miércoles, 30 de septiembre de 2015

TEMAS UNIDAD I- ATI(Auditoria de Sistemas de TI)

1.-EL AUDITOR Y LA ORGANIZACIÓN

1.1.-AUDITORÍA DE LA FUNCIÓN INFORMÁTICA

Hasta ahorita sabemos que toda empresa ya se pequeña,mediana o grande ,tiene procesos internos en los cuales hay procedimientos para su ejecución y así la organización tenga una producción eficaz. Bien, esos procesos y procedimientos en este caso deben ser del departamento de T.I y se recomienda que sean auditados por personas externas a la empresa con la finalidad de que la auditoria sea transparente al momento de su ejecución. Sabiendo que la auditoria es una evaluación aplicada a procesos de la empresa, tenemos que el objetivo primordial de la auditoria es entregar un informe de recomendaciones a la empresa auditada ,con la finalidad de mejorar sus procesos y así elevar el estatus de reconocimiento en el mercado. 
 En algún momento pensé que la persona encargada de auditar no debería de tener un perfil como ta, pero, SORPRESA estaba en lo incorrecto la persona que audita a alguna organización en si, debe de cubrir con un perfil dependiendo siempre y cuando del departamento que vaya a auditar,en este caso como me estoy enfocando al área de TI algunos conocimientos que debe contar el auditor son como por ejemplo los sig.:
  1. Base de Datos
  2. Ingeniería de Software
  3. Seguridad Informática
  4. Sistemas de Información
Como acabo de resaltar parte de los conocimientos previos que debe tener en cuenta un auditor de TI también se toman en cuenta las cualidades en las que podemos encontrar como:
  1. Creatividad para hacer sus funciones
  2. Honestidad para desempeñar con cabalidad su función 
  3. Inteligencia para la rápida toma de decisiones
  4. Confidencialidad para no revelar lo que no se debe saber de la empresa
  5. Astucia para identificar puntos claves
Dentro de la auditoria informática existen diferentes enfoques como lo son:
  • Auditoria de Gestión
  • Auditoria de Base de Datos
  • Auditoria legal del Reglamento de Protección de Datos
  • Auditoria de Datos
  •  Auditoria de la Seguridad
  •  Auditoria de la Seguridad Física
  •  Auditoria de la Seguridad Lógica
  •  Auditoria de la Seguridad en Producción
Entonces ¿Que hace la Auditoria Informática? En pocas palabras es la detección de riesgos en el apoyo informático originados por un mal control del proceso informático.


1.2.-POLÍTICAS DE LA ORGANIZACIÓN

¿Que es una Política en la Organización? Bien, para que la empresa alcance el éxito debe de definir una política de calidad la cual ayude a la organización acatarse a ella y tomarla en cuenta en toda decisión en la cual se vea involucrada. También podríamos concluir que la política es una manera de ejercer el poder con la intención de lograr objetivos y/o metas empresariales.

¿Que Importancia tiene un Manual de las Políticas de la Organización? También conocido como un documento MPP donde se reflejan la descripción de las actividades que deben cumplirse en la función administrativa. La empresa que implementa un MPP ayuda a facilitar las labores en los procesos de cada una de  las áreas que conforma la organización. De igual manera es de gran apoyo para informar y controlar el cumplimiento del trabajo diario.

Si alguna empresa no cuenta con un MPP debe de considerar lo sig.
  1. El manual debe ser escrito en un lenguaje sencillo, preciso y lógico.
  2. Deben estar elaborados en base a una metodología conocida y que permita la flexibilidad para su modificación.
  3. Los manuales deben de ser dados a conocer a todos los funcionarios relacionados con el proceso.

