FACULTAD DE CIENCIAS E INGENIERÍA E.A.P. DE SISTEMAS E INFORMÁTICA PROYECTO Marco Metodológico para realizar Auditoria de TI en la gestión de servicios de TI en una Pyme PRESENTADO POR Herrera Venegas Héctor….………………..…........Código Nº 11101051 Mendoza Díaz Richard….……………………..…....Código Nº 10101059 Meléndez Peña Rafael….……………………..…....Código Nº 11101066 Los Olivos, Abril de 2016 1
Descripción de una auditoria en general para un cualquier pequeña empres.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
FACULTAD DE CIENCIAS E INGENIERÍAE.A.P. DE SISTEMAS E INFORMÁTICA
PROYECTO
Marco Metodológico para realizar Auditoria de TI en la gestión de servicios de TI en una Pyme
E.A.P. DE SISTEMAS E INFORMÁTICA..............................................................1Marco Metodológico para realizar Auditoria de TI en la gestión de servicios de
TI en una Pyme......................................................................................1
CAPÍTULO I: PLANTEAMIENTO Y FORMULACIÓN DEL PROBLEMA.............4
1.1 Planteamiento y Justificación del Tema....................................................5
1.2 Situación Actual...........................................................................................5
1.3 Formulación del Problema..........................................................................5
1.4 Justificación de la Investigación................................................................6
1.5 Objetivos de la Investigación......................................................................7
1.6 Etapas en una Auditoría..............................................................................8
1.7 Metodología de la Investigación.................................................................101.7.1 Herramientas de control y auditoria..........................................................121.7.2 Los Dominios de la ISO 27000.................................................................121.7.4 Metodología de la Evaluación de Sistemas.....................................131.7.5 Metodología de análisis de riesgos......................................................141.7.6 Metodología de auditoría y control informático.....................................141.7.7 Informe de la Auditoría.........................................................................141.8 Límites y Alcance de la Investigación.........................................................15
CAPÍTULO II: MARCO TEÓRICO Y CONCEPTUAL.............................................16
2.1 MARCO TEÓRICO........................................................................................172.1.1 DEFINICIÓN DE AUDITORÍA..................................................................172.1.2 QUÉ ES AUDITORÍA DE LA INFORMACIÓN......................................172.1.3 CONFIGURAR LA NORMA ISO/IEC 20000 PARA PYMES....................182.1.2 EL GOBIERNO DE TI ES ALCANZABLE...........................................19
2.1.3 TI PARA LAS PYMES CUANDO SU NIVEL DE ADOPCIÓN DE TECNOLOGÍA ES MUY BAJO............................................................20
2.1.4 ¿QUÉ PASA CON LAS EMPRESAS QUE ADOPTAN EL TI?...........202.1.7 EL ESTADO DE TI EN LAS PYMES........................................................212.1.8 PYMES, OBLIGADAS A LA ADOPCIÓN DE TI.......................................212.1.9 CONVERTIRSE EN EL DEPARTAMENTO DE TI DE SU PYME............22
2.2 MARCO CONCEPTUAL..............................................................................23
CAPÍTULO III: DESARROLLO DE LA INVESTIGACIÓN......................................24
3.1 Auditoría de empresas en el área de las Pymes.......................................253.1.1 Auditoría de Calidad.................................................................................273.1.2 Características del Control de Calidad.................................................29
Cada día es mayor el número de situaciones inesperadas que se presentan,
como consecuencia del uso de la Tecnología de Información (TI.), en las
diferentes empresas y compañías en general.
El conocimiento de esta tecnología se ha esparcido a todas los servicio de TI; la
gente aprende cada día más, es más estudiosa y conocedora; pero no todos
están orientados puramente al conocimiento como aumento de calidad en todos
los campos; a algunos les interesa aprender más que todo, para ver cómo
efectúan o generan irregularidades en provecho propio; como producto de lo que
conocen, adquieren destreza para utilizarlas con fines malévolos y
malintencionados; situación que ligada a la pérdida de valores morales, éticos y
religiosos en todos los niveles y estratos de la sociedad, ha originado todo tipo de
acciones fraudulentas, y que se haga imposible para la administración,
establecer controles que disminuyan los riesgos presentados.
Aunado a lo anterior, las aperturas comerciales, la globalización, las alianzas
estratégicas, y las integraciones de todo tipo, de alguna manera han venido a
complicar la situación en cuanto al sistema de control interno se refiere; también
han recargado las funciones que deben realizar los auditores de sistemas
4
CAPÍTULO I: PLANTEAMIENTO Y FORMULACIÓN DEL PROBLEMA
5
1.1Planteamiento y Justificación del Tema
Las Pymes necesita realizar una auditoría para ello se está realizando un
marco metodológico en la cual se brinda pasos y secuencias siguiendo
normas y estándares para dicha auditoría en el ámbito de las Pymes; ya
que las empresas sufren y son víctimas de diversos fraudes y por ello se
debe aplicar dicha metodología.
