UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
1
AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade
ALUMNO : Jesús Cisneros Valle
FECHA : Quito, 03 de Octubre del 2012
CURSO : 10ASM
RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 15 y 16 DEL
LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.
CAPITULO 15
AUDITORIA DE TECNICA DE SISTEMAS
Cuestiones de Repaso:
1. Qué ámbito abarca actualmente la técnica de sistemas?
El ámbito de tarea de TS, obliga a acotar con claridad la materia para después
establecer las correspondientes actividades de control. Se puede determinar cómo
ámbito la infraestructura informática, es decir el conjunto de instalaciones, equipos de
proceso y el llamado software de base, desde los puntos antes citados.
Instalaciones: Este apartado incluye salas de proceso, con sus sistemas de seguridad y
control, así como elementos de conexión y cableado.
Equipos de proceso: Como las computadoras, los periféricos y los dispositivos de
conmutación y comunicaciones.
Software de base: son los sistemas operativos, compiladores, traductores e intérpretes
de comandos y programas junto con los gestores de datos.
Considerando infraestructura todo cuanto hemos detallado, es decir, todo lo necesario
para que las aplicaciones funcionen, esto sería en si el ámbito de la TS.
2. Defina nivel de servicio?
Se entiende por nivel de servicio una serie de parámetros cuya medición es capaz de
determinar objetivamente el mayor o menor grado de eficacia del servicio prestado. No
hay duda de que la obtención de dicho nivel se ve afectada por las incidencias de
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
2
cualquier tipo, que impactan el normal desenvolvimiento de la actividad de los Sistema
de Información.
El nivel de servicio obliga a determinar los puntos críticos que afectan la actividad de
SI y prever su fallo y planificar los controles y acciones correspondientes para
subsanarlo.
3. Qué procedimientos deberían existir para la instalación y puesta en servicio de un
equipo?
Comprendería las siguientes actividades:
• Planificación: procedimiento general del suministrador adaptado a la instalación
concreta.
• Documentación: Inventario de componentes del elemento y normas de
actualización.
• Parametrización: Parámetros del sistema en función del resto de elementos
planificados.
• Pruebas: Verificaciones a realizar y sus resultados.
4. Enumere los principales aspectos a contemplar en la resolución de incidencias?
Procedimientos para registrar, analizar, diagnosticar, calificar y seguir las incidencias
que se produzcan con relación al elemento en cuestión con el objetivo de su resolución.
1. Registrar 2. Analizar 3. Diagnosticar 4. Calificar 5. Resolución 6. Seguimiento
5. Con qué criterios auditaría un plan de infraestructura tecnológica?
1. Eficacia 2. Eficiencia 3. Confidencialidad 4. Integridad 5. Disponibilidad 6. Legalidad 7. fiabilidad
6. Como afecta la heterogeneidad de los entornos a la auditoría de sistemas?
En entornos heterogéneos se requiere conocimientos específicos de cada sistema
operativo, gestor de base de datos, herramientas de desarrollo, administración,
monitorización y seguridad.
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
3
La auditoría debe hacerse desde dos perspectivas diferentes y con equipos de personas
distintas:
• Equipo de organización con conocimientos generales de chequeo de aspectos operativos, como establecimiento y reparación de entornos y los procedimientos
inherentes a dicha separación y a las funciones generales como resolución de
incidencias, planes de contingencia, niveles de servicio o informes periódicos de
técnicas de sistemas sobre el desarrollo de la tarea.
• Equipos expertos en entornos específicos que sean capaces de analizar los parámetros claves del software de base en sus distintas concepciones: SO, gestores
de bases de datos y herramientas varias.
7. Porqué son peligrosas algunas utilidades que permiten acceso directo a los datos o
al núcleo del sistema operativo?
Un control especial deben aplicarse a las utilidades de uso restringido que permiten
accesos directos al núcleo del sistema operativo o a los datos. Se trata de elementos
sensibles cuyo uso debe estar especificado, toda vez que (en determinados casos) no
dejan pistas de las modificaciones realizadas. Pueden crear espacios de debilidad de
seguridades del SO y de los datos.
