UDB Parcial I Auditoria de Sistemas

Transcripción

1 Parcial I Auditria de Sistemas Auditria de Sistemas Infrmátics Universidad Auditres: Misés Salvadr Pérez Priet Mari Edgard Planas Orellana William Jsé Manuel Lbs

2 Auditria de Sistemas Infrmátics INDICE 1. El alcance de la Auditria de Sistemas. 2. Plan de desarrll de la Auditrías de Sistemas Infrmátics (ASI) 3. Elabrar ls cntrles pertinentes a aplicar en la ASI. 4. Presente la metdlgía a utilizar (Incrprar técnicas, recurss, trs). 5. Prpnga el ls estándares a utilizar y justifique ls mtivs. (Crear un cuadr de cmparación) 6. Diseñe el perfil prfesinal de ls integrantes requerids para su equip. 7. Plantee y justifique el presupuest de desarrll. 8. Presentación de prpuesta prfesinal de Auditria de Sistemas Infrmátics. 2

3 Auditria de Sistemas Infrmátics 1. EL ALCANCE DE LA AUDITORIA DE SISTEMAS. OBJETIVOS Objetiv general. Revisar y evaluar ls cntrles, sistemas, prcedimients infrmátics; de ls equips cmputacinales, su utilización, eficiencia y seguridad, en las funcines de la Universidad, a fin de que pr medi del señalamient de las respectivas recmendacines se lgre una utilización más eficiente y segura de la infrmación. Objetivs Específics Evaluar el diseñ y prueba de ls sistemas del área de Infrmática actualmente instalads. Determinar la veracidad y cngruencia de la infrmación que se genera. Evaluar ls prcedimients de cntrl que se están realizand si ls hay y verificar si cumplen una estandarización. Evaluar la frma cm se administran ls dispsitivs de almacenamient básic del área de Infrmática Evaluar el cntrl que se tiene sbre el mantenimient y las fallas de las Pcs. Verificar las dispsicines y reglaments que cadyuven al mantenimient del rden dentr del departament de cómput. En cnclusión el alcance que se espera de esta auditría es lgrar que el sistema infrmátic de la universidad genere una experiencia de alta satisfacción libre de errres, para tds ls usuaris interns y externs. Td est mediante el cumplimient de las recmendacines respectivas generadas pr la auditria, dichas recmendacines serán rientadas a la innvación e implantación de tecnlgías de vanguardia acrde a las demandas de la institución. Cn l que se mejra el perfil e imagen universitaria ante la acreditación y ls usuaris externs e interns de la institución. 3

4 Auditria de Sistemas Infrmátics 2. Plan de desarrll de la Auditrías de Sistemas Infrmátics (ASI) La auditria de sistemas que llevarems a cab seguirá una metdlgía de desarrll que será de la siguiente manera. Establecer términs, cndicines y alcances cn la institución. Cmenzar la evaluación Para la evaluación e investigación del Área de Infrmática se llevarán a cab las siguientes actividades: Slicitud de ls estándares utilizads y prgrama de trabaj Aplicación del cuestinari al persnal Análisis y evaluación del a infrmación Elabración del infrme Para la evaluación de ls sistemas tant en peración cm en desarrll se llevarán a cab las siguientes actividades: Slicitud del análisis y diseñ del s sistemas en desarrll y en peración Slicitud de la dcumentación de ls sistemas en peración (manuales técnics, de peración del usuari, diseñ de archivs y prgramas) Recpilación y análisis de ls prcedimients administrativs de cada sistema (fluj de infrmación, frmats, reprtes y cnsultas) Análisis de llaves, redundancia, cntrl, seguridad, cnfidencial y respalds Entrevista cn ls usuaris de ls sistemas Evaluación directa de la infrmación btenida cntra las necesidades y requerimients del usuari Análisis bjetiv de la estructuración y fluj de ls prgramas Análisis y evaluación de la infrmación recpilada Elabración del infrme Para la evaluación de ls equips se llevarán a cab las siguientes actividades: Slicitud de ls estudis de viabilidad y características de ls equips actuales, pryects. Sbre ampliación de equip, su actualización Slicitud de cntrats de cmpra y mantenimients de equip y sistemas inventari. Elabración de un cuestinari sbre la utilización de equips, memria, archivs, unidades de entrada/salida, equips periférics y su seguridad Visita técnica de cmprbación de seguridad física y lógica de la instalacines de la Evaluación técnica del sistema electrónic y ambiental de ls equips y del lcal utilizad Evaluación de la infrmación recpilada, btención de gráficas, prcentaje de utilización de ls equips y su justificación _ Elabración y presentación del infrme final ( cnclusines y recmendacines) 4