1.2Situación Actual
Por otro lado hoy en las Pymes ha sufrido grandes cambios, con respecto a
la forma de brindar sus servicios, ya que los medio de comunicación han
dado cambios radicales como es el hecho de agregar la navegabilidad,
accesibilidad a información que nos brinda el internet, por lo cual las
empresas hoy en día buscan convencer a sus clientes de la seguridad de
los mismos. Por tal motivo podemos relacionar los riesgos anteriormente
relacionados, por el simple hecho del manejo de información. Otro las
preocupaciones es la confiabilidad de los datos verbales que se trasmiten y
que estos no estén siento intervenidos por personas maliciosas.
1.3Formulación del Problema
Prevenir antes que lamentar, esta famosa frase puede aplicarse al mundo
de los negocios. Frente al desarrollo de nuevas fábricas, el sector de
Pymes es uno de los que más peligros enfrentan. Primero hablaremos de
algunos riesgos que toda empresa puede ser víctima o la infraestructura de
la misma origina:
a) Manejo de TI interno. El tener toda la estructura de TI
internamente, sin subcontrataciones, puede dar una acumulación de
problemas difíciles de manejar para una sola organización.
6
b) Subcontratación de servicios. Se tiene que tomar precauciones al
tener proveedores externos de servicios, como Recursos Humanos,
Legal o de TI; hay que revisar que no se compartan datos de más
entre las dos partes.
c) Riesgos cibernéticos a cadenas de suministro. Las cadenas de
suministro y logística tradicionales pueden sufrir severas
interrupciones con ataques cibernéticos.
d) Tecnologías disruptivas. Las nuevas tecnologías, como las redes
inteligentes, traen consigo nuevos efectos inadvertidos, que todavía
no están en la mira de los profesionales de informática.
e) Infraestructura ascendente. Actualmente hay sociedades y
economías que son sustentadas por infraestructuras informáticas, ya
sean sus sistemas de electricidad o telecomunicaciones, que de
sufrir alteraciones, como una potencial regulación de Internet,
crearían riesgos para cualquier organización.
f) Crisis externas. Los riesgos que están fuera del sistema, en los
cuales la organización no tiene ningún control, tal como una
pandemia de malware, pueden tener un efecto cascada.
1.4 Justificación de la Investigación
Derivado de la importancia de la tecnología informática como factor crítico
de éxito para las organizaciones. La toma de conciencia en las empresas
de los riesgos inherentes a la actividad informática y de la necesidad de
protección de altas inversiones que se dedican al diseño e implementación
de sistemas de información.
Entre las razones prioritarias para efectuar una auditoría de sistemas se
puede mencionar:
Aumento considerable e injustificado del presupuesto del PAD
(Departamento de Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situación informática de
7
la empresa.
Falta total o parcial de seguridades lógicas y físicas que garanticen
la integridad del personal, equipos e información.
Descubrimiento de fraudes efectuados por medio de sistemas de
información.
Falta de una planificación informática. Descontento general de los usuarios por incumplimiento de plazos y
mala calidad de los resultados.
1.5Objetivos de la Investigación
1.5.1 Objetivos General
Promover y elevar la cultura del aprovechamiento en el uso de las
Tecnologías de Información en las Pymes, constatando que se
lleven a cabo las mejores prácticas y se sigan los procedimientos
que aseguren la veracidad, confidencialidad, confiabilidad y
disponibilidad de la información, garantizando de esta manera la
prevención ante posibles contingencias que puedan impedir la
continuidad del uso de los recursos informáticos. Realizar las
actividades correspondientes a la verificación de los controles
internos establecidos en el área de Sistemas de las Pymes, así
como el estudio de seguridad física y lógica, el análisis de los
riesgos a que está expuesta la información y los equipos de
cómputo.
Por ello se va a Implementar un Marco Metodológico para realizar
Auditoria de TI en la Tercerización de servicios de TI en una Pyme.
8
1.5.2 Objetivo Especifico
A) OE1: Proponer criterios técnicos tecnológicos en el desarrollo de
auditorías de gestión a las tecnologías de información.
B) OE2: Estandarizar una metodología para el desarrollo de
auditorías de gestión a las tecnologías de información.
C) OE: Minimizar existencias de riesgos en el uso de tecnología de
información.
1.6 Etapas en una Auditoría
Se requieren varios pasos para realizar una auditoría. El auditor de
sistemas debe evaluar los riesgos globales y luego desarrollar un programa
de auditoría que consta de objetivos de control y procedimientos de
auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige
que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades
de los controles existentes basado en la evidencia recopilada, y que
prepare un informe de auditoría que presente esos temas en forma objetiva
a la gerencia. Asimismo, la gerencia de auditoría debe garantizar una
disponibilidad y asignación adecuada de recursos para realizar el trabajo de
auditoría además de las revisiones de seguimiento sobre las acciones
correctivas emprendidas por la gerencia.
