domingo, 29 de noviembre de 2015

Planeación de la auditoria informática.

Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:


  •  Evaluación de los sistemas y procedimientos.
  •  Evaluación de los equipos de cómputo.
Lista de verificación.

La Lista de Verificación, se usa para determinar con qué frecuencia ocurre un evento a lo largo de un período de tiempo determinado. En la Lista de Verificación se pueden recoger informaciones de eventos que están sucediendo o aquellos que ya sucedieron. A pesar de que la finalidad de la Lista de verificación es el registro de datos y no su análisis, frecuentemente indica cuál es el problema que muestra esa ocurrencia.
  • La lista de verificación permite observar, entre otros, los siguientes aspectos:
  • Número de veces que sucede una cosa.
  • Tiempo necesario para que alguna cosa suceda.
  • Costo de una determinada operación, a lo largo de un cierto período de tiempo.
  • Impacto de una actividad a lo largo de un período de tiempo.
Ejemplo: Checklist.
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de sus Cuestionarios, de sus Checklists.



Evaluación de la seguridad.
Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa.

  • Definir elementos administrativos
  • Definir Políticas de Seguridad: A nivel departamental, a nivel institucional 
  • Organizar y dividir las responsabilidades 
  • Contemplar la Seguridad Física contra catástrofes (incendios, terremotos, inundaciones, etc.) 
  • Definir prácticas de Seguridad para el personal: Plan de emergencia, Plan de evacuación, 
  • Uso de recursos de emergencia (extinguidores, etc.) 
  • Definir el tipo de Pólizas de Seguros 
  • Definir elementos técnicos de procedimientos: Técnicas de aseguramiento del sistema
  • Codificar la información: Criptografía 
  • Contraseñas difíciles de averiguar (letras mayúsculas, minúsculas, números y símbolos ) 
Plan de contingencia.
Realizar un análisis de riesgos de los sistemas críticos.

  • Establecer un periodo crítico de recuperación.
  • Realizar un análisis de las aplicaciones críticas estableciendo periodos de proceso.
  • Establecer prioridades de proceso por días del año de las aplicaciones y orden de los procesos.
  • Establecer objetivos de recuperación que determine el periodo de tiempo entre la 
  • declaración del desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas.
  • Designar entre los distintos tipos existentes en un centro alternativo de proceso de datos.
  • Asegurar la capacidad de las comunicaciones.
  • Asegurar los servicios de bookup.

Técnica.

  • Observación de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos.
  • Revisión analítica de: documentación, políticas, normas, procedimientos de seguridad física y contratos de seguros.
  • Entrevistas con directivos y personal.
  • Consultas a técnicos y peritos.
Criterios económicos

La selección se realiza teniendo en cuenta el precio de los artículos, los descuentos comerciales, el pago de los gastos ocasionados (transporte, embalajes, carga y descarga, etc.), los descuentos por volumen de compra (rappels) y los plazos de pago.
Se elegirá el proveedor cuyo precio final sea más bajo. Lógicamente, cuando dos productos reúnan las mismas condiciones económicas, se elegirá el de mayor calidad.

Criterios de calidad

Cuando a la hora de la selección el proveedor le conceda una gran importancia a la calidad de los artículos, éstos han de ser sometidos a un meticuloso estudio comparativo de sus características técnicas, analizar muestras, realizar pruebas, etcétera. Este criterio se utiliza cuando lo que prima en la empresa es conseguir un producto de una determinada calidad, que no tiene que ser necesariamente la mejor, sino la que interese al comprador en ese momento.



Licenciado de software.

Es un contrato entre el licenciante (autor/titular de los derechos de explotación/distribuidor)licenciatario del programa informático (usuario consumidor /usuario profesional o empresa), para utilizar el software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas.
Las licencias de software pueden establecer entre otras cosas: la cesión de determinados derechos del propietario al usuario final sobre una o varias copias del programa informático, los límites en la responsabilidad por fallos, el plazo de cesión de los derechos, el ámbito geográfico de validez del contrato e incluso pueden establecer determinados compromisos del usuario final hacia el propietario, tales como la no cesión del programa a terceros o la no reinstalación del programa en equipos distintos al que se instaló originalmente.

Licenciante.

El licenciante o proveedor-licenciante es aquel que provee el software más la licencia al licenciatario, la cual, le permitirá a este último tener ciertos derechos sobre el software. El rol de licenciante lo puede ejercer cualquiera de los siguientes actores:

  • Autor: El desarrollador o conjunto de desarrolladores que crea el software, son por antonomasía quienes en una primera instancia poseen el rol de licenciante, al ser los titulares originales del software.
  • Titular de los derechos de explotación: Es la persona natural o jurídica que recibe una cesión de los derechos de explotación de forma exclusiva del software desde un tercero, transformándolo en titular derivado y licenciante del software.
  • Distribuidor: Es la persona jurídica a la cual se le otorga el derecho de distribución y la posibilidad de generar sublicencias del software mediante la firma de un contrato de distribución con el titular de los derechos de explotación.

Evaluación de sistemas.

La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).

Análisis.

En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el análisis. Se deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales: 
La planeación estratégica: agrupadas las aplicaciones en conjuntos relacionados entre sí y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificación en el momento de la planeación. 
Los requerimientos de los usuarios.

El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron.
La situación de una aplicación en dicho inventario puede ser alguna de las siguientes: 

  • Planeada para ser desarrollada en el futuro.
  • En desarrollo.
  • En proceso, pero con modificaciones en desarrollo.
  • En proceso con problemas detectados.
  • En proceso sin problemas.
  • En proceso esporádicamente.

BASES DE DATOS.

Fases:

1. Análisis de requisitos. 
2. Diseño conceptual. 
3. Elección del sistema gestor de bases de datos. 
4. Diseño lógico. 
5. Diseño físico. 
6. Instalación y mantenimiento. 

La seguridad en Bases de Datos Está compuesta de 

  • Control de acceso 
  • Permisos y Privilegios 
  • Definición de roles y perfiles 
  • Control de Acceso a Bases de Datos: 
  • Acceso al Sistema Operativo 
  • Acceso a la Base de Datos 
  • Acceso a los objetos de la base de datos

Evaluación de red.

Propósito del Estándar EIA/TIA 568-A: 

  • Establecer un cableado estándar genérico de telecomunicaciones que respaldará un ambiente multiproveedor. 
  • Permitir la planeación e instalación de un sistema de cableado estructurado para construcciones comerciales. 
  • Establecer un criterio de ejecución y técnico para varias configuraciones de sistemas de cableado 

El estándar especifica: 

  • Requerimientos mínimos para cableado de telecomunicaciones dentro de un ambiente de oficina 
  • Topología y distancias recomendadas 
  • Parámetros de medios de comunicación que determinan el rendimiento 
  • La vida productiva de los sistemas de telecomunicaciones por cable por más de 10 años (15 actualmente)
Cables de fibra 

  • se reconoce la fibra de 50 mm 
  • se reconocen tanto la fibra multimodo como la modo-simple para el área de trabajo 

Conectores de fibra 

  • el conector 568SC dúplex permanece como estándar en el área  de  trabajo 
  • otros conectores pueden se usados en otro sitios 
  • Deben con Fiber Optic Connector Intermateability Standard  (FOCIS)

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)