jueves, 26 de noviembre de 2015

Interpretación de los resultados de la Auditoría Informática Identificar los tipos de opiniones (favorables, desfavorables, con salvedades, Denegada) Describir los componentes, características y tendencias de un informe).

Los tipos de opinión de un informe de auditoría pueden ser:
      a) Favorable
      b) Con salvedades
      c) Desfavorable

Denegada Cuando el auditor exprese una opinión con salvedades, desfavorable o denegada, deberá justificarlo detalladamente, utilizando párrafos intermedios entre el de alcance y el de opinión.

      Opinión favorable 
      En una opinión favorable, el auditor manifiesta de forma clara y precisa que significa que el auditor está de acuerdo, sin reservas, sobre la presentación y contenido de lo que presenta la empresa.
      Opinión con salvedades
      (llamada también en la jerga de la auditoría como opinión calificada o cualificada), significa que el auditor está de acuerdo con lo que presenta la empresa, pero con ciertas reservas.
      Opinión desfavorable u opinión adversa o negativa
      significa que el auditor está en desacuerdo con lo que la empresa presenta y afirma que éstos no presentan adecuadamente la realidad que la sociedad auditada presento.
      Opinión denegada, o abstención de opinión significa que el auditor no expresa ningún dictamen sobre lo que la empresa presento. Esto no significa que esté en desacuerdo con ellos, significa simplemente que no tiene suficientes elementos de juicio para formarse ninguno de los tres anteriores tipos de opinión


Áreas de Oportunidad – ITIL

FODA
Es un método que sirve para realizar un análisis y resolver problemas, además se puede identificar cuales son los procesos fuertes y débiles que hay en una empresa.

Componentes FODA

 Fortalezas: Son las cosas o procesos que se hacen de una manera adecuada logrando un beneficio para la organización. (objetivos claros y realizables, motivación, seguridad, conocimientos, aceptación, decisión, voluntad) 

Oportunidades: Son situaciones que se presentan dentro de la empresa en las que se puede mejorar. (capacitación a personal, infraestructura, apoyo de otras organizaciones)

Debilidades: Son procesos o situaciones que representa un obstáculo para la organización al llegar al logro de objetivos de la organización. (falta de recursos, falta de motivación, mal manejo de situaciones, desorden, fallas en la capacitación)

Amenazas: Son aspectos del ambiente de la empresa y pueden llegar a afectarla negativamente. (antipatía de personal, malas relaciones, competencia, rivalidad, falta de apoyo y cooperación)


ITIL
Es un enfoque hacia la eficiencia y eficacia en todos los procesos de una empresa. También ayuda a crear un esquema o modelo de trabajo para poner un orden en una empresa
Ventajas 

La entrega de servicios TI se orienta más al cliente y los acuerdos sobre la calidad del servicio.

Se describen mejor los servicios, es un lenguaje más cómodo para el cliente.

Mejor calidad y costo del servicio.
Desventajas
Puede llevar bastante tiempo y esfuerzo.

Algo demasiado ambicioso puede llevar a la frustración en el alcance de los objetivos.

No hay progreso por la falta de comprensión de los procesos.

Estándares

CMMI 
Seria para crear el modelo de madurez en el
desarrollo del Software/Servicio

ITIL
ES para crear un modelo de trabajo dentro de la
organización y para administrar los procesos de
la misma

PMBOK
Sirve como la guía para la gestión del proyecto

Cobit
gestión o administración de actividades de TI


REFERENCIAS:
EUMED. (23 de 11 de 2015). Obtenido de EUMED: http://www.eumed.net/cursecon/libreria/rgl-genaud/1r.htm
http://www.unmsm.edu.pe/ogp/ARCHIVOS/Glosario/inde.htm#46
http://www.auditool.org/blog/auditoria-externa/772-la-evidencia-de-auditoria

 http://wh0s.org/wp-content/uploads/2014/10/itil_v3211.jpg
http://www.grandespymes.com.ar/wp-content/uploads/2015/08/matriz-FODA.png
http://www.labcareconsultora.com/wp-content/uploads/2011/05/audit.png?w=300
Publicado por en No hay comentarios:

Interpretación de la información

EVIDENCIA DE AUDITORÍA

Viene a ser la información que obtiene el auditor para extraer conclusiones en las cuales basar su opinión. La evidencia de auditoría abarca los documentos fuente y los registros contables que sustentan a los estados financieros y la información corroborativa proveniente de otras fuentes.

