AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 15 y 16

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ AUDITORIA INFORMATICA

PROFESOR  : Ing. Fernando Andrade ALUMNO

: Jesús Cisneros Valle

FECHA

: Quito, 03 de Octubre del 2012

CURSO

: 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 15 y 16 DEL LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico. p ráctico.

CAPITULO 15

AUDITORIA DE TECNICA DE SISTEMAS Cuestiones de Repaso: 1. Qué ámbito abarca actualmente la técnica de sistemas? El ámbito de tarea de TS, obliga a acotar con claridad la materia para después establecer las correspondientes actividades de control. Se puede determinar cómo ámbito la infraestructura informática, es decir el conjunto de instalaciones, equipos de  proceso y el llamado llamado software de base, base, desde los puntos puntos antes citados. citados.

Instalaciones: Este apartado incluye salas de proceso, con sus sistemas de seguridad y  control, así como elementos de conexión y cableado. Equipos de proceso: Como las computadoras, los periféricos y los dispositivos de conmutación y comunicaciones. Software de base: son los sistemas operativos, compiladores, traductores e intérpretes de comandos y programas junto con los gestores de datos. Considerando infraestructura todo cuanto hemos detallado, es decir, todo lo necesario  para que las aplicacione aplicacioness funcionen, funcionen, esto sería en si el ámbito de la TS. 2. Defina nivel de servicio? Se entiende por nivel de servicio una serie de parámetros cuya medición es capaz de determinar objetivamente objetivamente el mayor o menor grado de eficacia del servicio prestado. No hay duda de que la obtención de dicho nivel se ve afectada por las incidencias de 1

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ cualquier tipo, que impactan el normal desenvolvimiento de la actividad de los Sistema de Información. El nivel de servicio obliga a determinar los puntos críticos que afectan la actividad de SI y prever su fallo y planificar los controles y acciones correspondientes para subsanarlo. 3. Qué procedimientos deberían existir para la instalación y puesta en servicio de un equipo? Comprendería las siguientes actividades: •

•

•

•

Planificación: procedimiento general del suministrador adaptado a la instalación concreta. Documentación: Inventario de componentes del elemento y normas de actualización. Parametrización: Parámetros del sistema en función del resto de elementos  planificados.  planificados. Pruebas: Verificaciones Verificaciones a realizar y sus resultado r esultados. s.

4. Enumere los principales aspectos a contemplar conte mplar en la resolución de incidencias? Procedimientos para registrar, analizar, diagnosticar, calificar y seguir las incidencias que se produzcan con relación al elemento en cuestión con el objetivo de su resolución.

1. 2. 3. 4. 5. 6.

Registrar  Analizar Diagnosticar Calificar Resolución Seguimiento

5. Con qué criterios auditaría un plan de infraestructura i nfraestructura tecnológica? 1. Eficacia 2. Eficiencia 3. Confidencialidad 4. Integridad 5. Disponibilidad 6. Legalidad 7. fiabilidad 6. Como afecta la heterogeneidad de los entornos a la auditoría de sistemas? En entornos heterogéneos se requiere conocimientos específicos de cada sistema operativo, gestor de base de datos, herramientas de desarrollo, administración, monitorización monitorización y seguridad.

