Auditoria TI y Evaluacion de La Seguridad

Ing.
Martn Figueroa Revilla

Universidad Nacional

J Jo os s F Fa au us st ti in no o S S n nc ch he ez z
C Ca ar rr ri i n n

F
F
a
a
c
c
u
u
l
l
t
t
a
a
d
d
d
d
e
e
I
I
n
n
g
g
e
e
n
n
i
i
e
e
r
r
a
a

E Es sc cu ue el la a A Ac ca ad d m mi ic co o P Pr ro of fe es si io on na al l
d de e I In ng ge en ni ie er r a a d de e S Si is st te em ma as s

E Es sc cu ue el la a A Ac ca ad d m mi ic co o P Pr ro of fe es si io on na al l
d de e I In ng ge en ni ie er r a a I In nf fo or rm m t ti ic ca a

CURSO :
TITULACION

AUDITORIA EN TECNOLOGIA DE
LA INFORMACION
XI
TEMA : SEMANA

AUDITORA DE SEGURIDAD
6
Tomado por
:
(Indicado en la siguiente pgina)
Ing. Martn Figueroa Revilla

Fuente: AUDITORIA EN INFORMTICA. UN ENFOQUE
METODOLGICO; Autor: Enrique Hernndez
Hernndez, EditoriaI CECSA.

Lectura: "Auditora de Seguridad", pginas 285 - 306

AUDITORIA DE SEGURIDAD

1. Hardware
2. Aplicaciones del software
3. Plan de contingencias y de recuperacin

Objetivos de esta revisin

Verificar que existan los planes, polticas y procedimientos relativos a la
seguridad dentro de la organizacin.
Confirmar que exista un anlisis costo / beneficio de los controles y
procedimientos de seguridad antes de ser implantados.
Comprobar que los planes y polticas de seguridad y de recuperacin
sean difundidos y conocidos por la alta direccin.
Evaluar el grado de compromiso por parte de la alta direccin, los depar-
tamentos usuarios y el personal de informtica con el cumplimiento
satisfactorio de los planes, polticas y procedimientos relativos a la
seguridad.
Asegurar la disponibilidad y continuidad del equipo de cmputo el tiempo
que requieran los usuarios para el procesamiento oportuno de sus aplica-
ciones.
Asegurar que las polticas y procedimientos brinden confidenciabilidad a
la informacin manejada en el medio de desarrollo, implantacin,
operacin y mantenimiento.
Verificar que exista la seguridad requerida para el aseguramiento de la
integridad de la informacin procesada en cuanto a totalidad y exactitud.
Constatar que se brinde la seguridad necesaria a los diferentes equipos
de cmputo que existen en la organizacin.
Comprobar que existan los contratos de seguro necesarios para el
hardware y software de la empresa (elementos requeridos para el
funcionamiento continuo de las aplicaciones bsicas).
Confirmar la presencia de una funcin responsable de la administracin
de la seguridad en:
Recursos humanos, materiales y financieros relacionados con la
tecnologa de informtica.
Recursos tecnolgicos de informtica.

Nota: Esto debe verificarse con los responsables de la seguridad de
informtica, con los responsables del centro de cmputo, de comunicaciones y
usuarios que el auditor considere pertinentes.

Principales actividades para auditar esta rea

1. Comparar proyectos con la planeacin de auditoria.
2. Concertar citas con el personal que se va a entrevistar.
3. Revisar el formulario correspondiente y ver la conveniencia de actualizarlo
segn necesidades especficas del negocio.
4. Ratificar y formalizar las fechas de entrevistas y visitas.
5. Efectuar las entrevistas y visitas necesarias para cubrir los puntos de este
mdulo.
6. Elaborar un borrador con las principales conclusiones y recomendaciones.
7. Revisarlo con el encargado de la funcin de auditoria en informtica.
8. Clasificar y almacenar la informacin de soporte en dispositivos de
almacenamiento seguros.
9. Revisar el borrador con el responsable del proyecto por parte de las reas
evaluadas.
10. Elaborar y documentar formalmente las conclusiones y recomendaciones
finales de esta revisin.
11. Anexar esta informacin al documento que contendr el informe final.

Requerimientos para el xito de la revisin

1. Formalizar el apoyo de la alta direccin al auditor en informtica con el fin
de brindarle las facilidades necesarias para la ejecucin de su trabajo.
Algunas acciones de apoyo serian:

La alta direccin hace del conocimiento de las reas por auditar que
algunas de sus funciones sern revisadas y se requiere su apoyo.
Proporcionar la informacin requerida por el auditor en informtica.
Externar comentarios y sugerencias al auditor.

2. Conocimiento del auditor acerca de los aspectos que se evaluarn en este
mdulo; esto bsicamente se logra mediante una capacitacin terico-
prctica en los temas que se relacionan con la auditoria en informtica.

