Professional Documents
Culture Documents
S DE INKORMACION
Piattini, M. y Hervada, F,
Sistemas de Information. Ra-Ma, Madrid,
(eds.)
RA-MA
Gobiemo
(2007).
de
las
Tecnologias
Establezca
dates.
objetivos
de
control
relatives
al
diseflo
de
una
base
Capitulo 14
de
6.
Proponga
personal
diferentes
relacionado
objetivos
con
de
el
control
SGBD
sobre
(usuarios
la
formacidn
finales,
del
administradores,
Julio Alfonso Novoa Bermejo
diseftadores, etc.).
7.
Analice
el
grado
de
ajuste
existente
entre
ios
paquetes
de
seguridad
del
9.
i,Que riesgos
datos?
(.Que
adicionafes
controles
implies
el
hecho
de
distribuir
las
bases
de
Cuando
estableceria
para
desarro'los
que
empleen
lenguajes
Analice
el
soporte
auditor informatico.
que
ofrecen
elementos
que
se
habla
cooperan
de
sistemas,
en
un
por
todo
definition,
armonico.
se
En
trata
de
ocasiones
un
esos
conjunto
de
elementos
se
imbrican unos en otros para mejor integrarse en el conjunto, de manera que a veces
resulta dificil identificar los componentes parciales.
las
herramientas
de
mineria
de
datos
al
Este
podria
es
abarcar
el
caso
de
la
practicamente
Tecnica
la
de
Sistemas
totalidad
del
puesto
proceso
que,
segun
informatico
se
analice,
como
quedar
ilustrar
escuela
a
quienes
el
primer
especializada
acababan
SISTEMAS.
Segiin
mformatiea,
existieodo
aquel
los
plan
ademas
supuesto
valga
estudios
de
tres
tras
estudios,
como
DE
(INST1TUTO
el
especialidades
* INFORMATICA DE GESTION
ejemplo
la
1NFORMATICA,
superar
TS
que,
el
quinto
abarcaba
si
no
todo
me
titulacion
1970)
afio:
e!
failan
que
empezo
TliCNICO
ambito
los
la
a
DE
de
la
datos
de
Segun
Hardware
esto,
tan
(Sistemas
Formales
TS
(Tecnico
Fisicos)
como
Automatas
de
el
Sistemas)
que
(Informatica
se
era
la
dedicaba
persona
al
Fundamental)
especialista
desarrollo
como
de
el
en
obstante,
la
especializacidn
en
de
necesitado
Datos
ban
relacionada
mas
de
necesario,
complejas
persona.
instalaciones
en
con
Informatica
esas
actividades
en
y
la
llegado
muy
trabajaba
en
consecuencia,
necesidad
incluso
de
grado
las
sin
no
desempehables
se
por
rigor
con
TS
Datos
especializacion
tareas
con
Bases
de
de
de
de
ban
hecho
una
unica
determinadas
las
personas
La
con
Microinformatica
en
los
algunos
convencionales,
especificas.
En
este
las
casos
Redes
unices
pero
sentido
ban
(emprcsas
que
oimos
generado
mas
requieren
bablar
de
cada
una
dia
nuevos
en
preparation
(incluso
en
entornos
otros
de
dedication
anuncios
de
prensa)
de TS de Microinformatica o TS de Redes.
Parece
nuestro
la
pues
que
compromiso
materia
en
con
no
lo
es
cuestion,
especializados
en
integration
detenninar
queremos
para
como
de
ambito
de
instalaciones,
la
utilizar
tarea
equipos
el
de
el
escribir
poder
sentido
TS
de
Se
imbito
nos
establecer
de
obliga
la
tarea
acotar
despues
las
de
TS,
con
asf
de
de
apartado
la
proceso
incluiria
elementos
de
de
comandos
administration
componentes
IP,
asi
los
switches...),
tratamiento
como
sus
dispositivos
de
los
de
componentes
llamadas...)
los
de
los
Bases
auxiliares
Sistemas
programas,
de
Operatives,
junto
Datos)
intermedios
con
Compiladores,
los
Gestores
toda
una
(herramientas
de
serie
de
Traductores
Datos
de
(o
sistemas
herramientas
facilidades
de
desarrollo,
consideramos
necesario
para
infraestructura
que
las
todo
Aplicaciones
cuanto
hemos
fttneionen
detallado,
que,
no
es
decir,
olvidemos,
todo
son
el
obstante,
dado
Auditoria
Fisica,
dedicados
y
de
correspondientes
las
Redes,
que
de
intentaremos
existen
cn
esta
la Explotacion,
centrarnos
en
publicacidn
de Bases
el
apartado
de
capitulos
Datos,
del
de
Sistema
especificos
la
Seguridad
Operativo
las
comun
infraestructura
y
e!
la
praxis
habitual
informatica,
llamado
software
es
determinariamos
decir,
de
base.
el
conjunto
Vamos
deberiamos
requiere
salas
de
conexibn
proceso,
y
con
cableado,
sus
es
sistemas
decir,
los
que
definir
un
determinado
Siguiendo
de
seguridad
elementos
antes
primero
de
la
entrar
tarea
en
la
Auditoria
auditar
desempeno
como
profesional
de
una
para
Tecnica
de
Sistemas,
actividad
informatica
cumplir
unos
que
objetivos
precisos.
que
como
modems,
telefonia
micro),
pero
claridad
Instalaciones
Este
compone
Interpretes
puntualizar lo que, segun mi criterio, debe incorporar cada uno de estos apartados.
control,
cinta...),
Software de Base
Parece
de
(routers,
(como
mini
de
actividades de control.
Tratando
(main,
unidades
facil
que
ordenadores
comunicaciones
mezclados
los
impresoras,
lo
unos
pequenas)
estarian
(pantallas,
conmutacion
que
trabajo,
Aqui
perifericos
habilitar,
Bases
que
departamentos
grado
figura
no
en
administrar
crear
la
Este
un
Seguridad
Seguridad
grandes
dejando
Operativo,
entornos),
centros
obligado
Operatives,
Sistema
y/o
ha
concretas,
Comunicaciones,
todo,
laboriosas,
Sistemas
areas
el
en
ocasiones
ha
la
Comunicaciones,
sobre
En
de
expertos
especialistas
(administradores
sido
que
exclusivamente
naturalmente,
ha
evotucion
Equipos de proceso
Lenguajes
que
RA-MA
RA-MA
Tecnica
de
este
esquema
Sistemas
consiste
buscando
en
la
un
enunciado
actividad
simple
desempeftar
podemos
para
decir
instalar
base
buscando
un
compromiso
formal
para
separar
las
Aplicaciones
de
todo
lo
en
esto
diriamos
que
el
funcionamiento
correcto
se
RA-MA
RA-MA
correspondientes
* Disponer de fodos los elementos necesarios
la
anomah'a
tiempo
For parte de los usuarios autorizados
utif,
asistencia
tiempo
* En el momento requerido
de
un
nuestros
encima
No
debemos
perder
de
vista
que
el
cumplimiento
de
tales
caracteristicas
impacto
lo
que,
estos
(segun
la
terminos,
lo
se
y
el
que
esta
de
nos
detectar
subsanarla
de
impacto
por
previsto,
se
negocian
con
actividades
Level
eficacia
conseguir
el
anterior.
que,
exige
que
por
de
disponibilidades
los
SI
no
tener
con
Hay
comunmente
de
su
Agreement)
negociado
lo
los
para
criticidad
llevaiia
en
lo
aportan
de
de
contrato
Service
grado
importante
correspondiente
filosofia,
para
habla
grado
(SLA:
requerida
tan
capacidad
reducir,
servicio
clientes
es
la
del
con
servicio
sectores
organizacion)
que,
de
asistencia
en
permita
el
nuestros
la
que
como
disponer
reciben
nivel
99,9%
en
nos
anadirse
que
aseguran
proveedores
que
Debe
de
hardware
deberemos
proveedor
acuerdos
de
que
proveedores
del
Comprcnderemos
elemento
inactividad.
lado,
entender
un
consecucion
por
soslayarlo.
un
para
con
usuarios
para
en
relacion
interrupciones
al
durante
mas de 2 horas en total en un ano para un servicio estimado en 2.000 horas anuales.
Vease
que
un
total
de
10
horas
de
parada
en
un
ano
no
es
el
para
ese
mismo
servicio
como los correspondientes controles, deberian tener como fin ultimo dicha meta.
La
' Entendemos por nivel de servjcio una serie de parametros cuya medicion
numero
servicio
prestado.
No
cabe
duda
de
que
la
disponibilidad,
obtencion
de
dicho
nivel
se
ve
afectada
fundamental,
unico
parametro
medir,
solo
de
horas
puede
ai
ano,
comprobarse
porque
mediante
ademas,
tiempos
debe
de
hacerlo
respuesta
bien.
que
den
Este
ultimo
una
medida
aspecto
de
la
La
depende
satisfaction
de
tanto
la
Este
ultimo
aspecto
tiempo
de
respuesta,
por
infraestructura
siendo
toda vez que no se trata de tener un sistema que responde durante un determinado
la
de
los
eficacia
esta
bien
pero
y
usuarios
de
se
las
es
fruto
del
aplicaciones
las
representado
completa
opiniones
por
con
de
el
los
resultado
como
los
general
la
de
parametros
anaJisis
usuarios
del
de
servicio
del
eficiencia
disponibilidad
de
las
incidencias
sobre
el
servicio,
en
una
sistema.
y
originadas
en
la
parte
correspondiente
;
impacto
economico
que
esto
supone
que,
generalmente,
resultara
Toda
Este
apartado
de
nivel
de
servicio
requiere
un
tratamiento
especifico,
toda
acciones
tarea
organizada
realizar
con
debe
unos
estar
descompuesta
procedimientos
especificos
que
serie
de
garanticen
actividades
su
calidad
(o correcto funcionamiento).
\ de la configuracion. Bastaria decir que sin los clientes del SI no tiene sentido el SI.
De
la
administration
parametros
, la organizacion.
orientacidn
de
antes
los
que
recursos
mencionados,
hemos
del
dado
SI
cuestidn
nuestros procedimientos.
Digamos
garantia
del
para
terminar
funcionamiento
esta
global
breve
se
incursion
obtiene
en
primero
el
concepto
consiguiendo
expuesto
la
de
que
cada
la
uno
de sus elementos, lo que nos obliga a determinar los pantos criticos que afecten a la
actividad del SI y a prever su fallo y planificar los controles y acciones
hacia
el
servicio
(infraestructura),
que
ha
de
se
que
convertirse
deduce
debe
en
ia
tares
pptimizar
el
objetivo
de
los
de
RA-MA
dia
1. Instalaeion y puesta en servicio
RA-MA
la
facilitar
asistencia
information
prestar
necesaria
colectivos
el
sistema
(desarrolladores,
por
sus
herramientas
de
garantia
ejemplo)
para
su
para
raejor
Pianificacion.
Control
del
periodo
comienzo
del
4. Resolution de Incidencias
Parametrizacidn.
de
nuevos
resoiucion
6. Information sobre la actividad
clasrficacidn
otros
utilization.
2. Mantenimiento y soporte
La
a
sobre
Adaptacion
de
los
rcquerimientos
como
de
incidencias
parametros
del
sistema.
