AUDITORA INFORMTICA

AUDITORA INFORMTICA

Tipos de Auditoras Auditora de Base de DatosAuditora de DesarrolloAuditora de RedesAuditora de Base de DatosEsta se encarga de monitorear, medir, asegurar y registrar los accesos a toda la informacin almacenada en las bases de datos.

Participantes en esta auditoraTecnologa de informacinAuditores de sistemasRiesgo corporativoCumplimiento corporativoSeguridad corporativa Objetivos principalesEsta auditora se encarga de manera fundamental en la seguridad de las bases de datos. Entre sus objetivos se encuentran:

Evitar el acceso externo Imposibilitar el acceso interno a usuarios no autorizados Autorizar el acceso solo a los usuarios autorizados

Auditora de Base de DatosCon esta auditoria se busca:

Monitorear y mantener un registro del uso de los datos por los usuarios autorizados y no autorizados.Conservar trazas de uso y del acceso a las bases de datos.Permitir investigacionesAlertas en tiempo real

Auditora de Base de DatosInstrumentos de evaluacinInvestigacin Preliminar. Observar el inventario de recursos (Hardware, software) y la informacin requerida para apoyar el examen que el equipo de Auditora va realizar. El resultado de todo esto se organiza en un archivo especial denominado archivo permanentemente o expediente continuo de Auditora.Saber todo acerca del negocio y de los sistemas implementados, datos de la empresa, objetivo social, polticas e normas implementadas. Sin olvidar toda la informacin que corresponda al sistema de Bases de datos.

Auditora de Base de DatosInstrumentos de evaluacinDefinir los grupos de riegos.Todos los escenarios de riesgo del sistema de bases de datos.Agrupacin.

Evaluar el estado de control existente.Problemas por seguridad en instalaciones y el acceso fsicoRiesgo relacionado a los accesos lgicos y privacidad de las bases de datosRelacin entre sistema operativo y DBMSRiesgo relacionado a las aplicaciones y utilitarios utilizados en la empresa

Auditora de Base de DatosDonde se debe aplicar esta auditoria ?

En toda empresa que conste con un Sistema de Base de Datos con informacin sumamente importante para su desarrollo y datos confidenciales de usuarios externos. Ejemplos: Bancos, Supermercados, Colegios y Universidades.

Auditora de Base de DatosAuditora de DesarrolloAplicando la divisin funcional al departamento de informtica de cualquier entidad, una de las reas que tradicionalmente aparece es la de desarrollo.El desarrollo incluye todo el ciclo de vida del software excepto la explotacin, el mantenimiento y el fuera de servicio de las aplicaciones cuando sta tenga lugar.Auditora de DesarrolloImportancia de la auditora de desarrollo

Los avances en tecnologas de las computadoras han hecho que actualmente el desafo ms importante y el principal reto sea la calidad del softwareEl gasto destinado a software es cada vez superior al que se dedica al hardwareEl software como producto es muy difcil de validar. Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costos de mantenimiento.El ndice de fracasos en proyectos de desarrollo es demasiado alto, lo cual denota la inexistencia o mal funcionamiento de los controles en este proceso.Las aplicaciones informticas, que son el producto principal obtenido al final del desarrollo, pasan a ser la herramienta de trabajo principal de las reas informatizadas, convirtindose en un factor esencial para la gestin y la toma de decisiones.

Auditora de DesarrolloPlanteamiento y metodologaPara tratar la auditora de desarrollo es necesario, en primer lugar, definir las funciones o tareas, las funciones que tradicionalmente se asignan al rea son: Planificacin del rea y participacin en la elaboracin del plan estratgico de informticaDesarrollo de nuevos sistemasEstudio de nuevos lenguajes, tcnicas, metodologas, estndares, herramientas, etc. Establecimiento de un plan de formacin para el personal adscrito al reaEstablecimiento de normas y controles para todas las actividades que se realizan en el rea y comprobacin de su observancia.

