CUESTIONARIO DE REPASO CAPITULO V 1. Cules son las lneas de evolucin de la auditoria informtica?

R/ - En los aos 50s las organizaciones empezaron a desarrollar aplicaciones informticas, en ese momento, la auditoria trataba con sistemas manuales. - Posteriormente, las organizaciones empezaron con sistemas mas complejos, la auditoria trataba con sistemas informticos. - En este momento, los equipos de auditoria, empezaron a ser mixtos. (Auditores informticos con Financieros) desarrollando dos tipos de enfoque diferente. o Trabajos en los que el equipo de auditoria informtica trabajaba bajo un programa propio. o Revisiones en las que la auditoria informtica consista en la extraccin de informacin para el quipo de auditoria financiera. - Hoy en da con conceptos mas actuales y novedosos de lo que la es la FUNCION y de lo que son los OBJETIVOS de la Auditoria Informtica.

2. Qu diferentes acepciones existen de la auditoria informtica? R/ Auditoria de informtica como soporte a la auditoria tradicional, financiera, etc. - Auditoria con la funcin de gestin del entorno informtico. - Auditoria informtica como funcin independiente, enfocada hacia la obtencin de la situacin actual de un entorno de informacin en aspectos de seguridad y riesgos, eficiencia y veracidad e integridad. - Las acepciones anteriores desde el punto de vista interno y externo. - Auditoria como funcin de control dentro de un departamento de sistemas 3. Cul es el perfil del auditor informtico general? R/ -

Es un profesional dedicado al anlisis de sistemas de informacin. Especializado en alguna de las ramas de la auditoria informtica. Conocimientos generales de los mbitos en los que esta se mueve. Conocimientos empresariales generales. Caractersticas necesarias para ser consultor con su auditado. Dar ideas de cmo enfocar la construccin de los elementos de control y de gestin. Puede actuar como consejero con la organizacin en la que esta desarrollando su labor.

4. Qu Formacin debe poseer el auditor informtico? R/ Deben contemplar en su formacin bsica una mezcla de conocimientos de auditora financiera y de informtica, deben de contemplar conocimientos bsicos en cuanto a: - Desarrollo informtico. - Gestin de proyectos de desarrollos, - Gestin del Departamento de Sistemas Anlisis de riesgos en un entorno informtico, - Sistema operativo, - Telecomunicaciones,

Gestin de base de datos, Redes locales. Seguridad fsica, Operaciones y planificacin informtica, Gestin de la seguridad de los sistemas y de la continuidad empresarial a travs de planes de contingencia de la informtica, Gestin de problemas y de cambios en entorno informtico. Administracin de datos.

5. Cules son las funciones de la auditoria de informtica? R/ La funcin de la Auditoria Informtica debe realizar un amplio abanico de actividades objetivas: - Verificacin del control interno. - Anlisis de la gestin de los sistemas de informacin. - Anlisis de la integridad, fiabilidad y certeza de la informacin. - Auditoria de Riesgos operativos de los circuitos de informacin. - Anlisis de la gestin de los riesgos de la informacin y la seguridad implcita. - Verificacin del nivel de continuidad de las operaciones - Anlisis del Estado del Arte tecnolgico pueda acarrear. - Diagnostico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de informacin de la organizacin. 6. Que aspectos pueden hacer ms complejas, en la actualidad, la funcin de auditora informtica? R/ Todos los auditores tendrn conocimientos informticos que les permitan trabajar con tecnologa, empresarial, cultural y social Este aspecto no eliminar la necesidad cada vez mas unos conocimientos muy especficos, que al igual que sucede en el entorno de los sistemas de informtica, les permita ser expertos en las diferentes ramas de la tecnologa informtica, comunicacin, redes, ofimtica, comercio electrnico, seguridad, gestin de bases de datos, etc. 7. Cul debe ser la localizacin de la funcin de la Auditoria Informtica en la empresa? Su localizacin puede estar ligada a la localizacin de la auditoria interna, operativa y financiera, pero con independencia de objetivos, de planes de formacin y de presupuestos. 8. Cuales son las tareas del Jefe del Departamento de auditora informtica? R/ -

Desarrollar un plan operativo del departamento, Las descripciones de los puestos de trabajo del personal a su cargo, Las planificaciones de actuaciones a un ao, Los mtodos de gestin del cambio en su funcin y los programas de formacin individualizando, As como gestiona los programas de trabajo y los trabajos en s, Los cambios en los mtodos de trabajo y evala la capacidad de las personas a su cargo.