5 Auditria de Sistemas Infrmátics 3. Elabrar ls cntrles pertinentes a aplicar en la ASI. EMPRESA: SISTEMA: SISCO. AREA DE AUDITORIA DE SISTEMAS DE INFORMACIÓN. Objetiv: Determinar pr medi de esta lista de cheque, el grad de seguridad que frecen al mment de prtección de la infrmación. ACCESO A LA INFORMACIÓN. Preguntas Ls Sistemas de la Universidad Pseen una seguridad y permiss para ls usuaris que l cupan? 2. La infrmación de ingres de ls sistemas de la Universidad están debidamente prtegida? 3. Ls sistemas n pseen deficiencias al mment de ingresar, cn un usuari y cntraseña crrecta? 4. Ls sistemas guardan el usuari y su cntraseña en la base de dats respectiva? 5. La mdificación de usuari y cntraseña se hace de frma efectiva? 6. La eliminación de usuari y cntraseña se hace de frma efectiva? 7. Se puede agregar de frma crrecta el usuari y cntraseña y establecer su existencia? 8. Se puede diferenciar ls permiss de usuari y administrativs, entre trs? PUNTAJE EN ESTA SECCIÓN. ENTRADA DE DATOS. Preguntas Ls frmularis se encuentran validads de acuerd a la especificación de cada dat que se debe ingresar? 2. Existen las ntificacines de ls dats bligatris que necesita el sistema? 3. Existen las alertas necesarias al mment que falte dats bligatris? 4. El sistema ingresa crrectamente ls dats a las bases de dats que se están empleand? 5. Ls sistemas pseen ayudas para el ingres de la infrmación. PUNTAJE EN ESTA SECCIÓN. 5

6 Auditria de Sistemas Infrmátics REDES DE COMUNICACIÓN. Preguntas La infrmación que se envía pr medi de redes cmputacinales llega de frma segura a su destin? 2. La red del sistema psee el cablead necesari, sin fuga de infrmación? 3. El cablead cumple las nrmas para evitar la latencia y la atenuación de las señales? 4. La infrmación que se envía pr las redes se encuentran encriptads? 5. Existen dispsitivs que cntrlan el fluj de infrmación, en la Universidad, cm switches, ruters, etc? 6. Cada Maquina se cmunica cn las maquinas necesarias dentr de su red 7. La tplgía general en que se cnfigura ayuda a la detección de errres que se psee. 8. Existe el us de diversas prteccines de las redes cm firawalls, ACL, entre tras. PUNTAJE EN ESTA SECCIÓN. BASE DE DATOS. Preguntas Está prtegid el ingres al sistema gestr y a la base de dats? 2. Se encuentran encriptads ls dats que se están utilizand? 3. Se mdifica infrmación, desde la base de dats, sin necesidad de ingresar al sistema? 4. En la base de dats, Ls permiss de acces están definids? 5. Existe el us del backup, para guardar la infrmación? 6. El backup es realizad cn frecuencia? 7. El ingres a la ficina dnde se psee las bases de dats, es restringid. PUNTAJE EN ESTA SECCIÓN. 6

7 Auditria de Sistemas Infrmátics HARDWARE. Preguntas El área dnde se encuentra el equip hardware está prtegid? 2. Dicha área, psee las herramientas necesarias en cass de emergencias (extintres, aire acndicinad, trs)? 3. El acces al área es muy restringid? 4. El persnal es capacitad para manejar, ese equip y la infrmación que l psea? PUNTAJE EN ESTA SECCIÓN. TOTALES. TOTAL FINAL OBSERVACIONES: GRACIAS POR SU COLABORACIÓN. 7

