miércoles, 4 de noviembre de 2015

2 Desarrollo de la auditoría



Se describe como una fase de observación, en la cual se brinda un tiempo estimado para recolectar una serie de datos, al mismo tiempo que se observan situaciones y se detectan deficiencias.
En este periodo se efectúan una serie de entrevistas las cuales tienen como finalidad exponer las deficiencias que en un principió no se hayan detectado

2.1 Planeación de la auditoría informática

Se realiza desde el punto de vista de tres objetivos.

  • Evaluar sistemas y procedimientos.
  • Evaluar equipo de cómputo.
  • Evaluación administrativa del área de procesos electrónicos.

Para realizar una adecuada planeación se tienen que seguir ciertos pasos, con los cuales se logra detectar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipo.
Con ello podremos determinar el número y características del personal de auditoría, las herramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoría para, en caso necesario, poder elaborar el contrato de servicios.
De igual manera en la planeación se involucran todas las normas y estándares que son aplicables a los proyectos de TI, como tal la auditoría se conforma de varias fases, en las cuales se manejan distintas metodologías, que van desde tener los conocimientos básicos de los sistemas involucrados, pasado por temas como las transacciones, en caso de que el software realice dichas funciones.
Igualmente se analizan los posibles riesgos y se identifican las posibles amenazas, se analizan y evalúan  los controles bajo los que se opera y seguidamente se determina el estado actual de los procesos auditados, detallando las recomendaciones en el informe que se ha realizado de la auditoria para posteriormente dar seguimiento a dichas recomendaciones.

2.2 Evaluación de la seguridad

Dentro de la auditoría informática los estudios que se realizan comprenden el análisis y la gestión de sistemas para identificar y corregir las vulnerabilidades que se presenten, realizando una revisión exhaustiva en la estación de trabajo, redes o servidores.
En esta parte se presentan los modelos de seguridad, que son presentaciones formales de las políticas de seguridad. En dicho modelo se debe identificar el conjunto de reglas y prácticas que regulan como es que se opera un sistema, se protege y se distribuye la información.
Las áreas que cubre la auditoría en seguridad van desde la legalidad, que se refiere a las licencias de software, pasando por las amenazas físicas que se presenten contra el equipo de cómputo, dentro de las cuales se tiene que contemplar el control de acceso para que personal solo pueda acceder a recursos autorizados. También se ponen en práctica las políticas que respaldan la información que se genera, actuando bajo leyes y reglamentos establecidos.
A grandes rasgos lo que logra esta evaluación es detectar la seguridad lógica y física, lo cual involucra la inspección de la estructura bajo la que se opera, nos muestra un poco de seguridad personal  y planes de contingencia los cuales deben ser ejecutados antes y después de que suceda un desastre.

2.3 Selección de proveedores

Es un término que se refiere a la selección de auditores en donde se tiene que cumplir con un alto perfil para poder pertenecer a este puesto, ya que al momento de desempeñar su trabajo lograra detectar un número considerable de incidencias o fallos los cuales siempre son buenos que se localicen dentro de una auditoría interna. Ya que de ser encontrados en la auditoría externa la empresa podría verse afectada y en su caso, perder reputación, por no seguir los estándares o metodologías establecidas.

2.4 Licenciamiento se software

Se refiere al contrato o autorización en cual los autores son quienes ostentan el derecho intelectual del uso de los programas.
Los autores otorgan distintos tipos de licencias, autorizando su uso, modificación o distribución. A continuación se mencionan algunos tipos de las licencias de software más comunes.

Freeware: Programas gratuitos, totalmente funcionales, sin limitación en el tiempo de uso. No pueden ser utilizados en el ámbito comercial, recomendados para uso personal.
Shareware y Trial: Su distribución es a través de diferentes medios para que el usuario pueda probar el producto, su uso es limitado al igual que el tiempo de prueba.
Evaluación y demo: Misma funcionalidad que el shareware pero con funcionalidad mucho más imitada.
Adware: Se distribuyen por diferentes medios como shareware pero estos contienen un alto contenido de publicidad, al momento de adquirir la versión registrada esta se elimina o bloquea desde el panel de instalación.
Software libre: Son los casos en el que el autor da libertad a los usuarios de usar, modificar y  copiar el programa, para después ser re distribuido nuevamente. No todos los programas son gratis, algunas licencias son de pago suelen ser económicas.

2.5 Evaluación de Hardware y Software

En este caso se evalúan las distintas herramientas necesarias para el desarrollo de aplicaciones, siendo la selección de parámetros o de indicadores el paso en el que se evalúan las herramientas útiles para llevar a cabo un objetivo. Calificando los equipos después de haber sido utilizados y asignando pesos a los parámetros o calificando los equipos y herramientas utilizadas.
Seleccionando o filtrando los equipos o herramientas a evaluar, tomando en cuenta la importancia que estos representan para la empresa y por el flujo o contacto de usuarios que generan. Siendo el análisis y la evaluación de los equipos o herramientas el último de los pasos.

2.6 Evaluación de la red

En este paso se mide el impacto de las políticas en cuestión de la red, comprobando la adecuación del nivel de cuidados a nivel de riesgo. Evaluando el funcionamiento de la red cumpliendo las recomendaciones inscritas en las políticas, midiendo la eficacia de dicha política en todas las redes que se tengan según las topologías.

La evaluación se basa en los elementos siguientes:

  • Puesta en común de los datos anónimos en cada estructura de la red de manera contínua.
  • Evaluación interna de la red partiendo de la puesta en común de los datos anónimos de la red (presentación de la actividad anual de la red).

No hay comentarios:

Publicar un comentario