En
resultado
de
nuevas
versiones
parches
(incluiria
aplicacion
de
funcion
anterior
sin'e
para
cualquier
elemento
de
infraestructura,
Pruebas. Verificaciones de los cambios o adaptaciones realizadas.
tod
as
las
actividades
para
conseguir
el
funcionamiento
Procedimiento
instalaeion concreta.
Pianificacion.
para
con
Considerar
otros,
en el subsistema
a
Parametrizacion.
resto
requerimientos
de
recomendaciones
para
el
mejor
Valores
elementos
de
parametros
planificados
del
sistema
(numero
por
los
ejemplo:
requisitos
cruzados
considerar
el
de
espacio
en
unos
elementos
disco
necesaria
para una nueva instancia de una base de datos y, por ende, el impacto
actualization.
de
en
tipos
funcion
de
del
espacio
limitar
usuarios,
el
de
discos
requerido
tiempo
de
las consccuencias
tiempo
necesario
servicio
(ventana
usuarios),
de
back-up
teniendo
en
que
puede
cuenta
las
aplicaciones...).
Documentacion.
Procedimiento
que
determina
los
efectos
considerar
en otros componentes.
Debe
normativa
de
partirse
general:
instalaeion
proyectos
(criterios
de
(como
demas
de
los
estructura
per
ejemplo
informaciones
securizacion
de
documentos
organizativa
direcciones
que
existentes
IP
puedan
aplicaciones
en
la
(especialmente
a
y
criticas
utilizar),
deban
que
organization
informatica),
metodologia
condicionar
requieren
sobre
normativas
general
la
de
instalaeion
garantia
Parametrizacion,
de
nuevos
Adaptacion
requerimientos
de
los
como
parametros
del
sistema
resultado
de
nuevas
resoiucion de incidencias.
de
en
funcion
versiones
RA-MA
O RA-MA
Seguimiento.
la
accion
continua
normalizada
para
conseguir
el
proceso
de
SEGURIPAD Y CONTROL
Estos
Es
procedimientos
adquieren
una
especial
relevancia
en
e!
debe
considerar
malintencionados.
La
Los
primeros
adecuada
procedimicntos
competencia
malintencionados
Analizar. Supone buscar una relacion entre etecto y sus posibies causas,
procedimientos
profesional
robustos
se
que
tanto
se
mas
que
inciuyan
prevendran
mediante
eviten
concentracion
la
posibiiidad
evitaran
la
organizacion
elementos
una
de
de
politics
(areas
de
partiendo
de
hechos
de
una
fortuitos
formacion
que
establezca
control".
Los
personal
consideren
unos
hechos
adecuada,
la
unos
segregacidn
de
,i
una
transporte
el
un
existente
objeto
relevancia
proceso
que
en
especial
toma
un
un
entorno
el
control
de
nuevo
objeto,
la
para
su
puesta
en
Transportes.
Se
modificacion
produccion
en
entiende
eliminacion
otro.
En
por
de
este
proceso se consideran:
Objeto:
piezas
de
cbdigo
(programas),
de
datos
(tablas
de
configuracion
o datos basicos).
! su diagnostico.
:)'
adaptaciones.
origen.
En
caso
disponer
de
la
solucidn,
su
aplicacion
solucionarse
mediante
fabrica...). .
un
Proyecto
de
y
transportes:
en
cuaiquier
normalmente
caso
Responsable
del
"parche"
de
software
que
solo
puede
una
el
persona
Director
diferente
del
Responsable
que
realiza
Es
mmimos
necesario
reservando
proteger
los
funciones
accesos
accesos
informacion
especiales
funciones
niveles
con
de
criterio
acceso
poner
ejemplos,
modificar
del
que
sistema
personal
de
y,
operative
desarrollo
de
igual
no
debe
forma,
los
tener
T3
en
de
explotacion
versiones
los
es
fuente
en
que
vigor.
de
algun
la
realidad,
parametro,
permitiendo
en
aras
profundizar
de
localizar
si
se
la
tipicos
en
comprueba
Un
cuanto
que
control
los
dichos
de
este
programas
objetos
tipo
se
tambien
objeto
compilados
corresponden
detecta
con
aquellos
las
objetos
Deberian
determinar
el
comportamiento
del
sistema
informacion
autores
entornos
sobre
de
de
las
las
desarrollo
sentencias
mantenimiento
borradas,
modificaciones.
de
modificadas
Estas
pistas
de
programas
anadidas,
auditoria
deben
asi
dejar
como
permiten
los
importante
que
informaticas,
funciones
existan
aunque
es
una
serie
igual
de
de
realizar
importante
que
para
realizar
las
tales
normas
se
o Se mantienen adecuadamente
cumplan.
o Dan el rendimiento requerido
INFORMACION SOBRE LA ACTIVIDAD
Forma
parte
responsable
superior
estructurada,
de
de
ia
del
acuerdo
esencia
trabajo
con
los
de
cualquier
realizado.
parametros
de
actividad
Dispones-
rendir
de
seguimiento
una
mas
cuentas
al
informacion
acordes
con
los
Software,
Se dispone de las correspondientes licencias
o
Esta correctamente instalado
o
Se mantiene adecuadamente
(versiones oficialmente
soportadas)
o
Comunicaciones.
uno
parametros
comportamientos
servicio.
de
de!
los
elementos
para
sistema
de
un
un
analisis
mas
determinado
comportamiento o magnitud.
requiere
causa
controles
el
de
no
Uno
representativa
fmo
diremos
parametros
La informacion debe servir para gestionar y, por tanto, debe ser resumida y
de
responsabilidad
RA-MA
SRA-MA
su
que
basicos
del
seguimiento,
esten
es
nivel
decir,
directamente
o Existen componentes
de
servicio,
seamos
ligados
sicmpre
capaces
con
la
que
de
calidad
se
medir
Conmutacion.
del
o Estan correctamente instalados
q Se mantienen adecuadamente
o Dan el rendimiento adecuado
prevenir
situaciones
RA-MA
RA-MA
Comumcaciones.
o Existen los contratos o servicios
e)
Control
de
los
Sistemas
de
IT Governance Certification
En
1998
reconocio
la
necesidad
creciente
de
dedicar
esfuerzo
creciente
al
Gobierno y Control de las TI creando el I TGI (IT Governance Institute) que paso a
gestionar
la
relacionan
evolucion
los
Organization
Soporte
y,
actividades
como:
Auditoria
o Se mantienen adecuadamente
o Se Uevan a cabo
la
para
Enlaces.
Seguridad.
Asociacion
La
del
procesos
y
Modelo
de
ios
PJanificacion,
por
ultimo,
relacionadas
Personas,
con
Compras
de
e
Monitorizaeion.
ios
Aplicaciones,
Sistemas
de
Tecnologia,
Informacion,
Implantation,
Estos
clasificados
Puesta
procesos
Informacion
Explotacion
y,
y
en
en
engloban
a
su
Datos.
vez,
Por
dominios:
Servicio
todas
con
y
las
factores
otra
parte
o Se toman inedidas
1. Eficacia
Informacton.
2. Eficiencia
o Se dispone de procedimientos de back-up
3. Confidencialidad
o Se realizan los back-up correspondientes
4. Integridad
o Se guardan adecuadamente
6. Cumpiimiento riormativo (legalidad vigente y regulation interna)
o Se comprueban por muestreo
Plan de Contingencias.
7. Fiabilidad
La
definition
del
factor
Tecnologia
puede
1. Hardware
2. Sistemas Operatives
4. Redes,
identificarse
con
el
ambito
que
RA-MA
RA-MA
5. Multimedia,
Se
mantener
Extrayendo
los
procesos
relacionados
con
obtendriamos, segun ISACA, los objetivos de control
nos ocupa: Tecnica de Sistemas.
esta
definicion
de
Tecnologia
al aTea que
coTrespondientes
la
trata
un
grupos
para
los
34
procesos
que
ISACA
identifica
que
se
capacidad
de
la
Se
por
seg&n
los
el
objetivos
concepto
de
control
anterior
en
el
los
criterio
las
tecnologias
tecnoiogica,
actual,
emergentes.
adecuando
siguiendo
los
Pretende
haciendo
desarrollos
crear
evolucionar
tecnologicos,
las
establecimiento
de
estandares
criterios
de
unificacion
de
deben
equilibrar
eficacia
eficiencia
(normalization
simplification).
medio
la
de
disposition
los
el
control
correspondientes
de
desemboisos
presupueslos
de
operativos
recursos
financieros,
periodieos
establecidos
sobre
lo
gastado
eficacia
y convenientemente aprobados.
que
del
infraestructura
el
Asegura
Veamos
de
Sistemas,
ventajas
infraestructura
plataformas.
obtener
de
Existen cuatro
agrupan en 4 apartados:
de
plan
se
invoiucra
autor
(se
la
incluye
Tecnica
la
de
refereneia
Tiene
en
cuenta
altemativas
de
financiacion,
control
justification de costes.
optima
requerimientos
estrategica
Estos
que,
planes
la
satisfaction
entre
las
su
a
posterior
intervalos
largo
de
los
oportunidades
plazo
requerimientos
de
la
cumplimiento.
regulares,
deben
este
proceso
son
igual
de
importantes
eficiencia,
va
Permite
cumpliendo
traducirse
del
tecnologia
negocio,
de
un
la
proceso
los
periodicamente
planes
en
buscando
information,
de
a
un
dichos
planificacion
largo
planes
plazo.
operativos
negocio
Lo
estandares
de
servicio
deben
de
cada
de
ellos.
Veamos
uno
considerar
una
la
criticidad
clasificacion
con
y
un
el
impacto
ejemplo
en
de
e!
cada
agrupaeion:
tecnologia
actual y
Primaivdo
fundamerdalmente
importancia a la eficiencia.
el
criterio
de
eficacia,
concede
tambkn
de criticidad: nomina).
Servicios base: Infraestructuras (requerimiento de robustez y
fiabilidad: comunicaciones).
Los
niveles
de
servicio
de
los
Seivicios
de
Base
deberan
permitir
que
el
RA-MA
de servicios de base,
las penalizaciones por
nonnalmente) la negotiation
incumpiimiento) son clave
de
en
O RA-MA
trata
requerimientos
Se
(tecnologia
servicios
de
el
la
de
asegurami'ento
information),
TI.
Permits
de
la
previniendo
la
obtencion
las
organization
de
los
amenazas
en
identificar
objetivos
la
los
asegurar
los
la
usuarios,
mejor
facilitando
aproximacidn
un
analisis
para
claro
satisfacer
de
las
los
oportunas
Pxetende
de
de
de
TI
de
los
analizar
su
obtencion
riesgos,
ban
de
sistemas
factibilidad
tomar
en
heredados),
ia
(costes,
beneficios,
consideration
direction
las
de
alternativas...),
restricciones
la
los
intemas
tecnologia,
los
requerimientos
extemas
estudios
la
de
arquitectura
de informacion.
momentos
sistemas),
distintos
de
ambitos
tipo
analisis
de
riesgos
(periodicos
giobales
(tecnologia,
durante
especificos,
seguridad,
la
continuidad...),
implantation
informes
de
de
incidencias
nuevos
y
el
Este
proceso
aplicaciones
Estan
involucrados
los
confidencialidad, integridad y disponibilidad.
siete
criterios,
pero
especialmente:
del
requerimientos
provee
las
negocio.
funcionales
plataformas
Permite
adecuadas
defmir
operativos
para
consideraciones
una
implantation
soportar
las
especificas
por
fases
de
con
hitos
claros.