8. Cómo afecta el avance de las comunicaciones a la técnica de sistemas? Y a su
auditoría?
La liberación de las telecomunicaciones y el incremento de las redes y la mejora de la
calidad de los enlaces junto con el incremento de los costes de desarrollo y
mantenimiento de los sistemas. Las comunicaciones permitirán trabajar desde
cualquier punto a través de redes globales, sea en el trabajo, oficinas, la
comunicaciones permite enlazarse desde cualquier punto con las posibles
consecuencias de afectación de la seguridad. Esto hará más difícil la auditorias por lo
que se deberá implementar pista de auditoria.
9. Analice el impacto de la replicación de datos en un entorno distribuido?
La complejidad de los sistemas distribuidos no compensa su aparente eficiencia. Por
ejemplo para conseguir consistencia en la información de los diferentes nodos se ha
tenido que normalizar el comit de doble fase. Es decir basta un enlace de
comunicaciones fiable y permanente para garantizar que todos los nodos se actualizan
con la información. La comunicación debe ser fiable sin la cual no funcionaría
adecuadamente con una operatividad correcta.
El sistema distribuido puede en si tener ventajas de costes de comunicaciones siempre
que los accesos puedan ser locales y la diferencia compense las actualizaciones
distribuidas.
Pero si por alguna circunstancia se cayera el enlace en un sistema distribuido solo están
activos los accesos locales y hasta que no se restaure el enlace caído no funciona el
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
4
sistema para actualizaciones que deban replicarse. Para solventar estas deficiencias los
sistemas distribuidos han creado estrategias basadas en replicadores de transacciones y
permitiendo registros pendientes de actualizar que se ponen al día al levantarse la línea
de comunicación caída.
Lo que sucede es que para que el esquema de replicación funcione, obliga a mantener
la actualización del único nodo, lo que supone la única opción para mantener la
consistencia de los datos.
10. Establezca los principales criterios para evaluar herramientas de monitorización
de sistemas.
Cada fabricante dispone de ofertas complementarias en cuanto a herramientas para
administrar, controlar y monitorizar los sistemas, los especialistas tratan de normalizar
todos los aspectos relacionados con la seguridad, el control y la monitorización de los
sistemas que se convierten en las piezas básicas para la articulación de los
procedimientos de que hemos hablado.
Existen muchas herramientas para administrar la potencialidad de los sistemas de
información entre los criterios que debería tener esas herramientas pueden estar:
• Deben ser homogéneas para los distintos sistemas operativos
• Que permita obtener en tiempo real una revisión de la seguridad, integridad y mecanismos de control
• Monitorización de los sistemas, alertas de sistemas operativos, bases de datos y aplicaciones.
• Control de elementos remotos
• Ser seguros dando soporte a datos, software, mantenimiento de actividades ante contingencias y pérdida de beneficios
• Permita realizar pruebas de rendimiento estándar
• Evaluar la potencialidad de las máquinas y contrastar la validez de la instalación.
CAPITULO 16
AUDITORIA DE LA CALIDAD
Cuestiones de Repaso:
1. Elabore su propia definición de calidad?
La calidad en si es un producto, es la carta de presentación de lo que ofrecemos dentro
de un mundo globalizado, es lo que nos hace distinguir de los demás (la competencia),
la calidad es el objetivo último de la empresa, que deberá impulsar la productividad pero bajo normas estrictas de calidad que la hagan sobresalir dentro del mercado donde
se desenvuelva. Por la calidad paga el cliente y ésta debe satisfacer totalmente y
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
5
promover su consumo de manera consuetudinaria y ser ella misma la que posicione al
producto en la preferencia de los clientes.
