DESARROLLO DE LA AUDITORA INFORMTICA 2.1 PLANEACIN DE LA AUDITORA INFORMTICA
Definicin de Auditora
Examen sistemtico independiente y documentado para obtener evidencias y evaluarlas objetivamente a fin de determinar hasta qu punto los criterios de auditora se cumplen. (ISO 9000:2000 ISO 19011).
2.1.1. NORMAS Y ESTNDARES. Algunas normas y estndares relacionados con proyectos de Tecnologas de la Informacin se presentan a continuacin. o SEI (Software Engineering Institute - Instituto de Ingeniera de Software). o IEEE (Institute of Electrical and Electronics Engineers - Instituto de Ingenieros Elctricos y Electrnicos). o ISO (International Organization for Standarization - Organizacin Internacional de Estandarizacin). o SPICE (Software Process Improvement and Capability dEtermination Mejoramiento de procesos de Software y determinacin de capacidad).
ISO 9000
La norma ISO 900 surge debido a la retroalimentacin de los usuarios, el desarrollo de los modelos de evaluacin y mejora continua, as como las crticas ISO 9000 constituye las Normas para la gestin y garanta de la calidad. La familia ISO est formada por: o ISO 9001, Modelo para la garanta de la calidad en diseo/desarrollo, produccin, instalacin y servicio. o ISO 9002, Modelado para garantizar la calidad en produccin y servicios. o ISO 9003, Modelos para garantizar la calidad en inspeccin final y pruebas.
PLANEACIN DE LA AUDITORA INFORMTICA
ISO 9126 El estndar ISO-9126 establece que cualquier componente de la calidad del software puede ser descrito en trminos de una o ms de seis caractersticas bsicas que se presentan en la tabla.
Caractersticas Pregunta central Funcionalidad Las funciones y propiedades satisfacen las necesidades explcitas e implcitas; esto es, el que . . .? Confiablidad Puede mantener el nivel de rendimiento, bajo ciertas condiciones y por cierto tiempo? Usabilidad El software es fcil de usar y de aprender? Eficiencia Es rpido y minimalista en cuanto al uso de recursos? Mantenibilidad Es fcil de modificar y verificar? Portabilidad Es fcil de transferir de un ambiente a otro? Tabla 1.1. Caractersticas de ISO-9126 y aspecto que atiende cada una
ISO 15504 (SPICE, Software Process Improvement and Capability Determination)
ISO/IEC 15504 es un emergente estndar internacional de evaluacin y determinacin de la capacidad y mejora continua de procesos de ingeniera del software, con la filosofa de desarrollar un conjunto de medidas de capacidad estructuradas para todos los procesos del ciclo de vida y para todos los participantes.
Los Cinco Niveles De Madurez En Los Procesos De Creacin Del Software Define un conjunto de buenas prcticas que habrn de ser: Definidas en un procedimiento documentado Provistas (la organizacin) de los medios y formacin necesarios Ejecutadas de un modo sistemtico, universal y uniforme (institucionalizadas) Medidas Verificadas
PLANEACIN DE LA AUDITORA INFORMTICA
CMMI define un conjunto de reas clave del proceso, que describen las funciones de ingeniera del software que deben llevarse a cabo para el desarrollo de una buena prctica, agrupadas en cinco niveles inclusivos. Estos niveles sirven de referencia para el conocimiento del estado de la madurez del proceso del software en la organizacin.
Dentro de los Captulos Tcnicos ms importantes se encuentran los siguientes: 1. Circuitos y Sistemas 2. Comunicaciones 3. Computacin 4. Educacin 5. Compatibilidad Electromagntica 6. Dispositivos Electrnicos 7. Ingeniera en Medicina y Biologa 8. Gerencia de Ingeniera 9. Electrnica Industrial 10. Aplicaciones Industriales 11. Ingeniera de Potencia 12. Comunicacin Profesional Planificacin del aseguramiento de la calidad en un proyecto Siguiendo el estndar IEEE (Std 1074/ 1991, estndar para el desarrollo de software ciclo de procesos), al iniciar un proyecto software hay que: 1. Seleccionar uno o varios del ciclo de vida, y concretarlo luego en uno determinado para dicho proyecto. 2. Definir los aspectos relacionados con la financiacin y viabilidad del proyecto CMM: un modelo para la mejora de Procesos de Software
Objetivo: Mejorar la calidad de los procesos de desarrollo, gestin y mantenimiento de software Para conseguirlo se aplican las bases de la Gestin de la Calidad Total (Total Quality Management) en la Ingeniera del Software. o Mejora la gestin de la calidad es, en gran medida, responsabilidad de la direccin o La mejora de la calidad debe basarse en mejorar los procesos y no en las personas o Hay que medir la mejora de la calidad o Se necesitan incentivos para mantener un esfuerzo de mejora o La mejora de la calidad es un proceso continuo PLANEACIN DE LA AUDITORA INFORMTICA
3. Definir las metodologas, tcnicas y herramientas a utilizar 4. Planificar la gestin del proyecto de software
PSP (Personal Software Process) Qu es el PSP? Un PSP es un proceso personal desarrollar software que tiene: 1. pasos definidos 2. formularios 3. estndares
Un PSP es un marco de trabajo de medicin y anlisis que te ayuda a caracterizar tu proceso. Es tambin un procedimiento definido para ayudarte a mejorar tu rendimiento. El diseo de PSP se basa en los siguientes principios de planeacin y de calidad. Cada ingeniero es esencialmente diferente; para ser ms precisos, los ingenieros deben planear su trabajo y basar sus planes en sus propios datos personales. Para desarrollar productos de calidad, los ingenieros deben sentirse personalmente comprometidos con la calidad de sus productos.
