Professional Documents
Culture Documents
Ingeniera de Sistemas
ESTNDARES GENERALES
1
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
ESTNDARES ESPECIFICOS
1. ISO 27001:
Esta norma contiene los requisitos del sistema de gestin de seguridad de la
informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual
se certifican por auditores externos los SGSI de las organizaciones. Enumera en
forma de resumen los objetivos de control y controles que desarrolla la ISO 27002.
Esta norma internacional (27001) especifica los requisitos para establecer,
implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI
documentado dentro del contexto global de los riesgos de negocio de la
organizacin. Especifica los requisitos para la implantacin de los controles de
seguridad hechos a medida de las necesidades de organizaciones individuales o
partes de las mismas
2
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
3. ISO 12207:
Este estndar "establece un marco de referencia comn para los procesos del ciclo
de vida de software, con una terminologa bien definida, que puede ser referenciada
por la industria del software Tiene como objetivo principal proporcionar una
estructura comn para que compradores, proveedores, desarrolladores, personal de
mantenimiento, operadores, gestores y tcnicos involucrados en el desarrollo de
software usen un lenguaje comn. Contiene procesos, actividades y tareas para
aplicar durante la adquisicin de un sistema que contiene software, un producto
software puro o un servicio software, y durante el suministro, desarrollo, operacin y
mantenimiento de productos software.
4. ISO/IEC 17799:
(denominada tambin como ISO 27002) es un estndar para la seguridad de la
informacin. Este estndar internacional de alto nivel para la administracin de la
seguridad de la informacin, fue publicado por la ISO en diciembre de 2000 con el
objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.
Se define como una gua en la implementacin del sistema de administracin de la
seguridad de la informacin, se orienta a preservar los siguientes principios de la
seguridad informtica:
Confidencialidad. Asegurar que nicamente personal autorizado tenga acceso a la
informacin.
Integridad. Garantizar que la informacin no ser alterada, eliminada o destruida por
entidades no autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la
informacin cuando la requieran.
****Es importante considerar la forma en que los estndares y las mejores prcticas
van evolucionando, adems de conocer qu tanto ha cambiado su uso por parte de
las organizaciones. Se ha visto que existen procesos de evolucin como a
continuacin se menciona: Evolucin en los estndares y marcos referenciales de la
madurez de procesos. Evolucin de estndares de administracin de proyectos y de
desarrollo de software comercial. Evolucin de estndares de software militar.
Las tendencias de estndares que van surgiendo, van paralelas con lo que ha
sucedido aceleradamente en el sector privado, esto es, dado que se han gestado
numerosos proyectos de sistemas de informacin que han fracasado, y la dura
realidad del incumplimiento de los mismos con las necesidades propias de los clientes
y del negocio en s, ha habido un incremento dramtico en el nmero de
organizaciones en el sector privado que estn persiguiendo agresivamente el uso de
estndares y mejores prcticas, como su estrategia primordial de supervivencia en el
mercado.
EVIDENCIA Es un requisito que las conclusiones del auditor estn basadas en evidencia
suficiente y competente.
Independencia de quien provee la evidencia
Calidad de quien provee la informacin o evidencia
Objetividad de la evidencia
Oportunidad de la evidencia
3
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
Muestreo
Enfoques generales para el muestreo en auditora:
o Muestreo estadstico
o Muestreo no estadstico
Mtodos de muestreo empleados por los auditores:
o Muestreo de atributos
o Muestreo de variables
El auditor de SI, debe calcular los resultados de las evidencias recogidas para cumplir con los
requerimientos de control y los objetivos establecidos.
Un control fuerte puede compensar un control dbil en otra rea.
Los controles solapados son controles fuertes.
Un auditor de SI debe siempre revisar, en busca de controles de compensacin antes de
reportar una debilidad de control.
TCNICAS DE PRESENTACIN
Resumen ejecutivo
Presentacin visual
Presentacin oral
4
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
Documentacin de la Auditora
5
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
HUMANOS
Auditor
Auditores auxiliares
Programador analista
Especialista en redes informticas
MATERIALES
Folders
Papel Bond
Combustibles
Lapiceros
Computadoras
TIEMPO
Estimar el tiempo segn la naturaleza y de acorde a lo que se va a auditar.
Ejm: Se espera realizar la auditora al sistema conformado de 40 computadoras conectadas en
red en un tiempo probable de 10 das.
Evaluacin
Consiste en analizar mediante pruebas la calidad y cumplimiento de funciones, actividades y
procedimientos que se realizan en una organizacin o rea.
Inspeccin
La inspeccin permite evaluar la eficiencia y eficacia del sistema, en cuanto a operacin y
procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo.
Confirmacin
El aspecto ms importante en la auditoria es la confirmacin de los hechos y la certificacin de
los datos que se obtienen en la revisin, ya que el resultado final de la auditoria es la emisin de
un dictamen donde el auditor expone sus opiniones, este informe es aceptado siempre y cuando
los datos sean veraces y confiables
Comparacin: es la comparacin de los datos obtenidos en un rea o en toda la
organizacin y cotejando esa informacin con los datos similares o iguales de otra
organizacin con caractersticas semejantes.
