Documente Academic
Documente Profesional
Documente Cultură
INDICE
ANEXOS................................................................................................................................. 40
Auditora informtica II
El Bloque I, tiene como finalidad conocer los elementos fundamentales de la auditoria informtica, as como sus conceptos bsicos y principios ticos para identificar su utilidad en las organizaciones.
M.C. Gabriel Huesca Aguilar Pgina 3
En una empresa de a localidad se han creado nuevas polticas para estar a la vanguardia. Una de las estrategias es la certificacin en sus procedimientos administrativos; por lo que es necesario prepararse para una auditoria informtica que permita la certificacin. Si t fueras parte del equipo del departamento de informtica, como resolveras las siguientes situaciones. 1. Quin crees que va a realizar la auditora? 2. Qu departamento(s) de la empresa se tiene que preparar para la auditora? 3. Qu reas se deben organizar para dicha auditora? 4. Qu documentos crees que debes recopilar para dicha auditora? 5. Cmo podras tu, colaborar para aprobar dicha auditoria? 6. Quin es el responsable de la auditoria?
Pgina 4
Auditora informtica II
http://www.infosol.com.mx/espacio/cont/investigacion/diagnostico.html
Pgina 5
Auditora informtica II
El ordenamiento de la informacin, de modo que sea fcil de consultar. 1. Anlisis e interpretacin de la informacin, que consiste en separar los elementos bsicos de la informacin y examinarlos con el propsito de responder a las cuestiones planteadas al inicio de la investigacin.
Pgina 6
Auditora informtica II
Anlisis de redes de comunicacin. Analiza la estructura de comunicacin de una organizacin y su efectividad. Se evala quien se comunica con quin, que grupos existen en la organizacin, qu miembros actan como puente entre los grupos, los bloqueos que sufre la informacin, el contenido de la comunicacin y la cantidad de informacin difundida. La entrevista grupal. Esta tcnica selecciona un cierto nmero de miembros representativos de la organizacin para ser entrevistados como grupo. La entrevista se suele centrar en aspectos crticos de la comunicacin organizacional.
Diagnstico cultural
El diagnstico cultural es una sucesin de acciones cuya finalidad es descubrir los valores y principios bsicos de una organizacin, el grado en que stos son conocidos y compartidos por sus miembros y la congruencia que guardan con el comportamiento organizacional. Objetivos desde la perspectiva interpretivista Evaluar el papel de la comunicacin en la creacin, mantenimiento y desarrollo de la cultura de una organizacin. Evaluar el contenido de las producciones comunicacionales y el significado que tiene para sus miembros, tales como conversaciones, ritos, mitos, filosofa y valores. Entender la vida organizacional y el papel de la comunicacin desde la perspectiva de los miembros de la organizacin. Categoras de anlisis del diagnstico cultural Los valores y principios bsicos de una organizacin pueden determinarse a travs de los campos en que se manifiestan, por lo que mientras ms manifestaciones culturales se analicen, ms rico y acertado resultar el diagnstico. Las manifestaciones conceptuales y simblicas estn constituidas por las siguientes categoras y elementos: Espirituales: Ideologa / filosofa, smbolos, mitos e historia. Conductuales: Lenguaje, comportamiento no verbal, rituales y formas de interaccin. Estructurales: Polticas y procedimientos, normas, sistemas de status internos, estructura del poder. Materiales: Tecnologa, instalaciones, mobiliario y equipo. Mtodos y tcnicas El proceso del diagnstico cultural se apoya en ciertas herramientas. En cuanto a su aplicacin, bsicamente podemos hablar de dos enfoques: el cualitativo y el cuantitativo. Con el primero se busca la medicin precisa de ciertas variables establecidas de antemano y su posterior comparacin, el segundo depende ms de la agudeza de la percepcin del investigador al analizar los datos. Tcnicas cualitativas aplicables: Observacin. Para llevarla a cabo, el investigador puede optar por convertirse en un miembro ms del grupo (observacin participante), o bien por observarlos desde fuera (observacin no participante u ordinaria). El investigador debe ganarse, en cualquier caso, la confianza de las personas que va a estudiar, lograr su aceptacin y evitar en lo posible que s presencia interfiera o perturbe de algn modo las actividades cotidianas del grupo. Entrevistas individuales. Es muy importante que en las entrevistas se logre lo que se conoce con el nombre de "simpata". Esta implica el establecimiento de un clima de confianza mutua, comprensin y afinidad emocional entre el entrevistador y el entrevistado. Anlisis de documentos. El investigador reunir una coleccin de documentos diversos que necesitan ser interpretados a fin de extraer la informacin que contienen sobre la historia y caractersticas de la organizacin, y que lo llevarn a inferir algunos aspectos importantes de la cultura de la misma. M.C. Gabriel Huesca Aguilar Pgina 7
Auditora informtica II
Discusin en grupos pequeos. Sesiones de grupo con una discusin dirigida. Dramatizacin. Proporciona datos sobre la percepcin que la gente tiene de ciertos papeles, relaciones y situaciones de trabajo. Tcnicas proyectivas. Consiste en presentar a un sujeto un material poco estructurado, con instrucciones vagas y pidindole que lo organice a su manera, cosas que no puede hacer sin proyectar la estructura de su propia personalidad.
Tcnicas cuantitativas aplicables: Encuesta. La informacin recogida por medio de esta tcnica puede emplearse para un anlisis cuantitativo con el fin de identificar y conocer la magnitud de los problemas que se suponen o se conocen en forma parcial o imprecisa. El mtodo que puede utilizarse para levantar la encuesta es el cuestionario.
Fecha: ___/_____/201__
Pgina 8
Auditora informtica II
Diagnostico de informtica2
Aqu el auditor se coordina directamente con el responsable de la funcin de informtica. Conocimiento de la funcin de informtica: En esta parte el auditor conocer la estructura interna de informtica, funciones, objetivos, estrategias, planes y polticas. La tecnologa de software y hardware es en la que se apoya para llevar a cabo su funcin dentro del negocio. Las entrevistas deben hacerse con el responsable de informtica. El auditor debe ser profesional y tico en su trabajo para brindarles seguridad de que al final de su tarea beneficiar a los que lo contrataron. El auditor en informtica debe lograr un equipo de trabajo unido, y que el lder de proyectos (es quien se encarga de coordinar y supervisar los proyectos de la auditora; puede tener a uno o ms auditores) desarrolle una buena comunicacin con el personal de informtica en esta etapa. Es clave remarcar y evaluar los servicios que presta informtica a las diferentes reas del negocio y en los distintos niveles organizacionales, estos servicios pueden ser ejecutados por personal externo y coordinados por informtica. Ejemplos de servicios brindados: Implantacin de soluciones de informacin: Desarrollo de sistemas de informacin Compra y adecuacin de aplicaciones Bases de datos Evaluacin, adquisicin, instalacin y reemplazo de: Equipos de cmputo y telecomunicaciones Paquetes de software Lenguajes de programacin Mantenimiento de los sistemas y equipos Soporte a usuarios Capacitacin y asesora tcnica Investigaciones sobre tecnologas (equipos) y aplicaciones en el mercado Planeacin de informtica Auditora en informtica Soporte a la alta direccin Observacin: Para obtener toda la informacin posible sobre el diagnstico del negocio y de informtica, el auditor se apoyara sobre cuestionarios detallados. El diagnstico inicial del negocio reflejar algunos puntos como el giro de la empresa, sus reas organizacionales, planes y proyectos del negocio, imagen de informtica ante la alta direccin, etc. Los aspectos tecnolgicos, administrativos, culturales y financieros, entre otros, brindan al auditor en informtica un panorama real del escenario donde desarrollar su trabajo.
