lunes, 30 de noviembre de 2015

UNIDAD 3. Interpretación de la información
Concepto de evidencia
La evidencia de auditoría es necesaria para sustentar la opinión y el informe de auditoría, es de naturaleza acumulativa y se obtiene principalmente de la aplicación de procedimientos de auditoría en el transcurso de la misma.
La evidencia de auditoría es la información que obtiene el auditor para extraer conclusiones en las cuales sustenta su opinión, una evidencia se considera competente y suficiente si cumple las características siguientes:
·         Relevante: Cuando ayuda al auditor a llegar a una conclusión respecto a los objetivos específicos de auditoría.
·         Autentica: Cuando es verdadera en todas sus características.
·         Verificable: Es el requisito de la evidencia que permite que dos o más auditores lleguen por separado a las mismas conclusiones, en iguales circunstancias.
·         Neutral: Es requisito que esté libre de prejuicios.

Las irregularidades se pueden clasificar de la siguiente manera:
·         Mayor: incumplimiento total de un requisito establecido en la norma aplicable.
·         Menor: incumplimiento puntual con documentos de la empresa o requisitos de menor importancia de la norma aplicable. 
      


Informe de auditoría informática
Componentes
Identificación del informe: el título deberá identificarse con objeto de distinguirlo de otros informes.
Identificación del cliente: deberá identificarse a los destinatarios y a las personas que efectúen el encargo.
Identificación de la entidad auditada: identificación de la entidad objeto de la auditoría.
Objetivos de la auditoría: declaración de los objetivos de la auditoría para identificar su propósito.
Normativa aplicada y excepciones: identificación de las normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el posible impacto en los resultados de la auditoría.
Alcance de la auditoría: concretar la naturaleza y extensión del trabajo realizado: área organizativa, periodo de auditoría, sistemas de información, etc.
Conclusiones: informe corto de opinión; lógicamente se ha llegado a los resultados y, sobre todo, a la esencia del dictamen, la opinión y los párrafos de salvedades y énfasis, si procede.
Resultados: informe largo y otros informes, es indudable que el límite lo marcan los papeles de trabajo de la auditoría.
Características y tendencias del informe
Objetivo: Describir los hechos sin exagerar ni minimizar las deficiencias observadas. Sus comentarios deben basarse en situaciones concretas y no sobre rumores.
Claro: La redacción debe hacerse de manera que atraiga la atención del lector, expresando las ideas en forma clara, que sea fácilmente comprensible. Debe evitarse el uso de una terminología muy técnica.
Conciso: Ir a los hechos y evitar detalles innecesarios.
Constructivo: La información que se exponga en el informe debe ayudar a la alta dirección y al auditado, de tal manera que permita mejorar los procesos, los registros, así como cumplir o mejorar el sistema de control interno.
Oportuno: Los informes deben emitirse sin retrasos, a fin de que la alta gerencia pueda tomar las decisiones correctivas del problema planteado lo más pronto posible. (COFAE, 2014)

Presentación de conclusiones de la auditoría informática
La presentación de las conclusiones podrá hacerse de la siguiente forma:
1.      Una breve descripción de la situación actual en la cual se reflejan los puntos más importantes.
2.      Una descripción detallada que comprende:
3.      Debe hacerse hincapié en cómo se corregirá el problema o se mejorará una determinada situación, se obtendrán los beneficios, en cuanto tiempo y cuáles son los puntos débiles.
4.      Se debe romper la resistencia a la lectura que tienen algunos ejecutivos por medio de conclusiones concretas.

Concepto de Análisis FODA
El análisis FODA constituye una herramienta muy valiosa para la determinación de la situación de una organización o de un proyecto; las oportunidades constituyen aquellas fuerzas ambientales de carácter externo no controlables por la organización, pero que representan elementos potenciales de crecimiento o mejoría, asimismo las amenazas son lo contrario de lo anterior, y representan la suma de las fuerzas ambientales no controlables por la organización, pero establecen fuerzas o aspectos negativos y problemas potenciales. (Ponce, 2006)
Componentes FODA
Interior
Fortalezas: características o virtudes propias de la organización, producto o servicio que soportan la identidad de ella y facilitan o favorecen el logro de sus objetivos.
Debilidades: características o deficiencias de la organización, producto o servicio que la dañan y constituyen obstáculos internos para lograr sus objetivos.

Exterior
Oportunidades: situaciones o conyunturas del entorno que pueden impulsarla y que contribuyen al logro de sus objetivos.
Amenazas: situaciones u obstáculos que se presentan en el entorno de la organización, producto o servicio, que representa un peligro y pueden impactar negativamente para lograr sus objetivos.








