PRUEBA DE ENSAYO

Conteste las siguientes preguntas argumentando sus respuestas

1. Como justificara ante un directivo de empresa la inversin necesaria
en control y auditoria informtica. Asumiendo su rol de auditor
Como auditores, tenemos de la responsabilidad de proponer y
establecer estrategias y planes que permitan a la empresa de la cual
seamos parte, manejar sus operaciones con la mayor eficiencia y
eficacia posible. Por tal motivo, son muchas las razones, por la cuales
valdra la pena invertir en mecanismos para implantar un Control
Interno Informtico y realizar una Auditora Informtica.

Sabiendo que la informacin es un recurso crtico que debera ser

protegido, se debe implantar un control interno informtico para
que la informacin sea exacta completa y est disponible siempre
que los directivos o cualquier persona autorizada la necesite.

Si una organizacin pretende ser competitiva y moderna, debe ser

informtico dependiente, y ya que la informacin puede ser
destruida o robada surge la necesidad de implementar un sistema
de control informtico

Si una empresa busca eficiencia en los procesos internos, se

justifica totalmente la implantacin de un control interno
informtico.

La dependencia respecto de los sistemas de informacin, se

convierte en un mal necesario por as decirlo ya que cada vez se
hace inevitable involucrarnos ms con la globalizacin.

Implementar un control interno es necesario ya que el mismo

ayuda a prevenir, corregir errores o irregularidades que puedan
afectar el funcionamiento de un sistema para conseguir los
objetivos de la empresa.

La tendencia de toda organizacin hoy en da, es lograr no slo la

satisfaccin del cliente, sino tambin promover una mejora
continua en la actividad empresarial. Por ello, con motivo de la
gestin de la calidad total, se justificara la implantacin de un
Control Interno Informtico.

En cuanto a la auditora informtica se refiere, podemos afirmar

que es de suma importancia ya que
apoya a la auditora
financiera. Y con una auditora financiera que aporte resultados
favorables para la empresa, sin duda aportar tambin a
incrementar el nivel de competitividad de la misma.

Una auditoria informtica sirve de sustento y confirmacin de los

objetivos de la auditoria tradicional.

Una de las razones ms importantes de establecer una auditoria

informtica dentro de una organizacin, determinar si un sistema
informatizado salvaguarda los activos, mantiene la integridad de
los datos, lleva acabo eficazmente los fines de la organizacin, y
usa eficientemente los recursos.

2. Qu norma de seguridad utilizara para establecer un Sistema de

Gestin de la Seguridad de la Informacin en una organizacin. Por
qu usara esa norma?
Como primer punto, es importante partir de las definiciones de cada
una de las normas a analizar:
Norma UNE-ISO/IEC 27001: es un estndar para la seguridad
Especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un sistema de gestin de la seguridad de la
informacin (SGSI)
segn
el
conocido
como
Ciclo
de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar,
Hacer, Verificar, Actuar). Es consistente con las mejores prcticas
descritas en ISO/IEC 27002.
Norma UNEISO/IEC 27002: es un Cdigo de Buenas Prcticas en
Gestin de la Seguridad de la Informacin, proporciona
recomendaciones de las mejores prcticas en la gestin de
la seguridad de la informacin a todos los interesados y responsables
en iniciar, implantar o mantener sistemas de gestin de la seguridad
de la informacin.
Partiendo de esta premisa, considero que el primer paso sera
investigar a fondo el contenido de la Norma UNEISO/IEC 27002,
para posteriormente adoptar la Norma UNE-ISO/IEC 27001, la cual
nos permitir establecer una solucin para una mejora continua que
permita

evaluar los riesgos fsicos (incendios, inundaciones, sabotajes,

vandalismos, accesos indebidos e indeseados) y lgicos (virus informticos,

ataques de intrusin o denegacin de servicios) y establecer las estrategias
y controles adecuados que aseguren una permanente proteccin y
salvaguarda de la informacin de la empresa.

FUENTES DE INVESTIGACION:

http://www.isecauditors.com/consultoria-ISO-27001-iso-27002
http://www.isaca.org/chapters7/Madrid/Events/Documents/Principal
es%20Novedades%20de%20la%20ISO27001ISO%2027002%20%20Paloma%20Garcia.pdf

3. Qu plan de contingencias propondra, si la organizacin donde

trabaja se encuentra ubicada en una ciudad de alto riesgo ssmico.
Proponga por lo menos las fases que se llevaran a cabo.
PLAN
DE
CONTINGENCIA
INFORMTICO:
es
un
tipo
de plan preventivo. Presenta una estructura estratgica y operativa
que ayudar a controlar una situacin de emergencia y a minimizar
sus consecuencias negativas.
El plan de contingencia propone una serie de procedimientos
alternativos al funcionamiento normal de una organizacin, cuando
alguna de sus funciones usuales se ve perjudicada por una
contingencia interna o externa.
El Plan est orientado a establecer, un adecuado sistema de
seguridad fsica y lgica en previsin de desastres, es decir un
conjunto de medidas destinadas a salvaguardar la informacin de la
empresa.