      Concepto. “La evidencia de auditoría es la información que obtiene el auditor para extraer conclusiones en las cuales sustenta su opinión”

Esta norma de auditoria de general aceptación, es sin duda una de las más importantes relacionadas con el proceso auditor y relativa a trabajo de campo, como quiera que proporciona los elementos necesarios para que el ejercicio de Auditoria sea confiable, consistente, material, productivo y generador de valor agregado a la organización objeto de auditoría, traducido en acciones de mejoramiento y garantía para la empresa y la comunidad.
El resultado de un proceso auditor

conlleva a asumir una serie de responsabilidades que por sí solo posiciona o debilita la imagen de la organización frente a los resultados obtenidos, y son la calidad y suficiencia de la  evidencia la que soporta el actuar igualmente responsable del grupo auditor.

Una evidencia se considera competente y suficiente si cumple las características siguientes:

      Relevante: Cuando ayuda al auditor a llegar a una conclusión respecto a los objetivos específicos de auditoría.
      Autentica: Cuando es verdadera en todas sus características.
      Verificable- Es el requisito de la evidencia que permite que dos o más auditores lleguen por separado a las mismas conclusiones, en iguales circunstancias.
      Neutral: Es requisito que esté libre de prejuicios. Si el asunto bajo estudio es neutral, no debe haber sido diseñado para apoyar intereses especiales.

El auditor debe obtener evidencia mediante la aplicación de pruebas y procedimientos:

      Pruebas de control: Se realizan con el objeto de obtener evidencia sobre la idoneidad del sistema de control interno y contabilidad.
      Pruebas sustantivas: Consiste en examinar las transacciones y la información producida por la entidad bajo examen, aplicando los procedimientos y técnicas de auditoría, con el objeto de validar las afirmaciones y para detectar las distorsiones materiales contenidas en los estados financieros.

TÉCNICAS DE  AUDITORÍA.

      Inspecciones: Comprende la inspección documental y examen físico.
      Documental.Consiste en examinar registros, documentos o activos  tangibles. Proporciona evidencia en la auditoría y confiabilidad de su naturaleza y fuente de las operaciones.
      Examen físico.- Es la técnica de la auditoría mediante el cual el auditor verifica la existencia de los activos tangibles para obtener evidencia en la auditoría con respecto a su inclusión en el activo, pero no necesariamente a su propiedad o valor.

      Observación: Consiste en presenciar un proceso o procedimientos que están siendo realizados por otros; por ejemplo, la observación del auditor del conteo de inventarios por personal de la entidad o el desarrollo de procedimientos de control.
      Indagación mediante entrevista: Consiste en buscar la información adecuada, dentro o fuera de la organización del cliente. Las indagaciones pueden ser por escrito y en forma oral, y debe documentarse.
      Confirmación: Es corroborar la información obtenida en los registros contables. Ejemplo: circular izando a bancos comerciales, cuentas por cobrar de clientes, entre otros, etc. para confirmar los saldos vigentes que aparecen en los estados financieros.
      Cálculo: Consiste en comprobar directamente la exactitud aritmética de los documentos de origen y de los registros contables, o desarrollar cálculos independientes comprobatorios.
      Procedimientos analíticos: Consisten en utilizar los índices y tendencias significativas para determinar la liquidez, posición financiera, capacidad de endeudamiento, rentabilidad y gestión empresarial; así como, las fluctuaciones y relaciones inconsistentes en los componentes del balance general y estado de resultados. A través de esta información se lleva a cabo una adecuada planificación y desarrollo de la auditoría.
      Comprobación: El auditor dedica la mayor parte de la auditoría a los asuntos donde es mayor la posibilidad de error o información equivocada. Un método para determinar estas áreas es la comparación.

