jueves, 26 de noviembre de 2015

TEMA UNIDAD III INTERPRETACIÓN DE LA INFORMACIÓN




Hoy  voy a hablar sobre  el como se interpreta la información en una auditoría, es decir la importancia de la autenticación de los informes, conclusiones entre más documentos que se deben entregar al finalizar una auditoría.

Pues bien desde mi punto de vista dentro de una auditoría deben de existir el previo  análisis de tal auditoría, herramientas de trabajo, normas a la mano y tener conocimiento de las mismas,formatos establecidos y/o definidos para su mayor efectividad en la aplicación de dicha auditoría.

Para comprender aún más este tema general que es la interpretación de la información primero se debe conocer los conseptos básicos. 

 

CONSEPTOS BÁSICOS

Algunos de los conseptos básicos que se deben de saber para una exitosa interpretación de la información son:


¿Qué es una evidencia dentro de una auditoría?, ¿Qué es un papel de trabajo? y ¿Qué se interpreta como irregularidades dentro de la auditoría? bien ,al finalizar de una auditoría el auditor debe de respaldar sus opiniones con evidencias, estas cuentan con carateristicas esenciales. Las caracteristicas se basan para obtener una evidencia competente y suficiente , ¿Qué quiere decir esto? muy sencillo las evidencias competentes nos ayudan a obtener mejores conclusiones al igual ayudan a agilizar la toma de decisiones, es por ello que las caracteristicas de una evidencia exitosa debe de ser:

  1. Relevante

  2. Autentica

  3. Verificable

  4. Neutral 

    Entonces una evidencia la definiría yo como todo dato y/o información destacada  que ayude a respaldar toda opinión del auditor.

    Ahora ¿que es una irregularidad? En lo personal yo la defino como toda aquella acción fuera de lo "regular" es decir, todo aquello que no cumple con las normas/reglas de una estandarización establecida.

    Las irregularidades en una auditoría son muy importantes ya que  ayudan al auditor definir conclusiones y aportar opiniones respecto a los resultados obtenidos. Claro tambien ayudan a la empresa a mejorar sus deficiencias en los procesos pero para obtener algún distintivo para la empresa los resultados de la auditoría deben ser minímos o si es posible con cero irregularidades.

    Ahora los papeles de trabajo ocupan un rol importante antes y durante la ejecusión de una auditoría ya que, ayudan a registrar de manera ordenada y etallada los procedimientos y actividades realizados por el auditor. También son un gran apoyo para minimizar esfuerzzos en futuras auditorías y lo más importante que considero yo, ayudan a la  planeacion , ejecusión, supervisión y revisión de todo documentos en cada proceso.



    A continuación les recomiendo el siguiente vídeo en donde se puede reflejar una previa auditoría, en lo personal me gusto el vídeo ya que el auditor(a) abarca las caracteristicas básicas de una auditoría y aquí es importante también notar que el auditor dede de hacer preguntas al auditado. , esto para evitar malos entendidos.


     

    INTERPRETACIÓN DE LOS RESULTADOS DE LA INFORMÁTICA

     

    En este subtema se ven los siguientes puntos:

    Opiniones Favorables: Es donde el auditor concluye con buenos resultados en el sistema y este es satisfactorio ademas de que cumple con las expectativas de la snormas.

    Opiniones Desfavorables: Este tipo de Opinión se lleva a cabo cuando el auditor considera que el sistema es un desastre.

    Opiniones con Salvedades: Este tipo de opinión se aplica cuando el auditor no tiene suficientes elementos de juicio para poder opinar.

    Opiniones Denegadas: Se aplica cuando el sistema es válido pero tiene algunos fallos que no invalidan.

      • Componentes de un Informe

        En el informe se debe de tener bien presente que los coomponentes que lo cosntituyen ya que depende de este informe las mejoras, las observaciones,sugerencia spor el auditor en lo personal considero que es de suma importancia dar incapie en los componentes de un informe que debe de entregar el auditor despues de una audditoria. 

