Entrevista, Encuesta

1. Nombre completo
2. Puesto
3. ¿Cual es su funcion principal en el area?
4. ¿Cuanto tiempo tiene trabajando aqui?
5. ¿Cuales son sus estudios(preparatoria,carrera,etc)?
6. ¿Cuenta con personal capacitado para el area?
7. ¿Cuantas personas son las que laboran con usted?
8. ¿Que realiza cada persona?
9. ¿Esta capacitada este personal?
10. ¿Cuentan con algun tipo de curso para mantenerce al dia con las nuevas tecnologias?
11. ¿Cada cuando se realiza un informa sobre las actividades del are?
12. ¿Cuando fue la ultima vez que se realizo una actualizacion(tanto en equipo como en software?
13. ¿Cuentan con licencias vigentes? (revisar informe de licencias)
14. ¿Cuantos equipos de computo tiene a su cargo?
15. ¿Hay algun tipo de seguridad para el area?
16. ¿Como se realizan los informes ?(revisar informacion documentada)

ENCUESTA

1.Como califica el funcionamiento del area de redes?

Excelente( ) Bueno( ) Regular( ) Malo( ) Pesimo( )

2.El equipo de computo funciona?

Excelente( ) Bueno( ) Regular( ) Malo( ) Pesimo( )

3.El mantenimiento que se le realiza al area soluciona los problemas presentados?

Si( ) No( ) Aveces( )

4.Cuantas horas trabajan con el equipo de computo?

2 a 4 hrs( ) 4 a 6 hrs( ) 6 a 8 hrs( ) Mas de 8 hrs( )

5.Califique como es el sistema de seguridad que se implementa en el area?

Execlente( ) Bueno( ) Regular( ) Malo( ) Pesimo( )

Principios deantologicos del auditor informatico

• Principio de beneficio del auditado:

El auditor debe ser eficiente en su labor, esto quiere decir que no debe haber parentesco alguno con la empresa, o personal que labora en ella para que no se preste a malos entendidos y esto a la vez no perjudique la auditoría.

• Principio de Calidad:

Este laborara con una buena calidad, y para ello debe contar con los medios necesarios para realizarlos; la empresa debe facilitar los medios para que este lo puede llegar a cumplir.

• Principio de capacidad:

El auditor debe contar con una buena preparación para la realización de su trabajo; ya que debe de contar con los conocimientos en área que auditara.

• Principio de cautela:

El auditor debe darle a conocer al auditado que no debe comprometerse con proyectos futuros que no puedan llevarce a acabo.

• Principio de comportamiento profesional:
  

El auditor debe ser cauteloso y discreto en cuanto a información sobre los resultados de la auditoría que realizo en dicha empresa, ya que debe respetar a la empresa.

• Principio de concentración en el trabajo:

El auditor no debe saturarse de trabajo, ya que esto hace que no realice bien ni un trabajo ni otro; tampoco debe copiar informes anteriores de auditorías ya realizadas, para terminar su trabajo.

• Principio de Confianza:
  

El auditado debe mostrar una cierta confianza con las personas que esta auditando, para así facilitar la conversión con ellos.

• Principio de criterio propio:

El auditor no debe dejarce manipular o recibir algun tipo de soborno, ya que esto hablaria mal de el, al igual que de la empresa en la que labora.

• Prinicipio de Economia:

El auditor debe mostrar claramente los resultados de la uditoria, pero este no debe abusar ni maquillar el informe para realizar gastos inecesarios.

• Principio de formacion Continuada:

El auditor debe estar en constanes capacitaciones para estar al dia en cuanto a mejorar la eficiencia de su trabajo.

• Principio de independecia:

Es lo que el auditor debe pedir y debe tener al momento de que este realizando su trabajo(auditoria).

• Principio de informacion suficienete:

Cuando realiza la auditoria el auditor debe contar con toda la informacion sobre el area, debe ser precisa y clara y no debe negarcele ningun tipo de informacion.

imagen: http://www.ingenieriaycalidad.net/Auditoria.gif

Validacion del plan

Para llevar acabo el plan de contingencia es necesario que sea revisado por proteccion civil, ya que ellos son los indicados para serciorarse de que cumpla con las especificaciones necesarias.

