Está en la página 1de 48

AUDITORIA DE SISTEMAS

AUDITORIA DE TECNICA DE SISTEMAS

15.1 AMBITO DE LA TECNICA DE SISTEMAS


Sistema
Conjunto de elementos que cooperan en un todo armnico.

El ambito de la tcnica de sistemas se compone por la infraestructura informtica, es decir el conjunto de instalaciones, equipos de proceso y el software base.

Instalaciones

Incluye salas de proceso, con sus sistemas de seguridad y control, asi como elementos de conexin y cableado.

15.1 AMBITO DE LA TECNICA DE SISTEMAS


Equipos de proceso
Incluye los computadores, as como sus perifricos (pantallas, mouse, impresora, etc) y los dispositivos de conmutacin y comunicaciones(routers, modems, etc)

Software Base

Se compone de los sistemas operativos, compiladores, traductores y programas, junto con los gestores de datos (sistema de administracin de base de datos) y una serie de herramientas y componentes auxiliares e intermedios ( herramientas de desarrollo, paquetes de seguridad, middleware, etc)

15.2 DEFINICION DE LA FUNCION


Tecnica de sistemas consiste en la actividad a desempear para instalar y mantener en adecuado orden de utilizacin la infrestructura informtica. El funcionamiento correcto se caracteriza por: Disponer de todos los elementos necesarios Por parte de los usuarios autorizados En el momento requerido Con el rendimiento adecuado

15.3 NIVEL DE SERVICIO


El cuplimiento de las caracteristicas constituye el objetivo de los Sistemas de Informacin y su consecucin se expresa en terminos de nivel de servicio.

Nivel de servicio

determina el mayor o menor grado de eficacia del servicio prestado. Sin los clientes el Sistema de informacin (SI) no tiene sentido, y lo que los clientes necesitan es la garantia de que este cumpla su funcin adecuadamente. La garantia del funcionamiento se obtiene consiguiendo la de cada uno de los elementos del sistema, determinando los puntos criticos que afecten a la actividad del SI y a preveer su fallo y planificar los controles y acciones para evitarlos.

es una serie de parametros cuya medicin

15.3 NIVEL DE SERVICIO


La disponibilidad no se trata solo de tener un sistema que responda durante un determinado numero de horas al ao, sino que adems debe hacerlo bien. La satisfaccin de los usuarios depende tanto de la eficacia de las aplicaciones como de la eficiencia del sistema, el cual esta representado por los parametros de disponibilidad y tiempo de respuesta, pero se complementa con el anlisis de incidencias originadas por la infraestructura y las opiniones de los usuarios sobre el servicio.

REVISION DE LOS CENTROS DE COMPUTO


Consiste en revisar los controles en las operaciones del centro de procesamiento de informacin en los siguientes aspectos: Revisin de controles en el equipo: Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado peridicamente. Revisin de programas de operacin: se verifica que el cronograma de actividades para procesar la informacin asegure la utilizacin efectiva del computador.

REVISION DE LOS CENTROS DE COMPUTO


Revisin de controles ambientales: se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con aire acondicionado, fuentes de energa continua, extintores de incendios, etc. Revisin del plan de mantenimiento: Aqu se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo. Revisin del sistema de administracin de archivos: se hace para verificar que existan formas adecuadas de organizar los archivos en el computador, que estn respaldados, as como asegurar que el uso que le dan es el autorizado. Revisin del plan de contingencias: Aqu se verifica si es adecuado el plan de recuperacin en caso de desastre, el cual se detalla mas adelante.
1.

15.4 LOS PROCEDIMIENTOS

1. 2. 3. 4. 5. 6.

Instalacin y puesta en Servicio. Mantenimiento y Soporte. Requisitos para otros componentes. Resolucin de incidencias. Seguridad y Control. Informacin sobre la actividad.

Planificacin Documentacin Parametrizacin Pruebas

Procedimiento general del suministrador adaptado a la instalacin concreta. Inventario de componentes del elemento y normas de actualizacin. Valores de parmetros del sistema en funcin del resto de elementos planificados (nmero y tipos de usuarios, aplicaciones Verificaciones a realizar y sus resultados.

