3.- INTERPRETACIÓN DE INFORMACIÓN DE LA AUDITORIA

Conceptos Básicos e Interpretación de los resultados 

Se refiere a la información recopilada durante la auditoria, el análisis de la auditoria con las evidencias tomadas sean no conformidades u observaciones, de acuerdo a los resultados obtenidos se pueden obtener diferentes opiniones:

• Favorable: Cuando todos los procedimientos de la auditoria han sido auditados satisfactoriamente.
• Con salvedades: Cuando el auditor tiene una opinión adversa provocada por incertidumbres y limitaciones de alcance.
• Opinión denegada: Cuando el auditor no obtuvo la información necesaria para formular su opinión sobre la auditoria.
• Opinión desfavorable: Se argumenta esta opinión cuando incumplimientos es significativo y hay un número elevado de salvedades.

Presentación de conclusiones de la auditoria informática. 

Hay muchas variaciones de la redacción del documento final de la auditoria informática, algunas se basan en las políticas de la empresa o de la institución que otorga la certificación, se presenta el siguiente formato como referencia de los resultados obtenidos de la auditoria: 

INFORME  DE  AUDITORIA (Ejemplo)

 Fecha del Informe:   12 / 06 / 2000 

 Nombre de la Entidad:   Seguros S.A 

 AUDITORIA  DE  UNA  BASE  DE  DATOS 

Objetivo

Controlar la definición y existencia de los objetos necesarios para la normal utilización de una BD y para mejorar su performance. 

Lugar de la Auditoría: Área de Sistemas 

Grupo de Trabajo de Auditoría: Lic. Jorge Gorostiza
                                                    Lic. Gustavo Barrientos 

Fecha de Inicio de la Auditoría: 12 / 05 / 2000 

Tiempo estimado del proceso de revisión: 30 hs 

Fecha de Finalización de la Auditoría: 19 / 05 / 2000

Herramientas utilizadas

-  Metodología de auditoría de objetivos de control
-  Utilitarios estándar 

Alcance

Controlar la definición y existencia de todos los objetos que son necesarios en la BD y que son utilizados por los distintos sistemas de la empresa. 

Procedimientos a aplicar: 

Objetos

     -  ¿Las tablas definidas en el diseño coinciden con las fueron creadas en la BD teniendo en cuenta nombres de las tablas, columnas y tipos de datos de las columnas?
- ¿Están definidas las claves primarias (PK) y claves externas (FK) de c/ tabla existente?
- ¿Existen las secuencias (sequences) correspondientes a la clave primaria (PK) de c/ tabla definida?
- ¿La BD tiene vistas (views) respecto de algunas tablas?
- Para mejorar el performance del sistema, ¿el DBA definió que sean necesarios según los casos?
- ¿Existe documentación actualizada respecto del diseño e implementación de la BD?

 Datos 

      - ¿Con qué frecuencia se realiza una copia de resguardo (backup) respecto de la BD?
- ¿Cada cuánto tiempo se realiza una actualización de los datos existentes?

 Usuarios

¿Cuántos usuarios tienen acceso a la BD?
¿Cuántos usuarios actúan como desarrolladores respecto de la BD?
¿Cuántos usuarios son usuarios finales de la BD?
¿Cuáles son los roles y privilegios establecidos por el DBA?
¿Todos los usuarios tienen definido un rol determinado?

 Informe de las debilidades detectadas 

Situación Actual	Recomendación	Comentario de la Gcia de Sistemas
No existen índices que permitan mejorar el performance del sistema	Crear los índices que correspondan de acuerdo con las aplicaciones que fueron desarrolladas.	De acuerdo (Sr. Gte de Sistemas)
Se realiza una copia diaria de resguardo (backup)	Debido al caudal de información que maneja la empresa, se sugiere realizar 2 backups diarios, uno a mitad del día y otro al final del día.	De acuerdo (Sr. Gte de Sistemas)

 CONCLUSIONES

El equipo de auditores considera que la empresa NO realiza las tareas de actualización y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas áreas de la empresa.