2. Qué características de la calidad define la norma ISO 9126?
Un conjunto de atributos del producto software a través de los cuales la calidad es
descrita y evaluada. Posee 6 características:
Funcionalidad: Conjunto de atributos que se refieren a la existencia de un conjunto de
funciones y sus propiedades específicas,
Fiabilidad: Conjunto de atributos que se refiere a la capacidad del software de
mantener su nivel de rendimiento bajo unas condiciones específicas durante un periodo
definido,
Usabilidad: Conjunto de atributos que se refiere al esfuerzo necesario para usarlo y
sobre la valoración individual de tal uso por un conjunto de usuarios definidos o
implícitos,
Eficiencia: Conjunto de atributos que se refiera a las relaciones entre el nivel de
rendimiento de software y la cantidad de recursos utilizados bajo condiciones predefinidas,
Mantenibilidad: Conjunto de atributos que se refiere al esfuerzo necesario para hacer
modificaciones específicas,
Portabilidad: Conjunto de atributos que se refieren a la habilidad del software para ser
transferido desde un entorno a otro.
3. Objetivos de las auditorías de la calidad?
Mostrar la situación real para aportar confianza y destacar las áreas que pueden afectar
adversamente esa confianza.
4. Que prerrequisitos se exigen a los técnicos de desarrollo en un proceso de
revisión?
1. Objetivo de la auditoria, criterios existentes (Contratistas, requerimientos, planes, especificaciones, estándares) en relación con los elementos software y los procesos
que puedan ser evaluados.
2. El personal de auditoria es seleccionado para promover los objetivos del grupo. Son independientes de cualquier responsabilidad directa para los productos y los
procesos examinados y pueden provenir de una organización externa.
3. El personal de auditoria debe tener la suficiente autoridad que le permita una adecuada gestión con el fin de realizar la auditoria.
5. Resuma las principales fases del proceso de auditoría del software.
1. Objetivo.- Proveer la confirmación de la conformidad de los productos y los
procesos para certificar la adherencia con los estándares, líneas, guía,
especificaciones y procedimientos.
2. Resumen.- La auditoría es realizada de acuerdo con los planes y procedimientos
documentados. El plan de auditoria establece el procedimiento para dirigir la
auditoria y las acciones de seguimiento sobre las recomendaciones de la auditoria.
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
6
Al realizar la auditoria el personal de la auditoria evalúa los elementos de software,
los resultados de la auditoria son documentados y remitidos al director de la
organización auditada, la entidad iniciadora de la auditoria o cualquier esxterna
identificada en el plan de auditoria. Las recomendaciones son informadas e
incluidas en el plan de auditoria.
3. Responsabilidades especiales.- es responsabilidad del líder del equipo de auditoria
organizar y dirigir la auditoria y la coordinación de la preparación de los puntos del
informe de auditoría. El líder del equipo deberá asegurar que el equipo está
preparado para hacer la auditoria y que todo lo encontrado se verá reflejado en el
informe. La entidad iniciadora de la auditoria es responsable para autorizarla, la
dirección de la organización asume la responsabilidad de la auditoría y la
asignación de los recursos necesarios para llevarla a cabo. Aquellos cuyos
productos son auditados suministraran todos los materiales y recursos relevantes y
corregirán las deficiencias citadas por el equipo auditor.
4. Entrada.- Se requieren de las siguientes entradas para realizar la auditoria.
4.1. El propósito y alcance de la auditoria 4.2. Criterios objetivos de la auditoria (contratos, requerimientos, planes,
especificaciones, procedimientos, líneas guías y estándares)
4.3. Los elementos de software y los procesos a auditar y cualquier antecedente
4.4. Información complementaria respecto a la organización responsable de los
productos y procesos a auditar (organigrama de la organización)
5. Criterios de conocimiento.- La necesidad para que una auditoria se inicie debe ser
por uno de los siguientes procesos:
5.1. Se ha alcanzado un hito especial del proyecto. La auditoría es iniciada planes
previos (plan de desarrollo del software).
5.2. Partes externas (agencias reguladoras) demandando una auditoria en una fecha
específica o en un hito de proyecto, puede ser por un acto contractual
5.3. Un elemento de la organización local (director del proyecto, ingeniería de
sistemas, control interno) ha requerido la auditoria estableciendo una necesidad
clara y precisa.
5.4.Un hito espacial del proyecto, fecha de calendario u otro criterio alcanzado
dentro de la planificación de la organización de auditoria le corresponde la iniciación de la auditoria.