Planificacin

Control del periodo de garanta y comienzo del mantenimiento del elemento. Procedimiento soporte. para contactar con el

Documentacin
Parametrizacin

Adaptacin de los parmetros del sistema en funcin de nuevos requerimientos o como resultado de nuevas versiones o resolucin de incidencias. Verificaciones de los adaptaciones realizadas. cambios o

Pruebas

Planificacin Documentacin Parametrizacin Pruebas

Considerar los requisitos cruzados de unos elementos con otros.

Procedimiento que determina los efectos a considerar en otros componentes.


Adaptacin de los parmetros del sistema en funcin de nuevos requerimientos o como resultado de nuevas incidencias. Verificacin de los cambios o adaptaciones realizadas.

Registrar

Supone abrir un formulario en el medio habilitado (papel, electrnico) que permita recoger los datos que identifican la anomala. Supone buscar una relacin entre el efecto y sus posibles causas. Determinar de entre las causas posibles aquella que tuviera ms probabilidad de resultar origen del problema. Es un dato importante en el enfoque de la resolucin, pues no tiene el mismo tratamiento una anomala bloqueante que un error que se produce de forma espordica. Para resolver definitivamente un problema hace falta conocer su causa y la forma de evitar que se reproduzcan las condiciones origen. Accin continua y normalizada para conseguir el diagnstico de una incidencia y la persecucin de su resolucin.

Analizar Diagnosticar

Calificar Resolucin
Seguimiento

La proteccin debe considerar tanto la posibilidad de hechos fortuitos como malintencionados. Es necesario proteger los accesos a la informacin y funciones con criterio de mnimos reservando funciones y accesos especiales a niveles de responsabilidad superiores con los controles adecuados. Los entornos de desarrollo y mantenimiento de programas deben dejar informacin sobre las sentencias borradas, modificadas y aadidas, as como los autores de las modificaciones. Es importante que exista una serie de normativas para realizar las funciones informticas, aunque es igual de importante que tales normas se cumplan.

Forma parte de la esencia de cualquier actividad rendir cuentas al responsable superior del trabajo realizado. Disponer de informacin estructurada, de acuerdo con los parmetros de seguimiento ms acordes con los objetivos de desempeo, es cuestin primordial para: Conocer la evolucin de la actividad. Comparar la realidad con los objetivos y estndares. Mejorar la calidad de la tarea. Anticiparse a situaciones crticas analizando las tendencias. La informacin debe servir para gestionar y, por tanto, debe ser resumida y expresiva en cuanto a la representacin de la realidad, permitiendo profundizar si se requiere un anlisis ms exhaustivo de algn parmetro.

15.5. LOS CONTROLES


Deberan determinar el comportamiento del sistema y prevenir situaciones no deseadas desde cualquier punto de vista: HARDWARE: * Existen los componentes adquiridos * Estn correctamente instalados * Se mantienen adecuadamente * Dan el rendimiento requerido SOFTWARE: * Se dispone de las correspondientes licencias * Est correctamente instalado * Se mantiene adecuadamente * Dan el rendimiento adecuado

15.5. LOS CONTROLES


COMUNICACIONES: * Existen componentes * Estn correctamente instalados CONMUTACION: * Se mantiene adecuadamente * Dan el rendimiento adecuado COMUNICACIONES: * Existen los contratos y servicios * Estn correctamente parametrizados ENLACES: * Se mantiene adecuadamente * Dan el ancho de banda y respuesta necesarios

15.5. LOS CONTROLES


SEGURIDAD: * Existen los procedimientos * Se llevan a cabo * Se controlan las excepciones * Se toman medidas INFORMACION: * Se dispone de procedimientos de back-up * Se realizan los back-up correspondientes * Se guardan adecuadamente * Se comprueban por muestreo PLAN DE CONTINGENCIA: * Se dispone de un procedimiento * Estn contratados los servicios necesarios * Est debidamente actualizado * Se realizan los ensayos peridicos

