Unidad 8

La Auditoria

                 
La auditoria de software es un término general que se refiere a la investigación y al proceso de entrevistas que determinan como se adquiere, distribuye y usa en la organización.
Conducir la auditoria es una de las partes más criticas de un programa de administración de software, por que la auditoria ayuda a la organización a tomar decisiones que optimicen sus activos de sí.

Un estudio de Print UK limited, firma de administración de auditoria, descubrió que una organización de auditoria, típica con más 500 pcs muchas de computadoras de lo que cree.

El Gartner Group también descubrió que más de un 90% de las organizaciones han incrementado su base de archivos de TI sin haber hecho ningún proceso para su surgimiento.

Una de las razones por las que las organizaciones no maximizan su inversión en activos es que no hay información exacta disponible.

La recopilación de toda la información necesaria es un proceso intenso, otro problemas es que la hace por primera vez, otro problema es que la perspectiva de una auditoria puede ser vista con algunas reversos por algunos de las directivas de la organización, preocupados por que pueda interrumpir el flujo de trabajo y por algunos usuarios finales que pueden ser forzados a abandonar sus programas o procedimientos favoritas.

La auditoria informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleba a cabo eficaz mente los recursos, cumple con las leyes y regulaciones establecidas.

Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar que información estricta para el amplia miento de su misión y objetivos identificando falsedades y verdades, costes, valor, barreras, que obstaculizan flujo de información eficientes.
En sí la auditoria informática tiene 2 tipos las cuales son:

-AUDITORIA INTERNA: Es aquella que se hace desde dentro de la empresa; sin contratar a personas ajenas en el cual los empleados realizan esta auditoria, trabajan ya sea para la empresa que fueron contratados o simplemente algún afliado a este. 

-AUDITORIA EXTERNA: Como su nombre lo dice es aquella en la cual la empresa contrata la personas de afuera para que haga la auditoria en su empresa. Auditar consiste básicamente y principalmente en estudiar los mecanismos de control que están implantados en una mismas son adecuadas y cumplen unos determinantes objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.

Los mecanismos de control pueden ser en el área de informática son:
-Directivos
-Preventivos
-Detección
-Correctivos
-Recuperación
-Contingencia

Objetivos de la Auditoria
*El análisis de la eficiencia de los sistemas informáticos.

*La verificación del cumplimiento de la normativa en este ámbito.

*La revisión de la eficaz gestión de los recursos informáticos.

*Tratar de mejorar algunas características tales como:
-fiabilidad
-eficacia
-rentabilidad
-seguridad
-privacidad

*La necesidad de contar con lineamientos y herramientas estándar para el ejercito de la auditoria informática ha promovido la creación y desarrollo de mejoras.

*Mejorar la imagen pública.

*Motivar confianza en los usuarios sobre la seguridad.

*Optimizar las relaciones internas y del clima de trabajo.

*Disminuir los costos de la mala calidad.

*Generar un balance de los riesgos en ti.

*Realizar un control de la inversión en un entorno de ti, a menudo impredecible.

Otros tipos de Auditora (informática)

Auditoria de Gestión: La contratación de bienes y servicios, documentados de los programas, etc.                            

Auditoria legal del reglamento de protección de datos: Cumplimiento legal de las medidas de seguridad exigidos por el reglamento de desarrollo de la ley orgánica de protección de datos.                  

Auditoria de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.                            

Auditoria de las bases de datos: Controles datos acoso, de actualización de integridad y calidad de los datos.                            

Auditoria de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autentificación y no repudio.
                                 
                           

Auditoria de la seguridad física: Referido a la ubicación de riesgo, y en algunos casos no revelando la situación física de este. También está referido a las protecciones externas y protecciones del entorno.                               

Auditoria de la seguridad lógica: Comprende los métodos de autenticación en los sistemas de comunicación.                       

Auditoria de la seguridad en producción: Frente a errores, accidentes y fraudes.                               

Perfil del Auditor

                              

Se llama auditor a la persona capacitada y experimentada que se designa por una autoridad competente, para revisar, examinar y evaluar los resultados de la gestión administrativas y financiera de una dependencia o entidad con el propósito de informar y evaluar los resultados, realizando las observaciones y recomendaciones pertinentes para mejorar eficacia y eficiencia en su desempeño.

Rol del auditor en la sociedad:El objetivo consiste en apoyar a los miembros de una empresa en el desempeño de sus actividades.
Para ello la auditoria lo proporciona análisis, evaluaciones, asesoría e información referente a la actividades revisadas.