Concepto de ITIL
ITIL (IT Infrastructure Library, biblioteca de infraestructura de TI) hace referencia a un marco que describe un conjunto de mejores prácticas y recomendaciones para la administración de servicios de TI, con un enfoque de administración de procesos. 


ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI.
Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI. 

Referencias
BITCompany. (21 de 02 de 2015). Qué es ITIL: aspectos principales y cursos de capacitación. Recuperado el 28 de 11 de 2015, de http://www.bitcompany.biz/que-es-itil-cursos/#.VlXld78YH-Y
COFAE. (2014). Instituto de Altos Estudios de Control Fiscal y Auditoría de Estado. Recuperado el 28 de 11 de 2015, de Principios Generales sobre Papeles de Trabajo e Informes de Auditoría: http://www.oas.org/juridico/PDFs/mesicic4_ven_inf_aud_int_2014.pdf
Juárez, H. A. (16 de 06 de 2010). Magazcitum. Recuperado el 28 de 11 de 2015, de ITIL: ¿Qué es y para qué sirve?: http://www.magazcitum.com.mx/?p=50#.VlXm-b8YH-Y



Publicadas por a la/s No hay comentarios.:

lunes, 9 de noviembre de 2015

2.6 EVALUACION DE LA RED


Estándar ANSI EIA/TIA 568A y B en Red Local
El cableado estructurado según los estándares TIA / EIA definen la forma de diseñar, construir y administrar un sistema completo de cableado que es estructurado, es quiere decir que el sistema este diseñado en bloques como lo sugieren los estándares, que tienen características de rendimiento, Los bloques se integran de  una manera jerárquica para crear un sistema de comunicación unificado.
Las normas mencionadas también definen el uso de cable de fibra óptica, cable STP y UTP de cables.
Propósitos del estándar TIA/EIA 568-A
·         Establecer un cableado estándar genérico de telecomunicaciones para respaldar un ambiente multiproveedor.
·         Permitir la planeación e instalación de un sistema de cableado estructurado para construcciones comerciales.
·         Establecer un criterio de ejecución y técnico para varias configuraciones de sistemas de cableados.
·         Proteger las inversiones realizadas por el cliente.

Estándar ANSI EIA/TIA 568A y B en Red Inalámbrica

El estándar IEEE 802.11 o WI-FI de IEEE que define el uso de los dos niveles inferiores de la arquitectura OSI:
Capas físicas y capa de enlace de datos
Especificando sus normas de funcionamiento de una WLAN. Los protocolos de la rama 802.x definen la tecnología de redes de área local y redes de área metropolitana

Normas para establecer un site de Telecomunicaciones

Principalmente se le conoce como site de telecomunicaciones al espacio o habitación para albergar el equipo de telecomunicaciones y computo de una organización.
De las diversas normas las que recalcan son:
·         ANSI/TIA/EIA-568-B.1
·         ANSI/TIA/EIA-568-B
·         ANSI/TIA/EIA-606-A-2002. Norma de administración para la infraestructura de telecomunicaciones comerciales
·         ANSI J-STD-607-A. Requerimientos para el aterramiento de telecomunicaciones de edificios comerciales.
·         ISO/IEC 11801. Especifica sistemas de cableado para telecomunicación de multipropósito. Cableado estructurado que es utilizable para un amplio rango de aplicaciones. Cubre tanto cableado de cobre balanceado como cableado de fibra óptica. El estándar fue diseñado para uso comercial que pueden consistir en uno m múltiples edificios.
·         ISO/IEC 118011: sistema de cableado genéricos.
·         NFPA 70: código eléctrico nacional.
·         NFPA 70E Seguridad eléctrica en lugares de trabajo.
·         NFPA 101 código de seguridad humana. Proporciona los requisitos mínimos, para el diseño, la operación y el mantenimiento de edificios y estructuras para la vida humana

Algunas de las recomendaciones para la implementación de un site de telecom son:
·         Selección del Sitio
·         Extinguidores
·         Tamaño: guía para voz y datos, guía para otros equipos.
·         Provisiona miento.
·         Equipos de calefacción, ventilación y aire acondicionado.
·         Tierra física
·         Energía eléctrica
·         Iluminación

Auditoria de la red física y lógica

Pasos para realizar una auditoria física
  • Se debe garantizar que exista:
  •  Áreas de equipo de comunicación con control de acceso.
  • Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.
  • Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella.
  • Prioridad de recuperación del sistema.
  • Control de las líneas telefónicas.

CORROBORAR QUE:
  1. ·         El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
  2. ·         La seguridad física del equipo de comunicaciones sea adecuada.
  3. ·         Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.
  4. ·         Las líneas de comunicación estén fuera de la vista.
  5. ·         Se dé un código a cada línea, en vez de una descripción física de la misma.
  6. ·         Haya procedimientos de protección de cables y las bocas de conexión para evitar pinchazos a la red.
  7. ·         Existan revisiones periódicas de la red buscando pinchazos a la misma.
  8. ·         El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas.
  9. ·         Existan alternativas de respaldo de las comunicaciones.

