Qué es una plataforma de educación virtual

1

¿QUÉ ES UNA PLATAFORMA DE EDUCACIÓN VIRTUAL?

Una plataforma virtual, es un conjunto de aplicaciones informáticas de tipo síncronas o asíncronas, que facilitan la gestión, desarrollo y distribución de cursos a través de Internet. Este software se instala en el servidor de la Institución que proveerá este servicio a la comunidad. Santoveña (2002) plantea lo siguiente: “Una plataforma virtual flexible será aquella que permita adaptarse a las necesidades de los alumnos y profesores (borrar, ocultar, adaptar las distintas herramientas que ofrece); intuitivo, si su interfaz es familiar y presenta una funcionalidad fácilmente reconocible y, por último, amigable, si es fácil de utilizar y ofrece una navegabilidad clara y homogénea en todas sus páginas”. Otro concepto sería: entorno de hardware y software que permite gestionar el desarrollo de actividades formativas de un curso virtual, denominado también “Sistemas de Gestión de Aprendizajes LMS”. Existen diversas denominaciones al Término plataforma virtual, como son: Entorno de Aprendizaje Virtual – Virtual learning environment (VLE) Sistema de Gestión de Aprendizajes – Learning Management System (LMS) Sistema de Gestión de Cursos – Course Management System (CMS) Entorno de Gestión de Aprendizajes – Managed Learning Environment (MLE) Sistema Integrado de Aprendizajes – Integrated learning system (ILS) Plataforma de Aprendizajes – Learning Plataform (LP) Campus Virtual (CV) Aula Virtual (AV)

2

OBJETIVO DE ESTA TECNOLOGÍA

La finalidad del uso de una plataforma educativa dependerá de las necesidades que tengan los usuarios, y por la organización o institución que la requiere. Si bien es cierto, el objetivo universal del e-learning es facilitar procesos de enseñanza aprendizaje en los estudiantes, hay casos en los que se restringe su utilidad al hecho de sólo facilitar contenidos y materiales de aprendizaje , en este caso se les identifica como Gestores o Plataformas para Difundir Recursos De Aprendizaje (CMS). En otros casos están las denominadas Aulas Virtuales, cuyo eje es la comunicación y brindar las facilidades para el desarrollo del trabajo colaborativo entre los estudiantes. Por otro lado están las plataformas de mayor complejidad que pretenden cubrir

3

ESTRUCTURA GENERAL

La estructura que presenta una plataforma virtual desde el punto de vista general tomando en cuenta las áreas observables que posee son las siguientes:

todas las necesidades de los usuarios, llamados Entornos Virtuales o Sistemas para la Gestión de Aprendizaje (LMS) o Campus Virtual, muchas instituciones de educación superior ya cuentan con este tipo de e-learning. En todos los casos existe el peligro de que se altere el objetivo de origen de la plataforma, el usuario que no encuentra las características exigidas: facilidad, rapidez y eficiencia, migrará hacia otros horizontes que sí se las ofrezca, es por esta razón que la plataforma elegida o diseñada debe contemplar cuidadosamente las demandas de los estudiantes.

4

USUARIOS DE UNA PLATAFORMA VIRTUAL

ALUMNOS Tienen acceso a todos los contenidos y secciones del aula virtual. Pueden realizar entradas en los foros, subir archivos, entre otros.

DOCENTES Tienen control total del aula. Suben archivos, cursos, entre otros. Registran calificaciones.

VISITANTES Pueden ser personas externas y no necesitan clave de acceso. Se mantienen invisibles al entrar al aula y no tienen acceso a realizar ninguna actividad, sólo pueden observar el contenido de la misma.

ADMINISTRADOR Gestiona altas y bajas de alumnos y consultas de los mismos. Tienen acceso a la administración total de la plataforma.

WEBMASTER Es el responsable de la plataforma y realiza funciones que no realiza el administrador.

SOPORTE TÉCNICO Encargado de resolver problemas a nivel de software y base de datos.

5

CARACTERÍSTICAS

Entre las características más destacables de una plataforma virtual se consideran las siguientes: - Brindar seguridad en el acceso: el acceso debe estar restringido a cada usuario, según su perfil y sin la posibilidad de entrar si no está registrado. - Interacción: entre los alumnos y entre éstos y el docente. - Entorno intuitivo: la navegación dentro del portal debe ser lo más sencilla posible y siguiendo siempre las mismas pautas. - Diversidad de recursos para la formación y la comunicación: debe contar con diferentes tipos de herramientas posibles, tanto para la formación del alumno como para la comunicación entre los usuarios. - Acceso a la información: debe proporcionar diversidad de recursos que posibiliten el acceso a la información y su estructuración como base de datos, bibliotecas virtuales, tutoriales, etc. - Portal de administración sencilla:debe permitir realizar todas las actividades relacionadas con la gestión académica, como matrícula, consulta de expedientes, etc, de una manera más directa y sencilla. - Favorecedora del aprendizaje colaborativo: debe posibilitar el trabajo colaborativo entre usuarios a través de aplicaciones que permitan compartir información, trabajar con documentos conjuntos, etc. - Seguimiento del progreso del alumno:debe proporcionar herramientas que informen al docente sobre la participación del alumno y sobre los resultados de evaluación.

6

HERRAMIENTAS QUE OFRECE

VENTAJAS Y DESVENTAJAS DE LAS PLATAFORMAS VIRTUALES

El uso de la plataforma virtual ofrece una serie de ventajas en el apoyo de la enseñanza presencial que mejoran los resultados que se pueden obtener a través de los métodos educativos tradicionales. Sin embargo, en ocasiones también conllevan ciertas desventajas o inconvenientes. A continuación se enumeran las más significativas. VENTAJAS 1. Fomento de la comunicación profesor/alumno: La relación profesor/alumno, al transcurso de la clase o a la eventualidad del uso de las tutorías, se amplía considerablemente con el empleo de las herramientas de la plataforma virtual. El profesor tiene un canal de comunicación con el alumno permanentemente abierto. 2. Facilidades para el acceso a la información: Es una potentísima herramienta que permite crear y gestionar asignaturas de forma sencilla, incluir gran variedad de actividades y hacer un seguimiento exhaustivo del trabajo del alumnado. Cualquier información relacionada con la asignatura está disponible de forma permanente permitiéndole al alumno acceder a la misma en cualquier momento y desde cualquier lugar. También representa una ventaja el hecho de que el alumno pueda remitir sus actividades o trabajos en línea y que éstos queden almacenados en la base de datos. 3. Fomento del debate y la discusión: El hecho de extender la docencia más allá del aula utilizando las aplicaciones que la plataforma proporciona permite fomentar la participación de los alumnos. Permite la comunicación a distancia mediante foros, correo y Chat, favoreciendo así el aprendizaje cooperativo. El uso de los foros propicia que el alumno pueda examinar una materia, conocer la opinión al respecto de otros compañeros y exponer su propia opinión al tiempo que el profesor puede moderar dichos debates y orientarlos. 4. Desarrollo de habilidades y competencias: El modelo educativo que promueve el espacio europeo tiene entre sus objetivos no sólo la transmisión de conocimientos sino el desarrollo en los alumnos de habilidades y competencias que los capaciten como buenos profesionales. Al mismo tiempo se consigue también que el alumno se familiarice con el uso de los medios informáticos, aspecto de gran importancia en la actual sociedad de la información. 5. El componente lúdico: El uso de tecnologías como la mensajería instantánea, los foros, videos, Chats… en muchos casos, actúa como un aliciente para que los alumnos consideren la asignatura interesante. En definitiva, dota a la docencia de un formato más cercano al lenguaje de las nuevas generaciones. 6. Fomento de la comunidad educativa: El uso de plataformas virtuales está ampliando las posibilidades de conexión entre los docentes. Su extensión en el uso puede impulsar en el futuro a la creación de comunidades educativas en las cuales los docentes compartan materiales o colaboren en proyectos educativos conjuntos. DESVENTAJAS 1. Mayor esfuerzo y dedicación por parte del profesor:

7

El uso de plataformas virtuales para la enseñanza supone un incremento en el esfuerzo y el tiempo que el profesor ha de dedicar a la asignatura ya que la plataforma precisa ser actualizada constantemente. 2. Necesidad de contar con alumnos motivados y participativos: El empleo de las herramientas virtuales requiere de alumnos participativos que se involucren en la asignatura. 3. El acceso a los medios informáticos y la brecha informática: La utilización de plataformas virtuales como un recurso de apoyo a la docencia exige que el alumno disponga de un acceso permanente a los medios informáticos. Sin embargo, este aspecto en la sociedad de la información resulta absolutamente esencial.

8

TIPOS DE PLATAFORMAS VIRTUALES

Plataformas Comerciales Son aquellas que para su adquisición hay que realizar un pago para su compra de licencia. No se puede realizar modificación alguna del programa.

Plataformas de Software libre (o de investigación y colaboración) Son aquellas que se pueden adquirir sin costo alguno, de licencia libre y se pueden realizar modificaciones y/o mejoras del programa, la cual debe estar a disposición de cualquier usuario.

Plataformas de Software propio (o a medida) Son aquellas que desarrollan e implementan dentro de la misma Institución Académica. Su finalidad no está dirigida a su comercialización. Se diferencian de las de software libre en que no están pensadas para su distribución masiva a un conjunto de usuarios. Las plataformas de desarrollo propio no persigue objetivos económicos, sino responden más a factores educativos y pedagógicos. No se suelen dar a conocer al público en general. Por tanto, de este último tipo de plataformas se desconoce su número y los estudios sobre ellas prácticamente no existen. Ejemplo: Plataforma Virtual: Unidad de Educación Virtual USAT http://www.usat.edu.pe/usatvirtual/login/index.php

9

CARACTERÍSTICAS, TIPOS Y PLATAFORMAS MÁS UTILIZADAS PARA

ESTUDIAR A DISTANCIA Las plataformas a distancia son espacios virtuales de aprendizaje orientados a facilitar la experiencia de capacitación a distancia, tanto para instituciones educativas como empresas. También se las conoce como plataformas LMS es el acrónimo en inglés de Learning Management System, que podría traducirse como sistemas para la gestión de aprendizaje.

Este sistema permite la creación de «aulas virtuales» donde se produce la interacción entre tutores y alumnos. También se pueden hacer evaluaciones, intercambiar archivos y participar en foros y chats, además de otras muchas herramientas adicionales. Beneficios de las plataformas LMS De entre sus múltiples ventajas destacaríamos las siguientes: Permiten estudiar en cualquier momento el lugar, anulando el problema de las distancias geográficas o temporales y ofreciendo una gran libertad en cuanto a tiempo y ritmo de aprendizaje. Posibilitan la capacitación de las personas con máxima flexibilidad y costos reducidos. Para su uso no se precisan grandes conocimientos (únicamente un nivel básico del funcionamiento de Internet y de las herramientas informáticas). Posibilita un aprendizaje constante y actualizado a través de la interacción entre tutores y alumnos.

10

¿CARACTERÍSTICAS DE LAS PLATAFORMAS LMS? Los componentes o características básicas de todo entorno virtual de aprendizaje, que además deben estar fuertemente ligados e interconectados, de forma que se influyan mutuamente y se retroalimenten pueden sintetizarse en los siguientes: Centralización y automatización de la gestión del aprendizaje. Flexibilidad. La plataforma puede ser adaptada tanto a los planes de estudio de la institución, como a los contenidos y estilo pedagógico de la organización. También permite organizar cursos con gran facilidad y rapidez. Interactividad. La persona se convierte en el protagonista de su propio aprendizaje a través del autoservicio y los servicios autoguiados. Estandarización. Esta característica permite utilizar cursos realizados por terceros, personalizando el contenido y reutilizando el conocimiento. Escalabilidad. Estos recursos pueden funcionar con una cantidad variable de usuarios según las necesidades de la organización. Funcionalidad. Prestaciones y características que hacen que cada plataforma sea adecuada (funcional) según los requerimientos y necesidades de los usuarios. Usabilidad. Facilidad con que las personas pueden utilizar la plataforma con el fin de alcanzar un objetivo concreto. Ubicuidad. Capacidad de una plataforma para generar tranquilidad al usuario y provocarle la certeza de que todo lo que necesita lo va a encontrar en dicho entorno virtual. Integración. Las plataformas LMS deben poder integrarse con otras aplicaciones empresariales utilizadas por recursos humanos y contabilidad, lo que permite medir el impacto, eficacia, y sobre todo, el coste de las actividades de formación. Además de las características generales, hay que tener muy en cuenta que la intención con la que ha sido diseñada la plataforma contribuye muy activamente en su caracterización, en cuestiones como: las bases pedagógicas, los modelos de negocio, los modelos de gestión, las posibilidades tecnológicas de las propuestas o los perfiles de los usuarios finales.

11

PRINCIPALES TIPOS DE PLATAFORMAS A DISTANCIAS En función de su coste de adquisición, las plataformas LMS se dividen en dos grandes tipos: Las plataformas LMS bajo licencia. Las plataformas LMS como recurso educativo abierto. Factores a tener en cuenta en la decisión de compra de una plataforma LMS Esta tipología suele ser el primer argumento a tener en cuenta en la decisión de compra de una plataforma LMS, aunque existen otras muchos factores implicados, por lo que seleccionar la plataforma más adecuada a las necesidades del usuario no es un tarea fácil. Esta situación se agrava teniendo en cuenta que es muy difícil comparar proveedores. Por ejemplo, las opciones de gama alta no garantizan la calidad, y algunas soluciones ofrecen versiones rápidas y fáciles de instalar que tienen una funcionalidad básica, puede que válida para el presente, pero que no ofrecen todo lo que la organización puede necesitar en el futuro. También hay que tener presente la alta tasa de modificaciones, fusiones y consolidaciones en el mercado de LMS. En resumen, aunque cada aplicación es diferente, tanto en la instalación de servicios de fondo y en el nivel de la lógica y los requisitos, existen una serie de factores comunes: Evaluación de la funcionalidad y la intención. Infraestructura. Contenidos: actividades, configuración de los ejercicios, interfaz, interacción, compatibilidad y mantenimiento. Alternativa con coste en la compra o una alternativa sin coste de compra. Plataformas más utilizadas Plataformas bajo licencia Blackboard Entre los sistemas propietarios, es decir plataformas LMS que están bajo licencia, destaca Blackboard. Entre sus principales ventajas se encuentran la posibilidad de que los estudiantes aprendan en función de su propio estilo y ritmo y su gran flexibilidad. La filosofía de trabajo de Blackboard es muy ambiciosa y su equipo de desarrolladores se ha planteado como objetivo trabajar conjuntamente con estudiantes y formadores para convertir el aprendizaje en atractivo, accesible y valioso, replanteándose los actuales sistemas de enseñanza-aprendizaje y avanzando hacia un cuestionamiento y evolución de los métodos actuales. Recursos en abierto Algunas de las plataformas LMS son recursos educativos en abierto, entre éstas destacan: Dokeos Dokeos, es un creador de soluciones de e-learning y una empresa de servicios con un enfoque de ayuda a las empresas, proveedores de formación y las multinacionales con sus proyectos de formación en línea.

12

Con 15 años en el mercado, es un software pionero en técnicas y metodologías en línea en el sector de la educación universitaria en lengua francesa. Dokeos ha incorporado los avances tecnológicos y las oportunidades estratégicas en sus soluciones que permiten la virtualización de servicios y prácticas profesionales. En la oferta de servicios, se adapta a las nuevas necesidades y cambios en las prácticas de negocios: el aprendizaje informal, las redes sociales de negocios, el aumento de la movilidad y la reubicación del personal. Sakai Se trata de una comunidad internacional que colabora para crear tecnología que mejora la enseñanza, el aprendizaje y la investigación. Sakai está constituido a partir de varias organizaciones que incluyen tanto grandes universidades como colegios pequeños, centros de enseñanza primaria y secundaria, hospitales, organizaciones gubernamentales, sociedades de investigación y partidos políticos. El Comité de Gestión del Proyecto Sakai está formado por un grupo de individuos pertenecientes a diversas instituciones que proporcionan la dirección y el liderazgo necesario para la buena dirección del proyecto. Moodle Moodle es una plataforma de aprendizaje diseñada para proporcionar a educadores, administradores y estudiantes un sistema integrado único, robusto y seguro para crear ambientes de aprendizaje personalizados. Es un proyecto dirigido y coordinado por una organización australiana de 30 desarrolladores, que está soportada financieramente por una red mundial de cerca de 60 compañías. Moodle ha impulsado un gran número de ambientes de aprendizaje y tiene la confianza de instituciones y organizaciones grandes y pequeñas, incluyendo a Shell, la Escuela Londinense de Economía (London School of Economics), la Universidad Estatal de Nueva York, Microsoft y la Universidad Abierta del Reino Unido (Open University). El número de actual de usuarios de Moodle a nivel mundial, de más de 65 millones de usuarios lo que la convierte en la plataforma de aprendizaje más utilizada del mundo. Plataformas educativas

La aplicación de las TIC’s a los procesos de enseñanza y aprendizaje, así como los cambios en los modelos pedagógicos, se han visto plasmados en los entornos virtuales de enseñanza y aprendizaje (EVEA). Los EVEA se apoyan en sistemas informáticos que suelen basarse en el protocolo WWW, que incluyen herramientas adaptadas a las necesidades de la institución para la que se desarrollan o adaptan. Estos sistemas reciben el nombre de plataformas educativasy actualmente algunas de ellas están estandarizadas (aunque permiten la adaptación a situaciones concretas), mientras que otras son completamente personalizadas. Las plataformas educativas estandarizadas ofrecen herramientas genéricas que permiten la adaptación a la situación del cliente, respondiendo a las necesidades de su espacio formativo particular mediante ciertas posibilidades de personalización. Actualmente las más conocidas y usadas por las instituciones educativas que han decidido integrar las TIC’s en su modelo pedagógico, CARACTERÍSTICAS DE LAS PLATAFORMAS EDUCATIVAS Ø Son medios que presentan y modifican la información de manera dinámica. Ø Tienen la capacidad de integrar diferentes medios simbólicos (imágenes, símbolos, signos lingüísticos, matemáticos, sonidos). Ø facilidad, rapidez y eficiencia; en el manejo de información.

