Está en la página 1de 13

Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería de Sistemas de Información


Maestría en Seguridad de Sistemas de Información
Auditoria Informática
Ing. Deonel Roberto Rabanales Carredano

AUDITORIA AL CICLO DE DESARROLLO DE SOFTWARE A TRAVES DEL


MARCO DE REFERENCIA DE OWASP, APLICADA A UNA EMPRESA DEL
SECTOR AUTOMOTRIZ

NOMBRE CARNÉ
Erick Mario Raúl López López 1693-16-5226
Heber Isaac Osorio Morales 1693-16-1914
Santiago Ventura López Ralac 1693-14-6230
Selvin Humberto Zuñiga Ulin 1693-16-1672
Faustino López Ramos 1693-11-15729

Plan fin de Semana


Sección “A”
Quetzaltenango, 4 de febrero de 2022
Contenido
Introducción ..........................................................................................................5

1 – Metodología .....................................................................................................6

1.1. Alcance ...................................................................................................6

1.2. Definición Del Proceso De Auditoría De Sistemas ..............................6

1.2.1. Ciclo De Vida Del Desarrollo De Software ...............................7

1.3. Plan Integral De Auditoria De Sistemas ...............................................8

1.4. Esquema De Auditoría (En Sitio, Remota, Etc) ..................................10

Referencias Bibliograficas .................................................................................13


Índice de Figuras
Figura 1. Organigrama jerárquico del área de IT de la empresa a auditar 2022……10
Índice de Tablas
Tabla 1. Ciclo de vida del desarrollo de software y sus fases………………………….8
5

Introducción
La verificación o validación del funcionamiento adecuado y legal de
actividades dentro de una empresa, eso es el proceso de una auditoria. Antes
cuando se mencionaba una auditoría, se temía por el riesgo a que durante este
proceso de diagnóstico se identificaran problemas legales y de funcionamiento; que
fuera un proceso para encontrar errores y culpables.
En la actualidad, una auditoría es considerada un factor de mejora para las
empresas que quieren volverse más sólidas.
Un blog mexicano que proporciona conocimiento afirma lo siguiente:
En general, una auditoría es el proceso de revisión y verificación del
funcionamiento de una empresa, ya sea de forma integral o en un aspecto
específico; la cual se realiza con una metodología precisa y detallada para
identificar incidencias, eventualidades, diagnósticos, panoramas y puntos de
oportunidad (como ahorros y optimizaciones). (auren, 2021)
Comprendiendo la auditoría en su concepto general, el siguiente proyecto se
enfoca directamente a auditar el área de desarrollo de software, la metodología para
auditar dicha área es distinta al área de continuidad de negocios en una empresa,
ciertamente los procesos pueden ser los mismos, pero con implementación y
enfoque diferente.
Un artículo redactado en un sitio web menciona lo siguiente sobre las
auditorias de software en la actualidad “Para las empresas, en la actualidad, la
realización de una auditoría de software es fundamental, debido a que mantener los
equipos tecnológicos actualizados es un axioma básico de una era digital que
impone sus propias reglas” (aplicacionesytecnología, 2018)
Durante el proceso de auditoría se evaluará de forma individual y
parametrizada cada componente de los recursos de software que usa la empresa
para procesar información o tratamiento de datos, para luego hacer una evaluación
del funcionamiento y comportamiento en conjunto de todos los componentes al
realizar una tarea específica; solo así se obtendrá un mayor control sobre los
programas que la empresa adquirió o desarrollo para agilizar sus procesos.
6

