UNIVERSIDAD AUTONOMA DE QUITO UNAQ

AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade ALUMNO FECHA CURSO : Jess Cisneros Valle : Quito, 10 de septiembre del 2012 : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 7 y 8 DEL LIBRO AUDITORIA INFORMATICA Un enfoque prctico.

CAPITULO 9
AUDITORIA DE LA OFIMATICA Cuestiones de Repaso: 1. Que elementos de un sistema informtico se contemplan dentro de la Ofimtica? Las aplicaciones especficas para la gestin de tareas, hojas de clculo, procesadores de texto, herramientas de gestin de documentos, control de expedientes o sistemas de almacenamiento ptico de informacin, agendas y bases de datos personales, correo electrnico, control de flujos de trabajo, etc. 2. Explique el paradigma de escritorio virtual? El escritorio virtual, como nico panel presentado por la pantalla del computado, sustituye a la mesa de trabajo tradicional y es donde se encuentran todas la herramientas necesarias para desarrollar las actividades del oficinista. La interfaz del escritorio debe parecer natural al usuario y debe ser fcil de aprender y utilizar. 3. Que distingue la auditoria de Ofimtica de la de otros entornos informticos? Lo distingue porque posee dos caractersticas peculiares: La distribucin de las aplicaciones por los diferentes departamentos de la organizacin en lugar de encontrarse en una nica ubicacin centralizada. El traslado de la responsabilidad sobre ciertos controles de los sistemas de informacin a usuarios finales no dedicados profesionalmente a la informtica, que pueden no comprender de un modo adecuado la importancia de los mismos y la forma de realizarlos.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

4. Analice las repercusiones que puede tener en una empresa un inventario poco fiable bajo las perspectivas de la economa, la eficacia y la eficiencia. Puede repercutir en el balance de la organizacin, posibilitando que no se detecten sustracciones de equipamiento informtico o de licencia de programas contratados, se ha seleccionado esto en primer lugar, ya que la fiabilidad del inventario resultara indispensable para auditar otros controles presentados posteriormente. 5. Como debera ser un procedimiento para la realizacin de cambios de versiones de paquetes informticos? Se debe evitar que las nuevas versiones produzcan situaciones de falta de integracin y de incompatibilidad entre los nuevos productos instalados y los existentes con anterioridad. Determinar la existencia de procedimientos formalmente establecidos para la autorizacin, aprobacin y adquisicin de nuevas aplicaciones y cambios de versiones. Comprobar que las aplicaciones instaladas y los cambios de versiones han seguido todos los trmites exigidos en el procedimiento establecido. Determinar si se han analizado los problemas de integracin y las incompatibilidades que puedan plantear los nuevos productos previo a su implantacin Si se ha establecido algn plan para la formacin de los usuarios finales que vayan a utilizar los nuevos productos. Si los encargados de mantener la nuevas versiones han adquirido los conocimientos suficientes para que los cambios que van a producirse no impacten negativamente en el funcionamiento de la organizacin. 6. Calcule el coste real de un computador personal para una empresa (tenga en cuenta el hardware, software, mantenimiento, formacin, etc.) DESCRIPCION: Hardware Software Sistema Operativo (Windows 7) Ofimtica Antivirus Impresora de inyeccin (tinta continua) Formacin (todo el personal) COSTE: ($) : 400 : 250 : 120 : 40 : 180 : 10 _______

