Adquisicion e implementación
description
Transcript of Adquisicion e implementación
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
ESCUELA DE CONTABILIDAD Y AUDITORIA
AUDITORIA SISTEMAS INFORMATICOS I
TEMA: ADQUISICIÓN E IMPLEMENTACIÓN
ALUMNO: EDUARDO CONDE
CURSO: 9-6
PROFESOR: DR. CARLOS ESCOBAR
SEMESTRE 2012
AI. ADQUISICION E IMPLEMENTACION -
DOMINIO
Deben ser identificadas, desarrolladas o adquiridas, asi como implementadas e integradas dentro del proceso del negocio, además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
PROCESOS
AI1. Identificación de Soluciones Automatizadas
AI2. Adquisición y Mantenimiento del Software Aplicado
AI3. Adquisición y Mantenimiento de la Infraestructura Tecnológica
AI4. Desarrollo y Mantenimiento de Procesos
AI5. Instalación y Aceptación de los Sistemas
AI6. Administración de los Cambios
AI1. IDENTIFICACIÓN DE SOLUCIONES
AUTOMATIZADAS – PROCESO
OBJETIVO.- Asegurar el mejor enfoque para cumplir con los
requerimientos del usuario mediante un análisis de las
oportunidades comparadas con los requerimientos de los usuarios
para lo cual se debe observar:
Areas usuarias
Sistema Gerencial
Requerimientos
objetivos Estratégicos
Areas usuarias
Aplicaciones (software)
Dirección de Sistemas
ORGANIZACIÓN
Visión
Misión
Planes, proyectos y programas
Políticas
Prioridades
Que hacer?
OBJETIVOS
AI01.1. Definición de información para aprobar un proyecto de desarrollo.
AI01.2. Estudio de Factibilidad con la finalidad de satisfacer los requerimientos del negocio.
AI01.3. Arquitectura de Información para tener en consideración el modelo de datos
AI01.4. Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los beneficios.
AI01.5. Pistas de auditoria proporcionar la capacidad de proteger datos sensitivos.
AI01.6. Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado.
AI01.7. Aceptación de instalaciones y Tecnología a través del contrato.
PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN
Son una serie de registros sobre las actividades del sistema operativo, de
procesos o aplicaciones y/o de usuarios del sistema. Las pistas de auditoria
son procedimientos que ayudan a cumplir algunos objetivos de protección y
seguridad de la información, así como evidenciar con suficiencia y
competencia los hallazgos de auditoria son los conocidos como Log o registro.
Objetivos de protección y seguridad
Responsabilidad Individual. Seguimiento secuencial de las acciones del usuario.
Reconstrucción de Eventos. Investigaciones de cómo, cuándo y quién ha realizado.
Detección de Instrucciones.
Identificación de Problemas.
Pistas de auditoria-Evidencia
Identificador del Usuario
Cuándo ha ocurrido el evento
Identificador de host anfitrión que genera el registro.
Tipo de Evento
En el Sistema;
En las Aplicaciones
PISTAS DE AUDITORIA – EVOLUCIÓN DEL RIESGO –
ERRORES POTENCIALES EN TECNOLOGÍAS
INFORMATICAS.
PREVENCION
DETECCIÓN
REPRESIÓN
CORRECIÓN
EVALUACIÓN
RIESGO
INCIDENTE-ERROR
DAÑOS
RECUPERACIÓN
ERRORES POTENCIALES
Errores en la integridad de la información
•Datos en blanco
•Datos ilegibles
•Problemas de Trascripción
•Error de cálculo en medidas indirectas
•Registro de valores imposible
•Negligencia
•Falta de aleatoriedad
•Violentar la secuencia establecida para recolección
PISTAS DE AUDITORIA - EVOLUCIÓN Y
ADMINISTRACIÓN DEL RIESGOS
3. DIAGNOSTICO
5. EVALUACIÓN
MATERIALIDAD
2. DETECCION -SINTOMAS
PREDICCIÓN
4. CORRECCIÓN
1. PREVENCIÓN
ACCIONES PARA EVITARLOS
ADMINISTRACIÓN DEL RIESGO
Actuar sobre las causas
Técnicas y Políticas de control involucrados
Empoderar a las actores
Crear valores y actitudes
RIESGO
S
I
S
T
E
M
A
S
C
O
N
T/
C
I
N
T
E
R
N
O
PISTAS DE AUDITORIA – POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS – PROCESO
Administración y control de accesos
Criptográfica
Integridad y Confidencialidad de datos
Disponibilidad
No discrecional
Dependientes y por defecto
Debe distinguirse 3 tipos distintos: 1. si se conectan todos los computadores dentro de un mismo edificio se denomina LAN (Local AreaNetwork). 2.Si están instalados en edificios diferentes, Wan (Wide AreaNetwork) estableciendo lacomunicación en un esquema cliente-servidor. 3. Plataforma de Internet en las actividades empresariales. El Institute forDefense Analyses en 1995, defina varios tipos de eventos que necesitaban ser auditados y los agrupaba en seis categorias:
PISTAS DE AUDITORIA . TECNICAS DE SEGURIDAD
PARA SISTEMAS DISTRIBUIDOS
TÉCNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD
AUTENTICACIÓN: Identificar a los usuarios que inicien sesiones en sistemas o la aplicación.