15.5. LOS CONTROLES


La Fundacin de Auditoria y Control de Sistemas de Informacin (ISACF) que otorga la certificacin de CISA (Certified Information System Auditor) Los Objetivos de Control para la informacin y la Tecnologa relacionada (COBIT). * Organizacin y Planificacin * Compras e Implantacin * Puesta en Servicio Y Soporte * Monitorizacin Por otra parte tienen una conexin mayor o menor con siete Criterios de Informacin: 1- Eficacia 2- Eficiencia 3- Confidencialidad 4- Integridad 5- Disponibilidad 6- Legalidad 7- Fiabilidad

15.5. LOS CONTROLES


Objetivos de Control en los que se involucra la Tcnica de Sistemas: Definicin del Plan Estratgico tecnolgico: * Pretende la satisfaccin de los requerimientos del negocio buscando un balance ptimo entre las oportunidades de la tecnologa de la informacin. * Permite un proceso de planificacin estratgica que, a intervalos regulares, va cumpliendo los planes a largo plazo. * Estos planes a largo plazo deben traducirse peridicamente en planes operativos con objetivos claros y concretos a corto plazos. * Toma en consideracin objetivos de negocio y necesidades de tecnologa de la informacin, inventario de soluciones tecnolgicas e infraestructura actual y estudio de factibilidad.

15.5. LOS CONTROLES


Determinacin de la Direccin Tecnolgica: * Pretende crear y mantener un plan de infraestructura
tecnolgica, adecuando y haciendo evolucionar capacidad de la infraestructura actual siguiendo desarrollos tecnolgicos, las restricciones del negocio y planes de adquisicin. la los los

Gestin de Inversiones: * Asegura la Disposicin y el control de desembolsos de


recursos financieros por medio de los presupuestos operativos peridicos convenientemente aprobados. correspondientes establecidos y

Apreciacin de Riesgos: * Pretende el aseguramiento de la obtencin de los


* objetivos de Tecnologa de Informacin (TI), previniendo las amenazas en la obtencin de los servicios de TI. Considera distintos tipos de riesgos (tecnologa, seguridad, continuidad), los momentos de anlisis (peridicos o durante la implantacin de nuevos sistemas).

15.5. LOS CONTROLES


Gestin de Proyectos: * Permite a la organizacin identificar y priorizar proyectos en
*
lnea con el plan operativo. La organizacin debe adoptar y aplicar tcnicas seguras de gestin de proyectos para cada proyecto emprendido.

Identificacin de Soluciones automatizados: * Se trata de asegurar la mejor aproximacin para satisfacer

los requerimientos de los usuarios, facilitando un anlisis claro de las oportunas alternativas ajustadas a los requisitos. * Se han de tomar en consideracin las restricciones internas y externas, la direccin de la tecnologa, los estudios de factibilidad, los requerimientos y la arquitectura informtica. Adquisicin y Mantenimiento de Infraestructura Tecnolgica : * Permite definir consideraciones especficas de requerimientos funcionales y operativos y una implantacin por fases con hitos claros. * Se deben considerar: la disponibilidad de la tecnologa, la direccin de su evolucin, las polticas de seguridad, el ajuste de los procedimientos a la instalacin y la flexibilidad.

15.5. LOS CONTROLES


Desarrollo y Mantenimiento de Procedimientos relacionados con los Sistemas de Informacin: * Pretende asegurar el uso adecuado de las aplicaciones y de
*

las soluciones tecnolgicos instaladas. Supone una aproximacin estructurada, al desarrollo del usuario y a los manuales de procedimientos operativos.

Instalacin y Certificacin de Sistemas: * Verifica y confirma que la solucin encaja con el propsito
perseguido, lo que permite la realizacin de una correctamente formalizada instalacin, migracin y conversin as como un plan de aceptacin. Considera la aprobacin de la estructura, la documentacin, pruebas especficas, entrenamiento, conversin y/o carga de datos y revisiones post-implantacin.