Tcnicas para obtener y evaluar la informacin (vase tabla E.2)

1. Hardware

Aspectos por evaluar:

1. Hay polticas y procedimientos relativos al uso y proteccin del hardware
de la organizacin?

1.1 Si existen, indique si estn formalmente identificados los siguientes
aspectos de seguridad:

Administracin del hardware.
Micros, minis y supercomputadoras (mainframes)
Tecnologa de comunicaciones, redes, etc.
Cuantificacin del hardware.
Descripcin del hardware (caractersticas bsicas)
Distribucin del hardware (ubicacin fsica)
reas de informtica: departamentos usuarios y reas locales y remotas.
Registro del hardware instalado, dado de baja, en proceso de
adquisicin, etc.
Uso del hardware: desarrollo, operacin, mantenimiento, monitoreo y
toma de decisiones.
Funciones responsables del control del hardware.
Otros.
Procedimientos y controles de seguridad para la evaluacin, seleccin y
adquisicin de hardware.
Polticas enfocadas a comprobar que el software adquirido cubra los
siguientes puntos:
Mdulos de seguridad: acceso al hardware (llaves de seguridad, por
ejemplo); uso del hardware (facilidades de monitorear la operacin) y
bitcoras de uso del hardware (quin, cundo, para qu, entre otros
puntos).
La actualizacin del hardware:
Polticas orientadas a confirmar que el hardware actualizado cubra los
siguientes puntos:
Autorizacin del hardware por medio de la justificacin de la
actualizacin
Impacto de la implantacin del hardware en el medio de informtica:
aplicaciones, software y costos
Implicaciones de control en la implantacin y uso del hardware
actualizado
Reemplazo del hardware.
Polticas para verificar que el hardware reemplazado cubra los siguientes
puntos:
Autorizacin por medio de la justificacin del reemplazo.
Impacto de la implantacin en el medio de informtica: aplicaciones,
hardware y costos.
Implicaciones de control en la implantacin y uso del hardware nuevo.

2. En cuanto al equipo de soporte, se han de tener los siguientes datos:

Localizacin fsica de:
Aire acondicionado
Equipo No-Break
Equipos contra Incendios
Otros

3. La ubicacin fsica del equipo de cmputo en el edificio es la ms
adecuada pensando en los diversos desastres o contingencias que se
pueden presentar (manifestaciones o huelgas, inundaciones, incendios,
otros)?

Nota: Verificar si el edificio cuenta con instalaciones de escape en casos de
emergencia.

4. Hay procedimientos que garanticen la continuidad y disponibilidad del
equipo de cmputo en caso de desastres o contingencias?
4.1 Si es as, estn documentados y difundidos formalmente?
5. Indique si se cuenta con controles y procedimientos para:

Clasificacin y justificacin del personal con acceso a los centros de
cmputo del negocio y a las oficinas donde se encuentra papelera o
accesorios relacionados con informtica.
Restringir el acceso a los centros de cmputo slo al personal
autorizado.
Definicin y difusin de las horas de acceso al centro de cmputo.
Uso y control de bitcoras de acceso a los centros de cmputo.
Definir la aceptacin de la entrada a visitantes.
Manejo de bitcoras especiales para los visitantes a los centros de
cmputo.

Nota: Comprobar el cumplimiento de estos controles y procedimientos.

6. Existe personal de seguridad encargado de la salvaguarda de los equipos
de cmputo de la empresa?
6.1 Fue capacitado el personal para este trabajo o simplemente sigue las
normas de seguridad que se aplican en bancos o industrias?
6.2 Si no se cuenta con tal personal, a qu rea o funcin pertenecen los
responsables de proteger fsicamente el equipo?

Nota: Analizar el grado de confianza que brinda dicho personal a la proteccin
de estos activos de la empresa.

7. Mencione si existen polticas relacionadas con el ingreso y salida del
hardware que aseguren al menos lo siguiente:

Que la entrada y salida del hardware sea:
Revisada (contenido, cantidad, destino)
Justificada (compra, pruebas, reemplazo, devolucin, dado de baja,
otros)
Aprobada por el responsable de informtica que va a recibirlo
Registrada (responsables, hora, motivo, etc.)
Devuelta (comparar con la fecha estimada de salida)
Devuelta en las mismas condiciones de entrada.
Devolucin autorizada por medio de un responsable de informtica.

8. Existe alguna funcin de investigacin, auditoria o seguridad que se
dedique a la evaluacin permanente de software, mtodos, procedimientos,
etc., sugeridos en el mercado (como conferencias, publicaciones, asesores,
investigaciones) para la implantacin de nuevas acciones relativas a la
seguridad que brinden continuidad en la operacin y cuidado de los recursos
relacionados con informtica?
8.l Si es as, cules son las actividades principales que se asignan a esta
tarea?
8.2 En caso de que lo anterior no ocurra, qu acciones garantizan la
adecuacin de los controles y procedimientos de seguridad en el
momento de implantar nuevas tecnologas?