13

VENTAJAS DE LAS PLATAFORMAS EDUCATIVAS Ø Tener acceso a uno o varios cursos con cuentas únicas. Ø Desde la misma plataforma se puede consultar información y avisos de diferentes cursos. Ø Comunicación entre profesores y alumnos por medio de herramientas de colaboración en línea. Ø Encuestas y exámenes en línea. Ø Seguimiento del desempeño de los alumnos. DESVENTAJAS DE LAS PLATAFORMAS EDUCATIVAS La plataforma existe para marcar distancias, la misma distancia que existe entre la el profesor universitario y su alumnado. También es cierto que en algunos casos estas plataformas son buenos espacios para homogeneizar la comunicación. Está claro es que la plataforma se diseña para conseguir resultados objetivables. La plataforma educativa basa su modelo comunicativo en las teorías conductistas y aleja los avances de la pedagogía crítica en materia de comunicación. Las plataformas no permiten el diálogo, están enfocadas a la resolución de un problema concreto, nunca plantearán preguntas abstractas y auto evaluadoras, sino que se acercarán mucho más a la lógica del examen tipo test. ALGUNAS PLATAFORMAS EXISTENTES

PLATAFORMAS SITIO DE ENLACE EN INTERNET CLAROLINE http://www.claroline.net/ MOODLE http://moodle.org/ TELEDUC http://teleduc.nied.unicamp.br/pagina/index.php

PAPELES DE TRABAJO - DISEÑO DE FORMATOS PARA AUDITORÍA

DISEÑO DE FORMATOS PARA AUDITORÍA DE SISTEMAS

Para la planeación del proceso de auditoría es necesario el diseño de los formatos para el proceso de recolección de información y la presentación de los resultados de la auditoría, estos documentos denominados papeles de trabajo finalmente son organizados por cada proceso evaluado y al final se presenta el dictamen y el informe final de resultados.

A continuación se presentará algunos de los formatos que se usan en el proceso de auditoría FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO Los formatos de fuentes de conocimiento son usados para especificar quienes tiene la información o que documentos la poseen y las pruebas de análisis o ejecución que deberán practicarse en cada proceso que sea evaluado.

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO

REF

ENTIDAD AUDITADA

PAGINA 1 DE 1

PROCESO AUDITADO

RESPONSABLE

MATERIAL DE SOPORTE

COBIT

DOMINIO

PROCESO

14

FUENTES DE CONOCIMIENTO REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION

AUDITOR RESPONSABLE:

En este formato se observa los siguientes campos que deben ser diligenciados por el auditor para cada uno de los procesos evaluados.

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está realizando el proceso de auditoría.

PROCESO AUDITADO: En este espacio se indicara el nombre del proceso objeto de la auditoria, para el caso será Contratación TI.

RESPONSABLE: En este espacio se indicaran los nombres del equipo auditor que está llevando a cabo el proceso de auditoría.

MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material que soporta el proceso, para el caso será COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando.

PROCESO: Espacio reservado para el nombre del proceso en especifico que se está auditando dentro de los dominios del COBIT.

FUENTES DE CONOCIMIENTO: Espacio donde se indicara la fuente de donde proviene la información (documento, plano, manual, entrevista con la persona, otra fuente).

REPOSITORIO DE PRUEBAS APLICABLES: Pruebas que serán aplicadas en cada uno de los procesos de acuerdo a los objetivos de control que pretendan evaluarse.

PRUEBAS DE ANÁLISIS: Las pruebas de análisis hacen referencia a las pruebas que pueden aplicarse en el proceso mediante comparación (benchmarking) o por revisión y análisis documental.

PRUEBAS DE EJECUCIÓN: Las pruebas de ejecución hacen referencia a las pruebas que se pueden hacer en caliente sobre los sistemas o software que se pretende auditar. Estas pruebas generalmente se hacen sobre los sistemas en producción en las auditorías de seguridad (redes, base de datos, seguridad lógica, sistemas operativos), auditorias a la funcionalidad del software y las entradas y salidas del sistema.

FORMATO DE ENTREVISTA

Las entrevistas son una fuente de información importante dentro de la auditoría, en ellas se refleja la opinión de los auditados acerca del tema tratado y en muchas ocasiones las grabaciones son la fuente de evidencia que soporta la auditoría. la entrevista puede aplicarse al inicio de la auditoría para conocer los aspectos generales y durante el proceso de auditoría con la intención de conocer en profundidad el tema evaluado. La entrevista generalmente se aplica solo al personal clave (administrador del sistema, usuarios de mayor experiencia, administrador del área informática, otros).

15



ÁREA O SISTEMA AUDITADO: En este espacio se indicara el área o sistema auditado.

RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor que está llevando a cabo el proceso de auditoría.

OBJETIVO DE LA ENTREVISTA: En este espacio se hace una breve referencia al objetivo que se pretende con la aplicación de la entrevista y el proceso COBIT que se está revisando.

ENTREVISTADO: Espacio destinado al nombre de la persona entrevistada.

CARGO: Espacio destinado para el nombre del cargo de la persona que será entrevistada.

TEMA: Los temas que serán tratados en la entrevista por parte del auditor

PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se indagara.

AUDITORES: Información de quien será el auditor que aplica la entrevista.

FECHA DE APLICACIÓN: Fecha en que se aplica la entrevista

ENTREVISTA I

REF

ENTIDAD AUDITADA PAGINA

DE

AREA AUDITADA

SISTEMA

OBJETIVO ENTREVISTA

ENTREVISTADO

CARGO

TEMA1: 1. ¿PREGUNTA? _________________________________________________________________ _________________________________________________________________ TEMA 2: 2. ¿ ? _________________________________________________________________ _________________________________________________________________ TEMA 3: 3. ¿ ? _________________________________________________________________ _________________________________________________________________

AUDITORES FECHA

APLICACIÓN dd/mm/aaaa

16

FORMATO DE CUESTIONARIO

El formato del cuestionario tiene dos objetivos, en primer lugar la confirmación de los riesgos ya detectados anteriormente y en segundo lugar descubrir nuevos riesgos que aún no se haya detectado. El cuestionario se aplica solamente al personal clave que posee la información para responderlo, por eso es necesario identificar las personas que puedan dar respuesta a los interrogantes planteados en el cuestionario. Las preguntas en el cuestionario son de dos tipos, el primer tipo son las preguntas sobre la existencia de controles o riesgos, y el segundo tipo son las de completitud que tienen por objetivo saber si se esta aplicando completamente los controles o de manera parcial.

Al responder cada una de las preguntas no solamente se debe marcar la respuesta de SI o NO con una XX sino que se debe dar un valor cuantitativo en una escala de 1 a 5, donde el valor más bajo 1,2,3 son valores de la poca importancia de la existencia de controles y 4, 5 que son los valores más altos en la escala significan que tienen mayor importancia para el auditor. Mediante estas calificaciones se trata de medir el grado del riesgo a que se ve expuesto el proceso que está siendo evaluado.

A continuación se muestra el diseño de formatos para los cuestionarios:

ENTIDAD AUDITADA PAGINA

1 DE 1 PROCESO AUDITADO RESPONSABLE MATERIAL DE SOPORTE COBIT DOMINIO PROCESO

PREGUNTA SI NO NA REF FUENTE 1. ¿ ?

2. ¿ ?

TOTALES TOTAL CUESTIONARIO PORCENTAJE DE RIESGO

AUDITOR RESPONSABLE

Este cuestionario cuantitativo está conformado por los siguientes ítems:





DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve referencia al objetivo del proceso seleccionado dentro de los dominios del COBIT que se está revisando.




17


SI – NO: Posibilidades de respuesta cuantitativa (1,2,3,4,5) para medición del nivel de riesgo.

REF: referencia a la evidencia o el hallazgo que se obtuvo después de indagar.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado. El cálculo de este porcentaje se hace de la siguiente forma: Porcentaje de riesgo parcial = (Total SI * 100) / Total Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia.

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización: 1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio

71% - 100% = Riesgo Alto

18

CUESTIONARIO PARA HARDWARE

Aulas De Informática Facultad De Ingeniería

Cuestionario de Control: C1

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Pregunta Si No OBSERVACIONES

¿Se cuenta con un inventario de equipos de cómputo? 4

¿Si existe inventario contiene los siguientes ítems? Número del computador Fecha Ubicación Responsable Características(memoria, procesador, monitor, disco duro) Se lleva una hoja de vida por equipo

¿La hoja de vida del equipo tiene los datos? Numero de hoja de vida Número del computador correspondiente Falla reportada Diagnóstico del encargado Solución que se le dio

5

¿Se posee un registro de fallas detectadas en los equipos? 4

¿En el registro de fallas se tiene en cuenta con los siguientes datos? Fecha Hora Número de registro Número del computador Encargado

¿Al momento de presentar una falla en el equipo, la atención que se presta es? Inmediata De una a 24 horas De un día a 5 días Más de 5 días

De 1 a 5 días

¿Se cuenta con servicio de mantenimiento para todos los equipos?

4 Semestral

¿Qué tipo de mantenimiento se lleva a cabo? Mantenimiento preventivo Mantenimiento correctivo

Correctivo

¿Profesores y/o estudiantes pueden instalar y desinstalar programas en el computador?

4

¿Al finalizar el horario de clase en dichas aulas, se hace una revisión de los equipos?

3

¿El personal que se encarga del mantenimiento es personal capacitado?

4

¿Se lleva un procedimiento para la adquisición de nuevos equipos?

3

¿La infraestructura tecnológica de los equipos soporta la instalación de diferentes sistemas operativos?

3

¿Son compatibles software y hardware? 5 TOTALES 19 20

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa que es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo.

19

Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.


SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.

El cálculo de este porcentaje se hace de la siguiente forma: Porcentaje de riesgo parcial = (Total SI * 100) / Total Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71 Porcentaje de riesgo = 100 – 48.71 = 51.28

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización: 1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio

71% - 100% = Riesgo Alto

RIESGO: Porcentaje de riesgo parcial: 48.71 Porcentaje de riesgo = 51.28 Impacto según relevancia del proceso: Riesgo Medio

20

FORMATO DE HALLAZGOS Una vez los riesgos han sido conformados mediante pruebas y evidaneias, estos riesgos parasn a denominarse hallazgos. Los formatos de los hallazgos son de suma importancia en la auditoría ya que llevan la información de todo el proceso realizado y una descripción de como se esta presentando el riesgo y sus consecuencias para la medición o valoración de los riesgos en el proceso de evaluación de riesgos que se lleva a cabo posteriormente. Además en el formato de hallazgos se puede encontrar la información de las recomendaciones para determinar los posibles controles para mitigarlos.

HALLAZGO

REF

PROCESO AUDITADO Funcionamiento de la red de datos PÁGINA 1 DE 1

RESPONSABLE

MATERIAL DE SOPORTE COBIT DOMINIO

PROCESO

DESCRIPCIÓN:

21

CONSECUENCIAS:

RECOMENDACIONES:

Esta información será desglosada de la siguiente manera: REF: Se refiere al ID del elemento.






REF_PT:

22


HALLAZGO: Aquí se encontrara la descripción de cada hallazgo, así como la referencia al cuestionario cuantitativo que lo soporta.

CONSECUENCIAS Y RIESGOS: En este apartado se encuentra la descripción de las consecuencias del hallazgo así como la cuantificación del riesgo encontrado.

EVIDENCIAS: Aquí encontramos en nombre de la evidencia y el numero del anexo donde ésta se encuentra.

RECOMENDACIONES: En este último apartado se hace una descripción de las recomendaciones que el equipo auditor ha presentado a las entidades auditadas.

23

EJEMPLO HALLAZGOS

Tabla Hallazgo 1

HALLAZGO 1

REF

HHDN_O1

PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos

PÁGINA 1 DE 1

RESPONSABLE Francisco Solarte

MATERIAL DE SOPORTE

COBIT

DOMINIO Planear y Organizar (PO)

PROCESO Definir un plan estratégico de TI (PO1)

DESCRIPCIÓN:

No existe un grupo encargado de evaluar y estudiar el desempeño de la red de datos en su aspecto físico. No existen políticas ni procedimientos relacionados con la conformación adecuada de la arquitectura y del aspecto físico de la red de datos. Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la red de datos ni los procedimientos que se realizaran por parte de los funcionarios.

REF_PT:

CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1) E_AUDIO/A_CHDN_01 CONSECUENCIAS: Al no existir un grupo encargado de evaluar y estudiar el desempeño del aspecto físico de la red de datos se pierde la claridad para tomar decisiones pertinentes en caso de un desempeño no aceptado de la red de datos. Al no existir políticas ni procedimientos relacionados con la conformación de la arquitectura y del aspecto físico de la red de datos se pierde la opción de ajustar a las condiciones adecuadas que necesita la entidad los servicios de red de datos.

RIESGO: Probabilidad de ocurrencia: Media Impacto según relevancia del proceso: Moderado

RECOMENDACIONES:

Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la red física de datos para con ello tomen decisiones oportunas y adecuadas en la eventualidad de no cumplir objetivos planteados. Elaborar e implementar políticas y procedimientos relacionados con la conformación de la arquitectura y del aspecto físico de la red de datos para ajustar los servicios de red a las necesidades propias que necesite la entidad.

24

El programa de auditoría hace referencia a la programación de las actividades y asignación de los procesos a auditar a cada uno de los miembros del equipo auditor, por lo tanto inicialmente se debe determinar el estándar que se va a aplicar, quienes serán los miembros del equipo auditor y la especialidad de cada uno de ellos, y posteriormente se hace la asiganación de las tareas para cada uno de ellos. Para este caso se usará el estándar CobIT 4.1 de donde se tomará los procesos y objetivos de control relacionados directamente con el objetivo general y alcances que fueron determinados en el plan de auditoría. Cabe mencionar que dentro de cada proceso existen varios objetivos de control y que no se debe seleccionar solo un objetivo de control sino que pueden ser todos o aquellos que más estén relacionados con los alcances de la auditoría. Ejemplo de programa de auditoría para un sistema de información. Inicialmente hay que tener en cuenta el plan de auditoría porque allí se tiene el objetivo que se pretende en la auditoría y los alcances de cada uno de los ítem evaluados.

Plan de auditoría

Objetivo general: Evaluar el sistema de información de usado para el sistema de matrícula para garantizar la seguridad en cuanto a confidencialidad, integridad y disponibilidad que permitan el mejoramiento del sistema de control existente.

Alcances: En cuanto a los alcances de la auditoría se trabajará el módulo de matrícula académica en línea, incluyendo los procesos de registro y control, y el sistema de control interno que maneja la dependencia para la protección de los datos e información.

Del módulo de matrícula académica se evaluará: Asignaturas a matricular del Pensum, Asignaturas a matricular de formación humanística, Matricular idiomas extranjeros, Cancelación de asignaturas del Pensum, Cancelación de formación humanísticas, Cancelación idiomas extranjeros, Autorizaciones, Reporte de Matrícula, Actualización de información, Calificaciones, Calendario Horarios, Horarios Humanística.

En cuanto al hardware: En cuanto al hardware se evaluará el inventario de hardware de servidores, equipos y redes, incluyendo los procesos mantenimiento, adquisición y actualización de los mismos.

En cuanto al sistema: En cuanto al sistema se evaluará la funcionalidad, procesamiento, seguridad perimetral del sistema, seguridad interna del sistema, entradas y salidas generadas por el sistema, calidad de los datos de entrada, la configuración del sistema, la administración del sistema, planes de contingencias.

En cuanto a la operatividad del sistema: En cuanto a la operatividad del sistema se evaluará los usuarios que manejan la información, la administración del sistema y el monitoreo del sistema. Teniendo en cuenta el objetivo y los alcances especificados anteriormente, y una vez seleccionado el estándar a trabajar (CobIT 4.1), se selecciona los dominios y procesos del estándar que tengan relación directa con el objetivo y los alcances. PROGRAMA DE AUDITORÍA Para realizar el proceso de auditoría al Sistema de información de Registro y control académico, se utilizará el estándar de mejores práctica en el uso de Tecnología de información (TI) COBIT (Objetivos de Control para la Información y Tecnologías Relacionadas), donde se especifica el dominio, el proceso y los objetivos de control que

25

se debe trabajar en relación directa con el objetivo y alcances, dentro de ellos se elegiría los siguientes: Dominio: Planeación Y Organización (PO). Este dominio cubre las estrategias y las tácticas, tiene que ver con identificar la manera en que las tecnologías de información pueden contribuir de la mejor manera al logro de los objetivos de una entidad.

Los procesos seleccionados que se revisará y los objetivos de control a verificar son los siguientes:

Proceso: PO1 Definir un Plan Estratégico de TI: La definición de un plan estratégico de tecnología de información, permite la gestión y dirección de los recursos de TI de acuerdo a las estrategias y requerimientos de la dependencia.

Los objetivos de control relacionados con los alcances de la auditoría son los siguientes:

PO1.3 Evaluación del desempeño y la capacidad actual: La dependencia de registro y control académico mantiene una evaluación periódica del desempeño de los planes institucionales y de los sistemas de información encaminados a la contribución del cumplimiento de los objetivos de la dependencia.

PO2 Definir la Arquitectura de la Información: Permite definir un modelo de información, con el fin de integrar de forma transparente las aplicaciones dentro de los procesos de la dependencia.

Los objetivos de control que se evaluaran son los siguientes:

PO2.2 Diccionario de datos y reglas de sintaxis de datos: Es necesario la existencia de un diccionario de datos del sistema en la dependencia y las actualizaciones que se hayan realizado al mismo en las actualizaciones del sistema de acuerdo a los nuevos requerimientos.

PO2.3 Esquema de clasificación de los datos: Se debe establecer un marco de referencia de los datos, clasificándolos por categorías, y con la definición de normas y políticas de acceso a dichos datos.

PO2.4 Administración de la integridad de datos: Los desarrolladores de la aplicación deben garantizar la integridad y consistencia de los datos almacenados mediante la creación de procesos y procedimientos.

PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de sistemas debe estar claro y definido el personal de la tecnología de la información, los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento de servicios que satisfagan los objetivos de la Institución.

Los objetivos de control que se evaluarán son los siguientes:

PO4.6 Establecer roles y responsabilidades: Evaluar el comportameinto de los roles y las responsabilidades definidas para el personal de TI, el el área informática (administradores de la red. administrador de sistema, supervisor de los indicadores de cumplimiento, otros)

PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se debe asignar la responsabilidad para el desempñeo de la función de aseguramiento de la calidad (QA) proporcionando el grupo QA del área informática los controles y la experiencia para comunicarlos. Ademas se debe asegurar que la ubicación organizacional, la responsabilidades y el tamaño del grupo de QA satisfacen los requerimientos de la dependencia.

PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento: Se debe establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado. Definir y asignar roles críticos para administrar los riesgos de TI, incluyendo la responsabilidad específica de la seguridad de la información, la

26

seguridad física y el cumplimiento. Establecer responsabilidad sobre la adminsitración del riesgo y la seguridad a nivel de toda la dependencia para manejar los problemas a nivel institucional. Es necesario asignar responsabilidades adicionales de administración de la seguridad a nivel del sistema específico para manejar problemas relacionados con la seguridad.

PO4.9 Propiedad de datos y del sistema: Proporcionar a la dependencia de registro y control los procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad sobre los datos y los sistemas de información.

PO4.13 Personal clave de TI: Definir e identificar el personal clave de TI y minimizar la dependencia de una sola persona desempeñando la función de trabajo crítico.

PO8 Administrar la Calidad: Se debe elaborar y mantener un sistema de administración de calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se facilita por medio de la planeación, implantación y mantenimiento del sistema de administración de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de desviaciones y la comunicación de los resultados a los interesados. La administración de calidad es esencial para garantizar que TI está dando valor a la información de la dependencia, mejora continua y transparencia para los interesados.

Los objetivos de control que serán evaluados son los siguientes:

PO8.3 Estándares de desarrollo y de adquisición: Adoptar y mantener estándares para desarrollo y adquisición que siga el ciclo de vida, hasta los entregables finales incluyendo la aprobación o no en puntos clave con base en los criterios de aceptación acordados. Los temas a considerar incluyen los estándares de codificación del software, normas de nomenclatura, los formatos de archivos, estándares de diseño para los esquemas y diccionarios de datos, estándares para interfaz de usuario, inter operatividad, eficiencia en el desempaño del sistema, escalabilidad, estándares para el desarrollo y pruebas, validación de los requerimientos, planes de pruebas, pruebas unitarias, y de integración.

PO8.5 Mejora continua: Mantener y comunicar regularmente un plan global de calidad que promueva la mejora continua.

PO9 Evaluar y administrar los riesgos de TI: Encargado de identificar, analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de la dependencia, con el objetivo de asegurar el logro de los objetivos de TI.

PO9.1 Marco de trabajo de administración de riesgos: Se debe establecer un marco de referencia de evaluación sistemática de riesgos que contenga una evaluación regular de los riesgos de la parte física de las comunicaciones, servidores y equipos con indicadores de cumplimiento.

PO9.3 Identificación de eventos: Identificar los riesgos (una amenaza explota las vulnerabilidades existentes), clasificándolas si son relevantes y en qué medida afectan al área informática y la dependencia de registro y control donde se maneja el sistema de información.

PO9.4 Evaluación de los riesgos de TI: Medir los riesgos a través de la evaluación periódica de la probabilidad e impacto de los riesgos identificados, usando métodos cuantitativos y cualitativos, que permitan la medición del riesgo encontrado.

PO9.5 Respuesta a los riesgos: Definir un plan de acción contra riesgos, el proceso de respuesta a riesgos debe identificar las estrategias tales como evitar, reducir, compartir o aceptar los riesgos determinando los niveles de tolerancia a los riesgos y los controles para mitigarlos.

PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos: Priorizar y planear las actividades de control y respuesta a la solución de riesgos encontrados, teniendo en

27

cuenta también la parte económica de la solución de esta prioridad. Monitorear la ejecución de los planes y reportar cualquier desviciación a la alta dirección.

Dominio: Adquirir e implementar (AI) Para llevar a cabo la estrategia TI, se debe identificar las soluciones, desarrollarlas y adquirirlas, así como implementarlas e integrarlas en la empresa, esto para garantizar que las soluciones satisfaga los objetivos de la empresa. De este dominio se ha seleccionado los siguientes procesos y objetivos de control: AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones deben estar disponibles de acuerdo con los requerimientos de la dependencia. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite apoyar la operatividad de la dependencia de forma apropiada con las aplicaciones automatizadas correctas.

AI2.1 Diseño de Alto Nivel: Traducir los requerimientos a una especificación de diseño de alto nivel para la adquisición de software, teniendo en cuenta las directivas tecnológicas y la arquitectura de información dentro de la dependencia. Tener aprobadas las especificaciones de diseño por la dependencia para garantizar que el diseño de alto nivel responde a los requerimientos. Reevaluar cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.

AI2.2 Diseño Detallado: Preparar el diseño detallado y los requerimientos técnicos del software de aplicación. Definir el criterio de aceptación de los requerimientos. Aprobar los requerimientos para garantizar que corresponden al diseño de alto nivel. Realizar reevaluaciones cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.

AI2.3 Control y Posibilidad de Auditar las Aplicaciones: Implementar controles de aplicación automatizados tal que el procesamiento sea exacto, completo, oportuno, autorizado y auditable.

AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la seguridad de las aplicaciones y los requerimientos de disponibilidad en respuesta a los riesgos identificados y en línea con la clasificación de datos, la arquitectura de la información, la arquitectura de seguridad de la información y la tolerancia a riesgos de la organización.

AI2.5 Configuración e Implantación de Software Aplicativo Adquirido: Configurar e implementar software de aplicaciones adquiridas para conseguir los objetivos de negocio.

AI2.6 Actualizaciones Importantes en Sistemas Existentes: En caso de cambios importantes a los sistemas existentes que resulten en cambios significativos al diseño actual y/o funcionalidad, seguir un proceso de desarrollo similar al empleado para el desarrollo de sistemas nuevos.

AI2.7 Desarrollo de Software Aplicativo: Garantizar que la funcionalidad de automatización se desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo y documentación, los requerimientos de calidad y estándares de aprobación. Asegurar que todos los aspectos legales y contractuales se identifican y direccionan para el software aplicativo desarrollado por terceros.

AI2.9 Administración de los Requerimientos de Aplicaciones: Seguir el estado de los requerimientos individuales durante el diseño, desarrollo e implementación, y aprobar los cambios a los requerimientos a través de un proceso de gestión de cambios establecido.

AI2.10 Mantenimiento de Software Aplicativo: Desarrollar una estrategia y un plan para el mantenimiento de aplicaciones de software.

28

AI3 Adquirir y Mantener Infraestructura Tecnológica: Las Dependencias deben contar con procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un soporte tecnológico en la organización.

AI3.1 Plan de Adquisición de Infraestructura Tecnológica: Generar un plan para adquirir, Implementar y mantener la infraestructura tecnológica que satisfaga los requerimientos establecidos funcionales y técnicos que esté de acuerdo con la dirección tecnológica de la dependencia. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. Evaluar los costos de complejidad y la viabilidad del software al añadir nueva capacidad técnica.

AI3.2 Protección y Disponibilidad del Recurso de Infraestructura: Implementar medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del hardware y del software de la infraestructura para proteger los recursos y garantizar su disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran los componentes de infraestructura. Se debe monitorear y evaluar su uso.

AI3.3 Mantenimiento de la Infraestructura: Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento de administración de cambios de la dependencia. Incluir una revisión periódica contra las necesidades, administración de parches y estrategias de actualización, riesgos, evaluación de vulnerabilidades y requerimientos de seguridad.

AI3.4 Ambiente de Prueba de Factibilidad: Establecer el ambiente de desarrollo y pruebas para soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e infraestructura, en las primeras fases del proceso de adquisición y desarrollo. Hay que considerar la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño, migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.

AI6 Administrar cambios: Para realizar algún cambio bien sea de software, de hardware de comunicaciones o de servidores, debe existir un proceso que administre formalmente y controladamente dichos cambios, cada cambio debe seguir un proceso de recepción, evaluación, prioridad y autorización previo a la implantación, sin obviar la constatación o revisión después del cambio, esto con el fin de reducir riesgos que impacten negativamente la estabilidad o integridad del ambiente del buen funcionamiento de las comunicaciones y servidores.

AI6.3 Cambios de emergencia: La Dependencia debe tener establecido un proceso para definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación del cambio de emergencia.

AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer un seguimiento a través de un reporte de las solicitudes de cambio, de solución y autorización.

AI6.5 Cierre y documentación del cambio: Establecer un proceso de revisión para garantizar la implantación completa de los cambios.

Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar la entrega de los servicios requeridos por la empresa, dentro de este dominio se evaluará los siguientes procesos y objetivos de control:

DS4 Garantizar la Continuidad del Servicio: Es importante que dentro de la dependencia se garantice la continuidad de los servicios de TI, para ello es importante

29

desarrollar, mantener y probar planes de continuidad y así asegurar el mínimo impacto en caso de una interrupción de servicios TI, esto se logra con el desarrollo y mantenimiento (mejorado) de los planes de contingencia de TI, con entrenamiento y pruebas de los planes de contingencia de TI y guardando copias de los planes de contingencia.

DS4.2 Planes de continuidad de TI: La metodología de continuidad debe ser diseñado para reducir el impacto de un desastre, debe presentar diferentes alternativas de recuperación inmediata de los servicios, también debe cubrir los lineamientos de uso, los roles y responsabilidades, los procedimientos, los procesos de comunicación y el enfoque de pruebas.

DS4.3 Recursos críticos de TI: Revisar si se lleva un control de los planes de continuidad, de acuerdo al nivel de prioridad, asegurarse de que la respuesta y la recuperación están alineadas con las necesidades prioritarias de la dependencia y considerar los requerimientos de resistencia, respuesta y recuperación para diferentes niveles de prioridad.

DS4.4 Mantenimiento del plan de continuidad de TI: Se debe mantener el plan de continuidad activo, vigente y actualizado y que refleje de manera continua los requerimientos actuales del Área Informática y de la dependencia de registro y control.

DS4.5 Pruebas del plan de continuidad de TI: Es importante que dentro de la dependencia el plan de continuidad sea conocido por todas las partes interesadas, es esencial que los cambios en los procedimientos y las responsabilidades sean comunicados de forma clara y oportuna. Hacer pruebas de continuidad de forma regular para asegurar que los procesos de TI pueden ser recuperados de forma efectiva y así probar que el plan es efectivo o sino corregir deficiencias en el plan, y así ejecutar un plan de acción para permitir que el plan permanezca aplicable.

DS4.6 Entrenamiento del plan de continuidad de TI: La organización debe asegurarse que todos las partes involucradas reciban capacitaciones de forma regular respecto a los procesos y sus roles y responsabilidades en caso de incidente o desastre. Verificar e incrementar el entrenamiento de acuerdo con los resultados de las pruebas de contingencia.

DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones: Almacenar fuera de las instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos, necesarios para la recuperación de TI y para los planes de continuidad de la dependencia. El contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de los procesos de la dependencia y el personal de TI. La administración del sitio de almacenamiento externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de almacenamiento de datos de la organización. Las directivas de TI debe asegurar que los acuerdos con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del hardware y del software para poder recuperar los datos archivados y periódicamente probar y renovar los datos archivados.

DS4.10 Revisión Post Reanudación: Una vez lograda una exitosa reanudación de las funciones de TI después de un desastre, determinar si las directivas de TI ha establecido procedimientos para valorar lo adecuado del plan y actualizar el plan en consecuencia.

DS5 Garantizar la seguridad de los sistemas: Garantizar la protección de la información e infraestructura de TI con el fin de minimizar el impacto causado por violaciones o debilidades de seguridad de la TI.

Los objetivos de control que se evaluarán son los siguientes:

DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la dependencia, riesgos y cumplimiento dentro de un plan de seguridad de TI completo, teniendo en consideración la infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta implementado en las políticas y procedimientos de seguridad junto con las

30

inversiones apropiadas en los servicios, personal, software y hardware. Comunicar las políticas y procedimientos de seguridad a los interesados y a los usuarios.

DS5.3 Administración de Identidad: Asegurar que todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (Entorno de TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con las necesidades del módulo definidas y documentadas y que los requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.

DS5.4 Administración de Cuentas del Usuario: Garantizar que la solicitud, establecimiento, emisión, suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por un conjunto de procedimientos. Debe incluirse un procedimiento de aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores, usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relativos al acceso a los sistemas e información del módulo deben acordarse contractualmente para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y los privilegios asociados.

DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe ser re-acreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema (loggin) y de monitoreo permite la detección oportuna de actividades inusuales o anormales que pueden requerir atención.

DS5.6 Definición de Incidente de Seguridad: Implementar procedimientos para atender casos de incidentes, mediante el uso de una plataforma centralizada con suficiente experiencia y equipada con instalaciones de comunicación rápidas y seguras. Igualmente establecer las responsabilidades y procedimientos para el manejo de incidentes.

DS5.7 Protección de la Tecnología de Seguridad: Garantizar que la tecnología relacionada con la seguridad sea resistente al sabotaje y no revele documentación de seguridad innecesaria.

DS5.8 Administración de Llaves Criptográficas: Asegurar que la información de transacciones (datos, password, llaves criptográficas) es enviada y recibida por canales confiables (trustedpaths), mediante encriptamiento de sistemas y usuarios.

DS5.9 Prevención, Detección y Corrección de Software Malicioso: Garantizar procedimientos para el manejo y corrección de problemas ocasionados por software malicioso generalmente en el caso de virus.

DS5.10 Seguridad de la Red: En la organización al existir conexión a la red de internet se debe implementar el uso de técnicas de seguridad y procedimientos de administración asociados como firewalls, para proteger los recursos informáticos y dispositivos de seguridad.

DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este proceso incluye la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un programa efectivo de

31

entrenamiento incrementa el uso efectivo de la tecnología al disminuir los errores, incrementando la productividad y el cumplimiento de los controles clave tales como las medidas de seguridad de los usuarios.

Para ello se tomaran en cuenta los siguientes objetivos de control:

DS7.1 Identificación de Necesidades de Entrenamiento y Educación: Establecer y actualizar de forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que incluya: Implementar procedimientos junto con el plan de largo plazo, valores sistémicos (valores éticos, cultura de control y seguridad, otros), implementación de nuevo software e infraestructura de TI (paquetes y aplicaciones), perfiles de competencias y certificaciones actuales y/o credenciales necesarias, metodos de impartir la capacitación, tamaño del grupo, accesibilidad y tiempo.

DS7.3 Evaluación del Entrenamiento Recibido: Al finalizar el entrenamiento, evaluar el contenido del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y retención del conocimiento, costo y valor. Los resultados de esta evaluación deben contribuir en la definición futura de los planes de estudio y de las sesiones de entrenamiento.

DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar que cualquier problema experimentado por los usuarios o estudiantes sea atendido apropiadamente realizando una mesa de ayuda que proporcione soporte y asesoría de primera línea.

DS8.1 Mesa de Servicios: Establecer la función de mesa de servicio, la cual es la conexión del usuario con TI, para registrar, comunicar, atender y analizar todas las llamadas, incidentes reportados, requerimientos de servicio y solicitudes de información. Deben existir procedimientos de monitoreo y escalamiento basados en los niveles de servicio acordados en los SLAs, que permitan clasificar y priorizar cualquier problema reportado como incidente, solicitud de servicio o solicitud de información. Medir la satisfacción del usuario final respecto a la calidad de la mesa de servicios y de los servicios de TI.

DS8.3 Escalamiento de Incidentes: Establecer procedimientos de mesa de servicios de manera que los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de acuerdo con los límites acordados en el SLA y, si es adecuado, brindar soluciones alternas. Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa de servicios, independientemente de qué grupo de TI esté trabajando en las actividades de resolución.

DS8.4 Cierre de Incidentes: Establecer procedimientos para el monitoreo puntual de la resolución de consultas de los usuarios. Cuando se resuelve el incidente la mesa de servicios debe registrar la causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el usuario.

DS8.5 Análisis de Tendencias: Emitir reportes de la actividad de la mesa de servicios para permitir a la dependencia medir el desempeño del servicio y los tiempos de respuesta, así como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma continua.

DS9 Administración de la Configuración: Mantener un depósito centralizado donde se almacene la información de configuración de software y hardware, ofreciendo así mayor disponibilidad a los usuarios y administradores del sistema, además de mantener un inventario actualizado de la existencia física de TI.

El objetivo de control que se evalúa es el siguiente:

DS9.3 Revisión de Integridad de la Configuración: El Área Informática debe revisar periódicamente los datos de configuración para verificar y confirmar la integridad de la configuración actual y ejecuta rutinas de revisión de software instalado para establecer inconsistencias o desviaciones que perjudiquen los intereses de la organización o que violen políticas de uso.

32

DS12 Administración del Ambiente Físico: La protección del equipo de cómputo y del personal, requiere de instalaciones bien diseñadas y bien administradas. El proceso de administrar el ambiente físico incluye la definición de los requerimientos físicos del centro de datos (site), la selección de instalaciones apropiadas y el diseño de procesos efectivos para monitorear factores ambientales y administrar el acceso físico. La administración efectiva del ambiente físico reduce las interrupciones del módulo ocasionadas por daños al equipo de cómputo y al personal.

DS12.1 Selección y Diseño del Centro de Datos: Registro y control y el Área Informática deben definir y seleccionar los centros de datos físicos para el equipo de TI para soportar la estrategia de tecnología ligada a la estrategia del negocio. Esta selección y diseño del esquema de un centro de datos debe tomar en cuenta el riesgo asociado con desastres naturales y causados por el hombre. También debe considerar las leyes y regulaciones correspondientes, tales como regulaciones de seguridad y de salud en el trabajo.

DS12.2 Medidas de Seguridad Física: Evaluar las medidas de seguridad físicas alineadas con los requerimientos de la organización. Las medidas deben incluir, zonas de seguridad, la ubicación de equipo crítico y de las áreas de envío y recepción. En particular mantenga un perfil bajo respecto a la presencia de operaciones críticas de TI. Deben establecerse las responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física.

DS12.3 Acceso Físico: Evaluar e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y áreas de emergencias. El acceso a locales, edificios y áreas debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que accedan a las instalaciones, incluyendo personal, estudiantes, visitantes o cualquier tercera persona.

DS12.4 Protección Contra Factores Ambientales: Diseñar e implementar medidas de protección contra factores ambientales. Deben instalarse dispositivos y equipo especializado para monitorear y controlar el ambiente.

DS12.5 Administración de Instalaciones Físicas: Se debe administrar las instalaciones, incluyendo el equipo de comunicaciones y de suministro de energía, de acuerdo con las leyes y los reglamentos, los requerimientos técnicos y de la institución, las especificaciones del proveedor y los lineamientos de seguridad y salud.

DS13 Administración de Operaciones: Se requiere de una efectiva administración protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware en la organización.

Para ello se evalua el siguiente objetivo de control:

DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los procedimientos para garantizar el mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas o de la disminución del desempeño.

Dominio Monitorear Y Evaluar (ME). Todos los procesos del módulo de matrícula necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad, por tal se evaluara el sigueinte proceso:

ME2 Monitorear y Evaluar el Control Interno: Se debe proporcionar e incrementar los niveles de confianza entre la organización, empleados y clientes con respecto a las operaciones eficientes y efectivas dentro del módulo.

ME2.3 Excepciones de Control: Identificar los incidentes, analizar e identificar sus causas raíz subyacentes para establecer acciones correctivas necesarias y verificar si los resultados de los controles, son reportados y analizados rápidamente, para evitar errores e inconsistencias y que sean corregidos a tiempo.

33

Finalmente se establecerá las responsabilidades de cada integrante del grupo auditor respecto a los procesos que serán evaluados y se crea un cronograma de las actividades de evaluación que se realizarán en el proceso de auditoría.

RECOLECCIÓN DE INFORMACIÓN PARA AUDITORÍA INFORMÁTICA Y DE SISTEMAS

OBSERVACIÓN Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del área informática y los sistemas software, permite recolectar la información directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el área. En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área informática y los sistemas de una organización con el propósito de percibir, examinar, o analizar los eventos que se presentan en el desarrollo de las actividades del área o de un sistema que permita evaluar el cumplimiento de las funciones, operaciones y procedimientos. ENTREVISTAS Esta técnica es la más utilizada por los auditores ya que a través de esta se obtiene información sobre lo que está auditando, además de tips que permitirán conocer más sobre los puntos a evaluar o analizar. La entrevista en general es un medio directo para la recolección de información para la captura de los datos informados por medio de grabadoras digitales o cualquier otro medio. En la entrevista, el auditor interroga, investiga y conforma directamente sobre los aspectos que se está auditando. En su aplicación se utiliza una guía general de la entrevista, que contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando para profundizar y preguntar sobre el tema. CUESTIONARIOS Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado. ENCUESTAS Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre otros juicios de la función informática. No existen reglas para el uso de las encuestas, solo los que regulan los aspectos técnicos y estadísticos tales como la elección del universo y la muestra, que se contemplan dentro de la aplicación de métodos probabilísticas y estadísticos para hacer la mejor elección de las muestras y recolección de opiniones. INVENTARIOS Consiste en hacer el recuento físico de lo que se está auditando, con el fin de compararla con la que existe en los documentos en la misma fecha. Consiste en comparar las cantidades reales existentes con las que debería haber para comprobar que sean iguales, de lo contrario iniciar la investigación de la diferencia para establecer las causas. Con la aplicación de esta herramienta de la auditoria tradicional, el auditor de sistemas también puede examinar las existencias de los elementos disponibles para el funcionamiento del área informática o del sistema, contabilizando los equipos de cómputo, la información y los datos de la empresa, los programas, periféricos, consumibles, documentos, recursos informáticos, y demás aspectos que se desee

34

conocer, con el fin de comparar la cantidad real con las existencias que se registra en los documentos.

TÉCNICAS E INSTRUMENTOS PARA REALIZAR AUDITORIA INFORMÁTICA Y DE SISTEMAS A LAS PLATAFORMAS EDUCATIVAS

EVALUACIÓN Consiste en analizar mediante pruebas la calidad y cumplimiento de funciones, actividades y procedimientos que se realizan en una organización o área. Las evaluaciones se utilizan para valorar registros, planes, presupuestos, programas, controles y otros aspectos que afectan la administración y control de una organización o las áreas que la integran. La evaluación se aplica para investigar algún hecho, comprobar alguna cosa, verificar la forma de realizar un proceso, evaluar la aplicación de técnicas, métodos o procedimientos de trabajo, verificar el resultado de una transacción, comprobar la operación correcta de un sistema software entre otros muchos aspectos. INSPECCIÓN La inspección permite evaluar la eficiencia y eficacia del sistema, en cuanto a operación y procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo. La inspección se realiza a cualquiera de las actividades, operaciones y componentes que rodean los sistemas. CONFIRMACIÓN El aspecto más importante en la auditoria es la confirmación de los hechos y la certificación de los datos que se obtienen en la revisión, ya que el resultado final de la auditoria es la emisión de un dictamen donde el auditor expone sus opiniones, este informe es aceptado siempre y cuando los datos sean veraces y confiables. No se puede dar un dictamen en base a suposiciones o emitir juicios que no sean comprobables. COMPARACIÓN Otra de las técnicas utilizadas en la auditoria es la comparación de los datos obtenidos en un área o en toda la organización y cotejando esa información con los datos similares o iguales de otra organización con características semejantes. En auditoria a los sistemas software se realiza la comparación de los resultados obtenidos con el sistema y los resultados con el procesamiento manual, el objetivo de dicha comparación es comprobar si los resultados son iguales, o determinar las posibles desviaciones, y errores entre ellos. REVISIÓN DOCUMENTAL Otra de las herramientas utilizadas en la auditoria es la revisión de documentos que soportan los registros de operaciones y actividades de una organización. Aquí se analiza el registro de actividades y operaciones plasmadas en documentos y archivos formales, con el fin de que el auditor sepa cómo fueron registrados las operaciones, resultados y otros aspectos inherentes al desarrollo de las funciones y actividades normales de la organización. En esta evaluación se revisan manuales, instructivos, procedimientos, funciones y actividades. El registro de resultados, estadísticas, la interpretación de acuerdos, memorandos, normas, políticas y todos los aspectos formales que se asientan por escrito para el cumplimiento de las funciones y actividades en la administración de las organizaciones.

35

MATRIZ DE EVALUACIÓN Es uno de los documentos de mayor utilidad para recopilar información relacionada con la actividad, operación o función que se realiza en el área informática, así como también se puede observar anticipadamente su cumplimiento. La escala de valoración puede ir desde la mínima con puntaje 1 (baja, deficiente) hasta la valoración máxima de 5(superior, muy bueno, excelente). Cada una de estas valoraciones deberá tener asociado la descripción del criterio por el cual se da ese valor. Esta matriz permite realizar la valoración del cumplimiento de una función específica de la administración del centro de cómputo, en la verificación de actividades de cualquier función del área de informática, del sistema software, del desarrollo de proyectos software, del servicio a los usuarios del sistema o cualquier otra actividad del área de informática en la organización. MATRIZ DOFA Este es un método de análisis y diagnóstico usado para la evaluación de un centro de cómputo, que permite la evaluación del desempeño de los sistemas software, aquí se evalúan los factores internos y externos, para que el auditor puede evaluar el cumplimiento de la misión y objetivo general del área de informática de la organización. CONCEPTOS APLICABLES A LA AUDITORÍA CONTROL “Es el conjunto de normas, técnicas, acciones y procedimientos que interrelacionados e interactuando entre sí con los sistemas y subsistemas organizacionales y administrativos, permite evaluar, comparar y corregir aquellas actividades que se desarrollan en las organizaciones, garantizando la ejecución de los objetivos y el logro de las metas institucionales”[1]. CONTROL INTERNO Se ejerce con el fin de lograr el cumplimiento de los objetivos de la empresa, y es el proceso que se realiza al interior de ellas y es impulsado por las directivas y administradores quien designa para que lo ejerza a una persona que posee la suficiente ética, moral y formación académica que le amerita credibilidad. CONTROL EXTERNO Es aquel ejercido por personal externo a la empresa y su propósito es evaluar en qué proporción las metas y objetivos trazados en las políticas, planes, programas por la administración de la misma se están cumpliendo. CONTROL INTERNO INFORMÁTICO El establecimiento de controles internos en el área informática y los sistemas de información es muy importante y ayuda a la evaluación de la eficiencia y eficacia de la gestión administrativa, dependiendo de los objetivos que se pretenda con dichos controles. Además el control interno es indispensable en la protección de los bienes y el buen desarrollo de las actividades y operación de los sistemas. A través del control interno se pretende la aplicación de los siguientes objetivos específicos:

Establecer como prioridad la seguridad y protección de los bienes informáticos, la información y los sistemas de información.

36

Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su procesamiento y la emisión de reportes en la empresa.

Implementar los métodos, técnicas y procedimientos necesarios para contribuir al desarrollo eficiente de las funciones, actividades, y tareas de los servicios que presta el área informática para satisfacer las necesidades de la empresa.

Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de sistematización de la empresa.

Establecer acciones necesarias para el buen desarrollo del software, a fin de que presten un buen servicio en la empresa. PAPELES DE TRABAJO Son la herramienta y soporte en la planeación, organización y coordinación del examen de auditoría, y a su vez brindan respaldo a la opinión del auditor. Estos se preparan de acuerdo al criterio, experiencia y preferencia del auditor y se organizan teniendo en cuenta su uso y contenido. Según José Dagoberto Pinilla[1] Define los papeles de trabajo así: “comprende el conjunto de cédulas preparadas por el auditor y/o personal colaborador, con motivo del desarrollo del programa de auditoría para obtener evidencia comprobatoria suficiente y competente, que sirva como base objetiva para emitir una opinión independiente sobre el objeto auditado”. Los papeles de trabajo son registros que mantiene el auditor de los procedimientos aplicados, pruebas desarrolladas, información obtenida y conclusiones pertinentes a que se llegó en el trabajo. Algunos ejemplos de papeles de trabajo son los programas de auditoría, los análisis, los memorandos, las cartas de confirmación y declaración, resúmenes de documentos de la compañía y cédulas o comentarios preparados u obtenidos por el auditor. Los papeles de trabajo también pueden obtener la forma de información almacenada en cintas, películas u otros medios. OBJETIVOS DE LOS PAPELES DE TRABAJO Proporcionar la información básica y fundamental necesaria para facilitar la planeación, organización y desarrollo de todas las etapas del proceso de auditoría. Respaldar la opinión del auditor permitiendo realizar un examen de supervisión y proporcionando los informes suficientes y necesarios que serán incluidos en el informe de auditoría, además, sirve como evidencia en caso de presentarse alguna demanda. Permiten demostrar si el trabajo del auditor fue debidamente planeado, determinando su eficiencia y eficacia. Permiten establecer un registro histórico disponible permanentemente en caso que se presente algún requerimiento. Servir como punto de referencia para posteriores auditorías. Servir de puente entre el informe de auditoría y las áreas auditadas. TIPOS DE PAPELES DE TRABAJO

Archivo permanente: La información que aquí se almacena cubre varios períodos de la auditoria y son de utilidad en exámenes posteriores, representando interés para el administrador de la aplicación y fuente de consulta de aspectos como la naturaleza y justificación de la aplicación, reseña de la aplicación, estructura organizacional respecto

37

al manejo de la aplicación, interacción con otras aplicaciones, documentación de entrada y salidas, diccionario de datos, programas, menús, diagramas del sistema, naturaleza y definición de cada proceso.

Archivo corriente: Se almacena la información correspondiente al periodo auditado, constituyéndose en evidencia del trabajo desarrollado por el auditor, mostrando todas sus fases y sirviendo como respaldo para presentar los informes respectivos., Como ejemplo se tiene: el programa de trabajo, utilización de datos de prueba, verificación al contenido de archivos, utilización de programas de auditoría, revisión lógica a los programas del área auditada. CONCEPTOS DE AUDITORÍA AUDITORÍA INFORMÁTICA Es la evaluación y verificación de las políticas, controles, procedimientos y la seguridad en general, correspondiente al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección), a fin de que se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Según José A. Echenique, la auditoría en informática “es la revisión y evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo o de un sistemas o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles archivos, seguridad y obtención de información. Ello debe incluir los equipos de cómputo como la herramienta que permite obtener la información adecuada y la organización especifica que hará posible el uso de los equipos de cómputo”[1]. Según Mario Piattini Velthuis, la auditoría informática es “el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos”[2]. AUDITORÍA DE SISTEMAS Desde el punto de vista administrativo, cuando se habla de auditoría sistemas se refiere a los SISTEMAS DE INFORMACIÓN utilizados en las empresas públicas o privadas, mas no al computador como tal, que en sí es una herramienta de los sistemas de información. Se debe tener presente que la administración es un sistema abierto y por tanto cambiante en sus conceptos, técnicas y que está influenciada por lo que acontece en su alrededor. La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces

38

correspondientes; también se puede decir que es el examen y evaluación de los procesos del área de Procesamiento Electrónico de Datos (PED) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas”[3].

39

REFERENCIAS BIBLIOGRAFICAS

Díaz, S. (2009). Plataformas Educativas, un Entorno para Profesores y Alumnos. Temas para la educación. Revista digital para profesionales de la enseñanza. Hamidian, B. y otros (2006). Plataformas Virtuales de Aprendizaje: Una Estrategia Innovadora en Procesos Educativos de Recursos Humanos. Universidad de Carabobo. Pardo, S. (2009). Plataformas virtuales para la educación. Taller Digital de la Universidad de Alicante. Blog:www.eltallerdigital.com Santoveña, S. (2002). Metodología didáctica en plataformas virtuales de aprendizaje. http://mcorrearodriguez.blogspot.com/2011/03/ventajas-y-desventajas-de-las.html www.wikipedia.com

[1] http://jorgearestrepog.comunidadcoomeva.com/blog/index.php

[3] Echenique, José Antonio. Auditoría en informática. Pág. 16 [2] Piattini, Mario. Auditoria de tecnologías y sistemas de información. Pág. 7 [1] Pinills Forero, José Dagoberto. Auditoría Informática. Un enfoque operacional Pag. 50.

[1] Auditoría de Sistemas – Una visión práctica, pag.14.

Education

Qué es una plataforma de educación virtual