Desarrollo de La Auditoría Informática

PLANEACIN DE LA AUDITORA INFORMTICA
DESARROLLO DE LA AUDITORA INFORMTICA

Unidad 2:

Alumna:
Anglica Aguilar Cruz

Materia:
Auditoria de Sistemas de TI

Carrera:
Tecnlogas de la Informacin y Comunicacin

Grado:
9 B

Docente:
M.A I.E.C. Heriberto Ren Saldaa Saldaa


INDICE

Presentacin.1

Incide...2

2.1 Planeacin de la auditoria informtica3

2.2. Evaluacin de la seguridad....10

Conclusin..15

Bibliografa..16


DESARROLLO DE LA AUDITORA INFORMTICA
2.1 PLANEACIN DE LA AUDITORA INFORMTICA

Definicin de Auditora

Examen sistemtico independiente y documentado para obtener evidencias y
evaluarlas objetivamente a fin de determinar hasta qu punto los criterios de
auditora se cumplen. (ISO 9000:2000 ISO 19011).

2.1.1. NORMAS Y ESTNDARES.
Algunas normas y estndares relacionados con proyectos de Tecnologas de la
Informacin se presentan a continuacin.
o SEI (Software Engineering Institute - Instituto de Ingeniera de Software).
o IEEE (Institute of Electrical and Electronics Engineers - Instituto de
Ingenieros Elctricos y Electrnicos).
o ISO (International Organization for Standarization - Organizacin
Internacional de Estandarizacin).
o SPICE (Software Process Improvement and Capability dEtermination
Mejoramiento de procesos de Software y determinacin de capacidad).

ISO 9000

La norma ISO 900 surge debido a la retroalimentacin de los usuarios, el
desarrollo de los modelos de evaluacin y mejora continua, as como las crticas
ISO 9000 constituye las Normas para la gestin y garanta de la calidad.
La familia ISO est formada por:
o ISO 9001, Modelo para la garanta de la calidad
en diseo/desarrollo, produccin, instalacin y servicio.
o ISO 9002, Modelado para garantizar la calidad en
produccin y servicios.
o ISO 9003, Modelos para garantizar la calidad en
inspeccin final y pruebas.


ISO 9126
El estndar ISO-9126 establece que cualquier componente de la calidad del
software puede ser descrito en trminos de una o ms de seis caractersticas
bsicas que se presentan en la tabla.

Caractersticas Pregunta central
Funcionalidad Las funciones y propiedades satisfacen las necesidades explcitas e
implcitas; esto es, el que . . .?
Confiablidad Puede mantener el nivel de rendimiento, bajo ciertas condiciones y por cierto
tiempo?
Usabilidad El software es fcil de usar y de aprender?
Eficiencia Es rpido y minimalista en cuanto al uso de recursos?
Mantenibilidad Es fcil de modificar y verificar?
Portabilidad Es fcil de transferir de un ambiente a otro?
Tabla 1.1. Caractersticas de ISO-9126 y aspecto que atiende cada una

ISO 15504 (SPICE, Software Process Improvement and Capability
Determination)

ISO/IEC 15504 es un emergente estndar internacional de evaluacin y
determinacin de la capacidad y mejora continua de procesos de ingeniera del
software, con la filosofa de desarrollar un conjunto de medidas de capacidad
estructuradas para todos los procesos del ciclo de vida y para todos los
participantes.

Los Cinco Niveles De Madurez En Los Procesos De Creacin Del Software
Define un conjunto de buenas prcticas que habrn de ser:
Definidas en un procedimiento documentado
Provistas (la organizacin) de los medios y formacin necesarios
Ejecutadas de un modo sistemtico, universal y uniforme (institucionalizadas)
Medidas
Verificadas


CMMI define un conjunto de reas clave del proceso, que describen las funciones
de ingeniera del software que deben llevarse a cabo para el desarrollo de una
buena prctica, agrupadas en cinco niveles inclusivos. Estos niveles sirven de
referencia para el conocimiento del estado de la madurez del proceso del software
en la organizacin.