9. Que tamao debe tener el Departamento de Auditoria Informtico?

R/ El tamao solo se puede precisar en funcin de los objetivos en la funciones de la organizacin. Sin embargo, el abanico de responsabilidades debera cubrir: Especialista en el entorno informtico a auditar Especialista en comunicaciones o redes Responsable de gestin de riesgo operativo y aplicaciones Responsable de la auditoria de sistemas de informacin, tanto en explotacin como en desarrollo Especialista para la elaboracin de programas de trabajo conjuntos con la Auditoria Financiera.

10. Defina un plan de formacin para que un informtico pueda desempear sin problemas las funciones de auditor?

CUESTIONARIO DE REPASO CAPITULO VIII 1. Diferencia entre seguridad lgica, seguridad fsica y seguridad de las comunicaciones, poniendo varios ejemplos de cada tipo.

Seguridad Lgica consiste en la "aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo." Existe un viejo dicho en la seguridad informtica que dicta que "todo lo que no est permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lgica. Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.

Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados. Medidas y controles para denegar el acceso a travs de las redes a entidades no autorizadas, as como para garantizar la autenticidad de las partes en comunicacin. La seguridad de las comunicaciones incluye criptografa, transmisiones, emisiones y seguridad fsica
2. Explique el concepto adecuado de nivel adecuado de seguridad fsica Garantiza la integridad de los activos humanos , lgicos y material de un CPD 3. Como definira lo que constituye un desastre? Es cualquier evento que cuando ocurre tiene la capacidad de interrumpir el normal proceso de una empresa. 4. Que tipos de seguros existen? Centros de Proceso y Equiparamiento Reconstruccion de Medios Software Gastos Extra Interrupcion de Negocios Documentos y Registros Valiosos Errores y Omisiones Cubertura de Fidelidad Transportes de Medios

Contrado de Proveedores y Mantenimiento 5. Que medios de extincin de fuegos conoce? Agentes Extintores 6. Porque es importante la existencia de un control de entradas y salidas? Existencia de un sistema de control de entradas y salidas diferenciando entre areas perimetral, interna y restringida. 7. Que tenicas cree que son las mas adecuadas para la auditoria fsica? Observacion Revision Analitica de Documentacion Entrevistas con directivos y personal Consulta a Tecnicos 8. Cuales suelen ser las responsabilidades del auditor informatico interno respecto a la auditoria fsica? Revisar los controles relativos a seguridad fsica Revisar el cumplimiento de los procedimientos Evualuar Riesgos Efectuar Auditorias programadas e imprevistas

9. Que aspectos considera mas importantes a la hora de auditar el plan de contingencia desde el punto de vista de la auditoria fsica? Acuerdo de Empresa para el plan de Contigencia Acuerdo de un Proceso Alternativo Proteccion de Datos

10. Que riesgos habran que controlar en el centro del proceso alternativo? Esta el acuerdo obligado e impuestos legalmente cuando se produce un desastre? CUESTIONARIO DE REPASO CAPITULO XII 1. Que factores contribuyen a la importancia de la auditoria de desarrollo? Gasto destinado El software como producto El ndice de fracasos en proyectos de desarrollo 2. Que aspectos se deben comprobar respecto a las funciones del area de desarrollo? Planificacion del area Desarrollo de nuevos sistemas Estudio de nuevos lenguajes

Establecimiento de un plan de formacin Establecimiento de normas 3. Comente la importancia, desde el punto de vista de la Auditora, de la formacin que deben poseer los profesionales del desarrollo. Debe aplicar y conocer los procedimientos de control adecuados que permitan, garantizar que el desarrollo de sistemas de informacin se lleve a cabo segn los principios de Ingeniera de Software. Como parte de su perfil es su deber: Definir tcnicamente los requerimientos de un producto software. Disea la arquitectura y el detalle del producto software (Definir que ciclo de vida usar). Liderar equipos tcnicos y especialistas en tecnologas para el desarrollo de proyecto de software. Establecer y aplicar las pruebas de calidad. Organizar y Administrar proyectos de desarrollo de software. 4. Qu procedimiento utilizara para valorar la motivacin del personal de desarrollo? Se podra hacer encuestas al personal para que sin identificarse puedan indicar lo que les incomoda en su rea de trabajo y que aspectos deberan mejorarse de manera inmediata. Realizar talleres de motivacin donde se expongan nuevas formas de motivacin ocupacional y adems que se expongan las inquietudes de manera respetuosa y organizada de ser posible con las posibles soluciones para valorarlas y de ser el caso implementarlas.