1 – Metodología
1.1. Alcance
Se define que la profundidad de la auditoría tiene como objetivo evaluar el
ciclo de vida del desarrollo de software y todo lo que esto conlleve como lo son sus
fases, componentes, procesos y técnicas que la empresa automotriz utiliza para el
desarrollo de software; las metodologías empleadas para el desarrollo las cuales
son PMI y SCRUM. Los estándares que se utilizarán en la auditoría son OWASP,
ISO/IEC 15504 e ISO/IEC 33000.
1. Auditoría en fase de análisis – ISO/IEC 15504
2. Auditoría en la fase de diseño – ISO/IEC 15504
3. Auditoría en la fase de desarrollo – ISO 33000
a. Testing - OWASP
4. Auditoría en la fase de implementación – ISO 33000
5. Auditoría en la fase de mantenimiento y pruebas – ISO 33000
1.2. Definición Del Proceso De Auditoría De Sistemas
La Auditoria tiene como primordial enfoque evaluar y calificar los procesos
que se realizan, en este caso aplicado al Desarrollo de Software, donde se
establecen requisitos para la evaluación de procesos y los modelos de evaluación
donde se comprenden:
1. Evaluación de procesos
2. Mejora los procesos
3. Evaluar la capacidad y la madurez de los procesos
Realizar la exploración y planteamiento, en esta etapa se lleva a cabo un
estudio previo a la realización de la Auditoría de Software con el objetivo de conocer
detalladamente los rasgos de la empresa a auditar. Solo así se podrán obtener las
características para hacer un planteamiento del trabajo que se va a desarrollar.
Además, se deben conocer datos de la organización como su estructura, flujo de
producción o servicios que presta, así como otro tipo de antecedentes.
7

1.2.1. Ciclo De Vida Del Desarrollo De Software


De acuerdo con las fases que lleva el Desarrollo de Software se debe definir
cada fase y los procesos a Auditar en cada uno de ellos
1. Análisis: Evaluar los procesos para obtener información acerca de los
requerimientos de los clientes o interesados del software, es una de las fases
muy importantes del Desarrollo de Software, definir exactamente lo que se
requiera que el sistema realice, como también ante esta situación el coste es
menor del software que subsanarlo al final del proyecto y como también la
metodología de Desarrollo de Software a utilizar en el proyecto.
Verificar las herramientas que se utilizan para definir la estimación de tiempo
de los entregables del Desarrollo del Software.
2. Diseño: Evaluar los escenarios que se definieron en la etapa de Análisis para
la implementación del software que hay que construir, así como la estructura
general del mismo. El diseño es una etapa compleja y su proceso debe
realizarse de manera iterativa.
3. Desarrollo: Auditar y evaluar las herramientas adecuadas, el entorno de
desarrollo trabajo y el lenguaje de programación apropiado para el tipo de
sistema que se definió previamente. También hay que tener en cuenta la
adquisición de recursos necesarios para que el Desarrollo del Software,
como licenciamientos de los softwares a utilizar en el proceso, cumplimiento
de la metodología del Desarrollo del Software y control de versiones del
Software.
4. Implementación: Evaluar los entornos de despliegue del Software en
entornos de desarrollo y producción, ente fase es poner el software en
funcionamiento, por lo que hay que planificar el entorno teniendo en cuenta
las dependencias existentes entre los diferentes componentes de este.
Es posible que haya componentes que funcionen correctamente por
separado, pero que al combinarlos provoquen problemas. Por ello, hay que
usar combinaciones conocidas que no causen problemas de compatibilidad.
8

5. Pruebas y Mantenimiento: Verificar el proceso que se realiza para realizar las


pruebas de Desarrollo del Software tanto, pruebas de unidad y pruebas de
integración. Auditar cada proceso que se realiza y las herramientas que se
utilizan para realizarlos.
En el mantenimiento del Software verificar que se cumplan con respecto a la
metodología del Desarrollo del Software y si se utiliza otros procesos, para
que el Software este preparado ante cualquier evento tecnológico que
perjudique la información de los clientes del sistema.