8 Auditria de Sistemas Infrmátics LISTA DE CHEQUEO CONTROL DE LA CALIDAD Objetiv: El bjetiv principal que se persigue al llevar acab esta lista de cheque es la Evaluación de cóm gestinan la calidad de ls sistemas y prcedimients. Aún cuand se han dejad sól ds clumnas para verificar la existencia detección de evidencia/s de cumplimient de cada requisit exigid pr la nrma de referencia, en casines, la respuesta valración pdría ser matizada en un camp anexad nminad cm Observacines cuand se aprecien indicis evidencias n suficientes per que manifiestan ciert nivel de cumplimient del requisit. SI NO CONTRO DE LA CALIDAD Sbre La Organización: a) Identifica y recnce ls prcess necesaris para la gestión de la calidad y su aplicación a través de la rganización. b) determina la secuencia e interacción de ests prcess, c) determina ls métds y criteris requerids para asegurar: el funcinamient efectiv y el cntrl de ls prcess, d) asegura la dispnibilidad de recurss e infrmación necesaris para apyar el funcinamient y el seguimient de ls prcess, e) mide, realiza el seguimient y analiza ests prcess, f) implanta las accines necesarias para alcanzar ls resultads prevists y la mejra cntinua de ests prcess. Si la rganización tiene cntratad externamente algún prces que afecte a la interacción del sistema infrmátic y pr ende su calidad de desarrll a) Se asegura el cntrl sbre tales prcess? b) El cntrl de dichs prcess cntratads externamente está identificad en el sistema de gestión de la calidad? La dcumentación del sistema de gestión de la calidad incluye: a) declaracines dcumentadas de una plítica de la calidad y de bjetivs de la calidad, El manual de la calidad incluye: Tdas las funcines desempeñadas pr el prces de la rganización, especificand el prtcl a desarrllar en cada una. Dcumentación acerca de nrmas estándares que se están cumpliend deberían de cumplirse. El prcedimient dcumentad para el cntrl de dcuments cntempla entre tras, las dispsicines necesarias: para asegurar que las versines pertinentes de ls dcuments aplicables se encuentran dispnibles en ls punts de us, para asegurar que ls dcuments permanecen legibles y fácilmente identificables, para asegurar que se identifican ls dcuments de rigen extern y que se cntrla su distribución. Ls registrs de calidad permanecen legibles, fácilmente identificables y recuperables Acerca de las salidas y entradas de infrmación. Se cumple una nrmativa estándar en la que se respalde ls métds de ingres y salida de dats El ingres de dats se lleva a cab acrde a las nrmas de calidad establecidas pr la empresa 8

9 Auditria de Sistemas Infrmátics OBSERVACIONES: 4. Presente la metdlgía a utilizar. En el desarrll de este pryect el recurs human será cmpuest pr tres auditres: Mari Edgard Planas Orellana, Auditr. Misés Salvadr Pérez, Auditr. William Lbs, Auditr. En ls recurss tecnlógics para el desarrll del sistema se encuentran varis materiales que si estarán en us cm: Cmputadras. Impresras. Prgramas para el mnitre de ls dats. Otrs. El grup de trabaj psee además su prpi equip cmputacinal que ayudara para este pryect, est genera una mayr cnfianza entre ls misms. También se utilizara cm medidas de cntrl, las listas de cheque, las cuales se apegaran a las métricas que querems estudiar, y así darns las deficiencias que puedan afectar en cualquier punt al sistema. Y est se hará junt a trs recurss ls cuales se mencinaran a cntinuación: En cuant a la metdlgía que se empleara para la investigación se usaran estas técnicas de reclección de dats. 9

10 Auditria de Sistemas Infrmátics TÉCNICAS DE RECOLECCIÓN DE DATOS. Las técnicas de esta índle sn un eje fundamental a la hra de cncer cuáles sn ls punts que se deberá mejrar al sistema que se está estudiand. A cntinuación se detallara ls punts relevantes que participaran en nuestra auditria: Entrevistas Se piensa realizar dicha actividad cn la persna encargada de td el prces, además de cncer la pinión de las persnas que l manejan para determinar la frma de trabaj de la empresa. Encuestas Estas se pueden realizar cn ls empleads, para ver cuáles sn sus dificultades y encntrar la frma de mejrar esas inquietudes. Observación En este métd la persna tmara la visión cm arma de reclección de infrmación, dnde verems las actividades y prcess que se lleva en la empresa. Listas de Cheque Estas listas ns ayudaran a pder identificar ls aspects que se deberán mejrar, pr medi de una encuesta que está relacinada cn las métricas de us. PLANEACION: Nuestra investigación dará inici cn la visita preliminar, dnde verems pr primera vez el sistema que se desea auditar. De ahí se buscara la frma de realizar las visitas que se pretenden para pder auditar y sacar la infrmación necesaria para pder dar nuestr dictamen del sistema estudiad. Se buscara tener el acces necesari a la infrmación, pr medi del dialg cn las autridades mayres de la empresa y así pder dar un mejr diagnstic de la auditria del sistema que se estudia. 10