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

$.1000 Compra al por unidad informtica al mayor con la ventaja de descuento en caso de compra de ms de 10 unidades. 7. Que mecanismos de seguridad de los que conoce se puede aplicar a los computadores personales? Las polticas y procedimientos de seguridad son necesarios, para garantizar la confidencialidad, integridad y disponibilidad de la informacin almacenada. Las funcionalidades de seguridad de ofimtica y sistemas operativos se han incrementado cada ao ofreciendo niveles de seguridad aceptables. Determinar si el procedimiento de clasificacin de la informacin establecido ha sido elaborado atendiendo a la sensibilidad e importancia de la misma. Comprobar que toda la informacin se ha clasificado en funcin de los criterios establecidos Verificar que las funciones, obligaciones y responsabilidades en materia de seguridad, de cada puesto de trabajo estn claramente definidas y documentadas Todo el personal debe conocer los sistemas de seguridad tanto de hardware como de software que se han instalado en el sistema de la empresa y los accesos a los cuales les est permitido accesar con sus claves de seguridad. Establecer sistemas de seguridad nivel fsico que impida accesos indeseables o fraudulentos al sistema informtico Establecer mecanismos de autenticacin e identificacin de acceso al sistema Mantener instalados sistemas antivirus y firewall actualizados Cumplir con los procedimientos establecidos para autorizar la creacin de nuevos accesos al sistema y sobre los derechos de acceso de usuarios Determinar la desconexin automtica de sistemas cuando estos no son usados por un periodo determinado de tiempo, as como permitir su reactivacin previa autenticacin del usuario. Instalar un servidor kerberos para administracin de claves

8. Escriba un procedimiento para la utilizacin de equipos ofimticos que puede ser entendido por usuarios finales. Primero: Los equipos y/o sistemas ofimticos que se desarrollen y se instalen deben ser los ms accesibles posible, sin conllevar complicaciones de uso, la facilidad de uso permite un acceso rpido y majeo sencillo, seguro y adecuado de los sistemas.
3

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Segundo: Una vez desarrollado, se debe crea un manual de uso para usuarios y uno del administrador del sistema, este ltimo determinara los accesos, permisos, usuarios, etc. Tercero: Instruir a los usuarios en el uso del sistema ofimtico por ejemplo de uso de un cajero automtico de un banco, basado en los siguientes puntos: 1. La interface del cajero debe ser accesible e intuitiva sin ninguna restriccin, ms que las claves de acceso y la tarjeta de dbito o crdito. 2. La pantalla debe desplegar las posibles peticiones o requerimientos del usuario para que sean accesadas de manera automtica ya sea con pantalla tctil o botones del panel correspondiente. 3. Los requerimientos deben ser procesados de manera transparente con el software ofimtico que se ha creado para el efecto, y sobre todo seguro. 4. Los usuarios sin importancia de su conocimiento informtico, puede y deben acceder al sistema sin ningn tipo de inconveniente, realizar sus trmites y sentirse seguros de que su transaccin fue hecha segn sus requerimientos. 9. Analice las principales vacunas existentes en el mercado contra virus que afecten a computadores personales. Un antivirus debe ser evaluado por distintas caractersticas como son, capacidad de deteccin de virus y programas malignos conocidos y desconocidos, actualizacin constante y efectiva, velocidad de escaneo y monitorizacin, dar grandes posibilidades a los expertos, y sencillez a los inexpertos, efectiva limpieza de los virus y buena documentacin de ayuda. KASPERSKY ANTIVIRUS Es el mejor antivirus existente en el mercado, el mejor en nuestra evaluacin. Gran cantidad de opciones. Es el ms completo en cuanto a software maligno ya que no slo se encarga de virus, gusanos y troyanos, sino que detecta dialers, espas, keyloggers, entre otros malwares. Tambin es de los ms actualizados que existen. El punto en contra es su lentitud para analizar en computadoras que no son potentes. Igualmente Kaspersky cuenta con una base de datos interna que "memoriza" los archivos escaneados para que el segundo escaneado sea ms rpido. Posee gran capacidad de deteccin de virus desconocidos. Caractersticas: Escaneo rpido
4

