UNIVERSIDAD AUTONOMA DE QUITO UNAQ

AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade ALUMNO FECHA CURSO : Jess Cisneros Valle : Quito, 03 de Octubre del 2012 : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 15 y 16 DEL LIBRO AUDITORIA INFORMATICA Un enfoque prctico.

CAPITULO 15
AUDITORIA DE TECNICA DE SISTEMAS Cuestiones de Repaso: 1. Qu mbito abarca actualmente la tcnica de sistemas? El mbito de tarea de TS, obliga a acotar con claridad la materia para despus establecer las correspondientes actividades de control. Se puede determinar cmo mbito la infraestructura informtica, es decir el conjunto de instalaciones, equipos de proceso y el llamado software de base, desde los puntos antes citados. Instalaciones: Este apartado incluye salas de proceso, con sus sistemas de seguridad y control, as como elementos de conexin y cableado. Equipos de proceso: Como las computadoras, los perifricos y los dispositivos de conmutacin y comunicaciones. Software de base: son los sistemas operativos, compiladores, traductores e intrpretes de comandos y programas junto con los gestores de datos. Considerando infraestructura todo cuanto hemos detallado, es decir, todo lo necesario para que las aplicaciones funcionen, esto sera en si el mbito de la TS. 2. Defina nivel de servicio? Se entiende por nivel de servicio una serie de parmetros cuya medicin es capaz de determinar objetivamente el mayor o menor grado de eficacia del servicio prestado. No hay duda de que la obtencin de dicho nivel se ve afectada por las incidencias de
1

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

cualquier tipo, que impactan el normal desenvolvimiento de la actividad de los Sistema de Informacin. El nivel de servicio obliga a determinar los puntos crticos que afectan la actividad de SI y prever su fallo y planificar los controles y acciones correspondientes para subsanarlo. 3. Qu procedimientos deberan existir para la instalacin y puesta en servicio de un equipo? Comprendera las siguientes actividades: Planificacin: procedimiento general del suministrador adaptado a la instalacin concreta. Documentacin: Inventario de componentes del elemento y normas de actualizacin. Parametrizacin: Parmetros del sistema en funcin del resto de elementos planificados. Pruebas: Verificaciones a realizar y sus resultados. 4. Enumere los principales aspectos a contemplar en la resolucin de incidencias? Procedimientos para registrar, analizar, diagnosticar, calificar y seguir las incidencias que se produzcan con relacin al elemento en cuestin con el objetivo de su resolucin. 1. 2. 3. 4. 5. 6. Registrar Analizar Diagnosticar Calificar Resolucin Seguimiento

5. Con qu criterios auditara un plan de infraestructura tecnolgica? 1. Eficacia 2. Eficiencia 3. Confidencialidad 4. Integridad 5. Disponibilidad 6. Legalidad 7. fiabilidad 6. Como afecta la heterogeneidad de los entornos a la auditora de sistemas? En entornos heterogneos se requiere conocimientos especficos de cada sistema operativo, gestor de base de datos, herramientas de desarrollo, administracin, monitorizacin y seguridad.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