11 Auditria de Sistemas Infrmátics EJECUCION: Las visitas serán semanales debid a que se desea tener la mejr infrmación psible y hace un buen análisis del sistema en bservación. Ls estudis que se realizaran serán en las ficinas dnde se encuentra el sistema, además de ver si el sistema está cnectad. Se usaran las técnicas antes planteadas para btener infrmación necesaria de la auditria. DICTAMEN: Nuestr resultad será un dcument en dnde se detallen nuestrs descubrimients de la auditria, el cual será entregad al encargad del departament al directr de planificación, el cual servirá para tmar las mejres decisines sbre el sistema. El dcument cntendrá un FODA, el cual revelara tds ls aspects imprtantes del sistema estudiad, además de las recmendacines que se darán de parte de nuestra persna para el mejramient del sistema. 11

12 Auditria de Sistemas Infrmátics 5. Prpnga el ls estándares a utilizar y justifique ls mtivs. Ls estándares que utilizarems en la auditria serán: Directrices Gerenciales de COBIT, desarrllad pr la Infrmatin Systems Audit and Cntrl Assciatin (ISACA): Las Directrices Gerenciales de COBIT sn un marc internacinal de referencias que abrdan las mejres prácticas de auditría y cntrl de sistemas de infrmación. Permiten que la gerencia incluya, cmprenda y administre ls riesgs relacinads cn la tecnlgía de infrmación y establezca el enlace entre ls prcess de administración, aspects técnics, la necesidad de cntrles y ls riesgs asciads. Mdel de Evlución de Capacidades de sftware (CMM), desarrllad pr el Institut de Ingeniería de Sftware (SEI): Este mdel hace psible evaluar las capacidades habilidades para ejecutar, de una rganización, cn respect al desarrll y mantenimient de sistemas de infrmación. Cnsiste en 18 sectres clave, agrupads alrededr de cinc niveles de madurez. Se puede cnsiderar que CMM es la base de ls principis de evaluación recmendads pr COBIT, así cm para alguns de ls prcess de administración de COBIT. Cnsiderams la utilización de ests estándares debid a que se cmplementan entre ells y n existe muchas discrepancias en cuant a la metdlgía de cada un, además sn estándares mundialmente recncids que se apegan much a la realidad que se encuentra la institución universitaria. En cuant a la calidad de ls servicis prestads pr la universidad ests deben de perseguir estándares que a nuestr criteri deberían ser las nrmas ISO 9000 y est para ayudar a cnservar su acreditación. Administración de seguridad de infrmación: Aprendiend de rganizacines líderes, desarrllad pr la Oficina de Cntabilidad General de ls Estads Unids (GAO): Este mdel cnsidera ch rganizacines privadas recncidas cm líderes respect a seguridad en cómput. Este trabaj hace psible la identificación de 16 prácticas necesarias para asegurar una adecuada administración de la seguridad de cómput, las cuáles deben ser suficientes para incrementar significativamente el nivel de administración de seguridad en tecnlgía de infrmación y cmunicación electrónica. 12

13 Auditria de Sistemas Infrmátics 6. Diseñe el perfil prfesinal de ls integrantes requerids para su equip. A cntinuación detallarems el perfil que se busca departe de nuestr equip de auditría de sistemas: Ámbit General. Perfil Auditr en Sftware y Base de Dats. -Ingenier Licenciad en Cmputación, especializad en Prgramación y Gestión de Base de Dats. -Persna de ambs sexs. -Edades entre 24 y 30 añs. -Zna de vivienda: San Salvadr. -Dispuest a viajar a Syapang. Ámbit Tecnlógic. -Manej de Prgramación Orientada a Objets. -Cncimients en Prgramación de cualquier índle (cnsla, web, escritri). -Cncimient de distints sistemas de Prgramación. -Manej en área de Ingeniería de Sftware. -Manejs de diferentes Sistemas de Gestión de Base de Dats. -Debidamente Acreditad, en dichas áreas. Ámbit Labral y Emcinal. -Persna Asertiva. -Persna cn actitud a cambiar el mund. -Trabaj en Equip. -Trabaj baj Presión. -Persna cn alt grad de análisis. 13