2

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ La auditoría debe hacerse desde dos perspectivas diferentes y con equipos de personas distintas: Equipo de organización con conocimientos generales de chequeo de aspectos • operativos, como establecimiento y reparación de entornos y los procedimientos inherentes a dicha separación y a las funciones generales como resolución de incidencias, planes de contingencia, niveles de servicio o informes periódicos de técnicas de sistemas sobre el desarrollo de la tarea. Equipos expertos en entornos específicos que sean capaces de analizar los •  parámetros claves del software de base en sus distintas concepciones: SO, gestores de bases de datos y herramientas varias. 7. Porqué son peligrosas algunas utilidades que permiten acceso directo a los datos o al núcleo del sistema operativo? Un control especial deben aplicarse a las utilidades de uso restringido que permiten accesos directos al núcleo del sistema operativo o a los datos. Se trata de elementos sensibles cuyo uso debe estar especificado, toda vez que (en determinados casos) no dejan pistas de las modificaciones realizadas. Pueden crear espacios de debilidad de seguridades del SO y de los datos. 8. Cómo afecta el avance de las comunicaciones a la técnica de sistemas? Y a su auditoría? La liberación de las telecomunicaciones y el incremento de las redes y la mejora de la calidad de los enlaces junto con el incremento de los costes de desarrollo y  mantenimiento de los sistemas. Las comunicaciones permitirán trabajar desde cualquier punto a través de redes globales, sea en el trabajo, oficinas, la comunicaciones permite enlazarse desde cualquier punto con las posibles consecuencias de afectación de la seguridad. Esto hará más difícil la auditorias por lo que se deberá implementar pista de auditoria. 9. Analice el impacto de la replicación de datos en un entorno distribuido? La complejidad de los sistemas distribuidos no compensa su aparente eficiencia. Por ejemplo para conseguir consistencia en la información de los diferentes nodos se ha tenido que normalizar el comit  de doble fase. Es decir basta un enlace de comunicaciones fiable y permanente para garantizar que todos los nodos se actualizan con la información. La comunicación debe ser fiable sin la cual no funcionaría adecuadamente con una operatividad correcta.

El sistema distribuido puede en si tener ventajas de costes de comunicaciones siempre que los accesos puedan ser locales y la diferencia compense las actualizaciones distribuidas. Pero si por alguna circunstancia se cayera el enlace en un sistema distribuido solo están están activos los accesos locales y hasta que no se restaure el enlace caído no funciona el

3

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ sistema para actualizaciones que deban replicarse. Para solventar estas deficiencias los sistemas distribuidos han creado estrategias basadas en replicadores de transacciones y   permitiendo registros pendientes pendientes de actualizar que se ponen al día al levantarse la línea de comunicación caída. Lo que sucede es que para que el esquema de replicación funcione, obliga a mantener la actualización del único nodo, lo que supone la única opción para mantener la consistencia de los datos. 10. Establezca los principales criterios para evaluar herramientas de monitorización de sistemas. Cada fabricante dispone de ofertas complementarias en cuanto a herramientas para administrar, controlar y monitorizar los sistemas, los especialistas tratan de normalizar todos los aspectos relacionados con la seguridad, el control y la monitorización de los sistemas que se convierten en las piezas básicas para la articulación de los  procedimientos  procedimientos de que hemos hablado. hablado.

Existen muchas herramientas para administrar la potencialidad de los sistemas de información entre los criterios que debería tener esas herramientas pueden estar: • •

•

• •

• •

Deben ser homogéneas para los distintos sistemas operativos Que permita obtener en tiempo real una revisión de la seguridad, integridad y  mecanismos de control Monitorización de los sistemas, alertas de sistemas operativos, bases de datos y  aplicaciones. Control de elementos remotos Ser seguros dando soporte a datos, software, mantenimiento de actividades ante contingencias contingencias y pérdida de beneficios Permita realizar pruebas de rendimiento estándar Evaluar la potencialidad de las máquinas y contrastar la validez de la instalación.

CAPITULO 16

AUDITORIA DE LA CALIDAD Cuestiones de Repaso: 1. Elabore su propia definición de calidad? La calidad en si es un producto, es la carta de presentación de lo que ofrecemos dentro de un mundo globalizado, es lo que nos hace distinguir de los demás (la competencia), la calidad es el objetivo último de la empresa, que deberá impulsar la productividad  pero bajo normas estrictas estrictas de calidad calidad que la hagan sobresalir sobresalir dentro del mercado mercado donde se desenvuelva. Por la calidad paga el cliente y ésta debe satisfacer totalmente y 