Gestin de Cambios:
* Pretende minimizar disfunciones, alteraciones no autorizadas y errores, habilitando la gestin del sistema para el anlisis, la implantacin y el seguimiento de los cambios solicitados y realizados en la infraestructura de TI existente.

15.5. LOS CONTROLES


Definicin de niveles de servicio: * Permite el establecimiento de acuerdos de nivel de servicio
* que formalizan los criterios de rendimiento con los que deben medirse cantidad y calidad del servicio. Involucra definicin de responsabilidades, volmenes y tiempo de respuesta, dependencias, cargas, garantas de integridad y acuerdos de discrecin.

Gestin de Relaciones de servicios de Terceros: * Facilitan medidas de control para revisar y monitorizar los *

contratos existentes y los procedimientos para su eficacia de las polticas de la organizacin. Tiene que ver con los acuerdos de nivel de servicio, con los acuerdos de discrecin, las polticas de la compaa, las leyes y regulaciones y los contratos outsourcing.
Permite controles para gestionar la capacidad y el rendimiento que recopilan datos e informan para gestionar la carga, el tamao de las aplicaciones y la gestin de recursos y peticiones.

Gestin de Rendimiento y Capacidad:


*

15.5. LOS CONTROLES


Aseguramiento de la Continuidad del Servicio: * permite el ejercicio regular de un plan de contingencia
* estructurado facilitando distintas fases e hitos claros, alineando las TI con los aspectos del negocio. Considera la clasificacin crtica, el plan documentado, los procedimientos alternativos y las pruebas y ensayos sistemticos y regulares.

Aseguramiento e la Seguridad de los Sistemas: * Para salvaguardar la informacin contra usos no autorizados,

revelacin de informacin, modificacin, corrupcin o prdida, controla el acceso lgico al sistema, a los datos y a los programas, restringiendo stos a los usuarios autorizados. Debe disponerse de un sistema de contabilidad de costes que garantice el registro de los mismos, con el consiguiente clculo y distribucin de detalle. Utiliza criterios de eficiencia y fiabilidad.

Identificacin y Reparto de Costes:


*

15.5. LOS CONTROLES


Gestin de la Configuracin: * Inventariar todos los componentes de los SI, previendo
alteraciones no autorizadas, verificando su existencia fsica y facilitando una base precisa para gestionar el cambio, los controles que identifican y registran todos los bienes y su localizacin fsica, as como un programa regular de verificacin que asegure su existencia.

Gestin de Problemas e Incidencias: * Determina la existencia de pistas de auditoria suficientes

sobre problemas y soluciones, el tiempo de resolucin de los problemas reportados, procedimientos de escalado e informes de incidencias.

Monitorizacin de los Procesos: * Persigue la consecucin de los objetivos buscados por los

procesos de los SI, definiendo la gestin de informes relevantes para la direccin y de indicadores de rendimiento de la implantacin del soporte de los sistemas, as como clarificando los informes sobre una base regular y normalizada.

15.5. LOS CONTROLES


Seguridad Independiente: * Para incrementar los niveles de confidencialidad y el beneficio de referencias de las mejores prcticas es importante realizar auditorias independientes a intervalos regulares.

15.6. AUDITORA DE LA FUNCIN


El ltimo informe de auditoria realizado debe servir para fijar un objetivo expuestas y se han corregido debilidades. El informe final deber reflejar, en este caso, la realidad contrastada, haciendo hincapi en aquellos objetivos no conseguidos las razones expuestas por los responsables y unas nuevas recomendaciones al respecto que pueden ratificar los planteamientos originales o plantear alternativas o nuevos objetivos para resolver las debilidades encontradas (controles compensatorios).

En cuanto a los procedimientos debe comprobarse:


1. Que existen. 2. Que son consistentes con los objetivos de control. 3. Que se ejecutan. El ejercicio de auditoria supone coleccionar unos hechos observados para emitir un juicio ecunime, profesional e independiente. Por lo que se realizan las pruebas cuyo resultado debe soportar las conclusiones del informe de auditoria (acciones correctoras que debe realizar para soslayar debilidades, problemas y mejorarlo ).

