DIAPOSITIVAS DE ADQUISICIÓN E IMPLEMENTACIÓN

1. UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
ESCUELA DE CONTABILIDAD Y AUDITORIA
AUDITORIA SISTEMAS INFORMATICOS I
TEMA: ADQUISICIÓN E IMPLEMENTACIÓN
ALUMNO: EDUARDO CONDE
CURSO: 9-6
PROFESOR: DR. CARLOS ESCOBAR
SEMESTRE 2012

2. AI. ADQUISICION E IMPLEMENTACION -
DOMINIO
 Deben ser identificadas, desarrolladas o
adquiridas, asi como implementadas e integradas
dentro del proceso del negocio, además, este
dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.

3. PROCESOS
 AI1. Identificación de Soluciones Automatizadas
 AI2. Adquisición y Mantenimiento del Software
Aplicado
 AI3. Adquisición y Mantenimiento de la
Infraestructura Tecnológica
 AI4. Desarrollo y Mantenimiento de Procesos
 AI5. Instalación y Aceptación de los Sistemas
 AI6. Administración de los Cambios

4. AI1. IDENTIFICACIÓN DE SOLUCIONES
AUTOMATIZADAS – PROCESO
 OBJETIVO.- Asegurar el mejor enfoque para cumplir con los
requerimientos del usuario mediante un análisis de las
oportunidades comparadas con los requerimientos de los usuarios
para lo cual se debe observar:
Aplicaciones (software)
Requerimientos Que
hacer?
Areas usuarias
Areas usuarias
Dirección de Sistemas
objetivos Estratégicos Visión
Sistema Gerencial
Misión
Planes, proyectos
y programas
Políticas
ORGANIZACIÓN Prioridades

5. OBJETIVOS
 AI01.1. Definición de información para aprobar un proyecto de desarrollo.
 AI01.2. Estudio de Factibilidad con la finalidad de satisfacer los
requerimientos del negocio.
 AI01.3. Arquitectura de Información para tener en consideración el modelo
de datos
 AI01.4. Seguridad con relación de costo-beneficio favorable para controlar
que los costos no excedan los beneficios.
 AI01.5. Pistas de auditoria proporcionar la capacidad de proteger datos
sensitivos.
 AI01.6. Contratación de terceros con el objeto de adquirir productos con
buena calidad y excelente estado.
 AI01.7. Aceptación de instalaciones y Tecnología a través del contrato.

6. PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN
Son una serie de registros sobre las actividades del sistema operativo, de
procesos o aplicaciones y/o de usuarios del sistema. Las pistas de auditoria
son procedimientos que ayudan a cumplir algunos objetivos de protección y
seguridad de la información, así como evidenciar con suficiencia y
competencia los hallazgos de auditoria son los conocidos como Log o registro.
 Pistas de auditoria-Evidencia
 Objetivos de protección y
seguridad  Identificador del Usuario
 Responsabilidad Individual.  Cuándo ha ocurrido el evento
Seguimiento secuencial de  Identificador de host anfitrión
las acciones del usuario. que genera el registro.
 Reconstrucción de Eventos.  Tipo de Evento
Investigaciones de cómo,  En el Sistema;
cuándo y quién ha realizado.  En las Aplicaciones
 Detección de Instrucciones.
 Identificación de Problemas.

7. PISTAS DE AUDITORIA – EVOLUCIÓN DEL RIESGO –
ERRORES POTENCIALES EN TECNOLOGÍAS
INFORMATICAS.
PREVENCION ERRORES POTENCIALES
RIESGO Errores en la integridad de la información
•Datos en blanco
DETECCIÓN
•Datos ilegibles
INCIDENTE-ERROR •Problemas de Trascripción
•Error de cálculo en medidas indirectas
REPRESIÓN •Registro de valores imposible
DAÑOS
•Negligencia
•Falta de aleatoriedad
CORRECIÓN •Violentar la secuencia establecida para
RECUPERACIÓN recolección
EVALUACIÓN