AUTORIZACIÓN: Una vez autenticado el usuario hay que comprobar si tiene los privilegios necesarios para realizar la acción.
INTEGRIDAD: Garantizar que los mensajes sean auténticos y no se alteren.
CONFIDENCIALIDAD: Ocultar los datos frente a accesos no autorizados.
AUDITORIA: Seguimiento de entidades que han accedido al sistema identificando el medio.
AI2 ADQUISICIÓN Y MANTENIMIENTO DEL
SOFTWARE APLICADO
OBJETIVO. Proporcionar funciones automatizadas que soporten efectivamente al negocio con declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada fundamentada en:
. Impacto estratégico, Oportunidad de ventaja competitiva.. Planificación, fijación de objetivos, coordinación, formación, adaptación de toda la organización.. Involucre a toda la empresa: directivos, trabajadores, clientes.. Una filosofía, cultura, estrategia, estilo de gestión.. ISO 9001:2000
MEJORA LA CALIDAD
CONTROL DE CALIDAD
GARANTIA DE CALIDAD
CALIDAD TOTAL
DETECTA DEFECTOS
PREVENIR DEFECTOS
TIEMPO
Mejora continua
HOY
GESTIO
N D
E C
ALID
AD
OBJETIVOS DE CONTROL
Objetivos y planes a corto y largo plazo de tecnología de información.
Documentación (materiales de consulta y soporte para usuarios)
Requerimientos de archivo; de entrada, procesos y salida de la información.
Controles de aplicación y requerimientos funcionales;
Interface usuario- máquina; asegurar que el software sea fácil de utlizar y capaz de auto documentarse.
Pruebas funcionales (unitarias, de aplicación, de integración y de carga); de acuerdo con el plan de prueba del proyectos y los estándares establecidos.
AI3 ADQUISICIÓN Y MANTENIMIENTO DE LA
INFRAESTRUCTURA TECNOLÓGICA – PROCESO
OBJETIVO. Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios originadas de una evaluación del desempeño del hardware y software apropiada; provisión de mantenimiento preventivo de hardware e instalación, seguridad y control del software del sistema y toma en consideración:
AI3.1 EVALUACION DE TECNOLOGIA; Para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema.
AI3.2 MANTENIMIENTO PREVENTIVO; Del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento.
AI3.3 SEGURIDAD DEL SOFTWARE DE SISTEMA; Instalación y mantenimiento para no arriesgar la seguridad de los datos y programas
AI4 DESARROLLO Y MANTENIMIENTO DE
PROCESOS – PROCESO
OBJETIVO.- Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. Para ello se diseñara manuales de procedimientos, de operaciones para usuarios y materiales de entrenamiento con el propósito de:
AI4.1 Manuales de procedimientos de usuarios y controles;
AI4.2 Materiales de entrenamiento; Enfocados al uso del sistema en la práctica diaria del usuario.
AI4.3 Manuales de Operaciones y Controles; para que el usuario comprenda el alcance de su actividad y valide su trabajo.
AI4.4 Levantamiento de procesos; Los procesos deben ser organizados y secuenciados.
AI5 INSTALACIÓN Y ACEPTACIÓN DE LOS
SISTEMAS – PROCESO
OBJETIVO.- Verificar y confirmar que la solución tecnológica PROPUESTA sea adecuada al propósito deseado, para lo cual debe aplicarse un procedimiento de instalación y aceptación que incluya; conversión y migración de datos, plan de aceptaciones formalizado con pruebas, validaciones y revisiones posteriores a la implementación de los sistemas, de manera puntual en:
AI5.1 CAPACITACIÓN DEL PERSONAL;
AI5.2 CONVERSIÓN/CARGA DATOS;
AI5.3 PRUEBAS ESPECÍFICAS; (cambios, desempeño, aceptación final, operacional)
AI5.4 VALIDACIÓN Y ACREDITACIÓN;
AI5.5 REVISIONES POST IMPLEMENTACIÓN;
AI6 ADMINISTRACIÓN DE CAMBIOS –
PROCESO
TECNICAS DE CONTROL
Comprar programas sólo a proveedores fiables.
Usar productos evaluados
Inspeccionar el código fuente antes de usarlo
Controlar el acceso y las modificaciones una vez instalado
OBJETIVO.- Minimizar la probabilidad de interrupciones, alteraciones y errores a través de una eficiencia administración del sistema, las aplicaciones y la base de datos con análisis, implementación y seguimiento de todos los cambios requeridos y llevados para lo cual debe;
AI6.1 IDENTIFICACIÓN DE CAMBIOS.- Los cambios en las aplicaciones diseñadas internamente; así como, las adquiridas a proveedores.
AI6.2 Procedimientos; de categorización, priorización y emergencia de solicitudes de cambios.
AI6.3 Evaluación del impacto que provocaran los cambios; tecnológicos en la perspectiva del cliente, financiera, de procesos, del talento humano y la estructura
AI6.4 Autorización de cambios; registro y documentación de los cambios autorizados.
AI6.5 Manejo de Liberación. La liberación de software debe estar regida por procedimientos formales asegurando aprobación.
AI6.6 Distribución de software. Estableciendo medidas de control especificas para asegurar la distribución de software sea el lugar y usuario correcto.
SALIR