auditoría informática

6/3/2009Auditoría InformáticaU I B

Auditoría Informática

Ingeniería del Software IIIGabriel Buades 2.002


ÍndiceConcepto de auditoríaAuditoría e InformáticaAuditoría Informática

PlanificaciónOrganización y AdministraciónConstrucción de sistemasExplotaciónEntorno operativo hardwareEntorno operativo software

Auditoría en el marco de la LPD


Concepto de AuditoríaExamen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado


Concepto de AuditoríaActividad para determinar, por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la adhesión a los mismos y la eficiencia de su implantación


Tipos de auditoríaAuditoría financieraAuditoría organizativaAuditoría de gestiónAuditoría informática


Auditoría InformáticaEs el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a mejorar en:

RentabilidadSeguridadEficacia


Requisitos auditoría informáticaDebe seguir una metodología preestablecidaSe realizará en una fecha precisa y fijaSerá personal extraño al servicio de informática


Objetivos auditoría InternaRevisión y evaluación de controles contables, financieros y operativosDeterminación de la utilidad de políticas, planes y procedimientos, así como su nivel de cumplimientoCustodia y contabilización de activosExamen de la fiabilidad de los datosDivulgación de políticas y procedimientos establecidos.Información exacta a la gerencia


Objetivos auditoría ExternaObtención de elementos de juicio fundamentados en la naturaleza de los hechos examinadosMedición de la magnitud de un error ya conocido, detección de errores supuestos o confirmación de la ausencia de erroresPropuesta de sugerencias, en tono constructivo, para ayudar a la gerenciaDetección de los hechos importantes ocurridos tras el cierre del ejercicioControl de las actividades de investigación y desarrollo


MetodologíaToma de contacto

OrganizaciónOrganigramaVolumenSituación en el mercadoEstructura del departamentoRelaciones funcionales y jerárquicasRecursosAplicaciones en desarrolloAplicaciones en producciónSistemas de explotación


Metodología (2)Planificación

Concentración de objetivosÁreas que cubriráPersonas de la organización que se involucrarán en el proceso de auditoríaPlan de trabajo

TareasCalendarioResultados parcialesPresupuestoEquipo auditor necesario


Metodología (3)Desarrollo de la auditoría

EntrevistasCuestionariosObservación de las situaciones deficientesObservación de los procedimientos

Fase de diagnósticoMeditación sin contacto con la empresa auditadaFactor decisivo será la experiencia del equipo auditorSe deben definir los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución y mejora


Metodología (4)Presentación de conclusiones

Se han de argumentar y documentar lo suficiente para que no puedan ser refutadas durante la discusiónEs especialmente delicada por el rechazo que puede provocar en la organización auditada. Se debe esmerar el tactoEn ocasiones serán necesarias tomar decisiones desagradables, pero es misión del auditor informar a la dirección de la forma más objetiva posible.


Metodología (5)Formación del plan de mejoras

Resumen de las deficiencias encontradasRecogerá las recomendaciones encaminadas a paliar las deficiencias detectadasMedidas a corto plazo: mejoras en plazo, calidad, planificación o formaciónMedidas a medio plazo: mayor necesidad de recursos, optimización de programas o documentación y aspectos de diseñoMedidas a largo plazo: cambios en políticas, medios y estructuras del servicio


Área de planificaciónToda organización se ordena mediante:

Plan estratégicoPlan tácticoPlanes operacionales

Objetivos de la auditoría informáticaQué planes del CPD están coordinados con los planes generalesRevisar los planes de informáticaContrastar su nivel de realizaciónDeterminar el grado de participación y responsabilidad de directivos y usuarios en la planificación


Área de planificaciónObjetivos (cont.)