Planificación, entendiendo por tal la elección del tipo de auditorías a
realizar, la plasmación documental de los procedimientos de realización de
las mismas, en el caso de la realización de una auditoría del producto, es
necesaria la programación de mediciones y ensayos a partir de los planos y
normas de ensayo, la elección del personal auditor que puede ser único, o
distinto en función del tipo de auditoría a realizar, y la fijación de su
periodicidad (mensual, anual). En ocasiones, es conveniente asignar una
única persona para planificar y dirigir la realización de todas las auditorías,
es decir, nombrar un líder que reúna unas características idóneas en
cuanto a formación y carácter, para la realización de esta tarea.
9
Realización de auditorías según procedimiento y plan definidos. Es
conveniente que el personal que va a ser auditado conozca con antelación
tal hecho, y lo mejor desde el punto de vista práctico es que la realización
de auditorías sea sistemática, y el propio director o responsable del área a
auditar transmita a sus subordinados afectados las fechas concretas en las
que estas auditorías sistemáticas van a realizarse para que presten su
mayor colaboración.
Posiblemente si se sigue este sistema, al recibir los responsables esta
comunicación, tratarán de inculcar en sus subordinados la necesidad de
que todo esté "en perfecto estado de revista" como se decía antiguamente,
lo que inicialmente podría alterar los resultados, pero si las auditorias son
periódicas, esto dejará de producirse, y sin embargo el que el responsable
comunique a sus subordinados las fechas de realización, así como la
recomendación de que presten su máxima colaboración, confiere a las
auditorias un papel destacado e importante dentro del sistema. Los
documentos que recojan los resultados de las auditorías, es decir,
respuestas, comprobaciones, resultados de medidas y ensayos, entre
otros, han de estar consensuados entre auditor y auditado, de tal forma que
recojan la conformidad de ambos, evitándose discusiones inútiles. Se
trata de auditar la efectividad del sistema, tanto a través del propio sistema
y su grado de cumplimiento, como a través de la calidad del producto
obtenido, por lo que es necesario, para poder establecer las acciones
correctoras, determinar el grado de cumplimiento del sistema, y su relación
con la calidad del producto final. Si el fin del establecimiento de un sistema
de calidad es obtener un producto de calidad es totalmente necesario
comprobar su efectividad, sino se consigue este objetivo es necesario
cambiar el sistema, y discutir o perseguir a las personas que lo aplican.
10
Evaluación de los resultados de la auditoría. Toda auditoría ha de
realizarse para obtener una nota final que sirva, aunque solo sea
comparativamente, para medir la evolución, tanto de la implementación del
sistema, como de la calidad del producto. Lo que se pretende es la
obtención de una valoración totalmente objetiva por lo que el sistema de
valoración ha de ser consensuado, y además, experimentado durante cierto
tiempo, para poder fijar las señales de alerta, índices de ponderación, entre
otros.
Redacción de informe y propuesta de medidas correctoras: una vez
valorada la auditoría y antes de la redacción del informe final y propuesta
de las medidas correctoras, es conveniente la reunión con el director o
responsable máximo afectado por la auditoría para que sea el primer
informado y pueda incluso colaborar en la propuesta de medidas
correctoras así como en la decisión sobre la urgencia de las mismas, pues
es conveniente que tanto el informe de la auditoría como la propuesta de
medidas correctoras, lo asuma como algo propio, entre otras cosas porque
a veces, podrá ejercer más presión sobre la gerencia que el propio auditor,
sobre todo si alguna de las medidas propuestas corresponden o requieren
inversiones.
1.7 Metodología de la Investigación
La auditoría en Pyme debe respaldarse en un proceso formal que asegure
su previo entendimiento por cada uno de los responsables de llevar a la
práctica dicho proceso en la empresa. Al igual que otras funciones en el
negocio, la auditoría en informática efectúa sus tareas y actividades
mediante una metodología.
No es recomendable fomentar la dependencia en el desempeño de esta
importante función sólo con base en la experiencia, habilidades, criterios y
conocimientos sin una referencia metodológica. Contar con un método
garantiza que las cualidades de cada auditor sean orientadas a trabajar en
equipo para la obtención de resultados de alta calidad y de acuerdo a
estándares predeterminados.
11
Estudio preliminar. Incluye definir el grupo de trabajo, el programa
de auditoría, efectuar visitas a la unidad informática para conocer
detalles de la misma, elaborar un cuestionario para la obtención de
información para evaluar preliminarmente el control interno, solicitud
de plan de actividades, manuales de políticas,
reglamentos, entrevistas con los principales funcionarios.
Revisión y evaluación de controles y seguridades. Consiste en la
revisión de los diagramas de flujo de procesos, realización de
pruebas de cumplimiento de las seguridades, revisión de
aplicaciones de las áreas críticas, revisión de procesos históricos
(respaldos), revisión de documentación y archivos, entre otras
actividades.
