Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Evaluación de Riesgo
Evaluación de Riesgo
EVALUACIÓN DE RIESGOS
Tabla de Contenidos
Introducción ……………………………………………………………………………...3
Evaluación de riesgos……………………….………………………………………..4
Diagnóstico de la organización…………………………………………………4
Revisión de documentación…………………………………………………..4
Entrevistas al personal………………………………………………………..5
Observación de personal realizando sus tareas……………………………….5
Señales de peligro de auditoría……………………………………………….6
Información que solicita el auditor…………………………………………...6
Revisión de centros de cómputo……………………………………………………..7
Revisión de seguridad………………………………………………………………...8
Controles de acceso lógico……………………………………………………9
Controles de acceso físico…………………………………………………….9
Controles del ambiente………………………………………………………..9
Labor de auditoría……………………………………………………………..9
Sistema operativo…………………………………………………………………….11
Revisión de desarrollo de sistemas…………………...………………………...11
Estudio de factibilidad…………...…………………………………………..12
Definición de requerimientos………..………………………………………12
Fase de diseño detallado y programación…………………..……….……….12
Fase de prueba…………………..…………………………………………...13
Implantación………………………………………………..………………..13
Fase de post-implantación………………………………………..………….13
Revisión de aplicaciones de software comprado……………………………….13
Revisión del mantenimiento de aplicaciones…………………………………...14
Revisión de controles de aplicaciones……………………………………….....14
Diagnóstico de informática………………………………………………………15
Conclusiones........................................................................................................19
Lista de Referencias...........................................................................................................20
3
Introducción
o desprotegidas están sus operaciones que se apoyan en la informática, de tal forma que
ocurrencia del riesgo. De tal forma que, el análisis y evaluación de los riesgos del área de
informática de una empresa son dos elementos esenciales para determinar el estado en
que se presentan los riesgos, es decir, los escenarios frente a los cuales la organización
posee debilidades.
4
Evaluación de Riesgos
requeridos para minimizar las posibles causas de riesgos, tanto en las instalaciones
Diagnóstico de la organización
Revisión de documentación
Perfiles de personal; Permite definir las funciones y asignar las tareas que
Objetivos a corto y largo plazo: son los objetivos del departamento, los cuales
deben estar de acuerdo con las necesidades de los usuarios y estar autorizados.
Entrevistas al Personal
Costos excesivos.
Exceso al presupuesto.
A nivel organizacional:
Manual de la organización.
7
Políticas generales.
Contrato de seguros.
Configuraciones de equipos.
Planes de expansión.
y mantener un registro detallado de todas las actividades del computador que debe
computador.
Revisión del plan de mantenimiento. Aquí se verifica que todos los equipos
continuo.
Revisión de seguridad
información o destrucción.
9
Los controles de acceso lógico son utilizados para limitar el uso de aplicaciones
del computador, son para identificar el usuario el cual te va a dar acceso a los niveles de
datos de las aplicaciones, por ejemplo: solo lectura, creación, eliminación de registros,
etc.
las puertas, puertas con combinación, puertas electrónicas, con tarjetas, digitación de
Los Controles del ambiente detectan peligros dentro del centro de cómputo.
Labor de auditoria
Los diagramas de red son los encargados de mostrar los puntos de conexión
entre computadoras, terminales y quipos periféricos, estos son importantes porque pueden
enlazar puntos físicos con accesos lógicos de terminales.
son importantes porque permiten dar a conocer y enfocar los puntos de seguridad física y
1. Terminales: sirven para identificarse, deben contar con restricción física del curso
usuario definidas.
proteger el acceso a programas que regulan la lógica para permanecer según las
controles físicos y de seguridad del ambiente. Dicho proceso debe ser hecho en el centro
Sistema Operativo
El auditor revisa:
Los procedimientos relacionados con la identificación y la selección del
para la prueba del sistema, determinar si las pruebas se realizaron de acuerdo con
ese plan y en forma exitosa; de no ser así investigar si todos los problemas se
Seguridad del software del sistema. Consiste en revisar los procedimientos para
sistemas obtenga la documentación necesaria y disponible de las diversas fases, así como
12
que asista a las reuniones del equipo del proyecto ofreciendo asesoramiento durante todo
capacidad de los equipos del proyecto para producir los productos claves a entregar para
Estudio de factibilidad
necesidad del negocio que se utiliza para justificar el sistema, realmente existe, y hasta
Definición de requerimientos
usuarios que lo solicitan. Identificar los miembros clave del equipo del proyecto y
verificar que todos los grupos usuarios afectados tienen una adecuada representación.
