Reconocer el concepto FODA y sus componentes Es una herramienta que permite conformar un cuadro de la situación actual del objeto de estudio (persona, empresa u organización, etc) permitiendo de esta manera obtener un diagnóstico preciso que permite, en función de ello, tomar decisiones acordes con los objetivos y políticas formulados.
Definir concepto de ITIL
ITIL (IT Infrastructure Library, biblioteca de infraestructura de TI) = Marco de referencia que describe un conjunto de mejores prácticas y recomendaciones para la administración de servicios de TI, con un enfoque de administración de procesos. Ventajas
Mejora la comunicación con los clientes finales a través de los diversos puntos de contacto acordados.
Los servicios se detallan en lenguaje del cliente y con más detalles.
Se maneja mejor la calidad y los costos de los servicios.
Desventajas
Tiempo y esfuerzo necesario para su implementación.
Que no se dé el cambio en la cultura de las áreas involucradas.
Que no se vea reflejada una mejora por falta de entendimiento, sobre procesos, indicadores y como pueden ser controlados.
Lineamientos y/o estándares que ayudan en el control, operación, administración de recursos y servicios informáticos El auditor de las tecnologías de información y comunicaciones, deberá de tener conocimientos de los diferentes estándares que ayudan al control, operación y administración de los recursos tecnológicos, control de inversiones en tecnología de información y comunicaciones a nivel físico y lógico y procesos documentados de tecnología de información y comunicaciones.
Esta fase es claramente una fase delicada por cuanto es el momento en el que se presentan deficiencias, situaciones anómalas o cuanto menos mejorables. Es el momento de que los responsables comprometidos conozcan las conclusiones obtenidas por los auditores en la realización de la fase anterior.
Estas conclusiones por supuesto que se discutirán con las personas afectadas, por lo que han de ir lo suficientemente argumentadas, probadas y documentadas como para que no puedan ser refutadas en las primeras discusiones. 1. Una breve descripción de la situación actual en la cual se reflejan los puntos más importantes.
2. una descripción detallada que comprende:
Los problemas detectados.
Posibles causas, problemas y fallas que originaron la situación presentada.
Repercusiones que pueden tener los problemas detectados.
Alternativas de solución.
Comentario y observaciones de la Dirección de Informática y de los usuarios sobre las soluciones propuestas.
Si se opta por una alternativa de solución, cuáles son sus repercusiones, ventajas y desventajas, y tiempo estimado para efectuar el cambio.
3. Debe hacerse hincapié en cómo se corregirá el problema o se mejorará una determinada situación, se obtendrán los beneficios, en cuanto tiempo y cuáles son los puntos débiles.
Se debe romper la resistencia a la lectura que tienen algunos ejecutivos por medio de conclusiones concretas (tratar de que se entiendan los términos técnicos, de ser posible utilizar técnicas audiovisuales).
Tipos de opiniones (favorables, desfavorables, denegada, salvedades) Favorable: es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo con la normativa legal y profesional. Desfavorable: es aplicable en el caso de identificación de irregularidades y de incumplimiento de la normativa legal y profesional, que afecten significativamente a los objetivos de la AI. Denegada: puede tener su origen en las limitaciones al alcance de auditoría, irregularidades, y al incumplimiento de normativa legal y profesional. Con Salvedades: Se aplica cuando el sistema es válido pero tiene algunos fallos que no lo invalidan. Componentes de un informe
Identificación del Informe
El título del Informe deberá identificarse como objeto de distinguirlo de otros informes
Identificación del Cliente
Debe identificarse a los destinatarios y a las personas que efectúen el encargo
Identificación de la Entidad auditada
Identificación de la entidad objeto de la Auditoría Informática
Objetivos de la Auditoría Informática
Declaración de los objetivos de la Auditoría para identificar su propósito, señalando los
objetivos incumplidos.
