Upload
calipaul
View
209
Download
1
Embed Size (px)
DESCRIPTION
Adquisición e implementación
Citation preview
Universidad central del Ecuador
Facultad de Ciencias Administrativas
Escuela de Contabilidad y Auditoría
Tema: ADQUISICIÓN E IMPLEMENTACIÓN - DOMINIO
Materia: Auditoría de Sistemas
Informáticos
Nombre: Edwin Paúl Cali Lincango
1. Identificación de Soluciones Automatizadas
2. Adquisición y Mantenimiento del Software Aplicado
3. Adquisición y Mantenimiento de la infraestructura tecnológica
4. Desarrollo y Mantenimiento de Procesos.
5. Instalación y Aceptación de los Sistemas
6. Administración de los Cambios
1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS
Dirección de
Sistemas
Visión
Misión
Planes,
proyectos y
programas
Políticas
Prioridades
Áreas
usuarias
Sistema
Gerencial
Requerimie
ntos
Requerimie
ntos/objetiv
os
estratégico
Aplicacion
es
(Software)
Área
Usuaria
Objetivo
1.1. Definición de requerimientos de información para poder aprobar un proyecto de desarrollo.
1.2. Estudio de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos para el desarrollo del proyecto.
1.3 Arquitectura de información para tener en consideración el modelo de datos al definir soluciones y analizar la factibilidad de las mismas
1.4 Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los beneficios.
1.5 Pistas de auditoria Proporcionar la capacidad de proteger datos sensitivos (ej. Identificación de usuarios contra divulgación o mal uso) . Ejemplo: campos que no se modifiquen creando campos adicionales.
1.6 Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado.
1.7 Aceptación de instalaciones y tecnología a través del contrato con el Proveedor donde se acuerda un plan de aceptación para las instalaciones y tecnología especifica a ser proporcionada
Asegurar el mejor enfoque para cumplir con los requerimientos del usuario con un
análisis de las oportunidades comparadas con los requerimientos de los usuarios
para lo cual se debe observar:
1.5.1. PISTAS DE AUDITORIA-OBJETIVOS DE
PROTECCIÓN
Objetivos de protección y seguridad
Responsabilidad individual. Seguimiento secuencial de las acciones del usuario.
Reconstrucción de eventos. Investigaciones de cómo, cuándo y quién ha realizado las operaciones una vez finalizadas.
Detección de instrucciones. Bien en tiempo real, mediante un examen automático o mediante procesos batch
Identificación de problemas.. Mediante su examen pueden detectarse otra serie de problemas en el sistema.
Pistas de auditoría-Evidencia
Identificador del Usuario Asociado con el evento.
Cuándo ha ocurrido el evento. Fecha y hora en la que se produjo el evento.
Identificador de host anfitrión que genera el registro.
Tipo de Evento En el Sistema; Ejemplo: Intentos fallidos de autenticación de usuario, cambios de perfiles de seguridad de usuarios o de aplicaciones. En las Aplicaciones; Ejemplo: Registro modificado, información actual e información anterior. y resultado del evento (éxito o fallo).
1.5.2 PISTAS DE AUDITORIA–EVOLUCIÓN DEL RIESGO- ERRORES
POTENCIALES EN TECNOLOGÍAS INFORMÁTICAS
Prevención
Detección
Represión
Evaluación
Corrección
Errores en la integridad de la
información
• Datos en blanco
• Datos ilegibles
• Problemas de trascripción
• Error de cálculo en medidas
indirectas
• Registro de valores imposible
• Negligencia
• Falta de aleatoriedad
• Violentar la secuencia establecida
para recolección
Dr.. Carlos Escobar P, Mgs
1. Prevención
Materialidad
2. Detección -
síntomas
3. Diagnóstico
5. Evaluación
4. Corrección
Administración del riesgo
•Actuar sobre las causas
•Técnicas y políticas de control involucrados
•Empoderar a las actores
•Crear valores y actitudes
Acciones para
evitarlos
S
i
s
t
e
m
a
s
C
o
n
t
/
C
I
n
t
e
r
n
oRiesgo
Predicción
1.5.3 PISTAS DE AUDITORIA-EVOLUCIÓN Y ADMINISTRACION DEL
RIESGOS
1.5.4 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS - PROCESO
Si se conectan
todos los
computadores
dentro de un
mismo edificio
Si están
instalados en
edificios
diferentes
1.5.4.1 POLITICAS PARA SISTEMAS DISTRIBUIDOS
b. Criptográfica
c. Integridad y Confidencialidad
de datos
a. Administración y control de
accesosd. Disponibilidad
e. No discrecional
f. Dependientes y por defecto
a. TÉCNICA CIFRADO DE INFORMACIÓN
Técnicas de cifrado de claves para garantizar la confidencialidad de la información
en sistemas distribuidos
cifrado
Cifrado de la información
b. TÉCNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD
Autenticación: Identificar a los usuarios que inicien sesiones en sistema o la aplicación, usada para verificar la identidad del usuario
Autorización: Una vez autenticado el usuario hay que comprobar si tiene los privilegios necesarios para realizar la acción que ha solicitado
Integridad: Garantizar que los mensajes sean auténticos y no se alteren.
