Resumen Unidad 4 – Análisis y Diseño de Software

by Posted on

Instituto tecnológico de las américas (ITLA)

Resumen Unidad 4

Principales Áreas de la Auditoria Informática

Auditoria Física:

Hace referencia a todo elemento tangible que de una u otra manera interpreta o permita el correcto funcionamiento del CENTRO DE PROCESAMIENTO DE DATOS.

FUENTES BÁSICAS DE LA AUDITORÍA FÍSICA

El siguiente listado indica las fuentes que deben estar accesibles en todo CPD.

  • Políticas, normas yprocedimientos.
  • Auditorías
  • Contratos de seguros, proveedores y de mantenimiento.
  • Entrevistas con el personal de seguridad, personal informático, personal de limpieza, etc.
  • Actas e informes técnicos de peritos que diagnostiquen el estado físico del edificio, electricistas, fontaneros, aire acondicionado, alarmas, agencias de seguridad, etc.
  • Informes de accesos y visitas.
  • Políticas de personal: Revisión de antecedentes personales y laborales, procedimientosde cancelación de contratos, rotación en el trabajo, contratos fijos, y temporales.
  • Inventario de archivos: físicos y magnéticos:back-up, procedimiento de archivo, control de salida y recuperación de soportes, control de copias, etc.

TÉCNICAS Y HERRAMIENTAS DEL AUDITOR

Técnicas.

  • Observación
  • Revisión analítica de ladocumentación.
  • Entrevistas con el personal.
  • Consultores o técnicos y/o peritos.

Herramientas

  • Cuaderno y/o grabadora de audio.
  • Cámara fotográfica y/o grabadora devideo.

RESPONSABILIDADES DE LOS AUDITORES

Auditor informático interno:

  • Revisar los controles relativos a la seguridad física.
  • Revisar elcumplimiento de los procedimientos
  • Evaluar riesgos
  • Participar en la selección, adquisición e implantación de equipos y materiales.
  • Participar en la creación de planes de contingencia.
  • Revisión delcumplimiento de las políticas y normas de seguridad física.
  • Efectuarauditorías
  • Emitir informes y efectuar el seguimiento de las recomendaciones.

Auditor informático externo:

  • Revisar las funciones del auditor informático interno.
  • Efectuar pruebas a los planes de contingencia.
  • Mismas del A.I.I.
  • Emitir informes y recomendaciones

Auditoria Ofimática:

Sistema informatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina.

La evolución ha sido tal que hoy en día, parece incuestionable que los productos desarrollados en plataformas microinformáticas ofrecen prestaciones y una relación costo/beneficio muy superior a las soluciones sobre computadores centralizados.

Auditoria de la Dirección:

Se ha dicho que una organización es un reflejo de las características de su dirección. Los departamentos están integrados en organizaciones mayores y que por tanto son destinatarios de un sinfín de estímulos de la misma, qué duda cabe de que, dado el ámbito tecnológico tan particular de la informática.

Las actividades básicas de todo proceso de dirección son:

  • Planificar
  • Organizar
  • Coordinar
  • Controlar

Planificar: Se trata de preveer la utilización de las tecnologías de la información en la empresa.

Organizar y coordinar: El proceso de organizar sirve para estructurar los recursos, los flujos de información y los controles que permitan alcanzar los objetivos marcados durante la planificación.

El comité informático es el primer lugar de encuentro dentro de la empresa de los informáticos y sus usuarios, es el lugar en el que se debate los grandes asuntos de la informática que afectan a toda la empresa y permite a los usuarios conocer las necesidades del conjunto de la organización.

Guía de auditoria: Él auditor deberá asegurar que los comités de informática existen y cumple su papel adecuadamente, deberá conocer las funciones encomendadas al comité.

La Auditoría de la Explotación

El nivel de competencia que existe entre las empresas les obliga a tomar decisiones rápidas y acertadas, por lo que el funcionamiento adecuado y la continua actualización de los SI son muy necesarios. Los recursos de los SI se han de utilizar de forma que permitan la eficacia y eficiencia de la empresa, además de que deben asegurar la confidencialidad de sus datos.

Para hacer el seguimiento y comprobar que el SI está actuando como debe, éste habrá de disponer de un control interno que prevenga los eventos no deseados, o en su defecto que los detecte y los corrija.

Para esta área de la auditoría es posible seguir la guía de clasificación de los controles que hace el proyecto CobiT (es un marco reconocido internacionalmente, que permite la estandarización de criterio relacionado con controles sobre TI).

Auditoria de Desarrollo de Sistemas

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

Auditoria del Mantenimiento:

Cuando una empresa se plantea si la gestión que se hace del mantenimiento es la adecuada, la respuesta puede ser SI, NO o REGULAR. Claro está que cualquiera de las tres respuestas es insatisfactoria, porque entre cada una de ellas hay muchos puntos intermedios de respuesta, y porque no informa sobre qué cosas tendrían que cambiar para que la gestión del departamento pudiera considerarse excelente. La mejor solución en el caso de que busquen soluciones y posibilidades de mejora es sin duda realizar una Auditoría de Mantenimiento, comparando el departamento de mantenimiento de la industria que se analiza con un departamento modélico, ideal, y determinando en el proceso qué cosas separan al departamento analizado de ese modelo de excelencia

Auditoria de Base de Datos:

La gran difusión de los Sistemas de Gestión de Bases de Datos (SGBD), junto con la consagración de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su control interno y auditoria cobren, cada día, mayor interés.