Se
evolution,
deben
las
considerar:
politicas
la
de
disponibilidad
seguridad,
el
de
la
tecnologia,
ajuste
de
los
direction
de
su
procedimientos
la
la
instalacion y la flexibitidad.
Supone
los
marcar
presupuestos.
Imea
con
el
prioridades
Permite
plan
la
operativo.
para
conseguir
organization
Mis
aun,
la
objetivos
identificar
organization
en
tiempo,
priorizar
debe
dentro
proyectos
adoptar
Deben
de
en
aplicar
involucrados,
comite
de
preciso
las
tener
incidencias
seguimiento,
los
en
y
cuenta
los
eJ
hitos,
presupuestos
de
promoter
la
del
determination
costes
mano
Pretende
proyecto,
de
de
los
usuarios
tesponsahilidades,
obra,
la
calidad
el
del
los
estandares
(regulation
tecnologicas
usuario
asegurar
instaladas.
a
los
el
uso
Supone
manuales
de
adecuado
una
de
las
aproximacion
normativa
procedimientos
aplicaciones
estructurada
operativos,
interna)
asi
de
al
como
las
soluciones
desarrollo
a
del
requerimientos
en
consideration
tanto
procedimientos
como
controles
de
usuario
eficacia
eficiencia,
tambien
prevalecer
-en
segundo
tdrmino-
424 AUDiTQRlA DE
TF.CNOLOGIAS
Considera
el
RA-MA
Y SISTEMAS DE [NFORMACION
soporte
mamenimiento
adecuado
por
parte
RA-MA
Involucra
del
respuesta,
definition
dependencies,
de
responsabilidades,
cargas,
garantias
volumenes
de
integridad,
tiempos
de
penalizaciones
por
habilitando
la
mimmizar
gestion
de!
disfunciones,
sistema
para
alteraciones
el
analisis,
no
la
autorizadas
implantacion
el
errores,
seguimiento
Aseguran
que
con
claridad,
definidos
satisfaciendolos.
Tiene
priorizacion
en
cuenta
la
procedimientos
identificacion
de
emergencia,
e!
de
los
cambios,
impacto,
la
la
categorizacion,
autorizacion
de
los
contratos
los
Facilitan
existentes
roles
son
medidas
los
responsabilidades
conformes
de
con
control
procedimientos
de
los
para
para
su
terceras
partes
requerimientos
revisar
eficacia
estan
continuan
monitorizar
cumplimiento
los
de
las
poHticas de la orgariizacion.
que
todos
los
afectados
conocen
las
nuevas
Tiene
ftmcionalidades,
discrecion,
que
las
ver
con
poHticas
de
los
la
acuerdos
compafiia,
de
nivel
las
de
Seyes
servicio,
con
los
acuerdos
de
los
contratos
de
regulaciones
outsourcing.
Considera
la
comunicacion,
formacion
entrenamiento
adecuado
de
todos
Igual
que
el
proceso
anterior,
requiere
de
todos
los
criterios
y,
en
especial,
de eficacia y eficiencia.
DS3 - Gestion de rendimiento y capacidad
Asegura
A17 - Instalacion y certificacion de sistemas
Verifica
que
permite
confirma
la
que
realizacion
dptimos
la
solucion
de
una
encaja
con
el
proposito
correctamente
Considera
la
aprobacion
entrenamiento,
de
gestionar
la
capacidad
la
carga,
tamano
el
la
los
gestionar
la
y/o
estructura,
carga
la
de
documentation,
datos
el
capacidad
adecuada,
requerimientos
rendimiento
de
las
su
establecidos.
que
recopilan
aplicaciones
disponibilidad
Permite
datos
la
gestion
uso
controles
para
informan
para
de
recursos
eficacia
pruebas
revisiones
post-
implantation.
Busca
el
factor
de
disponibilidad,
prevaleciendo
siernpre
eficiencia.
DS4 - Aseguramiento de la continuidad del servicio
Dispone
con
peticiones.
de
conversion
existencia
lo
especificas,
la
acuerdo
instalacion,
perseguido,
formalizada
de
Permite
un
entendimiento
el
establecimiento
general
de
se
izado
sobre
el
nivel
acuerdos
de
nivel
de
de
servicio
servicio
que
produce
estructurado
una
el
servicio
incidencia.
(simulacros)
tal
Permite
facilrtando
como
el
se
requiere
ejercicio
distintas
regular
fases
continua
de
hitos
un
facilitandoio
plan
claros,
de
cuando
contingencia
alineando
las
TI
formalizan los enterics de rendimiento con los que deben medirse cantidad y
calidad del servicio.
Considera
la
clasificacion
critica,
e!
plan
documentado,
los
procedimientos
SRA-MA
RA-MA
eficiencia.
Asegura
DS5 - Aseguramiento de la seguridad de Jos sistemas
las
IS
causas
que
que
se
se
conocen
los
previene
su
existencia
de
problemas
repetition,
las
incidencias,
permitiendo
un
que
sistema
se
que
investigan
registre
persiga su resolucion.
Determina
soluciones,
la
eltiempo
de
pistas
resolucion
de
de
los
auditoria
problemas
suficientes
sobre
reportados,
problemas
procedimier.tos
y
de
St,
de
defmiendo
la
la
rendimiento
consecution
gestion
de
de
ia
de
los
informes
objetivos
buscados
relevantes
implantation
del
para
ia
soporte
de
por
los
procesos
direction
los
de
sistemas,
de
los
indicadores
asi
como
importantes
los
auto-controles,
benchmarks,
metricas,
indicadores
Para
incrementar
los
. gestionar el cambio, los controles que identifican y registran todos los bienes y su
referencias
de
las
niveles
mcjores
de
practicas
confidencialidad
es
importante
el
beneficio
realizar
de
auditorias
i existencia.
A
' Tiene en cuenta el registro de activos y su etiquetado.
considerar
la
revision
de
la
existencia
cumplimiento
de
la
normativa
las
mencionada
la
ejecucion
observaciones
auditoria
de
los
las
independiente
controles
por
recomendaciones
con
personal
conceptos
cualificado
conatituyen
aspectos
de
la
clave
auditoria
clarification
de
esta
aqut,
con
actividad.
en
el
caso
id en eficacia y eficiencia.
anterior,
intervienen
los
siete
criterios,
pero
RA-MA
RAMA
el
conocimiento
respeto
de
la
legislation
vigente
de
1.Queexisten
acuerdos
con terceros.
E1
cada
cumplimiento
ubicacion
de
(pais)
deberes
supone
multinacionales
que
puede
especificos
cada
estado.
en
los
una
suponer
Los
impuestos
complejidad
ajustes
de
requisitos
por
la
especial
estandares
en
-normativa
cuanto
en
y
que
las
regule
movimientos
de
internos
information
indirecfamente
tanto
en
de
en
materia
fiabilidad
Tecnica
recuperation,
de
de
Sistemas
control
Protection
transparencia
de
de
de
Datos
las
encriptado
(back-up,
accesos,
pistas
de
en
cuanto
como
organizaciones
Como
observados
hechos
3. Que se ejecutan
organizaciones
procedimientos
en
information,
de
auditoria...)
a
es
cuanto
deben
su
de
la
information
No
del
un
determinando
sustantivas
pian
repetir
conceptos
de
misma
la
promover
objetivos
y
de
precisos
cumplimiento
clasicos
que
y
de
incluya
auditoria,
el
permitan
como
analisis
estableciendo
que
de
un
obtener
ia
necesidad
ejercicios
conjunto
unas
de
anteriores,
de
pruebas:
conclusiones
reilejadas
en ei informe correspondiente.
Se trata pues de aplicar las ideas anteriores al segmento de actividad al que
ultimo
concreto:
la
expuestas
anterioridad.
haciendo
los
se
El
ban
en
y
auditoria
de
que
corregido
informe
hincapie
los
de
comprobacion
responsables
ratificar
informe
final
una
ban
reflejar,
objetivos
nuevas
planteamientos
se
no
debe
o
en
plantear
para
cabo
puntos
este
al
fijar
las
la
las
realidad
que
o
objetivo
detectados
razones
respecto,
altemativas
un
recomendaciones
negros
caso,
conseguidos,
recomendaciones
originales
servir
llevado
debilidades
debera
aquelios
realizado
los
procedimientos,
de
resultado
debe
olyidar
la
que
auditoria
estos
supone
coleccionar
profesional
se
realizan
soportar
su
el
de
las
las
unos
hechos
independiente,
dichos
pruebas
sustantivas
conclusiones
del
de
informe
informe
las
de
-como
auditoria
de
resultado
acciones
correctoras
posteriores
soslayar
cuantas
debilidades
funcionamiento,
para
en
es
base
direction
sistema
adecuada
de
con
contrastada,
de
que,
el
caso
de
de
la
funcion
en
profunda
acuerdo
con
los
consecuentemente,
final
que
debe
problemas
mejorarlo
pueda
para
que
Existe,
expuesto
el
desarroilo
tantd
de!
Sistemas
de
TS
especialmente
son
y
la realidad
mainframe,
que
la
de
construyen
existen
tipo
de
campo
Informacibn,
la
la
de
asi
de
auditoria
la
los
de
es
auditoria
como
importanies,
especificidad
Hoy
distintas
mini
ha
sido
Sa
con
el
pueden
ser
entomos
dia
partes
fundamental
como
aspectos
tenor
de
diferentes
los
SI
que
cada
desarrollos
que
de
origen
de
la
los
actuales
cuanto
de
la
especificos
la
tecnificacion
entomos
tecnologicos
en
ubican
de
se
ademis,
rendimientos:
en
maquinas
de
micro,
sistemas
se
array
de
vias
otros;
entomo
que
elementos
beneficia
varias
puesto
del
agregacion
y,
aplican
discos
de
variedad
puros
en
menos
entomos
por
la.
entomos
son
desarrollos
que,
a
se
vez
unos
aimacenamiento
en
que
tecnologia
mencionado,
mainframe
origina
encontrar
de
de
se
diflcil
(PC)
micro
base
que
es
dispositivos
desarrollos
anadido
en
ejemplo
por
de
problema
evoluciona
como
grandes
pequehos
un
entomos.
de
tecnologia
poner
microinformatico
mis
los
actual,
tipo
baste
ademas,
de
de
los
acceso,
de
objetivos
Resulta
lo
en
generales,
existentes.
expuestas
nuevos
metodologia
aspectos
organization
mainframe
a
cuyo
la
el
requiere
Para
realizado-
multiplicidad
El
de
ecuanime,
ejercicio
juicio
contrastados.
podemos
trabajo
Una
No
el
un
plantear
confeccioriar
que
emitir
estar
cumplimiento,
creciente,
aseguramiento
quiera
para
en el
punto
para
que
otras
red que
noirnai
en
soporta
una
un
completa
soporte
la
una
serie
empresa
de
microinformatico,
infraestructura
dc
de
cierto
tamano
ftincionalidades,
sirs
articulado
sistemas
junto
encontrar
con
generalmente
centrales.
alrededor
Pero esto
sino que se completa -tambien usualmente- con equipos en sus centros perifericos
un
entomo
entomos
no
medios
de
es
una
todo,
entomos
operative,
con
los
correspondientes
enlaces
de
RA-MA
comunicaciones
En
grandes
organizativas
heterogeneos
gesror
O 'RA-MA
se
de
requieren
base
de
conocimienios
datos,
espetificos
herramientas
de
de
cada
desarrollo,
organizaciones
cumplan
con
estabiecimiento
de
ejemplo,
programadores
los
(operativo,
que
gestor
procedimientos
de
relativamente
criterios
no
datos...)
es
los
segregation
puedan
de
de
puedan
urdir
control,
funciones
modificar
quienes
sencillo
basicos
los
cuanto
para
que,
parametros
ejecutar
estrategias
en
programas
del
en
a
por
sistema
realidad
no
puedan modificarlos.