2. ApIicaciones deI software

Aspectos clave por evaluar:

1. Se tienen polticas y procedimientos relativos al uso y proteccin del
software existente?
1.1 Si las hay, indique silos siguientes aspectos de seguridad estn
formalmente identificados:

Administracin del software
Sistemas operativos, utileras, paquetes, etc.
Cuantificacin del software (original y copias)
Descripcin (por original)
Distribucin (en qu equipos o dispositivos de almacenamiento
secundarios se encuentra, en qu lugar fsico se localizan: reas del
negocio, bancos, etc.)
Registro del software instalado, dado de baja, en proceso de
adquisicin, etc.)
Uso del software (tipo de uso, responsables de su uso, entre otros
puntos)
Procedimientos y controles de seguridad para la evaluacin, seleccin y
adquisicin de software.
Polticas para verificar que el software adquirido cubra los siguientes
puntos:
Mdulos de seguridad para acceso al software, uso y bitcoras de uso
(quin, cundo, qu, etc.)
La actualizacin del software.
Polticas para confirmar que el software actualizado cubra los siguientes
puntos:
Autorizacin del mismo por medio de la justificacin de la actualizacin.
Impacto de la implantacin en el medio de informtica, aplicaciones,
hardware y costos.
Implicaciones de control en la implantacin y uso del software
actualizado.
Reemplazo del software actual por otro.
Polticas para asegurar que el software reemplazado cubra los siguientes
puntos:
Autorizacin por medio de la justificacin del reemplazo.
Impacto de la implantacin en el medio de informtica: aplicaciones,
hardware y costos.
Implicaciones de control en la implantacin y uso del software nuevo.

2. Diga si poseen polticas relacionadas con el ingreso y salida del software
que aseguren al menos lo siguiente:

Que el software que salga de la empresa sea:
Revisado (contenido, cantidad, destino)
Est registrado formalmente en la empresa
Justificado
Aprobado por el responsable de informtica
Registrado (quin y a qu hora lo sac)
Devuelto (comparar con fecha estimada de devolucin)
Devuelto en las mismas condiciones en que sali
El personal est comprometido formalmente a no hacer un mal uso del
mismo (copiarlo, daarlo, modificarlo, etc.)
Que el software que ingrese a la empresa sea:
Revisado (contenido, cantidad, destino)
Justificado (evaluacin, prueba o respaldo de las aplicaciones del
negocio)
Aprobado por el responsable de informtica
Registrado (quin y a qu hora lo meti)
Devuelto (Comparar con la fecha estimada de devolucin)
Devuelto en las mismas condiciones que tena en la salida
El personal est comprometido formalmente a no hacer un mal uso del
mismo (copiarlo, daarlo, etc.)

3. En cuanto a las aplicaciones (sistemas de informacin) que se desarrollan
en la empresa, se tienen los controles y procedimientos necesarios para
garantizar la seguridad mnima requerida?
3.1 En caso de que existan, al menos contemplan lo siguiente?
Procedimientos de llenado de documentos fuente
Procedimientos de uso de la computadora
Encendido e inicializacin del equipo
Reinicializacin del equipo en caso de fallas
Manejo de bitcoras de uso de la computadora
Monitoreo de uso de la computadora
Niveles de acceso (perfil de usuarios) a los mdulos de:
Captura
Actualizacin
Consulta
Generacin de reportes
Respaldos
Otros
Procedimientos de uso de los mdulos de:
Captura
Actualizacin
Consulta
Generacin de reportes
Respaldos
Otros

4. Existen procedimientos que verifiquen que la construccin (programacin),
prueba e implantacin de los controles y procedimientos de seguridad sean
formalmente aprobados antes de que se utilice el sistema?
5. Participan funciones de control o evaluacin de sistemas, como auditores o
consultores, en la aprobacin de los controles de seguridad de los sistemas
antes de que sean formalmente aprobados por los usuarios?
5.1 Si es as, en qu etapas del desarrollo participan?
5.2 Se involucran en todos los proyectos de desarrollo?
6. Mencione si los controles aseguran que el sistema contemple los
procedimientos necesarios para que la informacin manejada en el mismo
sea total, exacta, autorizada, mantenida y actualizada.
6.1 Existen procedimientos para comprobar que los totales de los reportes
de validacin del usuario concuerden con los totales de validacin del
sistema computarizado?
6.2 Los documentos fuente por capturar llevan preimpresos sus nmeros
consecutivos o se los asigna el usuario? Si ocurre lo ltimo, hay alguno
de los controles mencionados a continuacin dentro del sistema que
valide la no repeticin o exclusin de algn nmero consecutivo?

Control de disquetes, cintas, papelera, etc.
Control de todos los movimientos o transacciones rechazados por el
sistema (comprobar que los datos errneos para el sistema sean
registrados, corregidos, alimentados correctamente y actualizados).
Entendimiento y buen uso de los mensajes del sistema, como manejo de
errores.
Uso de bitcoras por parte de usuarios y personal de informtica como
pistas para auditoria.
Nota: Revisar todos los posibles controles que debe asumir el sistema y que
corresponden tambin al usuario.

6.3 Cmo se aseguran que durante la operacin de! sistema se den los
controles mencionados en el punto 6?

Nota: Comprobar que existan cifras de control manuales o automatizadas
antes, durante y despus de la operacin de los sistemas que aseguren
exactitud, totalidad, etc., de los datos.

