ubiobio.cl · web viewnecesidad de un marco teórico a partir de literatura sobre sistemas de...
TRANSCRIPT
Universidad del Bío-Bío, Chile
Facultad de Ciencias
Empresariales
Departamento de Sistemas de Información
Sistema de apoyo a la gestión de auditoria informática
Anteproyecto de título presentado por
Felipe Ignacio Salgado Flores de la Carrera Ingeniería Civil Informática
Dirigido por Sergio Bravo
20
1
Resumen
El título del proyecto es: Sistema de apoyo a la gestión de auditoria informática, el proyecto se desarrolla en el ámbito del proceso de titulación de la carrera de ingeniería civil informática.
El objetivo de este proyecto es desarrollar un sistema que pueda facilitar la gestión de una auditoria informática para empresas y servir como herramienta de aprendizaje para los estudiantes de la asignatura de Auditoria Informática.
Palabras clave: Sistemas de apoyo · Auditoria Informática · Planificación de empresa
2
ContenidoCapítulo 1: Introducción...............................................................................................................................................................................4
Objetivos.....................................................................................................................................................................................................5
Objetivo General....................................................................................................................................................................................5
Objetivos Específicos.............................................................................................................................................................................5
Justificación del Proyecto......................................................................................................................................................................6
Descripción de la Metodología a Utilizar/Plan de trabajo..................................................................................................................7
Análisis de los Principales Trabajos Realizados en el área o tema de la propuesta.........................................................................8
Requisitos funcionales y limitaciones...............................................................................................................................................9
Factibilidad del Proyecto.......................................................................................................................................................................10
Factibilidad Técnica.............................................................................................................................................................................10
Factibilidad Operativa.........................................................................................................................................................................10
Factibilidad Económica.......................................................................................................................................................................11
Resultados Esperados de la investigación...........................................................................................................................................12
Capítulo 2: Marco Teórico..........................................................................................................................................................................13
Empresa y sus niveles..............................................................................................................................................................................13
Auditoria informática..............................................................................................................................................................................13
COBIT......................................................................................................................................................................................................13
Empresa y sus niveles..............................................................................................................................................................................14
ISO 27001................................................................................................................................................................................................15
Capítulo 3: Estado del Arte.........................................................................................................................................................................18
Avances y planificación...............................................................................................................................................................................19
Diseño............................................................................................................................................................................................................19
Diagrama de casos de uso........................................................................................................................................................................19
Modelo entidad relación..........................................................................................................................................................................26
Modelo Relacional........................................................................................................................................................................................27
Plan de trabajo.............................................................................................................................................................................................28
Conclusión....................................................................................................................................................................................................31
Referencias...................................................................................................................................................................................................32
3
Índice de tablas
Tabla 1 Costos.................................................................................................................................................12Tabla 9 Plan de Trabajo...................................................................................................................................19Tabla 2 Caso de uso 1......................................................................................................................................21Tabla 3 Caso de uso 2......................................................................................................................................22Tabla 4 Caso de uso 3......................................................................................................................................23Tabla 5 Caso de uso 4......................................................................................................................................24Tabla 6 Caso de uso 5......................................................................................................................................25Tabla 7 Caso de uso 6......................................................................................................................................26Tabla 8 Caso de uso 7......................................................................................................................................27
Índice de Figuras
Ilustración 1 Etapas ISO 27001.......................................................................................................................16Ilustración 2 Modelo de Casos de Uso............................................................................................................20Ilustración 3 Modelo Entidad Relación...........................................................................................................28Ilustración 4 Modelo Relacional.....................................................................................................................29
4
Capítulo 1: IntroducciónDesarrollarlo al final
En la actualidad las empresas se ven constantemente puesta a prueba en cuando al mejoramiento de sus distintas áreas y procesos internos tomando una gran relevancia los procesos de auditoria que pongan aprueba el correcto alineamiento de los planes de gestión informática y planes de estratégicos, tácticos y operacionales de la empresa, generando la necesidad de un sistema que permita facilitar la gestión de auditoria informática y el aprendizaje de esta.
Dentro de este proyecto podremos encontrar los siguientes capítulos:
Capítulo 1: en esta sección podremos ver los objetivos del proyecto con los aspectos generales de donde se detalla la problemática junto al alcance de este y su factibilidad de realización.
Capítulo 2: se encuentra el marco teórico donde se abordan conceptos claves para comprender el funcionamiento del sistema donde destacan conceptos como la auditoria informática y COBIT.
Capítulo 3: en esta sección encontramos las etapas de diseño del sistema, donde se podrá ver los modelos de caso de uso y de datos.
5
ProblemasLa no existencia de propuestas de apoyo específico a la enseñanza de “Gestión de la
Auditoría Informática”, y/o para apoyar en el tema a Pequeña y Mediana Empresa (PYME),
contribuye a generar un caos informático, con sistemas aislados, desalineados de los
objetivos de la empresa.
La inexistencia o incoherencia de planes con claros objetivos empresariales, en distintoa niveles y
áreas, imposibilita la obtencion de información de calidad alineada a esos planes. Esas
condiciones dificultas la tarea de realizar auditorías informáticas, a partir de los diferentes
posibles estados iniciales, que enfrentan las PYME:
1. El desconocimiento de los riesgos asociados a los problemas antes planteados, que enfrenta
la empresas, y de como analizarlos, conduce a decisiones erróneas por falta de
informacion de calidad.
2. El desconocimiento, por parte de las PYME, de propuestas mundialmente
aceptadas, para lograr informacion de calidad, deja al margen la posibilidad de
solucionar los problemas antes indicados, lo que es denunciado ampliamente por la
literatura mundial.
RequerimientosLa literatura denuncia ampliamente la falta de calidad y seguridad de altos porcentajes de los
Sistemas de Información existentes. Es urgente estudiar las principales requerimiento de apoyo a
soluciones a fallas, y proponer instrumentos que contribuyan a resolverlos
1. Contribución a llenar el vacío de conocimientos y soluciones existentes en la Universidad y en la
PYME. Generar bases para el futuro desarrollo de SAGAI, cuyo principal objetivo será el apoyo a la
planificacion de la empresa y de sus sistemas de información, alineados a los objetivos de los
distintos niveles y áreas funcionales de la empresa.
2. Definición de una metodología y posible SW de apoyo a la Gestión de la Auditoría
Informática, que ayuden la verificación de la existencia y calidad,m tanto de los planes de
objetivos, de distintos niveles y áreas de la empresar, como de apoyos informaticos
alineados a esos objetivos.
6
3. Definición de grupo de areas de trabajo y la participación del auditor (es), y persona (s) de
la empresa, a fin de dispones de un SW que ayude a verificar la calidad de planes de la
empresa, e informáticos.
4. Ayuda en la evaluación de los riesgos a que estan sometidas las PYME, partiendo por
verificar la situacion inicial, categorizando los problemas, usando herramientas, que serán
diseñadas en la presente habilitación, e incluidas en el software que se desarrollará. en el
futuro Proyecto de Título: “Sistema de apoyo a la Gestión de Auditoría Informática”
(SAGAI)
Objetivo General de este anteproyecto
Efectuar indagaciones necesarias sobre propuestas mundiales, que sirvan para establecer las bases
para abordar los problemas antes descrito, y el futuro desarrollo de un Sistema de apoyo a la
Gestión de Auditoria Informática (SAGAI), que apoyará tanto la Administración efectiva de la
Planificación de objetivos de los distintos niveles y areas de la Empresa, como la planificacion
Informática alineada a esos objetivos, y la planificacion de Auditorías Informáticas, destinadas a
verificar dicho alineamiento. Esas bases permitiran el posterior desarrollo un sistema, en plataforma
web, que será usado tanto para apoyar las clases de la asignatura “Gestion de la auditoría
Informática, como para apoyar a PYMES que se interesen en introducirse en esta materia.
Objetivos Específicos del anteproyecto1. Revisar literatura asociada a temas de alineamiento de los Sistemas de Información a la
empresa, para extraer fundamentos para modelar el concepto de gestión de auditoria
informática, que aporte a las bases del futuro sistema de información de apoyo a la “Gestión
de la Auditoría Informática”.
2. Diseñar procedimientos de trabajo que serían necesarios para lograr un adecuado control
de:
a. La planificación de los objetivos de la empresa, coherente en sus distintos niveles
y áreas funcionales, considerando los conceptos de la propuesta del “Balanced
Scorecard”
b. La Planificacion de los sistemas informáticos, alineados a los objetivos de la
empresa, teniendo en cuenta los procesos propuestos por ISACA en su producto
“CobiT”7
c. La planificación de Auditorías Informáticas, junto con algoritmos que faciliten las
labores de control del alineamiento de los planes de sistemas a los planes de la
empresa.
3. Investigar métodos de protección de información para garantizar su calidad y seguridad en
términos de su confidencialidad e integridad cumpliendo con la ISO 27001, para tenerlos en
cuenta en el desarrollo futuro del Sistema
4. Investigar riesgos posibles de afectar a los sistemas informático de la empresa, para
considerarlos en los patrones de check list y papeles de trabajo a diseñar para el desarrollo
del sistema SAGAI
5. Investigar el estado del arte en el Control Interno, y proyectar la propuesta C.O,S,O. al
desarrollo de Sistemas de Información, y evaluación del logro del alineamiento de los
Sistemas a los objetivos de los distintos niveles y áreas funcionales de la empresa.
8
Justificación del anteproyecto y posterior desarrollo del Proyecto SAGAI
1. Necesidad de un marco teórico a partir de literatura sobre Sistemas de Información, destinado a
fundamentar la necesidad de la enseñanza de la Gestion de Auditoria Informática y el desarrollo de esa
funcion en las empresa pequeñas y mediana. Esto debido a que el tema está atendido por SW de altó
costo, solo accesible por las grandes
Empresas auditoras internaciones. Lo anterior nos ha motivado a generar propuesta creativa basada en
experiencia practica del propfesor guía
2. Necesidad de apoyar clases en la Universidad, y aplicar en la PYME será necesario documentarla en
procedimientos de trabajo y algoritmos destinados a:
a. Lograr una adecuada definición de objetivos de las distintas áreas y niveles de la empresa
estableciendo las los siguientes planes
i. Planificacion de objetivos empresariales aen distintos niveles y Areas
ii. Planificacion Informática alineada a los planes empresariales
iii. Planificacion del control interno para lograr autocontrol de los procesos
b. Para el funcionamiento de la auditoría Informática en la empresa, es necesario definir la forma
de organización del trabajo, y establecer condiciones y pasos necesarios para realizarlo.
c. Para aplicar los procedimientos anteriores es necesario definir características de los sistemas
informáticos, y algoritmos, basados en propuestas internacionales adaptadas a nuestras
PYME, que facilitarán el desarrollo del futuro SW.
i. Estándar internacional, unificados en la propuesta CobiT
ii. Estandar internacional Balanced Scorecard
iii. Propuesta internacional C.O.S.O.
.
9
Capítulo 2: Marco Teórico
Para los efectos de este anteproyecto, denominaremos “Gestion de la Auditoría Informática”, a la
“Administracion efectiva” de la Auditoría Informática, que resulta en auditorias, internas o
externas, dirigidos a verificar la existencia y cumplimiento de planes informaticos alineados a
planes de los distintos niveles y areas de la empresa.
El marco teórico del presente anteproyecto, base para el futuro “Sistema de Apoyo a la Gestión de
la Auditoría Informática” está fundamentado por las siguientes propuestas reconocidas
internacionalmente::
• Cobit (Control Objectives for Information and Relative Technologhies)
• Normas ISO 27001
• Balances Scorecard (Cuuadto de mando balanceado)
• C.O.S.O. (Committee of Sponsoring Organizations of the Treadway Comission
Comité de Organizaciones Patrocinadoras de la Comisión Treadway)
COBITCOBIT (Control Objettives for Information and relative Technologhies) es el conjunto de objetivos
para el control de tecnologías de la información para ayudar en la realización de auditorías
informáticas estableciendo los estándares, principalmente se enfoca en los lineamientos de
gobierno empresarial de las TI.
Se encuentra regido por los siguientes 5 principios:
1. Satisfacer las necesidades de los interesados: las empresas cuentan con diversos
interesados con distintas necesidades que deben ser satisfechas sin romper la armonía de la
empresa, por esto deben ser considerados todos los actores al momento de generar valor.
2. Cubrir la empresa de extremo a extremo: esto quiere decir la integración de los planes
informáticos con los administrativos, permitiendo cubriendo todas las funciones y procesos
dentro de la empresa.
10
3. Aplicar un solo marco integrado: al encontrarse alineado con los principales entandares y
marcos más importantes para las empresas relacionado con la tecnología de la información
permitiendo que al utilizar COBIT se utilice de forma integrada gobierno y administración de
TI.
4. Habilitar un enfoque Holístico: son los factores que influyen en la toma de decisiones, que
en este caso son gobierno y la administración de las tecnologías de la información.
5. Separar Gobierno de Administración: permite la separación de gobierno que corresponde
a todas las decisiones tomadas por los directivos de la empresa y administración que
corresponde al conjunto de organismos que componen la empresa y se encargan de la
gestión de esta.
Para lograr lo anterior, CobiT propone una metodología de trabajo basada en cuatro dominios
1. Organización y planificación del apoyo de tecnologías de información (TIC)
2. Adquisicion e Implementacion de los recursos TIC
3. Mantenimiento y Soporte de las TIC
4. Seguimiento de controles a la correcta ejecución de los procesos de cada dominio
Cada dominio esta constituidos por un grupo de procesos que representan aspectos esenciales sobre
cada uno de los cuales se debe decidir, respecto del apoyo de tecnologías de Informción de la
Empresa
11
NORMA ISO 27001La norma ISO 27001 consiste en una serie de medidas orientadas a proteger la información estableciendo como eje central la evaluación de riesgos para poder desarrollar las políticas y medidas a implementar para la gestión de estos. Para determinar dichos riesgos y el cómo tratarlos es que se utiliza la siguiente metodología:
1. Identificación de los activos de información: en esta etapa se establece toda la información que
tiene un valor para la organización y sus responsables, incluyendo soportes físicos.
2. Vulnerabilidades: identificar aquellas debilidades propias del activo que lo hacen susceptible a
sufrir daños o ataques.
3. Amenazas: son aquellas cosas que puedan suceder y dañar los activos de información.
4. Requisitos legales: identificar los requisitos legales que se deban cumplir con los clientes y socios.
5. Análisis de impacto: definir para cada activo la probabilidad de que las amenazas o
vulnerabilidades de cada activo puedan causar un daño a la información, en relación a su
disponibilidad, confidencialidad e integridad, posterior a esto se debe realizar un cálculo del riesgo
a partir de la probabilidad de que ocurra y el impacto que este tiene sobre el sistema u organización
permitiendo priorizar estos riesgos.
12
6. Tratamiento del riesgo: se establece la política de tratamiento de los riesgos en función de los
puntos anteriores, además de establecer los controles adecuados para cada riesgo orientados a
asumir, reducir, eliminar y transferir el riesgo.
13
Resultados Esperados de la investigación
Durante el proceso de investigación, se esperan los siguientes resultados:
1. Aplicación de los logros en la revisión de literatura, en dar las bases para el diseño y futura
construcción de un sistema de apoyo a la gestión de auditoria informática (planificacion de
la empresa y sus sistemas informáticos)
2. Disponer de algoritmos basados en los descubrimientos logrados con el estudio de
propuestas, que usaran en el futuro sistema para aplicar en el control de la planificación, lo
que mejorará seguridad e integridad de la información de sistemas, y su alineamiento a la
empresa.
3. Disponer de las bases para el desarrollo de un sistema para apoyar la gestión de auditoria
informática. El diseño de la aplicación deberá permitir a futuro incorporar posibles
mejoras.
14
Descripción de la Metodología a Utilizar/Plan de trabajo
Tras un análisis de los objetivos e idea del sistema a implementar, se ha llegado a la conclusión de utilizar
una metodología iterativa e incremental que permita el disgregar el proyecto bloques los cuales puedan ser
puestos a prueba para su mejoramiento y en cada iteración agregar valor al desarrollo hasta completar el
proyecto permitiendo la constante retroalimentación entre cliente y desarrollador.
Plan de trabajo
Búsqueda y lectura de literatura sobre Planificación Aplicada a la empresa, a la Informática
y la Auditoria informática.
Búsqueda y lectura de literatura relacionada a la ISO 27001 para la protección de la
información.
Estudiar los siguientes elementos:
El contexto de la auditoría y Auditoría Informáticas.
La relación entre Planes Empresariales, Planes Informáticos y Planes de Auditoría
Informática, tanto como los pasos del proceso de Auditoría informática.
Los diferentes aspectos a auditar.
Establecer los requerimientos de los usuarios (Profesor, alumnos, PYMES), y en base a ello
efectué un diseño lógico y Físico que sirvan de base a un estudio de Factibilidad.
Planificar diseño general del futuro sistema web teniendo en cuenta las funcionalidades del
sistema y definiendo la arquitectura de información, de Software y de Hardware.
Planificar diseño general del futuro sistema web teniendo en cuenta las funcionalidades del
sistema.
Desagregar el diseño general en actividades detalladas.
Planificar pruebas del sistema para afinar detalles.
Definir estructura de documentación del futuro sistema.15
Definir mecanismos de corrección de errores.
Desarrollar el sistema web que permita la correcta ejecución.
Realizar pruebas del sistema para afinar detalles.
Escritura de documentación del sistema.
Corrección de errores.
16
Requisitos funcionales y limitaciones del futuro sistemaRequisitoa Funcionales
Incluir gestion de perfiles de usuarios para el acceso al sistema.
Permitir el registro de los miembros del grupo de trabajo
Facilitar la verificacion de la correcta planificación de auditorías informáticas
alineadas a los planes de distintos niveles y áreas de la empresa
Distinguir claramente diferentes enfoque de accion del grupo de auditoría:
o Durante el proceso de planificación
o Posteriores al proceso de planificación, mientras se aplican los planes
o Históricos, para efectos de seguimiento
Apoyar la verificacion de consistenaco entyre los planes de niveles y funciones empresariales, como al Plan Informático
Almacenar instrumentos usados en la auditoría, hallazgos y recomendaciones
Generar informes simples de resultados de la auditoría a planes.
Garantizar la protección e integridad de los datos a utilizar.
El sistema debe generar informes de resultados de los planes puestos a prueba.
El sistema debe permitir el ingreso de los distintos planes de la empresa y auditoria.
Limitaciones del futuro sistema
- No contemplará estructuras estándares rígidas para papeles de trabajo, solo ejemplos
que cumplen con la condicion de incluir elementos esenciales como: Aspectos a auditar,
hallazgos valorizados, y recomendaciones sobre cada aspecto auditado.
- No contemplará estructura rígida de informes finales, solo ejemplos que cumplan con
contener la informacion resumida del origen y resultados de la auditoría
17
Factibilidad del futuro sistema
Factibilidad TécnicaEn este proyecto el objetivo principal es desarrollar un sistema de apoyo a la auditoria
informática. El lenguaje de programación para el diseño web y para la implementación de los
algoritmos será PHP y Java Script, por último, el editor de texto a utilizar es SublimeText
versión 3. Ello hace técnicamente factible al proyecto
Factibilidad Operativa
Es un aspecto relevante del cual depende en gran medida el éxito del futuro sistema, dado que la
complegidad de conceptos incluidos, requieren una óptica calidad de interfaces que cumplan una
serie de principios enunciados por de Jeff Rakin y Paul Nielsen.
El conocimiento e interés y conocimientos del estudiante a cargo del anteproyecto, y la
experiencia del profesor guía dan una garantía aceptable de que el sistema será factible
operativamente beneficiando, tanto a los alumnos de la asignatura “Gestión de la Auditoría
Informática”, en la simulacion de auditorías, como en su realización por partes de las Pymes a las
que experimentalmente se dé acceso al sistema
Al no existir actualmente un sistema que cumpla con las necesidades del usuario es que se genera
una oportunidad de desarrollo que cuenta con el apoyo de los distintos usuarios implicados en la
activad, además de contar con espacios de trabajo directo con los interesados permitiendo dar
cumplimiento a las exigencias del usuario.
Factibilidad Económica
Ciclo de vida del proyecto de carácter social (sin fines de lucro) : 5 años (en 5 años la tecnología y los negocios
obligan a renovar los sistemas)
tasa de interés 5% anual, para su evaluación económica
Costos: Serán estimaciones del costos de aprendizaje y desarrollo del sistema y de su operación, distribuidos en los 5
años de vida estimados para el sistema
18
Ingresos: a) El valor de HH economizadas a los equipos de trabajo, por la ayuda que presta el sistema
b) La reduccion estimada de pérdidas resultantes de planes no verificados
c) Mayores utilidades derivadas de planificar coherentemente
VAN=Valor actualizado neto
TIR=Tasa Interna de Retorno= Una tasa mayor que la usada, que reduce a 0 el VAN
TIR=Tasa Interna de Retorno= Una tasa mayor que la usada, que reduce a 0 el VAN
19
20
Capítulo 4: Avances y planificación
Plan de trabajo
Este plan de trabajo considera el trabajo para el proyecto de título a lo largo del segundo semestre del año 2020 y primer semestre del año 2021, considerando 6 meses de trabajando, considerando un contexto de desarrollo de semestres en normalidad.
Nº Actividad MES
1 M
ES
2 MES
3 M
ES
4 MES
5 M
ES
6
1.Búsqueda y lectura de literatura sobre Planificación Aplicada a la empresa, a la Informática y la Auditoria informática.
2.
Búsqueda y lectura de literatura relacionada a la ISO 27001 para la protección de la información.
3.
Establecer los requerimientos de los usuarios (Profesor, alumnos, PYMES), y en base a ello efectué un diseño lógico y Físico que sirvan de base a un estudio de Factibilidad
4.
Planificar diseño general del futuro sistema web teniendo en cuenta las funcionalidades del sistema y definiendo la arquitectura de información, de Software y de Hardware.
5.
Desagregar el diseño general en actividades detalladas.
21
6.Planificar pruebas del sistema para afinar detalles
7. Definir estructura de documentación del futuro sistema.
8.Definir mecanismos de corrección de errores.
9.Desarrollar el sistema web que permita la correcta ejecución.
10. Realizar pruebas del sistema para afinar detalles
11.Escritura de documentación del sistema.
12. Corrección de errores.
Tabla 1 Plan de Trabajo
Diseño
Diagrama de casos de uso
Actores
Administrador
Usuario con acceso a todas las secciones del sistema y su información
Empresa
Usuario con acceso a la información de la empresa con la capacidad de crear o modificar los planes de gestión de la empresa y encargado del registro del auditor
Auditor
Usuario con permisos para acceder a la información de planificación de la empresa y al módulo de gestión de auditoria.
22
Ilustración 1 Modelo de Casos de Uso
23
Caso de uso: Inicio de sesión
Actores involucrados Administrador, empresa, auditor
Descripción Ingreso al sistema de los distintos usuarios
mediante un nombre de usuario y
contraseña
Objetivo Permitir o rechazar el acceso al sistema
Pre-condiciones Contar con las respectivas credenciales de
acceso
Post-condiciones Ingresar al sistema
Curso normal de eventos
Acción del actor Respuesta sistema
1. Ingreso al sistema con las
respectivas credenciales.
2. Si los datos son válidos permite el
ingreso al sistema, al perfil
correspondiente.
Curso alternativo de eventos
3. Los datos ingresados no corresponden a ningún usuario valido, negando el acceso
al sistemaTabla 2 Caso de uso 1
24
Caso de uso: Crear/ Eliminar usuario
Actores involucrados Administrador
Descripción El administrador del sistema podrá generar
o eliminar los distintos perfiles de los
demás usuarios.
Objetivo Permitir la creación de los usuarios
Pre-condiciones Debe haber sido validado su acceso por el
login
Post-condiciones Se registrara o eliminara el perfil de un
usuario.
Curso normal de eventos
Acción del actor Respuesta sistema
1. El administrador ingresa los datos
del nuevo usuario.
2. Valida la inexistencia de un usuario
previo con estos mismos datos.
3. Se genera el perfil de usuario con
sus respectivas credenciales de
acceso.
Curso alternativo de eventos
4. Si el usuario ya existe arroja un alerta de error “Usuario ya existe”Tabla 3 Caso de uso 2
25
Caso de uso: Ingresar Planes
Actores involucrados Administrador, Empresa, Auditor
Descripción Se ingresan los planes de la empresa,
informática y auditoria en los respectivos
formularios
Objetivo Ingresar los distintos planes al sistema
Pre-condiciones Contar con el perfil de usuario
correspondiente y haber superado el login
Post-condiciones Registro de los planes correspondientes
Curso normal de eventos
Acción del actor Respuesta sistema
1. Ingresa la información al
formulario correspondiente.
2. Verifica que todos los campos estén
correctamente completados para
almacenarlos en el sistema.
Curso alternativo de eventos
3. Al ingresar información equivocada o campos vacíos arroja un alerta de error
correspondiente.Tabla 4 Caso de uso 3
26
Caso de uso: Editar Planes
Actores involucrados Administrador, empresa
Descripción Los usuarios podrán realizar edición de los
planes la empresa, informática y auditoria.
Objetivo Realizar modificaciones a los planes en
cualquiera de sus 3 niveles.
Pre-condiciones Contar con un perfil existente, haber
superado el login y que existan planes a
modificar
Post-condiciones Se registra la planificación con sus
modificaciones.
Curso normal de eventos
Acción del actor Respuesta sistema
1. Selección el plan a modificar que
corresponda a sus permisos de
usuario.
3. Modifica la información deseada y
posteriormente guarda las
modificaciones
2. Carga la información del plan
seleccionado.
4. Verifica que la información
ingresada sea válida y no exista
otro plan con la misma
información, para su posterior
almacenamiento en el sistema.
Curso alternativo de eventos
5. Si la información ingresada es incorrecta o insuficiente arroja una alerta de error.Tabla 5 Caso de uso 4
27
Caso de uso: Eliminar Planes
Actores involucrados Administrador
Descripción El usuario con rol de administrador podrá
eliminar los planes que sean necesarios.
Objetivo Poder quitar del sistema todos los planes
obsoletos o erróneos.
Pre-condiciones Superar el login y contar con planes
registrados.
Post-condiciones Se eliminaran los planes seleccionados
Curso normal de eventos
Acción del actor Respuesta sistema
6. Selecciona el o los planes a
eliminar del sistema.
7. Presiona aceptar para confirmar la
eliminación o cancelar la acción.
Carga los planes por área que están
registrados en el sistema.
8. Genera un mensaje de advertencia
de que el o los planes serán
eliminados.
9. Se eliminan los planes
seleccionados o se cancela la
acción.
Curso alternativo de eventos
10. De no poder eliminarse el/los planes seleccionados por problemas de datos, arroja
un mensaje de error.Tabla 6 Caso de uso 5
28
Caso de uso: Ejecutar auditoria
Actores involucrados Administrador, Auditor
Descripción Permite realizar una auditoria básica según
los datos ingresados en el sistema.
Objetivo Facilitar la realización de una auditoria
informática.
Pre-condiciones Contar con el perfil necesario para realizar
esta acción y superar el login.
Post-condiciones Documentación de la auditoría realizada.
Curso normal de eventos
Acción del actor Respuesta sistema
1. El usuario ingresa a la sección de
auditoria y seleccionar el
formulario correspondiente.
3. Llena los datos solicitados y envía
el formulario para su guardado
2. Se despliega el formulario para la
realización de la auditoria.
4. El sistema guarda la auditoría
realizada.
Curso alternativo de eventos
5. En caso de el sistema no poder almacenar la información por algún error o falta
de datos despliega una ventana de error.Tabla 7 Caso de uso 6
29
Caso de uso: Crear y descargar documentación
Actores involucrados Administrador, Empresa, Auditor
Descripción Se permite descargar en un documento los
datos seleccionados por el usuario que
correspondan a su perfil.
Objetivo Generar documentos con los datos que
maneja el sistema.
Pre-condiciones Superar el login y contar con información
ingresada al sistema.
Post-condiciones Creación de un documento con los datos
solicitados
Curso normal de eventos
Acción del actor Respuesta sistema
1. El usuario selecciona los datos que
quiere obtener en el documento.
3. El usuario descarga el documento. 4. El sistema genera el documento
correspondiente y muestra una
ventana emergente para la descarga.
Curso alternativo de eventos
5. Si ocurre algún error al generar el documento el sistema enviara un mensaje de
error.Tabla 8 Caso de uso 7
30
Modelo entidad relación
Ilustración 2 Modelo Entidad Relación
31
Modelo Relacional
Ilustración 3 Modelo Relacional
32
Conclusión
En este documento se entrega una visión general de la gestión de auditoria informática proporcionando una propuesta de sistema de sistema que facilite la realización de una auditoria y su aprendizaje, además de contar con una alternativa para la digitalización de los distintos planes de una empresa para poder ser puestos aprueba en cuanto a su grado de alineamiento entre ellos. Por ultimo podemos encontrar explicación de conceptos generales para comprender el funcionamiento de una auditoria informática .
33
Referencias
- Roberto Carlos Diaz Alonso (2012). Marco de referencia para auditorias integrales de sistemas en las mipymes colombianas.
- José Ángel Peña Ibarra,(2012). ISACA el marco de referencia COBIT 5.
- Miguel Angel Ramos González. Auditoria informática.
- Auditorio superior chihuahua. Guia de la auditoria de tecnologías de información.
- Emilio del peso. Auditoria informática un enfoque practico.
- COBIT. Control de gestión de proyectos de TI y el marco de Objetivos de control para TI y tecnología relacionada
- Control of the Information System Development Cycle (The Wiley communigraph series on business data processing) (1971).
34
35
36