Examen detallado de áreas críticas. Con las fases anteriores el
auditor descubre las áreas críticas y sobre ellas hace un estudio y
análisis profundo en los que definirá concretamente su grupo de
trabajo y la distribución de carga del mismo, establecerá los motivos,
objetivos, alcance recursos que usara, definirá la metodología de
trabajo, la duración de la auditoría, presentará el plan de trabajo y
analizara detalladamente cada problema encontrado con todo lo
anteriormente analizado en este documento.
Comunicación de resultados. Se elaborara el borrador del informe
a ser discutido con los ejecutivos de la empresa hasta llegar al
informe definitivo, el cual presentará esquemáticamente en forma
de matriz, cuadros o redacción simple y concisa que destaque los
problemas encontrados, los efectos y las recomendaciones de la
auditoría. El informe debe contener lo siguiente:
Motivos de la auditoría
Objetivos
Alcance
Estructura orgánico-funcional del área informática
Configuración del hardware y software instalado
12
Control interno Resultados de la auditoría
1.7.1 Herramientas de control y auditoria
Las herramientas de control y de auditoria son de dos tipos lógicos y
físicos, desde el punto lógico son programas que brindan seguridad.
Las herramientas han sido instrumento para integrar la auditoría
interna y el riesgo de la administración. Y estas son:
Cuestionarios
Entrevistas
Listas de Cotejo
Trazas y/o huellas
Bitácoras
Software de interrogación
1.7.2 Los Dominios de la ISO 27000
Grafico 1: Dominio de ISO 27000Fuente: http://www.muycomputerpro.com
13
1.7.4 Metodología de la Evaluación de Sistemas
En el mundo de la seguridad de sistemas se utilizan todas las
metodologías necesarias para realizar un plan de seguridad además
de las de auditoría informática. Las dos metodologías de evaluación
de sistemas por excelencia son las de análisis de riesgos y las de
auditoría informática, con dos enfoques distintos. La auditoría
informática solo identifica el nivel de exposición por la falta de
controles, mientras el análisis de riesgo facilita la evaluación de los
riesgos y recomienda acciones en base al costo-beneficio de las
mismas.
Algunas definiciones para profundizar en estas metodologías son las
siguientes:
Amenaza: una persona o cosa vista como posible fuente de
peligro o catástrofe.
Vulnerabilidad: la situación creada, por la falta de uno o varios
controles, con la que la amenaza pudiera hacerse y así
afectar al entorno informático.
Riesgo: la probabilidad de que una amenaza llegue a acaecer
por una vulnerabilidad.
Exposición o impacto: la evaluación del efecto del riesgo.
14
1.7.5 Metodología de análisis de riesgos
Las metodologías de análisis de riesgo se utilizan desde los años
sesenta, en la industria del seguro basándose en grandes
volúmenes de datos estadísticos agrupados en tablas actuarías. Se
emplearon en la informática en los ochenta, y adolecen del problema
de que los registros estadísticos de incidentes son escasos y por
tanto el rigor científico de los cálculos probabilísticas es pobre.
Aunque existen bases de incidentes en varios países, estos datos no
son muy fiables por varios motivos: la tendencia a la ocultación de
los afectados, la localización geográfica, las distintas mentalidades,
la informática cambiante, el hecho de que los riesgos se presenta en
un periodo solamente.
1.7.6 Metodología de auditoría y control informático
Las únicas metodologías en la auditoría informática son de dos
familias distintas; las auditorías de controles generales como
producto estándar de las auditorías profesionales, que son una
verificación de las mismas a nivel internacional, y las metodologías
de los auditores internos.
El objetivo de las auditorías de controles generales es ofrecer una
opinión sobre fiabilidad de los datos del ordenador para la auditoría
financiera. El resultado exterior es un resumido informe como parte
del informe de auditoría donde se destacan las vulnerabilidades
encontradas. Están basados en pequeños cuestionarios estándares
que dan como resultado informes muy general.
1.7.7 Informe de la Auditoría
En una primera aproximación, puede decirse que el informe de
auditoría de sistemas de información es un documento que presenta
el trabajo efectuado por el auditor y su opinión profesional sobre la
totalidad.
El objetivo de la auditoría variara según se observe ante una
situación u otra, pero el resultado final reflejará un conjunto de los 15
elementos personales, temporales, identificativos de alcance y de
opinión, que incluye conclusiones recomendaciones, salvedades
(reservas y calificaciones) y fallos significativos detectados. La
finalidad y los usos de dicho informe, sean cuales fueren, justifican la
auditoría y su realización por el susodicho auditor, en función de dos
de sus atributos capitales: la competencia técnica profesional y la
independencia
1.8 Límites y Alcance de la Investigación
Limitaciones
El Marco metodológico que se está desarrollando solo permitirá o mostrara
los pasos o secuencias a seguir para realizar una auditoría de TI para las
empresas de Telecomunicaciones, pero no se llevara a cabo dicho
proceso, ya que la falta de tiempo solo nos permite planificar como se
puede llevar a cabo dicha auditoria.
Alcance
El alcance que tendrá la investigación comprende todo el proceso de auditoría de gestión a las tecnologías de información, e incluye las fases de planificación, ejecución e informe.