Normativa aplicativa y excepciones
Identificación de las normas legales y profesionales utilizadas, así como las excepciones
significativas de uso y el posible impacto en los resultados de la Auditoría
Alcance de la Auditoría
Concretar la naturaleza y extensión del trabajo realizado: área organizativa, período de
auditoría, sistemas de información..., señalando limitaciones del alcance y restricciones
del auditado
Conclusiones: Informe corto de opinión
El Informe debe contener uno de los siguientes tipos de opinión: favorable o sin
salvedades, con salvedades, desfavorable o adversa, y denegada
Resultado: Informe largo y otros informes
Este tipo de informe permite saber más.
Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la AI
Informe previo
Este tipo de informe permite tener información de referencia
Fecha del Informe
Permite conocer la magnitud del trabajo y sus implicaciones
Identificación y firma del Auditor
Distribución del Informe
Se define quienes podrán hacer uso del Informe
Conclusiones:
Es un juicio de valor u opinión personal con justificación. Características de un informe
Información veraz, confiable y oportuna y sin distorsiones ni tendencias que demeriten el trabajo realizado. El contenido del informe debe ser congruente con lo observado, sin inventar, distorsionar o modificar lo encontrado en la evaluación.
Evidencia La evidencia de auditoría es la información que obtiene el auditor para extraer conclusiones en las cuales sustenta su opinión. Una evidencia se considera competente y suficiente si cumple las características siguientes:
Relevante.- Cuando ayuda al auditor a llegar a una conclusión respecto a los objetivos específicos de auditoría.
Autentica.- Cuando es verdadera en todas sus características.
Verificable.- Es el requisito de la evidencia que permite que dos o más auditores lleguen por separado a las mismas conclusiones, en iguales circunstancias.
Neutral.- Es requisito que esté libre de prejuicios. Si el asunto bajo estudio es neutral, no debe haber sido diseñado para apoyar intereses especiales. Irregularidad El concepto de irregularidad en la Norma Técnica de Auditoria se refiere, a los actos u omisiones intencionadas, cometidas por uno o más individuos, sean de los administradores, de la dirección, de los empleados de la entidad auditada, o de terceras personas ajenas a ésta, que alteran la información. Papeles de Trabajo
Los papeles de trabajo son el conjunto de documentos que contienen la información obtenida por el auditor en su revisión, así como los resultados de los procedimientos y pruebas de auditoría aplicados; con ellos se sustentan las observaciones, recomendaciones, opiniones y conclusiones contenidas en el informe correspondiente. Documentación
Es de gran importancia la elaboración y conservación de la documentación de auditoria, para el cliente como para el auditor ya que esta es el resultado de todo el proceso de auditoría.
Comprobar que existan los contratos de seguro necesarios
para el hardware y software de la empresa (elementos requeridos para el
funcionamiento continuo de las aplicaciones básicas).
Esta información debe de verificarse con los responsables de
la seguridad en informática, con los responsables del centro de cómputo, de
comunicaciones y usuarios que el auditor considere pertinentes.
Se evalúan principalmente:
Distribución del hardware (ubicación física).
Registro del hardware instalado, dado de baja, proceso de
adquisición, etc.
Uso del mismo: desarrollo, operación, mantenimiento,
monitoreo y toma de decisiones.
Acceso al hardware (llaves de seguridad).
Bitácoras de uso (quién, cuando, para qué, entre otros
puntos).
La seguridad en el procesamiento de
información, comunicaciones en redes de área local (LAN)y en redes de área extensa (WAN) y en la transmisión
de datos, es una premisa imprescindible en
la mayoría de las entidades, que avala las inversiones realizadas de recursos
tanto humanos como materiales.
Con las actividades de análisis y síntesis que
supone una auditoría de red, la empresa u organismo comprobará el estado de su
instalación de red, desde los niveles más bajos (componentes electrónicos,
lógica digital y sistemas micro programados) hasta los protocolos empleados por
las aplicaciones de usuario de mayor nivel en la arquitectura de red.
La arquitectura de red se define por la visión
de cada uno de los esquemas de cada parte:
Físico, desde el punto de vista del hardware,
mostrando la topología o distribución física
de las máquinas que componen la red.
Lógico, desde la perspectiva de la
distribución de los servicios prestados por cada nodo de la red, clasificación de los distintos tipos de
tráfico, la estructura lógica de la red (división en subredes, VLANs, etc.)