Dentro de los Captulos Tcnicos ms importantes se encuentran los siguientes:
1. Circuitos y Sistemas
2. Comunicaciones
3. Computacin
4. Educacin
5. Compatibilidad Electromagntica
6. Dispositivos Electrnicos
7. Ingeniera en Medicina y Biologa
8. Gerencia de Ingeniera
9. Electrnica Industrial
10. Aplicaciones Industriales
11. Ingeniera de Potencia
12. Comunicacin Profesional
Planificacin del aseguramiento de la calidad en un proyecto
Siguiendo el estndar IEEE (Std 1074/ 1991, estndar para el desarrollo de
software ciclo de procesos), al iniciar un proyecto software hay que:
1. Seleccionar uno o varios del ciclo de vida, y concretarlo luego en uno
determinado para dicho proyecto.
2. Definir los aspectos relacionados con la financiacin y viabilidad del proyecto
CMM: un modelo para la mejora de Procesos de Software

Objetivo: Mejorar la calidad de los procesos de desarrollo, gestin y mantenimiento de software
Para conseguirlo se aplican las bases de la Gestin de la Calidad Total (Total Quality Management) en
la Ingeniera del Software.
o Mejora la gestin de la calidad es, en gran medida, responsabilidad de la direccin
o La mejora de la calidad debe basarse en mejorar los procesos y no en las personas
o Hay que medir la mejora de la calidad
o Se necesitan incentivos para mantener un esfuerzo de mejora
o La mejora de la calidad es un proceso continuo

3. Definir las metodologas, tcnicas y herramientas a utilizar
4. Planificar la gestin del proyecto de software

PSP (Personal Software Process)
Qu es el PSP?
Un PSP es un proceso personal desarrollar software que tiene:
1. pasos definidos
2. formularios
3. estndares

Un PSP es un marco de trabajo de medicin y anlisis que te ayuda a
caracterizar tu proceso.
Es tambin un procedimiento definido para ayudarte a mejorar tu rendimiento.
El diseo de PSP se basa en los siguientes principios de planeacin y de calidad.
Cada ingeniero es esencialmente diferente; para ser ms precisos, los
ingenieros deben planear su trabajo y basar sus planes en sus propios datos
personales.
Para desarrollar productos de calidad, los ingenieros deben sentirse
personalmente comprometidos con la calidad de sus productos.

Estructura del PSP
El PSP se aplica en tareas personales estructuradas:
1. Desarrollo de mdulos de programas.
2. Definicin de requisitos o procesos.
3. Realizacin de revisiones o pruebas.
4. Escritura de documentacin, etc.
5. El PSP se puede extender al desarrollo de sistemas software de gran tamao.
6. Es un proceso de Nivel 5 para los individuos y es un prerrequisito para el TSP


Logs de Registro de defectos
El estndar de tipos de defectos proporciona un conjunto general de categoras de
defectos. Aunque t puedes reemplazar este estndar por el tuyo propio, es
deseable que te manejes con estas definiciones simples de tipos hasta que tengas
datos que te puedan guiar en las modificaciones. Estos estndares se utilizaron
para llenar los logs de Registro de defectos.

METRICAS DEL PSP
Con datos de tamao, tiempo y defectos, existen muchas formas de medir,
evaluar, y manejar la calidad de un programa. PSP provee una serie de
mediciones de calidad que ayudan a los desarrolladores a examinar la calidad de
sus programas desde varias perspectivas.

Las principales mediciones de calidad son:
1. Densidad de defectos
2. ndice de revisin
3. ndices de tiempo de desarrollo
4. ndices de defectos
5. Rendimiento
6. Defectos por hora
7. Efectividad de remocin de defectos
8. Evaluacin del ndice de fallas

TSP (Team Software Process)
El resultado final es que incluso aunque un equipo de ingenieros est entrenado
en PSP, todava les queda combinar sus procesos de trabajo personal dentro de
un nico proceso de equipo. Esto es para ellos un problema, incluso en los ms
altos niveles de CMMI. Por esta razn se ha desarrollado Team Software Process
SM (TSPSM).