http://es.scribd.com/doc/51508177/9/Etapa-preliminar-o-diagnostico
Pgina 9
Pgina 10
Auditora informtica II
Matriz de riesgos3
Introduccin La Matriz para el Anlisis de Riesgo, es producto del proyecto de Seguimiento al Taller Centroamericano Ampliando la Libertad de Expresin: Herramientas para la colaboracin, informacin y comunicacin seguras y fue punto clave en analizar y determinar los riesgos en el manejo de los datos e informacin de las organizaciones sociales participantes. La Matriz, que bas en una hoja de clculo, no dar un resultado detallado sobre los riesgos y peligros de cada recurso (elemento de informacin) de la institucin, sino una mirada aproximada y generalizada de estos. Hay que tomar en cuenta que el anlisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daos de cada recurso de una institucin contra todas las posibles amenazas, es decir terminaramos con un sinnmero de grafos de riesgo que deberamos analizar y clasificar. Por otro lado, hay que reconocer que la mayora de las organizaciones sociales centroamericanas (el grupo meta del proyecto), ni cuentan con personal tcnico especfico para los equipos de computacin, ni con recursos econmicos o mucho tiempo para dedicarse o preocuparse por la seguridad de la informacin que manejan y en muchas ocasiones tampoco por la formacin adecuada de sus funcionarios en el manejo de las herramientas informticas. Entonces lo que se pretende con el enfoque de la Matriz es localizar y visualizar los recursos de una organizacin, que estn ms en peligro de sufrir un dao por algn impacto negativo, para posteriormente ser capaz de tomar las decisiones y medidas adecuadas para la superacin de las vulnerabilidades y la reduccin de las amenazas. Descargar la Matriz El formato (vaco) de la Matriz en versin OpenOffice y Microsoft Excel, ms algunos documentos de apoyo, se puede obtener en la seccin Descargas que se encuentra en la liga: http://protejete.wordpress.com/descargas/ Fundamento de la Matriz La Matriz la bas en el mtodo de Anlisis de Riesgo con un grafo de riesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Dao La Probabilidad de Amenaza y Magnitud de Dao pueden tomar los valores y condiciones respectivamente 1 = Insignificante (incluido Ninguna) 2 = Baja 3 = Mediana 4 = Alta
http://protejete.wordpress.com/gdr_principal/matriz_riesgo/
Pgina 11
Auditora informtica II
El Riesgo, que es el producto de la multiplicacin Probabilidad de Amenaza por Magnitud de Dao, est agrupado en tres rangos, y para su mejor visualizacin, se aplica diferentes colores. Bajo Riesgo = 1 6 (verde) Medio Riesgo = 8 9 (amarillo) Alto Riesgo = 12 16 (rojo) Uso de la Matriz La Matriz verdadera la bas en un archivo con varias hojas de calculo que superan el tamao de una simple pantalla de un monitor. Entonces por razones demostrativas, en las siguientes imgenes solo se muestra una fraccin de ella. La Matriz contiene una coleccin de diferentes Amenazas (campos verdes) y Elementos de informacin (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Dao (campos amarillas) por cada elemento de Informacin.
Pgina 12
Auditora informtica II
Para la estimacin de la Probabilidad de amenazas, se trabaja con un valor generalizado, que (solamente) est relacionado con el recurso ms vulnerable de los elementos de informacin, sin embargo usado para todos los elementos. Si por ejemplo existe una gran probabilidad de que nos pueden robar documentos y equipos en la oficina, porque ya entraron varias veces y no contamos todava con una buena vigilancia nocturna de la oficina, no se distingue en este momento entre la probabilidad si robarn una porttil, que est en la oficina (con gran probabilidad se van a llevarla), o si robarn un documento que est encerrado en una caja fuerte escondido (es menos probable que se van a llevar este documento). Este proceder obviamente introduce algunos resultados falsos respecto al grado de riesgo (algunos riesgos saldrn demasiado altos), algo que posteriormente tendremos que corregirlo. Sin embargo, excluir algunos resultados falsos todava es mucho ms rpido y barato, que hacer un anlisis de riesgo detallado, sobre todo cuando el enfoque solo es combatir los riesgos ms graves. En el caso de que se determine los valores para la Probabilidad de Amenaza y Magnitud de Dao a travs de un proceso participativo de trabajo en grupo (grande), se recomienda primero llenar los fichas de apoyo (disponible en Descargas) para los Elementos de Informacin y Probabilidad de amenaza, y una vez consolidado los datos, llenar la matriz. Dependiendo de los valores de la Probabilidad de Amenaza y la Magnitud de Dao, la Matriz calcula el producto de ambos variables y visualiza el grado de riesgo.
Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre el nivel de riesgo que corre cada elemento de informacin de sufrir un dao significativo, causado por una amenaza, sino tambin sobre las medidas de proteccin necesarias Proteger los datos de RR.HH, Finanzas contra virus Proteger los datos de Finanzas y el Coordinador contra robo Evitar que se compartan las contraseas de los porttiles Etc, etc Tambin, como se mencion anteriormente, existen combinaciones que no necesariamente tienen mucho sentido y por tanto no se las considera para definir medidas de proteccin Proteger el Personal (Coordinador y Personal tcnico) contra Virus de computacin Evitar la falta de corriente para el Coordinador Etc, etc
Pgina 13
Auditora informtica II
Elementos de la Matriz La Matriz la bas en una hoja de calculo. Existe la versin en OpenOffice y Microsoft PowerPoint y se recomienda usar el formato que corresponde con el sistema operativo donde se la usa, debido a algunos problemas de compatibilidad entre ambos formatos. La Matriz est compuesto por 6 hojas 1_Datos: Es la hoja para valorar el riesgo para los Elementos de Informacin Datos e Informaciones, llenando los campos Magnitud de Dao y Probabilidad de Amenaza conforme a sus valores estimados (solo estn permitidos valores entre 1 y 4). Los valores de Probabilidad de Amenaza solo se aplica en est hoja, porque las dems hojas, hacen referencia a estos. Los tres campos de Clasificacin (Confidencial, Obligacin por ley, Costo de recuperacin) no tienen ningn efecto sobre el resultado de riesgo y no necesariamente tiene que ser llenados. Sin embargo pueden ser usados como campos de apoyo, para justificar o subrayar el valor de Magnitud de Dao estimado. En caso de usarlo, hay que marcar los campos respectivos con una x (cualquier combinacin de los campos est permitido, todos marcados, todos vacos etc.). 2_Sistemas: Es la hoja para valorar el riesgo para los Elementos de Informacin Sistemas e Infraestructura. Hay que llenar solo los valores de Magnitud de Dao, debido a que los valores de Probabilidad de Amenaza estn copiados automticamente desde la hoja 1_Datos. Igual como en 1_Datos, los tres campos de Clasificacin (Acceso exclusivo, Acceso ilimitado, Costo de recuperacin) otra vez no tienen ningn efecto sobre el resultado de riesgo y solo sirven como campo de apoyo. 3_Personal: Es la hoja para valorar el riesgo para los Elementos de Informacin Personal. Igual como en 2_Sistemas, solo hay que llenar los valores de Magnitud de Dao. Otra vez, los tres campos de Clasificacin (Imagen pblica, Perfil medio, Perfil bajo) solo sirven como campo de apoyo. Anlisis_Promedio: Esta hoja muestra el promedio aritmtico de los diferentes riesgos, en relacin con los diferentes grupos de amenazas y daos. La idea de esta hoja es ilustrar, en que grupo (combinacin de Probabilidad de Amenaza y Magnitud de Dao) hay mayor o menor peligro. No hay nada que llenar en esta hoja. Anlisis_Factores: Esta hoja tiene el mismo propsito como la hoja Anlisis_Promedio, con la diferencia que esta vez el promedio aritmtico de los grupos est mostrado en un grafo, dependiendo de la Probabilidad de Amenaza y Magnitud de Dao. La linea amarilla muestra el traspaso de la zona Bajo Riesgo a Mediano Riesgo y la linea roja, el traspaso de Mediano riesgo a Alto Riesgo. La idea de esta hoja es ilustrar el nivel de peligro por grupo y la influencia de cada factor (Probabilidad de amenaza, Magnitud de Dao). Fuente: Esta hoja se usa solo para la definicin de algunos valores generales de la matriz. Adaptacin de la Matriz a las necesidades individuales La Matriz trabaja con una coleccin de diferentes Amenazas y Elementos de informacin. Ambas colecciones solo representan una aproximacin a la situacin comn de una organizacin, pero no necesariamente reflejan la realidad de una organizacin especifica. Entonces si hay necesidad de adaptar la Matriz a la situacin real de una organizacin, solo hay que ajustar los valores de las Amenazas en la hoja 1_Datos (solo en esta) y los Elementos de informacin en su hoja correspondiente. Pero ojo, si hay que insertar, quitar filas o columnas, se recomienda hacerlo con mucho cuidado, debido a que se corre el peligro de introducir errores en la presentacin y el calculo de los resultados.
Pgina 14
Pgina 15
Auditora informtica II
Procedimientos4
La ejecucin del producto o la prestacin del servicio deben llevarse a cabo mediante procesos planificados previamente como garanta de que no se van a producir incertidumbres en el desarrollo de los mismos. Dichos procesos incluirn los siguientes aspectos: A. Las especificaciones que definen el producto final; B. La documentacin adecuada, la metodologa ms conveniente y los recursos necesarios para llevar a cabo el proceso de ejecucin del producto; C. Los controles necesarios para garantizar el cumplimiento de los requisitos del producto tales como inspecciones, mediciones, actividades de evaluacin y seguimiento y ensayos de todo tipo, as como los criterios de aceptacin y rechazo; D. Definicin de los registros de calidad necesarios para dejar constancia del cumplimiento de los requisitos establecidos. Los procesos pueden definirse mediante procedimientos documentados que forman parte, de forma permanente, del sistema de calidad, pero cuando se refieren a un producto, proyecto o contrato especfico, tal como puede ser un producto no repetitivo, pueden denominarse planes de calidad e incluirn la secuencia de los procesos afectados y la totalidad de los recursos necesarios para la ejecucin del producto. La base fundamental de la gestin de calidad es el control de los procesos, pero para que los procesos puedan ser objeto de control debe ser establecida una correcta planificacin de los mismos. La norma orienta las posibles actividades de planificacin, segn los siguientes apartados: Objetivos y requisitos del producto.- Para poder ejecutar un producto determinado, ste debe estar perfectamente definido. A los efectos de poder realizar una definicin correcta deberemos tener en cuenta no solamente los requisitos del cliente, ms o menos expresados en el documento de compra, sino tambin sus necesidades complementarias, como pueden ser: plazo y secuencia de la entrega, envases o embalajes adecuados, documentacin de acompaamiento, etc. En el caso de que nuestros productos no vayan destinados a un cliente determinado, que haya suministrado un pedido formal a la organizacin, los objetivos del producto pasarn por su definicin concordante con las apetencias demostradas del mercado ajustadas en cantidad, calidad, coste y posibilidad, al potencial de la organizacin y a sus propsitos de rentabilidad. Procedimientos y recursos.- Anteriormente se explic la importancia de que las actividades de la organizacin estn definidas con anterioridad, a fin de poder conseguir procesos repetibles, controlables, enseables y mejorables. Deber tambin realizarse un presupuesto detallado de los recursos necesarios, los cuales incluirn las instalaciones y equipos, las materias primas, principales y auxiliares, los consumibles y repuestos y en especial los recursos humanos representados por personal suficientemente preparado, no solamente desde el punto de vista tcnico, sino tambin en lo que se refiere a sus cualidades humanas y de relacin. Medicin y control de los productos.- La organizacin debe impedir a toda costa que salgan al mercado productos que no puedan demostrar su conformidad con los requisitos o su adecuacin a las preferencias del mercado. Para ello establecer rigurosos planes de control que deberan estar basados fundamentalmente en el control del proceso, a base de mecanismos de auto-control.
http://www.rebiun.org/opencms/opencms/handle404?exporturi=/export/docReb/biblio_fernandezhatre.pdf&%5d
Pgina 16
Auditora informtica II
Registros de productos y procesos.- La frase tradicional para su aplicacin en este caso es que la calidad debe estar documentada. Justamente los registros del sistema son los medios con los que la calidad se documenta y debern ser definidos junto con los procedimientos de desarrollo y de control de la actividad. Con el fin de que "la calidad est documentada", deben disearse documentos que reflejen las premisas de ejecucin de los productos, las cuales pueden referirse a la planificacin de los productos, que son las llamadas especificaciones tcnicas de producto y a la planificacin de los procesos o los controles que pueden agruparse en lo que la norma denomina procedimientos documentados.