Participar en el proceso de planificaciónRevisar los planes de desarrollo del software de aplicaciónRevisar los procedimientos de planificación del software de baseComprobar la ejecución del plan en cualquiera de sus niveles


Área de organización y admónObjetivos:

Revisión del organigrama del departamento y del general de la empresaComparar la estructura actual con la definidaVerificar los estándares de documentaciónDeterminar los procedimientos de dirección para hacer cumplir los criterios de documentación en P.D.Confrontar las directrices sobre documentos con la realidadColaborar en la elaboración de nuevos documentos


Área de organización y admónObjetivos (cont)

Revisar la política personal: grado de cumplimiento de los procedimientos generales y nivel de sometimiento a la política personalEvaluar la distribución de funcionesExaminar las políticas retributivas y los planes de formaciónVerificar los métodos de análisis e imputación de costesConfrontar presupuesto y realidadRevisar todo tipo de contratos que afecten al CPD


Área de organización y admónObjetivos (cont)

Examinar los métodos de trabajo: análisis programación, pruebas,…Evaluar el grado de participación de los usuariosEvaluar el rendimiento de consultores externosConocer el grado de aceptación o satisfacción general con respecto al servicio informáticoRevisar la documentación de usuarioExaminar los procedimientos usados para actualizar la documentaciónDeterminar el impacto de servicio de proceso de datos recibido desde fuentes externas


Área de organización y admónObjetivos

Evaluar el grado de conocimiento de los usuarios implicados sobre los sistemas automatizados


Área de sistemasObjetivos

Examinar la metodología de construcción que se esté utilizandoRevisar la definición de las grandes opciones que caracterizan al sistemaExaminar el inventario de problemas a resolver por el sistema, dictaminando sobre la prioridad y razonabilidad de éstos.Verificar los medios que la organización ha dispuesto para la realización



Comprobar el plan de realizaciónTareas a emprenderPrevisión de dificultadesDescomposición de problemasLíneas de comportamiento a seguir

Garantizar la fiabilidad y precisión del estudio económico de costes preliminar a la realizaciónVerificar los estudios de necesidades de software y hardware asociados con el proyectoEvaluar los métodos utilizados para la recogida de datos



Colaborar en la fase de puesta en marcha del sistemaComprobar los medios de seguridad con que se va a dotar al sistema en cuestiónEvaluar el rendimiento de un sistema ya en marchaAconsejar, si es necesario, las modificaciones oportunas para la optimización del sistema en funcionamiento.


Área de explotaciónObjetivos

Comprobar la existencia de normas generales escritas para el personal de explotación en lo que se refiere a sus fucnionesVerificar la existencai de estándares de documentación en el departamentoComprobar que en ningún caso los operadores acceden a documentación de programas que no sea la exclusiva par us explotaciónVerificar que los programadores no tienen acceso a ls operación del ordenador cuando corren sus programas



Examinar que las versiones de programas y ficheros activos en explotación son efectivamente las versiones que dben ser las vigentesComo consecuencia de lo anterior, revisar que existen procedimientos que impidan que puedan correrse versiones de programas no activosInvestigar el diario de explotación y los archivos de logVerificar los procedimientos según los cuales se incorporan nuevos programas a las librerías productivas



Examinar la adecuación de los lcales en que se almacenan cintas y discos, así como la perfecta y visible identificación de estos mediosInvestigar los estándares en tiempo d eejecución de la instalación, comparando éstos con las observaciones reales efectuadas.Verificar los planes de mantenimiento preventivo de la instalaciónComprobar que existen normas escritas que regulen perfectamente todo lo relativo a copias de seguridad: manejo, autorización de obtención, destrucción, etc.