La funcibn, en estos casos,
diferentes y con equipos de personas distintas:
debe
ser
auditada
desde
dos
perspectivas
Pero
menos
Equipo
de
aspectos
operativos,
los
organization
como
procedimientos
generales
niveles
resolution
servicio
conocimientos
estabiecimiento
inberentes
como
de
con
dicha
de
infonnes
generales
separation
separacion
incidencias,
periodicos
que
de
entomos
planes
de
las
de
Tecnica
verifique
y
funciones
contingencia,.
de
Sistemas
sobre
veees,
recursos
determinados
producen
situaciones
se
como
parciales
con
donde
amcnazas
otros
porque
operativos
objetivos
cortsecucnciamediante
bien
tanto
la
medios
trata
de
de
como
elementos
segregation
debilidades
puedan
organizaciones
control,
dc
de
proceso
ftincionai
que
el
compensarse
no
auditor
dichas
mas
pequenas
grupos
de
con
servicio
departamentales,
existe
debe
surgen
-en
para
que
traves
de
determinar
debilidades,
bien
a
se
el desarrollo de la tarea.
Puesto
*
Equipos
los
expertos
en
parametros
concepciones:
entomos
claves
espetificos
que
software
de
del
sistemas
operativos,
sean
capaces
base
gestores
de
de
en
sus
bases
de
complejidad,
puesto
infraestructuras
enlaces
una
se
red
para
comunicaciones
diferentes
solapan,
instalaciones
para
de
por
las
servicios,
ejemplo:
centrales
interconectar
mcorpora
datos
nuevo
pueden
lineas
(ordenadores
diferentes
un
de
y/o
redes)
ubicaciones
de
de
distintas
estabilidad
conectar
que
otro
conjunto
prevenirlas.
organizacion
servicios
menos
del
control,
tecnolbgico
chocan
de
de
separation
flexibilidad
exposition
mbyiles
recibidos
el
y
de
vez
en
como
se
control
entomo
conexion
ataques
extemos
(via
VPN
WiFi
traves
de
mas
curso
dificil
su
ella.
abiertas
que,
desde
su
vigilancia,
de
pesar
de
creciente,
verification
limitados)
ftp...)
a
y
constituye
todo
de
de
ello,
lo
que
empresa
de
un
la
los
las
En
expldtacion,
probar
elevado
nivei
Pgr
flexibilidad
que
sobre
con
perfiles
dicho
penetration
una
una
robustez
servicios
de
de
de
se
tratan
un
especificamente
poco
en
el
area
constituye
un
aspectos
que
especifica
del
enlaces
prestados
componentes
de
de
trabajo
los
riesgos
del
planteamiento
desarrollo.
Hay
que
tener
las
mientras
cabria
como
de
otra
conexiones
(operadores
entre
que
las
trata
conseguir
falios
de
que
especificas,
a
sin
nuevos
y
compilar
las
entomos
ttna
necesidad
q
separaciones
mismos
comprobarla,
incidencias
restricciones
de
de
programas,
producidas
nuevas
acceso
de
versiones
conltevar
un
los
programadores
!o
para
funcibn
del
involucrar
ante
deben
(en
replica
incidencias
usuarios
pueden
de
otros
-siendo
laboratorio)
mencionadas
los
no
se
sus
existencia
(en
training
parte,
la
desarrollo,
implantation
comprobar
impartir
en
buscar
incluso
el
circunstancias
que
pruebas-
de
en
las
de
control
distintos
que
no
mayor
creciente
entomos
-en
pennitiria
aplicacion.
la
obra
profundizar
production
procesos,
ocasiones,
reales
hemos
la
intentar
organizaciones)
ejecuciones
supone
conjunto
pero
punto
de
aislar
los
obiigaria
de
cl
el
y
ya
la
de
economicas
dado
apertura
facilmente
exterior
La
entomos
(web,
es
mundo
mas
afiadida
vocation,
comprender
necesarios.
el
en
publicas
complejidad
puede
Internet
redes
empresarial
con
para
production-
una
cada
soluciones
seguridad
en
Internet
traves
generan
hacen
las
frontalmente,
aspectos
seguras
para
y
la
presentc
vamos
nivel
existir
datos
la
ver
La
que,
que
terminales/redes
de
de
TS,
distintas
que
fundamental
existencia
en
con
tienen
herramientas varias.
La
que
analizar
especlales
desvirtuindose
para
en
su
considerar
especialmente
proteccion
es
paises).
no
pruebas
creciente,
deben ser
de
eontenido
si
se
tanto
para
trata
en
accesibles
volumen
de
la
podrian
el
traspaso
datos
al
como
entomo
punto
de
parti
correspondiente
de
caracter
personal,
Comunidad
Europea
como
en
da,
(a
cuyo
nivel
de
el
resto
de
Ei
software
controlar
los
de
base
cambios
correspondiente
debe
aportar
dejando
herramientas
pistas
procedimiento
que
de
para
modiftcar
auditoria,
contemple
programas
debiendo
la
existir
segregacion
RA-MA
RA-MA
Constituyen
y
el
funcional
desarrollo,
cambios
por
sin
controles
La
verificable
consistencia
y
de
garantiza
los
que
programas
las
ejecutables
aplicaciones
en
con
los
ejecucion
fiientes
origen
es
coinciden
con
las
Debe
comprobarse
la
la
organization
existencia
en
precario
de
todos
frente
los
fiientes.
cualquier
La
El
perdida
modification
de
alguno
necesaria
que
control
accesos
elementos
especial
directos
sensibles
determinados
opiniones
unicamente
favor
de
eliminar
nucleo
dejan
disponer
sean
del
alguien
omnipotencia
de
con
estar
pista
de
de
estas
los
utilidades
operative
las
uso
los
fuera
despues,
acceder
datos.
Sistemas,
de
actualization
evitar
Con
que
que
trata
de
que
sistema,
para
de
Se
vez
realizadas.
del
elJas.
restringido
toda
modificaciones
fiinciones
Tdcnicos
de
especificado,
borrandolas
pudiera
en
dependencia
que
supondria
adecuada
que
atente
inadecuada
falta
la
contra
comprobar
de
la
la
(del
responsable
segregacidn
existencia
igualmente
supervision,
de
super-usuarios
segregacion
restriccion
del
funcional),
de
los
con
una
funcional.
Los
los
accesos
de
para
su produccion
casos,
detenninadas
valorado
hospital
ei
debe
en
negocio
ni
la
pueda
ser
funcion
consonancia
que
la
en
complemento
en
en
banco
repercusion
como
medidas
estar
un
de
organizacion:
misma,
no
son
iguales,
factores
(las
personas,
como
la
la
un
otros
o
con
en
fabricante
de
sustitucion
complejidad
el
sillas.
ni
la
por
por
riesgo
es
el
Aunque
no
la
probabilidad
ejemplo).
no
En
justificarse
en
cuestion,
que
ayudan
puede
-en
SPS Seguro de soportes de datos
Existen
cargandolas
que
-por
una
se
trata
de
esto
poder
buscar
riesgo
un
repercusion
ciertos
las
sistema
debe
necesarias
seguridad-
la
aplicarse
uso
no
de
cuando
debilidad
al
cuyo
casos-
debe
de
una
rnismo
a
lo
planificacion
deben
deja
una
concentracibn
riesgos
ejemplo,
deben
estar,
los
mddulos
tambidn,
del
SO
la
no
de
tenerse
operative)
actualizacion
en
si
cuenta
el
existen
mencionada
nivel
parches
supondria
el
pendientes
riesgo
ante
de
de
aplicar,
dado
los
errores
que
vulnerabilidades
planificacion
posibilidad
de
que
permita
no
consideration
los
factores
de
altemativas
el
acciones
de
correcto
niveles
Tambien
metodoiogia,
de
debe
marcha
ser
atras
ante
funcionamiento
servicio
pactados
cuidadosa,
documentada
cualquier
del
eventualidad
sistema.
procurar
el
Ha
de
minimo
con
imprevista
tener
impacto
en
en
la
de
cabe
utiles
utilizar
historicos
existir
planes
de
respaldo
continuidad
en
cuanto
al
software
de
-en
la
riesgo
existencia
de
para
semiautomatica
especificos
a
ser
sobre
una
seguimiento
practica
parametros
de
habitual
y
la
y
adecuada
continua,
mediciones,
sintonia
para
existen
lo
del
sistema
cual,
herramientas
ademas
de
y
de
su
rendimiento
los
contraste
el
herramientas
un
tabulandolos
de
auditoria-
de
valor
objetiv-o
de
auditoria.
informe
sistemas
Gestion
En
este
de
Eventos
que
punto
hay
que
producen
que
destacar
simplifican
los
sistemas
de...
El
obtener
para
pistas
de
observaciones,
concretos
que,
casos
en
revisar
de
de
en
acuerdo
los
De
sus
la
con
resultados,
igual
forma
parametros
sistemas
complejos,
informacidn
de
forma
cuanto
destacar
resultados
parametros
construyendo,
conviene
recogiendo
debe
datos
objetivos
que
permiten
evaluar su funcionamiento.
el
y
el
creciente
tratamiento
cuyo
analisis
desarrollo
de
es
la
de
los
ingente
determinante
Sistemas
cantidad
a
la
de
de
hora
4.34
RA-MA
d) Estabiecer alarmas
La
e) Anaiizar comportamientos
Auditoria
importante
Sirvan solo \mos pocos ejemplos para considerar la importancia de un
adecuado aprovechamiento de la informacion que facilitan los sistemas (LOG) que
permiten, con herramientas especificas, descartar faisas alarmas e identificar
aconsejen
el
de
tecnologica
en
de
ataques
"*
el
Organizativa
la
gran
(cambio
que
la
deberia
organization
redimensionamienlo
tecnologico
en
de!
magnitud
instalacion
logics
evolution
(fusiones,
area.
Tatnbien
cuando
modifica
ERP),
ha
cuando
negocio
que
de
reaiizarse
de!
se
ha
dejar
un
produce
drasticamente
cuando
podido
existe
cambio
adquisiciones...)
pasado
la
un
desactualizados
que
un
cambio
infraestructura
periodo
nuestros
de
tiempo
recursos
de
! instalaciones.
La
' Tratando de resumir cuanto antecede deberiamos agrupar los diferentes
tipos de auditoria de Tecnica de Sistemas en:
anual
establecidos
Qrganizativa
de
i
o Funciones y recursos adecuados
puede
ser
y
vista
debe
ser
mas
dinamica,
ya
que
trata
de
verificar
de
estandares
de
de
defmidos,
dichos
como
se
seguridad
conviene
estandares
funcionamiento,
que
cumplen
convenientemente
www.nessus.org).