Una adecuada metodologa en el desarrollo de la auditoria fundamental y requiere de aspectos generales, tanto del campo la auditoria como de la organizacin de los Sistemas Informacin, tanto como de aspectos especficos que, en el caso TS son especialmente importantes.

es de de de

Existe, adems, un problema que se origina en la variedad y multiplicidad de los entornos. Existen distintas partes de los SI que se ubican en mquinas de tipo mainframe, de tipo mini y micros. La tecnologa de discos del entorno microinformtico ha sido la base de los actuales desarrollos de sistemas array.

Una empresa de cierto tamao tiene un entorno mainframe que soporte una serie de funcionalidades, junto con entornos medios para otras y un soporte microinformtico, articulado generalmente alrededor de una red que completa la infraestructura de sus sistemas centrales e instalaciones con enlaces de comunicaciones y la electrnica inherente. En entornos heterogneos se requieren conocimientos especficos de cada sistema operativo, gestor de base de datos, herramientas de desarrollo, administracin, seguridad y monitorizacin.

La funcin, en estos casos, debo ser auditada desde dos perspectivas diferentes y con equipos de personas distintas:
1.

Equipo de organizacin con conocimientos generales que chequee aspectos operativos Equipos expertos en entornos especficos que sean capaces de analizar los parmetros claves del software de base en sus distintas concepciones: sistemas operativos, gestores de bases datos y herramientas varias.

2.

La existencia de una red de comunicaciones incorpora un nuevo nivel de complejidad, para diferentes servicios, pueden existir distintas infraestructuras que se solapan: lneas de datos para conectar terminales/redes.

En grandes organizaciones es relativamente sencillo urdir estrategias organizativas que cumplan con los criterios bsicos de control en cuanto a establecimiento de procedimientos y segregacin de funciones En las organizaciones ms pequeas con menos recursos operativos, de control, de grupos de servicio a determinados objetivos parciales con elementos de proceso departamentales, se producen situaciones donde la segregacin funcional no existe y surgen en consecuencia amenazas y debilidades que el auditor debe determinar

La separacin de entornos de trabajo constituye un planteamiento fundamental para aislar la produccin de los riesgos del desarrollo. Los datos reales no deben ser accesibles ni utilizados para pruebas. El software de base debe aportar herramientas para modificar programas y controlar los cambios dejando pistas de auditora, debiendo existir el correspondiente procedimiento que contemple la segregacin funcional. La consistencia de los programas ejecutables con las fuentes origen es verificable y garantiza que las aplicaciones en ejecucin coinciden con las desarrolladas, validadas, y que sirven de base para cualquier modificacin posterior.

Debe comprobarse la existencia de todas las fuentes. La prdida de alguno deja a la organizacin en precario frente a cualquier modificacin necesaria que afecte a la funcionalidad que soporta el programa en cuestin. Un control especial debe aplicarse con las utilidades de uso restringido que permiten accesos directos al ncleo del sistema operativo o a los datos. Existen opiniones a favor de disponer de estas funciones fuera del sistema, cargndolas nicamente cuando sean necesarias y borrndolas despus.

Tenerse en cuenta el nivel de actualizacin de los mdulos del SO y si existen parches pendientes de aplicar. La planificacin de acciones debe ser cuidadosa, documentada y con posibilidad de alternativas y de marcha atrs ante cualquier eventualidad imprevista que no permita el correcto funcionamiento del sistema. Deben existir planes de respaldo y continuidad en cuanto al software de sistemas, as como el adecuado soporte interno/externo. El seguimiento de la adecuada sintona del sistema y su rendimiento debe ser una prctica habitual y continua. Los cambios sin una planificacin adecuada y la existencia de sper usuarios pueden atentar igualmente contra la segregacin funcional.

