AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 9 y 10

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

1

AUDITORIA INFORMATICA

PROFESOR : Ing. Fernando Andrade

ALUMNO : Jesús Cisneros Valle

FECHA : Quito, 10 de septiembre del 2012

CURSO : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 7 y 8 DEL

LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.

CAPITULO 9

AUDITORIA DE LA OFIMATICA

Cuestiones de Repaso:

1. Que elementos de un sistema informático se contemplan dentro de la Ofimática?

Las aplicaciones específicas para la gestión de tareas, hojas de cálculo, procesadores de

texto, herramientas de gestión de documentos, control de expedientes o sistemas de

almacenamiento óptico de información, agendas y bases de datos personales, correo

electrónico, control de flujos de trabajo, etc.

2. Explique el paradigma de escritorio virtual?

El escritorio virtual, como único panel presentado por la pantalla del computado,

sustituye a la mesa de trabajo tradicional y es donde se encuentran todas la

herramientas necesarias para desarrollar las actividades del oficinista. La interfaz del

escritorio debe parecer natural al usuario y debe ser fácil de aprender y utilizar.

3. Que distingue la auditoria de Ofimática de la de otros entornos informáticos?

Lo distingue porque posee dos características peculiares:

• La distribución de las aplicaciones por los diferentes departamentos de la organización en lugar de encontrarse en una única ubicación centralizada.

• El traslado de la responsabilidad sobre ciertos controles de los sistemas de información a usuarios finales no dedicados profesionalmente a la informática, que

pueden no comprender de un modo adecuado la importancia de los mismos y la

forma de realizarlos.


2

4. Analice las repercusiones que puede tener en una empresa un inventario poco

fiable bajo las perspectivas de la economía, la eficacia y la eficiencia.

Puede repercutir en el balance de la organización, posibilitando que no se detecten

sustracciones de equipamiento informático o de licencia de programas contratados, se

ha seleccionado esto en primer lugar, ya que la fiabilidad del inventario resultara

indispensable para auditar otros controles presentados posteriormente.

5. Como debería ser un procedimiento para la realización de cambios de versiones

de paquetes informáticos?

• Se debe evitar que las nuevas versiones produzcan situaciones de falta de integración y de incompatibilidad entre los nuevos productos instalados y los

existentes con anterioridad.

• Determinar la existencia de procedimientos formalmente establecidos para la autorización, aprobación y adquisición de nuevas aplicaciones y cambios de

versiones.

• Comprobar que las aplicaciones instaladas y los cambios de versiones han seguido todos los trámites exigidos en el procedimiento establecido.

• Determinar si se han analizado los problemas de integración y las incompatibilidades que puedan plantear los nuevos productos previo a su

implantación

• Si se ha establecido algún plan para la formación de los usuarios finales que vayan a utilizar los nuevos productos.

• Si los encargados de mantener la nuevas versiones han adquirido los conocimientos suficientes para que los cambios que van a producirse no impacten negativamente

en el funcionamiento de la organización.

6. Calcule el coste real de un computador personal para una empresa (tenga en

cuenta el hardware, software, mantenimiento, formación, etc.)

DESCRIPCION: COSTE: ($)

Hardware : 400

Software

Sistema Operativo (Windows 7) : 250

Ofimática : 120

Antivirus : 40

Impresora de inyección (tinta continua) : 180

Formación (todo el personal) : 10 :

_______


3

$.1000

Compra al por unidad informática al mayor con la ventaja de descuento en caso de

compra de más de 10 unidades.

7. Que mecanismos de seguridad de los que conoce se puede aplicar a los

computadores personales?

Las políticas y procedimientos de seguridad son necesarios, para garantizar la

confidencialidad, integridad y disponibilidad de la información almacenada. Las

funcionalidades de seguridad de ofimática y sistemas operativos se han incrementado

cada año ofreciendo niveles de seguridad aceptables.