´
16
CAPÍTULO II: MARCO TEÓRICO Y CONCEPTUAL
17
2.1 MARCO TEÓRICO
Para poder entender mejor de que trata este proyecto, a continuación
veremos algunas definiciones y teorías sobre temas relacionados con
éste, como por ejemplo, ¿Qué es una auditoria?, ¿Qué es auditoria de la
información?, Tipos de Auditoria de la Información y como se
beneficiarían las Pymes con esta implementación de marco
metodológico.
2.1.1 DEFINICIÓN DE AUDITORÍA
La auditoría es el proceso de investigar o verificar dentro de una
empresa si se está cumpliendo con la metodología propuesta
inicialmente.
Según Marco Resendiz señala que "La Auditoría “es un examen
sistemático de los estados financieros, registros y operaciones
con la finalidad de determinar si están de acuerdo con las NIFS,
con las políticas establecidas por la dirección y con cualquier
otro tipo de exigencias legales o voluntariamente aceptadas”, la
Auditoría tiene como objeto averiguar la exactitud, integridad y
autenticidad de los estados financieros.
Su principal tarea es la adecuación y fiabilidad de los sistemas
de información y de las políticas y procedimientos operativos
existentes en los distintos departamentos de la empresa, por
eso en estas existen varios departamentos y empleados
responsables de todas sus actividades". (Marco, 2015).
2.1.2 QUÉ ES AUDITORÍA DE LA INFORMACIÓN
Una auditoría a tecnologías de la información es un examen 18
profesional, objetivo y sistemático de las operaciones y
actividades efectuadas por una organización, proyecto o
19
programa, para determinar el grado de cumplimiento y eficacia
de:
La planificación, el desarrollo y la implantación de los
sistemas utilizados.
La información producida por los sistemas, su
pertinencia y confiabilidad.
La documentación básica de cada sistema, su
implantación y la divulgación de la misma entre los
usuarios.
Los mecanismos de control incorporados en los sistemas.
Los recursos idóneos identificados y disponibles para
garantizar la continuidad de las operaciones en caso de
desastres.
El programa de adiestramiento al personal de sistemas
de información, sus usuarios y los auditores.
Entonces, se entiende por auditoría a tecnologías de la
información a aquella actividad auditora que trata de evaluar la
adecuada utilidad, eficiencia y fiabilidad de la información
mecanizada que se produce en una determinada organización
pública o privada, así como los servicios que la elaboran y
procesan.
2.1.3 CONFIGURAR LA NORMA ISO/IEC 20000 PARA PYMES
Las pequeñas empresas que implantan la norma ISO/IEC 20000
pueden lograr las mismas ventajas que las empresas de mayor
tamaño. Comprobará que con la norma ISO/IEC 20000 puede
ahorrar dinero y mejorar la calidad de su servicio a través de
mejoras en la eficiencia y en la eficacia. Y todo ello, sin importar
el tamaño de su organización. Sabemos que puede tener
presupuestos más ajustados y menos tiempo para gestionar las
necesidades tecnológicas y los servicios de ITIL y TI. Por ese
motivo, ofrecemos packs de productos y servicios que pueden 20
personalizarse para incluir solamente los servicios que necesite,
con lo que se eliminan los costes innecesarios y la complejidad
de lograr la certificación ISO/IEC 20000.
La norma proporciona el marco para integrar a personas,
procesos y tecnología, permitiéndole desarrollar servicios de TI
de acuerdo con los objetivos empresariales, en lugar de
basarlos simplemente en las necesidades tecnológicas. La
norma ISO/IEC 20000 establece controles para medir y
mantener niveles de servicio coherentes, tanto si cuenta con un
equipo interno de servicios de TI como si gestiona a
proveedores de servicios externos.
La norma es compatible con las ITIL, lo cual le permite medir el
desempeño de forma periódica y buscar modos de seguir
mejorando. Además, una mejor gestión de los servicios de TI
supone un servicio al cliente superior, lo que refuerza su oferta a
la hora de presentarse a cualquier tipo de licitación o concurso.
2.1.2 EL GOBIERNO DE TI ES ALCANZABLE
En definitiva, contar con un buen gobierno de TI es importante
para cualquier tipo de empresa sin considerar su tamaño; sin
embargo, en el caso de las PyMES, primero tiene que
resolverse el problema de su baja adopción en tecnología.
Durante mucho tiempo las Tecnologías de la Información (TI)
fueron vistas como un elemento aislado de la organización,
consumiendo presupuestos inmensos con un alto nivel de
incumplimiento. Sin embargo, hoy en día, el entorno cada vez
más cambiante y globalizado demanda de las compañías
acciones ágiles e innovadoras para elevar su nivel de
competencia, lo que ha dado a las TI un papel fundamental para
la conducción de los recursos de la empresa; el manejo en la
21
relación con el cliente, facilitar las transacciones en el mundo,
registrar y difundir el conocimiento del negocio; impulsar su
crecimiento, aportar valor y apoyar al incremento de la
productividad para generar ventajas competitivas.
