Trabajo: Realización de un EDR o ROA
Enviado por Antonio Vinsmoke • 5 de Enero de 2022 • Trabajo • 2.371 Palabras (10 Páginas) • 482 Visitas
Asignatura | Datos del alumno | Fecha |
Auditoría de la Seguridad | Apellidos: Díaz Ramírez | 11/12/2021 |
Nombre: Antonio Daniel |
Actividades[pic 1]
Trabajo: Realización de un EDR o ROA
Objetivos
Mediante esta actividad se pretende que pongas en práctica las actividades que constituyen todo el proceso de auditoría de una organización, haciendo foco en la realización de un EDR o ROA.
Descripción del trabajo
Viento en Popa es una empresa dedicada a la planificación de actividades náuticas, así como a impartir clases teóricas y prácticas de navegación. Ofrece la posibilidad de obtener la certificación de Patrón de Embarcaciones de Recreo (PER).
Dentro de la estrategia empresarial, se desarrolló como canal de información y venta un portal web el cual, y de forma somera, consta de dos partes claramente diferenciadas:
- La zona de Administración desde la cual se gestiona la información relativa a cursos y alumnos.
- La zona de clientes y alumnos donde el usuario tiene acceso a la información de Viento En Popa referente a actividades y cursos, y acceso a la parte privada de cada uno, con la posibilidad de realizar exámenes, descargar temarios y documentación, etc.
Con esta información, se trata de que desarrolles los siguientes puntos:
- Planificar y realizar una auditoría basada en riesgos (EDR) del portal web Viento en Popa.
Para ello se debe comenzar con la identificación de riesgos a partir de los cuales se establezcan objetivos de control, controles, pruebas de cumplimiento y, si es necesario, Pruebas Sustantivas.
- Propones la estructura de un informe dirigido a la Dirección de Viento en Popa, con los resultados de la Auditoría siguiendo las fases explicadas.
Datos útiles
- Equipo de dos auditores.
- Tiempo estimado del proceso completo 2 meses/hombre.
- La tecnología en la que está desarrollado el portal es Java.
Nota importante
La solución se puede presentar considerando una de las siguientes dos opciones:
- Viento en Popa tiene subcontratado un hosting de los servicios ofrecidos en la web.
- Viento en Popa tiene en sus instalaciones los servidores que dan el servicio ofrecido en la web.
Se considerarán ejercicios válidos si contestas a todos los apartados razonando debidamente cada decisión tomada.
JUSTIFICACIÓN
Con el fin de garantizar un estricto cumplimiento en lo que se refiere a la gestión de riesgos, especialmente utilizando la herramienta de Estructura de Desglose de Riesgos (EDR), la cual permite identificar riesgos de las áreas de la empresa y orientar a la dirección para que los resultados finales sean analizados y se puedan realizar estrategias con las cuales se pueda hacer un mejoramiento de los procesos dentro de la organización Viento de Popa. Esto para reducir costos de operación que han ido incrementando a lo largo de la ejecución de todas las etapas del proceso. El EDR será realizado para portal web de la empresa.
ALCANCE DE LA AUDITORIA
Para esta auditoria se hará referencia a la seguridad y protección de la información del portal web de la empresa Viento en Popa. El problema principal se encontrará en los equipos conectados a internet. Esto genera posibles problemas de seguridad.
Se utilizará el soporte de dos auditores expertos tanto a nivel software y programación en JAVA como en conocimientos de administración e infraestructura y seguridad de servidores. La auditoría tendrá un alcance de dos meses. Al final del proceso se habrá realizado un análisis preliminar de la red de la empresa y de su sitio web.
PROCESO DE GESTIÓN DE RIESGOS PARA LA IMPLEMENTACIÓN DEL PORTAL WEB VIENTO EN POPA
Lo primero será realizar un proceso de gestión de riesgos. A continuación, se muestra la descripción de los procesos para la gestión de riesgos del proyecto.
Tabla 1. Procesos de gestión de los riesgos de un proyecto.
PROCESO | DESCRIPCIÓN |
Planificar la Gestión de los Riesgos | Es el proceso en que se definen las actividades a realizar para administrar los riesgos de un proyecto |
Identificar los riesgos | Ese proceso consta de determinar los riesgos que pueden afectar a un proyecto y documentar sus características |
Realizar el análisis cualitativo de riesgos | Es el proceso de priorizar riesgos para análisis o acción posterior, evaluando y combinando la probabilidad de ocurrencia e impacto de dichos riesgos. |
Realizar el análisis cuantitativo de los riesgos | Dicho proceso consiste en analizar numéricamente el efecto de los riesgos identificados sobre los objetos generales del proyecto |
Planificar la respuesta a los riesgos | Es el proceso de desarrollar opciones y acciones para mejorar las oportunidades y mitigar las amenazas a los objetivos del proyecto |
Controlar los riesgos | Se refiere al proceso de implementar los planes de respuesta a los riesgos, dar seguimiento a los riesgos identificados, monitorear los riesgos residuales, evaluar nuevos riesgos y evaluar la efectividad del proceso de gestión de los riesgos a través del proyecto |
De lo anterior mencionado se pueden definir algunas técnicas para la identificación de riesgos entre las cuales se encuentran:
- Reuniones de planificación y análisis: El equipo de proyecto hace reuniones de planificación para desarrollar el plan de administración de riesgos.
- Revisión de la documentación: Puede efectuarse una revisión estructurada de la documentación del proyecto.
- Recopilación de información: Se realiza a partir de técnicas como, tormenta de ideas, técnica Delphi, análisis casual, entre otros.
- Técnicas de diagramación: De causa-efecto, de flujo o de sistemas y de influencias.
- Análisis FODA: Su objetivo es aumentar el espectro de riesgos identificados.
- Juicio de expertos: Los expertos con experiencia apropiada, adquirida en proyectos o áreas de negocio similares, pueden identificar los riesgos directamente.
Adicionalmente, puede incluirse una vez se cierra el proyecto un reporte de lecciones aprendidas acerca de los beneficios de administración de riesgos. Estos aspectos pueden ser positivos o negativos, y representaran riesgos u oportunidades para proyectos futuros.
...