La auditora debe hacerse desde dos perspectivas diferentes y con equipos de personas distintas: Equipo de organizacin con conocimientos generales de chequeo de aspectos operativos, como establecimiento y reparacin de entornos y los procedimientos inherentes a dicha separacin y a las funciones generales como resolucin de incidencias, planes de contingencia, niveles de servicio o informes peridicos de tcnicas de sistemas sobre el desarrollo de la tarea. Equipos expertos en entornos especficos que sean capaces de analizar los parmetros claves del software de base en sus distintas concepciones: SO, gestores de bases de datos y herramientas varias. 7. Porqu son peligrosas algunas utilidades que permiten acceso directo a los datos o al ncleo del sistema operativo? Un control especial deben aplicarse a las utilidades de uso restringido que permiten accesos directos al ncleo del sistema operativo o a los datos. Se trata de elementos sensibles cuyo uso debe estar especificado, toda vez que (en determinados casos) no dejan pistas de las modificaciones realizadas. Pueden crear espacios de debilidad de seguridades del SO y de los datos. 8. Cmo afecta el avance de las comunicaciones a la tcnica de sistemas? Y a su auditora? La liberacin de las telecomunicaciones y el incremento de las redes y la mejora de la calidad de los enlaces junto con el incremento de los costes de desarrollo y mantenimiento de los sistemas. Las comunicaciones permitirn trabajar desde cualquier punto a travs de redes globales, sea en el trabajo, oficinas, la comunicaciones permite enlazarse desde cualquier punto con las posibles consecuencias de afectacin de la seguridad. Esto har ms difcil la auditorias por lo que se deber implementar pista de auditoria. 9. Analice el impacto de la replicacin de datos en un entorno distribuido? La complejidad de los sistemas distribuidos no compensa su aparente eficiencia. Por ejemplo para conseguir consistencia en la informacin de los diferentes nodos se ha tenido que normalizar el comit de doble fase. Es decir basta un enlace de comunicaciones fiable y permanente para garantizar que todos los nodos se actualizan con la informacin. La comunicacin debe ser fiable sin la cual no funcionara adecuadamente con una operatividad correcta. El sistema distribuido puede en si tener ventajas de costes de comunicaciones siempre que los accesos puedan ser locales y la diferencia compense las actualizaciones distribuidas. Pero si por alguna circunstancia se cayera el enlace en un sistema distribuido solo estn activos los accesos locales y hasta que no se restaure el enlace cado no funciona el

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

sistema para actualizaciones que deban replicarse. Para solventar estas deficiencias los sistemas distribuidos han creado estrategias basadas en replicadores de transacciones y permitiendo registros pendientes de actualizar que se ponen al da al levantarse la lnea de comunicacin cada. Lo que sucede es que para que el esquema de replicacin funcione, obliga a mantener la actualizacin del nico nodo, lo que supone la nica opcin para mantener la consistencia de los datos. 10. Establezca los principales criterios para evaluar herramientas de monitorizacin de sistemas. Cada fabricante dispone de ofertas complementarias en cuanto a herramientas para administrar, controlar y monitorizar los sistemas, los especialistas tratan de normalizar todos los aspectos relacionados con la seguridad, el control y la monitorizacin de los sistemas que se convierten en las piezas bsicas para la articulacin de los procedimientos de que hemos hablado. Existen muchas herramientas para administrar la potencialidad de los sistemas de informacin entre los criterios que debera tener esas herramientas pueden estar: Deben ser homogneas para los distintos sistemas operativos Que permita obtener en tiempo real una revisin de la seguridad, integridad y mecanismos de control Monitorizacin de los sistemas, alertas de sistemas operativos, bases de datos y aplicaciones. Control de elementos remotos Ser seguros dando soporte a datos, software, mantenimiento de actividades ante contingencias y prdida de beneficios Permita realizar pruebas de rendimiento estndar Evaluar la potencialidad de las mquinas y contrastar la validez de la instalacin.

CAPITULO 16
AUDITORIA DE LA CALIDAD Cuestiones de Repaso: 1. Elabore su propia definicin de calidad? La calidad en si es un producto, es la carta de presentacin de lo que ofrecemos dentro de un mundo globalizado, es lo que nos hace distinguir de los dems (la competencia), la calidad es el objetivo ltimo de la empresa, que deber impulsar la productividad pero bajo normas estrictas de calidad que la hagan sobresalir dentro del mercado donde se desenvuelva. Por la calidad paga el cliente y sta debe satisfacer totalmente y

