UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE CIENCIAS ADMINISTRATIVAS ESCUELA DE CONTABILIDAD Y AUDITORIA AUDITORIA DE SISTEMAS INFORMATICOS ADQUISICIÓN E IMPLEMENTACION EVELIN TABANGO CA 9-4 AÑO LECTIVO 2012-2012
UNIVERSIDAD CENTRAL DEL
ECUADORFACULTAD DE CIENCIAS ADMINISTRATIVAS
ESCUELA DE CONTABILIDAD Y AUDITORIA
AUDITORIA DE SISTEMAS INFORMATICOS
ADQUISICIÓN E IMPLEMENTACION
EVELIN TABANGO
CA 9-4
AÑO LECTIVO
2012-2012
AI ADQUISICIÓN E IMPLEMENTACION -DOMINIO
PROCESOS AI1 Identificación de soluciones automatizadas
AI2 Adquisición y mantenimiento del software apropiado
AI3 Adquisición y mantenimiento de la infraestructura tecnológica
AI4 Desarrollo y mantenimiento de Procesos
AI5 Instalación y aceptación de los sistemas
AI6 Administración de los Cambios
AI 1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS
Permite a las organizaciones minimizar el costo para Adquirir e Implementar soluciones,
mientras que al mismo tiempo facilitan el logro de los objetivos del negocio.
La definición de las necesidades
Considera las fuentes alternativas
Realiza una revisión de la factibilidad tecnológica y
económica
Ejecuta un análisis de riesgo
Ejecuta un análisis de costo-beneficio
Concluye con una decisión final de “desarrollar” o “comprar”
AI 1.4 Seguridad con relación costo-beneficio
Controlar que los costos de inversión no superen a los beneficios
AI 1.5 Pistas de auditoria
Proteger a los datos del usuario como pueden se su identificación o evitar que se creen campos adicionales en su registro.
AI 1.6 Contratación de terceros
Busca adquirir productos en buen estado y de calidad
AI 1.7 Aceptación de instalaciones y tecnologías
El patrocinador del negocio tiene la decisión final con respecto a la elección de la solución y al enfoque de adquisición.
AI 5.2 PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCION
Objetivos de protección y Seguridad
Responsabilidad Individual
Seguimiento de las acciones del usuario
Reconstrucción de eventos
Identificar acciones anormales realizadas y a sus autores
Detección de Instrucciones
Realizar un examen en tiempo real o por tramos.
Identificación de Problemas
Para detectar problemas adicionales en el sistema
Pistas de auditoria - Evidencia
Identificador del Usuario
Debe proporcionarse en cada evento
Cuando a ocurrido el evento
Registrado por fecha y hora
Identificador de host
El registro informa de las conexiones realizadas a la red
Tipo de evento
Registrar las acciones realizadas a niveles de capas ya seen el sistema o en las aplicaciones
Para llevar a cabo un examen, revisión o auditoría, se hace necesario, para poder emitir una opinión sobre el trabajo realizado, recopilar la evidencia suficiente y apropiada que sirva e base para sustentar las conclusiones, opiniones y recomendaciones.
Este tipo de prueba tiene una función relevante, que permita tener un mejor criterio a la hora de determinar y esclarecer ciertos hallazgos. Lo que se pretende es dar un nuevo enfoque al uso y aplicación de este tipo de instrumento.
AI5.3 PISTAS DE AUDITORIA- EVOLUCIÓN DEL RIESGO-ERRORES
POTENCIALES EN TECNOLOGIAS INFORMATICAS
• Prevención
Riesgo
• Detección
Incidente Error
• Represión
Represión
• Corrección
Corrección
• Evaluación
Recuperación
Errores Potenciales
Datos Blancos
Datos Ilegibles
Problemas de Transcripción
Error de Cálculos en medidas indirectas
Registro de Valores Imposibles
Negligencias
Falta de aleatoriedad
Violentar la secuencia para recolección
AI5.4 PISTA DE AUDITORIA-EVOLUCIÓN Y ADMINISTRACION
DEL RIESGO
Prevención
Detección -Síntomas
Diagnostico
Corrección
Evaluación
Predicción
- Actuar sobre la causa
- Técnicas y políticas de control involucrados
- Empoderar a los actores
- Crear valores y actitudes
AI5.6 PISTAS DE AUDITORIA –POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS-PROCESO
Políticas para sistemas distribuidos
Existen tres tipos de conexiones que se deben definir estas son LAN(red de área local), WAN(Red
de área amplia), Plataformas de internet.
AI 5.6.1 No Discrecional
AI 5.6.2 Disponibilidad
AI 5.6.3 Administración
y control de acceso
AI 5.6.4 Criptográfica
AI 5.6.5 Integridad y confidencialidad de datos
AI5.6.6 Dependientes y por defecto
AI5.6.2.1 Técnicas de cifrado de la información
• Cifrado de la información
Para cifrara la información se emplea un código que se de
conocimiento del emisor y receptor, actualmente muy
utilizada en sistemas distribuidos para otorgar permisos de
acceso.
AI5.6.2.3.1 Técnicas de integridad y confidencialidad
Autenticación
Se verifica la identidad del usuario que
trata de iniciar sesión a una aplicación
Autorización
Se verifica los permisos de
acceso
Integridad
Verificar integridad de la
información
Confidencialidad
Mostrar la información
solo al personal con el permiso
correspondiente
Y controlar que no se intercepte la información
Auditoria
Permite seguimiento de
la intrusión
AI 5.6.2.3.2 Técnicas de
autenticación
En entornos de red lo mas común es utilizar un passwordpara ingresar a una aplicación determinada.