Confidencialidad; Ocultar los datos frente a accesos no autorizados y asegurar que la información transmitida no ha sido interceptada
Auditoría: Seguimiento de entidades que han accedido al sistema identificando el medio. La auditoría no proporciona protección, pero es muy útil en el seguimiento de la intrusión una vez que ha ocurrido.
c. TÉCNICAS DE AUTENTICACIÓN
TÉCNICAS DE AUTENTICACIÓN
Son habituales los sistemas de identificación mediante tarjetas, los cajeros automáticos de los
bancos. El usuario debe insertar primero la tarjeta donde está codificada la
información de su cuenta, y luego introducir una palabra
clave o un número de identificación personal que
sirve de comprobación adicional
Los sistemas de autenticación en los
entornos de las redes de área local suelen ir
asociados a los procedimientos de inicio de sesión.
Mejora de la
calidad
Tiempo
Detectar defectos Prevenir defectos Mejora continua
Ges
tió
n d
e la
cali
da
d
•
Objetivo. Proporcionar funciones automatizadas que soporten efectivamente al negocio
con declaraciones específicas sobre requerimientos funcionales y operacionales y una
implementación estructurada fundamentada en:
2. ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO
3. ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTURA
TECNOLÓGICA- PROCESO
Objetivo. Proporcionar las
plataformas apropiadas para
soportar aplicaciones de
negocios
Evaluación de tecnología; para
identificar el impacto del nuevo hardware o software sobre el
rendimiento del sistema general.
Mantenimiento preventivo; del hardware con el
objeto de reducir la frecuencia y el
impacto de fallas de rendimiento.
Seguridad del software de
sistema; instalación y mantenimiento
para no arriesgar la seguridad de los
datos y programas ya almacenados en
el mismo.
4. DESARROLLO YMANTENIMIENTO DE PROCESOS -
PROCESOObjetivo. Asegurar el uso apropiado de las aplicaciones y de las
soluciones tecnológicas establecidas.
Manuales de procedimientos de
usuarios y controles
Manuales de Operaciones y controles
Materiales de entrenamiento
Levantamiento de procesos
Propósito
5. INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS - PROCESO
.
• Capacitación del personal; de acuerdo al plan de entrenamiento definido, la arquitectura física y plataforma lógica a implementarse.Porejemplo en la plataforma SQLServer u Oracle
.• Pruebas específicas; (cambios, desempeño, aceptación
final, operacional) con el objeto de obtener un producto satisfactorio.
• Revisiones post implementación; con el objeto de reportar si el sistema proporciono los beneficios esperados de la manera mas económica.
• Conversión / carga de datos; de manera que los elementos necesarios del sistema anterior sean convertidos al sistema nuevo.
.
• Validación y acreditación; Que la Gerencia de operaciones y usuarios acepten los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.
6. ADMINISTRACIÓN DE CAMBIOS - PROCESO
Los cambios en las aplicaciones diseñadas
internamente; así como, las
adquiridas a proveedores.
Identificación de cambios
Objetivo. Minimizar la probabilidad de
interrupciones, alteraciones y errores a través de una
eficiencia administración del sistema