proceso concreto. Programa de auditoria de cada una de las áreas/procesos Conclusiones del área/proceso en cuestión Conclusiones del procedimiento en cuestión. o

•

    



  

10. Especifique algunos objetivos de control a revisar en la aud itoria de la explotación de los sistemas informáticos. • •

•

•

•

Inicio: contrato o carta de encargo Planificación: Planificación estratégica (estudio y evaluación de riesgos, establecimiento de objetivos); Planificación administrativa (planificación técnica:  programa de trabajo). Realizar el trabajo: actualización del programa de trabajo, pruebas de cumplimiento, pruebas sustantivas. Revisiones de informes: Revisión del trabajo, elaboración de informes, distribución de informes. Fin: archivar los papeles de trabajo.

CAPITULO 12

AUDITORIA DEL DESARROLLO Cuestiones de Repaso: 1. Que factores contribuyen a la importancia de la auditoria de desarrollo? 4

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ •

• •

•

•

•

El desafío mas importante y principal factor de éxito de la informática es la mejora de la calidad del software. El gasto dedicado al software es mayor que el destinado al hardware. La crisis del software incluye problemas asociados con el desarrollo y  mantenimiento del software y esto afecta a un gran número de organizaciones. En el área del hardware no se presentado este tipo de crisis. El software como producto es muy fácil de validar, en un mayor control en el  proceso del del mismo incrementa incrementa la calidad y disminuye los costos. El índice de fracasos en desarrollo de software es muy alto, lo que denota la inexistencia o mal funcionamiento de los controles en este proceso. Las aplicaciones informáticas que son el producto final del desarrollo, pasan a ser herramientas de trabajo principal de las áreas informatizadas, convirtiéndose en un factor crucial de gestión y toma de decisiones.

2. Que aspectos se deben comprobar co mprobar respecto a las funciones del área de desarrollo? • •

•

• •

Planificación Planificación del área y participación, participación, elaborar el plan p lan estratégico de informática, Desarrollo de nuevo sistemas, incluye el análisis, diseño, construcción e implantación. Estudios de nuevos lenguajes, técnicas, metodologías, estándares, herramientas relacionadas relacionadas con el desarrollo Establecimiento Establecimiento de un plan de formación para el personal adscrito al área Establecimiento de normas y controles para todas las actividades que se realizan en el área y comprobar su observancia observancia

3. Comente la importancia, desde el punto de vista de la auditoria, de la formación que deben poseer los profesionales de desarrollo. El personal de desarrollo es muy importante y debe contar con una formación adecuada para realizar su trabajo. Deben existir procedimientos de contratación objetivos, que permitan seleccionar al personal y verificar si cumplen con los requisitos para el puesto puesto que acceden. acceden. Ha de existir existir un plan plan de formación formación que vaya de la mano con los objetivos tecnológicos del área, planes de capacitación a corto, mediano y largo plazo, incluir información relevante de cada formativa, las actividades formativas deber ser evaluadas por los asistentes y debe ser tenida en cuenta a la hora de redefinir el plan de formación. Debe contemplar la formación de todos los empleados y el puesto que ocupan, además el plan de trabajo del área debe tener en cuenta los tiempos de formación. Ha de implementarse un protocolo de recepción/abandono para las personas que se incorporan o dejan el área, este protocolo debe respetarse, la incorporación debe incluir estándares definidos, manuales del área,

5

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ etc. y en los abandonos del personal se debe garantizar la protección del área. Debe contarse con bibliotecas bibliotecas actualizadas, accesibles accesibles y de prestigio para el personal del área y que estén disponibles. 4. Qué procedimiento utilizaría para valorar la motivación del personal de desarrollo? Se podría hacer encuestas al personal para que sin identificarse puedan indicar lo que les incomoda en su área de trabajo y que aspectos deberían mejorarse de manera inmediata. Realizar talleres de motivación donde se expongan nuevas formas de motivación ocupacional y además que se expongan las inquietudes de manera respetuosa y organizada de ser posible con las posibles soluciones para valorarlas y de ser el caso implementarlas. 5. Qué repercusiones tiene la existencia de herramientas CASE en el ámbito del desarrollo? El desarrollo de sistemas de información debe hacerse aplicando principios de ingeniería de software ampliamente aceptados, debe de implantarse una metodología de desarrollo de sistemas de información soportadas por herramientas de ayudas (CASE), debiéndose comprobar que: la metodología cubre todas las fases del desarrollo y es adaptable a distintos proyectos. •

