Este blog es el resultado del trabajo realizado en la asignatura Auditoría de Sistemas impartida en la Universidad de Caldas por el Docente Carlos Hernan Gomez. a continuancion esta una breve descripción de los objetivos y planes propuestos y expuestos por el docente en la materia.
Objetivo General
•Conocer y aplicar los conceptos de auditoría a lastecnologías de información en las empresas.
Justificación
•Las empresas requieren un adecuado aprovechamiento de las TI, por tal razón necesitan evaluar el
aprovechamiento de las mismas alineando sus objetivos con los objetivos empresariales
Introducción.
Gobierno de las tecnologías de información Auditoría de sistemas. Definición Objetivos de la auditoría de sistemas.
Justificación de la auditoría de sistemas.Antecedentes y evolución de la Auditoría Tipos de auditoría y de auditores: SI, externa, interna, gobierno/sector público
Regulación y control de la auditoría de SI: estándares, pautas, código de ética profesional; leyes; regulaciones; Perfil del auditor de sistemas Evidencia: tipos de evidencia; significado de la evidencia suficiente,
confiable y pertinente
Riesgo de auditoría: riesgo inherente, riesgo de control y riesgo dedetección.
Metodología
•En esta asignatura en la componente teórica, de forma progresiva, nos desplazaremos de una orientación de clases magistrales sobre los conceptos fundamentales de Auditoría informática hacia un proceso donde el profesor se convierte en el guía de ese aprendizaje del estudiante.
•En la componente práctica del curso nos basaremos principal mente en la aplicación de una metodología
ecléctica sobre un laboratorio empresarial formado con los estudiantes.
•Complementariamente se realizarán otras actividades prácticas y talleres, desarrollos, se revisarán
artículos especializados en ingles, compilaciones bibliográficas, exposiciones individuales, grupales
y foros.
jueves, 25 de noviembre de 2010
Auditorias Cruzadas
De acuerdo a la relación de procesos presentados por COBIT y la evolución en el desarrollo de nuestra empresa, desarrollaremos una auditoria integral sobre los procesos de TI en la empresa.
Para realizar esta actividad nos dividiremos en equipos, los cuales tendrán un doble rol de equipo auditado (responsable) y de equipo auditor, como equipo auditor tendrá la responsabilidad de planear, estructurar y desarrollar un completo proceso de auditoría sobre los respectivos procesos; como responsable, tendrá
como responsabilidad responder al proceso de auditoría
Para realizar esta actividad nos dividiremos en equipos, los cuales tendrán un doble rol de equipo auditado (responsable) y de equipo auditor, como equipo auditor tendrá la responsabilidad de planear, estructurar y desarrollar un completo proceso de auditoría sobre los respectivos procesos; como responsable, tendrá
como responsabilidad responder al proceso de auditoría
Para la realización de este trabajo, se describieron los procesos del modelo COBIT y se delegaron a los grupos, de ahy se empezo el trabjo de audditoria. todo este proceso se ve en el link sobre la wiky de auditoria relacionada. http://auditoriauc20102mivi.wikispaces.com/
COMPUTACION UBICUA
La computación ubicua es un modelo de interacción en el que el procesamiento de información se integra fuertemente en las actividades y objetos cotidianos.
A pesar de que el término de computación ubicua puede parecer demasiado técnico,
el mismo se basa en un campo que tiene muchas implicaciones para el proceso de enseñanza-aprendizaje. La computación ubicua, (se le llama también pervasive computing) y su proceso va aplicado a la educación, la cual intenta lograr que la tecnología sea "invisible" para el usuario.
La meta está en desarrollar entornos transparentes para que de esa manera todo usuario pueda beneficiarse sin darse cuenta que la está usando. Un ejemplo se basa cuando se usa un teléfono celular y se hace de la manera más natural en donde el esfuerzo que toma en su uso es muy mínimo.
Los sistemas de Internet inalámbrico tienen un gran impacto debido a su ubicuidad: tiene el potencial de estar disponibles en todas partes y son completamente invisibles para el usuario.
Este paradigma de computación emplea un conjunto de pequeños dispositivos móviles interconectados de forma inalámbrica entre sí para la consecución de una tarea común.
jueves, 18 de noviembre de 2010
miércoles, 3 de noviembre de 2010
COBIT Adquisición e Implementación
 |
| Cubo COBIT |
Entrega y soporte se empalma con ITIL de manera directa dicendo como hacerlos, mientras cobit no especifica los acuerdos de nivel de servicios
Monitoreo y evaluación
Todos los procesos necesitan ser evaluados regularmente a través del
tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control. planear, hacer y comprobar si se hizo.
tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control. planear, hacer y comprobar si se hizo.