Ver
plataforma
con
comprobar
estan
"parches"
"Nessus".
aiineados
de
para
sistemas
versiones
tipo
estan
los
por
(analisis
los
En
asl
(que
se
mismo
evitar
procedimientos
desde
el
punto
tipico
automatizado
casos
en
verificar
construyen
ejemplo,
los
actualizados
que
para
que
que
con
existen
los
equipos
estabiecer
entomos
cada
usuario
pueda
instalarse en su PC lo que le parezca, sin pasar por un estandar defmido o por una
aprobacidn
para
actividad
diaria
funcionamiento
o Adecuada actualizacion de sistemas
de
los
el
uso
de
ofrece
de
una
herramienta
sfntomas
los
Sistemas
procedimientos
que
de
de
que
la
desgastc
Informacion,
tienen
que
ver
requiera).
por
conviene
con
Tambien
fallos
verificar
dichos
cuando
continuos
fallos.
el
En
en
la
el
seguimiento
organizaciones
grandes este tipo de auditorias y Test de Intrusion [I] se realiza de manera gradual,
, Preventiva
}
Operativa
adecuado
que
programas
seguros
i Qper&tvva
Auditoria
que "no se baja la guardia" en e! quehacer diario y, por tanto, un control de tipo
programando,
por
comporientes
para,
precisa
sistemas
ana,
mensuales
disponer
criticos
(alguna
de
de
una
una
o
aplicacion
parte
revision
de
los
global
con
componente
sistemas
puede
focalizacion
comprobarse
La
Auditoria
preventiva
trata
de
estabiecer
una
verification
continua
(24x7) y en tiempo real de los ataques de que son objeto los SI. En un principle se
desarrollaron
alarmas
las
para
sondas
su
necesidad
de
actuar
concepto
hacia
IPS
cerrando
que
no
desviando
afecten
creciente
de
ios
detectan,
lo
que
reducida
de
tipo
comprobacion
y los factores de riesgo inherentes deben ayudar a estabiecer los criterios para
analisis
cada
en
ejemplo,
los
con
IDS
por
rapidez
(Intrusion
(Intrusion
tecnicos
ante
ciertos
Prevention
ciertos
tipos
sistemas
productivos.
patrones
de
complica
comportamientos
los
especialistas.
Aqui
una
importancia
decisiva
muy
los
en
de
ataque
bastante
claros
Sistemas
la
No
la
a
le
ocuita
de
analisis
e
de
de
de
detectaban
y
la
evolucionar
el
capaces
como
de
la
casos
dudosos
por
de
Eventos
de
todas
que
que
Gestibn
interpretacidn
para
complejidad
positivos"
automatica
detectad&s que son ingentes. Pongamos simplemente un ejemplo del impacto. de!
actuar
maliciosos
nadie
"falsos
decisiones
que
complejidad
son
identificados
se
mcncionados
conelacidn
La
hicieron
que
cantidad
toma
y
System)
ataques
System)
trafico
la
Detection
espccializados.
las
se
queda
parte
de
cobran
alarmas
correo
electronico
recibidos
en
una
organization
situation
SPAM
de
se
que
que
analizan
procede.
organizaciones
riesgo
critico,
aconsejan
considerar
e!
de
suponer
colapso
Servicio"
de
la
el
mensaje
de
Un
efecto
remitente,
que
se
del
de
las
con
la
con
nivel
de
exposition
entidades
del
herramientas
ataque
de
correo
de
por
filtros
grises
poner
tecnicos
(hablando
un
de
objetivo
de
La
La
de
introducimos
nadie
hay
de
la
un
pararse
ya
la
un
interaction
utilization
momento
conectividad
crecimiento
en
altamente
que
cualificados
reflexion
"Have
en
permitirse
maigen
de
la
opinion
esta
sera
alto
nivel
anterior
mano"
apiicativos
se
disponer
en
descontrolada
o
evolucidn
de
efectuan
las
modification
de
de
Internet,
pensar
nuestros
y
del
que
en
ni
que,
procesos,
todos
control
(y
esos
de
tecnologia
que
en
incluyendo
la
presion
nuestros
la
los
mecanismos
comprobaciones
los
de
vez
abrimos
nuevos
auditoria)
control
necesarias
existentes,
de
la
procesos,
no
metodologk
que
nuevas
desarrollos
para
el
lujo
de
utilization
una
de
disponer
de
de
las
concienciacion
desde
de
las
ver
mas
hace
para
para
sino
confirmar
el
las
volumen
compafiias
funciones
de
tanto
un
(empresas
equipos
y
caracteristicas
estandarizacion
COBIT
el
que
de
disponer
no
form
an
propios
mejora
de
en
desarrollo
inedianas
la
de
pero
la
extenso
pequenas)
tampoco
futura
fuucionales
no
quedarse
que
como
de
que
competitividad.
evolution
aspectos
muy
En
ai
mi
requerira
de
control
(y
de
4.1.
Procedimientos
en
evitando
la
(y
auditoria)
instalacion
para
de
incompatibilidades
nuevos
y/o
fallos
competitividad
podemos
la
olvidar
verification
0GC-1TIL
Commerce
los
introducir
riesgos
(auditoria)
cada
inherentes
de
su
vez
mas
ello,
adecuado
se
altas
necesita
esferas
un
.de
grado
la
creciente
organization
de
hasta
sensibilization
todo
el
conjunto
Auditoria
de
la
"IS
serie
Auditing
www.ogc.gov.uk/guidance_itil.asp,
(UK)
patrocina
el
desarrollo
Office
of
"Buertas
de
Government
Practicas"
travds
de la Metodologia ITIL.
No
debe
dejar
Project)
de
citarse
Foundation
la
(Open
Web
Application
que
da
soporte
OWASP
(www.owasp.org)
Security
a
una
obliga
de
Guidelines
inseguridad
desarrollo
del
importante
(ademds
amenazar
modo
no
incrementa
rentable
vislumbrar
tecnologia
de
por
de
las
software
cuanto
internos)
a
los
Extranets e Internet).
mi
y,
corregirlos
garantizar
cumplimiento.
A
para
tecnologias
cada
gobiemos
actualizados
PYMES
basico
los
es
permite
para
Es cada
vez mas
importante
disponer
de
unos
estandares
contrastados
(auditados) para no "reinventar la rueda" continuamente y convertir la gestion de
los sistemas en una "Torre de Babel".
que
fallos
funciones
no
Es
de
ciertas
dado
verificar
auditoria).
cuestiona
que
flexibilidad
posibilidades
requieren
dia
vulnerabilidadcs
regulatoria
especializacion
Esta
un
SUEVOLUCION
pero
presion
(outsourcing)
recursos
ejemplo)
las
pueden
Hoy
creciente
extemalizacion
proauctos
movilidad,
detectar
"Seguridad
Gestionada".
de
es
(Grey
consiguiente
concepto
su
dominio
los
continua
correo
los
supuesto
una
consiguiente
con
listas
el
por
el
Ja
evitar
vigiiancia
taques
bajo
con
mensajes
SPAM
utilizadas
de
los
combinado
contra
intemacionales,
servicio
de
neutralizan
necesidad
fmancieras
extemalizacidn
80%
intentando
remitente
junto
alto
un
servidor
del
con
del
identidad
tecnificacion
que
del
(DoS).
identidad
la
mas
resultados,
como
la
que
contrastar
La
los
puede
conseguir
eliminarian
permiten
del
de
Hay
suplantacidn
que
que
empresa.
"Denegacion
la
correo
List)
que
puede
de
es
SPAM
RA-MA
RA-MA
aplicaciones
y
dan
de
Esta
una
servicios
constituyen
sistemas
Web.
presentan
una
aplicaciones
exposition
extemos
oportunidad
information
que
lideran
al
riesgo
el
muy
las
organizaciones
muy
amplia
soportan
para
(Intranets,
RA-MA
a) Todo los que tiene que ver con los SI (Sisternas de Information)
2 Definition de la funeion
6 Auditorsa de la funcion
a) Recoger evidencias quejustifican sus recomendaciones
3 El nivel de servicio
a) La evolution tecnologica incrementa la necesidad de control
a) La Ttimica de Sisternas debe garantizar el adecuado
funcionamiento de la infraestructura
b) La Tecnica de Sisternas debe garantizar la fiabilidad de las
Aplicaciones
4Losprocedimientos
a) Una tarea organizada se descompone en una serie de actividades o
acciones
5.
(.Que
elementos
obtencibn
introduciria
gestion
del
plan
de
en
R.4-MA
un
procedimiemo
consentimiento
traves
que
de
regulara
Internet
la
en
su
organizacion?
6.
Establezea
fugares
un
actuation
para
garantizar
que
information
adecuada
personales.
Confeccione
en
coherente
sobre
el
tratamiento
caractcr
previo
una
polltica
con
todos
Jos
necesario se da la
de
de
Capftulo 18
datos
privacidad
5:"
-*7.
8.
oCdmo
cumpliria
con
e!
deber
de
informacion
previo
almacenamiento de una cookie en el ordenador de un usuario que
conecta a su sitio web?
al
se
Establezea
su
una
politica
de
conservation
de
datos
aplicable
organizacion.
9.
Prepare
un
plan
en materia de
bases
de
de
formation
education
sobre
sus
datos
de
su
organizacion.
Incluya
un
responsabilidades
de sistemas y
documento
con
Javier Garzas
el
10.
(.En
que
condiciones
podria
su
comerciales no solicitadas a sus clientes?
organizacidn
enviar
comunicaciones
18.1 JNTRODUCCION
Los
sistemas
estrategicos
para
complejos.
Este
funcionamiento,
las
infonnaticos
son
organizations,
cada
aumento
dentro
de
de
los
uno
de
vez
de
complejidad
niveles
de
calidad
los
recursos
mayor
mas
tamaflo,
la
necesidad
que
se
criticos
mds
precisen
sofisticados
y
y
de
su
correcto
segun
su
finalidad,
hace que hoy las auditorias de aplicacibn sean una herramienta imprescindible.
pueden
Mas
aun
siendo
liegar
causar.
Standish
Group
infonnaticos
una
nunca.
