Profesional Desarrollo de proyecto

Nombre: Daniela Trevio Villarreal Nombre del curso: Proyecto integrador de administracin de tecnolog as de informacin Mdulo: 1 &Planeacion de la a$ditoria de sistemas de informacion'( 2 &Desarrollo e implementacin de la a$ditoria a sistemas de informacin'( ) &*nfraestr$ct$ra t+cnica y operativa de tecnolog as de informacin' 4 & ",ec$cin de $na a$ditoria de sistemas de informacin' Fecha: 0. de agosto de 201) Bibliografa:
/

Matrcula: 2682104 Nombre del profesor: !siel "rnesto #$intero %orrea

Actividad: Proyecto -inal

0regg1 2( 3200.4( Exam Prep CISA: Certified Information Systems Auditor( "stados 5nidos: #$e P$6lis7ing(

Tamayo1 8( 320014( Auditoria de sistemas una visin prctica( %olom6ia: 5niv( 9acional de %olom6ia

Objetivo: / / / / / 8plicar los conocimientos :$e se ad:$irieron atraves de la materia( Definir los lineamientos 6;sicos de la a$ditoria en $na empresa( Disting$ir el papel del a$ditor en $na a$ditoria de sistemas de informacin( Definir los diferentes componentes para :$e $na a$ditoria sea e<itosa( =evisar la correcta implementacin de $na a$ditoria(

Introduccin: 5na a$ditoria es $na 6>s:$eda constante de ;reas de oport$nidad dentro de la organi?acin1 sirve para conocer las oport$nidades

Profesional Desarrollo de proyecto

:$e ay$den a me,orar los procesos1 as como para c$mplir con ciertas reg$laciones o est;ndares( @a a$ditoria de sistemas de informacin es la parte de $na a$ditoria interna :$e se encarga de llevar a ca6o la eval$acin de normas1 controles y procedimientos :$e se tienen esta6lecidos en la empresa para :$e esta logre confia6ilidad y seg$ridad de la informacin :$e se procesa dentro de la misma empresa( "sta a$ditoria eval>a los procesos1 tareas1 controles1 sistemas y procedimientos de la organi?acin en el ;rea de inform;tica y procesamiento de informacin( 9o solo a6arca el ;rea de los e:$ipos de cmp$to sino :$e tam6i+n eval>a los sistemas de informacin desde s$s entradas1 arc7ivos1 seg$ridad y o6tencin de informacin( "n este proyecto final se presenta el caso de la empresa &Te Prestamos A(8(' :$e nos pide :$e realicemos $na a$ditoria de sistemas de informacin en s$ empresa( esarrollo de pro!ecto: 1( "laneacin de la auditora( Ae llevaran a ca6o los sig$ientes p$ntos: / =ecolectar informacin necesaria acerca de la empresa 3caracter sticas generales de la empresa1 descripcin de los rec$rsos inform;ticos relacionados por ;reas1 tanto a nivel softBare como a nivel 7ardBare1 estr$ct$ra organi?acional4 "ntrevista con el personal Definicin de o6,etivos de la a$ditoria Ae definen las ;reas a a$ditar Ae desarrollara el es:$ema de tra6a,o donde se define el tiempo1 costo y el personal :$e estar; presente en la a$ditoria( Ae definir; el alcance de la a$ditoria de ac$erdo a las condiciones :$e se presentan en el momento y a las normas con las :$e se rige act$almente la empresa( Ae investigaran los procesos1 pol ticas y normas :$e lleva a ca6o la empresa y se definir; si estos son los necesarios para ella1 sino se reali?ara $n est$dio en el :$e se defina :$+ tipo de procesos1 pol ticas y normas son los me,ores para la empresa(

/ / / / / /

#$ %&u' son los documentos operacionales( "stos doc$mentos son de s$ma importancia ya :$e atraves de ellos se 6asara la a$ditoria y se f$ndamentaran todos los 7alla?gos o6tenidos(