Área de explotaciónObjetivos (cont)

Inspeccionar el cumplimiento de sus funciones, además de la idoneidad de éstas, de la persona encargada de mantener la biblioteca de medios magnéticosComprobar que existen métodos adecuados que permitan verificar un seguimiento de los trabajos en el ordenadorExaminar e incluso participar en la elaboración de los presupuestos del centro de explotación si éstos son independientes del resto del servicio informático


Entorno operativo hardwareObjetivos

Determinar si el hardware se utiliza eficientementeRevisar los infomes de la dirección sobre uso del hwRevisar si el equipo se utiliza par el personal autorizado

Examinar los estudios de adquisición, selección y evolución del hwComprobar las condiciones ambientalesRevisar el inventario hardwareVerificar los procedimientos de seguridad físicaExaminar los controles de acceso físico


Entorno operativo hardwareObjetivos (cont)

Revisar la seguridad física de los componentes de la red de teleprocesoRevisar los controles sobre la transmisión de los datos entre los periférciso y el ordenadorComprobar los procedimientos de prevención/detección/corrección frente a cualquier tipo de desastreColaborar en la confección de un plan de contingencias y desastres


Entorno operativo softwareObjetivos

Revisar la seguridad del software sobre ficheros de datos y programasRevisar las librerías utilizadas por los programadoresExaminar que los programas realizan lo que realmente se espera de ellosRevisar el inventario de softwareComprobar la seguridad de datos y ficherosExaminar los controles sobre los datosRevisar los procedimientos de entrada y salidaVerificar las previsiones y procedimientos de backup



Revisar los procedimientos de planificación, adecuación y mantenimiento del software del sistemaRevisar la documentación sobre sw baseRevisar los controles sobre programas productoExaminar la utilización de estos paquetesVerificar periódicamente el contenido de los ficheros de usuarioDeterminar que el proceso para usuarios está sujeto a los controles adecuadosExaminar los cálculos críticos



Supervisar el uso de las herramientas potentes al servicio de los usuariosComprobar la seguridad e integridad de las bases de datos


Auditoría en el marco de la LPDR.D. 994/1999: Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personalArtículo 17.- Auditoría. (Medidas de seguridad de nivel medio)

1.- Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.

2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.

3.- Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos.


Auditoría en el marco de la LPDTipos de ficheros

1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

2.- Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.

3.- Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.

4.- Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.

5.- Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.


Medidas de nivel básicoFunciones y obligaciones del personalRegistro de incidenciasIdentificación y autenticación:

inventario de usuariosprocedimiento de distribución y almacenamiento de contraseñas

Control de accesobasado en autorizaciones de usuarios, según autorización del responsable del fichero

Gestión de soportescontrol de almacenamiento y distribución

Copias de respaldo y recuperacióncopias de forma semanal

Documento de seguridad


Medidas de nivel medioFunciones y obligaciones del personal

Responsable de seguridadAuditoría obligatoria de forma bi-anualRegistro de incidencias

anotar restauraciones con pérdidas de datosobligatoriedad de la autorización por escrito del responsable

Identificación y autenticación: inventario de usuariosprocedimiento de distribución y almacenamiento de contraseñasdetección de intrusiones y bloqueo de contraseñas

Control de accesobasado en autorizaciones de usuarios, según autorización del responsable del ficherocontrol de acceso físico

Gestión de soportescontrol de almacenamiento y distribuciónregistro de entrada y salidainutilización de soportes obsoletos

Copias de respaldo y recuperacióncopias de forma semanal

Pruebas con datos realesDocumento de seguridad


Medidas de nivel altoFunciones y obligaciones del personal

Responsable de seguridadAuditoría obligatoria de forma bi-anualRegistro de incidencias

anotar restauraciones con pérdidas de datosobligatoriedad de la autorización por escrito del responsable

Identificación y autenticación: inventario de usuariosprocedimiento de distribución y almacenamiento de contraseñasdetección de intrusiones y bloqueo de contraseñas

Control de accesobasado en autorizaciones de usuarios, según autorización del responsable del ficherocontrol de acceso físicoregistro de accesos

Gestión de soportescontrol de almacenamiento y distribuciónregistro de entrada y salidainutilización de soportes obsoletoscifrado de soportes

Copias de respaldo y recuperacióncopias de forma semanalalmacenamiento en distinta ubicación

Pruebas con datos realesCifrado de las comunicaciones

Documento de seguridad


Fin

auditoría informática

Documents