Casos Prácticos

Estos casos tienen como finalidad, la elaboración de un "Informe de Auditoría" teniendo en cuenta las situaciones planteadas.

Áreas de Oportunidad, ITIL & FODA

El objetivo fundamental de ITIL(Biblioteca de Infraestructura de Tecnologías de la Información) es proporcionar a los administradores de sistemas de TI las mejores herramientas y documentos que le ayuden a mejorar la calidad de sus servicios y la satisfacción de sus clientes para alcanzar los objetivos específicos de la organización.

El análisis FODA es un esquema representado por 4 siglas: 

1. Fortalezas: Características y capacidades internas de la organización que le han permitido llegar al nivel actual de éxito y lo que la distingue de la competencia.
2. Oportunidades: Son los factores externos de la organización que puede aprovechar para obtener ventajas competitivas.
3. Debilidades: Características y capacidades internas de la organización que no contribuyen al éxito y provocan situaciones desfavorables. 
4. Amenazas: Situaciones externas que no puede controlar la organización pero pueden afectar desfavorablemente en forma relevante.

Conclusión personal: 

La auditoria informática representa todo un reto para la organización ya que no solo es la inversión de capital, sino requiere mucho cuidado y dedicación en otros aspectos como es el correcto seguimiento de los procesos e implementación de los mismos. 

Desde el punto de vista de profesionista de TI, creo que es una área de oportunidad para trabajar pues involucra muchos organizaciones como las provedoras de certificaciones, consultoras entre otras donde nos podemos capacitar y brindar estos servicios a las organizaciones de manera que contribuyen a que una organización tenga procesos y productos de calidad y por supuesto ahorro en su presupuesto.

Bibliografía: 

Auditoria de sistemas una visión práctica, Alonso Tamayo Alzate, Colombia 2011

http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf

https://www.uv.mx/personal/jfernandez/files/2012/11/ITIL.pdf

http://www.buenosnegocios.com/notas/231-analisis-foda-diagnostico-decidir

DESARROLLO DE LA AUDITORIA INFORMÁTICA

Planeación de la auditoria informática

Como parte del equipo auditor eh aprendido que para realizar una auditoria informática se requiere obtener información general sobre la organización y sobre la función informática a evaluar, ademas de identificar los recursos que permitan llevar a cabo el proyecto, es por eso necesario una investigación preliminar y entrevistas previas con base al programa de trabajo. También la auditoria informática le permite establecer el alcance de pruebas a utilizar y la supervisión del recurso humano.

Ahora la importancia de la auditoria es que los resultados que se obtengan sean satisfactorios y sirvan para sustentar la opinión de un dictamen.

Metodología:

- Alcance y objetivos de la auditoria informática 

- Entorno inicial del entorno auditable.

- Estudio inicial del entorno.

- Elaboración del plan y los programas de trabajo.

- Confección y redacción del informe final.

Referencias:

Planeación y programación de una auditoria informática, julio-diciembre 2011

http://www.uaeh.edu.mx/docencia/P_Presentaciones/huejutla/sistemas/auditoria_informatica/auditoria.pdf

                                                       Evaluación de la seguridad

La seguridad consiste en encontrar y desarrollar técnicas tanto en hardware como software y los medios fiscos y humanos, entonces dentro de la auditoria se tiene que evaluar que estas técnicas se desarrollen y lleven a cabo de acuerdo a las normas de seguridad y las de la empresa tenga definidas y estructuradas para que ante todo se preserve la seguridad en todos los aspectos informáticos. 

Tipos de seguridad:

Activa: Medidas y mecanismos para detectar amenazas y evitar problemas.

Pasiva: Las medidas para contraatacar cuando hay un fallo en el sistema.

Física: Se refiere a las barreras físicas y mecanismos de control.

