Cuestionario de repaso del capítulo I
1- ¿Qué cambio en la empresa provocan tensión en el control interno existentes?
La mayoría de las organizaciones han acometido varias iniciativas en ese sentido, tales como:
- La reestructuración de los procesos empresariales
- La gestión de la calidad total
- El redimensionamiento por reducción y/o por aumento del tamaño hasta el nivel correcto.
- La contratación externa
- La descentralización.
2- ¿Cuáles son las funciones del control interno informático?
El control interno informático controla que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la organización y/o dirección de informática, así como los requerimientos legales.
3- ¿Cuáles son los objetivos de la auditoria informática?
Son objetivos de protección de activos e integridad de los datos.
Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia.
4- ¿Cuáles son las semejanzas y diferencia entre control interno y auditoria informática?
Semejanzas: Personal interno, conocimiento especializados en Tecnología de la Información, verificación del cumplimiento de controles internos, normativas y procedimientos establecidos por la Dirección de Informática y la dirección General para los sistemas de información.
Diferencias:
Control interno informático
Análisis de los controles en el día a día, informa a la dirección del Departamento de informática, solo personal interno, el alcance de sus funciones es. Únicamente sobre el depto. Informática.
Auditoria informática
Análisis de un momento informático determinado, informa
General personal interno y/o externo, tiene cobertura sobre todos los componentes sistemas La organización.
5- Ponga ejemplo de controles correctivos en diversas área informática
La recuperación de un fichero dañado a partir de la copia de seguridad.
Eliminación de virus mediante el uso de un antivirus o mediante el formateo de un computador.
3. Restricciones en el acceso a diferentes páginas web.
6- ¿Cuáles son los principales controles en el área de desarrollo?
La alta dirección debe publicar una normativa sobre el uso de Metodologia de ciclo de vida del desarrollo de sistema y revisar esta periódicamente.
La Metodologia debe establecer los papeles y responsabilidades de las distintas
De distintas área del departamentos de informática y de los usuarios.
Las especificación del nuevo sistema deben ser definidas por los usuarios y quedar escritas y apropiada ante de que comience el proceso de desarrollo.
Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos del proyecto acompañadas de un análisis coste-beneficio de cada alternativa.
Cuando se seleccione una alternativa debe realizarse el plan director del proyecto. En dicho plan deberá existir una metodología de control de coste.
Procedimiento para la definición y documentación de especificaciones de: diseño, de entrada, de salida, de archivo, de proceso, de programas, de controles de seguridad, de pistas de auditorías, etc.
Plan de validación, verificación y pruebas.
Estándares de pruebas de programas, de pruebas de sistemas.
Plan de conversión: prueba de aceptación final.
Los procedimientos de adquisición de software deberían seguir las políticas de adquisición de la organización y dichos productos deberían ser probados y revisados antes de pagar por ellos y ponerlos en uso.
La contratación de programas de servicios de programación a medida ha de estar justificada mediante una petición escrita de un director de proyecto.
Deberían de prepararse manuales de operación y mantenimiento como parte de todo proyecto de desarrollo o modificación de sistemas de información, así como manuales de usuarios.
7- ¿Qué proceso definirá para controlar la informática distribuida y las redes?
· Planes adecuados de implementación, conservación y pruebas de adaptación para la red O Existencia de un grupo de control de red.
· Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando la red es distribuida.
· Procedimientos que definan las medidas y controles de seguridad a ser usados en la red de informática en conexión con la distribución del contenido de bases de datos entre los depto. Que usan la red.
· Que se identifique todos los conjuntos de datos sensibles de la red y que se han determinado las especificaciones para su seguridad.
· Existencia de inventarios de todos los activos de la red.
· Procedimiento de respaldo del hardware y software de la redo Existencia de mantenimiento preventivo de todos los activos.
· Existencia de controles que verifiquen que todo los mensajes de salida se validad de forma rutinaria para asegurar que contienen direcciones de destino válidas.
8- ¿Qué controles se deberían establecer en las aplicaciones?
a. Control de entrada de datos
b. Controles de tratamientos de datos
c. Controles de salida de datos
9- ¿Cómo justificaría ante un directivo de empresa la inversión necesaria en control y auditoria informática?
Sencillamente teniendo en cuenta que si no aplica los controles internos en su empresa, institución u organización esta será un desorden, porque no habrá parámetros, o un control de cómo hacer las cosas, y si no hace la auditoria informática, no va a estar al tanto de que todo marcha bien en cuanto a esa área.
10- Describa la informática como modo de estructuración de las empresas.
La informática en una empresa en estos tiempos es muy importante ya que las pequeñas, medianas y grandes empresas brindan un servicio muy amplio, por así decirlo, por ello necesita de la informática para que la realización de todas las tares que se hagan, se realicen de una forma rápida y fácil. No hay un modo específico de como describir la informática como modo de estructuración de una empresa ya que estas son muy diferentes i la informática se aplica en formas diferente, en otras palabras la informática se le aplicara a la empresa dependiendo de la empresa.
Cuestionario de Repaso del Capítulo II
1- Defina brevemente que es el ciclo de Deming ¿De cuantas fases consta?
El ciclo de Deming, también conocido como círculo PDCA (de Edwards Deming), es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart. También se denomina espiral de mejora continua. Es muy utilizado por los Sistemas de Gestión de Calidad (SGC).
Las siglas, PDCA son el acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).
2- ¿Cuál es la relación entre el motor y el PDCA en los sistema de gestión de la TIC?
La relación que existe es que el ciclo de Deming es considerado como el motor en los sistemas de gestión de la TIC.
3- ¿Qué es el conocimiento en el modelo Motor- Conocimiento de los sistemas de Gestión de la TIC?
El conocimiento es una guía de buenas prácticas que, desde la perspectiva del sistema de información se define como propietario o base de datos de controles.
4- En el SGSI-sistema de gestión de la seguridad de la información, ¿Cuál sería la base o fundamento del sistema? Está basado en las normas UNE ISO/ IEC 27001: 1: 2005 (motor-PDCA) y en la norma UNE ISO/ IEC 2000 – 2.
5- En la metodología de la evaluación de riesgo explique brevemente las pruebas de cumplimiento y sustantivas.
Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditoría. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoría se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia
6- En un modelo de certificación de sistema de gestión de TIC, explique brevemente que es la visita previa y la auditoria inicial.
Una auditoría inicial es la primera auditoría que se realiza a una empresa según la IFS. Se lleva a cabo en fechas y horarios acordados entre la empresa y la entidad de certificación seleccionada. Durante esta auditoría, se audita la empresa en su totalidad, tanto los documentos como los procesos. Durante la auditoría, el auditor debe evaluar todos los requisitos de IFS. En el caso de una auditoría previa, el auditor que lleve a cabo esta auditoría será diferente del que lleve a cabo la auditoría inicial
No hay comentarios:
Publicar un comentario