Asistente para la realización de auditorías de sistemas en organismos Públicos o Privado.



Documentos relacionados
ITBA - UPM MAGISTER EN INGENIERIA DEL SOFTWARE ANTEPROYECTO DE TESIS

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Gestión de la Configuración

FÁBRICA DE SOFTWARE. Presentado por: Ing. Juan José Montero Román Gerente de Fábrica de Software USMP

Curso de postgrado en Auditoría Informática

Resumen General del Manual de Organización y Funciones

3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE

Qué es la Auditoria en Sistemas de Información?

Resumen General del Manual de Organización y Funciones

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Mantenimiento de Sistemas de Información

COSO Marco de referencia para la implementación, gestión y control de un adecuado Sistema de Control Interno

ANTEPROYECTO DE TESIS DE MASTER

Norma ISO 9001: Sistema de Gestión de la Calidad

Departamento de Lenguajes y Sistemas Informáticos. Ciclo de vida del software

Nombre del Puesto Coordinador de Redes y Telecomunicaciones. Coordinador de Redes y Telecomunicaciones. Unidad de Redes y Telecomunicaciones

Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina

I INTRODUCCIÓN. 1.1 Objetivos

Implantación y Aceptación del Sistema

1.1 Aseguramiento de la calidad del software

COMPILACION BIBLIOGRAFICA PMBOK, OPM3 JHON FREDY GIRALDO. Docente: Carlos Hernán Gomez Asignatura: Auditoria de Sistemas

PROPUESTA METODOLOGICA PARA LA EDUCCIÓN DE REQUISITOS EN PROYECTOS DE EXPLOTACIÓN DE INFORMACIÓN

La integración de procesos

Modulo 4: COBIT COMO MARCO DE TRABAJO PARA UN BUEN GOBIERNO DE TI

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

IMPACTO DEL DESARROLLO TECNOLOGICO EN LA AUDITORIA

Capítulo IV. Manejo de Problemas

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

Ventajas del software del SIGOB para las instituciones

Estándares para el Uso de Herramientas de Desarrollo y Plataformas de Aplicaciones Web

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

Estatuto de Auditoría Interna

Nombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: DIRECCIÓN GENERAL DE EVALUACIÓN

3. Horario laboral referencial: Lunes Viernes 8:00 a.m. a 6:00 p.m.

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

Unidad 1. Fundamentos en Gestión de Riesgos

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

Propuesta Matriz de Actividades para un Ciclo de Vida de Explotación de Datos

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL

Soluciones Tecnológicas

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

PERFIL DEL TECNICO SUPERIOR EN SISTEMAS INFORMATICOS INSCO ESAE 2014

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Sistema de Gestión de Proyectos Estratégicos.

Gestión de Configuración del Software

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

Aseguramiento de la Calidad

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

cumple y hay evidencias objetivas

LANZAMIENTO PROYECTO : INTEGRA Montaje del ERP SIESA Enterprise. Barranquilla - Colombia 2012

Calidad de Software - CMM

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

Planeación del Proyecto de Software:

sobre SIGEA Consultora de referencia en ISO 27001

ITIL FOUNDATION V3 2011

Plan de Administración del Proyecto

Grado en Ingeniería Informática

Exsis Software & Soluciones S.A.S

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Soporte. Misión y Visión

Disaster Recovery Institute - España

Plan de Estudios. Diploma de Especialización en Seguridad Informática

Normas de Auditoría de Tecnologías de la Información y la Comunicación

AUD Estudio de Auditoría Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº JP

GESTION OPERATIVA. Niveles de gestión

Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

ISO 9000:2000. Roberto Aprili Justiniano Rodrigo Ramírez Pérez. Roberto Aprili, Rodrigo Ramírez

Cómo definir un Catálogo de Servicios de TI

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

GESTIÓN Y DIRECCIÓN ESTRATÉGICA DE PROYECTOS. Docente Irina Jurado Paz

ARCHIVO GENERAL DE LA NACIÓN

PROCEDIMIENTO AUDITORÍA INTERNA

- Telf/Fax: C/Sánchez Díaz 15, Madrid ESPAÑA

LINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Instituto Tecnológico Superior de Zongolica. Ingeniería en Sistemas Computacionales. Asignatura: Contabilidad Financiera

Estándares de Seguridad

Metodologías de Desarrollo de Sistemas de Información

Se aportan, para la configuración de este anexo, las categorías profesionales más habituales según la definición del MRFI-C:

Panorama de la ISO 9001 y de la ISO Traducido y adaptado por L.Vaccaro del original en inglés (R. Frost, ISO)

Elementos requeridos para crearlos (ejemplo: el compilador)

Administración de Centros de Computo. ITIL. MSG.ING. DARWIN CERCADO B dcercado@primma.com.ec

Sistemas de Información Administrativo - Universidad Diego Portales. Cátedra : Sistemas de Información Administrativa S.I.A.