Las características de un auditor constituyen uno de los temas de importancia en el proceso de realizar una auditoria dentro de una empresa, ya que el rereal responsabilidad de practicarlo y lograr los resultados necesarios para proponer las medidas necesarias para elevar el desempeño de la organización.

La calidad y el nivel de realización de la auditoria depende en gran manera del profesionalismo y carácter del auditor, así como su comprensión de las actividades que va a revisar; elementos, habilidades, destrezas y experiencia necesarias para que revise su trabajo con cuidado y competencia.

CONOCIMIENTO: Es conveniente que está persona tenga una preparación adecuada, pues eso lo permitirá relacionarse de manera natural con los componentes de estudio que durante su desarrollo. Es recomendable apreciar algunos de los siguientes niveles de formación.

*Función académica: Estudios a nivel técnico, licenciatura o posgrado en administración, informática, ingeniería en sistema, etc.

*Formación complementaria: Instrucción en la materia obtenida a lo largo de su vida profesional a través de conferencias, talleres, seminarios, foros o cursos.

*Formación empírica. Conocimiento resultado de la implementación de auditoria en diferentes instrucciones, como o sin contar con un grado acádemico.

Habilidades Las habilidades y destrenzan que puede obtenerla profesional, van a ayudarlo a desenvolverse con naturalidad frente a los obstáculos que presentarse con sus pares o superiores.
Entre estas habilidades que debe tener se pueden nombrar las siguientes:
*Actitud positiva
*Saber escuchar
*Mente analítica
*Capacidad de negociación
*Iniciativa

EXPERIENCIA Una de las características fundamentales que se debe considerar en un auditorial, es la experiencia laboral y personal que tenga, ya que de eso depende en gran manera su trabajo a realizar.

RESPONSABILIDAD PROFESIONALLos impedimentos a los que normalmente se pueden enfrentar a los auditores son:

*Personales y Externos: Los personales se refieren a circunstancias que recaen en el auditor y que pueden aceptar su desempeño.

*Externos: Están relacionados con factores que limitan al auditor, al tratar de llevar a cabo su función de manera y objetiva.

Principios fundamentales del auditor

1- Integridad:
-Debe ser sincero justo y honesto en todas sus relaciones profesionales.
- Debe ser intachable en todos sus actos.
-No debe de ser asociado a informes.

2- Objetividad:
-No debe permitir que los favoritismos, conflictos, de interés o la influencia de otros afecten sus juicios profesionales.
-Debe actuar siempre con independencia en su manera de pensar y sentir manteniendo sus posiciones sin admitir la intervención de terceros.

3- Confidencialidad:
-El auditor debe respetar la confidencialidad de la información obtenida.
-No debe revelar la información a terceros.
-No debe decir nada referente a eso incluso en sus familiares.

Principios éticos del auditor.

1- Beneficio del auditado

2- Calidad

3-Capacidad

4-Comportamiento profesional.

Unidad 7

Conocer las leyes vigentes relacionadas con el tratamiento de datos.

 

*Ley de Orgánica de Protección de datos de carácter personal:

Es una ley orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas y familiar.
Fue aprobada por las cortes generales.

Esta Ley se desarrolla fundamentándose en el artículo 18 de la constitución española, sobre el derecho de la intenidad familiar y personal y el secreto y el secreto de las comunicaciones. 

Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de auquellos que los crean o tratan.

Esta ley afectan a todos los datos que hacen referencias a personas físicas registradas reporte, informática o no personas físicas registras:
Quedan excluidas de esta normativa aquellos datos recogidas para eso domestico, las materias clasificadas del estado y aquellos ficheros que recogen datos sobre terrorismo y otras formas de delinencia organizada (no cumple delincuencia ).

A partir de esta ley de creó la agencia Española de protección de datos, de ámbito estatal que por el cumplimiento de esta ley.

Desarrollo normativo                          
El real decreto 994/1999 de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal de 11 de junio de 1999. En un reglamento que desarrolla la ley orgánica, de Regulación del tratamiento automatizado de los datos del carácter Personal (LURTAAD), regular las medidas técnicas y organizativas que deben aplicarse a los sistemas de información en los cuales se traten datos de carácter personal de forma automatizada.

El real decreto del 21 de diciembre trata de un desarrollo de la ley orgánica 15/99 de protección de datos del 13 de diciembre; desarrolla tanto de seguridad a aplicar en los sistemas.