Revisin Documental para recopilar informacin relacionada con la actividad,
operacin o funcin que se realiza en el rea informtica, as como tambin se puede
observar anticipadamente su cumplimiento
Matriz DOFA
Este es un mtodo de anlisis y diagnstico usado para la evaluacin de un centro de cmputo,
que permite la evaluacin del desempeo de los sistemas software, aqu se evalan los factores
internos y externos, para que el auditor puede evaluar el cumplimiento de la misin y objetivo
general del rea de informtica de la organizacin.
RECOLECCION DE INFORMACION
1. Cuestionarios
2. Entrevistas
3. Checklist
4. Trazas y huellas
6
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
CHECKLISTS: El auditor conversar y har preguntas "normales", que en realidad servirn para
la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklist. El conjunto de estas
preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser
contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma.
TRAZAS Y/O HUELLAS: Estas Trazas se utilizan para comprobar la ejecucin de las
validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el
Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de
antemano las fechas y horas ms adecuadas para su empleo. La auditora financiero-contable
convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo
correcto de los clculos de nminas, primas, etc.
7
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
5. ENTORNO DE HARDWARE: Donde se vigilar entre otras cosas los locales, el software
de acceso, alarmas, sistemas anti-incendios, proteccin de los sistemas, fiabilidad del
Hardware, etc.
Objetivo: Determinacin de la performance del hardware. Revisar la utilizacin del
hardware. Examinar los estudios de adquisicin del hardware. Comprobar condiciones
ambientales y de seguridad del hardware. Verificar los controles de acceso y seguridad
fsica.
6. ENTORNO DEL SOFTWARE. En esta rea la Auditoria Informtica analizar los sistemas
de prevencin y deteccin de fraudes, los exmenes a aplicaciones concretas, los
controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y
seguridad del software.
Objetivos: Revisar la seguridad lgica de los datos y programas. Revisar la seguridad
lgica de las libreras de los programadores. Examinar los controles sobre los datos
8
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
El informe de auditora
1. Caratula, conteniendo la identificacin del informe, periodo, y empresaevaluada motivo de
la evaluacin.2. Cabecera con el logo de la empresa auditora (parte superior izquierda), pie
depgina con la fecha de presentacin del informe (parte inferior derecha)3. Identificacin del
informe: un nombre que lo identifique de otros informes.4. Identificacin del
cliente: destinatarios y personas que solicitan la auditora.5. Identificacin de la entidad
auditada: organizacin/entidad/rea objeto de laauditoria de sistemas.6. Objetivos de la
auditoria de sistemas: identificar el propsito de la auditoria.Para el caso, se deber indicar
todos los objetivos de acuerdo a la metodologadesarrollada en clase, teniendo en cuenta que
no todos los objetivos se handesarrollado.7. Normativa aplicada: identificar las normas legales
y profesionales. Ejemplo:Normas profesionales Normas legales COBIT 4.1, etc.8. Alcance
de la auditoria: Naturaleza y extensin del trabajo, a saber:a. rea de la organizacin:
Ejemplo: Departamento de TI - UNTb. Periodo de la auditoria: Ejemplo: 01/10/08 al
8/10/08c. Sistemas/reas a auditar: Ejemplo: Auditoria integrald. Herramientas utilizadas:
Describir las herramientas utilizadas en elproceso de auditoriae. Limitaciones al alcance:
Ejemplo: No se audita el contenido de lastablas, sino su diseo y estructura en cuanto a la
normalizacin dedatos segn el modelo de Boyce Codd.f. Restricciones del objeto
auditado: Ejemplo: No existen. Se provee todoel sistema en su versin de fuentes, ejecutables,
ayudas y accesorios.-9. Informe corto Resultados Dictamen Opiniones Prrafos de
salvedades ynfasis de ser necesarios. Se deben colocar todas las observacionesagrupadas
por objetivos principales y sus respectivas recomendacionesresumidos, adems por cada
objetivo se debe emitir una opinin.Teniendo en cuenta los resultados producto del desarrollo
de los objetivos, losauditores debern emitir una:a. Opinin favorable: opinin calificada sin
salvedades, limpia, clara yprecisa. No tiene limitaciones de alcance y sin incertidumbre.
Estnacordes con la normativa legal y profesional.- Deben ser expresadas enlenguaje
coloquial, sin ambigedades y medible en todos sus trminos.Ejemplos: Las tablas del SGBD
estn normalizadas y respetan elmodelo de Boyce Codd. // El cdigo fuente del sistema de
cuentascorrientes de clientes, respeta los principios de automatismo ydeterminismo.b. Opinin
con salvedades: opiniones favorables, pero que se afectan porlas siguientes
circunstancias:i. Limitaciones al alcance del trabajo realizado, restricciones porparte del rea
auditada, por ejemplo.ii. Incertidumbre que no permite una previsin
razonable.iii. Irregularidades significativasiv. Incumplimiento de la normativa legal
y profesional.Ejemplos: Las tablas del SGBD estn normalizadas y respetan elmodelo de 3era
FN. No obstante, en el manual de diseo de bases dedatos del sistema, se exige el modelado
de los datos segn el modelode 5ta forma normal de Boyce Codd. // El cdigo fuente del
sistema decuentas corrientes de clientes respeta el principio de automatismo, masno asi el
de determinismo. En un 20% el sistema no se comportodeterminsticamente ante un mismo
lote de prueba.-
COBIT
DOMINIOS PROCESOS
po1 definir un plan estratgico de .
PLANEACIN Y po2 definir la arquitectura de informacin.
ORGANIZACIN (PO) po3 determinar la direccin tecnolgica.
9
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
10