Christian Vasquez Semana1 - EVALUACIÓN DE PROCESOS INFORMÁTICOS
September 6, 2022 | Author: Anonymous | Category: N/A
Short Description
Download Christian Vasquez Semana1 - EVALUACIÓN DE PROCESOS INFORMÁTICOS...
Description
EVALUACIÓN DE PROCESOS INFORMÁTICOS SEMANA 1.
Christan Alejandro Vásquez Lolli 08 de noviembre de 2021
INTRODUCCIÓN Ese ejercicio consise en elaborar un cuadro descriptvo de las fases de una audioría informátca. El enreg en regabl able e será será realiz realizado ado en forma formao o Word, Word, ide ident ntcan cando do las eapas eapas requ requeri eridas das,, con un descri descripo porr explic exp licatv atvo o de cada cada una, una, y una dif diferen erencia ciació ción n enre enre aud audio ioría ría infor informát mátca ca y aud audio ioría ría de seguri seguridad dad informátca, realizando un ejemplo de una siuación real donde se aplique cada una de esas fases.
DESARROLLO De acuerdo a lo esudiado en la presene semana, debemos enender primeramene en qué consise cons ise una audioria audioria.. Según la Real Academia Academia Española Española,, dene dene audioría audioría como: “Revisión sisemátca de una actvidad o de una siuación para evaluar el cumplimieno de las reglas o crierios objetvos a que aquellas deben someerse.” Existendo varios tpos de audioria en cada rubro laboral, enendiendo por ano que el proceso de audiar, consise en un metculoso pr proc oces eso o si sis sem emát átco co,, in inde depe pend ndien iene e y docu docume men nad ado o en x ca cant ntda dad d de co copi pias as pa para ra lo loss involu inv olucra crado dos, s, permit permitend endo o su audic audición ión el ob obene enerr eviden evidencia ciass objetv objetvas as sobre sobre deerm deermina inado do proceso y así poder omar decisiones de adminisración de mejor manera, sancionar, denunciar, subsanar, ec.; de manera que cumplan los crierios esablecidos por su iniciación. Exisen dos tpos de audioría:
Auditoría Interna: La que es aplicada con el personal que labora l abora en la empresa. Auditoría Externa: Se conraa a una rma especializada para realizar la misma.
La audioría Inerna, ofrece algunas venajas en relación a la exerna, en primer lugar, es menos cososa, pueso que se realiza con el mismo personal, y por oro lado, no se corre el riesgo de que personas exrañas conozcan la información generada denro de la rma. Sin embargo, tene sus sus limi limiac acio ione nes, s, enr enre e las las cu cual ales es se menc mencio iona nan: n: la po poca ca espe especi cial aliz izac ació ión n que que te tene nen n lo loss inegranes en la maeria conlleva al hecho de que se escapen algunos dealles denro del pr proc oces eso o (o (omi misió sión n de dee deecc cció ión n de erro errore res) s) y por por o oro ro la lado do se co corr rre e el ri ries esgo go de que que se “encub “en cubran ran”” decie decienci ncias. as. Es factb factble le que, que, denro denro del proces proceso o de au audi diorí oría, a, las person personas as no informen de alguna anomalía a n “de no perjudicar al amigo”. Aplicando la audioría exerna, exise menor margen de error, pueso que las personas que se encargan de realizarla son especialisas en el área. Enonces, deben ser pocos los errores que se deecen y las sugerencias aporadas son muy valiosas. Del mismo modo exise poco margen de encubrimieno, ya que son personas ajenas a la rma lo que da inicio a una investgación sumarial adminisratva. adminisratva. Un ejemplo claro puede ser cuando rabajé en Carabineros como CPR (adminisratvo) el año 2012 en la comuna comuna de Valparaís Valparaíso o las comisarias comisarias con sus debidos debidos compua compuadore dores, s, utlizaban utlizaban WINDOWS XP UNATENDENDED EDITION o WINDOWS U.E , esa versión del Sisema Operatvo XP el cual debe su nombre a la forma en la que se insala, sin inervención del usuario nal, el usuario solo ineracúa en la primera eapa o modo exo de la insalación cuando selecciona la partción o el disco duro a formaear y luego para seleccionar los programas que insalará de manera desaendida en un menú denominado Windows Pos Insall o WPI para abreviar, siendo esa copia inervenida no siendo acrediada por Microso por lo que dio origen a un sumario
inerno adminisratvo a raíz de la denuncia realizada por la misma Microso en conra de Carabineros de Chile por la NO COMPRA DE VERSIONES CD DE WINDOWS XP ORIGINAL en aquellos enonces, debiendo el deparameno de informátca de Carabineros T.I.C. realizar una audioria conjunamene con el deparameno de asunos inernos (ineligencia) de Carabineros a n de subsanar las observaciones que podrían conllevar a una revisión por pare de la Conraloría General de la Republica y por pare del consejo de defensa del esado por fraude al sco. Dado el caso anerior, así como oras empresas que podemos revisar en la inerne opan por la realización de audiorías exernas cuando se evidencian sínomas de Descoordinación, Sínomas de Mala Imagen, Sínomas de Debilidades Económicas, Sínomas de Inseguridad.