6. Procedimientos.-
6.1 Planificación: La organización de auditoría debe desarrollar y documentar un plan de auditoría para cada auditoria. Este plan debe apoyarse en el
alcance de la auditoria.
6.1.1 El proceso del proyecto a examinar y el tiempo de observación
del equipo de auditoria
6.1.2 Los requerimientos del software a examinar y su disponibilidad
6.1.3 Los informes serán identificados, si las recomendaciones son
incluidas o excluidas debe ser informado explícitamente
6.1.4 Distribución de informes
6.1.5 Requerimientos de las actividades de seguimiento
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
7
6.1.6 Requerimientos: actividades necesarias, elementos y
procedimientos para cubrir el alcance de la auditoria
6.1.7 Objetos y criterios de auditoria
6.1.8 Procedimientos de auditoría y listas de comprobación
6.1.9 Personal de auditoria
6.1.10 Organizaciones involucradas en la auditoria 6.1.11 Fecha, hora y lugar, agenda y la audiencia a quien se dirige la
sesión de introducción.
El líder del equipo de auditoría, asegura que su equipo está preparado e
incluyen a los miembros con la experiencia y la pericia necesaria.
6.2 Introducción: Es opcional hacer una reunión introductoria con la
organización a auditar en el momento del arranque para examinar las fases
de la auditoria. Se determinaran los siguientes puntos: Introducción sobre
los acuerdos existentes, introducción de la producción y procesos a ser
auditados, introducción del proceso de auditoría, sus objetivos y salidas, contribuciones esperadas de la organización auditada al proceso de
auditoría, planificación especifica de auditoría.
6.3 Preparación: Del equipo de auditoría. Entender la organización, Entender los productos y los procesos, Entender los objetivos y los criterios de
auditoría, Preparación para el informe de auditoría, Detalle del plan de
auditoría.
El líder del equipo debe hacer los preparativos para: Orientar a su equipo y formarlos de ser necesario, preparar lo necesario para las entrevistas de
auditoría, Preparar los materiales, los documentos y herramientas necesarias
para los procedimientos de auditoría, Identificar los elementos de software
a auditar, Planificar las entrevistas.
6.4 Examen: Los elementos que han sido seleccionados para auditarse deberán ser valorados en relación con el objetivo y criterios de la auditoria. Las
evidencias deberán ser examinadas con la profundidad necesaria para ver si
esos elementos cumplen con los criterios especificados.
A la auditoria se la adecuara para conseguir: Revisar los procedimientos e
instrucciones, Examinar la estructura de descomposición de los trabajos,
Examinar las evidencias de la implantación y lo equilibrado del control,
Entrevistar al personal para averigua el estado y funcionamiento de los
procesos y estado de los productos. Examinar el documento, Comprobar
cada elemento.
6.5 Informes: Deberá emitir un borrador del informe de auditoria a la
organización auditada para su revisión y comentarios. El informe final de
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
8
auditoria deberá ser preparado, aprobado y distribuido por el líder del
equipo de auditoria a las organizaciones especificas en el plan de auditoria.
6.6 Criterio de terminación: La auditoria terminara cuando: Se ha examinado cada elemento dentro del alcance de la auditoria, Los resultados han sido
presentados a la organización auditada, La respuesta al borrador ha sido
recibida y aprobada, El resultado final ha sido formalmente presentado a la
organización auditada y a la entidad iniciadora, El informe final ha sido
preparado y enviado a los receptores designados en el plan de auditoria, El
informe de recomendaciones ha sido enviado a los receptores designados en
el plan de auditoria, Se ha realizado todas las acciones d seguimiento
incluidas en el alcance la auditoria.
