Auditoria informática

Nombre:
Randy Joel E Matos

Matricula:
18-EIST-7-001

Profesor:
Pablo Padilla

Santiago de los caballeros,

Rep. Dom
Desarrollo de Software
Controles de proyectos de desarrollo de Software Resumen El seguimiento y control de los
proyectos de desarrollo de software tiene como objetivo fundamental la vigilancia de todas las
actividades de desarrollo del sistema que se está construyendo. Es una de las labores más
importantes en todo desarrollo del producto, pues un adecuado control hace posible evitar
desviaciones en costes y plazos, o al menos detectarlas cuanto antes.
Controles de proyectos de desarrollo de Software Introducción Uno de los objetivos principales
del control y seguimiento de los proyectos de desarrollo de software, es precisamente realizar el
seguimiento de lo planificado, tomando medidas oportunas cuando se produzcan retrasos, costes
por encima de lo planificado, o se contravenga algunas condiciones acordadas que fueron base en
la decisión de realizar este proyecto.
Controles de proyectos de desarrollo de Software Metodología y Caso de Estudio Las actividades
de seguimiento y control están presentes en todo el ciclo de vida de un proyecto de software, dado
que su principal objetivo son las acciones orientadas a recopilar y contrastar información sobre los
avances del proyecto, con el objetivo: Proveer visibilidad adecuada a todas las personas
involucradas en el proyecto acerca del resto de actividades que se estén desarrollando.
Retroalimentar la planificación original.
Controles de proyectos de desarrollo de Software Control de proyectos La necesidad de hacer una
revisión permanente de la ejecución de las actividades programadas del proyecto lleva a definir un
sistema de control que posibilite medir el avance físico y el uso de recursos humanos, materiales
y financieros, así como la relación entre el tiempo y el costo. Se define como control, al proceso
de comparar la realización real del proyecto con la planificada, analizando las variaciones
existentes entre ambas, evaluando las posibles alternativas, y tomando las acciones o medidas
correctoras apropiadas según se necesiten.
Controles de proyectos de desarrollo de Software Procedimiento para realizar control

1. Controles de proyectos de desarrollo de Software P1 Definir los puntos de control: son los
momentos donde se decide realizar el control (al finalizar una fase relevante del proyecto,
al final de una actividad clave, etc.
2. Controles de proyectos de desarrollo de Software P2 Controlar las tareas: en esta actividad
se establece la comparación entre los resultados obtenidos del seguimiento y los previstos
con el plan, se calculan las diferencias y se realiza el análisis de las posibles causas de esas
diferencias, especialmente si son significativas.
3. Controles de proyectos de desarrollo de Software P3 Proponer acciones correctivas: se
proponen acciones correctivas para corregir o compensar los problemas detectados, se
revisan los planes originales de ser necesario.
 4. Controles de proyectos de desarrollo de Software P4 Controlar los cambios: se realizarán
las solicitudes y registro de los cambios, evaluados por el equipo del proyecto e
información a todos de los cambios efectuados.

Controles de proyectos de desarrollo de Software Principales Tipos de controles:  Controles

Preventivos  Controles Detectives  Controles Correctivos

1. Controles de proyectos de desarrollo de Software Controles Preventivos: Reducen la

frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.
Ejemplo: - Sistemas de claves de acceso. - Contratar seguros para cualquier tipo de bienes.
- Respaldar la información en archivos. - Cotejar firmas antes de realizar.

2. Controles de proyectos de desarrollo de Software Características de Controles Preventivos:

- Son mas rentables. - Deben quedar incorporados en los sistemas. - Evitan costos de
corrección.
3. Controles de proyectos de desarrollo de Software Controles detectivos No evitan que
ocurran las causas del riesgo sino que los detecta luego de ocurridos. Ejemplos: - Procesos
de validación. - Omisión de una firma para que proceda el pago. - Deben ser 2 copias y
falta 1.
Controles de proyectos de desarrollo de Software Características de Controles Detectivos. Son mas
costosos que los preventivos. Miden la efectividad de los preventivos. Algunos errores no pueden
ser evitados en la etapa preventiva.

AREA DE BASE DE DATO

El control es el limite impuesto a la capacidad de una persona, o de un grupo de personas,
organizaciones u otro estado a tener acceso parcial o pleno a los datos que contiene una base de
datos.
Mediante la auditoria de bases de datos se evaluara:

• Definición de estructuras físicas y lógicas de las bases de datos.

• Control de carga y de mantenimiento de las bases de datos.
• Integridad de los datos y protección de accesos.
• Estándares para análisis y programacion en el uso de bases de datos.
• Procedimientos de respaldos y recuperación de datos.
AREA DE REDES, SEGURIDAD FISICA Y LOGICA

Cuando se considera la protección de la información y de los dispositivos de red, las auditorías

pueden clasificarse en revisiones de seguridad física y lógica. Por un lado, la revisión de
seguridad física está orientada en conocer y evaluar los mecanismos de protección del hardware y
del cableado, mientras que las revisiones lógicas tienen como propósito verificar y evaluar las
medidas de protección sobre la información y los procesos.

En este sentido, la auditoría de seguridad física en redes puede considerar la revisión de

las conexiones y su apego a normas de cableado estructurado establecidas por organismos como
ANSI o ISO, así como medidas que protegen tanto el cableado como los dispositivos de red,
incluso controles aplicados sobre los cuartos de servidores (sites). En tanto, las evaluaciones
lógicas consideran mecanismos de control de acceso a la red, privilegios de cuentas con
autorización para conexiones o los protocolos utilizados, por mencionar algunos ejemplos.

¿Interna o externa?
También, con base en la configuración de la red, la auditoría puede considerar revisiones de red
interna y externa. Las revisiones externas son aquéllas que se llevan a cabo desde fuera del
perímetro y pueden incluir la evaluación de configuraciones, revisión de reglas en firewalls,
configuración de IDS/IPS y listas de control de acceso en routers, entre otras actividades.

La red interna, en cambio, puede considerar la revisión de la configuración de segmentos de red,

protocolos utilizados, servicios desactualizados o topologías empleadas.

¿Red cableada o inalámbrica? Además, también es posible clasificar la revisión en función del
tipo de red a evaluar, por ejemplo si se trata de una revisión de red cableada o inalámbrica.

¿Revisiones técnicas o de cumplimiento?

Otro tipo de auditorías están relacionadas con las personas que llevan a cabo las revisiones y su
especialización en el tema, por lo tanto se pueden llevar a cabo revisiones técnicas y de
cumplimiento. Las revisiones técnicas deben comprender conocimientos de los protocolos y
dispositivos utilizados, de manera que las debilidades puedan ser identificadas y posteriormente
corregidas. Para esto, es importante aplicar la perspectiva ofensiva, en la cual se simulan ataques,
claro está, siempre con la autorización debida y en ambientes controlados (incluyen evaluaciones
de vulnerabilidades o pruebas de penetración).

Las revisiones de cumplimiento o gestión permiten conocer el estado de apego en las prácticas que
se llevan a cabo en las organizaciones relacionadas con la protección de las redes, en comparación
con lo que establecen documentos especializados, como pueden ser estándares de seguridad,
marcos de referencia o requisitos que deban ser cumplidos.