Pgina 17
Auditora informtica II
http://es.kioskea.net/contents/qualite/demarche-qualite.php3
Pgina 18
Auditora informtica II
Plan de accin de calidad
La redaccin de un plan de accin de calidad debe ser un esfuerzo grupal que implique a todos los empleados as como a la administracin media. Cada plan de accin es un proyecto en s mismo que incluye un estado inicial, un objetivo, un plazo de tiempo, los medios para lograrlo y un programa riguroso. Por lo tanto, para evaluar el logro de los objetivos establecidos para cada plan de accin, se debe definir y presentar un cierto nmero de indicadores en cada reunin del comit de calidad. Artculo escrito el 16 de diciembre de 2004 por Jean-Franois Pillou
EC05: Procedimientos
Fecha: ___/_____/201__
Pgina 19
Nombre: _____________________________________________ Grupo: _39___ Instrucciones: Utilizando los ejemplos de procedimientos de auditora proporcionados por el maestro, realiza lo siguiente: 1. Marca y elabora una lista de datos de identificacin necesarios para reconocer un procedimiento de auditoria 2. Elabora una lista de elementos que debe contener el procedimiento de auditora. 3. Analiza los ejemplos propuestos y reflexiona la razn por la que aparecen cada uno de los elementos identificados. 4. Marca en los ejemplos las firmas que identificas y escribe una lista de firmas que deben aparecer. 5. Analiza los ejemplos y explica porque es necesario que haya un procedimiento. 6. Elabora los procedimientos indicados para llevar a cabo la auditoria informtica en la organizacin elegida. 7. Reflexiona acerca de los procedimientos de auditora y responde a la pregunta Qu pasara si no existieran procedimientos en la organizacin?
Ejemplos: http://www.cobachbc.edu.mx/calidad/doctos/14/Planeacion%20Didactica.pdf http://dtpconsultores.com.mx/Calidad%202004/Procedimientos/Aseguramiento%20de%20calidad/ Procedimientos%20(AC-XX-YYY)/AC-01-001.pdf http://www.cobachbc.edu.mx/calidad/doctos/15/Proced.%20Academias.pdf http://www.afce.isics.es/futuretense_cs/ccurl/AFCE/pdf/procedimiento_elaboracion_procedimiento s_calidad.pdf http://www.cobachbc.edu.mx/calidad/doctos/2/Elaboracion%20de%20procedimientos.pdf http://www.aero.upm.es/etsia/mejora/sistema_garantia/elaboracion_procedimientos.pdf
Pgina 20
Auditora informtica II
Datos de Identificacin: Alumno Grupo Presentacin Evidencia Auditoria Informtica II Asignatura I: Organizacin de la informtica auditoria Bloque Evala M.C. Gabriel Huesca Aguilar
Criterios
Escala de 0 a 10 Presentacin en Microsoft Power point 2007 en adelante Presenta mrgenes adecuados, pie de pgina, orientacin de la hoja, formato a fuentes, imgenes, grficos, ortografa, formatos para el control. La explicacin es clara, sencilla y responde a las preguntas de sus compaeros. La informacin tiene estructura adecuada. Explica claramente el control investigado Utiliza la creatividad Los compaeros de grupo opinan que es buena. El da que se pide
Presentacin
Pgina 21
Pgina 22
Auditora informtica II
ud
En el Bloque II se aplican las competencias adquiridas anteriormente para definir las etapas de la planeacin de una auditora informtica y su importancia para su posterior aplicacin con profesionalismo y objetividad.
M.C. Gabriel Huesca Aguilar Pgina 23
Nombre : __________________________________________ Grupo: _39__ Instrucciones: A continuacin vamos a elaborar la Evaluacin de Auditoria del hardware realizando las siguientes actividades. 1. Completa un formato que permita registrar los recursos informticos de hardware (Numero de control, descripcin, dispositivo, marca, modelo, color, etc). 2. Completa un formato que permita registrar los recursos informticos de software (Numero de control, descripcin, aplicacin, licencia, ao, etc). 3. Lleva a cabo el inventario de Equipo de cmputo con el que cuenta la empresa identificando las caractersticas importantes para resolver cualquier duda en el ejercicio.
Pgina 24
Pgina 25
Instrucciones: Para este ejercicio debers haber realizado el inventario de las aplicaciones existentes en la empresa auditada utilizando los formatos elaborados en la planeacin de la auditoria. 1. Captura el inventario de las aplicaciones especficas y de ofimtica existente en la empresa auditada. 2. Elabora una lista de puntos fuertes de la empresa auditada en referencia al inventario de aplicaciones realizado en la empresa auditada 3. Elabora una lista de puntos dbiles de la empresa auditada en referencia al inventario de aplicaciones realizado en la empresa auditada 4. Elabora una propuesta de solucin para los puntos dbiles indicando (caractersticas, tiempos, costo, beneficios y consecuencias) 5. Elabora una opinin fundamentada acerca de la evaluacin de aplicaciones.
Pgina 26
Instrucciones: Para realizar la auditoria de redes y comunicacin toma en cuenta lo siguiente: Definicin: Serie de mecanismos mediante los cuales se pone a prueba una red informtica evaluando su desempeo y seguridad a fin de lograr una utilizacin ms eficiente y segura de la informacin. Qu auditamos? Proteccin a los cables y puntos de conexin para evitar fallas, Revisiones peridicas en la red (buscando fallas), Equipo de prueba de comunicaciones y alternativas de respaldos. Contraseas de acceso, registro de actividades en la red y cifrado de datos, accesos a servidores remotos, Herramientas para el monitoreo de la red .
Instrucciones: Para este ejercicio debers haber realizado la auditoria de las redes y comunicacin de datos existentes en la empresa auditada utilizando los formatos elaborados en la planeacin de la auditoria. 1. Entra a la direccin: http://www.monografias.com/trabajos10/auap/auap.shtml y realiza una lectura en donde comprendas la importancia y procedimiento para realizar este tipo de auditora 2. Captura la informacin auditada en cuanto a redes y comunicacin existente en la empresa auditada. 3. Elabora una lista de puntos fuertes de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 4. Elabora una lista de puntos dbiles de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 5. Elabora una propuesta de solucin para los puntos dbiles indicando (caractersticas, tiempos, costo, beneficios y consecuencias) 6. Elabora una opinin fundamentada acerca de la evaluacin de la red y sus puntos de conexin y comunicacin.