1.3. Plan Integral De Auditoria De Sistemas


El plan de cronograma de actividades se describe a continuación, tomando
en cuenta las fases importantes de la Auditoria del Desarrollo de Software.
Tabla 1
Ciclo de vida del desarrollo de software y sus fases
ASSIGNED
TASK PROGRESS START END
TO

Fase 1: Análisis

Evaluación acerca de los conocimientos de los


Tarea 1 100% 2/21/22 2/22/22
involucrados
Evaluar a los actores y roles principales en el
Tarea 2 100% 2/23/22 2/24/22
Desarrollo del Software
Información acerca de la empresa (procesos,
Tarea 3 100% 2/25/22 2/26/22
organigramas, recursos con lo que cuenta)
Evaluar los requerimientos de procesos del
Tarea 4 100% 2/27/22 2/28/22
Desarrollo de Software
Definición del Alcance de la Auditoria del
Tarea 5 100% 3/1/22 3/2/22
Desarrollo de Software

Fase 2: Diseño

Evaluación de las metodologías de Desarrollo


Tarea 1 3/3/22 3/4/22
de Software (Metodología grafica)

Tarea 2 Evaluar el tipo de Desarrollo del Software 3/5/22 3/6/22


9

Evaluación de los registros que permitan el


Tarea 3 seguimiento de la metodología de Desarrollo 3/7/22 3/9/22
de Software
Evaluación de la Arquitectura del Software,
Tarea 4 3/10/22 3/12/22
procesos, guías, etc
Auditar las tareas de cada desarrollador en la
Tarea 5 3/13/22 3/14/22
construcción del Software

Fase 3: Desarrollo

Definir las herramientas para evaluar el


Tarea 1 3/15/22 3/16/22
entorno del Desarrollo de Software
Verificar el licenciamiento de programas para la
Tarea 2 3/16/22 3/17/22
construcción del Software
Evaluar las buenas prácticas del Desarrollo del
Tarea 3 3/18/22 3/19/22
Software
Evaluación y monitoreo de avances de la
Tarea 4 estimación de tiempo en el Desarrollo de 3/19/22 3/20/22
Software
Planteamiento de soluciones a las
Tarea 5 3/21/22 3/22/22
inconsistencias detectadas

Tarea 6 Evaluación de pruebas unitarias del Software 3/23/22 3/25/22

Tarea 7 Control de calidad del Software 3/26/22 3/28/22

Fase 4; Implementación

Evaluación de las pruebas integrales del


Tarea 1 3/29/22 3/29/22
Desarrollo del Software
Inspección de los componentes del entorno de
Tarea 2 3/30/22 3/30/22
Producción

Tarea 3 Revisión del proceso en cambios en Producción 3/30/22 3/31/22

Verificación de los planes de contingencia en


Tarea 4 3/31/22 4/1/22
Producción
Revisión de la entrega final de los artefactos del
Tarea 5 4/1/22 4/2/22
Desarrollo de Software

Fase 5; Mantenimiento
10

Plan de mantenimiento y seguimiento del


Tarea 1 4/3/22 4/4/22
Software

Tarea 2 Verificar el ciclo de vida del Software 4/5/22 4/5/22

1.4. Esquema De Auditoría (En Sitio, Remota, Etc)


Realizar la Auditoria de Desarrollo del Software, por medio de video llamadas
por Microsoft Teams, con la finalidad de conocer el tipo de conocimientos que tiene
cada integrante del equipo del desarrollo del Software, respecto al organigrama de
la empresa, que se muestra a continuación.
Figura 1
Organigrama jerárquico del área de IT de la empresa a auditar 2022.