2.1.3 TI PARA LAS PYMES CUANDO SU NIVEL DE ADOPCIÓN DE TECNOLOGÍA ES MUY BAJOSi bien, como parte del universo empresarial, las PyMES requieren de
un buen gobierno de TI, no significa que estén preparadas para ello,
ya que su implementación demanda recursos humanos y financieros,
y debe estar precedida por un gobierno corporativo para cumplir con
sus objetivos.
El tema se vuelve más complejo, pues primero hay que convencerlas
de la importancia que tiene el uso de la tecnología para incrementar el
valor de su negocio y hacerlo escalable.
Lo anterior, aunado al hecho de solventar los problemas que enfrentan
en relación con este tema, tales como:
Flujo de efectivo insuficiente para invertir en TI.
Malas experiencias anteriores.
Falta de personal para administrar la tecnología (licenciamiento,
respaldo de información, etcétera).
Desconocimiento en las soluciones que existen en el mercado.
Desconocimiento de cómo definir y exigir niveles de servicio.
2.1.4 ¿QUÉ PASA CON LAS EMPRESAS QUE ADOPTAN EL TI?Las relaciones positivas entre la adopción de TI y el crecimiento
empresarial, la investigación encontró los riesgos que
encuentran algunas compañías. Muchas Pymes no cuentan con
acceso a redes de banda ancha y no tienen el recurso humano
para la implementación de nuevas herramientas digitales. Otras
22
empresas pequeñas todavía tienen hardware y software viejo
que impiden el aprovechamiento de la tecnología. Las
compañías también atribuyeron el bajo nivel de adopción a los
costos de los equipos generados por los impuestos de
importación y a la preocupación que genera la privacidad y
seguridad en línea.
Todos estos datos refuerzan la teoría sobre la relación positiva
entre la tecnología y las Pymes. Como mencionamos
anteriormente, las TI le permiten a las empresas hacer cosas
que antes eran imposibles. Además, este tipo de herramientas
dejaron de ser exclusivas para las grandes corporaciones. La
‘consumerización’ de la tecnología crea nuevas oportunidades y
abre nuevos mercados.
2.1.7 EL ESTADO DE TI EN LAS PYMES
Spiceworks es una compañía de investigación de mercados
enfocada en las pequeñas y medianas empresas, que cada
semestre publica un reporte sobre el estado de TI en las
Pymes. Para la segunda mitad de 2012, encontraron cuatro
tendencias que están marcando la parada en el tema.
La primera tiene que ver con tabletas. Según Spiceworks, el
soporte de este tipo de dispositivos ya está llegando a los
mismos niveles de los teléfonos inteligentes. El 53% de las
Pymes tiene soporte para tabletas, todavía un poco por debajo
del 59% para smartphones.
2.1.8 PYMES, OBLIGADAS A LA ADOPCIÓN DE TI
Con la reforma fiscal, el número de clientes de Wissen se elevó
hasta en 40%
Las pequeñas y medianas empresas (pymes) comienzan a
insertar soluciones tecnológicas a sus sistemas operativos,
aunque todavía no se consolidan en el área, advirtió el socio
director de la empresa de tecnología y educación Wissen, David
23
Nieto Hernández.
Entre los clientes de la empresa con capital queretano 50%
corresponde a pymes, pero sólo 10% de sus ingresos anuales
provienen de las mismas, reveló.
De acuerdo con información de la compañía, una empresa
pequeña o mediana invierte entre 20,000 y 25,000 pesos por
año en soluciones tecnológicas, mientras que las empresas
grandes gastan de 300,000 a 500,000 pesos anuales.
Actualmente Wissen atiende a empresas ubicadas en Baja
California, ciudad de México, el Bajío y Centroamérica.
2.1.9 CONVERTIRSE EN EL DEPARTAMENTO DE TI DE SU PYME
Hoy en día la mayoría de las organizaciones cuenta con un área
de tecnología de la información (TI), ya que,
independientemente de su tamaño, las nuevas tecnologías
hacen parte del quehacer diario de las empresas.
No obstante, en ocasiones, los requerimientos tecnológicos son
costosos y exigentes para las empresas, lo cual hace que sea
necesaria la contratación de personal adicional con
competencias en tecnologías de la información.
Pero, para no incurrir en altos costos, los empresarios pueden
optar por convertirse ellos mismos en los administradores de las
soluciones tecnológicas que requiere la empresa. Es así como si
la compañía requiere, por ejemplo, redes de alta velocidad,
servidores de almacenamiento y video vigilancia, entre otros,
podrá disfrutar de estos beneficios sin necesidad de contratar
nuevo personal.
24
Precisamente, según expertos, las tendencias están llevando a
que las soluciones básicas relacionadas con el tema tecnológico
puedan instalarse y controlarse sin necesidad de tener capital
humano de planta para administrarlas o instalarlas.
