Evaluación y auditoría

Page 1

Evaluación y auditoría de sistemas tecnológicos: Estudios de casos resueltos

Leopoldo Venegas Loor Fredy Esparza Bernal Daniel Guerrón Benalcázar

Esta obra ha pasado satisfactoriamente la revisión por pares, cuya evaluación ha sido realizada por los siguientes expertos:

María J. Vilaplana Aparicio. PhD Student y Profesora Asociada en la Universidad de Alicante, Máster en Dirección Comercial y Ventas, Licenciada en Publicidad y Relaciones Públicas. Víctor Gisbert Soler. Doctor Ingeniero Industrial y Doctor of Business Administration Strategic Management, Diplomado en Investigación de Mercados, Máster en Gestión de Calidad y Medio Ambiente. Profesor en la Universidad Politécnica de Valencia. Premio Nacional Extraordinario en Investigación de mercados.

Editorial Área de Innovación y Desarrollo, S.L.

Quedan todos los derechos reservados. Esta publicación no puede ser reproducida, distribuida, comunicada públicamente o utilizada, total o parcialmente, sin previa autorización. ÁREA DE INNOVACIÓN Y DESARROLLO, S.L. © del texto: Los autores C/ Els Alzamora, 17 - 03802 - ALCOY (ALICANTE) info@3ciencias.com Primera edición: julio 2017 ISBN: 978-84-947208-3-3 DOI: http://dx.doi.org/10.17993/IngyTec.2017.20

ÍNDICE PRÓLOGO ......................................................................................... 1 Ejemplo práctico 1. NORMATIVA DE TECNOLOGÍA ITIL – ISO 20000. RELACION DE LA PELICULA APOLLO XIII CON EL ESTANDAR ITILv3 . 5 1.1.

INTRODUCCIÓN ................................................................ 5

1.2.

FUNDAMENTACIÓN DE ITIL .............................................. 6

1.3.

RESUMEN DE LA PELICULA APOLLO XIII ........................... 8

1.4. ANÁLISIS RELACIONAL DEL ESTANDAR ITIL V3 CON LA PELICULA APOLLO XIII................................................................. 14 1.5.

CONCLUSIONES .............................................................. 19

Ejemplo práctico 2. PLAN DE CONTINUIDAD DEL NEGOCIO BCP ... 21 2.1. INTRODUCCIÓN ................................................................... 21 2.2.

DEFINICIONES CLAVES .................................................... 21

2.3.

OBJETIVO ........................................................................ 22

2.4.

ALCANCE ......................................................................... 22

2.5. DEFINICIÓN DEL EQUIPO DE RECURSOS HUMANOS PARA EL TRABAJO DE AUDITORÍA ........................................................ 22 2.6.

EQUIPOS Y MATERIALES ................................................. 24

2.7.

RECURSOS FINANCIEROS................................................ 24

2.8.

PROGRAMA DETALLADO DE AUDITORÍA ....................... 26

2.9. PROCESOS CRÍTICOS DEL NEGOCIO..................................... 29 2.10. RIESGOS ............................................................................. 32 2.11.

CONTROLES EXISTENTES PARA LOS RIESGOS ............. 37

2.12.

OBJETIVOS DEL CUESTIONARIO DE CONTROL ........... 41

2.13.

CUESTIONARIO DE CONTROL ..................................... 42

2.14.

HALLAZGOS DE LA AUDITORÍA ................................... 47

2.15.

INFORME DE RESULTADOS ......................................... 52

2.16.

CONCLUSIONES DEL CASO ......................................... 56

Ejemplo práctico 3. COSO ERM ...................................................... 57 3.1.

DESCRIPCIÓN DEL CASO “CACSA ERM” .......................... 57

3.2.

ANÁLISIS SITUACIONAL DE “CACSA ERM” ...................... 58

3.3.

COSO ERM ...................................................................... 59

3.4.

COMPONENTES COSO ERM............................................ 61

3.5.

PROCEDIMIENTOS DE AUDITORIA A APLICAR ................ 65

3.5.1.

AMBIENTE DE CONTROL............................................. 65

3.6.

CONCLUSIONES .............................................................. 77

3.7.

RECOMENDACIONES ...................................................... 77

3.8.

ANEXOS .......................................................................... 79

Ejemplo práctico 4. SISTEMAS DE COMUNICACIONES. AUDITORÍA EN TELECOMUNICACIONES ............................................................ 95 4.1.

DESCRIPCIÓN DE LA EMPRESA ....................................... 95

4.2.

PLANIFICACIÓN DE LA AUDITORÍA ................................. 97

4.3.

OBJETIVO ........................................................................ 97

4.4.

ALCANCE ......................................................................... 97

4.5.

DEFINICIÓN DEL EQUIPO ................................................ 98

4.6.

IDENTIFICACIÓN DE RIESGOS ......................................... 98

4.7.

TOPOLOGÍA DE RED DE COMUNICACIONES................. 104

4.8.

LISTA DE VERIFICACIÓN ................................................ 105

4.9.

EJECUCIÓN DE LA AUDITORIA ...................................... 107

4.10.

INFORME DE HALLAZGOS ......................................... 110

4.11.

CONCLUSIONES ........................................................ 111

4.12.

RECOMENDACIONES ................................................ 112

4.13.

ANEXOS ........................................................................ 112

Ejemplo práctico 5. REGLAMENTO PARA EL USO DE HERRAMIENTAS TECNOLÓGICAS ................................................. 125 5.1.