Auditora de DesarrolloPlanteamiento y metodologaUna metodologa aplicable es la propuesta por la ISACA (Asociacin de Auditora y Control de Sistemas de Informacin), que est basada en la evaluacin de riesgos partiendo de los riesgos potenciales a los que est sometida una actividad (en este caso el desarrollo de un sistema de informacin), se determinan una serie de objetivos de control que minimicen esos riesgos. Auditora de DesarrolloEtapasAprobacin, planificacin y gestin del proyecto. El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente. Se debe comprobar que:Existe una orden de aprobacin del proyecto firmada por un rgano competente. En el documento de aprobacin estn definidos de forma clara y precisa los objetivos del mismo y las restricciones.Se han identificado las unidades de la organizacin a las que afecta

Auditora de DesarrolloEtapasAuditora de la fase de anlisisEn este mdulo se identificarn los requerimientos del nuevo sistema. Se incluirn tanto los requerimientos funcionales como los no funcionales, distinguiendo para cada uno de ellos su importancia y prioridad.Los usuarios y responsables de las unidades a las que afecte el nuevo sistema establecern de forma clara los requerimientos del mismo.

Auditora de la fase de diseo En la fase de diseo se elaborar el conjunto de especificaciones fsicas del nuevo sistema que servirn de base para la construccin del mismo. A partir de las especificaciones funcionales, y teniendo en cuenta el entorno tecnolgico, se disear la arquitectura del sistema y el esquema externo de datos.

Auditora de DesarrolloEtapasAuditora de la fase de construccinEn esta fase se programarn y probarn los distintos componentes y se pondrn en marcha todos los procedimientos necesarios para que los usuarios puedan trabajar con el nuevo sistema. Estar basado en las especificaciones fsicas obtenidas en la fase de diseo. En este mdulo se realizarn los distintos componentes, se probarn tanto individualmente como de forma integrada, y se desarrollarn los procedimientos de operacin.

Auditora de la fase de implantacin En esta fase se realizar la aceptacin del sistema por parte de los usuarios, adems de las actividades necesarias para la puesta en marcha. Se verificar en este mdulo que el sistema cumple con los requerimientos establecidos en la fase de anlisis. Una vez probado y aceptado se pondr en explotacin.

Auditora de RedesMecanismos que prueban una red informtica, evaluando la seguridad y su desempeo, para lograr mayor eficiencia y aseguramiento de la informacin

MetodologaEstructura fsica(hardware, topologa)Estructura lgica(software, aplicaciones)

Auditora de RedesEtapas

Anlisis de vulnerabilidades: Punto ms crtico de toda la auditoraEstrategia de saneamiento: Identificar los agujeros en la red y proceder repralos, actualizando el software afectado, reconfigurndolo de mejor manera o reemplazndolo por otro similarPlan de contencin: Elaborar Plan B, que prevea un incidente despus de tomadas las medidas de seguridad.Seguimiento Continuo del desempeo del sistema: La seguridad no es un producto, es un proceso.

Auditora de RedesTipos

Auditora de comunicacionesLa gestin de redes: los equipos y su conectividadLa monitorizacin de las comunicacionesLa revisin de costes y la asignacin formal de proveedoresCreacin y aplicabilidad de estndares

Auditora de RedesTipos

Auditora de Red Fsicareas de equipo de comunicacin con control de accesoProteccin y mantenimiento adecuado de cables y lneas de comunicacin para evitar accesos fsicosUtilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trfico de estaRecuperacin del sistemaControl de las lneas telefnicasEquipo de comunicacin en lugares cerrados y de acceso limitadoSeguridad fsica del equipo adecuada

Auditora de RedesTipos

Auditora de Red LgicaEn lneas telefnicas: No debe darse el numero como pblico y tenerlas configuradas con retro-llamada, cdigo de conexin o interruptoresContraseas de accesoUna transmisin debe ser recibida solo por el destinatarioRegistrar actividades de los usuario en la red

Que busca la auditoria Aplicaciones ?Posibilidades de fallo:SoftwareHardwareRedes y telecomunicacionesSoftware mltipleComputador centralDispositivos perifricosTransmisin de datosServidores Mdems lneas de comunicacinConfidencialidad e integridadGran uso de internet en las aplicaciones

Auditoria de AplicacionesA que se aplica ?En Aplicaciones en funcionamiento en cuanto al grado de cumplimiento de los objetivos para los que fueron creadas

Objetivos de las aplicaciones

Registro de las operacionesProcesos de clculo y edicin Almacenamiento de la informacin Dar respuesta a consultas de usuariosGenerar informes de inters para la organizacin

Metodologa para aplicarlaEntrevistasEncuestasObservacin del trabajo realizado por los usuarios con la aplicacinPruebasDe conformidadDe validacinUso del computadorGAS (web: herramientas de auditora)SQL / QBE

Observacin del trabajo realizado por los usuariosEs conveniente observar como algn usuario hace uso de aquellas transacciones mas significativas por su volumen o riesgo.