Administrativo, desde la perspectiva en
posesión de los recursos humanos encargados de las tareas relacionadas con la gestión, administración y
mantenimiento de la red.
Existen diversos tipos de auditorías de redes
debido fundamentalmente al grado de escalabilidad
y personalización obtenidos.
Adicional a esta información dejo un video en
la parte de abajo el cual muestra cómo es que debe estar realizado un site de comunicaciones
basándose en las normas ANSI EIA/TIA, así como un video mostrando las capas
del modelo OSI.
La selección de proveedores se refiere a la selección de
auditores en este caso.
Características
Educación y
experiencia
Estudios técnicos.
Capacidad para
expresar conceptos e ideas con claridad.
Capacidad para tomar decisiones objetivamente, trabajar en grupo y evaluar
razonablemente.
Fluidez en forma
oral y escrita.
Haber cursado otros
estudios requeridos internamente por la empresa.
Entrenamiento
Conocimiento de
las normas aplicables.
Técnicas de
examen, indagación, evaluación y presentación de informes.
Destrezas
adicionales para administrar una auditoría (planificación, organización,
comunicación y dirección).
Entrenamiento
práctico en auditorías.
Atributos personales
Mente abierta y
juiciosa.
Buen criterio.
Aptitudes
analíticas y tenacidad.
Habilidad para
percibir situaciones en forma realista.
Comprender
operaciones complejas desde una perspectiva amplia.
Procedimientos para
la selección de proveedores
Selección de candidatos: formación
profesional, experiencia, certificados de capacitación, habilidades (actitud pro-activa, analítico, metódico).
Calificación: en base a un cuestionario
realizado se determinan sus capacidades, tales resultados determinan si se
trata de un auditor líder o de un auditor común.
Evaluación del desempeño: se realiza con el
objetivo de mantener un grupo de auditores competentes, aportando datos de
referencia de desempeño del auditor, desenvolvimiento del auditor así como la
ejecución de sus auditorías.
El siguiente video muestra de manera gráfica como es que hay que llevar a cabo la selección de los auditores.
Una ves escogido el equipo de trabajo un punto a tomar en cuenta para empezar a realizar el trabajo es revisar el licenciamiento de software.
Las licencias son de gran importancia tanto para el
software propietario como para el software libre, igual que cualquier contrato.
Un caso especial, en lo que concierne a la
propiedad sobre el software, lo constituyen los programas denominados de
dominio público, porque sus creadores renuncian a los derechos de autor.
Elementos que se licencian
Normalmente se concede permiso de utilización de los
archivos binarios junto con sus manuales, sea que estos últimos se entreguen en
papel o en formato digital, pero ahora que el software libre está en auge cada
vez es más frecuente recibir los archivos fuentes de los programas y la
autorización para analizarlos y modificarlos, si se desea. Es decir, los
elementos que se pueden licenciar son:
Archivos binarios.
Archivos fuentes.
Manuales y documentación relacionada.
Normalmente las licencias del software se
aplican al software considerado como un todo, es decir, la documentación que
acompaña al software es considerada como parte del software.
Otras características de las licencias de uso
del software
Garantía limitada o ausencia de garantía: Normalmente no se ofrece ninguna garantía del
correcto funcionamiento del software que se licencia, o se ofrece una garantía
muy limitada.
Forma de presentación de las licencias: Igual que la documentación, físicamente las
licencias pueden corresponder a material impreso o archivos en medios
digitales, es decir, pueden venir en papel o en disco, o en los dos medios.
Validez de las licencias: Las licencias permanecen vigentes en el tiempo,
sin importar los virajes que puedan sufrir las licencias posteriores
correspondientes a nuevas versiones de los programas.
Validez de las traducciones de las licencias: Las licencias de uso pueden ser traducidas a
otros idiomas diferentes al país de origen, sin embargo ninguna de ellas tendrá
valor legal, siendo necesario remitirse siempre a la original.
A continuación coloco un video en el cual de explica mas a detalle el licenciamiento se software:
