lunes, 4 de abril de 2016

4 Auditoría de servicios de subcontratación

4.1. Subcontratación de Servicios TI.

Outsourcing o Tercerización (también llamada subcontratación), es una técnica que consiste en la transferencia a terceros de ciertos procesos complementarios que no forman parte del giro principal del negocio, permitiendo la concentración de los esfuerzos en las actividades esenciales a fin de obtener competitividad y resultados tangibles.
También se puede definir como la subcontratación de servicios que busca agilizar y economizar los procesos productivos para el cumplimiento eficiente de los objetos sociales de las instituciones, de modo que las empresas se centren en lo que es propio.

4.2 Contratos: Caracterisitcas, Alcance.

  • Contrato: Es un documento de carácter legal que recoge el alcance y características del servicio de outsourcing. El contrato de outsourcing debe definir los siguientes aspectos:
  • Su duración.
  • Las condiciones de la cesión de los activos (tanto económicas como de otro tipo) referidos al momento inicial del acuerdo entre la Administración y el contratista.
  • Las condiciones de la gestión de los SI a llevar a cabo durante el contrato (nivel de servicio).
  • Las condiciones de recuperación de la gestión de los SI una vez finalizado el contrato.
  • La propiedad intelectual, especialmente si se traspasa al proveedor la responsabilidad del desarrollo de aplicaciones.
  • Las condiciones previstas para la resolución del contrato con anterioridad a la fecha de su finalización prevista. 

4.3 Acuerdo del Nivel de Servcio.

  • Nivel de servicio: El nivel de servicio define el ámbito de aplicación del servicio (operación, mantenimiento, desarrollo, etc.), para sistemas de información concretos y la forma exacta de llevarlo a cabo. Es uno de los puntos más importantes de un contrato de outsourcing y debe ser fácilmente medible. Para el establecimiento del nivel de servicio suele ser usual la realización conjunta, entre la organización contratante y la empresa de outsourcing, de las siguientes actividades:
  • Análisis de viabilidad que defina el ámbito de aplicación.
  • Análisis detallado que determine minuciosamente todos y cada uno de los compromisos concretos que van a ser contraídos por ambas partes.

4.4 Programa de Auditoría al área de Servicios de Subcontratación.

PASOS DE LA METODOLOGÍA

FASE 0 INICIO

¿QUÉ HACE? Identificar el alcance de lo que está considerando para el Outsourcing, Establece los criterios, las marcas  importantes, iniciales y los factores "adelante/alto" para las decisiones iniciales. Asigna recursos iniciales para "poner las semillas" del proyecto. ¿CUÁNTO TIEMPO? De dos a cuatro semanas.¿QUIÉN PARTICIPA? Esta fase es iniciada por el gerente ejecutivo o un miembro del consejo que esté patrocinando  el estudio de factibilidad. ¿QUÉ SE ENTREGA? Un documento que establece el alcance del proyecto y las cuestiones administrativas. ¿QUÉ SE DICE? Examinar (o no) los beneficios estratégicos.

FASE 1 EVALUACIÓN

¿QUÉ HACE? Examina la factibilidad del Outsourcing; define el alcance y los límites del proyecto e informa en que grado el proyecto satisfaga los criterios establecidos. ¿CUÁNTO TIEMPO? De cuatro a seis semanas. ¿QUIÉN PARTICIPA?  Un pequeño equipo encabezado por el patrocinador, por lo menos un gerente de una función (por ejemplo, de finanzas o de recursos humanos), que no se vea personalmente afectado por el resultado de la evaluación.¿QUÉ SE ENTREGA? Un estudio de factibilidad o de otro tipo (vea la lista de contenido). Una decisión acerca de si se debe o no proceder a la etapa de planeación. ¿QUÉ SE DICE?  Decisión acerca de proceder o no.

FASE 2 PLANEACIÓN DETALLADA

¿QUÉ HACE? Estable los criterios para la licitación, define con detalle los requisitos y prepara una lista breve de invitaciones para el concurso. ¿CUÁNTO TIEMPO? De ocho a diez semanas. ¿QUIÉN PARTICIPA?El equipo formado durante la fase 1, mas 1 representante de compras (abastecimiento o contratos), del departamento jurídico y de recursos humanos, en caso de que no estén representados. ¿QUÉ SE ENTREGA? En plan  de proceso de licitación, incluyendo documentación para la licitación, descripción  de los servicios, borradores de acuerdo al nivel de servicio y una estrategia para las negociaciones con los proveedores.¿QUÉ SE DECIDE?A quién se invita a concursar, bajo que criterios y las medidas del desempeño.

FASE 3 CONTRATACIÓN

¿QUÉ HACE? Selecciona a un contratista preferido como resultado de un proceso de licitación. identifica a un proveedor de respaldo. ¿CUÁNTO TIEMPO? De tres a cuatro meses. ¿QUIÉN PARTICIPA? El equipo central de la fase de planeación. puede incluir asesores externos. Participarán contratistas y sus socios. ¿QUÉ SE ENTREGA?Invitación a concursar: Acuerdos de nivel de servicio, los encabezados del acuerdo. Contratos. Plan de transferencia del servicio a subcontratistas. ¿QUÉ SE DECIDE? La concesión del contrato. A quién, para qué servicio, durante cuánto tiempo, con criterios de medición.

