Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA
CURSO: AUDITORIA Y CONTROL DE TECNOLOGIA DE INFORMATICA
(SESION 10)
Profesor: Mg. Mario Huapaya Chumpitaz
INDICE
UNIDAD II: Auditoria de Informática
1. Conceptos de Auditoria y Infraestructura Tecnológica 2. ITIL un Conjunto de Buenas Practicas3. COBIT como Mejores Practicas4. Auditoria de Infraestructura Tecnológica5. Caso practico
¿Qué es Auditoria de Sistemas?Se encarga de llevar a cabo la evaluaciónde normas, controles, técnicas yprocedimientos que se tienenestablecidos en una empresa, para lograrconfiabilidad, oportunidad, seguridad yconfidencialidad de la información quese procesa a través de los sistemas deinformación. La auditoría de sistemas esuna rama especializada de la auditoríaque promueve y aplica conceptos deauditoría en el área de sistemas deinformación.
1. Concepto de Auditoria e Infraestructura Tecnologica
Arquitectura de servicios tecnológicos Arquitectura de seguridad Mapas o diagramas de red y comunicaciones. Vista de despliegue de la infraestructura tecnológica
(servidores, centros de cómputo, redes, entre otros) Planes de Gestión de la continuidad Tecnología e Infraestructura que permiten la disponibilidad de
servicios de TI. Acuerdos de nivel del Servicio Matriz de sistemas de información vs servicios tecnológicos. Documentos de Gestión de seguridad informática Monitoreo de la calidad del servicio Mesa de servicio Proceso de mantenimiento.
1. Concepto de Auditoria e Infraestructura Tecnologica
La gestión de la tecnología de la información se lleva a cabomediante la adopción de buenas prácticas, ampliamenteusadas, que proceden de diversas fuentes como son losestándares ISO 9000, 27001, COBIT, ITIL, entre otros.
1. Concepto de Auditoria e Infraestructura Tecnologica
Enfoque a la Infraestructura TecnológicaSe debe conocer, comprender y analizar de manera global lagestión en tecnología de la información, su infraestructura oplataforma tecnológica y los sistemas de información aplicados ala organización, tales como: Granja de servidores y sus características Seguridad perimetral Estructura de redes Sistemas operativos Software y hardware de seguridad Inventario de hardware y software (con el propósito de
establecer el nivel de obsolescencia o actualización) Adquisiciones (Inversiones) en recursos de tecnología de la
información
1. Concepto de Auditoria e Infraestructura Tecnologica
¿Qué es infraestructura?Es la tecnología y las instalaciones (hardware, sistemasoperativos, sistemas de administración de base de datos,redes, multimedia, etc., así como el sitio donde seencuentran y el ambiente que los soporta) que permiten elprocesamiento de las aplicaciones.
1. Concepto de Auditoria e Infraestructura Tecnologica
¿Qué es un servidor?Es una computadora, la cual presta servicios de conexión otrasferencia de información, éste es útil dentro de variosrubros de la comunicación o niveles de la información, ya queayudan a mantener en servicio páginas Web las 24 horas los 7días de la semana.
1. Concepto de Auditoria e Infraestructura Tecnologica
2. ITIL un Conjunto de Buenas Practicas
Con foco en el servicio a través de los procesos
2. ITIL un Conjunto de Buenas Practicas
La nueva visión de TI como Proveedor de Servicios
2. ITIL un Conjunto de Buenas Practicas
Cambio en la visión de TI
2. ITIL un Conjunto de Buenas Practicas
¿Qué es ITIL?
2. ITIL un Conjunto de Buenas Practicas
Information Technology Infrastructure Library Biblioteca sobre:
Provisión de Servicios basados en IT Administración de la Infraestructura de IT
Generados por la OGC (UK Office of GovernmentCommerce), recolectando la experiencia de los referentes de mercado.
Mejores Prácticas (no metodología). Lineamientos (no recetas). Debe ser adaptado a cada caso:
¿Qué procesos son críticos en mi caso? ¿Cómo implemento en concreto cada proceso?
(procedimientos, definición de responsabilidades y autoridades, herramientas)
¿Qué NO es ITIL?