• Determinar si el procedimiento de clasificación de la información establecido ha sido elaborado atendiendo a la sensibilidad e importancia de la misma.

• Comprobar que toda la información se ha clasificado en función de los criterios establecidos

• Verificar que las funciones, obligaciones y responsabilidades en materia de seguridad, de cada puesto de trabajo están claramente definidas y documentadas

• Todo el personal debe conocer los sistemas de seguridad tanto de hardware como de software que se han instalado en el sistema de la empresa y los accesos a los

cuales les está permitido accesar con sus claves de seguridad.

• Establecer sistemas de seguridad nivel físico que impida accesos indeseables o fraudulentos al sistema informático

• Establecer mecanismos de autenticación e identificación de acceso al sistema • Mantener instalados sistemas antivirus y firewall actualizados • Cumplir con los procedimientos establecidos para autorizar la creación de nuevos accesos al sistema y sobre los derechos de acceso de usuarios

• Determinar la desconexión automática de sistemas cuando estos no son usados por un periodo determinado de tiempo, así como permitir su reactivación previa

autenticación del usuario.

• Instalar un servidor kerberos para administración de claves

8. Escriba un procedimiento para la utilización de equipos ofimáticos que puede ser

entendido por usuarios finales.

Primero:

Los equipos y/o sistemas ofimáticos que se desarrollen y se instalen deben ser los más

accesibles posible, sin conllevar complicaciones de uso, la facilidad de uso permite un

acceso rápido y majeo sencillo, seguro y adecuado de los sistemas.


4

Segundo:

Una vez desarrollado, se debe crea un manual de uso para usuarios y uno del

administrador del sistema, este último determinara los accesos, permisos, usuarios, etc.

Tercero:

Instruir a los usuarios en el uso del sistema ofimático por ejemplo de uso de un cajero

automático de un banco, basado en los siguientes puntos:

1. La interface del cajero debe ser accesible e intuitiva sin ninguna restricción, más que las claves de acceso y la tarjeta de débito o crédito.

2. La pantalla debe desplegar las posibles peticiones o requerimientos del usuario para que sean accesadas de manera automática ya sea con pantalla táctil o botones

del panel correspondiente.

3. Los requerimientos deben ser procesados de manera transparente con el software ofimático que se ha creado para el efecto, y sobre todo seguro.

4. Los usuarios sin importancia de su conocimiento informático, puede y deben acceder al sistema sin ningún tipo de inconveniente, realizar sus trámites y sentirse

seguros de que su transacción fue hecha según sus requerimientos.

9. Analice las principales vacunas existentes en el mercado contra virus que afecten

a computadores personales.

Un antivirus debe ser evaluado por distintas características como son, capacidad de detección de virus y programas malignos conocidos y desconocidos, actualización constante y efectiva, velocidad de escaneo y monitorización, dar grandes posibilidades a los expertos, y sencillez a los inexpertos, efectiva limpieza de los virus y buena documentación de ayuda.

KASPERSKY ANTIVIRUS

Es el mejor antivirus existente en el mercado, el mejor en nuestra evaluación. Gran cantidad de opciones. Es el más completo en cuanto a software maligno ya que no sólo se encarga de virus, gusanos y troyanos, sino que detecta dialers, espías, keyloggers, entre otros malwares. También es de los más actualizados que existen. El punto en contra es su lentitud para analizar en computadoras que no son potentes. Igualmente Kaspersky cuenta con una base de datos interna que "memoriza" los archivos escaneados para que el segundo escaneado sea más rápido. Posee gran capacidad de detección de virus desconocidos.