Referencias:
https://www.codejobs.biz/www/lib/files/images/df44a1c6f830f32.jpg
http://www.estebanuyarra.com/wp-content/uploads/investigar.jpg
Robyn Medrano . (2013). FODA . 21/11/15, de Blogger Sitio web: http://principiosdefoda.blogspot.mx/2013/03/foda.html


Yesenia Armendariz . (2014). Ventajas y Desventajas Cobit e ITIL . 21/11/15, de Blogger Sitio web: http://estrategiasdegestiondeserviciosdeti.blogspot.mx/2014/03/ventajas-y-desventajas-cobit-e-itil.html



Publicado por en No hay comentarios:

Auditoria y evaluación de una red


Red
Todo debe de estar abajo el estándar ANSI/TIA/EIA-568-A que define un sistema

genérico de alambrado de telecomunicaciones para edificios comerciales que

puedan soportar un ambiente de productos y proveedores múltiples.

El propósito de este estándar es permitir el diseño e instalación del cableado de

telecomunicaciones contando.

Auditoria De La Red

Se debe garantizar que exista:


  • Áreas de equipo de comunicación con control de acceso. 
  • Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.
  • Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella.
  • Prioridad de recuperación del sistema.
  • Control de las líneas telefónicas.


Comprobando que:

El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso

limitado.

La seguridad física del equipo de comunicaciones sea adecuada.

Se tomen medidas para separar las actividades de los electricistas y de cableado

de líneas telefónicas.

Las líneas de comunicación estén fuera de la vista.

Se dé un código a cada línea, en vez de una descripción física de la misma.

Haya procedimientos de protección de los cables y las bocas de conexión para

evitar pinchazos a la red.

Existan revisiones periódicas de la red buscando pinchazos a la misma.

El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones

específicas.

Existan alternativas de respaldo de las comunicaciones.

Con respecto a las líneas telefónicas: No debe darse el número como público y

tenerlas configuradas con retro llamada, código de conexión o interruptores.


Auditoria de redes
Auditoria de Redes Es una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información. Metodología Identificar: – Estructura Física (Hardware, Topología) – Estructura Lógica (Software, Aplicaciones) La identificación se lleva a cabo en: Equipos, Red, Intranet, Extranet
  1. Etapas de la auditoria de Redes 
    •  Análisis de la Vulnerabilidad
    • Estrategia de Saneamiento.
    •  Plan de Contención ante posibles incidentes 
    •  Seguimiento Continuo del desempeño del Sistema.
  2. Análisis de Vulnerabilidad: Éste es sin duda el punto más crítico de toda la Auditoría, ya que de él dependerá directamente el curso de acción a tomar en las siguientes etapas y el éxito de éstas. Estrategia de Saneamiento Se Identifican las "brechas" en la red y se procede a "parchearlas", ya sea actualizando el software afectado, reconfigurándolo de una manera mejor o removiéndolo para remplazarlo por otro software similar.
  3.  Plan de Contención: Consta de elaborar un "Plan B", que prevea un incidente aún después de tomadas las medidas de seguridad, y que dé respuesta a posibles eventualidades. Seguimiento Continuo del desempeño del Sistema. La seguridad no es un producto, es un proceso. Constantemente surgen nuevos fallos de seguridad, nuevos virus, nuevas herramientas que facilitan la intrusión en sistemas, como también nuevas y más efectivas tecnologías para solucionar estos y otros problemas
  4. Auditoria de Red Física 
    • Áreas de equipo de comunicación con control de acceso. 
    • Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos. 
    • Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella. 
    • Prioridad de recuperación del sistema. 
    • Control de las líneas telefónicas.
  5.  Equipos de comunicaciones deben estar en un lugar cerrado y con acceso limitado. 
    • Seguridad física del equipo sea adecuada. 
    • Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas. • Las líneas de comunicación estén fuera de la vista. 
    •  Se dé un código a cada línea, en vez de una descripción física de la misma.
  6. Auditoria de Red Lógica 
    •  En líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro-llamada, código de conexión o interruptores. 
    • Usar contraseñas de acceso.
    • Garantizar que en una transmisión, solo sea recibida por el destinatario. • Registrar actividades de los usuarios en la red. Comprobar 
    • Encriptar la información pertinente. 
    • Evitar la importación y exportación de datos. 
    • Inhabilitar el software o hardware con acceso libre.
    • Generar estadísticas de las tasas de errores y transmisión. 
    • Crear protocolos con detección de errores
Referencias