8. PISTAS DE AUDITORIA - EVOLUCIÓN Y
ADMINISTRACIÓN DEL RIESGOS
S
I 5. EVALUACIÓN
S
3. DIAGNOSTICO
T MATERIALIDAD
E
M
A
S
C
2. DETECCION -
SINTOMAS
O
4. CORRECCIÓN
N
T/
PREDICCIÓN 1. PREVENCIÓN
C ADMINISTRACIÓN DEL RIESGO
I
Actuar sobre las causas
N
T
Técnicas y Políticas de
ACCIONES PARA EVITARLOS control involucrados
E
R Empoderar a las actores
N Crear valores y actitudes
O
RIESGO

9. PISTAS DE AUDITORIA – POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS – PROCESO
 Debe distinguirse 3 tipos distintos: 1. si se conectan todos los
computadores dentro de un mismo edificio se denomina LAN (Local Area
Network). 2.Si están instalados en edificios diferentes, Wan (Wide Area
Network) estableciendo lacomunicación en un esquema cliente-servidor. 3.
Plataforma de Internet en las actividades empresariales. El Institute for
Defense Analyses en 1995, defina varios tipos de eventos que necesitaban
ser auditados y los agrupaba en seis categorias:
 Administración y control de accesos
 Criptográfica
 Integridad y Confidencialidad de
datos
 Disponibilidad
 No discrecional
 Dependientes y por defecto

10. PISTAS DE AUDITORIA . TECNICAS DE SEGURIDAD
PARA SISTEMAS DISTRIBUIDOS
 TÉCNICAS DE INTEGRIDAD Y
CONFIDENCIALIDAD
 AUTENTICACIÓN: Identificar a los
usuarios que inicien sesiones en
sistemas o la aplicación.
 AUTORIZACIÓN: Una vez autenticado
el usuario hay que comprobar si tiene
los privilegios necesarios para realizar
la acción.
 INTEGRIDAD: Garantizar que los
mensajes sean auténticos y no se
alteren.
 CONFIDENCIALIDAD: Ocultar los datos
frente a accesos no autorizados.
 AUDITORIA: Seguimiento de entidades
que han accedido al sistema
identificando el medio.

11. AI2 ADQUISICIÓN Y MANTENIMIENTO DEL
SOFTWARE APLICADO
 OBJETIVO. Proporcionar funciones automatizadas que soporten
efectivamente al negocio con declaraciones específicas sobre
requerimientos funcionales y operacionales y una implementación
estructurada fundamentada en:
HOY
MEJORA LA . Impacto estratégico, Oportunidad de ventaja
Mejora continua
CALIDAD competitiva.
. Planificación, fijación de objetivos,
GESTION DE CALIDAD
coordinación, formación, adaptación de toda la
organización. CALIDAD TOTAL
. Involucre a toda la empresa: directivos,
trabajadores, clientes.
. Una filosofía, cultura, estrategia, estilo de
gestión.
. ISO 9001:2000 GARANTIA DE CALIDAD PREVENIR DEFECTOS
CONTROL DE CALIDAD
DETECTA DEFECTOS
TIEMPO

12. OBJETIVOS DE CONTROL
Objetivos y planes a corto y largo
plazo de tecnología de
información.
 Documentación (materiales de
consulta y soporte para
usuarios)
 Requerimientos de archivo; de
entrada, procesos y salida de la
información.
 Controles de aplicación y
requerimientos funcionales;
 Interface usuario- máquina;
asegurar que el software sea
fácil de utlizar y capaz de auto
documentarse.
 Pruebas funcionales (unitarias,
de aplicación, de integración y
de carga); de acuerdo con el
plan de prueba del proyectos y
los estándares establecidos.