TSP tiene 4 objetivos principales:
1. Construir equipos auto dirigido que planifiquen y realicen un seguimiento de su
trabajo, estableciendo metas adems sus propios procesos y planes.
2. Mostrar a los directores como entrenar y motivar a sus equipos y como ayudarles
para mantenerles en el ms alto nivel de desarrollo.
3. Acelerar la mejora del proceso software haciendo normal la conducta del Nivel 5
de CMMI
4. Mejorar la direccin para obtener organizaciones de un alto nivel de madurez

Roles del TSP
La puesta en marcha de un proyecto TSP incluye los siguientes pasos:
1. Revisar con la direccin los objetivos del proyecto.
2. Establecer los roles del equipo.
3. Documentar los objetivos del equipo.
4. Producir la totalidad de la estrategia de desarrollo.

2.1.2 FASES DE LA AUDITORIA INFORMATICA

Los servicios de auditora en general constan de las siguientes fases:
Planeacin
PREPARACIN Investigacin
Lista de chequeo

Reunin apertura Entrevista
EJECUCIN Recoleccin pruebas Anlisis Documentos/Registros
Reunin cierre Observacin de actividades en
reas Hallazgos de la auditoria de inters

Solicitud de Acciones Correctivas
INFORME Informe Final
Seguimiento acciones correctivas

2.1.3. ELEMENTOS DE LA PLANEACIN DE LA AUTORIA
INFORMTICA
o Algunos Elementos de la planeacin de la Auditoria Informtica se ponen a
continuacin:
o Objetivo y alcance de la auditoria.
o Personas (o funciones) a ser auditadas.
o Elementos del sistema de calidad aplicables.
o Documentos de referencia aplicables.
o Miembros del equipo auditor.
o Idioma (si es aplicable).
o Lugar y fecha de la auditoria.
o Tiempo de reunin de apertura y cierre
o Requisitos de confidencialidad.
o Distribucin del informe y fecha esperada de publicacin.

o Actividades propiamente dichas de la Auditoria
o Auditoria por temas generales o por reas especficas:
o La auditoria Informtica general se realiza por reas generales o por reas
especficas. Si se examina por grandes temas, resulta evidente la mayor
calidad y el empleo de ms tiempo total y mayores recursos.

Tcnicas de Trabajo:
o - Anlisis de la informacin recabada del auditado.
o - Anlisis de la informacin propia.
o - Cruzamiento de las informaciones anteriores.
o - Entrevistas.

Herramientas:
o - Cuestionario general inicial.
o - Cuestionario Checklist.
o - Estndares.
o - Monitores.
o - Simuladores (Generadores de datos).
o - Paquetes de auditora (Generadores de Programas).
o - Matrices de riesgo.


2.1.4. LISTAS DE VERIFICACIN
DEFINICIN.- Derrotero con los aspectos a ser auditados y que permite ir
registrando durante su ejecucin, las diversas observaciones y hallazgos
encontrados.
o RECOMENDACIONES PARA LA LISTA DE VERIFICACIN:
o Evaluacin del conocimiento del auditado
o Disponibilidad del procedimiento
o Verificacin del cumplimento de la norma
o Observar auditorias anteriores

2.2 Evaluacin de la seguridad
Una auditoria de seguridad informtica o auditoria de seguridad de sistemas de
informacin (SI) es el estudio que comprende el anlisis y gestin de sistemas
para identificar y posteriormente corregir las diversas vulnerabilidades que
pudieran presentarse en una revisin exhaustiva de las estaciones de
trabajo, redes de comunicaciones o servidores
2.2.1. Modelo de seguridad
La expresin de seguridad informtica, que es la mas usada, puede llegar a
relacionarse solo con los equipos y entornos tcnicos, como si la informacin en
otros soportes y ambiente no requiera proteccin, cuando son las propias
operaciones de la entidad, el negocio de la entidades con animo de lucro, lo que
requiere proteccin.
2.2.2. REAS QUE PUEDEN CUBRIR LA AUDITORIA DE LA SEGURIDAD
Las reas generales citadas, algunas de las cuales se aplican des pues son:
Lo que hemos denominado controles directivos, es decir los fundamentos
de seguridad: polticas, planes, funcionesetc.
El desarrollo de las polticas.
Amenazas fsicas externas.

