Ingenier - PowerPoint PPT Presentation

1 / 38
About This Presentation
Title:

Ingenier

Description:

Auditor a Inform tica Ingenier a del Software III Gabriel Buades 2.002 ndice Concepto de auditor a Auditor a e Inform tica Auditor a Inform tica ... – PowerPoint PPT presentation

Number of Views:97
Avg rating:3.0/5.0
Slides: 39
Provided by: CAIB150
Category:

less

Transcript and Presenter's Notes

Title: Ingenier


1
Auditoría Informática
  • Ingeniería del Software III
  • Gabriel Buades 2.002

2
Índice
  • Concepto de auditoría
  • Auditoría e Informática
  • Auditoría Informática
  • Planificación
  • Organización y Administración
  • Construcción de sistemas
  • Explotación
  • Entorno operativo hardware
  • Entorno operativo software
  • Auditoría en el marco de la LPD

3
Concepto de Auditoría
  • Examen metódico de una situación relativa a un
    producto, proceso u organización, en materia de
    calidad, realizado en cooperación con los
    interesados para verificar la concordancia de la
    realidad con lo preestablecido y la adecuación al
    objetivo buscado

4
Concepto de Auditoría
  • Actividad para determinar, por medio de la
    investigación, la adecuación de los
    procedimientos establecidos, instrucciones,
    especificaciones, codificaciones y estándares u
    otros requisitos, la adhesión a los mismos y la
    eficiencia de su implantación

5
Tipos de auditoría
  • Auditoría financiera
  • Auditoría organizativa
  • Auditoría de gestión
  • Auditoría informática

6
Auditoría Informática
  • Es el conjunto de técnicas, actividades y
    procedimientos, destinados a analizar, evaluar,
    verificar y recomendar en asuntos relativos a la
    planificación, control eficacia, seguridad y
    adecuación del servicio informático en la
    empresa, por lo que comprende un examen metódico,
    puntual y discontinuo del servicio informático,
    con vistas a mejorar en
  • Rentabilidad
  • Seguridad
  • Eficacia

7
Requisitos auditoría informática
  • Debe seguir una metodología preestablecida
  • Se realizará en una fecha precisa y fija
  • Será personal extraño al servicio de informática

8
Objetivos auditoría Interna
  • Revisión y evaluación de controles contables,
    financieros y operativos
  • Determinación de la utilidad de políticas, planes
    y procedimientos, así como su nivel de
    cumplimiento
  • Custodia y contabilización de activos
  • Examen de la fiabilidad de los datos
  • Divulgación de políticas y procedimientos
    establecidos.
  • Información exacta a la gerencia

9
Objetivos auditoría Externa
  • Obtención de elementos de juicio fundamentados en
    la naturaleza de los hechos examinados
  • Medición de la magnitud de un error ya conocido,
    detección de errores supuestos o confirmación de
    la ausencia de errores
  • Propuesta de sugerencias, en tono constructivo,
    para ayudar a la gerencia
  • Detección de los hechos importantes ocurridos
    tras el cierre del ejercicio
  • Control de las actividades de investigación y
    desarrollo

10
Metodología
  • Toma de contacto
  • Organización
  • Organigrama
  • Volumen
  • Situación en el mercado
  • Estructura del departamento
  • Relaciones funcionales y jerárquicas
  • Recursos
  • Aplicaciones en desarrollo
  • Aplicaciones en producción
  • Sistemas de explotación

11
Metodología (2)
  • Planificación
  • Concentración de objetivos
  • Áreas que cubrirá
  • Personas de la organización que se involucrarán
    en el proceso de auditoría
  • Plan de trabajo
  • Tareas
  • Calendario
  • Resultados parciales
  • Presupuesto
  • Equipo auditor necesario

12
Metodología (3)
  • Desarrollo de la auditoría
  • Entrevistas
  • Cuestionarios
  • Observación de las situaciones deficientes
  • Observación de los procedimientos
  • Fase de diagnóstico
  • Meditación sin contacto con la empresa auditada
  • Factor decisivo será la experiencia del equipo
    auditor
  • Se deben definir los puntos débiles y fuertes,
    los riesgos eventuales y posibles tipos de
    solución y mejora

13
Metodología (4)
  • Presentación de conclusiones
  • Se han de argumentar y documentar lo suficiente
    para que no puedan ser refutadas durante la
    discusión
  • Es especialmente delicada por el rechazo que
    puede provocar en la organización auditada. Se
    debe esmerar el tacto
  • En ocasiones serán necesarias tomar decisiones
    desagradables, pero es misión del auditor
    informar a la dirección de la forma más objetiva
    posible.