Controles de acceso massofisticados pueden incluiridentificadores físicos,biológicos o de otra índole.
En los bancos es común unaidentificación de la cuenta y elusuario por medio de tarjetas decrédito
AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Permite a las organizaciones apoyar la operatividad del
negocio de forma apropiada con las aplicaciones
automatizadas correctas.
Este proceso cubre el diseño de las aplicaciones
La inclusión apropiada de controles aplicativos y
requerimientos de seguridad
El desarrollo y configuración de acuerdo a los estándares
AI3 ADQUISICIONY MANTENIMIENTO DE LA
INFRAESTRUCTURA TECNOLOGICA - PROCESO
Las organizaciones
deben contar con
procesos para adquirir,
implementar y
actualizar la
infraestructura
tecnológica
Esto requiere de un
enfoque planeado para
adquirir, mantener y
proteger la
infraestructura de
acuerdo con las
estrategias tecnológicas
convenidas y la
disposición del
ambiente de desarrollo y
pruebas.
Esto garantiza que
exista un soporte
tecnológico continuo
para las aplicaciones del
negocio.
AI3.1 Evaluación de Tecnología
Para identificar como afectara el nuevo hardware y software sobre el sistema en general. Evaluar los costos de complejidad y viabilidad
comercial del proveedor y producto al añadir nueva capacidad técnica.
AI3.2 Mantenimiento preventivo
Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo
con el procedimiento de administración de cambios de la organización.
AI 3.3 Seguridad del software de sistemas
Implementar medidas de control interno, seguridad y auditabilidaddurante la configuración, integración y mantenimiento del hardware y
software para proteger los recursos y garantizar su disponibilidad e integridad.
AI4 DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO
AI4.1 Manuales de procedimiento de usuarios y controles
• Transferencia de conocimiento y habilidad para permitir que los usuarios finales utilicen con efectividad y eficiencia el sistema de aplicación como apoyo a los procesos del
negocio.
AI4.2 Manuales de entrenamiento
• Para que el usuario se familiarice con el uso diario del sistema
AI 3 Manuales de operaciones y controles
Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y de operaciones que entregue, apoyen y mantenga la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos
AI4 Levantamiento de proceso
Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente por la producción de procedimientos de administración, de usuario y operativos, como resultado de la introducción o actualización de sistemas automatizados o de infraestructura
AI 5 INSTALACION Y ACEPTACION DE LOS SISTEMAS - PROCESO
Los nuevos sistemas necesitan estar funcionales unavez que su desarrollo se completa. Esto requierepruebas adecuadas en un ambiente dedicado condatos de prueba relevantes, definir la transición einstrucciones de migración, planear la liberación yla transición en si al ambiente de producción, yrevisar la post-implantación. Esto garantiza que lossistemas operativos estén en línea con lasexpectativas convenidas y con los resultados.
AI 5.1 Capacitación del personal
Entrenar ala personal de los departamentos de usuario afectados y al grupo de operaciones de la función de TI de acuerdo con el plan definido de entrenamiento e implantación y a los materiales asociados, como parte de cada proyecto de sistemas
de la información de desarrollo, implementación o modificación.
AI 5.2 Conversión /Carga de datos
Plan de conversión de datos y migración de infraestructura como parte de los métodos de desarrollo de la organización, incluyendo pistas de auditoria, respaldo
y vuelta atrás.
AI 5.3 Pruebas Especificas
Remediar los errores significativos identificaciones en el proceso de pruebas, habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y
cualquier prueba de regresión necesaria. Siguiendo la evaluación, aprobación promoción a producción.
AI 5.4 Validación y acreditación
Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a operaciones, manteniéndolo en línea con el plan de implantación. Obtener la aprobación de los interesados clave, tales como usuarios, dueño de sistemas y
gerente de operaciones
AI 5.5 Revisión Posterior a la implantación
Establecer procedimientos en línea con los estándares de gestión de cambios organizacionales para requerir una revisión posterior a la implantación como
conjunto de salida en el plan de implementación.
AI 6 ADMINISTRACION DE CAMBIOS- PROCESO
• Todos los cambios, incluyendo el mantenimiento de emergencia y parches,relacionados con la infraestructura y las aplicaciones dentro del ambiente deproducción, deben administrarse formalmente y controladamente. Los cambios(incluyendo procedimientos, procesos, sistemas y parámetros del servicio) sedeben registrar, evaluar y autorizar previo a la implantación y revisar contra losresultados planteados después de la implantación. Esto garantiza la reducción deriesgos que impactan negativamente la estabilidad o integridad del ambiente deproducción.
AI 6.1 Identificación de
Cambio
• Establecer procedimientos de administración de
cambio formales para manejar de manera estándar todas las
solicitudes (incluyendo mantenimiento y
parches) para cambios a aplicaciones,
procedimientos, procesos, parámetros
de sistemas y servicios, y las plataformas fundamentales.
AI6.2 Procedimientos
• . Esta evaluación deberá incluir
categorización y priorización de los
cambios.
AI6.3 Evaluación del impacto que provocaran los
cambios
• Garantizar que todas las
solicitudes de cambio se
evalúen de una estructurada
manera en cuanto a
impactos en el sistema
operacional y su funcionalidad.
AI 6.4 Autorización de Cambios
• Previo a la migración hacia producción, los
interesados correspondientes autorizan los
cambios.
AI 6.5 Manejo de Liberación
• Se siguen procedimientos
formales que garanticen la
aprobación de liberación de
software
AI 6.6 Distribución de Software
• Siempre que se implantan cambios
al sistema, actualizar el
sistema asociado y la documentación
de usuario y procedimientos
correspondientes. Establecer un
proceso de revisión para garantizar la
implantación completa de los
cambios.