Plan De Contingencia

Se debe tener definido un plan para conocer las posibles alternativas de las soluciones y hacer una evaluación; el costo o beneficio para cada alternativa.

Documentación Del Plan

1. Objetivo del plan
2. Modo de ejecución
3. Tiempo de duración
4. Costos
5. Recursos necesarios
6. Evento apartir en cual se pondrá en marcha
7. Personas encargadas de llevar acabo dicho plan y sus responsabilidades

imagen tomada de: http://trabajo.practicopedia.com/files/Plan_de_negocios476_0.jpg

Validación Del Plan

Para llevar acabo la implementación del plan de contingencia, es necesario que protección civil sea el encargado de revisar dicho plan ya que ellos conocen las especificaciones que debe tener el plan de contingencia.

Pruebas de Viabilidad

• Se debe tener los procedimientos completos
• Contar con los materiales y registros vitales disponibles
• Que los Backup estén en proceso y sean adecuados y actualizados
• Que el personal sea entrenado correctamente

Definir y Documentar Las Pruebas Del Plan

• Desarrollar planes para pruebas especificas
• ejecutar las pruebas y documentarlas

-observador

-Formularios

-Sesiones Informativas

-LOGS de equipo

-Herramientas

Realizar estas actividades nos brindan un buen plan y un mejor resultado, dichas pruebas nos hacen saber los errores o los posibles inconvenientes que se nos pueden presentar al momento de realizar la auditoría.

Amenazas

Que es una amenaza?

Son los riesgos que puede llegar a sufrir un departamento, puede haber varias amenazas sin conocer cual sea su peso. Ya que puede haber algunas que puedan afectar mas que otras ese seria de peso critico.

Para verificar las amenazas ahy diferentes tipos de herramientas con las que contamos, pero antes debemos analizar bien si es factible o no resolverla, ya que puede ser contraproducente si no contamos con los recursos necesarios para ello.

por eso debemos conocer que se puede hacer con el riesgo:

• Eliminarlo
• Disminuirlo
• Transferirlo
• Asumirlo

Lo primero que se debe hacer es Asumirlo aceptar que si existe el problema ese seria el primer paso que deberiamos de hacer, despues si es factible su solucion Eliminarlo, si no se puede ir Disminillendo darle solucion paulatinamente. Se puede Trnsferir a otro departamento si el riesgo no afecta a los demas departamentos.

imagen tomada de: http://ve.kalipedia.com/matematicas/media/200709/26/aritmetica/20070926klpmatari_22_Ges_SCO.jpg

Evaluacion de Riesgo

Primeramente debemos evaluar que factores se pueden presentar para evitar los problemas en la aunditoria.

• Tipos de Informacion

Cuando se lleva a cabo la auditoria es necesario cersiorarce que la informacion documentada sea veridica, ya que los empleados de la empresa pueden brindarnos informacion erronea, por eso debemos verificar la informacion que nos proporcionan como checar el equipo para asegurarnos que este todo en orden.

• Criticidad de las aplicaciones que se encuentren

Se debe contar con los programas adecuados para que esten bien resguardada la informacion de la empresa.

• Tecnologia

Es necesario estar renovando el equipo con el que se trabaja, como por ejemplo en el caso de informatica en un centro de computo, si no se cambiara el equipo con el que se trabaja llegara el momento en que las computadoras ya no puedan o no tengan la capacidad de alamcenamiento o de procesar los programas que se utlizan y perderiamos estabilidad.

• Marco Legal

Todo el equipo que utlicemos ya sea en una empresa o en una escuela debe ser legal. Contar con las licencias correspondientes para el uso de los programas, equipos comprados legalmente.

• Sector Entidad

Son los departamentos con que se cuenta en la organizacion.

• Momento

Es es tiempo que se lleve acabo la auditoria como puede ser unos dias, semanas, dependiendo los departamentos que se tengan que analisar.

Areas que puede cubrir la auditoria de la seguridad

Verificacion de ajustes de legalidad
Checar que todo el equipo este en optimas condiciones como son tener sus licencias actualizadas, no tener pirateria en los equipos.