Esta ley es muy importante ya que nos muestra las protección sobre nuestros datos personales, con sus decretos y legislaciones.

Unidad 6

Copias de Respaldo

Una copia de seguridad, es un duplicado de nuestra información más importante, que realizaremos para salvaguardar los documentos, archivos, fotos, etc, de nuestro ordenador, por si acaso ocurriese algún problema que tienen en él.

                                          
Está copia de seguridad también se denomina copia de respaldo e incluso Backup del inglés.

Podemos perder nuestra información o cuando menos no poder acceder a ella por motivos muy diversos, desde infecciones del sistema por virus y malware, fallos de sw (cortes de corrientes y picos de tensión, excesos de temperatura y daños y en los dispositivos) apagados incorrectos del equipo, problemas motivados por algún programa, daños del usuario al borrar archivos por erros, etc.

La prioridad para realizar las copias de seguridad de nuestros datos, dependerán de mayor o menor movimiento de información que realicemos en nuestro equipo.

Para agilizar y organizar mejor la tarea de hacer las copias  de seguridad de nuestros archivos personales, se recomienda seguir las recomendaciones de crear una carpeta personal para tus archivos.

Copias de seguridad completa:                               
Como sugiere su nombre este tipo de backup hace un respaldo completo de todos los archivos de muestra equipo.
El Backup abarca el 100% de la información, por lo que normalmente requiere más tiempo en realizarse y ocupa más espacio. Si uno esta seguro que quiere protegerlo todo por igual es la mejor solución.

Copia de seguridad ferenci:

                                         
Únicamente contiene los archivos que han cambiado desde la ultima vez que se utiliza la copia.
Por lo tanto se incluyen sólo los archivos nuevos y los modificados.

Copia de seguridad incremental:                                 
Se hace una copia de todos los archivos que han sido modificados desde que fue ejecutado el último backup completo, diferencial o incremental.
Es el método más rápido para realizar copias de seguridad.

Copia de seguridad espejo:

                               
Similar a la copia completa.

La diferencia está en que los archivos no se comprimen y no pueden ser protegidos usando un pasword.

Por lo tanto ocupa más espacio y es menos seguro.

Ventajas de las copias de respaldo                              
Copia de seguridad completa

VENTAJAS:
*Disponer de una copia de seguridad completa de todos los datos que puedes recuperar.
*Tienes una copia de seguridad de todos los archivos y carpetas en una unidad de respaldo.
*Es fácil llevar un control de versiones de los archivos copiados.

DESVENTAJAS:
*Tarda más tiempo en hacerse la copia completa pues tiene que guardar todos los archivos.
*Es necesario más espacio de almacenamiento que en otros tipos de backup.
*También se requiere ancho de banda adicional.

Copia de seguridad diferencial

VENTAJAS:
*Se necesita menos espacio de almacenamiento.
*La copia de seguridad se realiza en menos tiempo que en una copia completa; pues los datos a copiar son menores.
*Puedes variar versiones del mismo archivo.
*Para restaurar una copia solo se necesita la copia completa y la diferencial del día que quieres restaurar.

DESVENTAJAS:
*Es más lenta que la incremental.
*Para la recuperación necesitan la copia completa y la diferencial.

Unidad 5

Conocer la utilidad y funcionamiento de los planes de mantenimiento 

El plan de mantenimiento es el elemento en un modelo de  gestión de activos que define los programas de mantenimiento a los activos (actividades periódicas, preventivas y defectivas).
Con los objetivos de mejorar la efectividad de estos con tareas necesarias y oportunas, y de definir las frecuencias, las variables del control, el presupuesto de recursos y los procedimientos para cada actividad.                     

Como responsable de la definición de las actividades periódicas agrupa trabajos detectivos, predictivas y prebentibas facilita por su contribución a la gestión de mantenimiento, la realización de presupuestos confiables siempre y cuando no lleve a la empresa a hacer más mantenimiento del que requiere y en el peor.

Una regla de oro en mantenimiento es aquella que dice que cualquier actividad preventiva, correctiva, defectiva; está justificada y es aplicable solo si el equipo queda más confiable, es decir si mejora su desempeña a nivel de reducción del riesgo, aptemización del costo de operación.
En la década de los años 90's del siglo pasado; "mantenimiento" era equivalente a reparaciones periódicas.
Todos esperaban que los componentes y partes importantes se gestaron después de cierto tiempo.