FASE  4 TRANSICIÓN AL NUEVO SERVICIO

¿QUÉ HACE?  Establece los procedimientos para la administración de la función subcontratada. Transfiere la responsabilidad formal de las operaciones. Transfiere personal y activos según se hayan acordado. ¿CUÁNTO TIEMPO? De dos a tres meses. ¿QUIÉN PARTICIPA? El equipo central y el gerente de función de la función subcontratada. Recursos Humanos, usuarios, gerencia y personal del proveedor. ¿QUÉ SE ENTREGA?Un plan de transición. Documentación de los procedimientos de administración y revisión. Entrega de la responsabilidad formal al subcontratista.¿QUÉ SE DECIDE?Procedimientos de terminación. Fecha de entrega del servicio.

FASE 5 ADMINISTRACIÓN Y REVISIÓN.

¿QUÉ HACE? Revisa el contrato de forma regular, comparándolo contra los niveles de servicios acordados. Planea las negociaciones para tomar en cuenta los cambios y requerimientos adicionales. ¿CUÁNTO TIEMPO?
De uno a cinco años, dependiendo de la duración del contrato. Normalmente de tres a cinco años.
¿QUIÉN PARTICIPA? Representante del contratista responsable de la entrega del servicio, Representante de la función del usuario, responsable de la administración del contrato y del proveedor. ¿QUÉ SE ENTREGA? Un servicio administrado. Revisiones regulares. Ausencia de sorpresas. ¿QUÉ SE DECIDE? Verificación anual de la validez de la evaluación original. Decisión sobre la continuidad del contrato.




Fuentes.
1.https://prezi.com/b1h1oihivwxp/auditoria-de-la-subcontratacion/
2.https://prezi.com/pzyj4xytpeh_/41-subcontratacion-de-servicios-en-ti/
Publicadas por a la/s No hay comentarios.:

3. Auditoria en la Seguridad Fisica

3.1 Concepto de Seguridad Fisica

Se refiere a la protección de hardware y los soportes de datos, así también como la seguridad de los edificios y las instalaciones que lo albergan. Esto contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.
Consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial".  

3.2 Areas a Revisar

 Se considerara todas las áreas siempre considerando el aspecto físico de la seguridad y que serán tales como: 
  • Organigrama de la Empresa 
  • Auditoria Interna. 
  • Administración de la Seguridad 
  • Centros de Procesos de datos e instalaciones. 
  • Equipos y Comunicación 
  • Computadoras Personales 
  • Seguridad Física del Personal Organigrama de la Empresa: Nos servirá para conocer las dependencias orgánicas funcionales y jerárquicas de los departamentos y los distintos cargos del personal.
  • Auditoría interna: Es un departamento independiente, que debe guardar las auditorias pasadas, normas, procedimientos y planes de seguridad física. 
  • Administración de la seguridad: Distribución de responsabilidades, funciones, dependencias y cargos en los componentes. 
  • Centro de procesos de datos e instalaciones: Ayudan a la realización de la función informática y proporcionan seguridad las personas 
  • Sala de Host 
  • Sala de Operadores 
  • Sala de impresoras 
  • Cámara Acorazada 
  • Oficinas 
  • Almacenes
  • Computadores personales: Equipos en los que hay que tener mucho cuidado especialmente cuando están conectados a la red por seguridad de los datos.
  • Equipos y comunicaciones.: El auditor debe tomar en cuenta que estos equipos son especiales debido a que en ellos se almacena toda la información. 
  • Seguridad física del personal: Salidas y accesos seguros, todo lo que tiene que ver con plan de contingencia para el personal  

3.3 Evaluación de Riesgos 

La evaluación de riesgos puede ser global: todos los sistemas de información centro y plataformas, que puede equivaler a un chequeo medico en generadle un individuo y que es habitual la primera vez que se realiza, amenudo en la auditoria externa se trata de saber si la entidad, atraves de funciones como administración de la seguridad o auditoria interna u otras si no exitieranlas anteriores.
Al hablar de seguridad siempre se habla de sus tres dimensiones clásicas y son las siguientes:
  • La Confidencialidad: se cumple cuando solo las personas autorizadas pueden conocer los datos o la información correspondientes.
  • La Integridad: consiste en que solo el usuario autorizados pueden variar los datos. Deben quedar pistas para control posterior y para auditoria.
  • La disponibilidad: se alcanza si las personas autorizadas pueden acceder a tiempo a la información a la que estén autorizadas.
  • Un riesgo es un problema potencial que no se ha presentado aun. 
  • Identificación de los riesgos y de los trabajadores expuestos.
  • Planificación de las medidas preventivas necesarias.
  • Adopción de las medidas.
  • Seguimiento y revisión.