14
Metodología (5)
  • Formación del plan de mejoras
  • Resumen de las deficiencias encontradas
  • Recogerá las recomendaciones encaminadas a paliar
    las deficiencias detectadas
  • Medidas a corto plazo mejoras en plazo, calidad,
    planificación o formación
  • Medidas a medio plazo mayor necesidad de
    recursos, optimización de programas o
    documentación y aspectos de diseño
  • Medidas a largo plazo cambios en políticas,
    medios y estructuras del servicio

15
Área de planificación
  • Toda organización se ordena mediante
  • Plan estratégico
  • Plan táctico
  • Planes operacionales
  • Objetivos de la auditoría informática
  • Qué planes del CPD están coordinados con los
    planes generales
  • Revisar los planes de informática
  • Contrastar su nivel de realización
  • Determinar el grado de participación y
    responsabilidad de directivos y usuarios en la
    planificación

16
Área de planificación
  • Objetivos (cont.)
  • Participar en el proceso de planificación
  • Revisar los planes de desarrollo del software de
    aplicación
  • Revisar los procedimientos de planificación del
    software de base
  • Comprobar la ejecución del plan en cualquiera de
    sus niveles

17
Área de organización y admón
  • Objetivos
  • Revisión del organigrama del departamento y del
    general de la empresa
  • Comparar la estructura actual con la definida
  • Verificar los estándares de documentación
  • Determinar los procedimientos de dirección para
    hacer cumplir los criterios de documentación en
    P.D.
  • Confrontar las directrices sobre documentos con
    la realidad
  • Colaborar en la elaboración de nuevos documentos

18
Área de organización y admón
  • Objetivos (cont)
  • Revisar la política personal grado de
    cumplimiento de los procedimientos generales y
    nivel de sometimiento a la política personal
  • Evaluar la distribución de funciones
  • Examinar las políticas retributivas y los planes
    de formación
  • Verificar los métodos de análisis e imputación de
    costes
  • Confrontar presupuesto y realidad
  • Revisar todo tipo de contratos que afecten al CPD

19
Área de organización y admón
  • Objetivos (cont)
  • Examinar los métodos de trabajo análisis
    programación, pruebas,
  • Evaluar el grado de participación de los usuarios
  • Evaluar el rendimiento de consultores externos
  • Conocer el grado de aceptación o satisfacción
    general con respecto al servicio informático
  • Revisar la documentación de usuario
  • Examinar los procedimientos usados para
    actualizar la documentación
  • Determinar el impacto de servicio de proceso de
    datos recibido desde fuentes externas

20
Área de organización y admón
  • Objetivos
  • Evaluar el grado de conocimiento de los usuarios
    implicados sobre los sistemas automatizados

21
Área de sistemas
  • Objetivos
  • Examinar la metodología de construcción que se
    esté utilizando
  • Revisar la definición de las grandes opciones que
    caracterizan al sistema
  • Examinar el inventario de problemas a resolver
    por el sistema, dictaminando sobre la prioridad y
    razonabilidad de éstos.
  • Verificar los medios que la organización ha
    dispuesto para la realización



22
Área de sistemas
  • Objetivos
  • Comprobar el plan de realización
  • Tareas a emprender
  • Previsión de dificultades
  • Descomposición de problemas
  • Líneas de comportamiento a seguir
  • Garantizar la fiabilidad y precisión del estudio
    económico de costes preliminar a la realización
  • Verificar los estudios de necesidades de software
    y hardware asociados con el proyecto
  • Evaluar los métodos utilizados para la recogida
    de datos

23
Área de sistemas
  • Objetivos
  • Colaborar en la fase de puesta en marcha del
    sistema
  • Comprobar los medios de seguridad con que se va a
    dotar al sistema en cuestión
  • Evaluar el rendimiento de un sistema ya en marcha
  • Aconsejar, si es necesario, las modificaciones
    oportunas para la optimización del sistema en
    funcionamiento.