Estructura del PSP El PSP se aplica en tareas personales estructuradas: 1. Desarrollo de mdulos de programas. 2. Definicin de requisitos o procesos. 3. Realizacin de revisiones o pruebas. 4. Escritura de documentacin, etc. 5. El PSP se puede extender al desarrollo de sistemas software de gran tamao. 6. Es un proceso de Nivel 5 para los individuos y es un prerrequisito para el TSP
PLANEACIN DE LA AUDITORA INFORMTICA
Logs de Registro de defectos El estndar de tipos de defectos proporciona un conjunto general de categoras de defectos. Aunque t puedes reemplazar este estndar por el tuyo propio, es deseable que te manejes con estas definiciones simples de tipos hasta que tengas datos que te puedan guiar en las modificaciones. Estos estndares se utilizaron para llenar los logs de Registro de defectos.
METRICAS DEL PSP Con datos de tamao, tiempo y defectos, existen muchas formas de medir, evaluar, y manejar la calidad de un programa. PSP provee una serie de mediciones de calidad que ayudan a los desarrolladores a examinar la calidad de sus programas desde varias perspectivas.
Las principales mediciones de calidad son: 1. Densidad de defectos 2. ndice de revisin 3. ndices de tiempo de desarrollo 4. ndices de defectos 5. Rendimiento 6. Defectos por hora 7. Efectividad de remocin de defectos 8. Evaluacin del ndice de fallas
TSP (Team Software Process) El resultado final es que incluso aunque un equipo de ingenieros est entrenado en PSP, todava les queda combinar sus procesos de trabajo personal dentro de un nico proceso de equipo. Esto es para ellos un problema, incluso en los ms altos niveles de CMMI. Por esta razn se ha desarrollado Team Software Process SM (TSPSM).
PLANEACIN DE LA AUDITORA INFORMTICA
TSP tiene 4 objetivos principales: 1. Construir equipos auto dirigido que planifiquen y realicen un seguimiento de su trabajo, estableciendo metas adems sus propios procesos y planes. 2. Mostrar a los directores como entrenar y motivar a sus equipos y como ayudarles para mantenerles en el ms alto nivel de desarrollo. 3. Acelerar la mejora del proceso software haciendo normal la conducta del Nivel 5 de CMMI 4. Mejorar la direccin para obtener organizaciones de un alto nivel de madurez
Roles del TSP La puesta en marcha de un proyecto TSP incluye los siguientes pasos: 1. Revisar con la direccin los objetivos del proyecto. 2. Establecer los roles del equipo. 3. Documentar los objetivos del equipo. 4. Producir la totalidad de la estrategia de desarrollo.
2.1.2 FASES DE LA AUDITORIA INFORMATICA
Los servicios de auditora en general constan de las siguientes fases: Planeacin PREPARACIN Investigacin Lista de chequeo
Reunin apertura Entrevista EJECUCIN Recoleccin pruebas Anlisis Documentos/Registros Reunin cierre Observacin de actividades en reas Hallazgos de la auditoria de inters
Solicitud de Acciones Correctivas INFORME Informe Final Seguimiento acciones correctivas PLANEACIN DE LA AUDITORA INFORMTICA
2.1.3. ELEMENTOS DE LA PLANEACIN DE LA AUTORIA INFORMTICA o Algunos Elementos de la planeacin de la Auditoria Informtica se ponen a continuacin: o Objetivo y alcance de la auditoria. o Personas (o funciones) a ser auditadas. o Elementos del sistema de calidad aplicables. o Documentos de referencia aplicables. o Miembros del equipo auditor. o Idioma (si es aplicable). o Lugar y fecha de la auditoria. o Tiempo de reunin de apertura y cierre o Requisitos de confidencialidad. o Distribucin del informe y fecha esperada de publicacin.
o Actividades propiamente dichas de la Auditoria o Auditoria por temas generales o por reas especficas: o La auditoria Informtica general se realiza por reas generales o por reas especficas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y mayores recursos.
Tcnicas de Trabajo: o - Anlisis de la informacin recabada del auditado. o - Anlisis de la informacin propia. o - Cruzamiento de las informaciones anteriores. o - Entrevistas.
Herramientas: o - Cuestionario general inicial. o - Cuestionario Checklist. o - Estndares. o - Monitores. o - Simuladores (Generadores de datos). o - Paquetes de auditora (Generadores de Programas). o - Matrices de riesgo.
PLANEACIN DE LA AUDITORA INFORMTICA
2.1.4. LISTAS DE VERIFICACIN DEFINICIN.- Derrotero con los aspectos a ser auditados y que permite ir registrando durante su ejecucin, las diversas observaciones y hallazgos encontrados. o RECOMENDACIONES PARA LA LISTA DE VERIFICACIN: o Evaluacin del conocimiento del auditado o Disponibilidad del procedimiento o Verificacin del cumplimento de la norma o Observar auditorias anteriores
2.2 Evaluacin de la seguridad Una auditoria de seguridad informtica o auditoria de seguridad de sistemas de informacin (SI) es el estudio que comprende el anlisis y gestin de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores 2.2.1. Modelo de seguridad La expresin de seguridad informtica, que es la mas usada, puede llegar a relacionarse solo con los equipos y entornos tcnicos, como si la informacin en otros soportes y ambiente no requiera proteccin, cuando son las propias operaciones de la entidad, el negocio de la entidades con animo de lucro, lo que requiere proteccin. 2.2.2. REAS QUE PUEDEN CUBRIR LA AUDITORIA DE LA SEGURIDAD Las reas generales citadas, algunas de las cuales se aplican des pues son: Lo que hemos denominado controles directivos, es decir los fundamentos de seguridad: polticas, planes, funcionesetc. El desarrollo de las polticas. Amenazas fsicas externas. PLANEACIN DE LA AUDITORA INFORMTICA
Control de accesos adecuados tanto fsicos como los denominados lgicos. Proteccin de datos lo que fije la LORTAD y su reglamento .Comunicaciones y redes: topologas y tipos de comunicaciones, proteccin antivirus. El entorno de produccin, entendido como tal explotacin mas tcnica de sistemas y con especial nfasis en el cumplimientos de contratos. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que estos resulten auditables. 2.2.3. FASES DE LA AUDITORIA DE SEGURIDAD
Con carcter general pueden ser: Concrecin de los objetivos y de limitacin del alcance y profundidad de la auditoria, as como el periodo cubierto en su caso. Anlisis de posibles fuentes y recopilacin de informacin: en el caso de los internos este proceso puede no existir. Determinacin del plan de trabajo y de los recursos y plazos en casos necesarios, as como en la comunicacin en la entidad. Adaptacin de cuestionarios, y a veces consideracin de herramientas o perfiles de especialistas necesarios, sobretodo en la auditora externa. Realizacin de entrevistas y pruebas. Anlisis de resultados y valoracin de riesgos. Presentacin y discusiones del informe provisional. Informe definitivo.
2.2.4. AUDITORIA DE LA SEGURIDAD FSICA Se evaluaran las protecciones fsicas de datos, programas instalaciones, equipos redes y soportes, y por supuesto habr que considerar a las personas, que estn protegidas y existan medidas de evacuacin, alarmas, salidas alternativas, as como que no estn expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso en el sector. PLANEACIN DE LA AUDITORA INFORMTICA
AMENAZAS Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo, incendios, inundaciones, averas importantes, derrumbamientos, explosiones, as como otros que afectan a las personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, epidemias o intoxicaciones.
PROTECCIONES FSICAS ALGUNOS ASPECTOS A CONSIDERAR: Ubicacin del centro de procesos, de los servidores locales, y en general de cualquier elemento a proteger. Estructura, diseo, construccin y distribucin de los edificios y de sus platas. Riesgos a los accesos fsicos no controlados. Amenaza de fuego, problemas en el suministro elctrico. Evitar sustituciones o sustraccin de quipos, componentes, soportes magnticos, documentacin u otros activos.
