GRUPO 8 TRABAJO

Vista previa del material en texto

Ing:CARLOS GONZALEZ ASPAJO.
Alumnos:
MARIÑO PINEDO STEVE WINDER
REATEGUI PAREDES ALDO JAVIER
OBREGON RIOS JHUNIOR ISA
EUSEBIO MURAYARI WITMAN ENRIQUE
ALAYO VALENCIA JHEYSON ESTIVAR
AÑO DEL FORTALECIMIENTO DE LA SOBERANIA.
GUIA DE AUDITORIA DE TECNOLOGIA GLOBAL(TGA)
Las aplicaciones desarrolladas por el usuario (UDA) generalmente consisten en hojas de cálculo y bases de datos creadas y utilizadas por los usuarios finales para extraer, ordenar, calcular y compilar datos organizacionales para analizar tendencias, tomar decisiones comerciales o resumir datos operativos y financieros y resultados de informes. 
Resumen
GUIA DE AUDITORIA DE TECNOLOGIA GLOBAL(TGA)
En la economía global actual, el sustento de una organización se ve afectado por la forma en que la actividad de TI administra la disponibilidad, integridad y confidencialidad de la información y los sistemas de TI utilizados para operar los procedimientos comerciales centrales.1
Introducción 
Definición de aplicaciones desarrolladas por el usuario Los UDA son aplicaciones que desarrollan los usuarios finales, generalmente en un entorno de TI no controlado. Al igual que las aplicaciones de TI tradicionales, los UDA automatizan y facilitan los procesos comerciales. Aunque los UDA más generalizados son las hojas de cálculo, los UDA también pueden incluir bases de datos de usuarios, consultas, scripts o resultados de varias herramientas de generación de informes. En general, una UDA es cualquier aplicación que no se gestiona y desarrolla en un entorno que emplea controles generales de TI sólidos.
 
. Diferencias entre las aplicaciones desarrolladas por el usuario y las desarrolladas por TI
. Desarrollo
El desarrollo de UDA sigue un proceso significativamente diferente al ciclo de vida de una aplicación desarrollada y respaldada por TI. En general, para una aplicación desarrollada y respaldada por TI, existe un ciclo de vida estándar que abarca un análisis de factibilidad que incluye una evaluación de riesgos; definición de requisitos; una fase de diseño, construcción y fase de prueba; y una revisión posterior a
la implementación para garantizar que el producto final satisfaga las necesidades de los usuarios y funcione según lo diseñado. 
Despliegue
Cuando una aplicación desarrollada por TI se pone en funcionamiento, el código de programación generalmente se almacena en una aplicación de administración de código fuente para evitar que la aplicación se cambie accidental o intencionalmente. Si se cambia el código.
Operaciones
Los UDA no se consideran en los procesos típicos de gobierno de TI, ya que solo los conocen los usuarios principales y no forman parte de las evaluaciones de riesgos de TI ni de los esquemas de clasificación de datos típicos. 
Desafíos de cumplimiento
Dada la falta frecuente de controles estructurados sobre los UDA, su uso puede presentar a las organizaciones varios desafíos de cumplimiento relacionados con las normas y reglamentos específicos de la industria y del país.
Alcance de una auditoría de aplicación desarrollada por el usuario
 
Como se enfatiza enGTAG-11: Desarrollo del plan de auditoría de TI, es importante comenzar con la perspectiva correcta al desarrollar el plan de auditoría interna: “Una perspectiva adecuada a tener en cuenta es que la tecnología solo existe para respaldar y promover los objetivos de la organización y es un riesgo para la organización si su falla resulta en la incapacidad para lograr un objetivo comercial”. 
Definición de lo que constituye una aplicación clave desarrollada por el usuario
Definir lo que constituye un UDA clave es fundamental para desarrollar el alcance de la auditoría interna. Debido a que cada hoja de cálculo o base de datos recién creada no constituye un UDA, la gerencia debe determinar y definir qué constituye un UDA clave. Como recordatorio, para los fines de este GTAG, los UDA son cualquier aplicación que no se administre y desarrolle en un entorno de TI tradicional y bajo un proceso de desarrollo formal. 
Definición de factores de riesgo
Al desarrollar un marco de control de UDA, el proceso generalmente comienza con entrevistas a miembros clave de la gerencia y el personal. 
Consideraciones en Realización de auditorías de aplicaciones desarrolladas por el usuario
Con la proliferación y el uso de UDA, es fundamental que las organizaciones mantengan políticas y procedimientos claramente definidos para definir, evaluar riesgos y monitorear UDA. El auditor interno debe comenzar el proceso de auditoría revisando el marco de control de UDA existente y los resultados relacionados. Luego, él o ella debe obtener una comprensión del proceso de flujo de UDA mientras considera la madurez de los controles para impulsar la
amplitud de la auditoría interna. En el apéndice se incluye un ejemplo de un proceso de flujo.
 Atributos y capacidades de la herramienta
 Como se describe en este GTAG, un marco de control de UDA implementado por la organización y posteriormente revisado por la actividad de auditoría interna se basa en la calidad del siguiente proceso:
Descubrimiento Inventario Clasificación d 
 
Directrices de acceso
• Limite el acceso a hojas de cálculo y otros sistemas de usuarios finales almacenados en un servidor de red según sea necesario según las responsabilidades del trabajo.
Directrices de datos de origen
• El área de ingreso de datos generalmente no debe contener fórmulas. “Cuando cada celda contiene datos clave y los complicados algoritmos cargados de suposiciones que se aplicarán, confirmar que los resultados son apropiados o razonables puede ser prácticamente imposible, incluso si se calcula correctamente. Es una mejor práctica separar los datos de los algoritmos y suposiciones que se aplican a los datos”.
• Cuando sea posible, ingreso de datos: manual o interconectado
— debe estar en el mismo orden que los datos fuente para facilitar la revisión y minimizar los errores de entrada.
• Fórmulas de bloqueo.
	 
Elementos a tener en cuenta al evaluar la seguridad y el acceso al sistema		
	1.	 
Identifique los UDA dentro del alcance y los datos relacionados y determine los nombres de archivos, directorios, conjuntos de datos y/o bases de datos donde residen los UDA y los datos. Considerar:
• Archivos fuente y ejecutables de UDA.
 
• Archivos de datos relacionados tanto con la entrada como con la salida.
 
• Registros de seguimiento de auditoría.
• PII contenida en los datos.	 
	2.	 
Obtenga los derechos de acceso a los UDA dentro del alcance y los datos relacionados y evalúe la idoneidad de dicho acceso. Considerar:
• Administradores del sistema.
• Administradores de seguridad.
 
• Cuentas de usuario compartidas/predeterminadas.
• Ver acceso a PII.	 
	3.	 
Verifique que los controles de autenticación de usuarios en los sistemas que contienen los
UDA y los datos restrinjan adecuadamente el acceso no autorizado. Considerar:
• Configuración de parámetros de contraseña (p. ej., longitud, complejidad, historial, período de caducidad).
• Bloqueo de cuenta después de un número determinado de intentos fallidos.
• Sesión terminada después de un período de inactividad.
• Autenticación de dos factores utilizada durante el acceso remoto.	 
	4.	Determine si hay otras formas de acceder al UDA oa los datos y evalúe los controles sobre el acceso.	 
	5.	Verificar si el acceso se revisa periódicamente. Considerar:
• Revisiones anuales.
• Revisiones y aprobaciones documentadas.
• Acciones correctivas tomadas en forma oportuna.	 
GRACIAS
GRACIAS
GRACIAS