6.4 Cmo se aseguran que al estar el sistema en operacin se cumplan
formal y oportunamente los procedimientos de seguridad contemplados
en el desarrollo del mismo?

a) Con una auditoria de sistemas
b) Con revisiones de consultores externos
c) Con revisiones del personal de informtica

Nota: Analizar si las revisiones son planeadas o surgen de la administracin
por crisis.

6.5 Cmo se aseguran de que los manuales de usuario, tcnicos y de
operacin cumplan con los estndares de la metodologa de CVDS y de
que sean completos?
6.6 Cmo se aseguran de que el personal que va a utilizar estos
manuales se encuentre capacitado en el uso de los mismos?
6.7 Se documentan todas las debilidades derivadas de la revisin del
cumplimiento de controles y procedimientos de seguridad durante la
operacin de los sistemas?
6.8 Si es as, indique silos clasifican en:

Debilidades en los procedimientos de entrada, proceso o salida
Entendimiento o manejo del equipo donde se encuentran los sistemas
Dificultades en la comunicacin usuarios-informtica para el manejo de
nuevos requerimientos o cambios a los sistemas
Otros

7. En cuanto al mantenimiento de sistemas seale si se cuenta con un
procedimiento formal para asegurar que los cambios efectuados en los
sistemas sean:
Justificados (apoyo a los requerimientos de usuarios)
Descritos (objetivos, funcin, etc.)
Probados en el rea de desarrollo antes de ser trasladados al rea de
produccin
Revisados por funciones de control (auditoria de sistemas, consultores,
entre otros)
Aprobados por los responsables correspondientes antes de ser puestos
en operacin
Registrados en bitcoras de cambios
Actualizados en la documentacin correspondiente como manuales de
usuario, tcnicos y de operacin
Implantados los controles de seguridad de dichos cambios
Otros

8. Hay un procedimiento formal para asegurar que los requerimientos de los
departamentos usuarios sean registrados, justificados, programados,
probados e implantados de acuerdo con los estndares de la metodologa
del CVDS?

Nota: Conviene asegurarse de que este punto est relacionado estrechamente
con el sptimo punto.

9. Cmo se da seguimiento a los cambios de los sistemas sugeridos por la
funcin de informtica?

Nota: Asegrese de que si estos cambios van a ser implantados en los
sistemas, sigan la pauta del sptimo punto.

10. Existen procedimientos que permitan identificar con claridad las
responsabilidades en cuanto al uso del sistema y equipo de cmputo
donde ser implantado y operado?
11. Qu procedimiento se utiliza para liberar formalmente el sistema?
11.1 Indique si se registran todos los sistemas liberados y aprobados
formalmente por los usuarios, auditores, funcin de informtica,
consultores, etc.
12. Una vez que el sistema est en operacin, qu funciones verifican que los
controles y procedimientos relativos a la seguridad se cumplan de manera
satisfactoria?
13. Los responsables de modificar los programas fuente del sistema en
operacin estn bien definidos?
13.1 Si es as, cmo se aseguran de que slo ellos tengan acceso a
dichos programas?
13.2 Cmo se aseguran que slo se modifiquen programas autorizados
en trminos formales y que se documenten en los manuales
correspondientes?
13.3 Cmo se aseguran los responsables de estos cambios de incluir los
controles de seguridad?
14. Hay un registro de los archivos existentes en cada sistema en operacin
(maestros y de movimientos)?
14.1 Si es as, existe un procedimiento que asegure que slo sean
accesados por personal autorizado?
14.2 Se tiene algn procedimiento para especificar cules funciones se
actualizarn, consultarn o eliminarn informacin de los archivos de
los sistemas en operacin?
14.3 Estn clasificados los procedimientos para actualizar archivos en
lnea o en lote?
15. Se cuenta con procedimientos de respaldo de los programas fluente,
de la documentacin y de los archivos en operacin?
16. El respaldo de la informacin se encuentra en el mismo edificio?
17. Sucede lo mismo con el equipo de cmputo?
18. Se tienen controles para que slo personal autorizado tenga acceso a
dichos respaldos?

3. PIan de contingencias y de recuperacin

1. Considera que tanto la alta direccin, usuarios como el personal de
informtica estn conscientes de que todos los recursos relacionados con
la informtica son activos del negocio y deben protegerse de una manera
formal y permanente? Por qu?
1.1 Cules de los siguientes recursos vinculados con informtica son
ms importantes para la organizacin y cules tienen ms y mejores
mtodos de proteccin para seguir operando y apoyando los objetivos
del negocio en condiciones optimas?

Grado de importancia Mtodos
formaIes
Recursos (B/I/N/M/NS) para su
proteccin

Humanos
MateriaIes
Financieros
TecnoIgicos
De informacin
* 8 bsico 1 = importante N = necesario M = mnimo NS no se sabe

Nota: Comprobar que los recursos considerados bsicos, importantes o
necesarios tengan los mtodos de seguridad para prevenir y enfrentar
contingencias; en caso de que no existan, se podr observar que dichas
consideraciones son ms tericas que prcticas. En cuanto a los recursos de
importancia mnima o desconocida, se preguntar el por qu de tales
afirmaciones.