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Buena capacidad de actualizacin. Excelente capacidad de detectar virus. Fcil de remover. Gran nmero de herramientas. NOD32 Anti-Virus. Muy rpido, eficiente, excelente heurstica y excelente en cuanto a servicio tcnico online. Cuenta con una versin de prueba de 25 das. Caractersticas: Escaneo rpido Buena capacidad de actualizacin. Excelente capacidad de detectar virus. Fcil de remover. Mnimo consumo de recursos del sistema. Gran nmero de herramientas. AVG Anti-virus Tiene una versin totalmente gratuita y una de pago. Sin dudar es el mejor antivirus gratuito que se puede encontrar. En su versin gratuita ofrece la misma seguridad que la paga, pero con menos posibilidades de configuracin. Es excelente para uso personal y especialmente para computadoras que no son potentes. Su monitor para el escaneo de virus en tiempo real utiliza muy pocos recursos. Por ser la versin gratuita, hay muchas caractersticas que desearan tener los expertos que no estn, desde consultas online las 24 horas y otras herramientas que mejoran la deteccin. Igualmente para uso personal es altamente recomendado. Caractersticas: Escaneo rpido Buena capacidad de actualizacin. Mnimo consumo de recursos del sistema. Gran nmero de herramientas. Versin gratuita personal (no uso comercial)

10. Que consideraciones al entorno ofimtico se encuentra en la LOPD? La LOPD, establece una serie de principios y derechos de los ciudadanos en relacin con sus datos de carcter personal incluido archivos automatizados. Los afectados que sufran daos o lesin de sus bienes o derechos como consecuencia del incumplimiento de lo dispuesto en esta normativa, pueden reclamar indemnizacin ante los tribunales de justicia.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

CAPITULO 8
AUDITORIA DE LA DIRECCION Cuestiones de Repaso: 1. Descrbanse las actividades a realizar por un auditor para evaluar un plan estratgico de sistemas de informacin. Durante el proceso de planificacin se presta atencin al plan estratgico de la empresa, es establecen mecanismos de sincronizacin entre sus grandes hitos y los proyectos informticos asociados y se tiene en cuenta aspectos como cambios organizativos, legislacin, evolucin tecnolgica, organizacin informtica, etc. Los impactos deben estar recogidos en el plan estratgico de sistemas de informacin. Las tareas y actividades presentes en el plan tienen la correspondiente y adecuada asignacin de recursos para poder llevarlos a cabo. 1. Lectura de actas de sesiones del Comit de Informtica dedicadas a la planificacin estratgica. 2. Identificacin y lectura de los documentos intermedios prescritos por la metodologa de planificacin 3. Lectura y compresin detallada del plan e identificacin e identificacin de las consideraciones incluidas en el mismo sobre los objetivos empresariales, cambios organizativos, evolucin tecnolgica, plazos y niveles de recursos. 4. Realizacin de entrevistas al Director de Informtica y a otros miembros del Comit de Informtica participantes en el proceso de elaboracin del Plan Estratgico. Realizacin de entrevistas a representantes de los usuarios con el fin de evaluar su grado de participacin y sintona con el contenido del Plan. 5. Identificacin y compresin de mecanismos existentes de seguimiento y actualizacin del plan y de su relacin con la evolucin de la empresa. 2. Descrbanse las funciones de un comit de informtica. Elabrese una lista con las funciones empresariales que deberan estar representadas en dicho comit. Que objetivo tiene para los usuarios su presencia en el comit? Funciones del Comit de Informtica: Aprobacin del plan estratgico de sistemas informticos Aprobacin de las grandes inversiones en tecnologas de la informacin
6

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Fijacin de prioridades entre los grandes proyectos informticos Vehculo de discusin entre la informtica y sus usuarios Vigila y realiza el seguimiento de la actividad del departamento de informtica.