14 Auditria de Sistemas Infrmátics Perfil Auditr en Análisis y Diseñ. Ámbit General. -Ingenier Licenciad en Cmputación, especializad en área mencinada. -Persna de ambs sexs. -Edades entre 24 y 30 añs. -Zna de vivienda: San Salvadr. -Dispuest a viajar a Syapang. Ámbit Tecnlógic. -Cncimient en el área de análisis y diseñ de sistemas. -Us del UML. -Cncimients en el área de Ingeniería del Sftware. -Cncimient en la Gestión de Calidad. -Cncimient en Seguridad. -Cncimient en Prcess. -Debidamente Acreditad. Ámbit Labral y Emcinal. -Persna Asertiva. -Persna cn actitud a cambiar el mund. -Trabaj en Equip. -Trabaj baj Presión. -Persna cn alt grad de análisis. 14

15 Auditria de Sistemas Infrmátics Perfil Auditr en Redes. Ámbit General. -Ingenier Licenciad en Cmputación, especializad en área mencinada. -Persna de ambs sexs. -Edades entre 24 y 30 añs. -Zna de vivienda: San Salvadr. -Dispuest a viajar a Syapang. Ámbit Tecnlógic. -Cncimient en cablead estructurad. -Cncimient en diverss psitivs de red, además de marcas de ests. -Cncimient en el área de tráfic de infrmación. -Cncimient en el área de seguridad de redes. Ámbit Labral y Emcinal. -Persna Asertiva. -Persna cn actitud a cambiar el mund. -Trabaj en Equip. -Trabaj baj Presión. -Persna cn alt grad de análisis. 15

16 7. Plantee y justifique el presupuest de desarrll. Cant. Descripción Utilidad Preci Unidad Preci Ttal Materiales de Us. 400 Hjas de Papel. Impresión y $0.03 $12.00 Entrega de Infrmes Encuestas. 10 Llenad de Cartuchs de Impresión y $7.00 $70.00 Tinta. Entrega de Infrmes Encuestas. 25 Galnes de Gaslina. En viajes al lugar de Auditria. $3.05 $ Evaluación de ls sistemas en el área de prgramación de las mismas. 1 Evaluación de ls sistemas en el área de redes de las mismas. 1 Evaluación en el área administrativa. Aspects de Evaluación. Se cbra en la $ $ Evaluación de dich aspect. Se cbra en la Evaluación de dich aspect. Se cbra en la Evaluación de dich aspect. 3 Man de bra. Se pagara a ls miembrs de dicha auditria. $80.00 $80.00 $80.00 $80.00 Aspects Generales. $70.00 $ TOTALES. $ $ Nta: La alimentación deberá hacerse la negciación, para el preci. -Ests sn nuestrs precis base, puede ver increment decrement de la misma per se discutirá cn las autridades pertinentes. 8. Presentación de prpuesta prfesinal de Auditria de Sistemas Infrmátics.