De acuerdo con Camilo Toro, Gerente Regional de D-Link para
Colombia, "las empresas que quieran crear su propia red interna
inalámbrica pequeña o mediana con recursos básicos, pueden
hacerlo con tan solo adquirir la solución apropiada y enlazarlas
con configuraciones que pueden tardar menos de un minuto".
2.2 MARCO CONCEPTUAL
2.2.1 AUDITORÍALa auditoría es una de las aplicaciones de los principios
científicos de la contabilidad, basada en la verificación de
los registros patrimoniales de las haciendas, para observar su
exactitud; no obstante, este no es su único objetivo.
2.2.2 COBIT
Es precisamente un modelo para auditar la gestión y control de
los sistemas de información y tecnología, orientado a todos los
sectores de una organización, es decir, administradores IT,
usuarios y por supuesto, los auditores involucrados en el
proceso.
2.2.3 FIABILIDAD
Probabilidad de que una máquina, un aparato o un dispositivo
funcionen correctamente bajo
ciertas condiciones y en un periodo de tiempo determinado.
2.2.4 GESTIÓN
25
La gestión es el proceso por el cual se lleva una acción o
trámites para conseguir resolver un problema.
2.2.5 ITILEs un marco de trabajo de las mejores prácticas destinadas a
facilitar la entrega de servicios de tecnologías de la información
(TI) de alta calidad.
CAPÍTULO III: DESARROLLO DE LA INVESTIGACIÓN
26
3.1 Auditoría de empresas en el área de las Pymes
En un medio cambiante y en especial en las nuevas tecnologías
informáticas y de comunicación, no ha pasado mucho tiempo sin que las
condiciones varíen, esto puede llevar a nuevos riesgos y debe actuarse
proactivamente para lograr los sistemas auto controlado que tanto se
pregonan.
La labor de auditoría entendida como la evaluación y análisis de esa
realidad, en forma crítica, objetiva e independiente, con el objeto de
evaluar el grado de protección que presenta una instalación ante las
amenazas a que está expuesta; es parte importante del diseño e
implantación de políticas de seguridad. No basta con diseñar buenas
políticas es necesario llevarlas a la práctica en forma correcta y garantizar
que se adecuan a nuevas condiciones.
Día a día, las compañías depositan su confianza en redes internas y
externas como forma de enviar y recibir información crítica entre clientes,
proveedores y personas, y manipular así sus bases de datos. Sin
embargo, hay muchos puntos de la red donde pueden interceptarse,
copiarse y desviarse los datos o mensajes. A pesar de que las compañías
aplican mecanismos de alta seguridad para mantener a los que las atacan
lejos de sus redes, es probable que algunos consigan entrar. Los
procesos de cifrado y autentificación garantizan que, aunque haya una
violación de seguridad, externa o interna, la información de la empresa
esté segura.
27
La computadora es un instrumento que estructura gran cantidad de
información, la cual puede ser confidencial para individuos, empresas o
instituciones, y puede ser mal utilizada o divulgada a personas que hagan
mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que
provoquen la destrucción total o parcial de la actividad computacional.
Esta información puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos.
La seguridad en la informática abarca los conceptos de seguridad física y
seguridad lógica. La seguridad física se refiere a la protección del
hardware y de los soportes de datos, así como a la de los edificios e
instalaciones que los albergan. Contempla las situaciones de incendios,
sabotajes, robos, catástrofes naturales; entre otros.
La seguridad lógica se refiere a la seguridad de uso del software, a la
protección de los datos, procesos y programas, así como la del ordenado
y autorizado acceso de los usuarios a la información.
La seguridad informática se la puede dividir como general y como
especifica (seguridad de explotación, seguridad de las aplicaciones, etc.).
Así, se podrán efectuar auditorias de la seguridad global de una
instalación informática seguridad general y auditorías de la seguridad de
un área informática determinada seguridad específica.
Con el incremento de agresiones a instalaciones informáticas en los
últimos años, se han ido originando acciones para mejorar la seguridad
informática a nivel físico. Los accesos y conexiones indebidos a través de
las redes de comunicaciones, han acelerado el desarrollo de productos de
seguridad lógica y la utilización de sofisticados medios.
El sistema integral de seguridad debe comprender:
Elementos administrativos
Definición de una política de seguridad
28
Organización y división de responsabilidades
Seguridad física y contra catástrofes (incendio, terremotos, etc.)
Prácticas de seguridad del personal
Elementos técnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo
todos los elementos, tanto redes como terminales).
Aplicación de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
La decisión de abordar una auditoría informática de seguridad global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Se elaboran matrices de riesgo, en donde se consideran los factores de las amenazas a las que está sometida una instalación y los impactos que aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros de doble entrada (amenaza-impacto), en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz.
Impacto Amenaza 1: Improbable
2: Probable
3: Certeza
4:Despreciable
Error Incendio Sabotaje ……..
Destrucción
de hardware
- 1 1
Borrado de
Información
3 1 1
Tabla 1: Matriz de Amenaza contra Impacto
El cuadro muestra que si por error codificamos un parámetro que ordene el borrado
de un fichero, éste se borrará con certeza.