5. Que repercusiones tiene la existencia de herramientas CASE en el mbito de desarrollo? El desarrollo de sistemas de informacin debe hacerse aplicando principios deingeniera de software ampliamente aceptados, debe de implantarse una metodologade desarrollo de sistemas de informacin soportadas por herramientas de ayudas(CASE), debindose comprobar que: la metodologa cubre todas las fases deldesarrollo y es adaptable a distintos proyectos. La metodologa y las tcnicas a la misma estn adaptadas al entorno tecnolgico y de organizacin del rea de desarrollo. Se ha adquirido, homologado e implantado segn normas del rea una herramientaCASE que se adapta a la metodologa elegida y cumple con los requisitos mnimosexigibles. Se ha formado al personal sobre esta metodologa y su adaptacin as comotcnicas asociadas y herramientas CASE. Existe un procedimiento que permita determinar en que proyectos se puede usarCASE y es ventajoso usarlo. Debe estar claro de que forma el uso de esta herramienta altera las fases dedesarrollo normales La herramienta CASE es capaz de mantener el diccionario de datos La herramienta CASE mantiene requisitos de confidencialidad necesarios sobre la documentacin asociada al proyecto

6. Describa divsersos procedimientos de anlisis, evaluacin y seleccin de herramientas de desarrollo que haya utilizado o conozca

Planificacin: Planificacin estratgica (estudio y evaluacin de riesgos,establecimiento de objetivos); Planificacin administrativa (planificacin tcnica: programa de trabajo). Realizar el trabajo: actualizacin del programa de trabajo, pruebas decumplimiento, pruebas sustantivas. Revisiones de informes: Revisin del trabajo, elaboracin de informes, distribucinde informes. Fin: archivar los papeles de trabajo. Una de las herramientas principales que he usado es programacin orientada aobjetos VB.Net por ejemplo, para elegirla se analiz su potencialidad de desarrollode software y la compatibilidad del sistema que se desarroll con los SO actuales,es decir tratar que a ms de solventar las necesidades de procesamiento tengacompatibilidad con los diversos SO que pudieran tener los usuarios. Es deciranalizarlo, evaluarlo y seleccionarlo fue algo circunstancial y a la vez se bas msen la necesidad y conocimiento del uso de la herramienta de desarrollo. 7. Que riesgos entraan la subcontratacin del desarrollo? Riesgos como que el personal no est capacitado y haya que capacitarlo con losinconvenientes de gastos extra presupuestados en el proyecto. Que el personal no se acople a las exigencias o polticas del trabajo Que se pueden ver afectadas las normas implantadas para el desarrollo de software,dando inconvenientes a la seguridad del proyecto que se desarrolle. 8. Como afecta el modelo del ciclo de vida que se adopte en un proyecto a la auditoria a realizar sobre el mismo? El ciclo de vida afecta si no se lo ha elegido apropiadamente para el tipo de proyectoque se trate, se ha de dimensionar histricamente el proyecto y sus riesgos como paraseleccionar el ciclo de vida, se debe poner especial atencin si se elige un ciclo de vidabasado en prototipado, en este caso deben cumplirse los requisitos necesarios paraaplicarlo con xito y debe existir un acuerdo con los usuarios sobre el alcance del prototipo y el objetivo que se persigue con el mismo.

9. Cree que la trazabilidad de los requisitos resulta importante en un desarrollo informatico? Si es importante porque permitir desde el inicio, el desarrollo y definicin deobjetivos, desarrollo del software en todas sus fases, evaluacin del producto por losusuarios y luego la explotacin, una cadena de controles y normas que deben decumplirse para obtener un producto optimo y de calidad.

10. Exponga como debera ser la participacin del usuario a lo largo de las distintas fases de la metodologia mtrica. En el proyecto deben participar los usuarios de todas la reas que afecte el nuevosistema, esta participacin ser normalmente a travs de entrevistas que tendrnespecial importancia en la definicin de requisitos del sistema. El grupo de usuarios por medio de las entrevistas permitirn conocer o darn aconocer cmo valoran el sistema actual y los que esperan del nuevo sistema. Los usuarios deben contar con todos los recursos necesarios Los usuarios deben comparar con los recursos existentes y se ha planificado todoslos recursos necesarios

El sistema debe ser aceptado por los usuarios antes de ponerse en explotacin, las pruebas de aceptacin son realizadas por los usuarios, se evalan los resultados delas pruebas y se toman decisiones correctoras necesarias para solventar lasincidencias encontradas, actualizndose el proyecto El grupo de usuarios y el comit de direccin firman su conformidad con las pruebas de aceptacin.