Esto condujo a crecer que las reparaciones periódicas mantenían las condiciones operativas correctas de las piezas antes de que se desgastaron y así se lograba prevenir y evitar las fallas.

En los casos en que esta estrategia no parecía estar funcionando se asumía, que se estaban realizando importunamente las reparaciones es decir muy tarde; esto condujo los esfuerzos a acortar el tiempo entre reparaciones.

Mantenimiento de sw.
El mantenimiento de software es la modificación de un producto de sw después de la entrega. Para corregir errores, mejorar el rendimiento, u otros atributos.

Un plan de mantenimiento programado no es más que el conjunto de gamas de mantenimiento elaboradas para atender una instalación.
Este plan contienen todas las tareas necesarias para prevenir los principales fallos que puede tener la instalación.
Es importante entender bien esos dos conceptos:
Que el plan de mantenimiento es un conjunto de tareas de mantenimiento agrupados en gamas, y que el objetivo de este plan es estar determinadas averías.

Problemas claves de mantenimiento de SW.                      
Son administrativos y técnicos. Problemas clave de administración son: alineación con las prioridades del cliente, dotación de personal cual organización hace mantenimiento estimado de costos.

Son cuestiones técnicas claves: Limitado entendimiento, análisis de impacto, pruebas 8testing), medición de mantenibilidad.

El mantenimiento de sw es también una de las fases en el ciclo de vida de desarrollo de sistemas que se aplica al desarrollo de la fase de mantenimiento es la fase que viene después del despliegue (implementación) del software en el campo. Una percepción común del mantenimiento es que se trata meramente de la corrupción de defectos.

Clasificación de las actividades de mantenimiento:⇨Adaptables: Modificar el sistema para hacer frente a cambios en el ambiente del software.

⇨Perfectivo: Implementar nuevos o cambiar requerimientos de usuario referente, a mejoras funcionales para el software.

⇨Correctivo: Diagnosticar y corregir errores, posiblemente los encontrados por los usuarios.

⇨Preventivo: Aumentar la capacidad de mantenimiento de sw o frabilidad para evitar problemas en el fututo.

Diseño de un plan de mantenimiento.

1- Análisis de los equipos existentes y de su funcionamiento.

2- Revisión de las pautas de mantenimiento indicadas en la documentación de los equipos y verificando en campo.

3- Revisión del histórico de información existentes de intervenciones de mantenimiento.

4- Propuesta de plan de mantenimiento (documentos necesarios, sistema de codificación de equipos de repuestos).

5- Diseño de los planes de mantenimiento (preventivo y rutas de inspección).

6- Presentación del plan de mantenimiento, sugerencias de áreas de mejora y recomendaciones de equipos de inspección.

Desarrollo del plan de mantenimiento.                  
Un plan de mantenimiento programado no es más que el conjunto de gamas de mantenimiento elaborado para atender una instalación este plan contiene todas las tareas necesarias para prevenir los principales fallos que puede tener la instalación.
Es importante entender esto.

Una gama de mantenimiento es una lista de tareas a realizar en un equipo.

-Gamas diarias

-Gamas mensuales

-Gamas anuales

¿Qué es el plan de mantenimiento?           
Un plan de mantenimiento es el conjunto de tareas de mantenimiento programado, agrupadas o no siguiendo algún tipo de criterio, y que incluye a una serie de equipos que se planta, que habitualmente no son todos. Hay todo un conjunto de equipos que se consideran no mantenibles desde un punto de vista preventivo, y en los cuales en mucho más económico aplicar una política puramente correctiva ( en inglés se denomina run to fallure, o utilizar hasta que falle). 

El plan de mantenimiento engloba tres tipos y actividades:

-Las actividades rutinarias que se realizan a diario, y que normalmente los lleva a cabo el equipó de operación. 
-Las actividades programadas que se realizan a lo largo del año.
-Las actividades que se realizan durante las paradas programadas.

Las tareas de mantenimiento son, como ya se ha dicho, la base de un plan de mantenimiento. Las diferentes formas de realizar un plan de mantenimiento que se describen en los capítulos siguientes no son más que formas de determinar las tareas de mantenimiento que comprendan el pla.

Al determinar cada tarea debe determinarse además cinco informaciones referentes a ella: frecuencia, especialidad, duración, y necesidad de parar la máquina para efectuarla.