Nota. La imagen muestra la distribución de personal y los niveles jerárquicos de la


empresa en el año 2022.
11

Para obtener la información requerida para poder realizar la Auditoria del


Desarrollo del Software, es importantes tener las herramientas para obtener la
información requerida y que permita llevar a cabo las acciones definidas en el
cronograma de actividades por lo que se listan a continuación:
• Cuestionarios: realizar diferentes tipos de cuestionarios de acuerdo con las
áreas con preguntas cerradas y abiertas respecto a los roles a evaluar del
personal de la empresa, también recabar información acerca del análisis del
Desarrollo del Software.
• Entrevistas: obtener información acerca de cómo se hace el seguimiento de
las metodologías empleadas en el Desarrollo de Software, como por
ejemplos: backlogs, minutas de lo sprint, etc.
• Checklist: conjuntos de preguntas respondidas oralmente, destinados al
personal técnico, por tal motivo se deben realizar en forma ordenada,
coherente y clasificados por materias.
Existen dos tipos de filosofía en la generación de checklists:
o De rango: las preguntas han de ser puntuadas en un rango
establecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa
y 5 la más positiva)
o Binaria: las respuestas sólo tienen dos valores (de ahí su nombre)
cuya respuesta puede ser Si o No.
• Herramientas de Auditoria en Software: utilizar diferentes tipos de software
que permite realizar una auditoría del software, verificar la calidad de este,
validar que cumpla con lo requerido y prevenir vulnerabilidades del software.
• Pruebas de caja Blanca: se realiza estas pruebas con acceso al código del
software y la estructura de este, para la ejecución de las pruebas es
necesario que el tester o la persona encargada que valla a realizar, tenga
los amplios conocimientos de la tecnología y arquitectura usada para
desarrollar el programa.
12

• Pruebas de caja Negra: esta prueba se realiza desde el punto de vista de


las entradas y salidas que recibe o respuestas que produce, sin tener en
cuenta el funcionamiento interno del software.

Con todas las notas recopiladas de las entrevistas y el análisis de primera


mano del entorno, se procede al análisis de toda la información recabada. Este
análisis contrastará la normativa de referencia la documentación y políticas de la
entidad, con la realidad hallada. Es conveniente que el marco normativo de
referencia quede claramente determinado en los informes que se generen, para que
el auditado pueda tener una imagen concreta y real de la situación y de esta forma,
poder tomar decisiones adecuadas.

Una vez terminado el análisis, se genera el informe de auditoría y el plan de


acción. El informe de auditoría representará la situación real contrastada con el
marco normativo de referencia. El plan de acción propondrá las medidas correctoras
necesarias para solucionar las incidencias que se estén produciendo en el
desarrollo de Software. Estos documentos serán presentados a la gerencia de la
entidad, para que, con su debido impulso, se tomen las medidas correctoras
adecuadas.
13

Referencias Bibliograficas
auren. (28 de agosto de 2021). Importancia de las auditorías en las
empresas. Auren. https://auren.com/mx/blog/importancia-de-las-auditorias-en-las-
empresas/#:~:text=A%20trav%C3%A9s%20de%20los%20resultados,m%C3%A1s
%20eficiente%20de%20sus%20recursos
aplicacionesytecnología. (s.f.). Cómo hacer una auditoría de software paso a
paso. APLICACIONESYTECNOLOGIA.COM.
https://aplicacionesytecnologia.com/como-hacer-una-auditoria-de-software/
Escudero M. Juan. (s.f.). Herramientas y técnicas para la auditoría
informática. IEDGE BUSINESS SCHOOL. https://www.iedge.eu/juan-manuel-
escudero-herramientas-tecnicas-para-la-auditoria-informatica
ISO 33000. (s.f.). Portal ISO 33000. https://www.iso33000.es/
owasp. (s.f.). Who is the OWASP® Foundation? https://owasp.org/
pmg-ssi. (18 de enero de 2018). ¿Qué es el estándar internacional ISO/IEC
15504?. https://www.pmg-ssi.com/2018/01/estandar-internacional-iso-iec-15504/
Sanz M. José. (12 de febrero de 2017). Esquema para la realización de una
auditoría LOPD. CEEI VALENCIA.
https://ceeivalencia.emprenemjunts.es/?op=8&n=13447

También podría gustarte