Enfocándonos al área del Deparameno TI en deerminada empresa exise un tpo de audioria conoci con ocida da como como la “Auditoría Informáca” , siendo esa un proceso de revisión y conrol de medidas de seguridad para audiar recursos informátcos sean de índole sicos o lógicos de una deerminada empresa desde el puno de ecnologías audiables, de personal, de uso de soware, sisemas de organización, planes y proocolos , organigramas, reglamenos inernos, siendo su objetvo principal la de garantzar la contnuidad y operatvidad de los procesos informátcos, dando así la posibilidad de procesar la información o daos obenidos mediane un informe minucioso que muesre los niveles de recursos informátcos validando los procesos en cada una de sus pares o áreas de la organización respeco a legislación vigene, es decir, leyes, normas ISO,proocolos, ISO,prooco los, ec. Por el conrario, la “Auditoria de Seguridad Informáca” , consise en el proceso de audición que analiza vulnerabilidades en recursos informátcos de la oalidad de la organización desde niveles gerenciales hasa el últmo deparameno, haciendo hincapié en especial a los recursos hardware y soware ales como sisema operatvos, aplicaciones como SAP,ERP, SOFTLAND, vulnerabilidades, servidores, rouers, conectvidad inrane, ec, por lo que se cenra en análisis de la seguridad exisene a nivel equipo y de red informátca incluyendo así la revisión de proocolos de seguridad ano de dispositvos hardware como de aplicaciones que puedan ser objetvos de una vulnerabilidad informátca, implicando medidas de subsanación, conrol, de seguridad, inegridad y condencialidad en los daos audiados.
Resumen Auditoría Informáca:
Fase I: Conocimientos del Sistema
1.1. Aspectos Legales y Polícas Internas. Sobre estos elementos está construido el sistema de control y por lo tanto constuyen el marco de referencia para su evaluación, es donde se determina que se evaluará. Ejemplo: Ejempl o: Esclar Esclarece ecerr si de acu acuerd erdo o a bases bases del esta estado do y fondos fondos,, exisó exisó una compra compra de COPIAS COPIAS DE WINDOWS o NO y vericar si las key de cada sistema operavo es ORIGINAL de MICROSOFT.
1.2. Caracteríscas del Sistema Operavo. • Organigrama del área que parcipa • Manual de funciones de las personas que parcipan en los procesos del sistema • Informes de auditoría realizadas anteriormente. Ejemplo: Parcipa en la audición personal del departamento TIC de la Policía y personal externo de Microso Chile, se entrega a cada parte de los interesados manual para debida scalización y registros o historial de auditorías previas. 1.3. Caracteríscas de la aplicación de computadora • Manual técnico de la aplicación del sistema • funcionarios (usuarios) autorizados para administrar la aplicación • Equipos ulizados en la aplicación de computadora • Seguridad de la aplicación (claves de acceso) • Procedimientos para generación y almacenamiento de los archivos de la aplicación. Ejemplo: Ejempl o: Se det detect ecta a que los comput computado adores res son son modelo modelo DELL, DELL, edi editad tados os por por depart departame amento nto TIC de Carabine Cara bineros, ros, se revisan revisan actas de entrega, entrega, se revisa revisa protocol protocolos os de uso, revisión revisión de usuarios usuarios y datos datos almacenados de cada uno.
Fase II: Análisis de transacciones y recursos
2.1. Denición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. 2.2. Análisis de las transacciones • Establecer el ujo de los documentos funcionamiento y recorrido de los procesos. 2.3. Análisis de los recursos • Idencar y codicar los recursos que parcipan en el sistema 2.4. Relación entre transacciones y recursos
Ejemplo: Revisión detallada de ROOTS, USUARIOS ADMINISTRATIVOS, INVITADOS, USOS, COMPRAS, ETC. Fase III: Análisis de riesgos y amenazas
3.1. Idencación de riesgos • Daños sicos o destrucción de los recursos • Pérdida por fraude o desfalco • Extravío de documentos fuente, archivos o informes • Robo de disposivos o medios de almacenamiento • Interrupción de las operaciones del negocio • Pérdida de integridad de los datos • Ineciencia de operaciones • Errores Ejemplo: Se determinó que los equipos mantenían registros de serie borrados, algunos computadores no correspondían a los inventariados, otros habían perdido su vida úl y guraban en inventarios, otros eran donaciones, no siendo posible encontrar facturas de compras y posibles fallas de instalación al no ser una versión original validada. 3.2. Idencación de las amenazas
Amenazas sobre los equipos: equipos: Amenazas sobre documentos documentos fuente Amenazas sobre programas programas de aplicaciones
3.3. Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a parr de la observación de los recursos en su ambiente real de funcionamiento.