1.2 Existen planes de contingencia y de Recuperacin de operaciones
para casos de contingencia o desastres?
1.3 Indique si dichos planes contemplan los siguientes aspectos:
Red de comunicaciones (RC)
hardware
Software, aplicaciones, datos
Recursos humanos
Lugares fsicos donde se localizan los recursos anteriores
Otros
1.4 Si es as, fueron difundidos formalmente en toda la organizacin?
1.5 Fueron elaborados por terceros, personal de informtica, usuarios o
se trat de un proyecto donde intervinieron varias reas del negocio?
2. En el proceso de planeacin de contingencias y recuperacin y de su
implantacin en la empresa, indique cules fueron las tareas realizadas,
cules estn pendientes, cules en desarrollo y quines son sus
responsables:

Tarea Situacin (D/T/NI) Productos terminados
1. Definicin de metas
y objetivos del plan
2. Evaluacin e identificacin
de riesgos
3. Elaboracin de acciones, polticas
y procedimientos por tipo de riesgo
4. Documentacin del plan
5. Aprobacin y difusin del plan
6. Simulacin del plan
7. Actualizacin del plan
* D en desarrollo T = terminada NI no iniciada

2.1 Se han presentado contingencias que hayan sido enfrentadas con el
plan de contingencias y de recuperacin diseado para la empresa?
Con qu resultados?
2.2 Si no tienen este plan, qu acciones han tomado para enfrentar tales
eventualidades y quines han sido los responsable de ejecutarlas?
3. Seale si poseen una funcin responsable de seguridad que verifique y de
seguimiento a los siguientes puntos:
Actualizacin formal de los planes
Capacitacin a los usuarios y personal de informtica en cuanto a la
aplicacin de los procedimientos contemplados en los planes
Supervisin y orientacin en la ejecucin de simulacros
Asignacin de los responsables de la ejecucin de las actividades
contempladas en los planes para:
Prevencin de contingencias.
Apoyo a la empresa en casos de desastres o de contingencias con el
fin de reducir en lo posible las prdidas humanas, equipos, datos, etc.
Reinicio inmediato o en el tiempo mnimo posible de las operaciones de
la empresa.
Otros.

4. Las funciones involucradas en dichos planes los han probado?
5. Contemplan todas las contingencias o desastres probables en la(s)
localidad(es) donde tiene instalaciones la organizacin (huelgas, diluvios,
robos, incendios, otros)?
6. Los planes cubren los procedimientos necesarios para prevenir los
elementos causales o restaurar los primordiales?
7. Se clasific el orden en que reiniciar la operacin de cada aplicacin de
acuerdo con las prioridades y estrategias del negocio?
8. Existen acuerdos con empresas o proveedores que tengan la misma
tecnologa (o que sea la ms compatible)?
9. Mencione si se cuenta con contratos legales que aseguren los siguientes
elementos de la funcin de informtica y de los departamentos usuarios:

Personal (de informtica y usuarios), equipos de cmputo, software,
aplicaciones, telecomunicaciones, edificios o instalaciones, entre otros.

10. Existe algn procedimiento formal para efectuar todo el proceso de
evaluacin,
seleccin y contratacin de los seguros? Cules son dichos
procedimientos?
10.1 Quines llevaron o estn llevando a cabo la negociacin de los
seguros?
10.2 En este proceso intervienen expertos en evaluacin de riesgos
(administrador, responsables de seguridad, auditores en informtica,
especialistas o expertos financieros)?
10.3 Qu plazos de cobertura marcan estos seguros?
10.4 Se tienen previstas acciones legales para prevenir posibles
incumplimientos por parte de las compaas aseguradoras?
11. Existe una clasificacin de los elementos prioritarios para que la operacin
de los sistemas bsicos no se interrumpa por un desastre o contingencia?
11.1 Indique si la clasificacin contempla los siguientes elementos: equipo
de cmputo, archivos, programas fuentes, lenguajes de desarrollo,
sistemas operativos, documentacin, personal, entre otros

Nota: Hay que comprobar si existe un programa de capacitacin formal para
que el personal usuario y de informtica tome conciencia de la importancia que
tiene el concepto de seguridad y la oportuna y correcta aplicacin de los
controles y procedimientos relativos a dicho concepto.