• Monitorear y evaluar el rendimiento TI
• Monitorear y Evaluar el control Interno
•Garantizar el Cumplimiento Regulatorio
• Proporcionar Gobierno TI
• Monitorear y Evaluar el control Interno
•Garantizar el Cumplimiento Regulatorio
• Proporcionar Gobierno TI
viernes, 29 de octubre de 2010
Continuacion COBIT
Planeaciòn y Organizaciòn
procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
• Definir y administrar los niveles de servicio
• Administrar los servicios de terceros
• Administrar el desempeño y la capacidad
• Garantizar la continuidad del servicio
• Garantizar la seguridad de los sistemas
• Educar y entrenar a los usuarios
• Identificar y asignar costos
• Administrar la mesa de servicio y los incidentes
• Administrar la configuración
• Administrar los problemas
• Administrar los datos
• Administrar el ambiente físico
• Administrar las operaciones
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.
• Definir un Plan Estratégico de Tecnología de Información
• Definir la Arquitectura de Información
• Determinar la dirección tecnológica
• Definir los procesos , la Organización y las Relaciones de TI
• Manejar la Inversión en Tecnología de Información
• Comunicar la dirección y aspiraciones de la gerencia
• Administrar Recursos Humanos
• Administrar calidad
• Administrar y evaluar Riesgos
• Administrar proyectos
• Definir la Arquitectura de Información
• Determinar la dirección tecnológica
• Definir los procesos , la Organización y las Relaciones de TI
• Manejar la Inversión en Tecnología de Información
• Comunicar la dirección y aspiraciones de la gerencia
• Administrar Recursos Humanos
• Administrar calidad
• Administrar y evaluar Riesgos
• Administrar proyectos
Adquisición e Implementaciòn
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
Identificar soluciones de automatización
- Adquirir y mantener software de aplicación
- Adquirir y mantener la infraestructura tecnológica
- Habilitar la operación y uso
- Adquirir recursos TI
- Administrar cambios
- Instalar y acreditar soluciones y cambios
Entrega y soporte
es el proceso donde convierte al administrador de TI en un proveedor de la tecnologia que barca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye elprocesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
• Definir y administrar los niveles de servicio
• Administrar los servicios de terceros
• Administrar el desempeño y la capacidad
• Garantizar la continuidad del servicio
• Garantizar la seguridad de los sistemas
• Educar y entrenar a los usuarios
• Identificar y asignar costos
• Administrar la mesa de servicio y los incidentes
• Administrar la configuración
• Administrar los problemas
• Administrar los datos
• Administrar el ambiente físico
• Administrar las operaciones
Monitoreo y evaluación
Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
• Monitorear y evaluar el rendimiento TI
• Monitorear y Evaluar el control Interno
• Garantizar el Cumplimiento Regulatorio
• Proporcionar Gobierno TI
• Monitorear y evaluar el rendimiento TI
• Monitorear y Evaluar el control Interno
• Garantizar el Cumplimiento Regulatorio
• Proporcionar Gobierno TI
Auditorias Cruzadas
En este dia, entregaron los parciales. En el cual me saque 3.0 en la evaluaciòn academica y 3.4 en la evaluaciòn de la empresa. la cuales no son las esperadas.
Muestra y lectura del trabajo de auditorias cruzadas:
De acuerdo a la relación de procesos presentados por COBIT y la evolución en el desarrollo de nuestra empresa, desarrollaremos una auditoria integral sobre los procesos de TI en la empresa. Para realizar esta actividad nos dividiremos en equipos, los cuales tendrán un doble rol de equipo auditado (responsable) y de equipo auditor, como equipo auditor tendrá la responsabilidad de planear, estructurar y desarrollar un completo proceso de auditoría sobre los respectivos procesos; como responsable, tendrá como responsabilidad responder al proceso de auditoría.
1. El equipo auditor preparara uno o varios programas de auditoría con sus respectivas guías e instrumentos sobre los procesos señalados en la tabla. Los papeles de trabajo deben tener formalidades plenas. La firma auditora se llamará “chauditoria consultores S.A.”. Se producirá un archivo comprimido con los mencionados instrumentos que se enviaran al profesor y al equipo auditado. (en convención de denominación de archivo F=1)
2. Después de realizados se aplicarán a la empresa, donde los responsables señalados en la tabla responderán el derrotero del equipo auditor.