        Algunos de los componentes que constituyen un informe son:

        Identificación del Informe

        Identificación del Cliente

        Identificación de la Entidad Auditada

        Objetivos de la Auditoría

        Normativa Aplicativa

        Alcance de la Auditoría

        Conclusiones    

      PRESENTACIÓN DE CONCLUSIONES DE LA AUDITORÍA INFORMÁTICA

      Los tipos de conclusiones que existen dentro de un informe son los breves y los detallados, donde los breves son muy previos sin lujo de detalle por decirlo así, en cuanto a las conclusiones Detalladas es todo lo contrario ya que en este se informa cada detalle de la auditoría y en mi opinión es mejor esta en caso de que el número de las incidencias sea mayor a 5 ya que pueden ser deficiencias que requieran de un detalle profundo. Igual ayuda a la empresa a mejorar sus incidencias cuanto antes.

       

      ÁREAS DE OPORTUNIDAD ITIL

      FODA: Ayuda a la empresa a detectar sus Fortalezas, Debilidades, Oportunidades y Amenazas y es importante definir/establecer un FODA en nuestra vida personal, al contrario nos ayuda a mejorar nuestra calidad de vida para darnos cuenta de las oportunidades que tenemos y aprovecharlas con las fortalezasComo experiencia propia yo recomiendo incluir un FODA en la vida cotidiana  porque ayuda a la toma de decisiones espontáneas.

      ITIL básicamente es un marco de referencia que describe un conjunto de mejores prácticas y recomendaciones para la administración de servicios de TI, con un enfoque de administración de procesos.Tiene grandes ventajas como el mejor control de la información, flexibilidad y adaptación en los servicios además algo importante los servicios se detallan en lenguaje del cliente para facilitar el comprendimiento de este estándar.


      Os dejo un vídeo de referencia donde explican más a detalle a lo que se enfoca ITIL y donde hace enfácis a los beneficios qe cuenta ITIL.

      Agradecería tu valioso comentario/sugerencia para este mi portal y su portal también.

      Gracias!!

    Publicado por en No hay comentarios:

    sábado, 7 de noviembre de 2015

    TEMA UNIDAD II- DESARROLLO DE LA AUDITORÍA INFORMÁTICA

    En esta ocasion abordare subtemas de la unidad II de la asignatura Auditoría de Sistemas de Tecnológias de Información.

    No sin antes dar una breve introduccion de lo que es el desarrollo de la auditoría bien pues ,esta fase es la que se considera como la etapa de observacion, porque nos proporciona el tiempo para recolectar datos , observar situaciones y claro detectar deficiencias.

    Considero que esta etapa es de suma importancia para el auditor y el auditado ya que, no solamente se detectan deficiencias sino que tambien se llevan a cabo las entrevistas previstas en la fase de planificacion, se completan cuestionarios que durante la auditoria puedan surgir. 
    Al igual pienso que la etapa de desarrollo de la auditoria es aquella donde se debe observar a detalle todos los procedimientos realizados ya sean los que efectuan en los procesos informaticos o los que llevan a cabo los usuarios.

    2.1 PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA 

    La planeacion de la auditoría informática es de suma importancia ya que es donde se enfocan a tres objetivos principales que son: Evaluar los sistemas y procedimientos, Evaluar el equipo de cómputo y la evaluación administrativa de los procesos electrónicos.
    Para una buena aplicación de auditoría informática se debe de seguir varios fases para obtener información y saber medir tiempos y recursos que serán necesarios, las fases son las siguientes: 
    1.  Conocimientos del Sistema
    2. Análisis de las Transacciones y Recursos
    3. Análisis de Riesgos y Amenazas
    4. Análisis de Controles
    5. Evaluación de Controles
    6. Informe de Auditoría
    7. Seguimiento de Sugerencias
    Antes de aplicar toda auditoría informática se debe tener conocimiento de las normas que rigen las TI ya que sin estas no se arrojarían resultados especificos al área auditada. Existen estándares como Moprosof, IEEE, ISO 9001, ISO 27000  entre muchas otras más, que en lo personal considero se deben de tomar en cuenta para respaldar los resultados y claro la evaluación a los sistemas administrativos y operativos del área correspondiente.



