Definición de auditoria: Este tema pide que se defina el concepto de auditoría informática, yo entiendo como auditoria informatica el revisar todos los procesos de informatica de una empresa, asegurandose que estos cumplan con normas de calidad, que cumplan tambien con el objetivo general de la empresa. Aparte de lo anteriormente mencionado en una auditoria se busca encontrar no conformidades y áreas de oportunidad con el objetivo de mejorar los procesos del área auditada.
2.1.1. NORMAS Y ESTÁNDARES
Existen entidades que regulan las normas de calidad como las siguientes:
- SEI (Software Engineering Institute - Instituto de Ingeniería de Software)
- CMMI (Modelo de Capacidad de Madurez de Integración)
- IEEE (Institute of Electrical and Electronics Engineers - Instituto de Ingenieros Eléctricos y Electrónicos)
- 610.12-1990 que es el glosario estándar de terminología de ingeniería de software
- 730-1998 que es el estándar para planes de seguridad de calidad de software
- 829-1998 estándares para documentar la evaluación de software
- 830-1998 practicas recomendadas para especificación de requerimientos de software
- 1012-1998 estándar para la verificación y validación de software
- 1016-1998 practicas recomendadas para la descripción de diseño de software
- 1062a-1998 practicas recomendadas para la adquisición de software y muchas otras más.
- ISO (International Organization for Standarization - Organización Internacional de Estandarización)
- ISO 9001, Modelo para la garantía de la calidad en diseño/desarrollo, producción, instalación y servicio.
- ISO 9002, Modelado para garantizar la calidad en producción y servicios.
- ISO 9003, Modelos para garantizar la calidad en inspección final y pruebas.
- ISO 9004, Elementos y gestión del sistema de calidad, Directrices para la mejora del rendimiento.
- ISO 9011, Directrices para la auditoria de los sistemas de gestión de la calidad y/o ambiental.
- ISO 9126, Evalúa la calidad de los productos de software. (1992).
- SPICE (Software Process Improvement and Capability dEtermination – Mejoramiento de procesos de Software y determinación de capacidad).
- ISO/IEC
15504 es un modelo de madurez de procesos internacional que proporciona
un marco de trabajo para la evaluación de procesos de software.
2.1.2 FASES DE LA AUDITORIA INFORMATICA
Planeación
PREPARACIÓN Investigación
Lista de chequeo
Reunión apertura Entrevista
EJECUCIÓN Recolección pruebas Análisis Documentos/Registros
Reunión cierre Observación de actividades en áreas
Hallazgos de la auditoria de interés
Solicitud de Acciones Correctivas
INFORME Informe Final
Seguimiento acciones correctivas
2.1.3. ELEMENTOS DE LA PLANEACIÓN DE LA AUTORIA INFORMÁTICA
Algunos Elementos de la planeación de la Auditoria Informática los menciono a continuación:
— Objetivo y alcance de la auditoria.
— Personas (o funciones) a ser auditadas.
— Elementos del sistema de calidad aplicables.
— Documentos de referencia aplicables.
— Miembros del equipo auditor.
— Idioma (si es aplicable).
— Lugar y fecha de la auditoria.
— Tiempo de reunión de apertura y cierre
— Requisitos de confidencialidad.
— Distribución del informe y fecha esperada de publicación.
2.1.4 LISTAS DE VERIFICACIÓN
Documento
con los aspectos a ser auditados y que permite ir registrando durante la ejecución de la auditoría, las diversas observaciones y hallazgos encontrados.
PUNTOS QUE DEBEN SER TOMADOS EN CUENTA EN LA LISTA DE VERIFICACIÓN:
· Evaluación del conocimiento del auditado
· Disponibilidad del procedimiento
· Verificación del cumplimento de la norma
· Observar auditorias anteriores
2.2 Evaluación de la seguridad
Una
auditoria de seguridad informática es el estudio que comprende el análisis y gestión
de sistemas para identificar y posteriormente corregir las diversas
vulnerabilidades que pudieran presentarse en una revisión exhaustiva de
las estaciones de trabajo, redes de comunicaciones o servidores.
2.3 Selección de proveedores
La selección de proveedores se refiere a la selección de auditores en este caso.
Algunas recomendaciones que hay que observar son:
- — Independencia de los auditores.
- Cuando no exista personal competente Contratar las auditorias, a manera de outsourcing.
- — Formación de suficiente número de auditores de calidad.
2.4 Licenciamiento de Software
La
licencia de software es una especie de contrato, en donde se
especifican todas las normas y cláusulas que rigen el uso de un
determinado programa, principalmente se estipulan los alcances de uso,
instalación, reproducción y copia de estos productos.
Las licencias de uso de software generalmente caen en alguno de estos tipos:
- Licencia propietaria. Uso en una computadora por el pago de un precio.
- Shareware. Uso limitado en tiempo o capacidades, después pagar un precio.
- Freeware. Usar y copiar ilimitado, precio es cero.
- Software libre. Usar, copiar, estudiar, modificar, redistribuir. Código fuente incluído.
2.5 Evaluación de Hardware y Software
El objetivo de esto es determinar si el software se encuentra en condiciones de ser usado legalmente con las últimas actualizaciones más recientes, ademas de evaluar si el hardware es el adecuado para dicho software.
2.6 Evaluación de Red
La auditoria a la red evalua dos aspectos, la red fisica, donde se toma en cuenta el funcionamiento del hardware de red como routers y switches, el tipo de cable utilizado, que cumplan con normas de cableado estructurado como la ansi eia/tia 568b por poner un ejemplo, en cuanto a la red logica se toman en cuenta aspectos como la banda ancha, la topología de red, el esquema de direccionamiento, listas de control de acceso, configuraciones en general, etc.
No hay comentarios:
Publicar un comentario