PLANEACIN DE INFORMTICA

Metodologa
Tcnicas
Herramientas
Capacitacin y actualizacin

Objetivos de la revisin

Detectar la existencia, formalizacin y conocimiento de la planeacin de
informtica en las reas clave del negocio
Verificar que la planeacin de informtica haya sido evaluada y aprobada
por la alta direccin.
Comprobar que la planeacin de informtica se enfoque en el soporte de
los objetivos, planes, polticas y estrategias de la empresa.
Evaluar el grado de compromiso por parte de la alta direccin con
informtica para determinar si el apoyo que brinda a la planeacin de
informtica es el adecuado.
Confirmar la existencia de una metodologa en informtica.
Investigar si existen tcnicas y herramientas de productividad para el
desarrollo del plan.
Comprobar que exista un proceso formal de capacitacin para el
entendimiento y manejo satisfactorio de la metodologa de planeacin en
informtica.
Evaluar el grado de cumplimiento de la metodologa, tcnicas y
herramientas en el proceso de planeacin de informtica.
Comprobar si la alta direccin, los responsables de las reas usuarias y
los responsables de informtica se han involucrado en el proceso de
planeacin de informtica.
Verificar si se da cumplimiento a los proyectos surgidos del plan de
informtica.
Evaluar el grado de dominio que tiene el personal de informtica sobre la
metodologa, tcnicas y herramientas de productividad que utilizan para
el desarrollo del plan de informtica.
Valorar el nivel de estandarizacin que tiene la metodologa de
planeacin de informtica con respecto a las aceptadas comnmente en
el mercado (fases, tareas, actividades, productos terminados, funciones y
responsabilidades, revisiones, aseguramiento de calidad, entre otros
puntos).

Nota: En caso de que personal externo realice la planeacin de informtica,
asegurar que se cumplan al menos las consideraciones mencionadas; adems,
obtener evidencia de la seriedad y confidenciabilidad de dichos asesores, por el
tipo de informacin que se maneja en este proceso.

PrincipaIes actividades para auditar esta rea

1. Comparar proyectos con la planeacin de auditoria.
2. Concertar citas con el personal que se va a entrevistar.
3. Revisar el formulario correspondiente y ver la conveniencia de actualizarlo
segn necesidades especificas del negocio.
4. Ratificar y formalizar las fechas de entrevistas y visitas.
5. Efectuar las entrevistas y visitas necesarias para cubrir los puntos de este
mdulo.
6. Elaborar un borrador con las principales conclusiones y recomendaciones.
7. Revisarlo con el encargado de la funcin de auditora en informtica.
8. Clasificar y almacenar la informacin de soporte en dispositivos de
almacenamiento seguros.
9. Revisar el borrador con el responsable del proyecto por parte de las reas
evaluadas.
10. Elaborar y documentar las conclusiones y recomendaciones finales de
esta revisin.
11. Anexar esta informacin al documento que contendr el informe final.

Requerimientos para eI xito de Ia revisin

1. Formalizar el apoyo de la alta direccin al auditor en informtica con el fin
de brindarle las facilidades necesarias para la ejecucin de su trabajo.
Algunas acciones de apoyo serian:

La alta direccin hace del conocimiento de las reas por auditar que
algunas de sus funciones sern revisadas y se requiere su apoyo.
Proporcionar la informacin requerida por el auditor en informtica.
Externar comentarios y sugerencias al auditor.

2. Conocimiento del auditor acerca de los aspectos que se evaluarn en este
mdulo; esto bsicamente se logra mediante una capacitacin terico-
prctica en los temas que se relacionan con la auditoria en informtica.

Tcnicas para obtener y evaluar la informacin (vase tabla H. 1)

MetodoIoga


1. Existe en su rea una metodologa para la planeacin de informtica?

Falta pag 299


1.1 Esta metodologa contempla qu hacer, quin debe hacerlo y cundo
debe hacerse durante los proyectos de planeacin de informtica?
1.2 Si es as, indique si tambin abarca los pasos y lineamientos
requeridos para la siguiente clasificacin de proyectos:

Planeacin de sistemas de informacin por desarrollar e implantar
(corto, mediano y largo plazos).
Desarrollo e implantacin de sistemas de las diferentes reas del
negocio.
Compra e implantacin de aplicaciones de mercado.
Adaptacin de aplicaciones adquiridas a externos (aplicaciones de
mercado).
Proyectos de telecomunicaciones.
Proyectos de investigacin tecnolgica (hardware, software,
telecomunicaciones, entre otros).
Proyectos de evaluacin y seleccin de proveedores de productos y
servicios.
Proyectos de desarrollo e implantacin de sistemas estratgicos de
informacin para toma de decisiones.
Proyectos de auditora y evaluacin de informtica.
Proyectos de desarrollo e implantacin de planes de contingencia y
recuperacin.
Proyectos de capacitacin o actualizacin ejecutiva, tcnica y de
usuarios.
Rediseo de sistemas existentes.
Desarrollo e implantacin de sistemas integrales en el negocio.
Aseguramiento de calidad.
Otros relacionados con la funcin de informtica.

1.3 Esta documentada formalmente dicha metodologa?
1.4 Si es as, indique si cubre cada uno de los siguientes puntos: *

Un panorama general de la metodologa
Equipos de trabajo sugeridos segn el tipo de proyecto
Etapas de la metodologa
Tareas de cada etapa
Secuencia de las etapas y tareas
Responsables e involucrados en cada etapa y tarea.
Productos terminados por cada etapa o tarea.
Requerimientos tcnicos y administrativos para el cumplimiento de cada
tarea.
Revisiones formales e informales sugeridas para cada etapa.
Duraciones estimadas de cada etapa del proyecto.
Consideraciones para proyectos especiales.

* El auditor en informtica debe verificar que la documentacin de la
metodologa contemple los diferentes proyectos mencionados en la pregunta
1.3.