Equipos, C. (2015 de SEPTIEMBRE de 2015). Configurar Equipos. Obtenido de

Configurar Equipos: http://www.configurarequipos.com/doc688.html

Eduardo Gross . (2014). AUDITORIA INFORMATICA. 4/11/2015, de PREZI Sitio

web: https://prezi.com/_qsmmaopsshp/planeacion-de-la-auditoria-informatica-

ingenieria-en-sistemas/
Publicado por en No hay comentarios:

miércoles, 18 de noviembre de 2015

Objetivos de las auditoria de Ti y sus pasos

Cita 1:

La información es todo un arte. Cómo captar. Cómo descartar. 

Porque hay en la noticia, en el rumor, en todas esas cosas una acción 

sobre la que ha de decidir. Es necesario aislar lo que no conviene y 

hacer llegar solamente lo que conviene que llegue, porque de lo 

contrario se está induciendo al error y a la falsa apreciación.

Juan Domingo Perón

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia 

para mejorar o lograr un adecuado control interno en ambientes de tecnología informática 

con el fin de lograr mayor eficiencia operacional y administrativa. Todo esto a través de los 

siguientes objetivos específicos
  • Participación en el desarrollo de nuevos sistemas; buscando una evolución en coordinación con las nuevas tecnologías y sus apoyos de protección y eficiencia en el rubro
  • Evaluación de la seguridad en el área informática; desde la entrada de datos hasta la concentración de estos en información, pera genera conocimiento a los usuarios.
  • Evaluación de suficiencia en los planes de contingencia.: basándose en la capacidad e reacción de los mismos y su capacidad de adaptación.
  • Respaldos, buscando con ello  prever qué va a pasar si se presentan fallas.
  • Opinión de la utilización de los recursos informáticos. En base a las políticas de la empresa y criterio del auditor
  • Resguardo y protección de activos. Verificando la asignación de lugares y de responsables en esta área
  • Control de modificación a las aplicaciones existentes.
  • Fraudes
  • Control a las modificaciones de los programas.
  • Participación en la negociación de contratos con los proveedores.
  • Revisión de la utilización del sistema operativo y los programas
  • Utilitarios.
  • Control sobre la utilización de los sistemas operativos
  • Programas utilitarios.
  • Auditoría de la base de datos.
  • Estructura sobre la cual se desarrollan las aplicaciones...
  • Objetivos específicos de la auditoria de sistemas
  • Auditoría de la red de teleprocesos.


Desarrollo de software de auditoría. Es el objetivo final de una auditoría de sistemas bien 

implementada, desarrollar software capaz de estar ejerciendo un control continuo de las 

operaciones del área de procesamiento de datos.

En donde la unión de los objetivos


Pasos para implementar la auditoria de TI

Cita 2

La comunicación no conlleva comprensión. La información, si es 

bien transmitida y comprendida, conlleva inteligibilidad, primera 

condición necesaria para la comprensión, pero no suficiente.

Edgar Morin

Al igual que la auditoria financiera esta debe llevar un esquema que se basa en la auditoria 

genérica y para simplificar los pasos son los siguientes:

Pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

  • Estudio preliminar
  • Revisión y evaluación de controles y seguridades
  • Examen detallado de áreas criticas
  • Comunicación de resultados 



  • Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, 


efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar 

un cuestionario para la obtención de información para evaluar preliminarmente el 

control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos,

Entrevistas con los principales funcionarios del PAD.

  • Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los 


diagramas de flujo de procesos, realización de pruebas de cumplimiento de las 

seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos 

históricos (backups), Revisión de documentación y archivos, entre otras actividades.

  • Examen detallado de áreas criticas.-Con las fases anteriores el auditor descubre las 


áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá 

concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá 

los motivos, objetivos, alcance Recursos que usará, definirá la metodología de 

trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará 

detalladamente cada problema encontrado con todo lo anteriormente analizado.

  • Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido 


con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se 

presentará esquemáticamente en forma de matriz, cuadros o redacción simple y 

concisa que destaque los problemas encontrados, los efectos y las recomendaciones 

de la Auditoría.

El informe debe contener lo siguiente:

  • Motivos de la Auditoría
  • Objetivos
  • Alcance
  • Estructura Orgánico-Funcional del área Informática
  • Configuración del Hardware y Software instalado
  • Control Interno
  • Resultados de la Auditoría



Bibliografía:

http://www.abcdelasemana.com/wp-content/uploads/2010/11/peron-6-74.jpg
http://www.tecnovax.com.mx/images/Auditoria1.png
http://www.rainews.it/ran24/rubriche/incontri/foto/morin.jpg
http://fccea.unicauca.edu.co/old/tgarf/tgarfse2.html
https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
http://www.auditoriachihuahua.gob.mx/portal/wp-content/uploads/2013/08/GUIA_DE_AUDITORIA_DE_TI.pdf


Publicado por en No hay comentarios:

Auditoria de TI en empresas área sistemas

Cita 1


Cualquier transferencia de información a lo largo de la empresa termina difuminando el mensaje. Por eso es necesario en el futuro que las empresas dispongan de pocas capas directivas, aunque con gran habilidad en el manejo de información. Para ello, necesitamos profesionales con un conocimiento actualizado, porque la información, como bien sabes, se queda obsoleta con increíble rapidez.
Peter Drucker

La auditoría de los sistemas de información nos apoya para verificar el estado actual de los sistemas de información de la empresa,: pero para comprender mejor la función de esta es necesario ir a la raíz de sus palabras y así definirla mejor, el siguiente esquema nos representa las definiciones da cada una de sus partes:
Entonces un sistema de información es un conjunto organizado de elementos, que pueden ser personas, datos, actividades o recursos materiales en general, los cuales interactúan entre si para generar  información y esta pueda servir de base al conocimiento.
La auditoria pues de los sistemas de información se basa en la forma en que se obtienen esos elementos y su seguridad dentro del sistema.
En plena era de la información, las empresas se han dado cuenta de la importancia  que juega la información dentro de su organización, es por ello que buscaran la mejor forma de resguardarlas y verificar que esta este siendo real y cumpla con la función de informar correctamente a las personas adecuadas. Es por ello que la auditoria general se especializo y dio paso a la auditoria informática y mas especializada aun a la auditoria de los sistemas de información que toda aquella  información que interactúa en la organización y le repercute.

Clasificación de la auditoria

Cita 2
Toda información es importante si está conectada a otra.
Umberto Eco
La auditoria se entiende como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas, los actos y eventos económicos; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, es decir comprobar la veracidad de lo que se dice. 
La auditoria de sistemas de información pertenece a la rama de la auditoria operativa. Y esta se encarga de llevar a cabo la evaluación de normas, controles técnicas y procedimientos que tienen establecidas en una empresa para lograr confiabilidad, oportunidad,  seguridad y confidencialidad de la información que se procesa a través de los sistemas de información.
Debido a que la mayoría de los Sistemas de información están regulados o sustentados en la tecnología, esta es un área principal sobre la cual se hace mucho énfasis, siendo en coordinación con personas especializadas en informática que  el auditor se apoya para lograr una correcta evaluación y así un buen informe que de la información necesaria  a los interesados.

Tipos de sistemas de la información 

Cita 3
Existe un principio que se resiste a toda información, que se resiste a toda investigación, que nunca deja de mantener al hombre en una ignorancia perenne... Es el principio de desestimar lo que no se ha investigado.
Herbert Spencer

los sistemas de información se pueden clasificar de acuerdo a las personas que lo integran, el tipo de información que se tiene y su origen y los recursos o medios por los cuales puede crearse.
En base a las personas tenemos  que se pueden agrupar por, internas y externas, además de la siguiente forma.
Así como también se pueden agrupar al nivel de información que proporciona a la toma de decisiones:
No podemos olvidar también los medios que se utilizan dentro del sistema de información ya sean internos o externos son muy variados.