Fase IV: Análisis de controles
4.1. Codicación de controles Los controles se aplican a los diferentes grupos ulizadores de recursos, luego la idencación de los contro con troles les deb debe e conten contener er una co codi dicac cación ión la cual cual iden idenque que el grupo grupo al cual cual perten pertenece ece el recurs recurso o protegido. 4.2. Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema. Para cada tema debe establecerse uno o más controles. 4.3. Análisis de cobertura de los controles requeridos Este análisis ene como propósito determinar si los controles que el auditor idencó como necesarios proveen una protección adecuada de los recursos. Fase V: Evaluación de Controles
5.1. Objevos de la evaluación • Vericar la existencia de los controles requeridos • Determinar la operavidad y suciencia de los controles existentes 5.2. Plan de pruebas de los controles
• Incluye la selección del tipo de prueba a realizar. • Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. 5.3. Pruebas de controles 5.4. Análisis de resultados de las pruebas Fase VI: Informe de Auditoria
6.1. Informe detallado de recomendaciones 6.2. Evaluación de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas. • Introducción: objetivo y contenido del d el informe de auditoria • Objetivos de la auditoría • Alcance: cobertura de la evaluación realizada • Opinión: con relación a la suficiencia del control interno del sistema evaluado • Hallazgos • Recomendaciones
Fase VII: Seguimiento de Recomendaciones
7.1. Informes del seguimiento 7.2. Evaluación de los controles implantados Fin de la sesión. Revisión Evaluación Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Información Auditoría Informática Objetivos
CONCLUSIÓN
La Audioría es el procedimieno de revisión e inspección de la operaoria de una empresa, generalmene asociado a los procesos conables o nancieros. Ese proceso se puede ejecuar inernamene o conar conar con un agene exerno que la realice. Exisen audiorías audiorías a distnas áreas o al sis sisem ema a genera generall de la org organ aniza izació ción. n. Alguna Algunass de ellas ellas analiz analizan an el queha quehacer cer nanci nanciero ero-conable; los procesos adminisratvos; la gestón operacional y los sisemas informátco informátcos. s.
La auditoría debe vericar que se cumplan a cabalidad cada una de las fases del desarrollo del sistema. Se deben chequear los instrumentos y métodos empleados para la determinación determinación de los requerimientos, las herramientas que se ulizan para la construcción del sistema, evaluar el protopo que va a ser mostrado mostrado a los usuarios y vericar que se hagan las l as pruebas al sistema antes de ser implantado. Recuerde: es preferible esperar un poco más por un sistema probado y ajustado a las necesidades que querer implantar “en dos días” un soware que no ayudará en nada a los procesos empresariales, por el contrario: entorpecerá los mismos.
La materia prima para la generación de la información son los datos de entrada, es por ello que todo proceso de auditoría informáca debe contemplar el estudio de los mismos. Bajo esta premisa, es importante importante llevar un control control del origen de los datos que se introduc introducen en al sistema y en la medida de lo posible, el responsable de la introducción de los mismos.
En érminos generales, una audioría tene 3 eapas: planicación, ejecución y elaboración de inform inf orme e y plan plan de acción acción.. En partc partcula ular, r, la audio audioría ría informá informátc tca a tene tene 7 fases: fases: a. Fa Fase se I: Conocimienos del sisema b. Fase II: Análisis de ransacciones y recursos c. Fase III: Análisis de riesgos y amenazas d. Fase IV: Análisis de conroles e. Fase V: Evaluación de conroles f. Fase VI: El informe de audioría g. Fase VII: Seguimieno de las recomendaciones.
REFERENCIAS BIBLIOGRÁFICAS
IACC (2020). Los procesos informácos y la auditoría informáca. Evaluación de Procesos Informácos. Semana 1. (2019, 07). Fases de Auditoría A uditoría Informáca. Academia Edu. Obtenido 11, 2021, de hps://www.academia.edu/35354616/Fases_de_la_auditori hps://www.academia.edu/35354616/Fases_ de_la_auditoria_Informaca a_Informaca (2019, 06). Auditoria Carabineros Deciente. Sistema informáco Carabineros.. Obtenido 11, ecial/nocias/reportajes/reportajeseportajes/reportajes2021, de hps://www.biobiochile.cl/esp hps://www.biobiochile.cl/especial/nocias/r reportajes/2019/06/28/auditoria-a-carabin reportajes/2019/06/28/au ditoria-a-carabineros-revela-fragil eros-revela-fragil-sistema-informaco-qu -sistema-informaco-que-costo-mase-costo-masde-674-millones-de-pesos.shtml
View more...
Comments