Verificar que la gerencia aprobó la iniciación del proyecto y el costo del proyecto.
Revisar los diagramas de flujo de datos y el diseño conceptual para asegurarse de qué se
Revisar los flujogramas del sistema para observar el seguimiento del diseño
general; si se observan cambios, verificar que fueron dadas las aprobaciones apropiadas
para los cambios y que los cambios han sido discutidos y aprobados por los grupos de
13
usuarios afectados. Revisar los controles de entrada y salida diseñados dentro del sistema,
Fase de prueba
La fase de prueba es crucial para determinar que los requerimientos han sido
sistemas debe participar en forma intensa y revisar la fase. Examinar el plan de prueba
para verificar que sea completo con la evidencia indicada de la participación del usuario,
tal como escenario de situaciones de prueba creados por los usuarios y/o aprobación
Implantación
Esta fase se inicia sólo después de una exitosa fase de prueba. Debe tenerse
sistemas debe verificar que las aprobaciones necesarias, existen antes de implementar el
nuevo sistema.
Fase de post-implantación
Revisar las solicitudes de cambios a los programas que se han realizado, para
evaluar el tipo de cambios que se exigen al sistema; el tipo de cambios puede indicar
registros respaldados.
auditoría.
controles existentes.
la aplicación.
Diagnóstico De Informática
Para lograr desarrollar e implantar un sistema con calidad, dentro de los plazos y
costos previstos, cuyos beneficios sean los planificados, es necesario controlar que:
General de Sistemas.
Sistemas Informáticos.
mismo.
La tecnología utilizada sea la más adecuada a los fines del sistema y permita
General de Sistemas. Para asegurar que el Sistema por desarrollar o desarrollado logre
estar integrado y tenga todas las interfaces con los demás sistemas, es necesario que se
compruebe que es uno de los componentes del Sistema Global FEDV CONTADURIA
del Sistema, usando el método de Gantt como mínimo, siendo ideal utilizar
adicionalmente el PERT-CPM
para asegurar que el Sistema se desarrolle de acuerdo con una metodología, consiste en
Que cuente con toda la documentación del análisis, diseño e implantación del
sistema.
Aplicación de técnicas
Detección de errores.
17
La calidad del sistema producido sea tal que permita una óptima operatividad del
mismo. Este aspecto, además de ser evaluado por un especialista en Sistemas, debe
también ser verificado con el usuario, ya que él puede dar su apreciación del sistema, en
La tecnología utilizada sea la más adecuada a los fines del sistema y permita una
vida útil satisfactoria para la inversión realizada. Se debe verificar que los siguientes
Equipos.
Sistema de Red.
Sistema de Comunicaciones.
Lenguaje de Programación.
Que los costos, tanto del desarrollo como de su operación y mantenimiento, sean los
debe contar con un presupuesto general, el cual debe ser detallado en la fase de Análisis
Costo de supervisión.
18
Costos de equipamiento.
Costo de capacitación.
Costo de producción.
Costo de mantenimiento.
sistema, se debe esperar que transcurran por lo menos dos períodos de procesamiento
para evaluar si los beneficios del sistema se han logrado, tanto en las ventajas esperadas
CONCLUSIONES
una compañía debido a que nos permite identificar los riesgos por áreas o sectores dentro
PREGUNTAS
de incendios, etc.
3. ¿Cuál de los controles se usa para limitar las aplicaciones de los computadores?
d) A y B son correctas
a) Revisión de documentos.
b) Entrevistas al personal.
d) A y B son correctas.
22
Bibliografía