Características: • Escaneo rápido


5

• Buena capacidad de actualización. • Excelente capacidad de detectar virus. • Fácil de remover. • Gran número de herramientas. NOD32 Anti-Virus. Muy rápido, eficiente, excelente heurística y excelente en cuanto a servicio técnico online. Cuenta con una versión de prueba de 25 días. Características: • Escaneo rápido • Buena capacidad de actualización. • Excelente capacidad de detectar virus. • Fácil de remover. • Mínimo consumo de recursos del sistema. • Gran número de herramientas. AVG Anti-virus Tiene una versión totalmente gratuita y una de pago. Sin dudar es el mejor antivirus gratuito que se puede encontrar. En su versión gratuita ofrece la misma seguridad que la paga, pero con menos posibilidades de configuración. Es excelente para uso personal y especialmente para computadoras que no son potentes. Su monitor para el escaneo de virus en tiempo real utiliza muy pocos recursos. Por ser la versión gratuita, hay muchas características que desearían tener los expertos que no están, desde consultas online las 24 horas y otras herramientas que mejoran la detección. Igualmente para uso personal es altamente recomendado. Características: • Escaneo rápido • Buena capacidad de actualización. • Mínimo consumo de recursos del sistema. • Gran número de herramientas. • Versión gratuita personal (no uso comercial)

10. Que consideraciones al entorno ofimático se encuentra en la LOPD?

• La LOPD, establece una serie de principios y derechos de los ciudadanos en relación con sus datos de carácter personal incluido archivos automatizados.

• Los afectados que sufran daños o lesión de sus bienes o derechos como consecuencia del incumplimiento de lo dispuesto en esta normativa, pueden

reclamar indemnización ante los tribunales de justicia.


6

CAPITULO 8

AUDITORIA DE LA DIRECCION

Cuestiones de Repaso:

1. Descríbanse las actividades a realizar por un auditor para evaluar un plan

estratégico de sistemas de información.

• Durante el proceso de planificación se presta atención al plan estratégico de la empresa, es establecen mecanismos de sincronización entre sus grandes hitos y los

proyectos informáticos asociados y se tiene en cuenta aspectos como cambios

organizativos, legislación, evolución tecnológica, organización informática, etc.

Los impactos deben estar recogidos en el plan estratégico de sistemas de

información.

• Las tareas y actividades presentes en el plan tienen la correspondiente y adecuada asignación de recursos para poder llevarlos a cabo.

1. Lectura de actas de sesiones del Comité de Informática dedicadas a la planificación estratégica.

2. Identificación y lectura de los documentos intermedios prescritos por la metodología de planificación

3. Lectura y compresión detallada del plan e identificación e identificación de las consideraciones incluidas en el mismo sobre los objetivos empresariales,

cambios organizativos, evolución tecnológica, plazos y niveles de recursos.

4. Realización de entrevistas al Director de Informática y a otros miembros del Comité de Informática participantes en el proceso de elaboración del Plan

Estratégico. Realización de entrevistas a representantes de los usuarios con el

fin de evaluar su grado de participación y sintonía con el contenido del Plan.

5. Identificación y compresión de mecanismos existentes de seguimiento y actualización del plan y de su relación con la evolución de la empresa.

2. Descríbanse las funciones de un comité de informática. Elabórese una lista con las

funciones empresariales que deberían estar representadas en dicho comité. Que

objetivo tiene para los usuarios su presencia en el comité?

Funciones del Comité de Informática:

• Aprobación del plan estratégico de sistemas informáticos • Aprobación de las grandes inversiones en tecnologías de la información


7

• Fijación de prioridades entre los grandes proyectos informáticos • Vehículo de discusión entre la informática y sus usuarios • Vigila y realiza el seguimiento de la actividad del departamento de informática.

Lista de las funciones empresariales que deberían estar representadas en dicho

comité:

• Director de Informática • Todas las grandes áreas de la empresa deben estar representadas en el comité • El director de auditoria interna • Otros miembros de la organización como miembros temporales cuando hayan asuntos que les conciernan

• Representante de los usuarios

Objetivo de la presencia de los usuarios en el Comité?

Verificar si el Comité cumple con las funciones encomendadas; y, que en los acuerdos

son tomados correctamente y los puntos de vista de los representantes de los usuarios

son tomados en cuenta.