El
resto
economicas
(de
debido
los
aeroespacial
en
aceptable,
funcionalidades
lo
de
(desastres
aviones
famosos
(Ambulancias
reflexionar
2001)
el
ccntenares
como
los
comerciales,
a
seflala
que
solo
estimado,
casi
con
una
En
de
software
del
etc.).
de
Londres,
los
lectores
que
ejemplo,
consumiendo
previstas.
del
p6rdidas
por
que
pero
las
sentido,
tiempo
hace
varios
fallos
de
este
mientras
las
algunos
hacer
En
(Standish,
finalizan
calidad
conscientes
de
5,
muchos
otros
de
sobre
importancia
la
en
Denver,
con
humanas
mision
asi
que
los
rnenos
vidas
de
que
con
p^rdidas
por
etc.)
fmalizar
las
como,
la
del
proyectos
a
repasan
parecidos,
Aeropuerto
software
los
Uegan
Tecursos
dolares)
el
"CHAOS"
planificados
no
se
sondas
en
de
recursos
parte
sectores
las
fallos
informe
28%
mis
2002)
diferentes
Ariane
Y
los
muchos
millones
en
el
cuarta
(NIST,
los
el
ejemplo,
a
el
Marte,
como
casos
tienen
que
sistemas
de
S50AUDiTQRiA
RA-MA
RA-MA
como
para
eS
bienestar
de
las
personas,
t en unaauditoria.*
la
(como, por ejemplo, el transporte, la energia, etc.) y gestionar los desarrollos como
un servicio externo. Esto puede proporcionar importantes ventajas economieas,
pero de no establecerse los procedimientos necesarios para controlar la calidad de
las aplicaciones recibidas puede producir un efecto contraproducente. Aunque Jos
JittflrtOifl
a attoi
Com plic! Sn
Toimncw i nam
AutoQt lectpttMdid :
l dun ft 0i<J
luSinnintocffln
c*acicci tapiutan
CintnMiS
not p. miquina
PiQip. softcW Kill 11*
CSmu/ileic. son unit
de
sueten distinguir
RA-MA
RA-MA
un
descompone
la
caractedsticas
aspectos
la
modeio
con
e
eficiencia,
los
modelos
importante
jerarquicamente
pueden
externa
usabilidad,
de
referencia
calidad
que
relacionados
calidad
filosofia
de
usarse
la
calidad.
interna
en
como
la
una
es
serie
lista
ISO
sets
y
clasicos
destacar
una
En
en
mantenibilidad
mas
se
que
como
ISO
caracteristicas
comprobacion
eategorizan
caraeteristicas
portabilidad)
calidad,
norma
de
de
9126
de
la
los
subdividen
de
que
sub-
(checklist)
atributos
(funcionalidad,
se
el
9126
de
de
fiabilidad,
su
vez
en
Otro
modeio
Information
and
Governance
Institute
gobiemo
de
las
de
Related
y
TSI.
que
referencia
Technology),
en
COBlT
2007
4.1
se
destacar
es
el
desarroilado
lanzo
la
COBlT
por
el
4.1
de
version
estructura
en
cuatro
siguientes: *
Figura 18.2. Modeio para la calidad externa e interna (ISO, 2001)
Por
evaluation
otro
de
cuantificables
situa
en
diferentes
una
tambien
aplicacion
pueden
eseala.
niveles
insatisfactorio).
lado
una
de
medirse
La
la
norma
software,
usando
escala
satisfaction
ha
de
ISO
14598
apoyandose
metricas
de
los
de
dividirse
requisitos
da
en
una
la
(por
visi6n
ISO
calidad,
en
cuyo
rangos
del
9126.
valor
que
ejemplo,
en
proceso
Los
de
aspectos
medido
se
corresponden
satisfactory
(Control
Objectives
Information
COBlT,
dominios
para
de
for
Technology
apoyar
actividad,
el
los
RA-MA
O RA-MA
SEAN EVALUADQS
Las
REGULARMENTE EN
software
CUANTO A SU CALIDAD V
ME2
CUMPLIMIENTOCON LOS
MONITORIZAR Y EVALUAR EL
CONTROL tNTERNO
For
en
CONTEMPLALOS
(ME')
un
&
buen
medio
Basili,
1999)
para
y
evaluar
pueden
ser
auditar
aplicaciones
utilizadas
para
tomar
AjS
EVALUAR
son
Morasca,
REQUERIMIENTQS DE
MONITORIZAR Y
metricas
(Briand,
ME3
ASPECTOS DE GESTION
GARANTIZAR
EL
CUMPLIMIENTO
LEGAL Y REGLAMENTARIO
evaluar
proceso
de
DEL RENDIMIENTO, DE LA
entrcgadus
MONITORIZACIDN DEL.
PROPORCIONAR GOBIERNO
la
lo
general,
en
las
la
calidad
de
ios
production
o
del
documentos
manera
mas
auditorias
software,
que
son
rapida
de
aplicaciones
entregables,
productos
que
incluyen
producidos
fiable
tener
medicion
software
todos
durante
de
ia
del
el
los
de
vida
sobre
centrada
salidas
productos
ciclo
visibiiidad
esta
del
inteimedios
del
un
software.
producto
es
PARA TSi
CUMPL1MTENTO CON
ME4
No
NORMAS Y LECISLACION,
Y PROPORCI ON AR
sin
GOB1ERNO.
que
guias
de
para
la
actividad
establecer
la
de
"monitorizar
auditcrla.
La
tabla
evaluar",
18.1
de
muestra
obstante,
donde
con
pueden
mas
obtenerse
detalie
el
las
dominio
no
tenga
calidad
duplicado,
el
productivas
ENFOQUE DE MONITORIZACION
MONITORIZAR Y
las
MONITORIZAR Y
ME1.S
la
RENDIMIENTO
DE TSI 1
ME 1.6
aplicacion,
software,
excepciones
cobertura
pruebas,
no
de
software
libre
permiten
auditar
estatico
gran
de
de
el
controladas
veremos
parte
las
de
largo
un
la
medicion
la
fiables,
posibililando
la
calidad
del
de
etc.).
el
del
estilo
ademas
infraestructuras
software
de
manera
software,
su
la
codigo
compilation
incidencias,
muy
hacer
continuation,
mantenibilidad,
pruebas,
control
de
codigo,
periodica
puede
de
con
altamente
diaria
un
estudio
en
profundidad
de
las
metricas
aplicacidn
cldsieas
de
"monitorizar
TSI"
ayuda
evaluar"
mediante
la
el
area
aportacibn
de
mas
donde
aun
el
si
el
receptor
desarrollo
del
es
software
realizado
debe
por
equipos
establecer
sus
externos
propios
fabricas
sistemas
de
control de la calidad.
ACCIONES CORRECT1VAS
1,2
automatizar
manera
que
EVALUAR EL
de
las
como
de
tiempo
ME1
Rendimiento
de
en
METODO DE MONITOR]ZACiON
ME1.3
Dentro
posible
software
costoso
Aunque,
an&lisis
ciclomdtica,
metricas
tan
INFORMACION DE MONITORIZACION
RENDIMIENTO
DETS
es
de
ser
medir.
que
Para
DEFINICION Y RECOPILACION DE LA
ME1.2
(e!
puede
totalmente automatizada,
MEI.l
EVALUAR EL
dia
lanzamiento
herramientas
ME1
en
producto
complejidad
proyecto,
recogidas
adecuada
sentido
hoy
del
programacion,
realizar
infraestructura
afortunadamente
dominio
una
"Monitorizar
de
elementos
Si
bien
con
metricas,
anos
de
Evaluar
el
convicrtan en practica de
concretos
revisioncs,
experiencia,
mspecciones
en
la
controles
actualidad
lo
de
que
calidad
hace
que
son
Areas
estas
se
Definir
son
unos
objetivos
necesarios
por
claros
que,
RA-MA
medibles,
evitando
asi
determinando
riesgos
eomo
que
que
el
datos
exceso
de
& RA-MA
entomos
de
medicibn
que
forman
la
infraestructura
para
la
auditoria
de
las
aplicaciones.
SOFTWARE
Automatizar
proceso
de
que
una
medicion
obstacuiizar
que
se
objetivos,
puede
el
ya
medicion,
may
muestre
para
posihilitar
costosa
de
en
manera
los
tiempo
elara
la
anteriores
muy
manual
informacion
de
METODO
frecuencia.
4
Definir
diferentes
detalles
muestren
estrategicos)
la
construccidn
de
requiere
con
presentation
a
marco
un
un
el
analisis
de
llevar
para
practice,
que
torna
metodologico
tanto,
los
de
que
y
valores
la
obtenidos
soporte
metricas
la
La
medicidn
un
exacto
automatizar
los
tacticos
de
las
en
decisiones.
cabo
como
eficiente
pentiitan
perderse
(operativos,
la
permita
Por
modo
herramientas
y
que
eviten
niveles
para
soporte
2000).
que
los
precisa
un
de
abstraction,
todos
de
(Lavazza,
evaluadas
contaT
de
informacion
tanto
tecnologico
ser
niveles
es
dicbas
metricas
mayor
obtener
menor
mediciones
Herramientas
e!
analisis
exito
y
Estas
de
del
existe
un
pruebas
de
Analisis
software
henamientas
muchas
gran
numero
una
de
herramientas
aplicacion
software.
que
Dinamico:
ejecutando
suelen
aqtmllas
el
requerir
codigo
el
uso
herramientas
fonna
de
tibrerias
que
realizan
dicho
software.
especiales
de
cabo e! analisis
Analisis
Estitico:
sin necesidad
de
aquellas
Dc
ejecutar
que
el codigo fiiente.
Este
llevan
tipo
de
abordar
objetivo
de
heterogeneas
auditoria
manera
en
la
la
misma.
dimensiones
conviene
general,
destacar
(operaciones
que
personas)
obtencidn
del
En
auditoria
determinar,
dos
la
en
una
elementos
estudiar.
ademas
computadora
aplicacion,
import
estos,
fiituras
las
calidad
de
etc.,
de
influiran
(el
de
con
evolucionar,
fuentes,
el
las
el
escritas
ocasiones
el
tiempo
los
calidad,
el
ha
un
evolucionado
conjunto
mucho
muy
en
solido
los
de
ultimos
anos,
herramientas
de
Por
en
la
software
actualidad
libre
para
auditoria
focalizar
parte
efectos
su
en
en
de
posibilidades
de
econdmico
que
la
falta
muchas
costes
en
de
su
diseiio
de
es
puede
bien
la
de
ser
el
aplicacion
auditada,
composicidn:
una
Ienguaje
un
las
que
es
fuentes
entendibie
Ienguaje
la
Ia
construction
aplicacion
misma,
en
evoiucidn,
de
control
todos
sobre
aplicaciones
tiempo
correcta
de
que
la
lo
ellos
este
vayan
pueda
acorde
se
productivo
puede
punto
ido
su
financieros
de
de
derivarse.
ha
describe
escalabilidad
perdiendo
recursos
la
sentido
otro
parte
van
lado,
los
dinamica
orientadas
ejecutables
productiva
a
recogen
el
funcionamiento
de
la
misma.
eomprobar
si
ei
la
aplicacion
por
ser
las
en
las
su
En
la
derivando
en
capacidad
de
implica
su
que
evolution.
este
encontrar
de
de
para
que
en
programa
mantenimiento
impacto
las
por
su
programactbn,
en
versiones,
mantenimiento
forman
El
plan
de
antes
ejecuta,
objetos/ejecutables
Respecto
podemos
una
mayoria
herramientas
la
importante
que
Herramientas
tarea
y
Obietivo de la auditoria
Estas
de
hormas
que
alcance
sera e! objetivo del estudio, cual sera el metodo a usar, si sera dinamico o estatico.
las
haber
objetivo
necesario
la
primera
el
puedan
adquisicion,
para
La
definir
Las
software
auditorias
se
de
de
cornporta
la
aplicacion,
aplicacion en
de
manera
de
la
Tomando
como
auditoria
de
fiabilidad,
los
Sa
usabilidad,
anteriores,
base
el
estandar
aplicacion
Como
ya
ISO
puede
mantenibilidad,
RA-MA
9126
ser
ia
portabilidad
comentamos,
(ver
puede
seccion
18.2),
funcionalidad
eficiencia.
subdividirse
de
el
la
Si
bien
en
otros
RA-MA
Funcionalidad
objetivo
misma,
cada
Fiabilidad
Usabilidad
Mantenibilidad
Portabilidad
Eficiencia
su
uno
de
objetivos
de
Esiatica
Din&mica
menor nivel.