Pgina 27
Instrucciones: Para realizar la auditoria de la seguridad informtica toma en cuenta lo siguiente: Definicin: La Seguridad Informtica es el conjunto de reglas, planes y acciones que permiten asegurar la informacin contenida en un sistema de la informacin. Qu auditamos? Por una parte se debe contemplar la proteccin del hardware y los soportes de datos, as como la seguridad de los edificios e instalaciones que los albergan. El auditor informtico debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catstrofes naturales, etc. Por su parte, la seguridad lgica se refiere a la seguridad en el uso de software, la proteccin de los datos, procesos y programas, as como la del acceso ordenado y autorizado de los usuarios a la informacin. El auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin de virus. Procesos para encriptar la informacin, la importacin y exportacin de datos, Inhabilitar el software o hardware con acceso libre y Polticas que prohban la instalacin de programas o equipos personales en la red.
Instrucciones: Para este ejercicio debers haber realizado la auditoria a la seguridad de los datos e informacin existentes en la empresa auditada utilizando los formatos elaborados en la planeacin de la auditoria. 1. Captura la informacin auditada en cuanto a la seguridad informtica existente en la empresa auditada. 2. Elabora una lista de puntos fuertes de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 3. Elabora una lista de puntos dbiles de la empresa auditada en referencia a las redes y comunicacin existente en la empresa auditada. 4. Elabora una propuesta de solucin para los puntos dbiles indicando (caractersticas, tiempos, costo, beneficios y consecuencias) 5. Elabora una opinin fundamentada acerca de la evaluacin de la red y sus puntos de conexin y comunicacin. Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos Inhabilitar el software o hardware con acceso libre Crear protocolos con deteccin de errores El software de comunicacin ha de tener procedimiento correctivos y de control ante mensajes duplicados, fuera de orden o retrasados. Polticas que prohban la instalacin de programas o equipos personales en la red. Firewall
Pgina 28
Auditora informtica II
En este bloque se utilizan tcnicas de recopilacin de informacin para que permitan dar al auditor informacin de apoyo de cada rea que sea objeto de la auditoria y Evaluar la evidencia recabada durante la auditoria con el fin de elaborar un dictamen sobre las vulnerabilidades y fortalezas detectadas y presentar recomendaciones de una manera profesional, objetiva y honesta.
M.C. Gabriel Huesca Aguilar Pgina 29
Auditora informtica II
Propuesta de mejora6
La resolucin de problemas
No requiere mucha explicacin afirmar que solucionar problemas en el mbito de la empresa genera inmediatamente una mejora en aquella cuestin donde el problema desaparece. Pero no es ese el nico efecto que se produce. La solucin de problemas genera aprendizaje, aporta experiencia que se utiliza para hacer las cosas de otra forma, facilita la innovacin, y las novedades generan nuevos problemas cuya resolucin nos hace entrar en un crculo donde el aprendizaje lleva a la innovacin, que genera nuevos problemas, cuya resolucin nos hace aprender para nuevamente volver a innovar de forma constante.
En este dar vueltas, podemos llegar a tener empresas sabias y absolutamente intiles si no discriminamos sobre la tipologa de los problemas que se presentan. De forma que los problemas que deben solucionarse son slo aquellos que permitirn incrementar la capacidad competitiva de la empresa. Es decir, ante un problema la primera decisin a tomar es si es necesario resolverlo o no, si hay que dedicar algn tipo de esfuerzo para encontrar una solucin, tomando la iniciativa de abordar solamente aquellos que den paso a una mejora que haga incrementar la capacidad competitiva. Se consigue incrementar la capacidad competitiva cuando se consigue una mejora en: La relacin con los clientes Los recursos
El aprendizaje se consigue, adems de participando en la identificacin de los problemas, buscando soluciones y llevando a cabo las acciones previstas, evaluando los resultados obtenidos tras las decisiones llevadas a cabo. Esto nos lleva a la necesidad de establecer sistemas de informacin que permitan medir esos resultados de tal manera que la experiencia acumulada nos permita cuantificar de una forma clara el xito o el no xito de las medidas adoptadas. EL MODELO DE EMPRESA A fin de explicar con ms detenimiento en qu consisten la relacin con los clientes y los recursos, tomaremos como referencia un modelo genrico de empresa: Estrategia: Toda empresa ha de empezar por establecer una estrategia, lo cual implica tener que definir los siguientes conceptos: Misin, es lo que la empresa quiere hacer, incluye las metas a alcanzar y los objetivos globales de actuacin. El mbito producto / mercado, que se refiere a dnde compite la empresa. Las bases para la diferenciacin, qu ofrece al mercado diferente a lo que estn ya ofreciendo los competidores.
http://www.popomega.com/articulos/popomega_propuesta_mejora.pdf
Pgina 30
Auditora informtica II
Relacin con los clientes: En funcin de cual sea la estrategia elegida, se establece cual ser la relacin que se mantendr con los clientes, para lo cual es necesario considerar, bajo las perspectivas de beneficios para el cliente: Contactos y apoyos, la forma en que la empresa acude al mercado respecto a canales utilizados, apoyos a prestar a los clientes y el nivel de servicio. Dinmica de relacin, cmo interactan los productores con el consumidor. Estructura de precios, con qu criterios y con qu diferencias frente a los competidores se van a establecer los precios. Informacin e ideas, lo cual implica cmo se va a acumular y a utilizar el conocimiento aportado o generado a partir de los clientes. Recursos: Establecida la estrategia y definida cual ser la relacin con los clientes es necesario aportar los recursos precisos para que se pueda llevar a cabo: Conocimientos, lo que la empresa sabe, habilidades y capacidades nicas. Activos, lo que la empresa posee, cosas ms que conocimientos. Procesos, lo que la gente hace, metodologa y rutinas. La forma que tienen de combinarse los conocimientos, los activos y los procesos, constituyen la configuracin de la empresa. Conexiones de valor: Los limites de la empresa se encuentra en lo que sta hace y lo que contrata y acuerda, de forma que el modelo tiene una extensin que alcanza a: Proveedores. Asociados. Coaliciones.
Pgina 31
Auditora informtica II
FACTORES ECONMICOS: El modelo puede tener unas caractersticas que favorezcan unos resultados ms altos, stas son: Eficiencia, indica los costes de produccin que son necesarios realizar para obtener una unidad de beneficios. Singularidad, cuanto ms singular sea el modelo tendr mayor posibilidad de generar beneficios por encima de la media. Encajado, los elementos se refuerzan mutuamente.