Lista de las funciones empresariales que deberan estar representadas en dicho comit: Director de Informtica Todas las grandes reas de la empresa deben estar representadas en el comit El director de auditoria interna Otros miembros de la organizacin como miembros temporales cuando hayan asuntos que les conciernan Representante de los usuarios

Objetivo de la presencia de los usuarios en el Comit? Verificar si el Comit cumple con las funciones encomendadas; y, que en los acuerdos son tomados correctamente y los puntos de vista de los representantes de los usuarios son tomados en cuenta. 3. Descrbanse las ventajas de tener procedimientos. Elabrese un guin de lo que podran ser procedimientos de: a) diseo de sistemas, b) programacin. Descrbanse las ventajas de tener procedimientos: Los procedimientos son: Planificar Organizar Coordinar Controlar El poder planificar permite asegurar el lineamiento de las acciones de la empresa con los objetivos de la misma, plasmar un plan estratgico a largo plazo, la organizacin y coordinacin sirve para estructurar los recursos, los flujos de informacin y los controles que permitan alcanzar los objetivos marcados durante la planificacin; y, el control, le permite a la Direccin informtica supervisar y ejecutar un seguimiento permanente de las actividades del Departamento Informtico evalundolo y analizndolo peridicamente. Guin de procedimientos de: a) diseo de sistemas
7

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Planificacin: Las polticas del departamento de diseo de sistemas, estarn basados en los objetivos trazados por la empresa es identificar claramente la naturaleza y el alcance del departamento donde para cada trabajo se presentar un proyecto viable y un Estudio de Viabilidad. Organizar y Coordinar: El comit de informtica deber aprobar el plan estratgico del departamento que ha sido presentado a la Direccin de Sistemas de la empresa. El documento o planificado para cualquier desarrollo informtico se llamar Especificaciones del Diseo del Sistema y debe ser aprobado por la gerencia y los usuarios. Se asegurar la calidad del proceso del producto que se disee en Dep. de diseo de Sistemas, se gestionara al mejor personal capacitado, dentro de los parmetros econmicos de la empresa y se tomara siempre en consideracin el requerimiento de los Usuarios. Controlar: La Direccin de sistemas, controlara y efectuar un seguimiento permanente de toda actividad del Departamento de diseo, se ha de vigilar el cumplimiento de los planes estratgicos, operativos y los proyectos que se desarrollan, la ejecucin del presupuesto y la evolucin de las peticiones de usuarios pendientes, el cumplimento de los costos, etc. En cada caso se cumplirn las recomendaciones de auditoria. b) programacin Planificar (Requerimientos) Esta fase es fundamental para que la estrategia informtica encaje dentro de las metas de la empresa, ya que en ella se cumplen las funciones del modelaje del negocio y planificacin de programas; esto con el fin de proyectar las estrategias del negocio y determinar de esta forma los requerimientos de informacin. Organizar y Coordinar (Anlisis / Diseo) El objetivo de esta fase es desarrollar el diseo arquitectnico de los programas, utilizando los requerimientos obtenidos en la primera fase. En el diseo arquitectnico se engloban dos componentes: los casos de uso, los lenguajes de programacin, las bases de datos, etc., los cuales sern analizados y diseados desde una perspectiva conceptual a una fsica Control (Pruebas)

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Esta fase, da inicio luego de que las diferentes unidades de diseo han sido desarrolladas y probadas por separado. Durante su desarrollo, el programa se emplea de forma experimental para asegurar que el software no falle, es decir que funcione de acuerdo a sus especificaciones y a la manera que los usuarios esperan que lo haga, y de esta forma poder detectar cualquier anomala, antes de que el programa sea puesto en marcha y se dependa de l. Para evaluar el desenvolvimiento del programa, en esta fase se llevan a cabo varias pruebas para controlar el sistema y que sea un entregable aceptable y sin fallas. Produccin / Mantenimiento Una vez que un programa pasa a formar parte de la vida diaria de la empresa, cada procedimiento y cada estructura de datos se convierte en una pieza del negocio que, como tal, deber funcionar en forma constante, exacta y confiable. La operacin del negocio ahora depender del funcionamiento del sistema, por lo que las tareas de mantenimiento cobran vital importancia. Durante la fase de mantenimiento, se ponen en prctica todas las polticas y los procedimientos destinados a garantizar la operacin continan de los de los sistemas y a asegurar su uso efectivo, con el fin, de que stos se constituyan en una verdadera herramienta de apoyo al logro de los objetivos estratgicos de la empresa