Lógica: Es la parte que se encarga de asegurar el software y el acceso al sistema.

Referencias:

http://www.euroinnova.edu.es/Mf0487_3-Auditoria-De-Seguridad-Informatica-A-Distancia

                                                          Selección de proveedores

La importancia que tiene la selección de proveedores en la auditoria informática se debe a los servicios de TI son un factor critico en cuanto a al mantenimiento, comunicación y reparación de dispositivos, por lo que se debe llevar un minucioso análisis de la selección de proveedores.

• Análisis y clasificación de proveedores.
• Definición del alcance de servicio que presta la empresa.
• Parámetros, tipos de selección y evaluación proveedor del servicio de informática, debe tener las siguientes características: Seguridad, confiabilidad, disponibilidad, confidencialidad, recuperabilidad y escalabilidad.
• Asignación de grado de control y criterios de selección: aceptación y rechazo.

Referencias:

http://esthermelendez.blogspot.mx/2011/02/evaluacion-de-proveedores-de.html

Briceño, B. (s.f.). iProfesional. Obtenido de http://www.iprofesional.com/notas/108634-Diez-claves a-la-hora-de-elegir-un-proveedor-de-software

                                                      

                                                         Licenciamiento de software

El licenciamiento de software es un tema fundamental para los usuarios y productores de software, al momento que se adquiere un software se compra también la propiedad intelectual y esto implica que las licencias deben adaptarse y aceptar las condiciones del autor en relación con las auditorias las licencias se aplican a entornos de TI complejos y que van evolucionando al ritmo que lo hace el software. 

El licenciamiento de software se puede definir como un convenio entre el autor  del software y el usuario consumidor en el que se establecen condiciones y términos que delimitan el uso del mismo.

Y es importante que si la organización está certificada o por certificarse ante una normas de calidad sus procesos y recursos tienen que ser de calidad, legales y vigentes es por eso que se verifica el licenciamiento de software dentro de la auditoria informática.

Entre los tipos de licencias tenemos:

GPL: Licencia publica general, tiene como finalidad proteger intentos de apropiación al software libre cubierto por esta licencia.

AGPL: Evade a los proveedores de servicios de la aplicación de la licencia GPL ordinaria

Referencias:

Rubén Chura, O. A. (2014). Licencias de Software. Santiago Chile.

https://ximenaj.wordpress.com/2012/03/31/importancia-del-licenciamiento-del-software-al-momento-de-adquirirlo/

Control Interno

Es el proceso integral que debe ser echo por la gerencia y el personal, y está diseñado para enfrentarse a los riesgos y para dar una seguridad razonable de que en la consecución de la misión de la organización, se alcanzarán los siguientes objetivos gerenciales:

• Promover la eficacia, eficiencia y economía de las operaciones, programas y proyectos.
• Medir la eficacia en el cumplimiento de los objetivos, prevenir desviaciones y promover             la adecuada y transparente aplicación de los recursos.
• Obtener información veraz, confiable y oportuna.
• Propiciar el cumplimiento del marco legal y normativo.
• Salvaguardar, preservar y mantener los recursos públicos.

Beneficios:

• Ayuda a los directivos al logro razonable de las metas y objetivos institucionales.
• Integración y asimilación del personal de las metas de la organización.
• Ayuda al personal a medir su desempeño y por ende, a mejorarlo.
• Contribuye a evitar fraudes y corrupción interna.
• Facilita a los directivos la información de cómo se han aplicado los recursos y cómo se               han alcanzado los objetivos.

Referencias:

INFORMATICA, A. D. (s.f.). Obtenido de http://alondraadmonfun.blogspot.mx/2011/04/unidad-6-auditoria-informatica.html

Nyce. (s.f.). Obtenido de https://www.nyce.org.mx/

Diagnostico de la situación actual

El servicio de diagnóstico consiste en determinar el estatus del área de Tecnología en cuanto a su organización y estructura, infraestructura, operaciones, procesos y seguridad de manera que se identifiquen las acciones que permitan brindar un servicio más oportuno, eficiente y seguro, El diagnóstico permitirá evaluar las necesidades, establecer prioridades y planificar objetivos a lograr en el área de Tecnología, con una operación eficiente, estable y seguro. 