Amenazas fisicas externas
Tener na proteccion para el equipo (por asi decirlo un seguro)por ejemplo: si lloviera el equipo necesitaria estar alejado de ventanas o puertas donde pueda entrar el agua y se pueda dañar)

Proteccion de datos
tener respaldado toda la informacion de los equipos por si llegaran a perderse o hayan echo mal uso de el.

La Auditoria de la seguridad de la informacion

Debe tener diferentes controles:

• Controles directivos
• Controles preventivo
• Controles de deteccion
• Controles correctivos
• Controles de recuperacion

Estos controles sirven en la auditoria para tener un buen control de la informacion ya que sin ellos se complicaria en realizar una buena auditoria

Como se lleva acabo la auditoria

Estos son unos puntos que se toman en cuenta:

• Definicion de alcances y objetivos ( Escoger las mejores ideas para la auditoria)
• Conocimientos y analisis de los procedimientos estandares( conocer a fondo las reglas a seguir para consegur dichos objetivos)
• Evaluacion de controles internos
• Procedimientos y pruebas de auditoria( llevar acabo distintos planes que se puedan aplicar )
• Presentacion de informacion y control (mostrar con transparencia dichos resultados)

Objetivos de la Auditoria Informatica

*Verifcar la organizacion y adminstracion de
como se llevan acabo los procesos de los datos.
* Verificar que el equipo de trabajo funcione correctamente, tengan todo en orden en cuanto a licencias etc.
*Realizar las auditorias internas
*Colaborar con la informacion recabada de la auditoria interna para los auditores externos.

Imgen tomada de :

http://web1.ula.ve/portales/nux/portafolio/imagenes/auditoria.png

Sintomas de auditoria Informatica

Una empresa acude a la auditoria cuando comienza a detectar iregularidades en el desempeño de su organizacion, por ellos los directivos acuden a realizar la auditoria para detectar esas debilidades para asi poder reparar los daños.

los sintomas los podemos clasificar:

Ver presentacion.

Auditor Interno y Externo (Tarea)

¿Que es un auditor interno y cuales serian sus caracteristicas?
Es la persona encargada de evaluar las actividades dentro de su propia enpresa. Debera ser una persona integra capas de realizar bien su trabajo sin importan los malos comentario que se llegaran a prestar entre los mismo compañeros de trabajo. Dar a conocer a los directivos de la empresa las anormalias que se presentan.

imagen Realizada por Rosa Lizeth Moreno Caton.

¿Que es un auditor externo y cuales serian sus caracteristicas?

Esta es realizada por personal de otra empresa (encargadas de realizar auditorias) llevan acabo una investigacion sobre la empresa para conocer a detalle si se encuentran algunas anormalias dentro de ella. La auditoria externa es para serciorarse que la auditoria interna hay demostrado correctamente el funcionamiento de la organizacion.

1.1 Conceptos de Auditoria y Auditoria informatica

Auditor: Es la persona encargada que realizara el analisis informatico a la empresa, debera ser una persona capacitada en el tema para esta tarea debera desempreñar con calidad su trabajo.

Auditoria Informatica: Son un grupo de actividades o procedimientos que sirven para analizar aspectos informaticos de una empresa, para conocer si la organizacion (empresa) cumple con los requerimientos necesarios para su funcion.

Con la Auditoria informatica las empresas pueden mejorar en:

*Rentabilidad:

Hace caracterizar a la empresa en la eficiencia economica del trabajo dependiendo lo que realize la empresa.

*Seguridad:

Que la empresa mantenga un buen metodo para el respaldo de su informacion al igual que el personal encargado de ella no haga mal uso.

*Eficiencia:

Que sea eficiente en en trabajo que se realiza. Y no cuente con alguna anormalidad en la empresa.

Temario Unidad 1 Introduccion a la Auditoria Informatica

1.1 Conceptos de Auditoria informatica.
1.2Tipos de auditoria.
1.2.1 Auditoria interna y externa.
1.3 Campo de la auditoria informatica.
1.4 Control Interno.
1.5 Modelos de control utilizados en auditoria informatica.
1.6 Principios aplicados a los auditores informaticos.
1.7 Responsabilidades de los administradores y del auditor.