Normalmente la auditoria informática se aplica de dos formas distintas; por un lado, se auditan las principales áreas del departamento de informática: explotación, dirección, metodología de desarrollo, sistema operativo, telecomunicaciones, bases de datos, etc.; y, por otro, se auditan las aplicaciones desarrolladas internamente, (subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditoria del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoria de las aplicaciones que utilizan esta tecnología.

Auditoria de técnicas de sistemas:

Los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa.

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado la gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la auditoria Informática.

El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase «Tiene Auditoria» como sinónimo de que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas.

El avance de la informática, los sistemas, las telecomunicaciones, y otras aplicaciones de tecnología, han permitido a la sociedad moderna a través de entes públicos y privados desarrollarse rápidamente, en todos los ámbitos y sentidos, en especial hará énfasis en el desarrollo de los negocios, el cual está íntimamente relacionado con la tecnología de información, y a su permitido la evolución en la forma de llevar los procesos.

Auditorias de Calidad:

Las auditorías de calidad son aquellas en las que se evalúa la eficacia del sistema de gestión de calidad de la organización. Normalmente, se auditan sistemas de gestión de la calidad conformes a la norma UNE-EN-ISO 9001:2008 puesto que esta es la norma mundial que describe los requisitos de un sistema de gestión de la calidad, no obstante, también existen otros estándares propios de sectores particulares.

Las auditorías de calidad ofrecen a las organizaciones confianza sobre la eficacia de su sistema de gestión de la calidad y su capacidad para cumplir los requisitos del cliente. Igualmente, las organizaciones pueden acceder a la obtención de certificados de gestión de la calidad a través de un proceso de auditoría de calidad que lleva a cabo una entidad certificadora.

Auditorias de Seguridad:

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Fases de la auditoria:

Los servicios de auditoría constan de las siguientes fases:

  • Enumeración de redes, topologías y protocolos
  • Verificación del Cumplimiento de los estándares internacionales. ISOCOBIT, etc.
  • Identificación de los sistemas operativos instalados
  • Análisis de servicios y aplicaciones
  • Detección, comprobación y evaluación de vulnerabilidades
  • Medidas específicas de corrección
  • Recomendaciones sobre implantación de medidas preventivas.

Auditoria de Redes:

Las auditorías juegan un papel relevante ya que permiten mostrar el estado en el que se encuentra la protección de la información y de los activos dentro de las organizaciones. Además, involucra la identificación, análisis y evaluación de debilidades en las medidas de seguridad que han sido aplicadas, así como de los componentes tecnológicos de la empresa.

Además, pueden tener distintas intenciones, por lo tanto, las revisiones de seguridad varían de acuerdo a condiciones como el alcance, los criterios que se utilizan como parámetros de comparación, las personas que las llevan a cabo, los propósitos que se desean alcanzar, entre otros elementos que determinan el tipo de revisión. Así, se da lugar a distintas clasificaciones que abordaremos a continuación.

En el caso específico de las redes, la auditoría está relacionada con un método o un conjunto de ellos para verificar el cumplimiento de los requisitos de seguridad, necesarios dentro de una colección de dispositivos interconectados -como pueden ser routersswitcheshubs, computadoras y dispositivos móviles, entre otros.

Auditoria de Aplicaciones:

Auditoria de Aplicaciones Introducción

Las aplicaciones o sistemas de información son uno de los ³productos finales´ que genera la infraestructura de las TI en las organizaciones y por ende son el aspecto de mayor visibilidad desde la perspectiva de negocio.

La siguiente exposición presentará una metodología completa y estructurada para realizar auditorías de aplicaciones además de las principales técnicas de auditoría para desarrollo de pruebas sustantivas en ambientes de tecnología de información, técnicas y herramientas de auditoría. Aplicada a sistemas en funcionamiento en cuanto al grado de cumplimiento de los objetivos para los que fueron creados.

Problemática de la auditoría de una aplicación informática

Registrar exactamente la información considerada de interés en torno a las operaciones llevadas a cabo por una determinada organización: magnitudes físicas o económicas, fechas, descripciones, atributos o características, identificación de las personas físicas o jurídicas que intervienen o guardan relación con cada operación, nombres, direcciones.

Permitir la realización de cuantos procesos de cálculo y edición sean necesarios a partir de la información registrada, almacenar automáticamente más información que la de partida.

Facilitar, a quienes lo precisen, repuesta a consultas de todo tipo sobre la información almacenada, diseñadas en contenido y forma para dar cobertura a las necesidades más comunes constatadas.

Generar informes que sirvan de ayuda para cualquier finalidad de interés en la organización, presentado la información adecuada: se aplican según convenga, criterios de selección, ordenación, recuento y totalización por agrupamientos, cálculos de todo tipo, desde estadísticos comunes hasta los más complicados algoritmos. Si este planteamiento se consigue trasladar con tenacidad a una aplicación informática y los usuarios la manejan con habilidad y con profesionalidad, la organización a la que pertenecen contará con un importante factor de éxito en el desarrollo de su actividad. Sin embargo, ni la tenacidad en la creación de la aplicación ni la profesionalidad en el uso de la misma pueden ser garantizados. La profesionalidad no libra el cansancio y el estrés, así que es de humanos cometer errores involuntariamente. Tampoco es imposible que en un momento determinado un empleado descontento cometa errores intencionalmente o que otro intente un fraude sin pruebas para ser descubierto.

[ratings]

Related Posts

Deja una respuesta