 Sistemas de información avanzados

Cita 4
Cuanta más información posees, más enlaces mentales construyes, y, como consecuencia, tu memoria se hace más sólida.
Tony Buzan
Por sistemas de información avanzados se refiere a todos aquellos sistemas informáticos que recaban información de cada una de las áreas de la empresa  a través de diferentes procesos para su correcta aplicación en algunos sistemas que forman parte de la arquitectura de software especializados para la toma de decisiones de cada área.
1. La primera capa está formada por la infraestructura física
Contiene básicamente los elementos materiales, el hardware:mmainframe, sistemas periféricos, servidores, sistemas de comunicaciones, pc, etc.
2. Sobre la capa anterior, para hacer que funcionen los elementos físicos y el resto del software, se ubican los sistemas operativos (SO) Los principales SO utilizados en entidades medianas y grandes son: UNIX-Linux (en sus distintas versiones), MS Windows Server (también con varias versiones) y Windows XP-Vista en las estaciones de trabajo.
3. La siguiente capa, que funciona sobre los SO, la llamaremos sistemas TI de base
Este término recoge una gran diversidad de plataformas posibles soportando las aplicaciones del siguiente nivel. Se incluyen en este nivel los sistemas de gestión de bases de datos – SGBD (los más utilizados son Oracle Database, DB2, MS-SQL Server), componentes de base de aplicaciones integradas y sistemas más técnicos como el middleware (SAP Basis, NetWeaver, Oracle Fusion, IBM WebSphere), que permite integrar muy diversas aplicaciones y sistemas.
4. Aplicaciones de negocio o aplicaciones de gestión Este nivel contiene los elementos automatizados de los procesos de la entidad, las aplicaciones informáticas propiamente dichas que soportan los procesos de negocio y las principales líneas de actividad de la entidad
Aquí pueden encontrase muchas aplicaciones disponibles en el mercado, las más habituales están basadas en Oracle E-Business Suite, SAP R/3, SAP ERP 6.0 o Microsoft Dynamics.
Todas ellas tanto en una configuración estándar, como muy adaptada o como desarrollo propio, funcionan sobre los SGBD y componentes de base incluidos en la capa precedente.
5. Procesos de negocio o procesos de gestión: Principales procesos de la entidad, presentados por áreas de actividad y subdivididos en subprocesos y en actividades individuales.
Están soportados por las aplicaciones informáticas del nivel anterior.
Para minimizar esos riesgos el auditor debe analizar a fondo el conjunto del sistema de información con una metodología adecuada, como la que se propone en el presente trabajo

Bibliografía:

https://www.google.com.mx/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0CAQQjBxqFQoTCLucmJ6Lm8kCFYM-JgodTTYPsw&url=http%3A%2F%2Fwww.cgu.edu%2Fimages%2Fdrucker%2Fpeter_drucker%2Fimages%2FPeterDrucker002_jpg.jpg&psig=AFQjCNFJcFX1bmtq5UpnYt4rxoI98Q01bA&ust=1447974423681842
http://static1.squarespace.com/static/5459984ae4b08b58f1c8df7f/t/54d0f878e4b062fdf8fd4e85/1422981243008/
https://jspivey.wikispaces.com/file/view/305748w.jpg/112134065/209x281/305748w.jpg
http://www.allexams.org/images/buzan.jpg
https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
https://www.google.com.mx/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja&uact=8&ved=0CCgQFjACahUKEwj9rsncnZvJAhWEYyYKHcsuCS4&url=http%3A%2F%2Fwww.monografias.com%2Ftrabajos%2Fauditoinfo%2Fauditoinfo.shtml&usg=AFQjCNGgs7Gl-0m5ApjFtZQcVfkMS1gegQ&sig2=mNG8tBlcu1SF-ZVwx3jj8A

Publicado por en No hay comentarios:

lunes, 2 de noviembre de 2015

LISCENCIAS DE SOFTWARE EN CALIDAD

• OEM

Se trata de un tipo de licencia que supedita su venta a que esta debe ser

como parte de un equipo nuevo, estando prohibido venderlos si no

es bajo esta condición. Aunque afecta más que nada a sistemas

Aunque el software comprado bajo este tipo de licencia implica la propiedad

del mismo por parte del que la compra los fabricantes pueden poner

ciertas limitaciones a su uso, como el número máximo de veces que se

• Retail 

Son las versiones de venta de software. En este caso el programa es de la

entera propiedad del usuario, pudiendo este cederlo libremente a terceros

o venderlo.

