Auitoria Empresa De Software

INTRODUCCION

Realizaremos una auditoria de seguridad informática a la empresa SIPECOM con el fin de mirar cómo están funcionando los distintos Controles de seguridad, para así nosotros como estudiantes y trabajadores poder aportar a la compañía mejorando la seguridad de todo el sistema que maneja.

OBJETIVOS GENERALES

Aplicar los conocimientos adquiridos en clase en la compañía donde se realizara la auditoria, para así buscar las fallas principales que están afectando la seguridad, Incrementar la satisfacción de los usuarios Asegurando una mayor integridad, confidencialidad y confiabilidad de la información. También mirar el funcionamiento de los Controles de Seguridad que se tienen en funcionamiento, mirar sus fallas y así poder mejorar estos de un modo que la compañía no se vea tan afectada a la hora de sufrir daños tanto en el sistema como en la información.

OBJETIVOS ESPECIFICOS

 Incrementar la satisfacción de los usuarios de los sistemas computarizados

 Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

 Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

 Seguridad de personal, datos, hardware, software e instalaciones

 Apoyo de función informática a las metas y objetivos de la organización

 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático

 Minimizar existencias de riesgos en el uso de Tecnología de información

 Decisiones de inversión y gastos innecesarios

 Capacitación y educación sobre controles en los Sistemas de Información

Visión

Ser la primera opción para el análisis, diseño y desarrollo de soluciones informáticas que ayuden a mejorar los procesos de nuestros clientes que coadyuven a optimizar sus costos y a incrementar sus ventas.

Misión

Competir, efectiva y profesionalmente en el mercado local e internacional brindando soluciones de software, consistentes con las mejores prácticas y estándares tecnológicos, a nuestros clientes que satisfagan sus necesidades, haciendo que el manejo de su información sea más eficiente, productivo y seguro.

La Empresa

“Nuestra compañía sabe reconocer los problemas de nuestros clientes y darles una solución inmediata y satisfactoria, contamos con profesionales de muy alto nivel, lo cual nos ayuda a actuar de una manera eficaz. Cada día fortalecemos la comunicación y la confianza con todos nuestros clientes, mediante el trabajo constante y soluciones a tiempo”

Metodología COBIT

COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT GovernanceInstitute (ITGI).

COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.

Modelo de Madurez

El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un método de asignación de puntos para que una organización pueda calificarse desde Inexistente hasta Optimizada (de 0 a 5).

Este planteamiento se basa en el Modelo de Madurez que el Software EngineeringInstitute definió para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable.

Modelo Genérico de Madurez

0 Inexistente: Total falta de un proceso reconocible. La organización ni siquiera ha reconocido que hay un problema que resolver.

1 Inicial: Hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado.

2 Repetible: Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores.

3 Definida: Los procedimientos han sido estandarizados y documentados, y comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes.

4 Administrada: Es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica. Se usan la automatización y las herramientas en una forma limitada o fragmentada.

5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados de mejoramiento continuo y diseño de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez.

Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a explicar a los administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos para donde necesitan estar comparando las prácticas de control de su organización

...