24
Área de explotación
  • Objetivos
  • Comprobar la existencia de normas generales
    escritas para el personal de explotación en lo
    que se refiere a sus fucniones
  • Verificar la existencai de estándares de
    documentación en el departamento
  • Comprobar que en ningún caso los operadores
    acceden a documentación de programas que no sea
    la exclusiva par us explotación
  • Verificar que los programadores no tienen acceso
    a ls operación del ordenador cuando corren sus
    programas

25
Área de explotación
  • Objetivos
  • Examinar que las versiones de programas y
    ficheros activos en explotación son efectivamente
    las versiones que dben ser las vigentes
  • Como consecuencia de lo anterior, revisar que
    existen procedimientos que impidan que puedan
    correrse versiones de programas no activos
  • Investigar el diario de explotación y los
    archivos de log
  • Verificar los procedimientos según los cuales se
    incorporan nuevos programas a las librerías
    productivas

26
Área de explotación
  • Objetivos
  • Examinar la adecuación de los lcales en que se
    almacenan cintas y discos, así como la perfecta y
    visible identificación de estos medios
  • Investigar los estándares en tiempo d eejecución
    de la instalación, comparando éstos con las
    observaciones reales efectuadas.
  • Verificar los planes de mantenimiento preventivo
    de la instalación
  • Comprobar que existen normas escritas que regulen
    perfectamente todo lo relativo a copias de
    seguridad manejo, autorización de obtención,
    destrucción, etc.

27
Área de explotación
  • Objetivos (cont)
  • Inspeccionar el cumplimiento de sus funciones,
    además de la idoneidad de éstas, de la persona
    encargada de mantener la biblioteca de medios
    magnéticos
  • Comprobar que existen métodos adecuados que
    permitan verificar un seguimiento de los trabajos
    en el ordenador
  • Examinar e incluso participar en la elaboración
    de los presupuestos del centro de explotación si
    éstos son independientes del resto del servicio
    informático

28
Entorno operativo hardware
  • Objetivos
  • Determinar si el hardware se utiliza
    eficientemente
  • Revisar los infomes de la dirección sobre uso del
    hw
  • Revisar si el equipo se utiliza par el personal
    autorizado
  • Examinar los estudios de adquisición, selección y
    evolución del hw
  • Comprobar las condiciones ambientales
  • Revisar el inventario hardware
  • Verificar los procedimientos de seguridad física
  • Examinar los controles de acceso físico

29
Entorno operativo hardware
  • Objetivos (cont)
  • Revisar la seguridad física de los componentes de
    la red de teleproceso
  • Revisar los controles sobre la transmisión de los
    datos entre los periférciso y el ordenador
  • Comprobar los procedimientos de
    prevención/detección/corrección frente a
    cualquier tipo de desastre
  • Colaborar en la confección de un plan de
    contingencias y desastres

30
Entorno operativo software
  • Objetivos
  • Revisar la seguridad del software sobre ficheros
    de datos y programas
  • Revisar las librerías utilizadas por los
    programadores
  • Examinar que los programas realizan lo que
    realmente se espera de ellos
  • Revisar el inventario de software
  • Comprobar la seguridad de datos y ficheros
  • Examinar los controles sobre los datos
  • Revisar los procedimientos de entrada y salida
  • Verificar las previsiones y procedimientos de
    backup

31
Entorno operativo software
  • Objetivos
  • Revisar los procedimientos de planificación,
    adecuación y mantenimiento del software del
    sistema
  • Revisar la documentación sobre sw base
  • Revisar los controles sobre programas producto
  • Examinar la utilización de estos paquetes
  • Verificar periódicamente el contenido de los
    ficheros de usuario
  • Determinar que el proceso para usuarios está
    sujeto a los controles adecuados
  • Examinar los cálculos críticos

32
Entorno operativo software
  • Objetivos
  • Supervisar el uso de las herramientas potentes al
    servicio de los usuarios
  • Comprobar la seguridad e integridad de las bases
    de datos

33
Auditoría en el marco de la LPD
  • R.D. 994/1999 Reglamento de medidas de seguridad
    de los ficheros automatizados que contengan datos
    de carácter personal
  • Artículo 17.- Auditoría. (Medidas de seguridad de
    nivel medio)
  • 1.- Los sistemas de información e instalaciones
    de tratamiento de datos se someterán a una
    auditoría interna o externa, que verifique el
    cumplimiento del presente Reglamento, de los
    procedimientos e instrucciones vigentes en
    materia de seguridad de datos, al menos, cada dos
    años.
  • 2.- El informe de auditoría deberá dictaminar
    sobre la adecuación de las medidas y controles al
    presente Reglamento, identificar sus deficiencias
    y proponer las medidas correctoras o
    complementarias necesarias. Deberá, igualmente,
    incluir los datos, hechos y observaciones en que
    se basen los dictámenes alcanzados y
    recomendaciones propuestas.
  • 3.- Los informes de auditoría serán analizados
    por el responsable de seguridad competente, que
    elevará las conclusiones al responsable del
    fichero para que adopte las medidas correctoras
    adecuadas y quedarán a disposición de la Agencia
    de Protección de Datos.