2. ITIL un Conjunto de Buenas Practicas
Una herramienta de Software. La solución que un proveedor quiere imponer. Un conjunto de procedimientos a cumplir/seguir. El reemplazo de todo lo que ya hacemos bien. Lo único necesario para brindar un mejor servicio. Independiente de la cultura organizacional. La solución a todos nuestros males.
ITIL V3
2. ITIL un Conjunto de Buenas Practicas
Cadena de Valor de TI y sus Procesos
2. ITIL un Conjunto de Buenas Practicas
Cadena de Valor de TI e ITIL como Modelo de Referencia
2. ITIL un Conjunto de Buenas Practicas
COBIT (Control Objectives for Information and related Technology)es una guía de mejores prácticas presentado como marco detrabajo, dirigida al control y supervisión de los objetivos de lastecnologías de la información (TI). Es mantenido por ISACA y el ITGI ( IT Governance Institute), contiene recursos que pueden servirde modelo de referencia para la gestión de TI, incluyendo unresumen ejecutivo, un framework, objetivos de control, mapas deauditoría, herramientas para su implementación y principalmente,una guía de técnicas de gestión.
3. COBIT como mejores practicas
La creación de valor es un objetivo del Gobierno de las TI
3. COBIT como mejores practicas
Principios de COBIT 5
3. COBIT como mejores practicas
Cascada de metasde COBIT 5
3. COBIT como mejores practicas
Metas Corporativas de Cobit5
3. COBIT como mejores practicas
Metas relacionadas con TI
3. COBIT como mejores practicas
Enfoque de GobiernoEl enfoque de gobierno extremo-a-extremo que es la base de COBIT 5 está representado en la figura, mostrando los componentes clave de un sistema de gobierno
3. COBIT como mejores practicas
Los catalizadores son factores que, individual y colectivamente, influyensobre si algo funcionará – en este caso, el gobierno y la gestión de laempresa TI
3. COBIT como mejores practicas
La figura muestra el conjunto completo de los 37 procesos de gobierno ygestión de COBIT 5.
3. COBIT como mejores practicas
Existen algunas metodologías de Auditorías de Sistemas y todasdependen de lo que se pretenda revisar o analizar, pero comoestándar analizaremos las cuatro fases básicas de un proceso derevisión: Estudio preliminar Revisión y evaluación de controles y seguridades Examen detallado del área de Infraestructura Tecnológica Comunicación de resultados
4. Auditoria de Infraestructura Tecnológica
Metodología de Auditoria Informática
Es muy importante que el auditor, conozca el entorno de laentidad y del Área de Tecnología de la Información, procesossistematizados, organización del área de tecnología deinformación y comunicaciones, planes estratégicos de TIC,planes operativos, planes de contingencia y/o continuidaddel negocio relacionado con la tecnología de la información,planes de mantenimiento preventivo y correctivo de laplataforma tecnológica con la que cuenta la entidad,
4. Auditoria de Infraestructura Tecnológica
Conocimiento de la empresa y el área de TIC
Organización de área TIC.El auditor debe de conocer, comprender y analizar la arquitecturaorganizacional de la Entidad de manera general, así como larelación que mantiene con otras organizaciones y delconocimiento de la función del área de Tecnología de Informacióny Comunicaciones principalmente en aspectos como: ArquitecturaOrganizacional, Ideas Rectoras, Objetivos y metas operativas,Instrumentos Administrativos, Organización y función, Procesos,Productos y/o Servicios, Insumos y el entorno de la función deTecnología de Información y Comunicaciones (clientes)
Conocimiento de la empresa y el área de TIC
4. Auditoria de Infraestructura Tecnológica
Infraestructura Tecnológica de la entidad auditada.El auditor debe conocer, comprender y analizar de forma general laGestión en Tecnología de la Información, la infraestructura oplataforma tecnológica y los sistemas de información aplicados a laentidad, tales como: Granja de Servidores y sus características Seguridad Perimetral Estructura de redes Sistemas Operativos Software y hardware de seguridad El inventario de Hardware y Software con el propósito de establecer
el nivel de obsolescencia o actualización. Servicios tercerizados contratados por la entidad y vinculados on la
tecnología de la información y comunicaciones. Adquisiciones (Inversiones) en recursos de Tecnología de la
información. Infraestructura eléctrica, entre otras.
