Auitoria Empresa De Software

INTRODUCCION

Realizaremos una auditoria de seguridad informática a la empresa SIPECOM con el fin de mirar cómo están funcionando los distintos Controles de seguridad, para así nosotros como estudiantes y trabajadores poder aportar a la compañía mejorando la seguridad de todo el sistema que maneja.

OBJETIVOS GENERALES

Aplicar los conocimientos adquiridos en clase en la compañía donde se realizara la auditoria, para así buscar las fallas principales que están afectando la seguridad, Incrementar la satisfacción de los usuarios Asegurando una mayor integridad, confidencialidad y confiabilidad de la información. También mirar el funcionamiento de los Controles de Seguridad que se tienen en funcionamiento, mirar sus fallas y así poder mejorar estos de un modo que la compañía no se vea tan afectada a la hora de sufrir daños tanto en el sistema como en la información.

OBJETIVOS ESPECIFICOS

 Incrementar la satisfacción de los usuarios de los sistemas computarizados

 Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

 Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

 Seguridad de personal, datos, hardware, software e instalaciones

 Apoyo de función informática a las metas y objetivos de la organización

 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático

 Minimizar existencias de riesgos en el uso de Tecnología de información

 Decisiones de inversión y gastos innecesarios

 Capacitación y educación sobre controles en los Sistemas de Información

Visión

Ser la primera opción para el análisis, diseño y desarrollo de soluciones informáticas que ayuden a mejorar los procesos de nuestros clientes que coadyuven a optimizar sus costos y a incrementar sus ventas.

Misión

Competir, efectiva y profesionalmente en el mercado local e internacional brindando soluciones de software, consistentes con las mejores prácticas y estándares tecnológicos, a nuestros clientes que satisfagan sus necesidades, haciendo que el manejo de su información sea más eficiente, productivo y seguro.

La Empresa

“Nuestra compañía sabe reconocer los problemas de nuestros clientes y darles una solución inmediata y satisfactoria, contamos con profesionales de muy alto nivel, lo cual nos ayuda a actuar de una manera eficaz. Cada día fortalecemos la comunicación y la confianza con todos nuestros clientes, mediante el trabajo constante y soluciones a tiempo”

Metodología COBIT

COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT GovernanceInstitute (ITGI).

COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.

Modelo de Madurez

El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un método de asignación de puntos para que una organización pueda calificarse desde Inexistente hasta Optimizada (de 0 a 5).

Este planteamiento se basa en el Modelo de Madurez que el Software EngineeringInstitute definió para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable.

Modelo Genérico de Madurez

0 Inexistente: Total falta de un proceso reconocible. La organización ni siquiera ha reconocido que hay un problema que resolver.

1 Inicial: Hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado.

2 Repetible: Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores.

3 Definida: Los procedimientos han sido estandarizados y documentados, y comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes.

4 Administrada: Es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica. Se usan la automatización y las herramientas en una forma limitada o fragmentada.

5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados de mejoramiento continuo y diseño de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez.

Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a explicar a los administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos para donde necesitan estar comparando las prácticas de control de su organización con los ejemplos de la mejor práctica. El nivel correcto de madurez estará influenciado por los objetivos de negocio y el entorno operativo de la empresa. Específicamente, el nivel de madurez de control dependerá de la dependencia de TI que tenga la empresa, de la sofisticación de la tecnología y, lo que es más importante, del valor de su información.

Auditoria de TICS Aplicando Cobit

Área a Auditar

La auditoría se realizara en el departamento de informática de la empresa, ya que es el lugar donde se maneja gran parte de la información de la empresa como el manejo de los equipos tecnológicos.

Proceso de recolección de la información

A través de observación directa y una guía de entrevista estructurada realizada al jefe del departamento de informática y posterior al gerente general, se pudieron determinar las fallas presentadas en el departamento y poder obtener mayor cantidad de evidencias.

Documentos de gestión en el área de informática

Actualmente los documentos utilizados por el departamento de informática son:

 Manual de respaldo de equipos

 Manual de uso de sistemas de información

 Manual de contingencias

 Manual de procedimientos administrativos

A pesar de ello, no existen manuales de procedimientos para mantenimiento de equipos o normativas de uso para los equipos tecnológicos de la empresa.

Plan de auditoría en el área de informática

Para el plan de auditoría en el área de informática que han evaluado ciertos procedimientos para el mejor alcance y precisión de la auditoria y la recolección de evidencias.

N ACTIVIDADES

1 Entrevista Con el Jefe del departamento de informática y Gerente General

2 Observación directa en los procesos del departamento

3 Análisis de los manuales que contiene el departamento

4 Revisión de Carpetas de historiales de equipos

5 Evaluar las tecnologías de información (TI), tanto en hardware como el software

6 Evaluar la seguridad de la información y de los equipos tecnologías de la empresa

Herramientas y Técnicas

Herramientas Técnicas

 Cuaderno de Apuntas

 Sistema Microsoft Office

 Lápices

 Aplicación Everest

 Hojas de papel

 Otros  Observación Directa

 Entrevista Estructurada

Motivos o Necesidades de la Auditoria

 Síntomas de inseguridad en el mantenimiento de la información.

 Quejas de los usuarios que manejan los sistemas de información.

 Búsqueda de una nueva opinión acerca de los procesos informáticos dentro de la organización

 Síntomas de fallas en integridad de la información.

Modelos de Madurez a Nivel Cualitativo (coso)

OBJETIVOS DE CONTROL DE COBIT CRITERIOS DE INFORMACIÓN DE COBIT RECURSOS DE TI DE COBIT

EFECTIVIDAD EFICIENCIA CONFIABILIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD PERSONAS INFORMACION APLICACIÓN INFRAESTRUCTURA

PLANEAR Y ORGANIZAR

PO1 Definir un plan estrategia de TI P S X X X X

PO2 Definir la arquitectura dela información P S S P X X

PO3 Definir la dirección tecnológica P P X X

PO4 Definir los procesos, organización y relaciones de TI P P X

PO5 Administrar

...