1.3.-INTERPRETACIÓN DEL MANUAL DE PROCEDIMIENTOS DE  LA ORGANIZACIÓN

Para este tema es importante definir el concepto de proceso ,manual y lo que es un rol, bien pues un proceso es un conjunto de actividades planificadas donde se ven involucradas un grupo de personas y ciertos recursos materiales para conseguir un objetivo en común.
Ahora bien un rol es el nombre que se le da aun empleado para que lleve a cabo ciertas tareas de acuerdo al perfil de puesto que tiene dentro del departamento.Entonces un manual tiene como función guiar y mas que una guía es una herramienta muy eficaz para transmitir conocimientos y experiencias, porque es donde se se documentan la tecnología actualizada sobre un tema en particular.
Cabe mencionar que hay tipos de manuales los cuales cada uno con sus especificaciones y características particulares como por ejemplo:
  1. Manual de Organización
  2. Manual de Políticas
  3. Manual de Procedimientos y Normas
  4. Manual del Empleado
  5. Manual del Especialista

Bien hasta el momento hemos visto la importancia de tener en la empresa un manual para cada área así como tener bien definidos los roles y establecer los procesos para su satisfactoria ejecución y obtener resultados benéficos para la empresa.



1.4.-RECURSOS HUMANOS

El capital humano es destacado y muy importante dentro de las empresa ya que gracias a este se obtiene la producción eficaz. Bien para entender mejor este tema se debe de dividir el concepto Capital-Humano pues bien el capital consiste en la cantidad de producir un interés o una utilidad por medio del ser Humano que nos guía al capital humano donde tenemos que es el aumento en la capacidad de la producción del trabajo con mejoras.
Conociendo a lo que se refiere el capital humano, las funciones del departamento de RH son importantes y básicas para la buena producción de la empresa.Algunas de las actividades de las que es responsable RH son::
  1. Reclutamiento del personal
  2. Selecion
  3. Diseño ,Descripción y Análisis de cargo
  4. Evaluación del Desempeño
  5. Formación
  6. Promoción
  7. Finalización


1.5.-DIAGNOSTICO DE LA SITUACIÓN ACTUAL

Es la identificación, descripción y análisis evaluativo de la situación actual de la organización o del proceso en función de los resultados que se esperan y que  fueron planteados en la misión.

Lo anterior significa que este análisis consta de dos partes: una interna y otra externa.

  1. La parte interna tiene que ver con las fortalezas y las debilidades de su negocio,  aspectos sobre los cuales usted tiene algún grado de control.
  2. La parte externa mira las oportunidades que ofrece el mercado y las amenazas  que debe enfrentar su negocio en el mercado seleccionado.
Pasos:
  1. Familiarizacion/ involucramiento: Desarrollar actividades para sensibilizar a todo el personal incluyendo la administración de la organización en el proceso que se comienza a desarrollar,
  2. Análisis de la necesidad de desarrollar el diagnóstico en la organización: En este paso se propone analizar las principales fuerzas que determinan el desempeño de la organización.
  3. Selección del grupo de expertos
  4. Solicitud y aprobación de  los recursos necesarios
  5. Caracterización de la organización
  6. Clasificación del sistema
  7. Análisis de la situación económica-financiera
  8. Impacto al medio ambiente
  9. Medición y análisis
  10. Caracterización de la organización como sistema y sus procesos
  11. Análisis y(o) elaboración del mapa de proceso de la organización
  12. Análisis de los procesos de la organización
  13. Análisis de los resultados del diagnóstico y elaboración del informe
Bueno con los pasos anteriores reflejamos un diagnostico total actualizado de la empresa.


1.6.-CONTROL INTERNO

El control interno es como su nombre lo dice controla que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas.
Dentro de las funciones que debe cumplir el control internos son:
  1. Difundir y controlar el cumplimiento de normas y estándares y procedimientos al personal involucrado del área de informática.
  2. Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática.
Bien pues también existen tipos de control como lo son:

  1. Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
  2. Controles detectives: Cuando fallan los preventivos para tratar de conocer cuanto  antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.
  3. Controles correctivos: Facilitan la vuelta a la normalidad cuando se han producido  incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.



Bueno con este tema finalizo mi aportación a lo que fue la unidad I de ATI(Auditoria en TI)
Para implementar mi aportación sugiero esta presentación en donde de igual manera nos habla de la auditoria informática.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)