INTRODUCCIÓN ............................................................ 125

5.2.

OBJETIVOS .................................................................... 127

5.3.

DEFINICIONES ............................................................... 127

5.4.

LINEAMIENTOS GENERALES ......................................... 130

5.5.

ORGANIZACIÓN DEL DOCUMENTO .............................. 131

5.6.

SERVICIOS ..................................................................... 131

5.7. NORMAS GENERALES SOBRE EL USO DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN ............. 132 5.8. NORMAS ESPECÍFICAS SOBRE EL USO DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN ............. 139 5.9. RIESGOS PARA LA EMPRESA DERIVADOS DEL MAL USO DE LAS HERRAMIENTAS TECNOLÓGICAS POR SUS EMPLEADOS 140 5.10.

PROTECCIÓN DE DATOS ........................................... 141

5.11.

DE LOS MENSAJES DE DATOS ................................... 142

5.12.

DEL CONTROL ........................................................... 144

5.13.

DE LAS SANCIONES ................................................... 146

6. REFERENCIAS BIBLIOGRÁFICAS ................................................ 149

PRÓLOGO La siguiente guía de ejercicios prácticos evaluación y auditoría de sistemas tecnológicos, pretende brindar al profesional en formación herramientas básicas de cómo realizar procesos de auditorías, conocer normativas de tecnologías como ITIL, COSO ERM, ISO 20000 entre otros. Hoy en día las organizaciones buscan alinear sus procesos a las tecnologías de la información y comunicación, y es vital conocer normativas y herramientas que puedan dar un sentido a dichos procesos, y darle un seguimiento para el correcto cumplimiento y funcionamiento, las organizaciones buscan proteger y categorizar su información que se ha vuelto un activo importante para las mismas. Este es un compendio de ejercicios propios desarrollados por un conjunto de profesionales expertos en procesos de Auditorías Informáticas aplicadas al sector público y privado, con vasta experiencia para asesorías y generación de servicios tecnológicos. Encontrarán con definiciones conceptuales básicas que les permitirán ir abordando y comprendiendo cada uno de los ejercicios propuestos y que se encuentran ya resueltos a manera de ejemplo. El primer ejercicio práctico abarca la normativa de Tecnología ITIL basada con el ejemplo de un estudio de caso APOLLO XIII cuyos objetivos son los siguientes: 

Por medio de la investigación del caso Apollo XIII, tendrás que aprender cómo usar los procesos ITIL en otros ambientes.

Entender la interdependencia de los procesos y del impacto de los procesos en la continuidad de los negocios.

Adquirir una mejor comprensión de los procesos de trabajo.

Aprender cómo cooperar y cómo perfeccionar los procesos de trabajo.

1

Adquirir mayor perspicacia sobre las posibles mejoras en su propio ambiente de trabajo.

El segundo ejercicio práctico trata los planes de continuidad del negocio BCP, dando a comprender a través del mismo que toda empresa debe contar con un plan "B" para sobreponerse ante cualquier emergencia y seguir funcionando a pesar de lo que suceda afuera o dentro de la organización, y acá te explicamos por qué, un BCP debe contemplar todas las medidas preventivas y de recuperación para cuando se produzca una contingencia que afecte al negocio. Es recomendable que todas las empresas, independiente de su tamaño y giro del negocio, cuenten con planes de contingencia para así contribuir a mitigar el impacto de la influenza en el desarrollo económico del país. El tercer ejercicio práctico se enfoca en la normativa COSO ERM, en donde el objetivo del mismo es dar a conocer que la administración de riesgos produce los siguientes beneficios:  Incremento en la capacidad para asumir apropiadamente los riesgos necesarios para ayudar a crear valor.  Brinda claridad en la toma de decisiones.  Genera confianza en las operaciones del negocio.  Mejora el seguimiento del desempeño.  Establece de procedimientos de gobierno consistentes.  Cuida la Reputación El cuarto ejercicio práctico aborda los procesos de auditorías en telecomunicaciones, en donde se quiere dar a entender que la misma es una evaluación del entorno de las Telecomunicaciones tanto a nivel global como a nivel empresarial. El propósito de una auditoria en telecomunicaciones es asegurar:     

Seguridad Cumplimiento de la política empresarial. Eficacia en cuanto al coste Efectividad del servicio El respaldo de las Telecomunicaciones al objetivo de la empresa. 2

El quinto y último ejercicio práctico comprende el tema de seguridad informática, específicamente una propuesta de reglamento para el uso de herramientas tecnológicas en donde es importante que toda persona que se desempeñe como; empleados administrativos, personal técnico y, prestador de servicio, entre otros, en una institución dentro de las instalaciones que lo conforman, y que cuenten con equipo de COMPUTO y TELECOMUNICACIONES como herramienta de trabajo, así como a invitados que pidan acceso a la red de voz y datos, sea de manera obligatoria la utilización y observancia del mismo, ya que está demostrado que:  Un trabajador pierde entre el 30 y el 40% de su tiempo de trabajo en funciones no relacionadas con su trabajo (Informe elaborado por la consultora IDC e Internet Security SistemsISS).  El 60% de las compras on-line, subastas y juegos de azar se efectúan desde el puesto de trabajo (WEBSENSE).  El 77% de los empleados de PYMES, usan redes sociales en horario de trabajo (Informe elaborado por PANDA Security). Esperamos que sea un apoyo significativo y que sepan aprovechar estos ejercicios prácticos que son el resultado de análisis, estudio y experiencias profesionales.

Los Autores

3

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.