AUDITORIA DE LA SEGURIDAD LOGICA Es necesario verificar que cada usuario solo pude acceder a los recursos que sele autorice el propietario, aunque sea de forma genrica, segn su funcin, y con las posibilidades que el propietario haya fijado: lectura, modificacin, borrado, ejecucin, traslado a los sistemas lo que representaramos en una matriz de accesos. Aspectos a evaluar respecto a las contraseas pueden ser: Quien asigna la contrasea inicial y sucesivas. Longitud mnima y composicin de caracteres. Vigencia, incluso puede haberlas de un solo uso o dependientes de una funcin tiempo. Control para no asignar las x ultimas. PLANEACIN DE LA AUDITORA INFORMTICA
AUDITORIA DE LA SEGURIDAD DE LOS DATOS Proceso de los datos: controles de validacin, integridad, almacenamiento: que existan copias suficientes, sincronizadas y protegidas. Salida de resultados: controles en transmisiones, en impresin, en distribucin. Retencin de la informacin y proteccin en funciona de su clasificacin: destruccin de los diferentes soportes que la contengan cuando ya no sea necesaria, o bien des magnetizacin. Designacin de propietarios: clasificacin de los datos, restriccin de su uso para pruebas, inclusin de muescas para poder detectar usos no autorizados. Clasificacin de los datos e informacin: debe revisarse quien la ha realizado y segn qu criterios y estndares; no suele ser prctico que haya mas de cuatro o cinco niveles. Cliente-servidor: es necesario verificar los controles en varios puntos, y no solo en uno central como en otros sistemas, y a veces en plataformas heterogneas, con niveles y caractersticas de seguridad muy diferentes, y con posibilidad de transferencia de ficheros o de captacin y exportacin de datos que pueden perder sus protecciones al pasar de una plataforma a otra. Encrespamiento El encrespamiento es una forma efectiva de disminuir los riesgos en el uso de tecnologa. Implica la codificacin de informacin que puede ser transmitida va una red de cmputo o un disco para que solo el emisor y el receptor la puedan leer. En teora, cualquier tipo de informacin computarizada puede ser encriptada. En la prctica, se le utiliza con mayor frecuencia cuando la informacin se transmite por correo electrnico o internet.
AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES En las polticas de entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, tal vez salvo PLANEACIN DE LA AUDITORA INFORMTICA
emergencias concretas si all se ha especificado y mas bien para comunicaciones con voz. Internet e Intranet: separacin de dominios e implantacin de medidas especiales, como normas y cortafuegos(firewall), y no solo en relacin con la seguridad sino por acceso no justificados por la funcin desempeada, como a paginas de ocio o erticas, por lo que pueden suponer para la productividad. Correo electrnico: tanto por privacidad y para evitar virus como para que el uso del correo sea adecuado y referido ala propia funcin, y no utilizado para fines particulares. Proteccin de programas: y tanto la prevencin del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso. Control sobre las paginas Web: quien puede modificarlo y desde donde, finalmente preocupan tambin los riesgos que pueden existir en el comercio electrnico. 2.2.6. Planes de contingencia y procedimientos de respaldo para casos de desastre. Frente a otras denominaciones que en principio descartamos como Recuperacin de Desastres o Plan de Desastres ( si nos parece adecuada Plan de Recuperacin ante desastres , pero las incidencias a prever son tambin de otros niveles). En la auditoria es necesario revisar si existe tal plan, completo y actualizado, si cubre los diferentes procesos, reas y plataformas, si existen planes diferentes segn entornos, evaluar en todo caso su idoneidad, los resultados de las pruebas que se hayan realizado, y si permiten garantizar razonablemente que en caso necesario y a travs de los medios alternativos, propios o contratados, podra permitir la reanudacin de las operaciones en un tiempo inferior al fijado por los responsables del uso de las aplicaciones, que a veces son tambin los propietarios de las mismas pero podran no serlo. PLANEACIN DE LA AUDITORA INFORMTICA
Conclusin Aunque las implantaciones de la seguridad van siendo ms sofisticados y llegando a reas o aspectos casi desconocidos hace aos, esto no implica que estn plenamente resueltos lo mas bsicos: encontramos bastantes deficiencias en controles fsicos, no tanto porque no existan cuanto por las brechas o descuidos que se pueden encontrar. La auditoria en sistemas de informacin no esta suficientemente implantada en la mayora de las entidades espaolas, si bien supondra una mayor garanta de que las cosas se hacen bien y como la entidad quiere: en general hay coincidencia entre ambos puntos.
Como funcin aporta al auditor un conocimiento privilegiado del rea de Sistemas de Informacin con una perspectiva muy amplia. La forma de realizar el trabajo va variando y se est llegando a aplicar el control por excepcin y la tele auditora.