2. Cmo se aseguran un compromiso formal, un desarrollo y seguimiento
eficientes, as como la aprobacin final de los proyectos si no se cuenta con
una metodologa que contenga lo mencionado en las preguntas 1.3, 1.4 y
1.5?
3. En caso de contar con una metodologa de planeacin de informtica, sta
fue desarrollada por personal de informtica de la empresa, se compr o se
renta cuando se requiere?
3.1 Se capacit al personal de desarrollo en el entendimiento y uso
prctico de la misma?
3.2 Indique si la capacitacin fue impartida de manera formal por grupos de
trabajo o individualmente y con casos prcticos o proyectos piloto.
3.3 Se evalu el grado de asimilacin de la metodologa? Cmo?
3.4 Si no se capacit al personal en el uso de la metodologa, cmo se
asegura su entendimiento y uso eficiente durante los proyectos?
3.5 Desde cundo estn usando dicha metodologa?
3.6 Se capacita al personal de desarrollo de reciente ingreso a la empresa
en el entendimiento y uso de la metodologa? Se contemplan los
puntos mencionados en la pregunta 3.2?
3.7 Se actualiza la metodologa cuando es necesario?
3.8 Qu actividades de investigacin o consulta se realizan para formular
cambios o adaptaciones en la metodologa?
3.9 Se documentan formalmente estos cambios?
3.10 Quin aprueba los cambios a la metodologa?
3.11 Capacitan formalmente al personal en lo referente a la
actualizacin de la metodologa?
4. Existe una congruencia de la metodologa de planeacin de informtica
con las metodologas recomendadas como .estndares en cl mercado?
5. Cmo se aseguran de que las metodologas de planeacin de informtica
compradas o rentadas a externos satisfagan los requerimientos del
negocio?
6. Mencione cules son las etapas, tareas, productos y los responsables del
proceso de planeacin de informtica que se lleva en la empresa (verificar la
congruencia con los estndares metodolgicos ms aceptados).

Etapa Tarea Productos ResponsabIe

6.1 Las etapas mencionadas deben cubrir al menos los siguientes
aspectos:

Estudio de la situacin actual y tendencias de los aspectos culturales,
tecnolgicos y econmicos, entre otros.
Anlisis de la competencia: fortalezas, debilidades, imagen, aspectos
financieros, etc.
Expectativas y grado de satisfaccin de los clientes: productos, servicios,
expectativas, oportunidades.
Evaluacin de la situacin actual del negocio: aspectos culturales,
tecnolgicos y econmicos, sistemas de informacin, fortalezas y debilidades.
Anlisis de los planes del negocio: metas, objetivos, planes tcticos y estrat-
gicos, etc..
Evaluacin de cada una de las reas del negocio en aspectos relativos a
sistemas de informacin, tecnologa, proyectos estratgicos, entre otros.
Anlisis y formulacin de las reas de oportunidad para apoyo a la alta
direccin: factores bsicos de xito, proyectos estratgicos, inversiones, ex-
pectativas, apoyo requerido de informtica, etc.
Elaboracin y formulacin del plan de informtica.
Proyectos tcticos y estratgicos que cubran los siguientes puntos:
Sistemas de informacin, administracin de la funcin, equipos de cmputo,
telecomunicaciones, auditora en informtica, investigacin de la tecnologa
de informtica, evaluacin y adquisicin de productos y servicios, proyectos
conjuntos alta direccin informtica, proyectos conjuntos entre usuarios e
informtica, etc.

Tcnicas

1. El personal de informtica sabe cules son las tcnicas requeridas para
el desarrollo, seguimiento y documentacin de las etapas de planeacin de
informtica?
1.2 Existen dichas tcnicas para la planeacin de informtica en la
empresa?
1.3 Se capacita formalmente al personal de desarrollo de sistemas en el
uso y aplicacin de estas tcnicas?
1.4 Se capacita al personal recin contratado en el manejo de las
mismas?
1.5 Qu procedimiento se utiliza para la capacitacin del personal de
desarrollo en el uso de metodologas y tcnicas?
2. Explique cules de las tcnicas siguientes son usadas en el desarrollo
de sistemas por su empresa:

Tcnica S NoEtapa donde se apIica
Listas de verificacin
Entrevistas
Listas de verificacin de aseguramiento de calidad
Control de proyectos
Anlisis organizacional (sistemas de negocio)
Anlisis costo/beneficio
Documentacin
Diagramacin
Modelacin de datos y procesos
Investigacin
Manejo de equipos de trabajo
Otros (especifique)
3. Quines y cmo determinaron cules eran las tcnicas requeridas para el
desarrollo e implantacin de sistemas de informacin del negocio?
311 Su uso est generalizado en la empresa? Cmo se aseguran deque
se aplique?

Herramientas


1. Existe una clasificacin de las herramientas de productividad utilizadas
por su empresa en la planeacin de informtica? (Entindase por
herramientas de productividad los medios computarizados hardware o
software y manuales
instrumentos de medicin, diagramacin, etc. que utiliza el personal de
informtica en la planeacin.)
1.2 Si es as, podra indicar cules de los siguientes utilizan en su
empresa?