3. A partir de allí el equipo auditor enviará al correo del profesor un documento con los resultados del punto 1 y se montará en el wiki. (en convención de denominación de archivo F=3)
4. El equipo auditado responderá al equipo auditor y enviará copia de su respuesta al correo del profesor y lo subirá a la wiki. (en convención de denominación de archivo F=4)
5. El equipo auditor producirá un informe previo de auditoría detallado que analizará con el equipo auditado, (este informe contendrá un informe de auditoría ejecutivo con observaciones y recomendaciones), enviará copia del informe previo al correo del profesor y lo subirá a la wiki. (en convención de denominación de archivo F=5)
6. El informe corregido después del análisis con el equipo auditado se enviará al correo del profesor y lo subirán a la wiki. (en convención de denominación de archivo F=6)
7. Todos los resultados serán integrados de forma coherente a la wiki de acuerdo con lineamientos del gerente de TI de la empresa.
como documento de referencia la especificación Cobit bajo una estructura jerárquica. La dirección del proyecto estará a cargo del jefe de sistemas quien asignará roles y establecerá compromisos. En la mencionada herramienta se colocarán los resultados del trabajo de auditorías integral a
procesos.
La fecha de culminación del proyecto es para 2 semanas posteriores a su planteamiento.
La gerencia general y la jefatura de sistemas harán el seguimiento al proyecto.
Muestra y lectura del trabajo de auditorias cruzadas:
De acuerdo a la relación de procesos presentados por COBIT y la evolución en el desarrollo de nuestra empresa, desarrollaremos una auditoria integral sobre los procesos de TI en la empresa. Para realizar esta actividad nos dividiremos en equipos, los cuales tendrán un doble rol de equipo auditado (responsable) y de equipo auditor, como equipo auditor tendrá la responsabilidad de planear, estructurar y desarrollar un completo proceso de auditoría sobre los respectivos procesos; como responsable, tendrá como responsabilidad responder al proceso de auditoría.
1. El equipo auditor preparara uno o varios programas de auditoría con sus respectivas guías e instrumentos sobre los procesos señalados en la tabla. Los papeles de trabajo deben tener formalidades plenas. La firma auditora se llamará “chauditoria consultores S.A.”. Se producirá un archivo comprimido con los mencionados instrumentos que se enviaran al profesor y al equipo auditado. (en convención de denominación de archivo F=1)
2. Después de realizados se aplicarán a la empresa, donde los responsables señalados en la tabla responderán el derrotero del equipo auditor.
3. A partir de allí el equipo auditor enviará al correo del profesor un documento con los resultados del punto 1 y se montará en el wiki. (en convención de denominación de archivo F=3)
4. El equipo auditado responderá al equipo auditor y enviará copia de su respuesta al correo del profesor y lo subirá a la wiki. (en convención de denominación de archivo F=4)
5. El equipo auditor producirá un informe previo de auditoría detallado que analizará con el equipo auditado, (este informe contendrá un informe de auditoría ejecutivo con observaciones y recomendaciones), enviará copia del informe previo al correo del profesor y lo subirá a la wiki. (en convención de denominación de archivo F=5)
6. El informe corregido después del análisis con el equipo auditado se enviará al correo del profesor y lo subirán a la wiki. (en convención de denominación de archivo F=6)
7. Todos los resultados serán integrados de forma coherente a la wiki de acuerdo con lineamientos del gerente de TI de la empresa.
Trabajo desarrollo grupo de auditoria
El grupo de sistemas de la empresa (todo el grupo) se le encomienda la tarea de desarrollar un aplicativo, basado en la web, que sirva de referencia para registrar y administrar los resultados de este ejercicio de auditoría integral de tecnologías de información en la empresa, para ello se usaracomo documento de referencia la especificación Cobit bajo una estructura jerárquica. La dirección del proyecto estará a cargo del jefe de sistemas quien asignará roles y establecerá compromisos. En la mencionada herramienta se colocarán los resultados del trabajo de auditorías integral a
procesos.
La fecha de culminación del proyecto es para 2 semanas posteriores a su planteamiento.
La gerencia general y la jefatura de sistemas harán el seguimiento al proyecto.
Suscribirse a:
Entradas (Atom)