Puede constar de:

• Diagnóstico de la situación actual:

ü  Organización y estructura del centro de cómputo.

ü  Infraestructura tecnológica.

ü  Operación del centro de cómputo.

ü  Aplicaciones actuales.

• Diagnóstico de la seguridad informática:

ü  Identificación de riesgos.

ü  Análisis de controles actuales: Administrativos, operacionales y técnicos.

• Revisión general de los procesos:

ü  Hacer un inventario de los recursos informáticos actuales.

ü  Levantar sus procesos de trabajo e identificar puntos de simplificación.

ü  Identificar sus principales problemas y establecer prioridades.

ü  Preparar un plan de acción que mejore su desempeño y efectividad. 

Referencias:

Sites Google. (s.f.). Obtenido de https://sites.google.com/site/navaintegdesign/temario/1-2

Recursos Humanos

La administración del capital humano (ACH) consiste en medir la relación de causa y efecto de diversos programas y políticas de RH en el resultado final del análisis financiero de la empresa. 

Aspectos importantes en Recursos Humanos:

1. Adiestramiento: Prepara a la persona para el ejercicio de un oficio sobre la base de unas aptitudes o habilidades. Normalmente se concreta en programas fundamentos en el desarrollo de habilidades operativas o técnicas específicas, que en su mayoría tienen una base psicomotora.  
2. Entrenamiento:El objetivo es adaptar al empleado para el ejercicio de una determinada función, tiende a ser progresivo y obedece a razones mixtas. Está orientado mayoritariamente en el contenido del puesto de trabajo. 
3. Reconversión: Se deriva por distintos factores y de diversa índole. Tiene por ello un origen extrínseco y, en todo caso, requieren un cambio profundo en la actuación de los empleados. 

Referencias:

Lider de proyecto. (s.f.).http://www.liderdeproyecto.com/manual/que_es_el_pmbok.html

Interpretación del manual de procedimientos

Su función es la descripción de uno o varios procedimientos, para implantarlos, mejorarlos o sustituirlos. 

Su estructura se basa en los siguientes aspectos:

Delimitación del procedimiento.

o   ¿Cuál es el procedimiento que se va a analizar?

o   ¿Dónde se inicia?

o   ¿Dónde termina?

Recolección de la información.- recaba los documentos y los datos, a organizar, analizar y sistematizar, para permitir el conocimiento de los procesos, como operan, para poder proponer ajustes convenientes.  Las técnicas comúnmente utilizadas son:

o   Investigación documental.

o   Entrevista.

o   Observación de campo.

     Ejemplo de un formato de manual de procedimientos

Referencias:

Secretaria de Relaciones Exteriores (s.f.).http://www.uv.mx/personal/fcastaneda/files/2010/10/guia_elab_manu_proc.pdf

Políticas de la Organización

Es una serie de reglas y directrices básicas, con las cuales los miembros de la empresa u organización, deben comportarse en base a estas mismas, con lo cual se desarrollaran documentos, manuales, procedimientos, etc.. De la empresa. 

Para la creación de políticas empresariales en el ámbito de sistemas de información existen diferentes estándares internacionales:

• ISO9001:2008
• PMBOOK
• CMMI

Los estándares de calidad definen una serie de políticas y manuales, con las instrucciones de cómo debería la empresa redactar sus procesos internos, siguiendo el estándar, e implementarlo en sus necesidades.

Referencias:

Bernal, J. J. (s.f.). PDCAHOME. Obtenido de http://www.pdcahome.com/2551/como-crear-la-politica-de-tu-empresa-definiciones-requisitos-y-tipos-de-politicas/