13. AI3 ADQUISICIÓN Y MANTENIMIENTO DE LA
INFRAESTRUCTURA TECNOLÓGICA – PROCESO
 OBJETIVO. Proporcionar las plataformas apropiadas para soportar
aplicaciones de negocios originadas de una evaluación del
desempeño del hardware y software apropiada; provisión de
mantenimiento preventivo de hardware e instalación, seguridad y
control del software del sistema y toma en consideración:
 AI3.1 EVALUACION DE TECNOLOGIA; Para identificar el impacto
del nuevo hardware o software sobre el rendimiento del sistema.
 AI3.2 MANTENIMIENTO PREVENTIVO; Del hardware con el objeto
de reducir la frecuencia y el impacto de fallas de rendimiento.
 AI3.3 SEGURIDAD DEL SOFTWARE DE SISTEMA; Instalación y
mantenimiento para no arriesgar la seguridad de los datos y
programas

14. AI4 DESARROLLO Y MANTENIMIENTO DE
PROCESOS – PROCESO
 OBJETIVO.- Asegurar el uso
apropiado de las aplicaciones y de
las soluciones tecnológicas
establecidas. Para ello se diseñara
manuales de procedimientos, de
operaciones para usuarios y
materiales de entrenamiento con el
propósito de:
 AI4.1 Manuales de procedimientos
de usuarios y controles;
 AI4.2 Materiales de entrenamiento;
Enfocados al uso del sistema en la
práctica diaria del usuario.
 AI4.3 Manuales de Operaciones y
Controles; para que el usuario
comprenda el alcance de su
actividad y valide su trabajo.
 AI4.4 Levantamiento de procesos;
Los procesos deben ser organizados
y secuenciados.

15. AI5 INSTALACIÓN Y ACEPTACIÓN DE LOS
SISTEMAS – PROCESO
 OBJETIVO.- Verificar y confirmar  AI5.1 CAPACITACIÓN DEL
que la solución tecnológica PERSONAL;
PROPUESTA sea adecuada al  AI5.2 CONVERSIÓN/CARGA
propósito deseado, para lo cual DATOS;
debe aplicarse un procedimiento  AI5.3 PRUEBAS ESPECÍFICAS;
de instalación y aceptación que (cambios, desempeño, aceptación
incluya; conversión y migración final, operacional)
de datos, plan de aceptaciones
formalizado con pruebas,  AI5.4 VALIDACIÓN Y
validaciones y revisiones ACREDITACIÓN;
posteriores a la implementación  AI5.5 REVISIONES POST
de los sistemas, de manera IMPLEMENTACIÓN;
puntual en:

16. AI6 ADMINISTRACIÓN DE CAMBIOS –
PROCESO
 OBJETIVO.- Minimizar la  TECNICAS DE CONTROL
probabilidad de interrupciones,
alteraciones y errores a través  Comprar programas sólo a
de una eficiencia proveedores fiables.
administración del sistema, las  Usar productos evaluados
aplicaciones y la base de datos  Inspeccionar el código fuente
con análisis, implementación y
seguimiento de todos los antes de usarlo
cambios requeridos y llevados  Controlar el acceso y las
para lo cual debe; modificaciones una vez instalado
 AI6.1 IDENTIFICACIÓN DE
CAMBIOS.- Los cambios en las
aplicaciones diseñadas
internamente; así como, las
adquiridas a proveedores.

17.  AI6.2 Procedimientos; de
categorización, priorización y
emergencia de solicitudes de
cambios.
 AI6.3 Evaluación del impacto que
provocaran los cambios;
tecnológicos en la perspectiva del
cliente, financiera, de procesos, del
talento humano y la estructura
 AI6.4 Autorización de cambios;
registro y documentación de los
cambios autorizados.
 AI6.5 Manejo de Liberación. La
liberación de software debe estar
regida por procedimientos formales
asegurando aprobación.
 AI6.6 Distribución de software.
Estableciendo medidas de control
especificas para asegurar la
distribución de software sea el
lugar y usuario correcto.

18. SALIR