Profesional Desarrollo de proyecto

@os doc$mentos operacionales nos ay$dan a llevar la direccin de la a$ditoria1 son c$atro los m;s importantes y se definen a contin$acin: Pol ticas: son los doc$mentos de m;s alto nivel dentro de la empresa son firmados por $na persona de alto nivel dentro de ella 3presidente1 vicepresidente1 %"!4( "n las pol ticas se proveen +nfasis a los o6,etivos vitales de la empresa as como la direccin :$e tomara la misma( "st;ndares: los est;ndares primero tienen :$e ser apro6ados por la administracin1 desp$+s de s$ apro6acin s$ car;cter es o6ligatorio dentro de la empresa( Aon $tili?ados como 6ase en las a$ditorias para verificar :$e los procesos sean reali?ados de ac$erdo a lo esta6lecido en la empresa( @ neas: s$ propsito principal es proveer informacin :$e ay$de a tomar decisiones acerca de las acciones :$e afecten directamente al c$mplimiento de los o6,etivos( A$ $so es discrecional( Procedimientos: nos dan instr$cciones paso a paso para reali?ar acciones deseadas1 proveen soporte para el c$mplimiento de los est;ndares( A$ c$mplimiento es o6ligatorio( )$ %*on necesarios los est+ndares en sistemas de informacin( Ai1 sin ellos la a$ditor a no tendr a sentido alg$no( Aon re:$eridos para alcan?ar las responsa6ilidades profesionales esta6lecidas en el cdigo de +tica de $n a$ditor1 y tam6i+n 6rindan com$nicacin entre los departamentos :$e est;n invol$crados en la a$ditor a( ,$ %-mo demostrar+s tus halla.gos( %&u' tipo de informacin recopilar+s( Todos los 7alla?gos de6er;n de ser doc$mentados1 as como las actividades :$e se reali?aron para encontrarlos( @a doc$mentacin entregada incl$ir; las notas de tra6a,o del a$ditor y la evidencia :$e se $tili? para reali?ar la a$ditoria( Para demostrar :$e los 7alla?gos son confia6les es relacionarlos a $n p$nto espec fico de $n est;ndar de la empresa( @a informacin :$e se recopilara ser; evidencias directas ya :$e ellas pr$e6an la e<istencia de 7ec7os y es $na informacin :$e n$nca 7a sido alterada(

/$ %0a! alg1n escrito en el 2ue se estable.can las responsabilidades de las partes( "n la carta a$ditoria se esta6lecer;n las responsa6ilidades dentro de la organi?acin1 s$s o6,etivos y la delegacin de a$toridad dentro de la

Profesional Desarrollo de proyecto

a$ditoria( C;sicamente en esta carta se especifican la responsa6ilidad1 a$toridad y la rendicin de c$entas por parte del a$ditor( 3$ %-u+l sera la estrategia de la auditora( / / / / / / Tener 6ien definidos los o6,etivos de la a$ditoria %ontar con el e:$ipo de persona adec$ado para reali?ar la a$ditoria Aolicitar doc$mentos a la empresa para verificar la informacin de la misma1 tam6i+n para darnos c$enta de los riesgos y las oport$nidades con las :$e c$enta( Desarrollar $na agenda en la :$e se esta6le?can el transc$rso de las pr$e6as a cada ;rea1 esta agenda ser; para el a$ditor y se entregara $na copia tam6i+n a los directivos( Doc$mentar todos los 7alla?gos encontrados1 as como las tareas y doc$mentos :$e se reali?an y $tili?an a trav+s de la a$ditoria( 2antener $na 6$ena com$nicacin con los directivos para irles informando so6re los avances(

4$ %-u+l es tu rol como auditor en las fases de desarrollo de sistemas de informacin( / / / / / *mplementar los procesos de calidad dentro de la organi?acin( "val$ar los riesgos y oport$nidades de la empresa( =eali?ar eval$aciones o6,etivas y compartir ideas para me,orar los procesos( A$gerir a los directivos me,ores formas para red$cir los gastos e incrementar los 6eneficios con la a$ditoria( Proporcionar $n servicio competente de a$ditoria(

5$ %-mo se administraran los recursos( Ae 7ar a mediante el A@8 3Aervice @evel 8greement4 ya :$e estos son medios contract$ales para ay$dar al departamento de sistemas de informacin a administrar los rec$rsos de informacin 6a,o el control de $n proveedor1 estip$lan y comprometen al proveedor a $n nivel m nimo de servicio y opciones de servicio(

6esultados: 7$ 8erificar los mecanismos de seguridad de informacin$

Profesional Desarrollo de proyecto

"l >nico mecanismo de seg$ridad con el :$e c$enta la empresa es :$e los empleados c$entan con llave para entrar a los departamentos1 aparte de eso no tienen alg>n otro mecanismo( Aer a necesario :$e se implementaran contraseas para ingresar a los e:$ipos de cmp$to as como para la red interna de la empresa(