Conocimiento de la empresa y el área de TIC
4. Auditoria de Infraestructura Tecnológica
Plan Estratégico de Tecnología de la Información yComunicacionesLos temas mínimos que debe tener el PETIC: Objetivos estratégicos institucionales Misión Visión Acciones estratégicas Procesos que serán automatizados Usuarios que intervienen en el proceso Recursos humanos, materiales, financieros y técnicos Cronograma de implementación de proyectos
Conocimiento de la empresa y el área de TIC
4. Auditoria de Infraestructura Tecnológica
Plan Operativo InformáticoLos temas mínimos que debe tener el POI: Objetivo general Objetivos específicos Líneas estratégicas y acciones a corto plazo Responsables de los proyectos a desarrollar. Recursos humanos, materiales, financieros y técnicos Cronogramas de actividades a desarrollar en el periodo.
Conocimiento de la empresa y el área de TIC
4. Auditoria de Infraestructura Tecnológica
Planes de ContinuidadEs un conjunto de tareas que el área de TIC debe realizar en casode fallas en los sistemas impidan el normal funcionamiento de losservicios TIC, el fin es recuperar a la brevedad las operaciones dela organización.
El auditor debe conocer y analizar el plan de contingenciaimplementado por la entidad para poder auditarlo, con elpropósito de determinar el grado de efectividad y eficiencia parabrindar continuidad en los servicios de TIC y minimizar laprobabilidad y el impacto de interrupciones en los servicios,funciones y procesos claves del negocio.
Conocimiento de la empresa y el área de TIC
4. Auditoria de Infraestructura Tecnológica
Planes de MantenimientoEl auditor debe comprender y analizar los planes demantenimiento de la Infraestructura o plataforma Tecnología(hardware y software) implementado por el área de TIC, con elobjetivo de verificar que la plataforma tecnológica garantice unfuncionamiento continuo, disponibilidad y oportunidad de lainformación.
Conocimiento de la empresa y el área de TIC
4. Auditoria de Infraestructura Tecnológica
Presupuesto TecnológicoEl auditor debe revisar que las inversiones en recursostecnológicos hechas por las entidades del sector público, hancontribuido a maximizar el desempeño de la organización y siéstas fueron administradas adecuadamente.
El área de Tecnología de Información y Comunicaciones debeconcentrar un presupuesto tecnológico institucional queconsidere todas las necesidades de (hardware y software), para loque, el auditor debe verificar que toda contratación se incluya yse autorice en el plan anual de compras.
Conocimiento de la empresa y el área de TIC
4. Auditoria de Infraestructura Tecnológica
El auditor debe obtener de la entidad auditada los informes ypapeles de trabajo de auditoría de tecnologías de información ycomunicaciones emitidos por la Unidad de Auditoría Interna y lasFirmas Externas de Auditoría, con el objetivo de analizar y evaluarlos hallazgos con los respectivos atributos, su impacto,importancia relativa y la evidencia de soporte, y así determinar loshallazgos que serán incorporados en el informe de auditoría.
El proceso de análisis y evaluación deberá plasmarse en papeles de trabajo que elaborará el auditor informático.
Incorporación de Hallazgos de Auditoría Internas y externas
4. Auditoria de Infraestructura Tecnológica
5. Caso Practico
Caso: Auditoría Informática de Infraestructura Tecnológica; lainformación debe ser de una empresa u organización que ustedesconozcan o en todo caso tomar la infraestructura de la FISI-UNMSM
Definir lo siguiente:
1. Objetivo2. Alcance3. Metodología4. Equipo de trabajo.5. Herramientas a Utilizar:6. Tiempo de duración de la auditoría (cronograma7. Listado de los activos: hardware y software8. Servidores principales9. Describir las redes LAN y WAN10. Esquemas de replicación de datos11. Arquitectura de base de datos12. Arquitectura de los sistemas de seguridad
Muchas [email protected]