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

promover su consumo de manera consuetudinaria y ser ella misma la que posicione al producto en la preferencia de los clientes. 2. Qu caractersticas de la calidad define la norma ISO 9126? Un conjunto de atributos del producto software a travs de los cuales la calidad es descrita y evaluada. Posee 6 caractersticas: Funcionalidad: Conjunto de atributos que se refieren a la existencia de un conjunto de funciones y sus propiedades especficas, Fiabilidad: Conjunto de atributos que se refiere a la capacidad del software de mantener su nivel de rendimiento bajo unas condiciones especficas durante un periodo definido, Usabilidad: Conjunto de atributos que se refiere al esfuerzo necesario para usarlo y sobre la valoracin individual de tal uso por un conjunto de usuarios definidos o implcitos, Eficiencia: Conjunto de atributos que se refiera a las relaciones entre el nivel de rendimiento de software y la cantidad de recursos utilizados bajo condiciones predefinidas, Mantenibilidad: Conjunto de atributos que se refiere al esfuerzo necesario para hacer modificaciones especficas, Portabilidad: Conjunto de atributos que se refieren a la habilidad del software para ser transferido desde un entorno a otro. 3. Objetivos de las auditoras de la calidad? Mostrar la situacin real para aportar confianza y destacar las reas que pueden afectar adversamente esa confianza. 4. Que prerrequisitos se exigen a los tcnicos de desarrollo en un proceso de revisin? 1. Objetivo de la auditoria, criterios existentes (Contratistas, requerimientos, planes, especificaciones, estndares) en relacin con los elementos software y los procesos que puedan ser evaluados. 2. El personal de auditoria es seleccionado para promover los objetivos del grupo. Son independientes de cualquier responsabilidad directa para los productos y los procesos examinados y pueden provenir de una organizacin externa. 3. El personal de auditoria debe tener la suficiente autoridad que le permita una adecuada gestin con el fin de realizar la auditoria. 5. Resuma las principales fases del proceso de auditora del software. 1. Objetivo.- Proveer la confirmacin de la conformidad de los productos y los procesos para certificar la adherencia con los estndares, lneas, gua, especificaciones y procedimientos. 2. Resumen.- La auditora es realizada de acuerdo con los planes y procedimientos documentados. El plan de auditoria establece el procedimiento para dirigir la auditoria y las acciones de seguimiento sobre las recomendaciones de la auditoria.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

Al realizar la auditoria el personal de la auditoria evala los elementos de software, los resultados de la auditoria son documentados y remitidos al director de la organizacin auditada, la entidad iniciadora de la auditoria o cualquier esxterna identificada en el plan de auditoria. Las recomendaciones son informadas e incluidas en el plan de auditoria. Responsabilidades especiales.- es responsabilidad del lder del equipo de auditoria organizar y dirigir la auditoria y la coordinacin de la preparacin de los puntos del informe de auditora. El lder del equipo deber asegurar que el equipo est preparado para hacer la auditoria y que todo lo encontrado se ver reflejado en el informe. La entidad iniciadora de la auditoria es responsable para autorizarla, la direccin de la organizacin asume la responsabilidad de la auditora y la asignacin de los recursos necesarios para llevarla a cabo. Aquellos cuyos productos son auditados suministraran todos los materiales y recursos relevantes y corregirn las deficiencias citadas por el equipo auditor. Entrada.- Se requieren de las siguientes entradas para realizar la auditoria. 4.1. El propsito y alcance de la auditoria 4.2. Criterios objetivos de la auditoria (contratos, requerimientos, planes, especificaciones, procedimientos, lneas guas y estndares) 4.3. Los elementos de software y los procesos a auditar y cualquier antecedente 4.4. Informacin complementaria respecto a la organizacin responsable de los productos y procesos a auditar (organigrama de la organizacin) Criterios de conocimiento.- La necesidad para que una auditoria se inicie debe ser por uno de los siguientes procesos: 5.1. Se ha alcanzado un hito especial del proyecto. La auditora es iniciada planes previos (plan de desarrollo del software). 5.2. Partes externas (agencias reguladoras) demandando una auditoria en una fecha especfica o en un hito de proyecto, puede ser por un acto contractual 5.3. Un elemento de la organizacin local (director del proyecto, ingeniera de sistemas, control interno) ha requerido la auditoria estableciendo una necesidad clara y precisa. 5.4.Un hito espacial del proyecto, fecha de calendario u otro criterio alcanzado dentro de la planificacin de la organizacin de auditoria le corresponde la iniciacin de la auditoria. Procedimientos.6.1 Planificacin: La organizacin de auditora debe desarrollar y documentar un plan de auditora para cada auditoria. Este plan debe apoyarse en el alcance de la auditoria. 6.1.1 El proceso del proyecto a examinar y el tiempo de observacin del equipo de auditoria 6.1.2 Los requerimientos del software a examinar y su disponibilidad 6.1.3 Los informes sern identificados, si las recomendaciones son incluidas o excluidas debe ser informado explcitamente 6.1.4 Distribucin de informes 6.1.5 Requerimientos de las actividades de seguimiento

3.