17 Auditria de Sistemas Infrmátics Prpuesta de creación del área de auditría infrmática Nuestr infrme de seminari cncretamente prpne la implantación de un área de auditría en infrmática dentr de la Universidad Dn Bsc, en el área de Infrmática L anterir, l fundams a l larg de este infrme, ls principales mtivs sn: 1. Implantar esta área dentr de la para cubrir las funcines de una parte de la universidad que actualmente n es auditada. 2. La eficiencia, eficacia y calidad de las auditrías que se realizan en el órgan se verán beneficiadas pr la capacitación adecuada del persnal y la cnsecuente autmatización de prcedimients, que dejarán de ser tradicinales para estar a la vanguardia. 3. El crecimient cnstante de la tecnlgía de Infrmación eventualmente bligará a implantar prcedimients para auditarla, es pr ell que será benéfic aplicar ests prcedimients antes de ser rebasads en un futur pr esta prblemática. Pr l anterir, en ls siguientes punts detallams la prpuesta específica que cntempla cuales serían las actualizacines más adecuadas para lgrar este bjetiv, cmenzand pr prpner ls cambis pertinentes en la nrmatividad actual, cuál sería su nueva estructura rgánica, prpnems las nuevas funcines del área de auditría en infrmática de acuerd a las nuevas tendencias de la auditría en Tecnlgías de Infrmación mundiales; asimism, de entre las diferentes herramientas y técnicas de auditría en infrmática, seleccinams aquellas que resultarían más cnvenientes de acuerd a las características específicas de la Universidad Dn Bsc, tmand en cuenta su tamañ, su capacidad y tecnlgía actual. Objetiv Evaluar el desempeñ de ls sistemas infrmátics y las redes de cmunicacines para prprcinar ls cntrles necesaris que permitan la cnfiabilidad de la Infrmación así cm un elevad nivel de seguridad. Realizar auditrías peracinales, integrales, especiales y de cumplimient al área de sistemas, ayudand en la gestión de cntrl de la Auditría Interna y buscand las áreas de prtunidad. 1. Evaluar ls cntrles establecids para prteger ls bienes institucinales, referente al manej hardware, sftware y valres. 2. Prprcinar la Institución, un cncimient de la situación infrmática real del área de Sistemas. 17

18 Auditria de Sistemas Infrmátics Justificación de la creación del área Es bien sabid que actualmente existe la necesidad de crear un ámbit de calidad y seguridad en cualquier rganización, cm ya se mencinó anterirmente el activ más valis de casi cualquier rganización actualmente es precisamente la infrmación. En base a ls análisis realizads, se prpne la creación de una Auditría Infrmática que prprcine seguridad y cntrl en el ámbit tecnlógic, misma que deberá prmver elevar la cultura infrmática dentr del departament de cmputación, cm en el rest de la universidad. Esta área deberá estar encargada de cnstatar que se sigan prcedimients que aseguren la cnfidencialidad, cnfiabilidad y dispnibilidad de ls dats, garanticen la seguridad de la infrmación y prevean las psibles cntingencias en cuant a la seguridad de la infrmación que se maneja en este órgan, misma que pr definición es muy delicada, asimism que regule la gestión de la infraestructura y que en general se dedique a guiar el desarrll y crrect funcinamient del área de sistemas de esta Institución mediante las auditrías crrespndientes. Adicinalmente, esta área deberá cntar cn las actualizacines sbre las regulacines de la seguridad infrmática, mejres prácticas para aplicarlas a esta Institución, así cm de las nuevas técnicas de auditría en infrmática ya sean manuales asistidas pr cmputadra, apyads en prfesinales capacitads para mantener sistemas infrmátics segurs, cnfiables y cnfidenciales, que eviten y prevengan la currencia de situacines de riesg derivadas de las actuales debilidades en ls sistemas de cntrl. Misión, visión y funcines del área de Auditría Infrmática. Misión. Brindar a través de las auditrías, la infrmación suficiente y cmpetente, que permita la implementación de cntrles para una mejra cntinua que ayude a la prevención de delits infrmátics. Visión. Cnslidar el Infrmática, cm un área que pueda prever apy y asesría a la Universidad Dn Bsc, para el cumplimient de sus metas institucinales. Funcines. El área de Auditría Infrmática deberá realizar las actividades crrespndientes a la verificación de ls cntrles interns establecids en el área de Sistemas así cm estudis de seguridad física y lógica; análisis de ls riesgs a que está expuesta la infrmación y ls equips y la elabración de dcumentación que en las auditrías sea requerida. Además deberá prmver elevar la cultura infrmática, cnstatar que se sigan prcedimients que aseguren la cnfidencialidad, cnfiabilidad y dispnibilidad de ls dats, garanticen la seguridad de la infrmación y prevean las psibles cntingencias en cuant a la seguridad de la infrmación que se maneja en este órgan, misma que pr definición es muy delicada, asimism que regule la gestión de la infraestructura y que en general se dedique a guiar el desarrll y crrect funcinamient del área de sistemas de esta Institución mediante las auditrías crrespndientes. 18