Concepto Hardware Software Herramientas
manuaIes
Procesadores de palabras
Hojas electrnicas
Graficadores
Diagramadores
Presentadores
Generadores de
aplicaciones
Generadores de bases
de datos
Ingeniera de software
ndices de productividad
(benchmarks)
Otros (especifique)

1.3 Su uso est generalizado en la empresa? Cmo se aseguran de
que se aplique?

Capacitacin / actuaIizacin

Aspectos clave por evaluar;

1. Mencione si existen procedimientos formales para capacitar al personal de
planeacin de informtica (o puestos equivalentes) en:

Entendimiento y aplicacin de metodologa de planeacin de
informtica.
Tcnicas para efectuar las etapas de la planeacin de informtica.
Herramientas de productividad requeridas en la planeacin de
informtica.

1.2 Se documentan dichos procedimientos?
1.3 Hay un responsable directo de elaborar, actualizar, documentar y
definir estos procedimientos de capacitacin?
1.4 Cmo se asegura el cumplimiento oportuno de tales procedimientos?
1.5 Si existen, al menos contemplan lo siguiente?

Calendarios de los cursos.
Responsables de impartir los cursos (personal externo o interno).
Puestos o funciones que requieren dichos cursos.
Costos estimados de los cursos.
Beneficios esperados de cada curso.
Parmetros de medicin para asistentes y expositores.
Material requerido para cada curso.
Responsables de la organizacin de los cursos.

2. Si no se tiene un proceso formal de capacitacin, cmo se da seguimiento
al entendimiento, uso y actualizacin oportuna de la metodologa, tcnicas
y herramientas de productividad requeridas por parte del personal durante
la planeacin de informtica?
3. El responsable de informtica est consciente de la importancia que tiene
la actualizacin y mejoramiento continuos del personal de desarrollo de
sistemas de informacin para la implantacin de soluciones del negocio?
4. Cuando intervienen terceros (personal externo) en proyectos de planeacin
de informacin, cmo se aseguran de que la metodologa, tcnicas y
herramientas de productividad que usan cubran por lo menos los
estndares (o normas) mnimos de la empresa? Qu se hace si la
organizacin no tiene dichos estndares definidos?

Aspectos complementarios

El auditor en informtica ha de recomendar al menos los siguientes puntos:

a) Documentar formalmente los siguientes aspectos relevantes del negocio:

Misin
Objetivos
Estrategias
Oportunidades
Fortalezas
Debilidades
Amenazas
Planes a corto, mediano y largo plazos
Polticas
Funciones primordiales
Informacin bsica para dichas funciones
Requerimientos
Otros

b) Dirigir el plan de informtica a las estrategias y objetivos del negocio
orientados a planes de corto, mediano y largo plazos.
c) Que sea aprobada formalmente por la alta direccin.
d) Participacin de los usuarios en la definicin, formalizacin y aprobacin del
plan.
e) Darle seguimiento formal a dicha planeacin elaborando y revisando
reportes especficos.
A Utilizar siempre una metodologa formal de planeacin de informtica.
g) La metodologa debe cubrir los aspectos ms relevantes de las
metodologas habituales.
h) La funcin de informtica ha de desarrollar los proyectos con base en el
plan maestro de informtica.
i) Debe existir una funcin de administracin de los proyectos de informtica
para el seguimiento del plan de informtica, actualizacin del plan, etc.
j) Todos los proyectos de informtica tendrn un anlisis costo / beneficio.
k) Realizar estudios de manera peridica para tener:
Una evaluacin de la eficiencia en el uso de la tecnologa informtica
Una evaluacin de la infraestructura tecnolgica actual.
Una evaluacin de los sistemas de informacin.
Una evaluacin de los datos de los sistemas.
Una evaluacin de la funcin de informtica (aspectos administrativos).

Con base en los puntos mencionados, resolver el siguiente cuestionario:
1. Se tienen estrategias claras y documentadas para la implantacin de
los proyectos de la planeacin?
2. Estn bien definidas las funciones y responsabilidades de los recursos
involucrados en cada proyecto?
3. Estn conscientes la alta direccin e informtica del compromiso que se
deriva de la planeacin?
4. Est consciente la alta direccin del apoyo que requiere la funcin de
informtica para el logro satisfactorio de cada proyecto de la planeacin?
5. Se tiene contemplada la participacin de asesores externos en el
desarrollo de ciertos proyectos?
6. Se utiliz algn procedimiento formal para la seleccin del mejor asesor?
7. Indique si se cuenta con polticas y procedimientos formales para proyectos
de:
Evaluacin y adquisicin del hardware y software.
Desarrollo de sistemas de informacin.
Telecomunicaciones.
Intercambio electrnico de datos.
Automatizacin de oficinas.
Automatizacin de procesos de produccin.
Otros.

Auditoria TI y Evaluacion de La Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria TI y Evaluacion de La Seguridad

Cargado por

Copyright:

Formatos disponibles

Ing.

Martn Figueroa Revilla

También podría gustarte