•

•

•

•

• •

La metodología y las técnicas a la misma están adaptadas al entorno tecnológico y  de organización del área de desarrollo. Se ha adquirido, homologado e implantado según normas del área una herramienta CASE que se adapta a la metodología elegida y cumple con los requisitos mínimos exigibles. Se ha formado al personal sobre esta metodología y su adaptación así como técnicas asociadas asociadas y herramientas CASE. Existe un procedimiento que permita determinar en que proyectos se puede usar CASE y es ventajoso usarlo. Debe estar claro de que forma el uso de esta herramienta altera las fases de desarrollo normales La herramienta CASE es capaz de mantener el diccionario de datos La herramienta CASE mantiene requisitos de confidencialidad necesarios sobre la documentación asociada al proyecto

6. Describa diversos procedimientos de análisis, evaluación y selección de herramientas de desarrollo que haya utilizado o conozca? conoz ca?

6

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ •

Una de las herramientas principales que he usado es programación orientada a objetos VB.Net por ejemplo, para elegirla se analizó su potencialidad de desarrollo de software y la compatibilidad del sistema que se desarrolló con los SO actuales, es decir tratar que a más de solventar las necesidades de procesamiento tenga compatibilidad con los diversos SO que pudieran tener los usuarios. Es decir analizarlo, evaluarlo y seleccionarlo fue algo circunstancial y a la vez se basó más en la necesidad y conocimiento del uso de la herramienta de desarrollo.

7. Que riesgos entraña la subcontratación del desarrollo? •

• •

Riesgos como que el personal no esté capacitado y haya que capacitarlo con los inconvenientes de gastos extra presupuestados en el proyecto. Que el personal no se acople a las exigencias o políticas del trabajo Que se pueden ver afectadas las normas implantadas para el desarrollo de software, dando inconvenientes a la seguridad del proyecto que se desarrolle.

8. Como afecta el modelo de ciclo de vida que se adopte en un proyecto a la auditoria a realizar sobre el mismo?. El ciclo de vida afecta si no se lo ha elegido apropiadamente para el tipo de proyecto que se trate, se ha de dimensionar históricamente el proyecto y sus riesgos como para seleccionar el ciclo de vida, se debe poner especial atención si se elige un ciclo de vida basado en prototipado, en este caso deben cumplirse los requisitos necesarios para aplicarlo con éxito y debe existir un acuerdo con los usuarios sobre el alcance del  prototipo y el objetivo objetivo que se persigue persigue con el mismo. mismo. 9. Cree que la “trazabilidad” de los requisitos resulta importante en un desarrollo informático? Si es importante porque permitirá desde el inicio, el desarrollo y definición de objetivos, desarrollo del software en todas sus fases, evaluación del producto por los usuarios y luego la explotación, una cadena de controles y normas que deben de cumplirse para obtener un producto optimo y de calidad. 10. Exponga como debería ser la participación del usuario a lo largo de las distintas fases de la metodología métrica. •

•

En el proyecto deben participar los usuarios de todas la áreas que afecte el nuevo sistema, esta participación será normalmente a través de entrevistas que tendrán especial importancia en la definición de requisitos del sistema. El grupo de usuarios por medio de las entrevistas permitirán conocer o darán a conocer cómo valoran el sistema actual y los que esperan del nuevo sistema.

7

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ • •

•

•

Los usuarios deben contar con todos los recursos necesarios Los usuarios deben comparar con los recursos existentes y se ha planificado todos los recursos necesarios El sistema debe ser aceptado por los usuarios antes de ponerse en explotación, las  pruebas de aceptación son realizadas por los usuarios, se evalúan los resultados de las pruebas y se toman decisiones correctoras necesarias para solventar las incidencias encontradas, actualizándose el proyecto El grupo de usuarios y el comité de dirección firman su conformidad con las  pruebas de aceptación aceptación..

8