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.

ENFOQUE ISO 9000:2000

Planificación de Sistemas de Información

MINING SOLUTIONS LIMITADA

Consejo Superior Universitario Acuerdo 046 de 2009 página 2

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

"IT Governance" Diciémbre 06, Copyright 2004 Rendón&Asociados Derechos Reservados.

EVALUACIÓN PARA LA RENOVACIÓN DE LA ACREDITACIÓN

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Planificación de Sistemas de Información

Transcripción:

Asistente para la realización de auditorías de sistemas en organismos Públicos o Privado. Proyecto de Tesis de Magíster en Ingeniería del Software Maestrando: Lic.Horacio Kuna Director: Dr. Ramón García Martínez 1. Introducción El actual estado de desarrollo de los sistemas de información hace que los mismos sean cada vez más complejos, integrados y relacionados. Esto hace que sea cada vez más necesario en todas las organizaciones y no solo en las grandes, el garantizar el cumplimiento de las normas y procedimientos establecidos para el manejo de las políticas relacionadas con la Tecnología de la Información. La auditoría de sistemas aporta métodos, técnicas y procedimientos que permiten controlar el uso eficaz y eficiente de los sistemas de información, se la puede definir como: La auditoría de sistemas es el proceso de revisión y evaluación, parcial o completo de los aspectos relacionados con el procesamiento automatizado de la información [ISACA, 2002] La auditoría de sistemas es fundamental para garantizar el correcto funcionamiento de los Sistemas de Información al proporcionar los controles necesarios que permiten garantizar la seguridad, integridad, disponibilidad y confiabilidad de los mismos [Rivas Gonzalo Alonso, 1988]. La información es uno de los principales activos con los que cuentan las organizaciones, este recurso crítico involucra los siguientes elementos que deben ser protegidos [COBIT, 1996]: Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 1

Datos, que son todos los objetos de la información. Aplicaciones, son el conjunto de sistemas de información. Tecnología, es el conjunto de hardware y software de base. Instalaciones, son los recursos necesarios para alojar a los sistemas de información. Recursos Humanos, es el personal relacionado directamente con el desarrollo y producción de los sistemas de información. La palabra auditoría proviene del latín y etimológicamente significa oír, y en los orígenes la función del auditor de sistemas estaba relacionada con detectar errores en los procedimientos relacionados con el procesamiento de la información a través del uso de ordenadores, en la actualidad se entiende al auditor como un consultor especializado en los riesgos que emergen del procesamiento de datos en este nuevo contexto caracterizado por los constantes cambios que se producen en esta verdadera revolución tecnológica en la que estamos sumergidos. Los Objetivos de la auditoría de sistemas son [Castello Ricardo, 1998]: Que el procesamiento de datos cumpla con las normas y procedimientos institucionales y legales vigentes. Que existan procedimientos adecuados para la selección, uso y resguardo de los recursos informáticos de la organización. Que la consistencia, confiabilidad y seguridad de los datos sean suficientes. Que este asegurada la adecuada y eficaz operación de los sistemas informáticos de la organización. Los auditores de sistemas de información [ISACA, 2002] examinan y evalúan el desarrollo, implementación, mantenimiento y operación de los componentes de sistemas automatizados y sus interfaces con sistemas externos y no automatizados. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 2

Se establecen tres tipos de funciones para los auditores de sistemas [PIATTINI MARIO, 2003]: Participar en la revisión del diseño, realización, implantación y explotación de las aplicaciones informáticas. Revisar y evaluar los controles implementados en los sistemas informáticos. Revisar y evaluar la eficacia, utilidad, fiabilidad y seguridad de los equipos e información. 2. Estado de la tecnología A nivel internacional y nacional existen diferentes normas que intentan estandarizar el proceso de la auditaría de sistemas, algunas de ellas son: 2.1. COBIT (Control Objectives for Information and related Technology) La misión y objetivos de COBIT [ISACA, 2004] es investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnología de la información (TI) con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores. La Information Systems Audit and Control Foundation y los patrocinadores de COBIT, han diseñado este producto principalmente como una fuente de instrucción para los auditores de sistemas. COBIT ha sido desarrollado como estándares para mejorar las prácticas de control y seguridad de las TI que provean un marco de referencia para la Administración, Usuarios y Auditores. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 3