Este mtodo es muy til para el auditor, ya que deja ver que aunque una aplicacin funcione bien; puede que no tenga el nivel ptimo de efectividad esperado.

Es indispensable aprovechar estas observaciones para solicitar simulaciones de situaciones previsibles de error para comprobar si la respuesta del sistema es la esperadaPruebas de conformidadSon actuaciones orientadas especficamente a comprobar que determinados procedimientos, normas o controles internos, particularmente los que merecen confianza de estar adecuadamente establecidos, se cumplen o funcionan de acuerdo con lo previsto y esperado.

La evidencia de incumplimiento puede ser puesta de manifiesto a travs de informes de excepcin.

Los testimonios de incumplimiento no implica evidencia pero, si parten de varias personas, es probable que la organizacin asuma como validos dichos testimonios

Pruebas substantivas o de validacinEste tipo de pruebas estn destinadas a detectar la presencia o ausencia de errores o irregularidades en procesos, actividades, transacciones o controles internos integrados en ellosLos siguientes son algunos de los tipos de errores que pueden ser considerados para este tipo de pruebas:

Transacciones omitidasDuplicadas Inexistentes indebidamente incluidasRegistradas sin contar con las autorizaciones establecidasIncorrectamente clasificadas o contabilizadas en cuentas diferentes a las procedentes Transacciones con informacin errnea, desde su origen o por alteracin posterior

Uso del computadorEl uso del computador constituye una de las herramientas mas valiosas en la realizacin de la auditoria de una aplicacin informtica.Computadores personalesComputador o computadores sobre los que se explota la aplicacin objeto de auditoria

Existen en el mercado infinidad de productos de software concebidos para facilitar la tarea del auditor.

Se puede utilizar herramientas que no son necesariamente diseadas para esta funcin pero de las cuales se pueden obtener resultados similares y que pueden estar disponibles en la organizacin como por ejemplo: Lenguaje SQL

Etapas de la auditoria de una aplicacin informticaRecogida de informacin y documentacin sobre la aplicacin

Determinacin de los objetivos y alcance de la auditoria

Planificacin de la auditoria

Trabajo de campo, informe e implantacin de mejoras

Conclusiones

Auditoria de mantenimientoSu objetivo principal:

Darle seguimiento a los procesos que se realizan para el mantenimiento de sistemas informticos, con esto se pretende que se establezcan estndares para el mantenimiento de los sistema y se cumplan al pie de la letra.

Indicadores utilizados para la auditoria de mantenimientoTiempo Promedio Entre FallasTiempo Promedio Para ReparacinTiempo Promedio Para FallaDisponibilidad de equiposTiempo Promedio de mantenimientoProgreso en los esfuerzos reduccin costosCosto relativo con personal propioHerramientas comunesEntrevistasEncuestasObservacin del trabajo de los recursos informticos que se estn evaluando.Pruebas de efectividad de los recursos.Pilares para determinar la madurez del mantenimientoActitud de la gestin administrativaEstado organizacionalPorcentaje de perdida de los recursosSolucin de problemasCalificacin y mantenimientoSistema de informacionesPosicin de la compaa

Grado de madurez del mantenimientoNivel 1: InconscienteNivel 2: DespertandoNivel 3: DesarrollandoNivel 4: CapacitadoNivel 5: Consciente

Ejemplo de medicin del grado de madurezActitud de la gestin administrativa

Nivel 1 Inconsciente: No comprende lo que es mantenimiento preventivo.Nivel 2 Despertando: Reconoce que el mantenimiento puede ser mejorado, sin embargo se siente incapacitado para implementar.Nivel 3 Desarrollando: Desarrolla mayor inters y seguridad.Nivel 4 Capacitando: Actitud participativa; reconoce que la gestin de mantenimiento es mandataria.Nivel 5 Consciente: Incluye el mantenimiento como una parte del sistema global de la compaa.