Referencias:
RIESGOS Y CONTROL INFORMATICO. (s.f.). Obtenido de FASES DE LA AUDITORIA INFORMATICA Y DE SISTEMAS: http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_27_fases_de_la_auditora_informtica_y_de_sistemas.html

Seguridad, L. d. (s.f.). Seguridad Informatica. Obtenido de Esquemas de Seguridad Informatica: http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/ModelosSeg.php
Publicadas por a la/s No hay comentarios.:
2.5 EVALUACION DE HARDWARE Y SOFTWARE


CARACTERÍSTICAS DE HARDWARE Y SOFTWARE PARA TAREAS ESPECÍFICAS

El Software de sistemas es un conjunto de programas que interactúan con el  entre el hardware y el software.

El software es el conjunto de instrucciones que las computadoras emplean para manipular datos. Sin el software, la computadora sería un conjunto de medios sin utilizar.

Sus Componentes:
  •           Procesamiento de texto
  •      Bases de datos
  •      Graficas
  •      Servicios en línea
  •      Programas

Características del Hardware para tareas Específicas

·         Sus Componentes son:
·         
      Teclado
·         Mouse                   
·         CPU
·         Monitor
·         Impresora
·         Memoria ROM
·         Memoria RAM

Consta de:
1.      Evaluación de los Sistemas
2.       Evaluación de los equipos
·         Capacidades
·         Utilización
·         Seguridad y evaluación física y lógica
3.       Evaluación de la Seguridad
4.      La seguridad en la informática

5.      La seguridad lógica 

     Referencias:
     online, p. (2014). Proveedores Online Conexion de Negocios. Obtenido de Blog Proveedores Online: http://proveedoresonline.co/7-caracteristicas-de-un-proveedor-exitoso/
portalcalidad.com. (octubre de 2004). Portad Calidad. Obtenido de Checklist. Lista de verificación: http://www.portalcalidad.com/etiquetas/240-Checklist._Lista_de_verificacion

Publicadas por a la/s No hay comentarios.:
2.3 SELECCIÓN DE PROVEEDORES


CARACTERÍSTICA DE UN PROVEEDOR ADECUADO

Se tiene la idea de que el proveedor es el que busca al cliente, pero en la mayoría de los casos es el cliente el que busca el proveedor.

La calidad de los artículos que suministra el proveedor debe ser con la calidad que el profesional dice, es decir que práctica la filosofía de ISO-9000, que dice lo que hace y hace lo que dice, su prestigio lo asa en este principio.

Respetar la fecha de entrega y las especificaciones
Si el proveedor es un profesional este deberá respetar las fechas de entrega, tanto el lugar como en el tiempo, así como las especificaciones, ya que un cambio de una u otra de las características, lo imposibilitará para ser proveedor de la empresa.
Ofrezca servicios oportunos, acepte cambios imprevistos y de asesoría

Los servicios que ofrece el proveedor varían desde el punto de vista del profesionalismo con que actúan en el mercado:

·         Servicios de preventa
Esto es entre otras, responder inmediatamente a la llamada, dar facilidad de contacto, entrega oportuna  de las cotizaciones y asesoría para las ventas.
·         Servicios durante la venta
Tiempo, entre la recepción del pedido y la producción de los artículos solicitados, puedan hacer cambios para el diseño.
·         Servicios de posventa
Es importante ya que sin el se podría perder ser proveedor de una empresa. Este tipo de servicio es muy fácil de llevar a cabo, puede ser desde el punto de vista de capacitación a los usuarios del producto. 
1. Calidad
Aunque antes de elegir puede comparar las características técnicas, realizar pruebas y hacer todos los análisis necesarios sobre el producto/servicio, el proceso de verificación de certificaciones será un insumo importante para determinar si un proveedor trabaja o no con altos estándares de calidad. 2. Experiencia
Verifique el portafolio del proveedor, su trayectoria y antigüedad en el negocio. En este punto es válido, dependiendo de los recursos con los que cuente su área, realizar una solicitud de referencias con algunos compradores que hayan adquirido productos con ese proveedor.
3. Infraestructura
Dependiendo del sector en el que se encuentre y de lo estratégico que sea el proveedor para su empresa, es completamente válido hacer una visita a las instalaciones para asegurarse que en realidad cumplen las condiciones necesarias y suficientes para satisfacer plenamente los requisitos de su empresa.
4. Capacidad de respuesta
 Analice si el proveedor cuenta con disponibilidad de productos para “atender” su solicitud.
5. Organización y Planeación
No se conforme si su proveedor le entrega productos con altos estándares de calidad. Es fundamental validar su desarrollo en el área logística, de modo que tenga la capacidad de hacerle llegar de manera oportuna todos los productos requeridos.