29
3.1.1 Auditoría de Calidad
Una auditoría de calidad es una revisión independiente realizada
para verificar que el sistema de calidad implementado alcance
los objetivos establecidos.
El término independiente es importante y su significado es que
el auditor, no es la persona responsable de la efectividad del
sistema que se audita. Una auditoría independiente proporciona
un panorama no sesgado del desempeño.
La auditoría de calidad es un examen y evaluación sistemática,
independiente, para determinar si las actividades de calidad y los
resultados cumplen con lo planeado, si se implementa de manera
efectiva y son adecuados para lograr los objetivos.
El propósito de las auditorías de calidad es proporcionar el
aseguramiento de que:
1. Los planes de calidad son tales, que si se siguen, se logrará la
calidad que se persigue.
2. El producto o servicio que se entrega es útil al usuario.
3. Se cumplen los estándares de calidad y requisitos
establecidos en Normas para la Acreditación o Certificación.
4. Existe conformidad con las especificaciones.
5. Los procedimientos son adecuados y se siguen.
6. El sistema de datos proporcione información precisa y adecuada
sobre la calidad a todos los interesados.
7. Se identifiquen las deficiencias y se tomen acciones correctivas.
8. Se identifiquen las oportunidades de mejoramiento y se
comunican al personal pertinente.
Todos los temas mencionados anteriormente dan cuenta de que una auditoría tiene implícita la idea de ayuda para mejorar
30
continuamente, esto no se entiende así siempre sino que se percibe como una amenaza, como algo que sacará a relucir todas las fallas. Si se logra cambiar este concepto resulta tremendamente beneficioso para todas las partes.
31
3.1.2 Características del Control de Calidad
Para lograr que los auditados se enfrenten a este proceso con una
actitud constructiva, se necesita contar con las siguientes
condiciones:
Auditados honestos y sin temores a decir la verdad.
Auditores con los conocimientos necesarios y una actitud
personal constructiva y no crítica.
Que la gerencia o dirección de la entidad auditada posea el
criterio y la claridad suficiente, para entender que las
deficiencias no parten de las personas, sino del sistema en
que se desempeñan.
Se brindan estas condiciones para la ejecución de un proceso
de auditoría, sin duda que será muy beneficioso y se logrará
entender el real espíritu que ellas tienen, ya que fueron
creadas para propiciar la mejora y el crecimiento continuo de
las organizaciones.
El control de la calidad se posesiona como una estrategia para
asegurar el mejoramiento continuo de la calidad. Es un programa
para asegurar la continua satisfacción de los clientes externos e
internos mediante el desarrollo permanente de la calidad del producto
y sus servicios.
Es un concepto que involucra la orientación de la organización a
la calidad manifestada en sus productos, servicios, desarrollo de su
personal y contribución al bienestar general.
El mejoramiento continuo es una herramienta que en la actualidad es
fundamental para todas las empresas porque les permite renovar los
procesos administrativos que ellos realizan, lo cual hace que las
empresas estén en constante actualización; además, permite que las
organizaciones sean más eficientes y competitivas, fortalezas que
32
le ayudarán a permanecer en el mercado.
Para la aplicación del mejoramiento es necesario que en la
organización exista una buena comunicación entre todos los órganos
que la conforman, y también los empleados deben estar bien
compenetrados con la organización, porque ellos pueden ofrecer
mucha información valiosa para llevar a cabo de forma óptima el
proceso de mejoramiento continuo.
“Un conjunto de atributos del producto software a través de los cuales
la calidad es descrita y evaluada”.
Las características de calidad del software pueden ser precisadas
a través de múltiples niveles de sub-características. Dicha norma
define seis características:
Funcionalidad: Conjunto de atributos que se refieren a la existencia
de un conjunto de funciones y sus propiedades específicas. Las
funciones son tales que cumplen unos requerimientos o satisfacen
unas necesidades implícitas.
Fiabilidad: conjunto de atributos que se refieren a la capacidad del
software de mantener su nivel de rendimiento bajo un las condiciones
especificadas durante un periodo definido.
Usabilidad: conjunto de atributos que se refieren al esfuerzo
necesario para usarlo, y sobre la valoración individual de tal uso, por
un conjunto de usuarios de usuarios definidos o implícitos
Eficiencia: conjunto de atributos que se refieren a las relaciones
entre el nivel de rendimiento del software y la cantidad de recursos
utilizados bajo unas condiciones definidas.
Norma ISO 9126
Mantenibilidad: Conjunto de atributos que se refieren al esfuerzo
necesario para hacer modificaciones específicas.
33
CONCLUSIONESSe concluye este proyecto, teniendo la satisfacción de que se desarrolló la
metodología planteada inicialmente.
Se siguieron varias formas y pasos de varias metodologías para poder analizar
y dar así una forma de realizar auditoria de TI.
RECOMENDACIONESSe recomienda seguir los pasos de Cobit o Itil según sea la empresa a realiza
para así realizar la auditoria de forma más enfocada.