Esta clase de plan intenta garantizar la continuidad del

funcionamiento de la organizacin frente a cualquier eventualidad, ya
sean materiales o personales.
Incluye 4 etapas bsicas:

Evaluacin: en esta etapa es necesario evaluar las posibles

situaciones a presentarse, y que pondran en riesgo la informacin
de la empresa. En este caso, la problemtica sera la posibilidad de

un movimiento telrico, el cual puede interrumpir el proceso de

operacin normal de la organizacin.

Planificacin: en esta etapa se expondrn las diferentes

alternativas para proteger no slo la informacin sino tambin al
personal, ya que tanto informacin como personal son los activos
ms importantes dentro de una organizacin. Es decir que en esta
etapa se registrarn cuestiones como tener un adecuado y
resistente mobiliario que permita proteger los computadores,
adems, poseer dispositivos de almacenamiento de respaldo de la
informacin. En cuanto a las personas, se debe salvaguardar su
integridad mediante adecuadas rutas de escape dentro de la
organizacin, se debe tener personal capacitado en caso de
reemplazo.

Pruebas de viabilidad: en esta etapa se realizarn pruebas piloto

para verificar que los puntos tomados en cuenta en la etapa de
planificacin son correctos o no. En este tipo de desastres, la
prioridad es salvaguardar el activo personas, por lo tanto se harn
simulacros de escape una vez activada la alarma. Tambin se
puede revisar la existencia de los respaldos magnticos de la
informacin de la empresa, esto se lo puede hacer cada cierto
tiempo, uno o dos meses. Adems se puede poner a prueba al
personal de reemplazo para que opere y demuestre que est
capacitado para desempearse correctamente en el rea de
Sistemas, etc.

Ejecucin: es la etapa final en la que quedar documentado el Plan

de Contingencia en caso de un movimiento telrico, el mismo
deber ser analizado y aprobado por las jefaturas pertinentes de la
organizacin, adems se documentar la fecha y las actividades
realizadas, as como tambin los participantes de las Pruebas
Piloto ejecutadas.

FUENTES DE INVESTIGACION:

http://www.peru.gob.pe/docs/PLANES/13764/PLAN_13764_Plan_de_Contingencia_Inform
%C3%A1tico_2013_2013.pdf

http://es.slideshare.net/Chenny3/plan-de-contingencia-8874360

4. Defina una estrategia para establecer el universo de TI de la

organizacin en donde trabaja.
En el entorno cambiante en el que se desenvuelven las empresas hoy en
da, es evidente que para establecer una estrategia, sea cual sea
nuestro propsito, se debe tener muy en claro qu es nuestro negocio y
qu es lo que se espera de l , o ms exactamente, hacia dnde se
pretende llegar.
Para esto, debemos tener claro que establecer una estrategia, nos
permitir seleccionar las actividades prioritarias para el mejoramiento
del servicio y aprovechar las ventajas que aparezcan en el camino para
llegar hacia la competitividad.
El objetivo primario para definir esta estrategia, es entonces cundo,
cmo y qu Tecnologa de la Informacin incorporar para lograr las
metas y planes programados.
Dicho de esta manera definiremos la estrategia como sigue:

La cooperativa de Ahorro y Crdito XXX Ltda. es una entidad

financiera.

Su capacidad econmica y de infraestructura es un tanto limitada,

por lo tanto la implementacin de una estrategia de Tecnologas de la
Informacin, debe ser moderada y discreta, pero que cumpla con el
objetivo primordial, que es la salvaguarda de uno de los activos ms
importantes de toda organizacin, como es la informacin.

Su problema actual es que no existe un control adecuado para el

acceso de la informacin, por lo que cualquier empleado pertenezca o
no al rea, puede manipular la informacin de los computadores.

Entonces lo que se pretende es implementar normas, polticas y

medidas de restriccin a la informacin, que permitan un adecuado
uso y proteccin de la informacin.

Uno de los asuntos crticos a resolver en la Cooperativa, es la

facilidad de manipulacin de la informacin contenida en programas
como Excel y Word.

La prioridad entonces en esta Cooperativa es que la informacin que

sale del Sistema Contable y pasa a programas como Excel y Word,
sea de uso restringido y controlado.

OBJETIVO INMEDIATO:
Crear restriccin para la informacin contenida en programas que
contienen informacin que puede ser manipulada fcilmente.
MEDIDAS A TOMAR:
Establecer una poltica que permita el acceso
informacin, puede ser mediante claves.

restringido

a la

Si hay cambio de personal se realizar tambin los respectivos cambios

de clave.
Peridicamente se establecer la respectiva contratacin de antivirus,
para que los mismos no puedan daar la informacin contenida en el
computador.
A ms de ello se mantendrn respaldos de la informacin a travs de
cualquier medio magntico disponible.