3. Descríbanse las ventajas de tener procedimientos. Elabórese un guión de lo que

podrían ser procedimientos de: a) diseño de sistemas, b) programación.

Descríbanse las ventajas de tener procedimientos:

Los procedimientos son:

• Planificar • Organizar • Coordinar • Controlar

El poder planificar permite asegurar el lineamiento de las acciones de la empresa con

los objetivos de la misma, plasmar un plan estratégico a largo plazo, la organización y

coordinación sirve para estructurar los recursos, los flujos de información y los

controles que permitan alcanzar los objetivos marcados durante la planificación; y, el

control, le permite a la Dirección informática supervisar y ejecutar un seguimiento

permanente de las actividades del Departamento Informático evaluándolo y

analizándolo periódicamente.

Guión de procedimientos de:

a) diseño de sistemas


8

Planificación:

Las políticas del departamento de diseño de sistemas, estarán basados en los objetivos trazados por la empresa es identificar claramente la naturaleza y el alcance del departamento donde para cada trabajo se presentará un proyecto viable y un Estudio de Viabilidad. Organizar y Coordinar: El comité de informática deberá aprobar el plan estratégico del departamento que ha sido presentado a la Dirección de Sistemas de la empresa. El documento o planificado para cualquier desarrollo informático se llamará Especificaciones del Diseño del Sistema y debe ser aprobado por la gerencia y los usuarios. Se asegurará la calidad del proceso del producto que se diseñe en Dep. de diseño de Sistemas, se gestionara al mejor personal capacitado, dentro de los parámetros económicos de la empresa y se tomara siempre en consideración el requerimiento de los Usuarios. Controlar:

La Dirección de sistemas, controlara y efectuar un seguimiento permanente de toda actividad del Departamento de diseño, se ha de vigilar el cumplimiento de los planes estratégicos, operativos y los proyectos que se desarrollan, la ejecución del presupuesto y la evolución de las peticiones de usuarios pendientes, el cumplimento de los costos, etc. En cada caso se cumplirán las recomendaciones de auditoria.

b) programación

Planificar (Requerimientos)

Esta fase es fundamental para que la estrategia informática encaje dentro de las metas

de la empresa, ya que en ella se cumplen las funciones del modelaje del negocio y

planificación de programas; esto con el fin de proyectar las estrategias del negocio y

determinar de esta forma los requerimientos de información.

Organizar y Coordinar (Análisis / Diseño)

El objetivo de esta fase es desarrollar el diseño arquitectónico de los programas,

utilizando los requerimientos obtenidos en la primera fase. En el diseño arquitectónico

se engloban dos componentes: los casos de uso, los lenguajes de programación, las

bases de datos, etc., los cuales serán analizados y diseñados desde una perspectiva

conceptual a una física

Control (Pruebas)


9

Esta fase, da inicio luego de que las diferentes unidades de diseño han sido

desarrolladas y probadas por separado. Durante su desarrollo, el programa se emplea

de forma experimental para asegurar que el software no falle, es decir que funcione de

acuerdo a sus especificaciones y a la manera que los usuarios esperan que lo haga, y de

esta forma poder detectar cualquier anomalía, antes de que el programa sea puesto en

marcha y se dependa de él. Para evaluar el desenvolvimiento del programa, en esta fase

se llevan a cabo varias pruebas para controlar el sistema y que sea un entregable

aceptable y sin fallas.

Producción / Mantenimiento

Una vez que un programa pasa a formar parte de la vida diaria de la empresa, cada

procedimiento y cada estructura de datos se convierte en una pieza del negocio que,

como tal, deberá funcionar en forma constante, exacta y confiable. La operación del

negocio ahora dependerá del funcionamiento del sistema, por lo que las tareas de

mantenimiento cobran vital importancia.

Durante la fase de mantenimiento, se ponen en práctica todas las políticas y los

procedimientos destinados a garantizar la operación continúan de los de los sistemas y

a asegurar su uso efectivo, con el fin, de que éstos se constituyan en una verdadera

herramienta de apoyo al logro de los objetivos estratégicos de la empresa

4. Que evidencias deberá buscar el auditor para poder evaluar si las necesidades de

los usuarios son tenidas en cuenta adecuadamente?

