NOVENO SEMESTRE

MAYO 2015

• AUDITORIA FÍSICA• AUDITORIA DE LA OFIMÁTICA• AUDITORIA DE LA DIRECCIÓN• AUDITORIA DE LA EXPLOTACIÓN• AUDITORIA DEL DESARROLLO

Garantiza la integridad de los activos humanos, lógicos y material de un CPD. (centro de procesamiento de datos)

No están claras los límites , dominios y responsabilidades de los tres tipos de seguridad que a los usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones

Se deben tener medidas para atender los riesgos de fallos, local o general.

Medidas…

Antes

Obtener y mantener un nivel adecuado de seguridad física sobre los activos

Durante

Ejecutar un plan de contingencia adecuado

Después

Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo.

Antes

El nivel adecuado de seguridad física , o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias.

Es un concepto general , no solo informático, en las que las personas hagan uso particular o profesional de los entornos físicos.

Ubicación del edificioUbicación del CPDCompartimentaciónElementos de construcciónPotencia eléctricaSistemas contra incendiosControl de accesosSelección del personalSeguridad de los mediosMedidas de protecciónDuplicación de los medios

Durante

Desastre: es cualquier evento , que cuando ocurre, tiene la capacidad de interrumpir e normal proceso de una empresa.Se debe contar con los medios para afrontarlo cuando éste ocurra.Los medios quedan definidos en el Plan de recuperación de desastres, junto con el centro alternativo de proceso de datos, constituyen el Plan de Contingencia.Plan de contingencia inexcusablemente debe:

Realizar un análisis de riesgos de sistemas críticosEstablecer un período crítico de recuperaciónRealizar un análisis de las aplicaciones críticas estableciendo

prioridades de proceso.Establecer prioridades de procesos por días del año de las

aplicaciones y orden de los procesosEstablecer objetivos de recuperación que determinen el período

de tiempo (horas, días , semanas) entre la declaración del desastre y el momento en que el centro alternativo puede procesar las aplicaciones críticas.

Durante

*Designar , entre los distintos tipos existentes, un centro alternativo de proceso de datos.

*Asegurar la capacidad de las comunicaciones

*Asegurar la capacidad de los servicios de Back-up

Después *De la gama de seguros pueden darse:*Centro de proceso y equipamiento*Reconstrucción de medios de software*Gastos extra ( continuidad de las operaciones y permite

compensar la ejecución del plan de contingencia)*Interrupción del negocio ( cubre pérdidas de beneficios

netos causados por la caida de sistemas)*Documentos y registros valiosos

Edificio :Debe encargarse a peritos especializados

Las áreas en que el auditor chequea directamente :Organigrama de la empresa

Dependencias orgánicas, funcionales y jeráraquicas.Separación de funciones y rotación del personalDa la primera y más amplia visión del Centro de Proceso

Auditoría InternaPersonal, planes de auditoria, historia de auditorias físicas

Administración de la seguridadDirector o responsable de la seguridad integralResponsable de la seguridad informáticaAdministradores de redesAdministradores de Base de datosResponsables de la seguridad activa y pasiva del entorno físicoNormas, procedimientos y planes existentes

Centro de proceso de datos e instalaciones* Entorno en donde se encuentra el CPD* Sala de Host* Sala de operadores* Sala de impresoras* Cámara acorazada* Oficinas* Almacenes* Instalaciones eléctricas* Aire acondicionado

Equipos y comunicaciones

* Host, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones.

Seguridad física del personal

* Accesos seguros

* Salidas seguras

* Medios y rutas de evacuación, extinción de incendios, sistemas de bloqueos de puertas y ventanas

* Normas y políticas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal

Debieran estar accesibles:

*Políticas , normas y planes de seguridad

*Auditorías anteriores, generales o parciales

*Contratos de seguros, de proveedores y de mantenimiento

*Actas e informes de técnicos y consultores

* Informes de accesos y visitas

* Informes sobre pruebas de evacuación

*Políticas del personal

* Inventarios de soportes ( cintoteca , back-up, procedimientos de archivos, controles de salida y recuperación de soporte, control de copias, etc.)

