Aplicación de la auditoría institucional

INSTITUTO TECNOLOGICO DE VILLAHERMOSA

TECNOLOGIAS DE LA INFORMACION Y COMUNICACIONES

AUDITORÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

FELIX DÍAZ VILLANUEVA

APLICACIÓN DE LA AUDITORÍA INSITU

JORGE ALBERTO GONZALEZ REAL

HECTOR DANIEL TRIANA ALFARO

WILFRED SÁNCHEZ JUÁREZ

VILLAHERMOSA TABASCO, NOVIEMBRE 2017

Aplicación de la auditoría insitu.

Se procederá al cierre de las No Conformidades de la revisión de la documentación, si existiesen, después de estudiar los cambios realizados a la documentación indicada en las acciones correctoras propuestas. Se confirmará el programa de auditoría y el equipo auditor admitirá, siempre que sea posible, las modificaciones propuestas por el cliente en este caso la empresa BIMBO relativas a la indisponibilidad de personal o de las instalaciones.

4.1. Áreas a auditar.

4.1.1 Auditoría de la dirección Informática.

Se procedió a la revisión de las actividades del proceso de dirección de los sistemas de información como el planificar, una buena organización y control. La buena planificación debe tratar de proveer la utilización de tecnologías de la información realizando la construcción de un plan estratégico de sistemas de información. La revisión en esta área de la empresa BIMBO debemos ver la estructura de los recursos, flujos de información y controles que permitan alcanzar los objetivos marcados durante la planificación.

4.1.2 Auditoría de la Seguridad Física y lógica.

En este ámbito se realizaron algunas actividades en la empresa BIMBO como lo que fue la revisión de la seguridad físico y/o lógico, los mecanismos de seguridad manejados por la empresa y mantenimiento de la red. El objetivo era el verificar hasta qué punto las instalaciones físicas ofrecen garantías y han sido estudiadas las vulnerabilidades existentes, evaluar los errores o situaciones anómalas que se puedan producir, así como también verificar la existencia de procedimientos para detectar equipos que pudiesen estar produciendo dichas situaciones anómalas.

4.1.3. Auditoría de servicios de subcontratación.

Identificamos el alcance de lo que está considerando para la BIMBO, establecemos los criterios, iniciales y los factores “adelante/alto” para las decisiones iniciales. Asigna recursos iniciales para “poner las semillas” del proyecto. ¿CUÁNTO TIEMPO? De dos a cuatro semanas. ¿QUIÉN PARTICIPA? Esta fase es iniciada por el gerente ejecutivo o un miembro del consejo que esté patrocinando el estudio de factibilidad.

FASE 1 EVALUACIÓN: En el definimos el alcance y los límites del proyecto a la vez dimos información en qué grado el proyecto satisfaga los criterios establecidos.

FASE 2 PLANEACIÓN DETALLADA: Establecimos los criterios para la licitación, definimos con detalle los requisitos y preparamos una lista breve de invitaciones para el concurso, en un plazo de 8 a 10 semanas. El equipo formado durante la fase 1, más 1 representante de compras (abastecimiento o contratos), del departamento jurídico y de recursos humanos, en caso de que no estén representados.

FASE 3 CONTRATACIÓN

Seleccionó a un contratista como resultado de un proceso de licitación. identificamos a un proveedor de respaldo.  De tres a cuatro meses.  El equipo central de la fase de planeación participa en esta etapa, puede incluir asesores externos. Participarán contratistas y sus socios.

FASE  4 TRANSICIÓN AL NUEVO SERVICIO

Establecimos los procedimientos para la administración de la función subcontratada. Transferimos la responsabilidad formal de las operaciones. Transferimos personal y activos según se hayan acordado. En un tiempo de dos a tres meses. En donde participo el equipo central y el gerente de función de la función subcontratada. Recursos Humanos, usuarios, gerencia y personal del proveedor.

FASE 5 ADMINISTRACIÓN Y REVISIÓN.

Revisamos el contrato de forma regular, comparándolo contra los niveles de servicios acordados. Planeamos las negociaciones para tomar en cuenta los cambios y requerimientos adicionales. De uno a cinco años, dependiendo de la duración del contrato será el tiempo. Normalmente de tres a cinco años.

4.1.4 Auditoría de bases de datos

En este proceso nos permitió medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar:

• Quién accede a los datos.
• Cuándo se accedió a los datos.
• Desde qué tipo de dispositivo/aplicación.
• Desde que ubicación en la Red.
• Cuál fue la sentencia SQL ejecutada.
• Cuál fue el efecto del acceso a la base de datos.

Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:

• Mitigar los riesgos asociados con el manejo inadecuado de los datos.
• Apoyar el cumplimiento regulatorio.
• Satisfacer los requerimientos de los auditores.
• Evitar acciones criminales.
• Evitar multas por incumplimiento.

4.1.5 Auditoría de aplicaciones.

Las actuaciones que se llevan a cabo para realizar la Auditoría de

...