COBIT define los siguientes elementos: Dominios: Agrupación natural de procesos, se definen en cuatro: o Planificación y organización, o Adquisición e implementación, o Prestación y soporte, y o Monitoreo. Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control. En cada proceso se definen objetivos de control. Actividades: Acciones requeridas para lograr un resultado medible. Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI, estos procesos están agrupados en los cuatro grandes dominios citados. 2.2. ISACA La Information Systems audit. And Control Association (ISACA) estableció un conjunto de normas generales para los sistemas de auditoría de la información [ADACSI, 2004], las mismas son: 010 Título de auditoría 010.010 Responsabilidad, autoridad y rendimiento de cuentas 020 Independencia 020.010 Independencia profesional 020.020 Relación organizativa 030 Ética y normas profesionales 030.010 Código de Ética Profesional 030.020 Atención profesional correspondiente Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 4

040 Idoneidad 040.010 Habilidades y conocimientos 040.020 Educación profesional continua 050 Planificación 050.010 Planificación de la auditoría 060 Ejecución del trabajo de auditoría 060.010 Supervisión 060.020 Evidencia 070 Informes 070.010 Contenido y formato de los informes 080 Actividades de seguimiento 080.010 Seguimiento 2.3. SIGEN A nivel nacional la SIGEN (Sindicatura General de la Nación) [SIGEN, 2004] establece un conjunto de normas y procedimientos generales relacionados con el proceso de Auditoría financiera, no encontrándose ninguna específica relacionada con la Auditoría de Sistemas. 3. Identificación del problema En la actualidad la auditoría de sistemas asistida por computadora es muy limitada y parcial en particular se destaca el uso de software especifico para la auditoría de datos como por ejemplo el IDEA [IDEA, 2004] desarrollado en Canadá, o el MAGERIT [MAGERIT, 2004] desarrollado en España para automatizar la gestión de riesgos que se integra con la metodología METRICA 3. También se utilizan Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 5

herramientas software generales para la gestión de los proyectos de auditoría, pero los mismos no son específicos. La auditoría asistida por computadora tiene en la actualidad un desarrollo incipiente, en particular es muy escasa la utilización de herramientas relacionadas con sistemas expertos [PIATTINI MARIO, 2003]. La deficiencia fundamental de lo que se denomina Computer Aided Assisted Audit Technique Tool (CAAT) se relaciona con la inexistencia de herramientas software integradas, que permitan automatizar una auditoría de sistemas. Por lo tanto el proceso de adaptación de la planificación y ejecución de un proceso de auditoría de sistemas a una organización en particular se relaciona con la expertis del auditor, sin que el mismo pueda utilizar herramientas que lo guíen en este proceso. 4. Esbozo de la solución El objetivo del proyecto es diseñar la primer versión de una herramienta standalone que asista desde el punto de vista metodológico [HERNADEZ HERNANDEZ, 1998] al proceso de auditoría en lo relacionado con la determinación de alcances y objetivos, estudio preliminar, determinación de recursos necesarios, planificación, desarrollo, y presentación de conclusiones y permita la generación automática de documentación, considerando lo estándares existentes y adecuándolos al entorno a auditar. Permitiendo: Asistir al auditor en el proceso de determinación del alcance y objetivos, guiándolo a través de cuestionarios específicos, de acuerdo al tipo de organización que se trate, que permitan orientarlo metodológicamente en el proceso de definición del alcance y los objetivos generales y específicos. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 6