    2.2 Evaluación de la Seguridad

    La seguridad al momento de auditar es de suma importancia tanto para el auditor como para la empresa porque gracias a esto la empresa sabra que nivel de seguridad tienen sus sistemas de informacion. Bien pues un a auditoría de seguridad Informática es un estudio que comprende el análisis de sistemas para identificar y posteriormente corregir las distintas vulnerabilidades que pudieran surgir.
    Existen dos tipos de modelos de seguridad: 
    • Modelo Abstracto
    • Modelo Concreto   
    Estos modelos de seguridad sirven para  proveer un sistema que ayude a comprender los diferentes conceptos. 
    Esta evaluación tambien cuenta con fases a seguir para el éxito de la misma.
    1. Enumeración de redes, topologías y protocolos
    2. Identificación de los sistemas operativos instalados
    3. Análisis de servicios y aplicaciones
    4. Detección, comprobación y evaluación de vulnerabiliaddes
    5. Análisis de las comunicaciones
    6.  Medidas especifícas de corrección 
    Así como se debe de evaluar la seguridad de los sistemas tambien es importante la seguridad de la empresa y de sus empleados, esto ¿por que? Pues bien, hoy en día la información es lo más valioso para los intrusos informáticos así que considero en lo personal que la seguridad en los sistemas de información debe ser fundamental y en constante monitoreo, para evitar fraudes, robo de información etc.
     
     
    El diagrama de flijo que muestro hace referencia al proceso que se debe de seguir para la identificación de riegos.

    2.3 Selección de Proveedores
     
    Este tema solamente abarca el hecho de saber seleccionar a un buen auditor con las capacidades y con el perfil adecuado para agilizar la auditoría.

    Los procedimientos para la selección del auditor son:
    • Selección de candidatos: Se toma en cuenta la formación profesional,experiencia, habilidades y experiencia de capacitación.
    • Calificación: Se aplica un cuestionario a los candidatos y en base a éste se determinan sus capacidades, los resultados definen si es un auditor líder o un auditor común.
    • Evaluación del desempeño: Tiene el objetivo de dar a conocer el fuerte del auditor y mantener un grupo de auditores competentes.
     Os dejo el siguiente vídeo como referencia
     
     
     2.4 Licenciamiento de Software
     
    Todo software se rige por licencias de uso, es decir,  cuando un usuario realiza la compra de un programa (ej. office,photoshop) no quiere decir que es el dueño/propietario de él, solamente adquiere el derecho de uso.
    Hay diferentes tipos de sw:
    • SW de Propietario
    • Sw shareware/ de evaluación
    • Sw de demostración
    • Sw  libre
    • Sw de dominio Público
    • Sw semi-libre
    • Sw freeware
    Cada tipo de Software tiene su enfoque en el que aplica la licencia por decir algo.

    2.5 Evaluación de SW y HW
     
    Básicamente este tema abarca la importancia que es la evaluación tanto del Software como del Hardware ya que es el área de TI que interesa auditar. Por ejemplo si se detecta que su infraestructura en el Hardware hay deficiencias por ende los resultados serán severos y en el software igual detectarán fallas.
    Es importante calificar el nivel de seguridad que tiene el hw y sw como ya lo mencione anteriormente, si no hay seguridad en la organización tanto fisíca como estructural en cada departamento el informe de auditoría tendra muchas incidencias.
    2.6 Evaluación de la Red  

    Este tipo de evaluación se relaciona con la seguridad que tiene para el acceso de usuarios al igual se encarga de evaluar la eficiencia, rápidez y eficacia del envío y recepción de información.