Deberá buscar el grado de atención que se ha dado y si se ha plasmado dentro del Plan

Estratégico a las necesidades de los usuarios.

5. Identifíquese las actividades incompatibles desde el punto de vista de control de

un departamento de Informática. Razónese.

Los puntos incompatibles seria que no existiese mecanismos de controles a nivel de

estándares de rendimientos con los que comprara las diversas tareas. Sería

incompatible además que no existiesen evaluaciones periódicas de los procesos y

presupuesta iones, otro punto seria no tener planes, proyectos y presupuesto de años

anteriores y del actual para comprobar que son controlados, que se analizan las

desviaciones y que se toman medidas correctivas de ser necesario.


10

6. Que ventajas de control aporta la existencia de la función de aseguramiento de la

calidad?

• Permite el control de la calidad de los servicios informáticos • Da particular importancia al cumplimiento de la metodología del ciclo de vida de los sistemas de información, de los procedimientos que gobiernan la explotación

del computador y de la investigación de la calidad de los datos que se envían a los

usuarios.

7. Descríbanse los objetivos de control a ser evaluados por el auditor en el apartado

de gestión de recursos humanos.

• La selección del personal se basa en criterios objetivos y tiene en cuenta la formación, experiencia y niveles de responsabilidad anteriores.

• El rendimiento de cada empleado se avalúa regularmente en base a estándares establecidos y responsabilidades específicas del puesto de trabajo. Existen procesos

para determinar las necesidades de formación de los empleados en base a su

experiencia, puestos de trabajo, responsabilidad y desarrollo futuro personal y

tecnológico de la instalación. Se planifica la cobertura ordenada de estas

necesidades y se lleva a la práctica.

• Existen procesos para la promoción del personal que tienen en cuenta su desempeño profesional

• Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalización de los contratos laborales no afectan a los controles internos y a la

seguridad informática.

8. Que tareas debe realizar un auditor para evaluar el plan de formación del

departamento de informática? Como puede juzgar si dicho plan es acorde con los

objetivos de la empresa?

El principal es el económico, ya que los costos de implementar un departamento de

informantica requiere de inversiones hasta cierto punto elevadas. Cabe mencionar que

el auditor deberá constatar la existencia del presupuesto y aprobarlo y que dicho

presupuesto este en línea con las políticas de la empresa y con los planes estratégicos y

operativos del propio departamento. El auditor deberá seguir básicamente las

directrices y programas de trabajo de auditoria para el proceso de implementar el

departamento de informática siguiendo la línea empresarial.


11

9. Relaciónense las actividades a realizar por el auditor para la evaluación del precio

de transferencia de reparto de costes entre el departamento de informática y los

usuarios.

• Realización de entrevistas a la dirección de los departamentos usuarios para evaluar su grado de compresión de los componentes de costes utilizados en la fórmula de

cálculo del precio de trasferencia.

• Análisis de los componentes y criterios con los que está calculando el precio de transferencia para evaluar su ecuanimidad y consistencia, y acudir al mercado

externo y a ofertas de centros de proceso de datos independientes para compararlas

con dichos constes internos

• Conocimiento de los diversos sistemas existentes en el Departamento para recoger y registrar la actividad del mismo (consumo de recursos máquina, número de líneas

impresas, horas de programación, etc.) para procesarla y obtener la información de

costes y para presentarla de una manera apropiada.

10. Cuales son la áreas legales cuyo cumplimiento es el más importante de auditar?

• El auditor debe empaparse de la normativa que rige área informática • Evaluar el cumplimiento de las normas en especial de los aspectos críticos • Si desconoce completamente del aspecto legal debe buscar asesoría legal en la empresa.

AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 9 y 10

Documents

Transcript of AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 9 y 10