4

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ  promover su consumo de manera consuetudinaria consuetudinaria y ser ella misma la que posicione al  producto en en la preferencia de de los clientes. clientes. 2. Qué características de la calidad define la norma ISO IS O 9126? Un conjunto de atributos del producto software a través de los cuales la calidad es descrita y evaluada. Posee 6 características: Funcionalidad: Conjunto de atributos que se refieren a la existencia de un conjunto de funciones y sus propiedades específicas, específicas, Fiabilidad: Conjunto de atributos que se refiere a la capacidad del software de mantener su nivel de rendimiento bajo unas condiciones específicas durante un periodo definido, Usabilidad: Conjunto de atributos que se refiere al esfuerzo necesario para usarlo y  sobre la valoración individual de tal uso por un conjunto de usuarios definidos o implícitos, Eficiencia: Eficiencia: Conjunto de atributos que se refiera a las relaciones relaciones entre el nivel nivel de rendimiento de software y la cantidad de recursos utilizados bajo condiciones  predefinidas,  predefinidas, Mantenibilidad: Conjunto de atributos que se refiere al esfuerzo necesario para hacer modificaciones específicas, Portabilidad: Conjunto de atributos que se refieren a la habilidad del software para ser transferido desde un entorno a otro. 3. Objetivos de las auditorías de la calidad? Mostrar la situación real para aportar confianza y destacar las áreas que pueden afectar adversamente esa confianza. 4. Que prerrequisitos se exigen a los técnicos de desarrollo en un proceso de revisión? 1. Objetivo de la auditoria, criterios existentes (Contratistas, requerimientos, planes, especificaciones, estándares) en relación con los elementos software y los procesos que puedan ser evaluados. 2. El personal de auditoria es seleccionado para promover los objetivos del grupo. Son independientes de cualquier responsabilidad directa para los productos y los  procesos examinados examinados y pueden pueden provenir de una una organización externa. externa. 3. El personal de auditoria debe tener la suficiente autoridad que le permita una adecuada gestión con el fin de realizar la auditoria. 5. Resuma las principales fases del proceso de auditoría del software. 1. Objetivo.- Proveer la confirmación de la conformidad de los productos y los  procesos para certificar la adherencia con los estándares, estándares, líneas, guía, especificaciones especificaciones y procedimientos. procedimientos. 2. Resumen.- La auditoría es realizada de acuerdo con los planes y procedimientos documentados. El plan de auditoria establece el procedimiento para dirigir la auditoria y las acciones de seguimiento sobre las recomendaciones recomendaciones de la auditoria.

5

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

3.

4.

5.

6.

 Al realizar la auditoria el personal personal de la auditoria evalúa los elementos de software, los resultados de la auditoria son documentados y remitidos al director de la organización auditada, la entidad iniciadora de la auditoria o cualquier esxterna identificada en el plan de auditoria. Las recomendaciones son informadas e incluidas en el plan de auditoria. Responsabilidades especiales.- es responsabilidad del líder del equipo de auditoria organizar y dirigir la auditoria y la coordinación de la preparación de los puntos del informe de auditoría. El líder del equipo deberá asegurar que el equipo está  preparado para hacer la auditoria y que todo lo encontrado encontrado se verá reflejado en el informe. La entidad iniciadora de la auditoria es responsable para autorizarla, la dirección de la organización asume la responsabilidad de la auditoría y la asignación de los recursos necesarios para llevarla a cabo. Aquellos cuyos  productos son auditados suministraran todos los materiales y recursos relevantes y  corregirán las deficiencias citadas por el equipo auditor. Entrada.- Se requieren r equieren de las siguientes entradas para realizar la auditoria. 4.1. El propósito y alcance de la auditoria 4.2. Criterios objetivos de la auditoria (contratos, requerimientos, planes, especificaciones, procedimientos, líneas guías y estándares) 4.3. Los elementos de software y los procesos a auditar y cualquier antecedente 4.4. Información complementaria respecto a la organización responsable de los  productos y procesos procesos a auditar (organigrama de la organización) organización) Criterios de conocimiento.- La necesidad para que una auditoria se inicie debe debe ser  por uno de los siguientes procesos: procesos: 5.1. Se ha alcanzado un hito especial del proyecto. La auditoría es iniciada planes  previos (plan de desarrollo del del software). 5.2. Partes externas (agencias reguladoras) demandando una auditoria en una fecha específica o en un hito de proyecto, puede ser por un acto contractual 5.3. Un elemento de la organización local (director del proyecto, ingeniería de sistemas, control interno) ha requerido la auditoria estableciendo una necesidad clara y precisa. 5.4.Un hito espacial del proyecto, fecha de calendario u otro criterio alcanzado dentro de la planificación de la organización de auditoria le corresponde la iniciación de la auditoria. Procedimientos.6.1 Planificación: La organización de auditoría debe desarrollar y documentar un plan de auditoría para cada auditoria. Este plan debe apoyarse en el alcance de la auditoria. 6.1.1 El proceso del proyecto a examinar y el tiempo de observación del equipo de auditoria 6.1.2 Los requerimientos del software a examinar y su disponibilidad disponibilidad 6.1.3 Los informes serán identificados, si las recomendaciones son incluidas o excluidas debe ser informado explícitamente 6.1.4 Distribución de informes 6.1.5 Requerimientos Requerimientos de las actividades de seguimiento