4.

5.

6.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

6.1.6 Requerimientos: actividades necesarias, elementos y procedimientos para cubrir el alcance de la auditoria 6.1.7 Objetos y criterios de auditoria 6.1.8 Procedimientos de auditora y listas de comprobacin 6.1.9 Personal de auditoria 6.1.10 Organizaciones involucradas en la auditoria 6.1.11 Fecha, hora y lugar, agenda y la audiencia a quien se dirige la sesin de introduccin. El lder del equipo de auditora, asegura que su equipo est preparado e incluyen a los miembros con la experiencia y la pericia necesaria. 6.2 Introduccin: Es opcional hacer una reunin introductoria con la organizacin a auditar en el momento del arranque para examinar las fases de la auditoria. Se determinaran los siguientes puntos: Introduccin sobre los acuerdos existentes, introduccin de la produccin y procesos a ser auditados, introduccin del proceso de auditora, sus objetivos y salidas, contribuciones esperadas de la organizacin auditada al proceso de auditora, planificacin especifica de auditora. 6.3 Preparacin: Del equipo de auditora. Entender la organizacin, Entender los productos y los procesos, Entender los objetivos y los criterios de auditora, Preparacin para el informe de auditora, Detalle del plan de auditora. El lder del equipo debe hacer los preparativos para: Orientar a su equipo y formarlos de ser necesario, preparar lo necesario para las entrevistas de auditora, Preparar los materiales, los documentos y herramientas necesarias para los procedimientos de auditora, Identificar los elementos de software a auditar, Planificar las entrevistas. 6.4 Examen: Los elementos que han sido seleccionados para auditarse debern ser valorados en relacin con el objetivo y criterios de la auditoria. Las evidencias debern ser examinadas con la profundidad necesaria para ver si esos elementos cumplen con los criterios especificados. A la auditoria se la adecuara para conseguir: Revisar los procedimientos e instrucciones, Examinar la estructura de descomposicin de los trabajos, Examinar las evidencias de la implantacin y lo equilibrado del control, Entrevistar al personal para averigua el estado y funcionamiento de los procesos y estado de los productos. Examinar el documento, Comprobar cada elemento. 6.5 Informes: Deber emitir un borrador del informe de auditoria a la organizacin auditada para su revisin y comentarios. El informe final de

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

auditoria deber ser preparado, aprobado y distribuido por el lder del equipo de auditoria a las organizaciones especificas en el plan de auditoria. 6.6 Criterio de terminacin: La auditoria terminara cuando: Se ha examinado cada elemento dentro del alcance de la auditoria, Los resultados han sido presentados a la organizacin auditada, La respuesta al borrador ha sido recibida y aprobada, El resultado final ha sido formalmente presentado a la organizacin auditada y a la entidad iniciadora, El informe final ha sido preparado y enviado a los receptores designados en el plan de auditoria, El informe de recomendaciones ha sido enviado a los receptores designados en el plan de auditoria, Se ha realizado todas las acciones d seguimiento incluidas en el alcance la auditoria. 6.7 Salidas: Como un marco estndar para los informes, el informe de borrador de auditoria y el informe final de auditoria, debern contener: Identificacin de la auditoria Alcance Conclusiones Sinopsis Seguimiento 6.8 Auditabilidad: Los materiales que documentan el proceso de auditoria deben ser mantenidos por la organizacin auditora un periodo estipulado despus de la auditoria e incluyendo: Todos los programas de trabajo, listas de aprobacin, todos los comentarios El equipo de tcnicos Comentarios de las entrevistas as como las observaciones Evidencias de pruebas de continuidad Copias de los elementos examinados con sus comentarios Informes borradores con las respuestas de la organizacin auditada Memorndum del seguimiento si es necesario 6. Como se incluyen los procesos de auditora en la norma ISO/IEC 12207? Para realizar cualquier proceso de auditora se debe conocer la actividad que se va a auditar: Procesos primarios del ciclo de vida Procesos de soporte del ciclo de vida Procesos organizativos del ciclo de vida Procesos de aseguramiento de la calidad: sirven para suministrar la seguridad de que durante el ciclo de vida del producto y los procesos estn de acuerdo con los requerimientos especificados y se adhieren a los planes establecidos. El aseguramiento