Control de accesos adecuados tanto fsicos como los denominados lgicos.
Proteccin de datos lo que fije la LORTAD y su reglamento
.Comunicaciones y redes: topologas y tipos de comunicaciones, proteccin
antivirus.
El entorno de produccin, entendido como tal explotacin mas tcnica de
sistemas y con especial nfasis en el cumplimientos de contratos.
El desarrollo de aplicaciones en un entorno seguro, y que se incorporen
controles en los productos desarrollados y que estos resulten auditables.
2.2.3. FASES DE LA AUDITORIA DE SEGURIDAD

Con carcter general pueden ser:
Concrecin de los objetivos y de limitacin del alcance y profundidad de la
auditoria, as como el periodo cubierto en su caso.
Anlisis de posibles fuentes y recopilacin de informacin: en el caso de los
internos este proceso puede no existir.
Determinacin del plan de trabajo y de los recursos y plazos en casos
necesarios, as como en la comunicacin en la entidad.
Adaptacin de cuestionarios, y a veces consideracin de herramientas o
perfiles de especialistas necesarios, sobretodo en la auditora externa.
Realizacin de entrevistas y pruebas.
Anlisis de resultados y valoracin de riesgos.
Presentacin y discusiones del informe provisional.
Informe definitivo.

2.2.4. AUDITORIA DE LA SEGURIDAD FSICA
Se evaluaran las protecciones fsicas de
datos, programas instalaciones, equipos
redes y soportes, y por supuesto habr
que considerar a las personas, que estn
protegidas y existan medidas de
evacuacin, alarmas, salidas alternativas, as como que no estn expuestas a
riesgos superiores a los considerados admisibles en la entidad e incluso en el
sector.

AMENAZAS
Pueden ser muy diversas: sabotaje, vandalismo,
terrorismo accidentes de distinto tipo, incendios,
inundaciones, averas importantes,
derrumbamientos, explosiones, as como otros que
afectan a las personas y pueden impactar el
funcionamiento de los centros, tales como errores,
negligencias, huelgas, epidemias o intoxicaciones.

PROTECCIONES FSICAS ALGUNOS ASPECTOS A CONSIDERAR:
Ubicacin del centro de procesos, de los servidores locales, y en general de
cualquier elemento a proteger.
Estructura, diseo, construccin y distribucin de los edificios y de sus platas.
Riesgos a los accesos fsicos no controlados.
Amenaza de fuego, problemas en el suministro elctrico.
Evitar sustituciones o sustraccin de quipos, componentes, soportes
magnticos, documentacin u otros activos.

AUDITORIA DE LA SEGURIDAD LOGICA
Es necesario verificar que cada usuario solo pude acceder a los recursos que sele
autorice el propietario, aunque sea de forma genrica, segn su funcin, y con las
posibilidades que el propietario haya fijado: lectura, modificacin, borrado,
ejecucin, traslado a los sistemas lo que representaramos en una matriz de
accesos.
Aspectos a evaluar respecto a las contraseas pueden ser:
Quien asigna la contrasea inicial y sucesivas.
Longitud mnima y composicin de caracteres.
Vigencia, incluso puede haberlas de un solo uso o dependientes de una
funcin tiempo.
Control para no asignar las x ultimas.