• Licencias por volumen: 

Es un tipo de licencia de software destinado grandes usuarios (empresas),

normalmente bajo unas condiciones similares a las de las licencias OEM,

aunque sin estar supeditadas a equipos nuevos.

Básicamente se trata de estipular un determinado número de equipos que

pueden utilizar el mismo código de licencia, quedando el fabricante de dicho

software autorizado para hacer las comprobaciones que considere

oportunas para ver que las licencias que se están utilizando son las

adquiridas.

Normalmente estas licencias se venden en paquetes de x número de

licencias, por ejemplo en paquetes de 25 licencias como mínimo.

Este tipo de licencia NO se puede ceder a terceros ni total ni parcialmente.

• Software libre: 

Las licencias de Software libre se basa en la distribución del código fuente

junto con el programa, así como en cuatro premisas:

1ª.- La libertad de usar el programa, con cualquier propósito.

operativos, también puede afectar a otro tipo de software.

puede reinstalar.

2ª.- La libertad de estudiar el funcionamiento del programa, y adaptarlo a

las necesidades.

3ª.- La libertad de distribuir copias, con lo que puede ayudar a otros.

4ª.- La libertad de mejorar el programa y hacer públicas las mejoras, de

modo que toda la comunidad se beneficie.

Hay que dejar bien claro que el que un determinado programa se trate

de Software libre no implica en ningún momento que este sea o deba ser

gratuito (freeware). Es perfectamente compatible el que se trate de un

software libre y a su vez sea un programa comercial, en el que se pida un

pago por licencia.

• - Licencias GPL 

En las licencias GPL (Licencia Pública General GNU, también conocidas

como simplemente GNU) el autor conserva los derechos de autor

(copyright), y permite la redistribución y modificación, pero controlando

que todas las versiones modificadas del software permanecen bajo los

términos más restrictivos de la propia licencia GNU GPL. Esto hace que un

programa creado con partes no licenciadas GPL y partes GPL tiene que dar

como resultado un programa bajo las normas de licencia GPL.

- Licencias BSD:

El autor mantiene la protección de copyright únicamente para la renuncia de

garantía y para solicitar la atribución de la autoría en trabajos derivados, pero

permite la libre redistribución y modificación, incluso si dichos trabajos tienen

propietario. Este tipo de licencia es compatible con la licencia GNU GPL.

También permite redistribuir software creado bajo este tipo de licencia como

software no libre. (Equipos, 2015)

EVALUACIÓN DE SOFTWARE
Para realizar una evaluación se deban de seguir ciertos lineamientos del hardware

y software.

Hardware

-Distribución del hardware (ubicación física)

-Registro del hardware instalado, dado de baja, proceso de adquisición, etc.

-Uso del mismo: desarrollo, operación, mantenimiento, monitoreo y toma de

decisiones.

-Acceso al hardware (llaves de seguridad)

-Bitácoras de uso (quién, cuando, para qué, entre otros puntos)

También cuanta la ubicación del aire acondicionado, extintores, no-break, salidas

de emergencia ya que deben estar colocados estratégicamente para evitar riesgos

y accidentes.

Software

Dentro de lo que es software se evalúan los sistemas operativos, utilidades,

paquetes, etc.

-Que tenga licencias correspondientes

Que la información que sale de la empresa, sea:

 Revisado (contenido, cantidad, destino)

 Aprobado por el responsable del área

 El personal este comprometido formalmente a no hacer mal uso del

mismo (dañarlo, modificarlo, distribuirlo)

Que es software que ingrese a la empresa, sea:

 Revisado (contenido, cantidad y destino)

 Aprobado por el responsable del área

 Devuelto en las mismas condiciones que tenía en la salida

Si hay alguna aplicación en proceso:

 Procedimientos de llenado de documentos fuente (doc en orden)