6

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ 6.1.6

Requerimientos: actividades necesarias, elementos y   procedimientos  procedimientos para cubrir el el alcance de la auditoria 6.1.7 Objetos y criterios de auditoria 6.1.8 Procedimientos de auditoría y listas de comprobación 6.1.9 Personal de auditoria 6.1.10 Organizaciones involucradas en la auditoria 6.1.11 Fecha, hora y lugar, agenda y la audiencia a quien se dirige la sesión de introducción. El líder del equipo de auditoría, asegura que su equipo está preparado e incluyen a los miembros con la experiencia y la pericia necesaria. 6.2 Introducción: Es opcional hacer una reunión introductoria con la organización a auditar en el momento del arranque para examinar las fases de la auditoria. Se determinaran los siguientes puntos: Introducción sobre los acuerdos existentes, introducción de la producción y procesos a ser auditados, introducción del proceso de auditoría, sus objetivos y salidas, contribuciones esperadas de la organización auditada al proceso de auditoría, planificación especifica de auditoría. 6.3 Preparación: Del equipo de auditoría. Entender la organización, Entender los productos y los procesos, Entender los objetivos y los criterios de auditoría, Preparación para el informe de auditoría, Detalle del plan de auditoría. El líder del equipo debe hacer los preparativos para: Orientar a su equipo y  formarlos de ser ser necesario, preparar lo necesario necesario para las las entrevistas entrevistas de auditoría, Preparar los materiales, los documentos y herramientas necesarias  para los procedimientos procedimientos de auditoría, Identificar los elementos elementos de software a auditar, Planificar las entrevistas. entrevistas. 6.4 Examen: Los elementos que han sido seleccionados para auditarse deberán ser valorados en relación con el objetivo y criterios de la auditoria. Las evidencias deberán ser examinadas con la profundidad necesaria para ver si esos elementos cumplen con los criterios especificados.  A la auditoria se la adecuara para conseguir: Revisar los procedimientos procedimientos e instrucciones, Examinar la estructura de descomposición de los trabajos, Examinar las evidencias de la implantación y lo equilibrado del control, Entrevistar al personal para averigua el estado y funcionamiento de los  procesos y estado de los productos. Examinar el documento, documento, Comprobar cada elemento. 6.5 Informes: Deberá emitir un borrador del informe de auditoria a la organización auditada para su revisión y comentarios. El informe final de

7

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ auditoria deberá ser preparado, aprobado y distribuido por el líder del equipo de auditoria a las organizaciones especificas en el plan de auditoria. 6.6 Criterio de terminación: La auditoria terminara cuando: Se ha examinado cada elemento dentro del alcance de la auditoria, Los resultados han sido  presentados  presentados a la organización auditada, auditada, La respuesta al borrador ha sido recibida y aprobada, El resultado final ha sido formalmente presentado a la organización auditada y a la entidad iniciadora, El informe final ha sido  preparado y enviado a los l os receptores designados en el plan de auditoria, El informe de recomendaciones ha sido enviado a los receptores designados en el plan de auditoria, Se ha realizado todas las acciones d seguimiento incluidas en el alcance la auditoria. 6.7 Salidas: Como un marco estándar para los informes, el informe de borrador de auditoria y el informe final de auditoria, deberán contener: Identificación de la auditoria •  Alcance • Conclusiones • Sinopsis • Seguimiento • 6.8 Auditabilida 6.8 Auditabilidad: d: Los materiales que documentan documentan el proceso de auditoria deben ser mantenidos por la organización auditora un periodo estipulado después de la auditoria e incluyendo: Todos los programas de trabajo, listas de aprobación, todos los • comentarios El equipo de técnicos • Comentarios de las entrevistas así como las observaciones • Evidencias de pruebas de continuidad • Copias de los elementos examinados con sus comentarios • Informes borradores con las respuestas de la organización auditada auditada • Memorándum del seguimiento si es necesario • 6. Como se incluyen los procesos de auditoría en la norma ISO/IEC 12207? Para realizar cualquier proceso de auditoría se debe conocer la actividad que se va a auditar: Procesos primarios del ciclo de vida • Procesos de soporte del ciclo de vida • Procesos organizativos del ciclo de vida •