3.4 Fuentes a Utilizar 

  • Políticas, Normas y planes sobre seguridad emitidos y distribuidos por la dirección de la empresa y por el departamento de seguridad. 
  • Auditorias anteriores referentes a la seguridad física. 
  • Contratos seguros 
  • Entrevistas con el personal de seguridad informático y otras cosas 
  • Actas e informes técnicas y consultores, que permitan diagnosticar el estado físico del edificio 
  • Informe sobre acceso y visitas
  •  Políticas del personal, planificación y distribución de tareas, contratos, etc.
  •  Inventarios de soporte Back-up, controles de salida y recuperación de soportes. 



Fuentes
1. http://es.slideshare.net/josmal7/exposicin-auditora-fsica
2. https://prezi.com/cf-pg-3ca0qe/unidad-3-auditoria-de-la-seguridad-fisica/ 
3. http://es.slideshare.net/1426NA/la-auditoria-de-seguridad-fisica
4. http://es.slideshare.net/sandybanez/auditoria-de-la-seguridad-fisica
Publicadas por a la/s No hay comentarios.:

2. Auditoria de la Direccion Informatica

2.1 Organigrama.

 La organización debe estar estructurada de tal forma que permita lograr eficiente y eficazmente los objetivos, y que esto se logre a través de una adecuada toma de decisiones. 
Es conveniente que existan estándares de rendimiento con el cual comparar diversas tareas.  
Revisión de la estructura orgánica
  • Jerarquías ( definición de la autoridad lineal, funcional y de
    asesoría)
  • Estructura orgánica
  • Funciones
  • Objetivos

2.2 Revisión de la Documentación Relacionada con la Dirección.

La revisión ayudará a los auditores a obtener una idea más clara sobre las condiciones de trabajo y empleo de la empresa auditada, incluyendo horas de trabajo, salarios y deducciones, y cualquier queja levantada por los trabajadores
Generalmente, los auditores revisan una variedad de documentos;
  • comprobantes de pago,
  • políticas y procedimientos empresariales
  • contratos laborales
Cuando una auditoría cubrirá los temas de contratación y reclutamiento justo, la revisión debería ser más profunda y extensa. Se deben revisar el grado de cumplimiento de documentos administrativos:
  • Organización
  • Normas y políticas
  • Planes de trabajo
  • Controles
  • Estándares
  • Procedimientos

2.3 Entrevista a Directivos.

El director de informática o aquellas personas que tengan un cargo directivo deben llenar los cuestionarios sobre estructura orgánica, funciones, objetivos y políticas. 
Entrevista: El auditor entrevista al auditado con alguna finalidad concreta. Se recaba mucha información que posiblemente no se obtendría por otros medios. La entrevista se realizará sin tensión y de manera correcta. El auditor evitará dar sensación de interrogatorio y utilizar jergas que puedan dificultar el entendimiento de la pregunta realizada. Igualmente, el entrevistado no usará jergas que el auditor no comprenda.
El auditado ha de sentirse lo más cómodo posible y el entrevistador debe inspirar confianza. Además, las preguntas que formule el entrevistador no deben conducir a la respuesta. Los auditores deben tener la capacidad de captar información no verbal, como gestos realizados por el entrevistado, las posturas, los silencios... y reacciones del entrevistado ante determinadas preguntas.
El auditor selecciona a qué funciones entrevistará. Pueden ser: directivos, jefes de proyecto, analistas, programadores, usuarios, técnicos de sistemas, administradores de bases de datos, auditores internos (si se trata de una auditoría externa), responsables de seguridad, responsables de desarrollo... o cualquier función de la organización que le aporte información relevante.
Después de elegir la persona (o personas) a entrevistar, se debe elegir la fecha, hora y el lugar. El auditor evitará la hora de la comida, la primera hora o el final de la jornada. Respecto al lugar, es preferible que el lugar donde se realice la entrevista sea un despacho o una sala de reuniones aislados.
Además, es deseable avisar con antelación a la persona aunque, en ocasiones, es imprescindible el factor sorpresa. Finalmente, el auditor realizará un resumen de la entrevista y, en un futuro, podrá ampliar la entrevista al auditado. 

2.4 Evaluación 

Para lograr la evaluación de la dirección informática se debe solicitar el manual de la organización de la misma, el cual debe comprender:
  • Organigrama con jerarquías
  •  Funciones
  • Objetivos y políticas
  • Análisis, descripción y evaluación de puestos
  • Manual de procedimientos
  • Manual de normas
  •  Instructivos de trabajo o guía de actividad
También se debe solicitar
  • Objetivos de la dirección
  • Políticas y normas de la dirección
  • Planeación




Fuentes.

1. https://prezi.com/sklqalq5z4ut/auditoria-de-la-direccion/
2. http://es.slideshare.net/DannaGarciia/auditoria-unidad-3
3. https://prezi.com/icfgno5-glid/auditoria-de-la-direccion-informatica/



Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)