PROCEDIMIENTO DE SELECCIÓN DEL PROVEEDOR

Lo basaremos en 4 variables, que nos indicaran los factores, causas necesarias para tal selección:
1.      Decisión de selección:
·         Capacidad técnica de ingeniería de producción: calidad de fabricación.
·         Capacidad instalada: Maquinas con que se produce el artículo interesado.
·         Capacidad financiera
·         Capacidad de servicio: el servicio debe ser el que se necesite para respaldar la calidad de lo que produce.
·         Capacidad gerencial: se recurre al aspecto administrativo, si se seleccionará como nuestro proveedor, carece de esta cualidad, puede representar un riesgo.

2.      Características de un buen proveedor
·         Actividades profesionales
·         Compra y venta de productos de calidad a precios aceptables
·         Respetar las fechas de entrega y las especificaciones.
·         Ofrezca servicios oportunos
3.      Evaluación del proveedor
Esta se refleja en los cumplimientos pasados, entregas a tiempo.

Referencias:
Netzahualcóyotl, U. T. (s.f.). Auditoria de Sistemas en TI.
online, p. (2014). Proveedores Online Conexion de Negocios. Obtenido de Blog Proveedores Online: http://proveedoresonline.co/7-caracteristicas-de-un-proveedor-exitoso/

Publicadas por a la/s No hay comentarios.:
2.2 EVALUACION DE LA SEGURIDAD


MODELOS DE SEGURIDAD



Un modelo de seguridad es la presentación formal de una política de seguridad. El modelo debe identificar el conjunto de reglas y prácticas que regulan cómo un sistema maneja, protege y distribuye información delicada.

De acuerdo a López Barrientos & Quezada Reyes, los modelos se clasifican en:
  • Modelo abstracto: se ocupa de las entidades abstractas como sujetos y objetos.
  • Modelo concreto: traduce las entidades abstractas en entidades de un sistema real como procesos y archivos.


Áreas que cubre la auditoria de la seguridad

  • Anti-spyware, antivirus, llaves para protección de software, etc.
  •   Mantener los sistemas de información (sistemas operativos y programas) con las actualizaciones que más impacten en la Seguridad
  • Definir las necesidades de Sistemas de Seguridad para hardware y software
  • Flujo de energía
  • Cableados locales y externos
  • Aplicación de los Sistemas de Seguridad, incluyendo datos y archivos
  • Planificación de los papeles de los Auditores internos y externos
  •  Planificación de programas de contingencia o recuperación de desastre y sus respectivas pruebas (Simulación)
  •  Planificación de Pruebas al Plan de Contingencia con carácter periódico

Fases de la auditoria

Los servicios de auditoría constan de las siguientes fases:

  • ·         Enumeración de redes, topologías y protocolos
  • ·         Verificación del Cumplimiento de los estándares internacionales. ISO, COBIT, etc.
  • ·         Identificación de los sistemas operativos instalados
  • ·         Análisis de servicios y aplicaciones
  • ·         Detección, comprobación y evaluación de vulnerabilidades
  • ·         Medidas específicas de corrección
  • ·         Recomendaciones sobre implantación de medidas preventivas.


EL PLAN DE CONTINGENCIA DE TENER LO SIGUIENTE:
·         Realizar un análisis de riesgos de los sistemas críticos.
·         Establecer un periodo crítico de recuperación.
·         Realizar un análisis de las aplicaciones críticas estableciendo periodos de proceso.
·         Establecer prioridades de proceso por días del año de las aplicaciones y orden de los procesos.
·         Establecer objetivos de recuperación que determine el periodo de tiempo entre la declaración del desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas.
·         Designar entre los distintos tipos existentes en un centro alternativo de proceso de datos.
·         Asegurar la capacidad de las comunicaciones.
·         Asegurar los servicios de bookup.

Técnicas:
·         Observación de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos.
·         Revisión analítica de: documentación, políticas, normas, procedimientos de seguridad física y contratos de seguros.
·         Entrevistas con directivos y personal.

·         Consultas a técnicos y peritos. (Netzahualcóyotl)

    Referencias:
    Koontz, H., & Weihrich, H. (1998). Administración, Una Perspectiva Global (11 ed.). México: Mc Graw Hill.
Labrador, R. M. (Septiembre de 2005). TIPOS DE LICENCIAS DE SOFTWARE. Obtenido de TIPOS DE LICENCIAS DE SOFTWARE: https://www.google.com.mx/#q=tipos+de+licenciamiento+de+software

Publicadas por a la/s No hay comentarios.:
Suscribirse a: Comentarios (Atom)