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

de la calidad puede ser interno o externo, el aseguramiento de la calidad puede hacer uso de otros procesos de soporte: Verificacin, validacin, revisiones conjuntas, auditorias y resolucin de problemas. 7. Diferencias entre aseguramiento del producto y aseguramiento del proceso? Aseguramiento del producto: 1. Asegurarse que se cumpla todo lo establecido en el contrato, que este todo documentado, son consistentes y se est cumpliendo como se requiere. 2. Asegurarse que el software y la documentacin cumplen con el contrato y los planes 3. En la preparacin de los suministros de software asegurarse que satisfacen totalmente los requerimientos contractuales y son aceptados por el cliente. Aseguramiento del proceso: 1. Asegurarse que el ciclo de vida esta de acuerdo con las especificaciones y ajustes del contrato 2. Asegurarse que las practicas internas de ingeniera de software, entorno de desarrollo y libreras est de acuerdo con el contrato 3. Asegurarse que los requerimientos del contrato principal son trasladaos al subcontratista y que los productos de software del subcontratista satisface los requerimientos del contrato principal 4. Asegurarse que el cliente y las otras partes tendrn el soporte y cooperacin requeridos de acuerdo al contrato, negociaciones y planes. 5. Asegurarse que el producto software y los procesos medios estn de acuerdo a estndares y procedimientos establecidos 6. Asegurarse que el personal tcnico asignado tiene el perfil y conocimientos necesarios para cumplir los requerimientos del proyecto. 8. Elementos a incluir en un plan para el aseguramiento de la calidad. Las actividades adicionales de gestin de calidad debern asegurar su concordancia con la clausula de ISO 9001 segn especifique el contrato. 9. Que conocimientos se requieren para poder llevar a cabo con xito una auditora de calidad? a) Los productos de software codificados reflejaran el diseado en la documentacin b) Los requerimientos de aceptacin y de pruebas prescritos por la documentacin son adecuados para la aceptacin de los productos software c) Los datos de prueba cumplen con la especificacin d) Los productos software fueron sucesivamente probados y alcanzaron sus especificaciones e) Los informes de pruebas son correctos y las discrepancias entre los resultados conseguidos y esperados han sido resueltas f) Los documentos del usuario cumplen con los estndares tal como se ha especificado

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

g) Las actividades han sido llevadas de acuerdo con los requerimientos aplicables, los planes y el contrato h) El coste y el cronograma se ajustan a los planes establecidos 10. Cmo explicara a un director de informtica las ventajas de llevar a cabo una auditoria de calidad? Iniciara explicndole que la calidad del producto final es la carta de presentacin de una empresa, que es la que determina la preferencia de los clientes a tal o cual producto, la auditoria de calidad permitira llegar a esta crucial final de producto de calidad, ya que al seguir las especificaciones tcnicas, las normas ISO o el estndar ANSI/IEEE asentir no solo mantener la calidad sino mejorarla de manera consecutiva. La Auditoria mejorar las partes del proceso de produccin que estn dbiles o que no se han tomado en cuenta o implementado, permitir hacer un seguimiento de todo el proceso produccin/producto a fin conseguir mantener la calidad de los entregables a los clientes que le satisfagan sus necesidades y adems mejorar los ingresos a la empresa.

10