6.7 Salidas: Como un marco estándar para los informes, el informe de borrador de auditoria y el informe final de auditoria, deberán contener:
• Identificación de la auditoria
• Alcance
• Conclusiones
• Sinopsis
• Seguimiento
6.8 Auditabilidad: Los materiales que documentan el proceso de auditoria deben ser mantenidos por la organización auditora un periodo estipulado
después de la auditoria e incluyendo:
• Todos los programas de trabajo, listas de aprobación, todos los comentarios
• El equipo de técnicos
• Comentarios de las entrevistas así como las observaciones
• Evidencias de pruebas de continuidad
• Copias de los elementos examinados con sus comentarios
• Informes borradores con las respuestas de la organización auditada
• Memorándum del seguimiento si es necesario
6. Como se incluyen los procesos de auditoría en la norma ISO/IEC 12207?
Para realizar cualquier proceso de auditoría se debe conocer la actividad que se va a
auditar:
• Procesos primarios del ciclo de vida
• Procesos de soporte del ciclo de vida
• Procesos organizativos del ciclo de vida
Procesos de aseguramiento de la calidad: sirven para suministrar la seguridad de que
durante el ciclo de vida del producto y los procesos están de acuerdo con los
requerimientos especificados y se adhieren a los planes establecidos. El aseguramiento
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
9
de la calidad puede ser interno o externo, el aseguramiento de la calidad puede hacer
uso de otros procesos de soporte: Verificación, validación, revisiones conjuntas,
auditorias y resolución de problemas.
7. Diferencias entre aseguramiento del producto y aseguramiento del proceso?
Aseguramiento del producto:
1. Asegurarse que se cumpla todo lo establecido en el contrato, que este todo documentado, son consistentes y se está cumpliendo como se requiere.
2. Asegurarse que el software y la documentación cumplen con el contrato y los planes
3. En la preparación de los suministros de software asegurarse que satisfacen totalmente los requerimientos contractuales y son aceptados por el cliente.
Aseguramiento del proceso:
1. Asegurarse que el ciclo de vida esta de acuerdo con las especificaciones y ajustes del contrato
2. Asegurarse que las practicas internas de ingeniería de software, entorno de desarrollo y librerías está de acuerdo con el contrato
3. Asegurarse que los requerimientos del contrato principal son trasladaos al subcontratista y que los productos de software del subcontratista satisface los
requerimientos del contrato principal
4. Asegurarse que el cliente y las otras partes tendrán el soporte y cooperación requeridos de acuerdo al contrato, negociaciones y planes.
5. Asegurarse que el producto software y los procesos medios están de acuerdo a estándares y procedimientos establecidos
6. Asegurarse que el personal técnico asignado tiene el perfil y conocimientos necesarios para cumplir los requerimientos del proyecto.
8. Elementos a incluir en un plan para el aseguramiento de la calidad.
Las actividades adicionales de gestión de calidad deberán asegurar su concordancia
con la clausula de ISO 9001 según especifique el contrato.
9. Que conocimientos se requieren para poder llevar a cabo con éxito una auditoría
de calidad?
a) Los productos de software codificados reflejaran el diseñado en la documentación b) Los requerimientos de aceptación y de pruebas prescritos por la documentación son
adecuados para la aceptación de los productos software
c) Los datos de prueba cumplen con la especificación d) Los productos software fueron sucesivamente probados y alcanzaron sus
especificaciones
e) Los informes de pruebas son correctos y las discrepancias entre los resultados conseguidos y esperados han sido resueltas
f) Los documentos del usuario cumplen con los estándares tal como se ha
especificado
UNIVERSIDAD AUTONOMA DE QUITO – UNAQ
10
g) Las actividades han sido llevadas de acuerdo con los requerimientos aplicables, los planes y el contrato
h) El coste y el cronograma se ajustan a los planes establecidos
10. Cómo explicaría a un director de informática las ventajas de llevar a cabo una
auditoria de calidad?
Iniciaría explicándole que la calidad del producto final es la carta de presentación de
una empresa, que es la que determina la preferencia de los clientes a tal o cual
producto, la auditoria de calidad permitiría llegar a esta crucial final de “producto de
calidad”, ya que al seguir las especificaciones técnicas, las normas ISO o el estándar
ANSI/IEEE asentirá no solo mantener la calidad sino mejorarla de manera consecutiva.
La Auditoria mejorará las partes del proceso de producción que estén débiles o que no
se han tomado en cuenta o implementado, permitirá hacer un seguimiento de todo el
proceso producción/producto a fin conseguir mantener la calidad de los entregables a
los clientes que le satisfagan sus necesidades y además mejorar los ingresos a la
empresa.