M6todo
hablamos
referenda
al
conjunto
ejecucion
de
la
refieren
aplicacion
se
de
cuwple
Las
si
los
observar
pruebas
aplicacion.
comprobar
suelen
de
la
m4s
funcionalidad
cargas
aplicacion
inspecciones
auditorfas
requerimrentos
utilizar
la
de
de
podemos
tipicas
la
carga
masivas
que
en
este
aplicacion
de
dinamicamente
es
rendiraiento,
usuarios
realizar
caso
la
hacemos
mediante
la
las
que
se
si
3a
son
esperada
pruebas
para
simulados
las
que
observando
su
alcance
Sa
aplicacion
instrucciones
las
Como
un
de
forman
caracter
una
calidad
el
Las
de
grado
influencia
observaremos
ficheros,
producto.
la
ocasiones
tienen
estatico
codigo,
el
observar
las
comentamos
de
(documentos,
que
orientadas
mayoria
estudio
etc.),
de
destacando
auditorfas
la
los
mas
directa
los
del
de
muy
alta
en
que
de
manera
general
estaticos
forman
son
que
este
caso
y
futura
Para
compleja.
etc.,
misma,
ya
las
en
en
que
evolucion
la
como
y
en
pudiera
pudiera
suelen
tambien
dependientes
denominate
pruebas
mientras
uno
los
que
los
los
estudios
se
les
dinamicos
suele
llamar
inspecciones.
Para
mdtodos,
una
Por
es
con
cada
dinamicos
auditoria
ejemplo,
realizar
en
para
Ia
anteriores
si
bien es
profundidad
de
alguna
auditar
pruebas
inspecciones
auditar
de
o estaticos,
sobre
fiabilidad
la
eficiencia
dinamicas,
o
el
pero
c6digo,
de
se
que
caracteristica
muchas
caracter
la
adecua
en la
o rendimiento
en
de
seguridad
objetivos
cierto
debera
de
la
se
uno
de
de
las
hacer
uso
aplicacibn
ocasiones
estatico.
aplicacion,
mas
mayoria
estas
Igualmente
utilizan
casi
los
de
!o mas
se
a
en
La
tabla
18.3
muestra
un
aplicacion
es
e!
definir
auditar
plan
en
funcion
temporal
de
uno
No
de
cualquier
desarroflo
de
los
para
elementos
para
realizar
una
obstante,
esta
puede
la
estimacion
experiencia
del
su
asociada
auditoria,
estudiar
podemos
aproximacion
ser
una
equipo
con
un
siempre
producto
es
encontrar
una
un
tarea
metodo
del
tiempo
que
la
las
tareas
mas
complejas
la
aplicacion
de
auditor
como
de
auditoria
vez
determinada
la
estimacion
de
la
auditoria
se
elabora
e!
plan
auditoria,
comun
etc.,
del
que
cliente.
acciones
que
puede
El
la
El
equipo
estar
cliente
deben
auditoria.
compuesta
debera
comunicarse,
auditor
en
preparar
asi
tambien
como
puede
varias
la
fases
tanto
aplicacion,
planificarse
requerir
de
de
reunir
personal
su
anadirse
auditor
documentacion,
al
especialistas
plan
de
extemos
la
en
medida
alcance de la auditoria.
la
tarea
como
de
de
ambos.
hora
su
adaptarse
complementan
igual
parte
siguiente
auditar.
dos
ocasiones
la
la
suceder,
para
cada
tanto
Una
recordar
sea
requerir.
de
definido
suele
software,
con
diseno,
la
su
que
fuentes,
tipicas
programacion,
mantenibilidad
productos
tamano
comportamiento.
Hn
el
previamente
ejemplo
de
las
combinaciones
que
defmen
el
Las
herramientas
de
apoyo
la
auditoria
tambien
deben
especificarse.,
De
marsera
resumida
ias
herramientas
RA-MA.
estaticas
recorren
el
codigo
fuente
de
ffl RA-MA
tipo
de
herramientas
Por
su
parte
aplicacion mientras
Como
ejempio
tiempo
de
cobertura
probado
son
podemos
a!.,
las
herramientas
se
ejecuta
eitar
analiza
destacar
de
las
con
los
herramientas
desarrollo
2008)
se
proftmdiza
sobre
este
tipo
de
ciasificadas
y por
herramientas
si
la
como
dinamicas
no
hacen use
lo genera!
como
aplicacion
Purify,
produce
de
trabajan
IBM
problemas
del
sobre
codigo
Rational,
en
la
la
fuente.
que
en
memoria
del
Eclipse,
tambien
pruebas,
casos
como
o
de
es
el
conjunto
decir,
prueba
de
EclEmma,
Cobertura,
que
que
de
tanto
herramientas
por
ciento
orientadas
de
proporcionados
por
los
software
que
trabaja
calcula
libre,
el
porcentaje
de
la
medir
aplicacion
desarroliadores.
sobre
codigo
la
queda
Ejemplos
el
entorno
de
que
cubren
los
Estilos javadoc
Estandares documentation
esta
ejecucion
Cabe
et
(Piattini
entornos).
(en
Etc.
La
nurnerosas
variedad
de
herramientas
contemplan
pueden
Tabla
18-4
herramientas
lenguajes
son
un
trabajar
las
gran
en
rauestca
un
comerciaies
de
ejempio
y
de
programacion.
aplicaciones
numero
mod
de
PMD,
metricas
batch
(por
de
software
Un
tipo
libre
ejempio
Checkstyle,
y
este
a
lotes)
como
detecclones.
soportan
destacar
etc.,
problemas
de
que
de
de
dentro
software
calidad,
plugins
de
Existen
una
amplia
de
libre
que
que
tambidn
Maven
herramienta
estas
(una
un
RA-MA
Una de
una
reunion
las
actividades
inicial
de
considerar
arranque,
en
la
a] comienzo de
que
se
la auditoria
presente
al
equipo
RA-MA
es mantener
el
cronograma
orientada
observa
suelen
de
organizar
las
en
tareas
torno
de
comprension
reuniones
de
extraction
revision,
observar
el
comportamiento
de
la
aplicacibn
detaliado para la ejecucion del proyecto, as! como los objetivos del mismo.
Muchas
en
de
las
information
que
se
se
examina
la
nivel
el
de
numero
detalle
es
de
alto
enores
y
por
pagina.
orientado
Como
puede
proporcionar
la
al
ir
creciendo
de auditoria
el
numero
en
estos
casos
el
necesaria
para
la
120 j
10G ;
30
En
aplicacion,
dtchas
la
ido
generando
que
la
para
describen,
incluso
se
reuniones
aplicacion
en
ban
su
su
la
se
sueJe
ejecucion
los
procesos
diferentes
gestion
de
la
con
como
respecto
las
trabajar
construccion,
analisis
ocasiones
controlado
subproductos
en
pudieran
los
usados
con
los
productos
ser
requisitos
para
versiones
su
los
que
la
o
plan
de
de
se
documentos
aplicacion,
el
fuentes
que
debe
construccion,
de
configuration,
ficheros
intermedios
de
cumplir,
por
diseno
etc.,
ejemplo,
sus
para
El
serie
analisis,
los
de
20 !
su
construccion.
uno
40
como
productos
proyecto
la
hubiesen
sintesis
puntos
mas
comentarios
presentacion
determinantes
en
los
que
de
se
del
la
informe
misma.
describa
El
ia
de
auditoria
auditor
situation,
el
es,
debera
riesgo
sin
duda,
elaborar
existente,
una
la
los
in
requeriran
formes
los
asociados
lectores
deben
del
mismo.
esiar
preparados
Comunmente
para
suele
el
haber
nivel
dos
de
abstraction
tipos
lectores
que
del
informe, directivos, para los que se suelen presentar informes resunien a un nivel
de
abstraccion
resolution
dc
alto,
los
el
personal
probiemas
involucrado
detectados,
para
en
los
la
elaboration
que
se
de
preparan
la
aplicacion
informes
y
con
mayor detalle.
i
*
"lit
mammm
En
el
auditoria
suelen
informe
resumen
acompaflarse
informacion
Estos
del
de
informes
resumirse
orientado
lugar
importante
suelen
suponer
caso
ser
solucionar
el
La
directives;
se
como
y
a
la
la
la
Como
toma
hailazgos
18.4
se
que
de
se
cada
en
la
corroborar
de
se
hailazgos
e!
coste
hallazgo
RA-MA
ejemplo
pueden
aplicacion y
posterior
hallazgo,
da
tin
los
la
decisiones
del
encontrados
muestra
observa,
dentro
de
severidad
prioridad
los
labia
han encontrado
orientada
hallazgo
directives
agruparse.
en que
campos
RA-MA
de
la
resultados.
las
Como
conclusiones
resultado
mas
se
presentar
importantes
las
un
que
informe
se
ha
final
llegado.
en
el
(Vease
que
en la
tabla 18.4).
otra
auditoria.
que
los
expongan
pudiera
en fitneion
de los anteripres.
A
nuestra
modo
de
experiencia
conclusion
son
final,
de
buenas
importantes
la
cuantitativos
practicas
hora
de
recomendaciones
realizar
la
que
auditoria
de
en
una
aplicacion software:
A
modo
de
recomendacion
cabe
comentar
que
los
informes
deben
ser
HALLAZGO
CAPA
ARQUITECT6NICA
Utilizar
metricas
gran
ayuda,
1<
I PUIORIPAD
>'
La
pcriodicidad
aplicacion
en
Probiemas en la
rnetodo
gestidn y uso de
Si
muy
Caches
Negocio
factores
aportando
ademas
obtenidos
argumentos
de
solidos
la
aplicacion
para
es
concienciar
de
sobre
el estado de la aplicacion.
COSTE i
SEVERIDAD
1-8.
es
con
la
muchas
que
infraestructura
periodicidad
se
ocasioncs
pretenda
vendrd
disponible
costoso
obtener
disminuira,
de
para
datos
ahi
realizar
medir
sobre
la
las
determinada
la
el
la
calidad
estado
irnportancia
auditorias
por
de
de
de
la
complcjidad
del
de
la
la
aplicacion
automatizar
aplicacion.
al
la
maximo
JOINS y
ConsuUas
Datos
Complejas
.5
Con
1.6
una
datos
buena
para
problema
Database Link
Datos
hacer
1.4
las
de
con
infraestructura
auditorias
recopilar
ella,
por
un
lo
para
hay
excesivo
que
la
que
es
automatization
tener
presente
volumen
muy
de
que
de
la
es
facil
informacion
importante
tener
obtencion
claro
caer
no
los
de
en
saber
el
que
objetivos
Negocio
1.35
En
cada
auditoria
quidn,
segun
Sesiones
cada
Presentacidn
Servidor de
Presentacidn
Para
ciertas
de
12
las
Segurida
Tambien
d
Datos
o de Tablas
auditoria,
Acceso a EJBs
Negocio
vez
elaborados
los
informes
estos
seran
comentados
discutidos
definir
que
abstraccidn
implicard
que
la
informacion
informacion
mayoria
de
mostrar,
que
se
las
organizaciones
ia
por
actividad
frecuentemente
en
muchas
su
periodicidad,
de
audi
tar
se
recurre
ocasiones,
la
bien
etc.,
aplicacion
esta
lo
cuando
requiera
ocasioncs
option
por
mas
y
en
existan
la
para
complejidad
conveniente
empresas
por
que
ultimo
sera,
por
que
nunca
ejemplo,
se
debe
alinear
perder
objetivos
de
de
vista
negocio
el
es
especiaiizadas.
buscar
objetivo
con
..
de
un
actor
1.6
Esto
auditorias,
externalizar
Particionarnien
importante
nivel
Aplicaciones
Filtros de
situation.
es
el
con
planes
final
de
de
!a
mejora,
software
la
competencia,
satisfaction
etc.
