• UNIVERSIDAD CENTRAL DEL ECUADOR • FACULTAD DE CIENCIAS ADMINISTRATIVAS• ESCUELA DE CONTABILIDAD Y AUDITORIA

• TRABAJO DE AUDITORIA DE SISTEMAS INFORMÁTICOS

• ADQUISICIÒN-IMPLEMENTACIÒN

• DR. CARLOS ESCOBAR

• ESTEFANIA GARCIA• CA9-4

AI. ADQUISICIÓN E IMPLEMENTACIÓN - DOMINIO

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas,

desarrolladas o adquiridas, así como implementadas e integradas dentro del

proceso del negocio.

AI1. Identificación de Soluciones Automatizadas

AI2 Adquisición y Mantenimiento del Software Aplicado

AI3 Adquisición y Mantenimiento de la

infraestructura tecnológica

AI4 Desarrollo y Mantenimiento de Procesos.

AI5 Instalación y Aceptación de los Sistemas

AI6 Administración de los Cambios

AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS - PROCESO

Requerimientos

Requerimientos/objetivos

estratégico

Áreas usuarias

DIRECCIÓN DE SISTEMAS

Aplicaciones(Software) Áreas

usuarias

Sistema Gerencial

¿..Qué hacer..?

- Visión- Misión- Planes, proyectos y programas- Políticas- Prioridades

Objetivo. asegurar el mejor enfoque para cumplir con los requerimientos del usuario mediante un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar:

Organización

AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS - PROCESO

Objetivo. asegurar el mejor enfoque para cumplir con los requerimientos del usuario con un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar:AI01.1.

Definición de requerimientos de información

AI01.4 Seguridad con relación de costo-

beneficio

AI01.5 Pistas de auditoria

AI01.2. Estudio de factibilidad

AI01.3 Arquitectura

de información

AI01.6 Contratación de terceros

AI01.7 Aceptación de instalaciones y tecnología

AI5.2 PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN

Pistas de auditoria; Son una serie de registros sobre las actividades del sistema operativo, de procesos o aplicaciones y/o de usuarios del sistema.

Objetivos de protección y seguridad

Pistas de auditoría-Evidencia

Responsabilidad individual.

Reconstrucción de eventos.

Detección de instrucciones.

Identificación de problemas..

Identificador del Usuario

Cuándo ha ocurrido el evento

Identificador de host

Tipo de Evento

AI5.3 PISTAS DE AUDITORIA–EVOLUCIÓN DEL RIESGO- ERRORES POTENCIALES EN TECNOLOGÍAS INFORMÁTICAS

Riesgo

Incidente-error

Daños

Recuperación

Detección

Represión

Prevención

Corrección

Evaluación

ERRORES POTENCIALES

• Datos en blanco• Datos ilegibles• Problemas de

trascripción• Error de cálculo en

medidas indirectas• Registro de valores

imposible• Negligencia• Falta de aleatoriedad• Violentar la secuencia

establecida para recolección

Errores en la integridad de la

información

AI5.6 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS - PROCESO

AI5.6.1 POLITICAS PARA SISTEMAS DISTRIBUIDOS

AI5.6.1.1 Administración y control de accesos

AI5.6.1.3 Integridad y

Confidencialidad de datos

AI5.6.1.4 Disponibilida

d

AI5.6.1.2 Criptográfica

AI5.6.1.6 Dependientes y por defecto

AI5.6.1.5 No discrecional

AI5.6.2 PISTAS DE AUDITORIA-TÉCNICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS

• Cifrado de la información: Técnicas de cifrado de claves para garantizar la confidencialidad de la información en sistemas distribuidos. Permite que aunque los datos sufran un ataque, estos no puedan ser conocidos por el atacante. Es una técnica muy usada para aumentar la seguridad de las redes informáticas. Convierte el texto normal en algo ilegible, por medio de algún esquema reversible de codificación desarrollado en torno a una clave privada que sólo conoce el emisor y receptor. El proceso inverso es el decifrado, mediante el cual el texto clave se vuelve en texto legible.

AI5.6.2.1 TÉCNICA CIFRADO DE INFORMACIÓN

AI5.6.2.3 PISTAS DE AUDITORIA-TECNICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS

AI5.6.2.3.1 TÉCNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD

Autenticación Confidencialidad

Autorización

Integridad Auditoría

AI5.6.2.3 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS

AI5.6.2.3.2 TÉCNICAS DE AUTENTICACIÓN

AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO

Objetivo. Proporcionar funciones automatizadas que soporten efectivamente al negocio con declaraciones específicas sobre requerimientos funcionales y operacionales.

Control de calidad

Garantía de calidad

Calidad total

Detectar defectos

Prevenir defectos

Mejora continua

AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO

Políticas y procedimientos Objetivos y planes a corto y largo plazo

AI1.3 Documentación (materiales de consulta y

soporte para usuarios

AI1.4 Requerimientos de archivo

AI1.5 Controles de aplicación y requerimientos funcionales

AI1.6 Interface usuario-máquina

AI1.7 Pruebas funcionales (unitarias, de aplicación, de integración y de carga

Objetivos de control

AI3 ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTURA TECNOLÓGICA- PROCESO

Objetivo. Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios

originadas de una evaluación del desempeño del hardware y software apropiada; provisión de mantenimiento preventivo

de hardware e instalación, seguridad y control del software del sistema y toma en consideración

AI3.1 Evaluación de tecnología

AI3.2 Mantenimiento preventivo

AI3.3 Seguridad del software de sistema

AI4 DESARROLLO Y MANTENIMIENTO DE PROCESOS - PROCESO

Objetivo. Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. Para ello se diseñará manuales de procedimientos,

de operaciones para usuarios y materiales de entrenamiento con el propósito de

AI4.1 Manuales de procedimientos de usuarios y controles

AI4.3 Manuales de Operaciones y controles

AI4.2 Materiales de entrenamiento

AI4.3 Levantamiento de procesos

AI5 INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS - PROCESO

AI5.1Capacitación del personal

AI5.2 Conversión / carga de datos

AI5.3 Pruebas específicas

AI5.4 Validación y acreditación

AI5.2 Revisiones post implementación

AI6 ADMINISTRACIÓN DE CAMBIOS - PROCESO

Técnicas de control

Comprar programas sólo a proveedores fiables;Usar productos evaluados;Inspeccionar el código fuente antes de usarlo;Controlar el acceso y las modificaciones una vez instalado.

AI6 ADMINISTRACIÓN DE CAMBIOS - PROCESO

AI.6.3 Evaluación del impactoque provocarán los cambios

AI.6. 4 Autorización de cambios

AI.6.5 Manejo de liberación AI.6.6 Distribución de software