34
Auditoría en el marco de la LPD
  • Tipos de ficheros
  • 1.- Todos los ficheros que contengan datos de
    carácter personal deberán adoptar las medidas de
    seguridad calificadas de nivel básico.
  • 2.- Los ficheros que contengan datos relativos a
    la comisión de infracciones administrativas o
    penales, Hacienda Pública, servicios financieros
    y aquellos ficheros cuyo funcionamiento se rija
    por el articulo 28 de la Ley Orgánica 5/1992,
    deberán reunir, además de las medidas de nivel
    básico, las calificadas como de nivel medio.
  • 3.- Los ficheros que contengan datos de
    ideología, religión, creencias, origen racial,
    salud o vida sexual así como los que contengan
    datos recabados para fines policiales sin
    consentimiento de las personas afectadas deberán
    reunir, además de las medidas de nivel básico y
    medio, las calificadas como de nivel alto.
  • 4.- Cuando los ficheros contengan un conjunto de
    datos de carácter personal suficientes que
    permitan obtener una evaluación de la
    personalidad del individuo deberán garantizar las
    medidas de nivel medio establecidas en los
    artículos 17, 18, 19 y 20.
  • 5.- Cada uno de los niveles descritos
    anteriormente tienen la condición de mínimos
    exigibles, sin perjuicio de las disposiciones
    legales o reglamentarias específicas vigentes.

35
Medidas de nivel básico
  • Funciones y obligaciones del personal
  • Registro de incidencias
  • Identificación y autenticación
  • inventario de usuarios
  • procedimiento de distribución y almacenamiento de
    contraseñas
  • Control de acceso
  • basado en autorizaciones de usuarios, según
    autorización del responsable del fichero
  • Gestión de soportes
  • control de almacenamiento y distribución
  • Copias de respaldo y recuperación
  • copias de forma semanal
  • Documento de seguridad

36
Medidas de nivel medio
  • Funciones y obligaciones del personal
  • Responsable de seguridad
  • Auditoría obligatoria de forma bi-anual
  • Registro de incidencias
  • anotar restauraciones con pérdidas de datos
  • obligatoriedad de la autorización por escrito del
    responsable
  • Identificación y autenticación
  • inventario de usuarios
  • procedimiento de distribución y almacenamiento de
    contraseñas
  • detección de intrusiones y bloqueo de contraseñas
  • Control de acceso
  • basado en autorizaciones de usuarios, según
    autorización del responsable del fichero
  • control de acceso físico
  • Gestión de soportes
  • control de almacenamiento y distribución
  • registro de entrada y salida
  • inutilización de soportes obsoletos
  • Copias de respaldo y recuperación
  • copias de forma semanal

37
Medidas de nivel alto
  • Funciones y obligaciones del personal
  • Responsable de seguridad
  • Auditoría obligatoria de forma bi-anual
  • Registro de incidencias
  • anotar restauraciones con pérdidas de datos
  • obligatoriedad de la autorización por escrito del
    responsable
  • Identificación y autenticación
  • inventario de usuarios
  • procedimiento de distribución y almacenamiento de
    contraseñas
  • detección de intrusiones y bloqueo de contraseñas
  • Control de acceso
  • basado en autorizaciones de usuarios, según
    autorización del responsable del fichero
  • control de acceso físico
  • registro de accesos
  • Gestión de soportes
  • control de almacenamiento y distribución
  • registro de entrada y salida
  • inutilización de soportes obsoletos
  • cifrado de soportes
  • Copias de respaldo y recuperación
  • copias de forma semanal
  • almacenamiento en distinta ubicación
  • Pruebas con datos reales
  • Cifrado de las comunicaciones
  • Documento de seguridad

38
Fin
Write a Comment
User Comments (0)
About PowerShow.com