Otros impulsores de beneficios son: o Los que generan ingresos crecientes: Efecto Red Feed Back de Clientes Aprendizaje Los que ponen en jaque a la competencia: Anticipacin Puntos de Ahogo Encerronas al cliente Las economas Estratgicas: Escala Especializacin Alcance Flexibilidad frente al mercado: Amplia Cartera de Clientes Agilidad Operativa Punto muerto reducido
CONOCIMIENTOS, HABILIDADES, COMPETENCIAS Todo proceso de resolucin de problemas debe comenzar por preguntarse qu hay que resolver, por qu y para qu, o con qu objetivo hay que solucionar el problema que se nos presenta. Respecto a los procedimientos que se pueden utilizar son muchos, y no son excluyentes por lo que pueden darse varios mtodos de trabajo, rutinas de relacin o tcnicas utilizadas, que se solapen o se pongan en prctica al mismo tiempo. Citamos algunos de estos aspectos para aclarar lo que remos indicar: Mtodo experimental, ver en la prctica qu ocurre. El sistema de prueba - error se encontrara en este mtodo. Analoga, buscar situaciones o problemas similares para ver como se han resuelto. Anlisis, distincin y separacin de las partes de un problema para llegar a conocer sus elementos. El anlisis causa efecto, o la interrogacin sistemtica estaran incluidos dentro de esta metodologa. Sntesis, composicin de un todo por la reunin de sus partes. Reuniones de grupo. No es un mtodo para abordar la solucin de problemas, sino una frmula adoptada para aprovechar todo el conocimiento que poseen las personas implicadas en la M.C. Gabriel Huesca Aguilar Pgina 32
Auditora informtica II
solucin de un problema, independientemente del mtodo elegido. La tormenta de ideas es especialmente representativa de esta intencin. Identificado un problema y decidido cuales sern los mtodos y las frmulas a utilizar en su solucin, se hace necesario identificar los conocimientos que precisa la persona o personas que van a buscar la solucin: - Si el problema se encuentra en el mbito de la relacin con los clientes, ser conveniente que sepan, con un detalle suficiente, los factores que intervengan en el problema; que conozcan los canales y sus caractersticas, o los productos, o cmo acta la competencia, o qu informacin estn aportando los propios clientes. - Si el problema se encuentra en el mbito de los recursos, el razonamiento es el mismo aunque su explicacin resulta un poco ms enrevesada, pues la primera cuestin que se plantea es saber lo que la gente sabe; respecto a los activos, conocer su utilidad, su uso y su funcionamiento; y respecto a los procedimientos, conocer los procesos que tiene como origen. El conocimiento se adquiere mediante el estudio y la experiencia. Habilidades: Nos referimos a la capacidad que tienen las personas para poner en accin sus conocimientos. Por ejemplo, refirindonos al juego del tenis, se puede tener un conocimiento casi perfecto de los fundamentos fsicos y de las caractersticas tcnicas que son necesarias para dar un buen derechazo y no ser nada efectivo con una raqueta en la mano. Los conocimientos no tienen ninguna utilidad si no van acompaados de habilidades para ponerlos en prctica. Por otro lado, un mayor nivel de conocimientos no est relacionado con una mejor actuacin; es necesario poseer unos conocimientos mnimos, alcanzar un umbral, para realizar determinadas acciones, pero sobrepasado ese umbral mayores conocimientos no garantizan mejores actuaciones. Las habilidades pueden ser: Locomotrices, como en el caso del tenis citado arriba. De relacin, como puede ser la capacidad de venta, de negociacin, de animacin de equipos, de comunicacin. De percepcin, como la capacidad analtica, la visin global o el autocontrol. Las habilidades se adquieren con entrenamiento. Competencias: Siguiendo con el ejemplo del tenis, se puede tener un buen conocimiento de cmo dar un derechazo, o de cmo jugar al tenis, en general, ser muy habilidoso con la raqueta y muy rpido en los movimientos y sin embargo no jugar al tenis o no ganar partidos. Para llevar a cabo determinada accin, aparte de poseer los conocimientos necesarios que lo permitan y las habilidades que capaciten para ello, es necesario tener inters en llevarla a cabo, tener la motivacin adecuada. El campo de la psicologa es el que ms ampliamente y con ms detalle ha estudiado el comportamiento humano, y existe cierto consenso en aceptar que para que una accin se lleve a cabo es necesario que exista un incentivo capaz de activar la motivacin del individuo. Una vez activado el motivo, ste se combinar con los valores, las destrezas (conocimientos y habilidades) y M.C. Gabriel Huesca Aguilar Pgina 33
Auditora informtica II
las oportunidades que se presenten en el entorno, para que la motivacin activada de cmo resultado una conducta determinada.
Mientras que lo valores, las destrezas y las oportunidades son conocidos, o parcialmente conocidos, por el individuo cuando acta, los motivos son inconscientes. Los motivos sociales mejor estudiados son: El Motivo de Logro, que representa el inters que tienen las personas en alcanzar cosas moderadamente difciles porque les reporta una satisfaccin personal conseguir lo que pretenden mediante el propio esfuerzo. El Motivo de Poder, incentivado por la satisfaccin que se puede encontrar en influir, o producir un impacto en los dems. El Motivo Afiliativo, la satisfaccin que se encuentra en el trato con otras personas y en poder ayudarse mutuamente. Nuestro tenista, que tiene las destrezas suficientes para ser un gran jugador, si su motivacin principal para practicar ese deporte se encuentra impulsada por el motivo de logro, posiblemente participe en campeonatos y se interese en mejorar en el ranking, contrate a un entrenador que le haga mejorar sus resultados y dedique un tiempo extra a entrenar (las personas impulsadas por el motivo de logro cuantifican sus objetivos pues eso les permite verificar que los consiguen); si su motivacin fuese de poder, tratara de relacionarse con personas influyentes siendo el juego una justificacin para ganar prestigio e influir en los dems con mayor facilidad; y si su motivacin fuese afiliativa, posiblemente jugara partidos de dobles, el resultado sera lo de menos pues el juego no es ms que la justificacin para pasar un rato con otras personas.