Procesos de aseguramiento de la calidad: sirven para suministrar la seguridad de que durante el ciclo de vida del producto y los procesos están de acuerdo con los requerimientos requerimientos especificados y se adhieren a los planes establecidos. El aseguramiento

8

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ de la calidad puede ser interno o externo, el aseguramiento de la calidad puede hacer uso de otros procesos de soporte: Verificación, validación, revisiones conjuntas, auditorias y resolución resolución de problemas. 7. Diferencias entre aseguramiento del producto y aseguramiento del proceso?  Aseguramiento del del producto: 1.  Asegurarse que se cumpla todo lo establecido en el contrato, que este todo documentado, son consistentes y se está cumpliendo como se requiere. 2.  Asegurarse que el software y la documentación documentación cumplen con el contrato y los  planes 3. En la preparación de los suministros de software asegurarse que satisfacen totalmente los requerimientos contractuales y son aceptados por el cliente.

 Aseguramiento del del proceso: 1.  Asegurarse que el ciclo de vida esta de acuerdo con las especificaciones y ajustes del contrato 2.  Asegurarse que las practicas internas de ingeniería de software, entorno de desarrollo y librerías está de acuerdo con el contrato 3.  Asegurarse que los requerimientos requerimientos del contrato principal son trasladaos al subcontratista y que los productos de software del subcontratista satisface los requerimientos requerimientos del contrato principal 4.  Asegurarse que el cliente y las otras partes tendrán el soporte y cooperación cooperación requeridos de acuerdo al contrato, negociaciones y planes. 5.  Asegurarse que el producto software y los procesos medios están de acuerdo a estándares y procedimientos establecidos establecidos 6.  Asegurarse que el personal técnico asignado tiene el perfil y conocimientos conocimientos necesarios para cumplir los requerimient r equerimientos os del proyecto. 8. Elementos a incluir en un plan para el aseguramiento de la calidad. Las actividades adicionales de gestión de calidad deberán asegurar su concordancia con la clausula de ISO 9001 según especifique el contrato. 9. Que conocimientos se requieren para poder llevar a cabo con éxito una auditoría de calidad? a) Los productos de software codificados reflejaran el diseñado en la documentación b) Los requerimientos de aceptación y de pruebas prescritos por la documentación son adecuados adecuados para la aceptación de los productos software c) Los datos de prueba cumplen con la especificación d) Los productos software fueron sucesivamente probados y alcanzaron sus especificaciones e) Los informes de pruebas son correctos y las discrepancias entre los resultados conseguidos y esperados han sido resueltas f) Los documentos del usuario cumplen con los estándares tal como se ha especificado

9

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ g) Las actividades han sido llevadas de acuerdo con los requerimientos aplicables, los  planes y el contrato h) El coste y el cronograma se ajustan a los planes establecidos establecidos 10. Cómo explicaría a un director de informática las ventajas de llevar a cabo una auditoria de calidad? Iniciaría explicándole que la calidad del producto final es la carta de presentación de una empresa, que es la que determina la preferencia de los clientes a tal o cual  producto, la auditoria de calidad permitiría llegar a esta crucial final de “producto de calidad”, ya que al seguir las especificaciones técnicas, las normas ISO o el estándar  ANSI/IEEE asentirá no no solo mantener mantener la calidad sino mejorarla mejorarla de manera manera consecutiva. consecutiva. La Auditoria mejorará las partes del proceso de producción que estén débiles o que no se han tomado en cuenta o implementado, permitirá hacer un seguimiento de todo el  proceso producción/producto producción/producto a fin conseguir mantener la calidad de los entregables a los clientes que le satisfagan sus necesidades y además mejorar los ingresos a la empresa.

10