AUDITORIA DE LA SEGURIDAD DE LOS DATOS
Proceso de los datos: controles de validacin, integridad, almacenamiento: que
existan copias suficientes, sincronizadas y protegidas.
Salida de resultados: controles en transmisiones, en impresin, en distribucin.
Retencin de la informacin y proteccin en funciona de su clasificacin:
destruccin de los diferentes soportes que la contengan cuando ya no sea
necesaria, o bien des magnetizacin.
Designacin de propietarios: clasificacin de los datos, restriccin de su uso
para pruebas, inclusin de muescas para poder detectar usos no autorizados.
Clasificacin de los datos e informacin: debe revisarse quien la ha realizado y
segn qu criterios y estndares; no suele ser prctico que haya mas de cuatro o
cinco niveles.
Cliente-servidor: es necesario verificar los controles en varios puntos, y no solo
en uno central como en otros sistemas, y a veces en plataformas heterogneas,
con niveles y caractersticas de seguridad muy diferentes, y con posibilidad de
transferencia de ficheros o de captacin y exportacin de datos que pueden perder
sus protecciones al pasar de una plataforma a otra.
Encrespamiento
El encrespamiento es una forma efectiva de disminuir los riesgos en el uso de
tecnologa. Implica la codificacin de informacin que puede ser transmitida va
una red de cmputo o un disco para que solo el emisor y el receptor la puedan
leer. En teora, cualquier tipo de informacin computarizada puede ser encriptada.
En la prctica, se le utiliza con mayor frecuencia cuando la informacin se
transmite por correo electrnico o internet.

AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES Y REDES
En las polticas de entidad debe reconocerse que los sistemas, redes y mensajes
transmitidos y procesados son propiedad de la entidad y no deben usarse para
otros fines no autorizados, por seguridad y por productividad, tal vez salvo

emergencias concretas si all se ha especificado y mas
bien para comunicaciones con voz.
Internet e Intranet: separacin de dominios e
implantacin de medidas especiales, como normas y
cortafuegos(firewall), y no solo en relacin con la
seguridad sino por acceso no justificados por la funcin
desempeada, como a paginas de ocio o erticas, por lo que pueden suponer
para la productividad.
Correo electrnico: tanto por privacidad y para evitar virus como para que el
uso del correo sea adecuado y referido ala propia funcin, y no utilizado para fines
particulares.
Proteccin de programas: y tanto la prevencin del uso no autorizado de
programas propiedad de la entidad o de los que tengan licencia de uso.
Control sobre las paginas Web: quien puede modificarlo y desde donde,
finalmente preocupan tambin los riesgos que pueden existir en el comercio
electrnico.
2.2.6. Planes de contingencia y procedimientos de respaldo para casos de
desastre.
Frente a otras denominaciones que en principio descartamos como Recuperacin
de Desastres o Plan de Desastres ( si nos parece adecuada Plan de Recuperacin
ante desastres , pero las incidencias a prever son tambin de otros niveles).
En la auditoria es necesario revisar si existe tal plan, completo y actualizado, si
cubre los diferentes procesos, reas y plataformas, si existen planes diferentes
segn entornos, evaluar en todo caso su idoneidad, los resultados de las pruebas
que se hayan realizado, y si permiten garantizar razonablemente que en caso
necesario y a travs de los medios alternativos, propios o contratados, podra
permitir la reanudacin de las operaciones en un tiempo inferior al fijado por los
responsables del uso de las aplicaciones, que a veces son tambin los
propietarios de las mismas pero podran no serlo.

Conclusin
Aunque las implantaciones de la seguridad van siendo ms sofisticados y llegando
a reas o aspectos casi desconocidos hace aos, esto no implica que estn
plenamente resueltos lo mas bsicos: encontramos bastantes deficiencias en
controles fsicos, no tanto porque no existan cuanto por las brechas o descuidos
que se pueden encontrar. La auditoria en sistemas de informacin no esta
suficientemente implantada en la mayora de las entidades espaolas, si bien
supondra una mayor garanta de que las cosas se hacen bien y como la entidad
quiere: en general hay coincidencia entre ambos puntos.

Como funcin aporta al auditor un conocimiento privilegiado del rea de Sistemas
de Informacin con una perspectiva muy amplia. La forma de realizar el trabajo va
variando y se est llegando a aplicar el control por excepcin y la tele auditora.


Bibliografa
http://html.rincondelvago.com/seguridad-de-la-informacion_1.html
https://sites.google.com/site/auditoriasistemasti/unidad1

Desarrollo de La Auditoría Informática

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Desarrollo de La Auditoría Informática

Cargado por

Copyright:

Formatos disponibles

PLANEACIN DE LA AUDITORA INFORMTICA

DESARROLLO DE LA AUDITORA INFORMTICA

También podría gustarte