Todos
soluciones
de
diferentes
propuestas
ingenieria
del
relacionados
del
software,
la
van
las
Cabrera,
partes
decision
de
cualquier
surgiendo,
una
maximization
(o
disefio
de
del
respecto
que
una
pretende
del
valor
sistema;
reingenieria)
de
metodologica
deberia
y,
un
en
sistema
estar
en
estimacion
orientar
las
aportado
a!
sentido,
software,
de
una
caracter
auditorias
la
B.
su
Shao,
cada
la
creciente,
aplicacion
debido
la
tendencia
robustas
pueden
procedimentacion
auditoria
procedimientos
tiene
de
la
hacia
criticidad
la
acompanadas
de
las
aplicaciones
externalizacion,
de
disponer
de
entornos
metodos
encontrarse
modelos
de
un
amplio
seguimiento
de
las
caracteristicas
auditoria
sean
auditorias,
si
bien
pecuiiaridades
adaptados
es
propias
las
importante
que
recordar
implicar&n
condiciones
especificas
que
de
que
M-
para
(Eds.).
Medicion
(2008).
mejorar
la
calidad
&
Smith
(2007).
The
impact
of
offshore
outsourcing
for
L.,
Software
Morasca,
S.,
Object-Based
&
project
Basili,
high-level
management
V.
(1999).
IEEE
design.
Journal
audits.
Defining
and
Transactions
of
Validating
on
Software
Buckle,
J.
K.
Chrissis,
M.
Managing
(1977).
Software
Projects.
New
York:
American
B.,
Konrad,
M.,
&
Shrum,
S.
CMMI:
(2003).
Guidelines
for
J.,
Cabrera,
D.,
&
Piattini,
M.
T.
(1995).
La
(2007).
ingenieria
del
software
basada en valor.
los
Giles,
A.
E.,
&
B.
A.,
Daich,
G.
Universal
CrossTalk
MetricsTools.
(February).
Afortunadamente
infraestructura
fiable
obtenga
de
metodo
esenciai
de
J.
Genero,
Elsevier.
cada
aplicacion. '
modelos
B.,
Bernstein,
L.
(1981).
Systems and Software, 2(4), 281 -287.
solidez, como los modelos ISO o COBlT, que son de una gran utilidad a la hora de
establecer
David,
&
metodos
estrategico
actualidad
J.,
y
automatizados.
En
Garzas,
tecnicas
18.9 B1BUOGRAFIA
Measures
necesidad
de
F.,
software:
por
18.7 CONCLUSIONS
su
del
la
Briand,
Existe
Garcia,
las
"valor". '
software,
M.,
en
guiada
Piattini,
las
Basada
este
la
de
orientation
Software
que
aportan
cada
nueva
del
la
en
valor
una
2007),
{stakeholders)
de
de
Piattini,
basandose
compeiitiva
el
real
"Ingenieria
&
construction
con
enfoque
interesadas
decision
ventaja
aportacion
denominada
soluciones
de
cualquier
incluso
crear
que
(Garzis,
conjunto
usuario,
aspectos
software
Valor"(lSBV)183
propuestas
del
ellos
ingenieria
RA-MA
RA-MA
manera
para
calidad
en
y
actualidad
automatica
rapida
tener
de
la
y
que
implemente
fiable
metricas
visibilidad
sobre
procesos
es
como
del
el
CMMI
realista
un
mismo,
disponer
entorao
que
se
producto,
ya
que
no
plena
dan
de
de
auditoria
muestra
apoyarse
seguridad
Kilchenham,
una
y
como
un
solo
en
sobre
la
Eman,
K.,
et
al.
(2002).
Pfleeger,
S.
Preliminary
L.,
Pickard,
Guidelines
for
L.,
Jones,
Empirical
P.,
Hoaglin,
Research
in
D.,
El
Software
Lavazza,
L.
(2000).
Providing
Automated
Support
for
the
GQM
M.,
&
Garzas,
J.
(2007).
acquisition
Fdbricas
de
software;
"J C.o/iocida tambien por sus siglas en ingies VBSE (Value-Based Software Engineering).
experiencias,
MA 01731.
quality,
J.
A.,
volume
manager:
Richards
III:
Inform
P.
K.,
Preliminary
tecnico
&
Walters.,
handbook
on
RADC-TR-77-369,
G.
F.
software
vol.
Ill,
(1977).
Factors
quality
Hanscom
far
in
an
AFB,
NIST.
Infrastructure
(2002).
for
Planning
Software
Report
Testing-.
02-3.
The
National
Economic
Institute
of
Impacts
Standards
of
&
Inadequate
Technology.
estimacion
M.,
del
Garcia,
software:
F.,
Garzas,
tecnicas
St
J.,
y
M.
para
(Eds.).
mejorar
Genera,
metodos
RA-MA
RA-M A
(2008).
la
Medicion
calidad
Capitulo 19
DESARROLLO Y MANTENLMIENTO DE
SISTEMASINFORMATICOS
Daniel Mellado
Mario Piattini
19.1 INTRODUCCION
La
intemo
necesidad
es
aceptada
consecution
de
encargada
de
veriflcar
de
objetivos
comprobar
su
que
una
ampliamente
correcta
organization
como
marcados.
la
La
existencia
dcflnicidn
cuente
garantia
de
fiincion
de
estos
aplicacidn,
con
una
procedimiento
gestidn
eficaz
auditora
es
procedimientos
determinando
de
control
orientada
precisamente
de
control
las
deficiencias
el
departamento
la
la
de
que
las
SI
delimitar
de
es
fases
hasta
el
entendera
las
areas
de
desarrollo
la
que
que
ambito
que
que
tradicionalmente
o
desarrollo
se
deben
seguir
este
es
constmido,
de
estos
este
tema
incluyen
desde
aparecc
aparece
y
auditoria
del
el
ciclo
en
mantenimiento.
implantado
sobre
todo
que
de
la
entra
Esta
necesidad
en
del
de
de
abarca
disponer
mantenimiento.
desarrollo
vida
fiincion
de
Para
mantenimiento,
software
excepto
se
la
El
desatTolIo
mantenimiento
de
sistema.s
es
un
proceso
ser controlado adecuadamente. Por este motivo, el auditor informatico deberia ser
costoso
que
debe
RA- MA
RA-MA
RA-MA
RA-MA
OKA - MA
area, as{ como el personal adscrito y el puesto que ocupa cada persona. Asi mismo
dicha organizacion del area deben corresponderse con las necesidades y objetivos
del negocio en cada momento. Ademas, debe exislir un procedimiento para la
actualizacion del organigrama y para la promocion de personal. Se debe comprobar
que:
Existe un procedimiento de revision que se aplica periodicarnente para
comprobar que la organizacion del area se adapta a las necesidades y
objetivos del negocio en cada momento y al dinamismo de las TIC.
Existe un organigrama con la estructura de organizacion del drea. Para
cada puesto deben describirse los roles y responsabilidades, es decir,
las funciones a desempenar y los requisitos minimos de formacion y
experiencia, as! como la dependencia jerarquica del mismo.
RA-MA
comprobar que:
Existe un plan de gestion de recursos humanos TIC que recoge los
roles y perfiles necesarios en el area para cumplir sus objetivos y que
es revisado al menos anualmente.
RA-MA
RA-MA
hacer
RA-MA
RA-MA
RA - MA
<
RA - MA
C RA-MA
de
!QS
Los estandares y practicas son conocidos por las personas que deben
usarlos y se respetan. Cuando se produce una modification, esta se
difunde dentro del area.
RA-MA
RA-MA
Como se puede observar los controles de auditoria han sido agrupados por
cada una de las fases del ciclo de vida del software identificadas como procesos en
Metrica version 3, as! mismo se especifican uno o mas objetivos de control de
detalle o tambien denominadas practicas de control, que contribuyen a lograr el
cumplimiento ce dicho objetivo de control de auditoria ce alto nivel.
Pl-Cl: debe existir una orden de aprobacion del proyecto que defina
ciaramente los objetivos, restricciones y las unidades afectadas. Se debe comprobar
que:
'y
B
RA - MA
C RA-MA
RA-MA
La
documentacLon
establecidos en el area.
cumple
los
estandares
procedimientos
y esta catalogada
RA-MA
RA- MA
RA- MA
RA-MA
RA-MA
SI
595
S RA-MA
.RA-MA
las
RA-MA
de
pruebas.
Se
que
se
desarrolien
deben
RA- MA
ha realizado la codificacion
y prueba de los
procedimientos de migracion y carga inicial de datos.
Sc
componentes
RA-MA
RA-MA
RA-MA
necesarios
para
cada
usuario
ORA-MA
Se revisa el plan
adecuadamente.
de
implantacion
original
se
documenta
Especifica los recursos necesarios para cada actividad, asf como que el
orden marcado para las actividades es compatible.
Se ha tenido en cuenta la information historica sobre estimaciones.
IA1-C2: se deben realizar las pruebas de implantation y aceptacion del
sistema que se especificaron en fases anteriores. Se debe comprobar que:
RA-MA
RA-MA
606 AUOfTORtA
DE
TECNQLQGI AS V S I S T EM A S D E I N FO R M A C I O N
CRA-MA
CAPiTULO 1 9 . D ES A R R Q L L O Y M A N T EN I M I EN T O DE S I 6 0 7
RA-MA
mediahte
el
analisis
de
dicho
estudio,
la
persona
RA-MA
RA-MA
19.5 CONCLUSIONES
A pesar de ser una de las actividades principals de la informatica, el
desarrollo de software no ha conseguido alcanzar de forma general unos
parametros de calidad , aceptables, asimismo el mantenimiento de ios SI
desarrollados es una de las partidas presupuestarias mas importantes dentro de los
departamentos de informatica. En ambos casos, es en las primeras etapas del
desarrollo del software, y especialmente durante las especificaciones del software y
en la Hamada Ingenieria de Requisitos, donde se plasman los primeros pasos de los
aspectos que van a determinar el esfuerzo y la calidad del software y por tanto su
futura mantenibiiidad, lo cual redundard en la produciividad de la organizacion.
La organizacion y gestidn del drea de desarrollo y mantenimiento se
corivierte en uno de los elementos criticos a tener en cuenta por ei auditor.
En este capitulo se han expuesto distintos objetivos de control a modo de
ejemplo, que puedan servir de ayuda al auditor, que los apiicara segun los
considere adecuados en fimcidn del proyecto y de las peculiaridades de cada
organizaci6n.
(COBIT 4.1).
for
Information
and
related
Technology
19.7 BIBLIOGRAFIA
Il'GI (2G07a). Control Objectives
IT Governance Institute, EEUU.
for
Information
and
related
Technology
(COBIT 4.1).
EEUU.
Planificacion,
version 3).
1/9/2007.
Desarrollo
Disponibie
Mantenimiento
en:
de
sistemas
de
Metodologia
de
(Metrica
Accedido el
informacion
http://www.csi.map.es/csi/metrica3/.
RAMA
RA- MA
9.
(,C6mo
Ilevaria
cabo
la
revision
de
las
pruebas
de
implantacion
aceptacion de un sistema?