    Para reforzar mi opinión sobre cada subtema del tema principal les dejo el siguiente video que contetiza la importancia de una auditoría informática.

    https://www.youtube.com/watch?v=eg4n0zknJQM 
    Publicado por en No hay comentarios:

    miércoles, 30 de septiembre de 2015

    TEMAS UNIDAD I- ATI(Auditoria de Sistemas de TI)

    1.-EL AUDITOR Y LA ORGANIZACIÓN

    1.1.-AUDITORÍA DE LA FUNCIÓN INFORMÁTICA

    Hasta ahorita sabemos que toda empresa ya se pequeña,mediana o grande ,tiene procesos internos en los cuales hay procedimientos para su ejecución y así la organización tenga una producción eficaz. Bien, esos procesos y procedimientos en este caso deben ser del departamento de T.I y se recomienda que sean auditados por personas externas a la empresa con la finalidad de que la auditoria sea transparente al momento de su ejecución. Sabiendo que la auditoria es una evaluación aplicada a procesos de la empresa, tenemos que el objetivo primordial de la auditoria es entregar un informe de recomendaciones a la empresa auditada ,con la finalidad de mejorar sus procesos y así elevar el estatus de reconocimiento en el mercado. 
     En algún momento pensé que la persona encargada de auditar no debería de tener un perfil como ta, pero, SORPRESA estaba en lo incorrecto la persona que audita a alguna organización en si, debe de cubrir con un perfil dependiendo siempre y cuando del departamento que vaya a auditar,en este caso como me estoy enfocando al área de TI algunos conocimientos que debe contar el auditor son como por ejemplo los sig.:
    1. Base de Datos
    2. Ingeniería de Software
    3. Seguridad Informática
    4. Sistemas de Información
    Como acabo de resaltar parte de los conocimientos previos que debe tener en cuenta un auditor de TI también se toman en cuenta las cualidades en las que podemos encontrar como:
    1. Creatividad para hacer sus funciones
    2. Honestidad para desempeñar con cabalidad su función 
    3. Inteligencia para la rápida toma de decisiones
    4. Confidencialidad para no revelar lo que no se debe saber de la empresa
    5. Astucia para identificar puntos claves
    Dentro de la auditoria informática existen diferentes enfoques como lo son:
    • Auditoria de Gestión
    • Auditoria de Base de Datos
    • Auditoria legal del Reglamento de Protección de Datos
    • Auditoria de Datos
    •  Auditoria de la Seguridad
    •  Auditoria de la Seguridad Física
    •  Auditoria de la Seguridad Lógica
    •  Auditoria de la Seguridad en Producción
    Entonces ¿Que hace la Auditoria Informática? En pocas palabras es la detección de riesgos en el apoyo informático originados por un mal control del proceso informático.


    1.2.-POLÍTICAS DE LA ORGANIZACIÓN

    ¿Que es una Política en la Organización? Bien, para que la empresa alcance el éxito debe de definir una política de calidad la cual ayude a la organización acatarse a ella y tomarla en cuenta en toda decisión en la cual se vea involucrada. También podríamos concluir que la política es una manera de ejercer el poder con la intención de lograr objetivos y/o metas empresariales.

    ¿Que Importancia tiene un Manual de las Políticas de la Organización? También conocido como un documento MPP donde se reflejan la descripción de las actividades que deben cumplirse en la función administrativa. La empresa que implementa un MPP ayuda a facilitar las labores en los procesos de cada una de  las áreas que conforma la organización. De igual manera es de gran apoyo para informar y controlar el cumplimiento del trabajo diario.

    Si alguna empresa no cuenta con un MPP debe de considerar lo sig.
    1. El manual debe ser escrito en un lenguaje sencillo, preciso y lógico.
    2. Deben estar elaborados en base a una metodología conocida y que permita la flexibilidad para su modificación.
    3. Los manuales deben de ser dados a conocer a todos los funcionarios relacionados con el proceso.