En ciertos casos, como complemento o como sustitucin por no justificarse determinadas medidas en funcin de la complejidad y el riesgo en cuestin, puede estudiarse una poltica de seguros: SPS (Seguro de soportes de datos),SPW (Seguro de software), SICO (Seguro para cobertura de contingencias), ISPB (Seguro de prdida de beneficios). Tambin conviene destacar la existencia de herramientas que ayudan en la metodologa logrando de forma semiautomtica el informe de auditoria. De igual forma cabe utilizar tiles especficos para sistemas concretos que en casos de sistemas complejos, son especialmente recomendables.

15.7 CONSIDERACIONES SOBRE TECNOLOGIA Y SU EVOLUCION


Uso ms flexible de recursos Computacin Mvil Redes y sistemas distribuidos LANs + WANSs

Tiempo compartido Batch Sistema Operativo monousuario

Sistema Distribuido
Suministrador Compras
12

13

14 8

Produccin
9 11

Contabilidad

Depsito / almacn
10

Un sistema distribuido es aquel en el que dos o ms mquinas colaboran para la obtencin de un resultado. En todo sistema distribuido se establecen una o varias comunicaciones siguiendo un protocolo prefijado mediante un esquema cliente-servidor

Inspector de entrada
Adolfo Held

Uso de un sistema de comunicacin Ausencia de memoria comn Sincronizacin del trabajo Ausencia de un estado global perceptible por un observador Comunicacin a travs de mensajes

Clasificacin

1. Representacin distribuida. La interaccin con el usuario se realiza bsicamente en el servidor. El cliente hace de pasarela, de sistema de acceso a los elementos hardware pantalla y teclado.

Base de datos Lgica de aplicacin Interfase de usuario

Terminal fsico

Clasificacin

2. Representacin remota. Los datos se envan sin formatear, y es el cliente el responsable de formatear los datos y realizar las acciones de interaccin con el usuario. En este caso, la aplicacin y la base de datos se encuentran en el servidor

Base de datos Lgica de aplicacin Interfase avanzado de usuario

Terminal inteligente Interfase bsico de usuario

Clasificacin

3. Lgica distribuida. En el cliente se llevan a cabo la interaccin con el usuario y la parte ms trivial de la lgica de la aplicacin. En este caso, se llevan a cabo controles bsicos de rango de campos, campos obligatorios, etc, mientras que el grueso de la lgica permanece en el servidor.

Base de datos Lgica de aplicacin

Ordenador de sobremesa Lgica bsica de aplicacin Interfase de usuario

Clasificacin

4. Gestin remota de datos. Tanto la interaccin con el usuario como la aplicacin residen en el cliente, siendo el servidor el depositario de los datos.

Base de datos

Ordenador de sobremesa Lgica de aplicacin Interfase de usuario

Clasificacin

5. B.D. Distribuidas. El cliente debe conocer la topologa de la red, as como la disposicin y ubicacin de los datos. En este caso, se delega parte de la gestin de base de datos a los clientes.

Ordenador de sobremesa Distribucin de datos Lgica de aplicacin Interface de usuario

Clasificacin

Cliente servidor a tres niveles (three tier). La aplicacin se distribuye en los tres niveles: aplicacin, datos e interfase de usuario

Aspectos principales de los Sistemas Distribuidos


Tolerancia a fallas Disponibilidad Confiabilidad Sistemas Abiertos Concurrencia Escalabilidad Transparencia

Paradigma

La complejidad de los Sistemas distribuidos no compensa su aparente eficiencia

Es necesario un enlace de comunicaciones fiable Grandes volmenes de trfico Datos actualizados en tiempo real

Nuevo modelo en evolucin de aplicaciones

Sistema centralizado

Las aplicaciones se desarrollan en entorno web. Los centros de proceso se centralizan y los servicios se concentran en intranets, extranets e internet. Cambios radicales en los usuarios (uso de redes globales) en oficinas, servicios, domicilios, etc.

Network Computer

Navegatores web

Internet y TCP/IP

Con paradigma de conexin