 Plan de contingencia

 Niveles de seguridad en el sistema en proceso


 Control de papelería

REFERENCIAS:
Antonio Álvarez Folgado. (2013). Evaluación de la seguridad de los Sistemas

Informáticos: políticas, estándares y análisis de riesgos. 4/11/2015, de qanewsblog

Sitio web: http://qanewsblog.com/2013/04/16/evaluacion-de-la-seguridad-de-los-

sistemas-informaticos-politicas-estandares-y-analisis-de-riesgos/

Martin Zǝlɐzuoƃ. (2012). Auditoria Informatica. 4/11/2015, de slideshare Sitio web:


http://es.slideshare.net/maitin30/auditoria-informatica-14008209

Publicado por en No hay comentarios:

Desarrollo de la auditoria informatica

Planeación:

Este es un proceso de selección y desarrollar una buena acción para lograr un

objetivo, cuando se está realizando la planeación para auditar debemos reunir

varios procesos documentados identificando recursos, procesos y acciones a

realizar.

La documentación de la planeación incluye:

-El establecimiento de los objetivos y alcance del trabajo

-La obtención de la información de apoyo

-La determinación de los recursos necesarios

-La realización de una inspección física

-La preparación de cómo, cuándo y a quien se le comunican los resultados de la

auditoria

Objetivos

-Evaluación administrativa del área de procesos electrónicos

- Evaluación de los sistemas y procedimientos

- Evaluación de los equipos de cómputo

- Evaluación de proceso de datos de los sistemas y de los equipos de cómputo

-Seguridad y confidencialidad de la información aspectos legales de los sistemas y

de la información

Pasos para la planeación de la auditoria informática

1 Revisión preliminar

2 Revisión detallada

3 Examen y evaluación de la información

4 Pruebas de consentimiento

5 Pruebas de control de usuario

6 Pruebas sustantivas


 Evaluación

 En primer lugar se repasan los principales estándares (ISO 27000) y legislaciones,

que nos ayudarán a tener una visión global de los elementos que intervienen en la

infraestructura de seguridad y los controles que pueden establecerse.

La serie ISO/IEC 27000

La International Standards Organisation (ISO) publicó la especificación estándar

para los sistemas de gestión de la seguridad de la información (ISMS o SGSI),

indendiente de proveedores o tecnologías, así como del tamaño de la empresa o

del sector, con el título ‘Information Technology – Security Techniques –

Information Security Management Systems – Requirements’. ISO27001. Ésta fue

también el primero de una serie de estándares sobre seguridad de la información,

conocido como serie ISO 27000.

ISO/IEC 27000 – Introducción y Vocabulario.

ISO/IEC 27001:2005 – Requerimientos para un ISMS.

ISO/IEC 27002:2005 – Code of Practice for Information Security.

ISO/IEC 27003 – Guía de implementación de un ISMS.

ISO/IEC 27004 – Information Security Management Measurement.

ISO/IEC 27005 – Information Security Risk Management (basado en ISO/IEC

13335).

ISO/IEC 27006 Requerimientos para la auditoría y certificación de sistemas de


gestión de la seguridad de la información.


 Selección de proveedores

Antes de comenzar la búsqueda de proveedores se ha de tener muy claro cuáles

son los productos que se necesita adquirir,  de qué calidad y en qué cantidad para

que la selección se realice comparando productos de iguales o muy similares

características.

Podemos hacer una preselección donde podemos descartar a los proveedores

que no cumplan con los requisitos básicos tales como la calidad en el producto, o

que tienen un precio más elevado que el de los demás.

Para seleccionar el proveedor que más nos convenga necesitamos saber sobre su

precio, calidad, plazo de pago, plazo de entrega, garantías y la reputación del

proveedor.

 REFERENCIAS
Equipos, C. (2015 de SEPTIEMBRE de 2015). Configurar Equipos. Obtenido de

Configurar Equipos: http://www.configurarequipos.com/doc688.html

Eduardo Gross . (2014). AUDITORIA INFORMATICA. 4/11/2015, de PREZI Sitio

web: https://prezi.com/_qsmmaopsshp/planeacion-de-la-auditoria-informatica-


ingenieria-en-sistemas/


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)