19 Auditria de Sistemas Infrmátics A cntinuación se listan las funcines principales que esta área, deberá llevar a cab. 1. Elabración de planes de trabaj para llevar a cab auditrías en infrmática y el desarrll de actividades aprpiadas que permitan maximizar la eficacia del área de sistemas. 2. Elabración de cuestinaris, encuestas, matrices y herramientas que ayuden al levantamient de la infrmación para el debid desarrll de las auditrías. 3. Implementación de ls planes de trabaj llevand un cntrl de las actividades a realizar en tiemps estimads reales. 4. Evaluación de sistemas, prcedimients y equips de cómput. 5. Verificar que ls activs, estén debidamente cntrlads y salvaguardads cntra pérdida y mal us. 6. Evaluar ls resultads de ls prgramas perativs que realice el área de Sistemas para cncer eficiencia y efectividad cn que se han utilizad ls recurss. 7. Cmprbar el cumplimient de mandats cnstitucinales, legales y reglamentaris, plíticas, planes y acuerds nrmativs que rigen a la Institución. 8. Realizar auditrías y estudis especiales de acuerd cn prgramas y especiales debidamente respaldads pr las Nrmas para el ejercici prfesinal de la Auditría Interna. 9. Evaluar la prblemática del área de Sistemas a través de un pre-análisis de la situación del área, para la determinación de las principales necesidades de ésta. 10. Cmunicar ls resultads y recmendacines que resulten de sus evaluacines, mediante ls infrmes de auditría. 11. Cmprbar que el área de Sistemas ha tmad las medidas crrectivas de ls infrmes de la Auditría Interna así cm de las misines que al respect se verifiquen en el seguimient de infrmes. 12. Evaluación de ls cntrles de seguridades lógicas y físicas que garanticen la integridad, cnfidencialidad y dispnibilidad de ls dats de esta institución. 13. Cnstatar que el área de sistemas se riga pr ls prcedimients más adecuads para garantizar el adecuad funcinamient de la red de trabaj. 14. Evaluación de ls riegs y cntrles establecids para la búsqueda e identificación de debilidades, así cm de las áreas de prtunidad 15. Evaluar la existencia de plíticas, bjetivs, nrmas, metdlgías, así cm la asignación de tareas y adecuada administración de ls recurss, humans e infrmátics. 19

20 Auditria de Sistemas Infrmátics 16. Generar el Archiv de Papeles de Trabaj cn la dcumentación las auditrías realizadas. Tips de auditría que realizará el área de Auditría Infrmática. 1. Auditría a Sistemas de Infrmación, 2. Auditría a las Cmunicacines, 3. Auditría a la Red Física, y 4. Auditría a la Red Lógica. Metdlgía para la realización de auditrías infrmáticas Para la realización especifica de auditrías en infrmática se prpne también se prpne una metdlgía especifica, misma que se mencina a cntinuación: Cncimient general del área de sistemas Planificación Organigrama Estructura del área departament Relacines funcinales y jerárquicas Recurss (equips cn ls que se cuenta) Aplicacines en desarrll Aplicacines en prducción Sistemas de expltación Cncentración de bjetivs Definición de bjetivs y alcances Persnas de la rganización que se invlucrarán en el prces de auditría Plan de trabaj Tareas Calendari Resultads parciales Presupuest Desarrll de la auditría Entrevistas Cuestinaris Observación de las situacines deficientes 20

21 Auditria de Sistemas Infrmátics Fase de diagnóstic Observación de ls prcedimients Definición de ls punts débiles y fuertes, ls riesgs eventuales y psibles tips de slución y mejra Presentación de cnclusines Integración de sprte dcumental Frmulación de cédulas de bservacines y papeles de trabaj Infrme final Frmación del plan de mejras Resumen de las deficiencias encntradas Recgerá las recmendacines encaminadas a paliar las deficiencias detectadas Medidas a crt plaz: mejras en plaz, calidad, planificación frmación Medidas a medi plaz: mayr necesidad de recurss, ptimización de prgramas dcumentación y aspects de diseñ Medidas a larg plaz: cambis en plíticas, medis y estructuras del servici Seguimient de cumplimient de recmendacines Requerimients de hardware y sftware En este apartad prpnems la herramienta y el equip que será necesari para la implantación de esta auditria. Ls factres relevantes para la determinación de la adquisición de ests activs sn ls siguientes: Prveedr CYNTHUS Herramienta DELOS Mejr Practica COBIT Cantidad de equips existentes 3 PC Cantidad de equips necesaris 3 laptp adicinales Características de equips mdel Pentium 4 Equips auxiliares SQL Server, Cntrladres de Fluj 21