Pgina 34
Auditora informtica II
Los motivos dirigen nuestro comportamiento a largo plazo. Esto quiere decir que una persona con un motivo muy marcado tender a llevar a cabo conductas donde se alcancen los incentivos que impulsan ese motivo. El principal incentivo para el motivo de logro es intrnseco, consiste en la propia realizacin de la tarea, mientras que los incentivos relacionados con el motivo de poder suelen ser extrnsecos (posesiones personales, signos de estatus,...). Los valores se refieren a lo que consideramos que es bueno o malo. Condicionan el comportamiento en la medida que una vez que se ha activado un motivo, ste buscar formas de manifestarse que se encuentren reconocidas por el individuo y por la sociedad a la que ste pertenezca. El motivo de poder no se manifestar en violencia salvo en casos de guerra o en situaciones donde sea aceptada. Las destrezas (conocimientos y habilidades), posibilitan determinados comportamientos. Las oportunidades permiten que se lleve a cabo la accin. Cuando esta combinacin de motivos, valores, destrezas y oportunidades dan como resultado una actuacin exitosa en el trabajo, se dice que constituyen una competencia. Conviene resaltar el significado que estamos otorgando a la palabra competencia, que es diferente a lo que tiene cuando nos referimos a los competidores, o cuando hacemos referencia a las facultades y atributos propios de una persona o de un cargo. Si bien el resultado de una competencia es una conducta, la competencia es una caracterstica subyacente (en la medida que el motivo que la suscita suele ser inconsciente). Esto queda fcilmente explicado con los dos ejemplos siguientes, obtenidos en entrevistas para identificar competencias: - Un comercial bancario estuvo durante varios meses tratando de captar a una empresa cliente, sin mucho xito pues no tena necesidades financieras que cubrir. No obstante, la persistencia del vendedor y las repetidas visitas que hizo a la empresa le procuraron cierta amistad con el director financiero, que un da le llam para solicitar una lnea de financiacin importante, que necesitaba con urgencia pues haba tenido una incidencia con otro banco y para que veas que te tengo en cuenta te llamo a ti en vez de llamar a otro de mis bancos. Nuestro comercial le coment que no le poda dar una respuesta inmediata ya que hasta dentro de dos das no se reunira el comit de riesgos. Sin embargo a las pocas llam a su cliente para decirle que lo haba hablado con el director en base a la urgencia que tenan y que la operacin estaba aprobada. Cuando le preguntamos que por qu le haba dicho que le dara la respuesta en dos das si poda despacharlo con el director de la oficina ese mismo da y dar una respuesta (pensando, nosotros, que ese sera un trmite necesario cuya conducta obedecera a la competencia Preocupacin por el Orden y la Calidad motivada por el motivo de logro). Nos contest que no lo consult con el director y que la respuesta se la poda haber dado inmediatamente pues el riesgo lo tena aprobado desde haca tiempo, pero que hacerlo as hubiese quedado como que la empresa le haca un favor por llamarle a l, sin embargo, el demorar la respuesta y luego llamarle para decirle que haba hecho una gestin especial para atender su demanda, le dejaba en una posicin totalmente contraria, el que haca el favor era l y eso le permitira pedir otras cosas ms tarde (esta conducta obedece a la competencia Impacto e Influencia, impulsada por el motivo de poder) Dos comerciales de seguros nos afirmaban que parte del xito de sus gestiones se encontraba en el tiempo que dedicaban a recopilar informacin acerca de posibles candidatos y sobre las necesidades de sus clientes (competencia conocida como Bsqueda de Informacin, relacionada con el motivo de logro). Cuando les preguntamos acerca de situaciones donde esto hubiese sido especialmente notable, uno nos narr varias situaciones vividas en la cantina del pueblo, donde todos los da iba a jugar una M.C. Gabriel Huesca Aguilar Pgina 35
Auditora informtica II
partida, con el objeto de recabar informacin pues por la cantina pasa todo el mundo y delante de una copa hablan ms de lo normal. El otro nos coment como peridicamente revisaba la documentacin generada en su oficina (plizas nuevas, fechas de renovacin, pagos de siniestros) para hacer visitas concertadas a determinados clientes que le podan dar ms informacin. Con estos dos ejemplos hemos querido poner de manifiesto que una misma conducta puede reflejar dos competencias diferentes (dependiendo de cual sea el inters que haya para actuar de esa forma), y que una misma competencia se puede manifestar en dos comportamientos distintos. Por tanto a la hora de definir conductas por las cuales se manifiesten las competencias, habr que hacerlo de forma genrica (busca informacin preguntando directamente), indicando el inters que le mueve a actuar de esa manera (no sera lo mismo: a fin de obtener datos que le permitan mejorar los resultados que a fin de conocer cmo se encuentran las personas y prestarles ayuda). Las competencias se adquieren conformando la motivacin (entrenamiento a largo plazo). Como hemos visto, los conocimientos y las habilidades no garantizan, por s solos, comportamientos exitosos en el trabajo. Hay que aadir motivos, valores y oportunidades para que se formen las competencias. Son ejemplos de competencias: Relacionadas con el motivo de logro: Orientacin al Logro, Iniciativa, Bsqueda de Informacin. Relacionada con el motivo de poder: Impacto e Influencia, Aprovechamiento de la Diversidad. Relacionada con el motivo afiliativo: Empata, Compromiso con la Organizacin. Gerenciales (con una combinacin de los tres motivos): Dar Directrices, Desarrollo de Personas, Liderazgo. LA CULTURA DE EMPRESA Es el conjunto de valores que la empresa considera positivos y propios. Emana de la Estrategia y adquiere forma a travs de la configuracin de la empresa y de las relaciones que esta establece hacia dentro y hacia afuera. La Cultura de Empresa es importante porque constituye una parte vital en la formacin de las competencias: Propicia la formacin en motivacin, en funcin de su orientacin a reesultados, su preocupacin por el impacto en los dems o por los aspectos sociales que fomente. Define los valores que se deben considerar a la hora de actuar. Se preocupa por la adquisicin de destrezas. Propicia determinadas conductas e impide, o no facilita, otras. Decide las oportunidades que deben darse para actuar. La Cultura de Empresa es importante porque naciendo en la Estrategia, se forma a travs de la configuracin y las relaciones que se crean en la empresa, y las incoherencias que se pueden producir entre lo que se dice que es bueno y las facilidades o inconvenientes que se ponen para que eso se pueda llevar a cabo generan deseconomas: Por falta de encaje, los elementos no se pueden reforzar mutuamente pues tiran hacia sitios diferentes. Por falta de eficiencia, si de la estrategia se dice que hay que potenciar algn valor, seguramente se asignarn algunos recursos de los que no se obtendrn resultados. Ponemos algunos ejemplos muy usuales de incoherencias en la Cultura de Empresa: - Hay que estar orientado hacia el cliente, y la estructura fsica de las oficinas no tienen asientos, ni lugares para dar una atencin confidencial. Eso s, hay mucho merchandising. M.C. Gabriel Huesca Aguilar Pgina 36
Auditora informtica II