#$ 6evisar el plan de continuidad de la empresa$ A$ plan de contin$idad se 6asa en 7acer $na copia de seg$ridad mens$al acerca de la informacin de s$s procesos por lo :$e es $n plan de contin$idad 6astante po6re( @o :$e se recomienda es :$e se ela6ora desde cero $n n$evo plan de contin$idad de la empresa para :$e se prote,an los rec$rsos e<istentes y donde se agreg$e $n an;lisis de riesgo y el an;lisis de impacto a la empresa1 con esto reali?ado de la manera correcta la empresa podr; prevenir riesgos y detectar amena?as m;s a tiempo( )$ Identificar los riesgos de la informacin$ / / / -$ga de datos de6ido al $so de contraseas en las redes internas y e:$ipos de cmp$to( Vir$s *ntercepcin de l neas

,$ 9stablecer el objetivo de la auditora ! las pruebas 2ue reali.ar+s$ 8 contin$acin se presenta los o6,etivos a c$mplir con la a$ditoria as como las pr$e6as para cada $no de ellos( / =eestr$ct$rar el plan de contin$idad de negocio( @a pr$e6a de c$mplimiento nos ay$dar a a revisar la presencia o la a$sencia de este tipo de doc$mentos dentro de la organi?acin( "l plan de contin$idad en esta empresa no est; m$y 6ien esta6lecido ya :$e simplemente est;n 7aciendo $na copia de seg$ridad de s$ informacin( =estringir el $so de las comp$tadoras y esta6lecer contraseas( Dacer $na red privada para la empresa1 para :$e solo los empleados p$eden tener acceso a ella y no c$al:$ier persona(

/ /

/$ "resentarle al cliente 2u' herramientas -AA: podr+s utili.ar$

Profesional Desarrollo de proyecto

/ /

Pr$e6as de seg$ridad en las contraseas ya todos los $s$arios p$eden ingresar a las comp$tadoras ya :$e no tienen contrasea( "sta 7erramienta seria empleada en todas las c$entas de acceso a $s$arios( Derramientas para eval$acin de servidores: como s$ red interna es p$6lica tienen m$c7as amena?as ya :$e c$al:$ier persona podr a tratar de ingresar a s$ red por lo mismo :$e no tiene nada de seg$ridad( "sta 7erramienta nos permitir; verificar la config$racin del sistema y eval$ar la v$lnera6ilidad del mismo1 esta eval$acin se tiene :$e reali?ar ya :$e como se mencion antes no se tiene ning>n tipo de seg$ridad y el sistema p$ede s$frir de riesgos a ca$sa de eso( Derramienta de mapeo y rastreo: para verificar :$e se 7ace con la informacin :$e se manda dentro de los mismos $s$arios internos de la empresa( "sta 7erramienta nos dice 7acia donde van y 7asta donde llegan los datos enviados(

3$ "resentar tus halla.gos a la administracin del cliente$ / @a empresa no c$enta con la seg$ridad s$ficiente respecto al $so de comp$tadoras( %on la a$ditoria se 6$scara :$e todas las comp$tadoras tenga $na contrasea1 no todos los empleados tendr;n acceso a ellas1 se reali?ara $na enc$esta para ver en :$+ ;rea se necesitan m;s los e:$ipos1 desp$+s de esto se reali?ara c$entas de administrador e invitado para determinar a :$e tienen acceso los $s$arios1 ya :$e no todos podr;n vis$ali?ar la misma informacin( Ae implementan accesos lgicos para mane,ar cmo los $s$arios y los sistemas se com$nican e interact>an con otros sistemas y rec$rsos( @a red interna de la empresa se reconstr$ir; ya :$e no p$ede ser interna por :$e esto representa $na gran entrada de amena?as a la empresa( Ae verifica c$enta con controles como fireBalls1 segregacin de tr;fico o *DA( Todo esto para c$idar la informacin :$e se comparte en la red1 ya :$e como est; a6ierta 7ay m;s pro6a6ilidad de alg>n ata:$e y p$ede ser s$stra da(

-onclusin: atraves de la reali?acin de este proyecto me p$de dar c$enta del rol :$e toma el a$ditor en $na a$ditoria de sistemas de informacin( @a a$ditoria de6e de reali?arse de la me,or manera y contando con el me,or e:$ipo de tra6a,o ya :$e la a$ditoria de sistemas a6arca la revisin y eval$acin de los aspectos de los sistemas de procesamiento de informacin y estos son de s$ma importancia para la empresa(