ALUMNO/NO. CUENTA: Andy Zuriel Matamoros Flores/20142005146
TRABAJO: Asignación No. 2 Unidad No. 1
FECHA DE PRESENTACIÓN: 01/03/2024
Respuestas a. Sí, las pruebas de auditoría adolecen de una falta de límites de audacia, especialmente cuando se trata de control de acceso. Esto se debe a que la falta de restricciones puede aumentar la probabilidad de errores, fraude o acceso no autorizado a información confidencial. Además, la demora en recibir el informe de auditoría de 2005 hizo difícil comparar y evaluar la efectividad de las inspecciones realizadas durante los dos años, lo que limitó la capacidad de identificar problemas potenciales o mejoras necesarias en el sistema. b. La evidencia de auditorías externas no debe excluirse como evidencia de que no existen controles clave o no se están aplicando de manera efectiva y consistente. Estas pruebas son muy importantes para identificar debilidades de control en la organización y áreas de mejora. La eliminación o reducción de estas pruebas puede enmascarar problemas importantes en los sistemas de control interno y, por tanto, aumentar el riesgo de error, fraude o incumplimiento. c. El informe negativo del auditor externo, que encontró violaciones e ilegalidades significativas en el campo de las tecnologías de la información, afectará el trabajo del nuevo auditor interno de varias maneras: El nuevo auditor interno deberá abordar y corregir los problemas identificados en los informes externos, lo que requerirá un análisis exhaustivo de los controles existentes y la implementación de acciones correctivas. El informe externo proporcionará orientación al nuevo auditor interno al identificar áreas problemáticas específicas y posibles debilidades en los sistemas informáticos de la empresa. d. Como auditor interno, es útil utilizar el informe dejado por el auditor externo como contexto para el trabajo futuro. El informe proporciona una descripción detallada de los problemas y debilidades de TI que pueden ayudar a los auditores internos a priorizar y centrarse en áreas específicas que requieren más atención durante una auditoría interna. e. Una desventaja de una cláusula de confidencialidad es que puede limitar la capacidad del auditor interno para compartir información relevante con otras partes interesadas, tanto dentro como fuera de la organización. Esto puede dificultar el trabajo con otras áreas o departamentos para abordar y resolver los problemas identificados durante la auditoría interna. Además, la falta de transparencia creada por esta regla puede limitar la retroalimentación y el intercambio de conocimientos entre el equipo de auditoría interna y otros departamentos, obstaculizando así la mejora continua dentro de la organización. f. Adicione si considera necesario más parámetros creando formato de situaciones encontradas similar al disponible en el campus. (Mencione 2 situaciones encontradas) Situaciones encontradas en el Departamento de IT: Falta de actualizaciones de seguridad y parches en los sistemas informáticos: Causas: Falta de un proceso formalizado para la gestión de parches y actualizaciones. Priorización inadecuada de la seguridad informática en la asignación de recursos. Complejidad en la implementación de parches debido a la infraestructura de sistemas heredada. Soluciones: Implementar un proceso estructurado para la gestión de parches, incluyendo evaluaciones de riesgos y programación regular de actualizaciones. Asignar recursos adecuados y priorizar la seguridad informática en el presupuesto de IT. Modernizar la infraestructura de sistemas para facilitar la implementación de parches y actualizaciones. Débil control de acceso y autenticación en los sistemas: Causas: Falta de políticas claras y procedimientos para la gestión de accesos. Deficiencias en la implementación de tecnologías de autenticación fuerte. Insuficiente capacitación del personal sobre prácticas seguras de autenticación. Soluciones: Desarrollar y documentar políticas y procedimientos para la gestión de accesos, incluyendo la asignación y revocación de privilegios. Implementar tecnologías de autenticación multifactorial donde sea aplicable. Proporcionar capacitación regular al personal sobre la importancia de prácticas seguras de autenticación. Nombre de la empresa Área auditada Fecha Lear Corporation Departamento de IT 03-04-2005 Ref. Situación Causas Solución Fecha de Responsabl solución e AE- Falta de Falta de un proceso Implementar un 03-04- Andy Flores formalizado para la proceso 01 actualizacion gestión de parches y estructurado para 2005 es de actualizaciones. la gestión de
seguridad y Priorización inadecuada parches,
incluyendo de la seguridad parches en informática en la evaluaciones de riesgos y asignación de recursos. los sistemas programación Complejidad en la regular de de implementación de actualizaciones. información parches debido a la Asignar recursos infraestructura de adecuados y sistemas heredada. priorizar la seguridad informática en el presupuesto de IT. Modernizar la infraestructura de sistemas para facilitar la implementación de parches y actualizaciones.
AE- Falta de políticas Desarrollar y 03-04- Andy Flores
documentar 02 Débil control claras y políticas y 2005 de acceso y procedimientos procedimientos para la gestión de autenticació accesos. para la gestión de accesos, n en los Deficiencias en la incluyendo la sistemas implementación de asignación y tecnologías de revocación de autenticación privilegios. fuerte. Implementar tecnologías de Insuficiente autenticación capacitación del multifactorial personal sobre donde sea prácticas seguras aplicable. de autenticación. Proporcionar capacitación regular al personal sobre la importancia de prácticas seguras de autenticación.
Elaborado por Aprobado por
Andy Zuriel Matamoros Andy Matamoros Flores Nombre de la empresa Área auditada Fecha Lear Corporation Departamento de Control de 05-04-2005 Calidad y Desarrollo Tecnológico Ref. Situación Causas Solución Fecha Responsa de ble solución AE- Falta de Ausencia de Establecer un proceso 05-04- Andy procedimientos formalizado para la 03 seguimiento documentación y 2005 Flores establecidos para la y documentación y seguimiento de pruebas de calidad en documentaci seguimiento de todas las etapas del pruebas de calidad en ón de el ciclo de desarrollo ciclo de desarrollo de software. pruebas de de software. Implementar calidad en el Insuficiente herramientas de integración de gestión de pruebas proceso de herramientas de que faciliten la desarrollo gestión de pruebas en planificación, ejecución y de software el proceso de seguimiento de desarrollo. pruebas de calidad. Falta de claridad en Definir roles y los roles y responsabilidades responsabilidades del claros para el personal personal en relación involucrado en las con las pruebas de pruebas de calidad, calidad. incluyendo desarrolladores, testers y personal de control de calidad.
AE- Retrasos en Falta de procesos Establecer procesos 05-04- Andy
estandarizados y estandarizados y 04 la entrega documentados para el 2005 Flores documentados de proyectos desarrollo de software para el desarrollo y control de calidad, debido a la de software y basados en falta de control de calidad. metodologías reconocidas (por estandarizac Variabilidad en las ejemplo, Agile, Scrum, ión en los prácticas de Lean). desarrollo y control Implementar prácticas procesos de de mejora continua de calidad entre desarrollo y diferentes equipos para identificar y eliminar cuellos de control de y proyectos. botella en los procesos calidad Ausencia de de desarrollo y control de calidad. métricas y seguimiento para Implementar métricas y sistemas de evaluar el seguimiento para rendimiento y la evaluar el rendimiento eficacia de los y la eficacia de los procesos, y realizar procesos. ajustes según sea necesario para mejorar la eficiencia y reducir los retrasos en la entrega de proyectos.