4. Que evidencias deber buscar el auditor para poder evaluar si las necesidades de los usuarios son tenidas en cuenta adecuadamente? Deber buscar el grado de atencin que se ha dado y si se ha plasmado dentro del Plan Estratgico a las necesidades de los usuarios. 5. Identifquese las actividades incompatibles desde el punto de vista de control de un departamento de Informtica. Raznese. Los puntos incompatibles seria que no existiese mecanismos de controles a nivel de estndares de rendimientos con los que comprara las diversas tareas. Sera incompatible adems que no existiesen evaluaciones peridicas de los procesos y presupuesta iones, otro punto seria no tener planes, proyectos y presupuesto de aos anteriores y del actual para comprobar que son controlados, que se analizan las desviaciones y que se toman medidas correctivas de ser necesario.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

6. Que ventajas de control aporta la existencia de la funcin de aseguramiento de la calidad? Permite el control de la calidad de los servicios informticos Da particular importancia al cumplimiento de la metodologa del ciclo de vida de los sistemas de informacin, de los procedimientos que gobiernan la explotacin del computador y de la investigacin de la calidad de los datos que se envan a los usuarios. 7. Descrbanse los objetivos de control a ser evaluados por el auditor en el apartado de gestin de recursos humanos. La seleccin del personal se basa en criterios objetivos y tiene en cuenta la formacin, experiencia y niveles de responsabilidad anteriores. El rendimiento de cada empleado se avala regularmente en base a estndares establecidos y responsabilidades especficas del puesto de trabajo. Existen procesos para determinar las necesidades de formacin de los empleados en base a su experiencia, puestos de trabajo, responsabilidad y desarrollo futuro personal y tecnolgico de la instalacin. Se planifica la cobertura ordenada de estas necesidades y se lleva a la prctica. Existen procesos para la promocin del personal que tienen en cuenta su desempeo profesional Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalizacin de los contratos laborales no afectan a los controles internos y a la seguridad informtica. 8. Que tareas debe realizar un auditor para evaluar el plan de formacin del departamento de informtica? Como puede juzgar si dicho plan es acorde con los objetivos de la empresa? El principal es el econmico, ya que los costos de implementar un departamento de informantica requiere de inversiones hasta cierto punto elevadas. Cabe mencionar que el auditor deber constatar la existencia del presupuesto y aprobarlo y que dicho presupuesto este en lnea con las polticas de la empresa y con los planes estratgicos y operativos del propio departamento. El auditor deber seguir bsicamente las directrices y programas de trabajo de auditoria para el proceso de implementar el departamento de informtica siguiendo la lnea empresarial.

10

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

9. Relacinense las actividades a realizar por el auditor para la evaluacin del precio de transferencia de reparto de costes entre el departamento de informtica y los usuarios. Realizacin de entrevistas a la direccin de los departamentos usuarios para evaluar su grado de compresin de los componentes de costes utilizados en la frmula de clculo del precio de trasferencia. Anlisis de los componentes y criterios con los que est calculando el precio de transferencia para evaluar su ecuanimidad y consistencia, y acudir al mercado externo y a ofertas de centros de proceso de datos independientes para compararlas con dichos constes internos Conocimiento de los diversos sistemas existentes en el Departamento para recoger y registrar la actividad del mismo (consumo de recursos mquina, nmero de lneas impresas, horas de programacin, etc.) para procesarla y obtener la informacin de costes y para presentarla de una manera apropiada. 10. Cuales son la reas legales cuyo cumplimiento es el ms importante de auditar? El auditor debe empaparse de la normativa que rige rea informtica Evaluar el cumplimiento de las normas en especial de los aspectos crticos Si desconoce completamente del aspecto legal debe buscar asesora legal en la empresa.

11