Las tareas de mantenimiento son la base de un plan de mantenimiento. Las diferentes formas de realizar un plan de mantenimiento que se describen en los capítulos siguientes no son más que formas determinar las tareas de mantenimiento que comprendan el plan.

FRECUENCIAEn cuanto la frecuencia de una tarea, existen dos formas para fijarla:
-Siguiendo prioridades fijas
-Determinándola a partir de las horas de funcionamiento.

Mantenimiento de SoftwareEn Ingeniería del software, el mantenimiento de software es la modificación de un producto de software después de la entrega, para corregir errores, mejorar el rendimiento del software.

El mantenimiento de software es también una de las fases en el ciclo de vida de desarrollo de sistemas (SDLC, sigla en inglés de sytem development like cycle), que se aplica al desarrollo de software. La fase de mantenimiento es la fase que viene después del software en el campo.

Una percepción común del mantenimiento es que se trata meramente de la corrección de defectos. Sin embargo, un estudio indicó que la mayoría, más del 80% del esfuerzo de mantenimiento es usado para acciones no correctivas (Pigosky 1997).

Los problemas claves de mantenimiento de software son: alineación con las prioridades del cliente, dotación de personal, cuál organización hace mantenimiento, estimación de costos.

Importancia del mantenimiento de softwareA finales de los años 1970, una famosa y limpiamente citada estudio de encuesta por Gabriela Castillo, expuso la muy alta fracción de los costos del ciclo de vida que estaban siendo gastados en mantenimiento.

-Adaptable. modificar el sistema para hacer frente a cambios a cambios en el ambiente del software

-Perfectivo. Implementar nuevos, o cambiar requerimientos de usuario referentes a mejoras funcionales para el software.

-Preventiva. Aumentar la capacidad de mantenimiento de software o frabilidad para evitar problemas en el futuro.

La fase de mantenimiento de software es una parte explicita del modelo en cascada del proceso de desarrollo de software el cual fue desarrollado durante el movimiento de programación estructurada en computadores. 

Unidad 4

Identificar los motivos de la necesidad de inventariar.

Para optimizar sus inversiones en software y construir una base sólida para el crecimiento del negocio, primero necesita saber que software se está siendo utilizado. ¿Tiene suficiente software o demasiado? ¿Se utiliza la manera más eficiente y rentable? Para empezar a crear su plan de SAM, es necesario hacer un inventario de software completo. Este inventario también proporcionará una indicación del trabajo que debe hacer al decirle a donde debería estar.


Con un inventario de referencia completado, sabrá exactamente que software está siendo utilizado; mediante el analisis; de esta información, puede determinar donde se pueden utilizar mejor esos programas no autorizados que se hayan instalado sin permiso.


MOTIVOS:
-Evitar clientes descontentos
-Neutralizar la irracionabilidad
-Esperar con tranquilidad la reposición
-Lograr descuentos por grandes comprar
-Reducir los costos por mantenimiento de inventario
-Vigilar la calidad
-Planear los flujos de dinero de las compras

Parámetros a inventariar en un sistema.

Si su organización tiene unos solos pocos equipos, ses posible que pueda realizar un inventario manual simplemente comprobando el disco duro de cada equipo y la grabación de la informática en un informe.

También puede ver la lista de programas que se instalan en cada equipo abriendo la herramienta agregar o quitar programas en cada equipo.

Para abrir la herramienta agregar o quitar programas en un equipo que ejecuta Windows 7, o los sistemas operativos de Windows Vista, haga clic en inicio, haga clic en panel de control, y a continuación, haga clic en inicio, haga clic en panel de control, y acontinuación , haga clic en programas y características.

                       

INVENTARIO AUTOMATIZADO.
Si tienes bastantes equipos en su organización, si puede considerar la posibilidad de utilizar una herramienta de inventario de software tal como el analizar de inventario de software de Microsoft (MSIA) para realizar un inventario automático de todos los equipos y servidores. (Tenga en cuenta que el MSIA está destinado a uso en organizaciones que tienen equipos de 250 o menos). Las herramientas de inventario de software analizan el software instalado en los equipos y las herramientas de administración de activos están le ayudan a administrar su red y su software asociado.

Hay un número de herramientas de inventario y administración de activos de software disponibles hoy en día, ya sea de Microsoft o proveedores de software independientes que se centran en SAM. Utilice el directorio de proveedores de herramientas de SAM para encontrar la herramienta que mejor se adapte a sus necesidades según el tamaño de su negocio y las aplicaciones que utiliza actualmente.