Asistir al auditor en el estudio preliminar, proponiéndole cuestionarios que permitan definir, considerando el alcance y objetivos definidos en el punto anterior, la estructura interna del Área de Informática a auditar, las aplicaciones existentes, el personal relacionado con la tarea, el inventario y arquitectura del hardware y software, la documentación existente, las características de las telecomunicaciones, la cantidad y características de las bases de datos, etc. El asistente en función de los objetivos, alcance y el estudio preliminar deberá sugerirle al auditor los recursos necesarios para realizar la tarea. Asistir al proceso de planificación adaptando la misma a la organización específica donde se intenta realizar la tarea, proponiendo de acuerdo a los pasos anteriormente desarrollados un plan de trabajo tentativo. Asistir en el desarrollo de la auditoría, sugiriendo distintos cuestionarios y cheklist para cada una de las áreas a auditar (desarrollo, producción, redes, gestión, etc.), definiendo los objetivos de control de acuerdo a las características de la organización. El asistente deberá orientar al auditor en la elaboración del informe final considerando las tareas realizadas anteriormente. Se debe considerar el dominio de empresas donde podrá aplicarse el desarrollo, las mismas podrán realizar actividades de servicios y/o producción, que desarrollan, adquieren, operan y mantienen sistemas relacionados con circuitos administrativos estándares, quedando fuera de los limites del presente trabajo, los sistemas empotrados, sistemas en tiempo real, sistemas de manufactura integrada por computadora, empresas que brinden servicios de telecomunicaciones Se analizará la factibilidad de integrar en el futuro, el asistente a desarrollar con otros softwares específicos como por ejemplo el IDEA, MAGERiT, MSPROJECT, Bases de datos y Procesador de Textos, con el objetivo de contar con una Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 7

herramienta software que provea un entorno de trabajo único e integrado de manera de optimizar y facilitar la CAAT. 5. Planificación tentativa Para el desarrollo de la herramienta propuesta se utilizará la Metodología MÉTRICA Versión 3 [Métrica V3, 2000]. De acuerdo al siguiente plan de trabajo: Tarea Descripción Tiempo estimado PSI Plan De Sistemas de Información No se aplica EVS Estudio de viabilidad del sistema 30 horas ASI Análisis del sistema de Información 140 horas DSI Diseño del sistema de Información 150 horas CSI Construcción del sistema de Información 210 horas IAS Implantación y aceptación del sistema 70 horas MSI Mantenimiento del sistema de No se aplica información Gestión del proyecto Seguridad Gestión de Configuración Aseguramiento de la calidad 80 horas 20 horas 30 horas 70 horas Preparación de la tesis TOTAL 100 horas 900 horas La herramienta se desarrollará dentro del ambiente Open Source, se utilizará el lenguaje PHP y el motor de base de datos Firebird, la misma será del tipo standalone. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 8

Aclaraciones: En la planificación no se prevé la actividad PSI, esto se debe a que se trata de un sistema que no se desarrolla para una organización en particular, siendo objetivo de la tesis que pueda ser aplicado en cualquier organización, por lo tanto no es necesario realizar un Plan de Sistemas de Información. El alcance de la tesis se refiere a construir una primer versión del sistema por lo tanto no se contemplan actividades relacionadas con el mantenimiento del sistema (MSI) La etapa de Implementación y aceptación del sistema (IAS) solo contempla las pruebas del sistema ya que se trata del desarrollo de un prototipo. Con una dedicación semanal de 20 horas, el tiempo total estimado se traduce en 45 semanas, lo que significa aproximadamente 11 meses. 6. Referencias ADACSI, 2004. Disponible en http://www.adacsi.org.ar pagina vigente al 11 de setiembre de 2004 Castello Ricardo, 1998. Auditoría en entornos informáticos. 125 páginas. Editorial Universidad Nacional de Córdoba. ISBN en trámite COBIT, 1996. Disponible en http://www.cobit.org pagina vigente al 16 de abril de 2004. Hernández Hernando, Enrique. Auditoría en Informática, un enfoque práctico. 315 páginas. Editorial CECSA, México. ISBN: 968-26-1283-7 ISACA, 2002. Disponible en http://www.isaca.org pagina vigente al 16 de abril de 2004. IDEA, 2004. Disponible en www.usd.edu/idea/audit/, página vigente al 26 de abril de 2004. ISACA, 2004. Disponible en http://www.isaca.org.cl pagina vigente al 16 de abril de 2004. MAGERIT, 2004. Disponible en www.csi.map.es/csi/pg5m20.htm, página vigente al 26 de abril de 2004. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 9

Métrica V3, 2000. Metodología de Planificación, Desarrollo y Mantenimiento de sistemas de información. Ministerio de Administraciones Públicas Español. Disponible en http://www.csi.map.es/csi/metrica3/index.html, página vigente al 16 de abril de 2004. Piattini Mario y del Peso Emilio, 2003. Auditoría Informática, un enfoque práctico. 659 páginas. Editorial Alfaomega-Rama. ISbn: 958-682-455-1 Rivas, Gonzalo Alonso. 1988. Auditoría Informática. 198 páginas. Ediciones Díaz de Santos. ISBN 84-87189-13 SIGEN, 2004. Disponible en http://www.sigen.gov.ar pagina vigente al 16 de abril de 2004. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 10

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback