Documentos de Académico
Documentos de Profesional
Documentos de Cultura
S5
Francisco Ruiz, Macario Polo
Grupo Alarcos Dep. de Informtica ESCUELA SUPERIOR DE INFORMTICA UNIVERSIDAD DE CASTILLA-LA MANCHA http://alarcos.inf-cr.uclm.es/doc/mso/
ndice - Sesin 5
Introduccin a la Auditora.
Concepto de Auditora Clases de Auditora Auditora de Sistemas de Informacin Control Interno y Auditora
Bibliografa:
Rafael Bernal, scar Coltell: Auditora de los Sistemas de Informacin. Edic. UPV. ISACF, CobiT: Governance, Control and Audit for Information and Related Technology, 2nd edition. Information Systems Audit and Control Foundation. USA, 1998.
Objeto: una determinada informacin obtenida en un cierto soporte. Finalidad: determinar si presenta adecuadamente la realidad o sta responde a las expectativas que le son atribuidas, es decir, su fiabilidad.
Siempre es un proceso que se realiza a posteriori, en relacin con actividades ya realizadas, sobre las que hay que emitir una opinin.
UCLM-ESI. Mantenimiento del Software 3
D) Por su frecuencia:
Permanente Ocasional
Es ms correcto y ms genrico hablar de Auditora de Sistemas de Informacin (ASI) que de Auditora Informtica. El primer trmino engloba al segundo y tambin a los procesos y medios no automticos que forman parte del Sistema de Informacin de una Organizacin:
Auditora: Herramientas y mtodos para establecer criterios que permitan medir la eficacia, eficiencia y conformidad con los objetivos deseados de un determinado sistema (el control del control). de Sistemas de Informacin: eficacia, eficiencia y conformidad con los objetivos del sistema de un informacin.
PROCESOS DE SOPORTE
DOCUMENTACIN GESTIN DE CONFIGURACIN ASEGURAMIENTO DE CALIDAD VERIFICACIN VALIDACIN REVISIN CONJUNTA AUDITORA RESOLUCIN DE PROBLEMAS
EXPLOTACIN
MANTENIMIENTO
PROCESOS DE LA ORGANIZACIN
GESTIN MEJORA INFRAESTRUCTURA FORMACIN
10
11
12
La Metodologa CobiT
Control Objectives for Information and Related Technologies.
Propuesta por la ISACF (Information Systems Audit and Control Foundation). Es la principal propuesta metodolgica realizada a nivel internacional para abordar la Auditora de Sistemas de Informacin. Supone un paso muy importante al considerar que, a efectos de auditora, el sistema de informacin de una organizacin es UNICO, aunque ciertos procesos se realicen de forma manual y otros mediante el uso de la informtica. La filosofa de CobiT asimila los principios de reingeniera de empresas (BPR) y divide las funciones que ha de realizar un sistema de informacin en procesos que, a su vez, estn subdivididos en actividades y tareas ms simples. Los sistemas de informacin estn orientados a los procesos y por tanto su auditora se debe adaptar a estos conceptos.
13
Usuarios:
Para obtener una garanta en cuanto a la seguridad y control de los servicios de TI proporcionados internamente o por terceras partes.
Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aqullos con responsabilidades en el campo de las TI en las empresas.
14
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
15
Requerimientos Fiduciarios:
Efectividad y eficiencia de las operaciones Fiabilidad de la informacin Cumplimiento de leyes y normas
Requerimientos de Seguridad:
Confidencialidad Integridad Disponibilidad
16
Aplicaciones:
Suma de procedimientos manuales y automatizados.
Tecnologa:
Hardware, sistemas operativos, SGBDs, redes, multimedia, etc.
Infraestructura:
Recursos para instalar y soportar los sistemas de informacin.
Personas:
Habilidades, conocimientos y productividad para planificar, organizar, adquirir, entregar, soportar y supervisar sistemas y servicios de informacin.
17
Se definen 34 objetivos de control generales (OCGs), uno para cada uno de los procesos de las TI. Estos procesos estn agrupados en cuatro grandes dominios: - planificacin y organizacin, - adquisicin e implantacin, - suministro y soporte, y - supervisin.
18
19
21
Supervisin
M1 M2 M3 M4 Supervisar los Procesos Evaluar la Idoneidad del Control Interno Obtener Estimaciones Independientes MAntener una Auditora Independiente
22
En CobiT no se especifica cmo debe realizarse la auditora del PMS. Esta laguna se intenta resolver con la propuesta formulada en MANTEMA. Esta propuesta se ha obtenido realizando un anlisis de todos los objetivos de control incluidos en CobiT y seleccionando los que tienen relacin con el proceso de mantenimiento del software. La lista resultante ha sido cambiada definiendo un objetivo de control general llamado 'Gestin del proceso de mantenimiento del software'. Este objetivo general ha sido concretado en 14 objetivos de control detallados que amplan considerablemente los incluidos en CobiT.
24
25
Los dominios PO (Planificacin y Organizacin) y M (Supervisin) no contienen ningn objetivo de control relacionado directamente con el
Mantenimiento del Software.
26
Las disfunciones se deben a que CobiT e ISO utilizan un diferente modelo de procesos.
Por ello, se hace necesaria la adaptacin de CobiT al modelo de ISO.
27
A continuacin se resume el resultado de la primera versin de objetivos de control detallados incluidos en MANTEMA:
Dominio: Adquisicin e Implantacin Objetivo General: AI06 - Gestin del proceso de mantenimiento del software. Descripcin: las actividades del negocio se realizan sin interrupciones imprevistas y el software de los sistemas de informacin existentes se adapta a las nuevas necesidades.
28
6.2 Retirada del software: la metodologa de desarrollo y/o mantenimiento de software incluye un
procedimiento formal para la retirada de un producto software cuando ha concluido su ciclo de vida til.
6.3 Tipos de mantenimiento: estn categorizados los tipos de mantenimiento del software y para
cada tipo se han planificado las actividades y tareas a realizar.
6.4 Acuerdo de mantenimiento: las relaciones entre el mantenedor y el cliente y las obligaciones
de cada uno estn establecidas en un acuerdo o contrato de mantenimiento.
6.5 Mejora de la calidad del proceso: la metodologa empleada para el mantenimiento del
software incluye tcnicas para aumentar la mantenibilidad (facilidad de mantenimiento).
6.6 Planificacin del mantenimiento: Existe un plan de mantenimiento que incluye el alcance del
mantenimiento, quin lo realizar, una estimacin de los costes y un anlisis de los recursos necesarios.
29
6.9 Anlisis y valoracin de las SMs: las SMs son categorizadas y priorizadas, y existen
mecanismos bien estructurados para evaluar su impacto, costes y criticidad.
6.10 Verificacin de los problemas: el mantenedor replica o verifica que realmente existe el
problema que origin la SM.
6.11 Registro de las SMs: el mantenedor documenta y registra las SMs, con sus anlisis,
valoraciones y verificaciones.
6.12 Aprobacin: dependiendo del tipo de mantenimiento de una SM, existen procedimientos
formales que detallan el tipo de aprobacin que el mantenedor debe obtener antes y despus de realizar la modificacin.
6.13 Realizacin de las modificaciones: para realizar las modificaciones, el mantenedor utiliza la
misma metodologa establecida para el proceso de desarrollo del software adaptada al proceso de mantenimiento.
30