Técnicas:*Observación de las instalaciones, sistemas, cumplimiento de normas y

procedimientos, etc. ( tanto de espectador como actor)*Revisión analítica de:*Documentación sobre construcción y preinstalaciones*Documentación sobre seguridad física*Políticas y normas de actividad de sala*Normas y procedimientos sobre seguridad física de los datos*Contratos de seguros y de mantenimiento

*Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio)*Consultas a técnicos y peritos que formen parte de la plantilla o independientes

Herramientas:

*Cuaderno de campo/ grabadora de audio

*Máquina fotográfica / cámara de video

*Su uso debe ser discreto y con autorización

Considerando la metodología de ISACA (Information Systems Audit and Control Association)*Fase 1 Alcance de la Auditoría*Fase 2 Adquisición de Información general*Fase 3 Administración y Planificación*Fase 4 Plan de auditoría*Fase 5 Resultados de las Pruebas*Fase 6 Conclusiones y Comentarios*Fase 7 Borrador del Informe*Fase 8 Discusión con los Responsables de Area*Fase 9 Informe Final* Informe – anexo al informe – carpeta de evidencias

*Fase 10 Seguimiento de las modificaciones acordadas

Sistema informatizado que genera, procesa, almacena , recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina [Schill]Ejemplos:

aplicaciones específicas ara la gestión de tareas como Hojas de cálculo o Procesadores de texto, Herramientas para la gestión de documentos, como control de expedientes o sistemas de almacenamiento óptico de información,Agendas y bases de datos personales;Sistemas de trabajo en grupo como el correo electrónico o el control de flujo de trabajo;

La evolución ha sido tal que hoy en día , parece incuestionable que los productos desarrollados en plataformas microinformaticas ofrecen prestaciones y una relación costo/beneficio muy superiores a las soluciones sobre computadores centralizados.Este desarrollo de sistemas ofimáticos ha mantenido dos paradigmas fundamentales:

El escritorio virtualEl trabajo cooperativo (CSCW, computed Supported Cooperative Work)

Escritorio Virtual: Un único panel representado por la pantalla del computador, que sustituya la mesa de trabajo tradicional, y donde se encuentren disponibles todas las herramientas necesarias para desarrollar las actividades del oficinista. La interfaz debe parecer natural al usuario y debe ser fácil de aprender y utilizar.

El Trabajo Cooperativo:Puede considerarse como una extensión del concepto de integración de aplicaciones. Según Kraemer es como una multiplicidad de actividades coordinadas, desarrolladas por un conjunto de participantes y soportadas por un sistema informático. Lo anterior implica permitir intercambiar la información necesaria en los diversos procesos de la organización y/o con otras organizaciones.Controles de auditoría

Existen dos características peculiares de los entornos ofimáticos:La distribución de las aplicaciones por los diferentes departamentos de la organización en lugar de encontrarse en una única ubicación centralizada; yEl traslado de la responsabilidad sobre ciertos controles de los sistemas de información a usuarios finales no dedicados profesionalmente a la informática, que pueden no comprender de un modo adecuado la importancia de los mismos y la forma de realizarlos

*Adquisición poco planificada

*Desarrollos ineficaces e ineficientes

*Falta de conciencia de los usuarios acerca de la seguridad de la información

*Utilización de copias ilegales de aplicaciones

*Procedimientos de copias de seguridad deficientes

*Escasa formación del personal

*Ausencia de documentación suficiente

Los controles

Se presentan agrupados siguiendo criterios relacionados con aspectos de economía, eficacia y eficiencia; seguridad y condicionantes legales, son los suficientemente generales para servir de base en la elaboración del guion de trabajo de la labor del equipo auditor

Determinar si el inventario ofimático refleja con exactitud los equipos y aplicaciones existentes en la organización:

Mecanismos para garantizar que los equipos adquiridos son inventariados.Realizar conciliaciónIdentificación de diferencias

Determinar y evaluar el procedimiento de adquisiciones de equipos y aplicaciones

PolíticasRevisión cumplimiento de políticasConsideración de otros mecanismos que optimicen el proceso actual de adquisición

Determinar y evaluar la política de mantenimiento definida en la organización:

Revisión de contratos y si incluyen a todo el inventarioGarantíasRegistro de incidencias producidas Tiempo de atención de las incidencias y mecanismos

Evaluar la calidad de las aplicaciones del entorno ofimático desarrollada por personal de la propia organización:

Responsables del desarrolloMetodologías y test de pruebasAmbiente de desarrollo vs ambiente explotaciónReporte de incidencias y seguimiento

Evaluar la corrección del procedimiento existente para la realización de los cambios de versiones y aplicaciones:

Procedimientos y mecanismos formales para la autorización, aprobación, adquisición de nuevas aplicaciones y cambios de versiones

Comprobación del cumplimiento sobre lo instalado en usuarios

Compatibilidad e integración en el entorno operativoDeterminar si los usuarios cuentan con suficiente formación y la documentación de apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente :

Plan de formación y/o capacitaciónUtilización real de las últimas versiones en los usuarios

Determinar si el sistema existente se ajusta a las necesidades reales de la organización:

Obsolescencia de equipos

Uso de equipos y labores sobre éstos

Detección de nuevas necesidades

Determinar si existen garantías para proteger los acceso no autorizados a la información reservada de la empresa y la integridad de la mismaDeterminar si el procedimiento de generación de las copias de respaldo es fiable y garantiza la recuperación de la información en caso de necesidadDeterminar si está garantizado el funcionamiento ininterrumpido de aquellas aplicaciones cuya caída podría suponer pérdidas de integridad de la información y aplicacionesDeterminar el grado de exposición ante la posibilidad de intrusión de virus

Determinar si en el entorno ofimático se producen situaciones que puedan suponer infracciones a lo dispuesto por ley de protección de datos de carácter personal

Determinar si en el entorno ofimático se producen situaciones que puedan suponer infracciones a los dispuesto por la ley sobre propiedad intelectual.

La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc.

Para realizar la Explotación Informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad

Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones. La Explotación Informática se divide en tres grandes áreas: Planificación, Producción y Soporte Técnico, en la que cada cual tiene varios grupos.

Control de Entrada de Datos:

Se analizará la captura de la información en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a Norma.

Auditoría Informática de Explotación:

Planificación y Recepción de Aplicaciones:

Se auditarán las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor único. Deberán realizarse muestreos selectivos de la Documentación de las Aplicaciones explotadas. Se inquirirá sobre la anticipación de contactos con Desarrollo para la planificación a medio y largo plazo.

Centro de Control y Seguimiento de Trabajos:

Se analizará cómo se prepara, se lanza y se sigue la producción diaria. Básicamente, la explotación Informática ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en tiempo real (Tiempo Real*). Mientras que las Aplicaciones de Teleproceso están permanentemente activas y la función de Explotación se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotación. En muchos Centros de Proceso de Datos, éste órgano recibe el nombre de Centro de Control de Batch. Este grupo determina el éxito de la explotación, en cuanto que es uno de los factores más importantes en el mantenimiento de la producción.

*Las Aplicaciones que son Batch son Aplicaciones que cargan mucha información durante el día y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la información, calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta información durante el día, pero todavía no procesa nada. Es solamente un tema de "Data Entry" que recolecta información, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al día siguiente.

*Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la información correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas que tienen que responder en Tiempo Real.

Operación. Salas de Ordenadores:

Se intentarán analizar las relaciones personales y la coherencia de cargos y salarios, así como la equidad en la asignación de turnos de trabajo.

Se verificará la existencia de un responsable de Sala en cada turno de trabajo.

Se analizará el grado de automatización de comandos, se verificara la existencia y grado de uso de los Manuales de Operación.

Se analizará no solo la existencia de planes de formación, sino el cumplimiento de los mismos y el tiempo transcurrido para cada Operador desde el último Curso recibido.

Se estudiarán los montajes diarios y por horas de cintas o cartuchos, así como los tiempos transcurridos entre la petición de montaje por parte del Sistema hasta el montaje real.

Se verificarán las líneas de papel impresas diarias y por horas, así como la manipulación de papel que comportan.

Centro de Control de Red y Centro de Diagnosis:

El Centro de Control de Red suele ubicarse en el área de producción de Explotación. Sus funciones se refieren exclusivamente al ámbito de las Comunicaciones, estando muy relacionado con la organización de Software de Comunicaciones de Técnicas de Sistemas.

Debe analizarse la fluidez de esa relación y el grado de coordinación entre ambos. Se verificará la existencia de un punto focal único, desde el cual sean perceptibles todos las líneas asociadas al Sistema. El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averías o incidencias, tanto de Software como de Hardware.

El Centro de Diagnosis está especialmente indicado para informáticos grandes y con usuarios dispersos en un amplio territorio. Es uno de los elementos que más contribuyen a configurar la imagen de la Informática de la empresa.

Satisfacción de usuarios:

Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó .

Control de Procesos y Ejecuciones de Programas Críticos Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los programas fuente y los programa módulo no coincidieran podría provocar graves y altos costos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial informativo, etc.

Siempre en una organización se dice que esta es un reflejo de las características de su dirección, los modos y maneras de actuar de aquella están influenciadas por la filosofía y personalidad del director.Acciones de un Director• Planificar. (este acorde al plan estratégico (conocimiento a evaluar acciones a realizar)). - Lectura y análisis de actas, acuerdos, etc.- Lectura y análisis de informes gerenciales.- Entrevistas con el mismo director Del departamento y con los directores de otras áreas.• Organizar. • Controlar. • Coordinar.

Las enormes sumas que las empresas dedican a la tecnología de la información y de la dependencia de estás con los procesos de la organización hacen necesaria una evaluación independiente de la función que la gestiona (dirige).

AUDITORIA DE DIRECCION