- El compromiso con la organizacin es un valor importante en nuestros empleados, y se contrata fuera a las personas que ocupan los puestos ms relevantes (hay compromiso si hay reciprocidad). - El trabajo en equipo es un factor determinante de nuestra cultura, y se retribuye la actuacin individual, se potencia la competitividad entre diferentes departamentos y se critican las reuniones por inoperantes. En las situaciones de cambio organizativo es muy importante, a fin de no incurrir en deseconomas, ir realizando una comunicacin clara de la modificacin de valores que pueden provocar esos cambios, e ir formando y entrenando a las personas para que adquieran las competencias que sern precisas en la nueva situacin. LA GESTION DEL CONOCIMIENTO Llegado a este punto conviene retomar algunos comentarios realizados en puntos anteriores y recordar que el objetivo de este documento es realizar una propuesta para la mejora continua y que esta propuesta consiste en la mejora mediante la resolucin de problemas, para lo cual hemos tratado de identificar cuales son los problemas importantes que generarn mejora y que caractersticas deben tener las personas para resolver problemas. En estas explicaciones hemos hablado del aprendizaje, como una consecuencia de la solucin de problemas y como un elemento previo a la innovacin. Tambin hemos indicado que para aprender hay que medir lo que se hace y as poder conocer el impacto de las soluciones aportadas. Hay que establecer sistemas de informacin que permitan verificar los xitos y conocer los errores. Sistemas de informacin hay muchos y de caractersticas muy diferentes: la Contabilidad, Informes Estadsticos, Cuadro de Mando Integral (muy de moda). Uno de los procedimientos ms elaborados y con mejores resultado que se han establecido para conocer los errores, es el establecido por la aviacin civil y su sistema de la caja negra (que ni es una ni es negra, son dos y son naranja). Las cajas negras recogen, una de ellas, toda la informacin mecnica del avin, como temperatura, presin, combustible, altitud, funcionamiento de los diferentes componentes, y todas las comunicaciones que se realizan con el avin. De forma que despus de un accidente se puede comprobar el comportamiento mecnico que tena el aparato, y las conversaciones de los pilotos, a fin de verificar el tipo de incidente ocurrido y tratar de poner soluciones para que no ocurra nuevamente en el futuro. Sean cuales sean es conveniente establecer sistemas de informacin que permitan conocer el impacto de nuestras acciones (para aprender) y poder tomar decisiones (innovar). Hablamos de aprendizaje, y cuando tratamos el modelo de empresa citbamos como Recursos los Conocimientos (lo que la empresa sabe) y los Procesos (lo que la gente hace). Tambin indicbamos como impulsores de beneficios el Feed Back de Clientes. Ms adelante introdujimos el concepto de Competencia (como hace la gente lo que hace y con qu intencin). El ltimo punto lo hemos dedicado a la Cultura de Empresa, que puede estar recogida en algn documento o transmitida de boca en boca. Todas estas cosas forman parte del conocimiento de la empresa y tener acceso a ellas puede constituir una ventaja competitiva, no slo por la singularidad que provoca poder acceder al conocimiento concreto de una determinada organizacin, sino por la enorme ayuda que esto supondra a la hora de solucionar problemas. El objetivo de la Gestin del Conocimiento es establecer un Sistema Operativo Estable, para la mejora de la Capacidad Competitiva mediante el Aprovechamiento del Conocimiento.
Pgina 37
Auditora informtica II
Puede tener un soporte tecnolgico, o no tenerlo. Desde luego el apoyo de la tecnologa es importante para la captura de datos y para establecer relaciones, pero no es un requisito imprescindible para Gestionar el Conocimiento. Lo que s es importante es la estructura que se d para almacenar los datos, de forma que stos sean fciles de encontrar. Una frmula muy extendida es el modelo universidad, donde los diferentes edificios y espacios que constituyen el Campus, alojan un tipo de conocimiento diferente. As: El Paraninfo, podra contener el manual de acogida, los principios fundacionales y las estrategias. Las Aulas, todos los cursos (programas y contenidos) que tiene la empresa a su disposicin. La Biblioteca, los procedimientos, los manuales, los informes tcnicos emitidos desde la empresa, o recogidos de otras organizaciones. Los Talleres, actuaciones que no dieron el resultado esperado, o iniciativas abiertas al debate. Las Aulas de Postgrado, pueden recoger aspectos como, perfiles de competencias asociados a diferentes ocupaciones dentro de la empresa, mapas de navegacin para autogestionar el desarrollo profesional. El Claustro de Profesores, podra recoger las mejores prcticas, de dentro y de fuera de la empresa y quizs tambin las sugerencias y los comentarios recibidos de clientes, proveedores. La Cafetera, es un centro de reunin, donde existen foros y charlas sobre aspectos diferentes. La analoga comentada no pretende ms que facilitar la bsqueda. Incluso, si se cuenta con una plataforma tecnolgica adecuada, se pueden poner autobuses que nos lleven de un lugar a otro: agentes (similares a los avisos que aparecen en el word), que te avisen de contenidos cuando ests escribiendo un informe o consultando un tema concreto.
Pgina 38
Nota: En cada una de las reas del informe de auditora, es necesario agregar los formatos de evaluacin elaborados en clase.
Pgina 39
Auditora informtica II
ANEXOS
Pgina 40
Presentacin y forma 1. Ofimtica versin 2007 en adelante 2. Atender a las reglas de ortografa y gramtica. 3. Uso mnimo de letras en maysculas 4. Justificacin de texto a la izquierda y derecha 5. Uso correcto del formato de texto 5.1. Mismo tipo de letra 5.2. Diferente tamao para temas y subtemas 5.3. Estilo de texto diferente para enfatizar 6. Utilizar el estilo APA para citar textos
Pgina 41
Auditora informtica II
Formato 2 Hoja __ de __
PROPUESTA DE MEJORA
Ente Pblico (1) rea especfica (4) Sistemas de Control y/o Controles especficos propuestos (5) Situacin actual: (6)
mejora implantacin
Ejercicio (2)
N Prog. (3)
Nombre y firma (10) CARGO Y/O PUESTO Servidor Pblico Titular de la Unidad Administrativa M.C. Gabriel Huesca Aguilar
Pgina 42
Auditora informtica II
INSTRUCTIVO DE LLENADO Ente Pblico 1 2 Ejercicio Nmero Progresivo 3 rea especfica 4 Sistemas de Control y/o controles especficos propuestos Anotar el nombre del ente pblico (entidad, rgano desconcentrado y/o fideicomiso pblico no paraestatal). Anotar el perodo o ejercicio (s) sujeto (s) a revisin. Asignar un nmero progresivo a cada una de las propuestas, compuesto de dos dgitos comenzando por el 01. Anotar el nombre del rea que va a resultar beneficiada con la propuesta. Se deber anotar el nombre del Sistema de Control genrico, o en su caso del control o controles especficos en los que el auditor externo haya detectado omisiones y/o debilidades, en las cuales sea factible implementar una propuesta para su mejora Se debern describir de manera clara y concisa las deficiencias y/o las debilidades de control que estn originando la propuesta. Incorporar las recomendaciones que a juicio de la firma de auditores externos atiendan las omisiones y debilidades de control sealadas en el punto 6. Se debern precisar las principales acciones concretas o especficas a implementar por parte del rea responsable, que coadyuven a abatir o eliminar las deficiencias y/o debilidades de control, las cuales deben guardar congruencia con las recomendaciones de mejora del auditor externo Se debern describir los beneficios en calidad, y en su caso en monto, presentes y futuros que se darn con la propuesta. Anotar el nombre, cargo y firma del Servidor Pblico titular de la Unidad Administrativa. Anotar el nombre, cargo y firma del Socio Responsable de la Auditora.
Resultados esperados 9 Nombre y firma del Servidor Pblico titular de la Unidad Administrativa Nombre y firma Socio Responsable de la Auditora
10 11
Pgina 43