    1.3.-INTERPRETACIÓN DEL MANUAL DE PROCEDIMIENTOS DE  LA ORGANIZACIÓN

    Para este tema es importante definir el concepto de proceso ,manual y lo que es un rol, bien pues un proceso es un conjunto de actividades planificadas donde se ven involucradas un grupo de personas y ciertos recursos materiales para conseguir un objetivo en común.
    Ahora bien un rol es el nombre que se le da aun empleado para que lleve a cabo ciertas tareas de acuerdo al perfil de puesto que tiene dentro del departamento.Entonces un manual tiene como función guiar y mas que una guía es una herramienta muy eficaz para transmitir conocimientos y experiencias, porque es donde se se documentan la tecnología actualizada sobre un tema en particular.
    Cabe mencionar que hay tipos de manuales los cuales cada uno con sus especificaciones y características particulares como por ejemplo:
    1. Manual de Organización
    2. Manual de Políticas
    3. Manual de Procedimientos y Normas
    4. Manual del Empleado
    5. Manual del Especialista

    Bien hasta el momento hemos visto la importancia de tener en la empresa un manual para cada área así como tener bien definidos los roles y establecer los procesos para su satisfactoria ejecución y obtener resultados benéficos para la empresa.



    1.4.-RECURSOS HUMANOS

    El capital humano es destacado y muy importante dentro de las empresa ya que gracias a este se obtiene la producción eficaz. Bien para entender mejor este tema se debe de dividir el concepto Capital-Humano pues bien el capital consiste en la cantidad de producir un interés o una utilidad por medio del ser Humano que nos guía al capital humano donde tenemos que es el aumento en la capacidad de la producción del trabajo con mejoras.
    Conociendo a lo que se refiere el capital humano, las funciones del departamento de RH son importantes y básicas para la buena producción de la empresa.Algunas de las actividades de las que es responsable RH son::
    1. Reclutamiento del personal
    2. Selecion
    3. Diseño ,Descripción y Análisis de cargo
    4. Evaluación del Desempeño
    5. Formación
    6. Promoción
    7. Finalización


    1.5.-DIAGNOSTICO DE LA SITUACIÓN ACTUAL

    Es la identificación, descripción y análisis evaluativo de la situación actual de la organización o del proceso en función de los resultados que se esperan y que  fueron planteados en la misión.

    Lo anterior significa que este análisis consta de dos partes: una interna y otra externa.

    1. La parte interna tiene que ver con las fortalezas y las debilidades de su negocio,  aspectos sobre los cuales usted tiene algún grado de control.
    2. La parte externa mira las oportunidades que ofrece el mercado y las amenazas  que debe enfrentar su negocio en el mercado seleccionado.
    Pasos:
    1. Familiarizacion/ involucramiento: Desarrollar actividades para sensibilizar a todo el personal incluyendo la administración de la organización en el proceso que se comienza a desarrollar,
    2. Análisis de la necesidad de desarrollar el diagnóstico en la organización: En este paso se propone analizar las principales fuerzas que determinan el desempeño de la organización.
    3. Selección del grupo de expertos
    4. Solicitud y aprobación de  los recursos necesarios
    5. Caracterización de la organización
    6. Clasificación del sistema
    7. Análisis de la situación económica-financiera
    8. Impacto al medio ambiente
    9. Medición y análisis
    10. Caracterización de la organización como sistema y sus procesos
    11. Análisis y(o) elaboración del mapa de proceso de la organización
    12. Análisis de los procesos de la organización
    13. Análisis de los resultados del diagnóstico y elaboración del informe
    Bueno con los pasos anteriores reflejamos un diagnostico total actualizado de la empresa.


    1.6.-CONTROL INTERNO

    El control interno es como su nombre lo dice controla que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas.
    Dentro de las funciones que debe cumplir el control internos son:
    1. Difundir y controlar el cumplimiento de normas y estándares y procedimientos al personal involucrado del área de informática.
    2. Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática.
    Bien pues también existen tipos de control como lo son:

    1. Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
    2. Controles detectives: Cuando fallan los preventivos para tratar de conocer cuanto  antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.
    3. Controles correctivos: Facilitan la vuelta a la normalidad cuando se han producido  incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.



    Bueno con este tema finalizo mi aportación a lo que fue la unidad I de ATI(Auditoria en TI)
    Para implementar mi aportación sugiero esta presentación en donde de igual manera nos habla de la auditoria informática.
    Publicado por en No hay comentarios:
    Suscribirse a: Entradas (Atom)