Se describe como una fase de observación, en la cual se
brinda un tiempo estimado para recolectar una serie de datos, al mismo tiempo que
se observan situaciones y se detectan deficiencias.
En este periodo se efectúan una serie de entrevistas las
cuales tienen como finalidad exponer las deficiencias que en un principió no se
hayan detectado
2.1 Planeación de la auditoría informática
Se realiza desde el punto de vista de tres objetivos.
- Evaluar sistemas y procedimientos.
- Evaluar equipo de cómputo.
- Evaluación administrativa del área de procesos electrónicos.
Para realizar una adecuada planeación se tienen que seguir
ciertos pasos, con los cuales se logra detectar el tamaño y características del
área dentro del organismo a auditar, sus sistemas, organización y equipo.
Con ello podremos determinar el número y características del
personal de auditoría, las herramientas necesarias, el tiempo y costo, así como
definir los alcances de la auditoría para, en caso necesario, poder elaborar el
contrato de servicios.
De igual manera en la planeación se involucran todas las
normas y estándares que son aplicables a los proyectos de TI, como tal la auditoría
se conforma de varias fases, en las cuales se manejan distintas metodologías,
que van desde tener los conocimientos básicos de los sistemas involucrados,
pasado por temas como las transacciones, en caso de que el software realice dichas
funciones.
Igualmente se analizan los posibles riesgos y se identifican
las posibles amenazas, se analizan y evalúan los controles bajo los que se opera y seguidamente
se determina el estado actual de los procesos auditados, detallando las
recomendaciones en el informe que se ha realizado de la auditoria para posteriormente
dar seguimiento a dichas recomendaciones.
2.2 Evaluación de la seguridad
Dentro de la auditoría informática los estudios que se
realizan comprenden el análisis y la gestión de sistemas para identificar y corregir
las vulnerabilidades que se presenten, realizando una revisión exhaustiva en la
estación de trabajo, redes o servidores.
En esta parte se presentan los modelos de seguridad, que son
presentaciones formales de las políticas de seguridad. En dicho modelo se debe identificar
el conjunto de reglas y prácticas que regulan como es que se opera un sistema,
se protege y se distribuye la información.
Las áreas que cubre la auditoría en seguridad van desde la
legalidad, que se refiere a las licencias de software, pasando por las amenazas
físicas que se presenten contra el equipo de cómputo, dentro de las cuales se
tiene que contemplar el control de acceso para que personal solo pueda acceder
a recursos autorizados. También se ponen en práctica las políticas que respaldan
la información que se genera, actuando bajo leyes y reglamentos establecidos.
A grandes rasgos lo que logra esta evaluación es detectar la
seguridad lógica y física, lo cual involucra la inspección de la estructura
bajo la que se opera, nos muestra un poco de seguridad personal y planes de contingencia los cuales deben ser
ejecutados antes y después de que suceda un desastre.
2.3 Selección de proveedores
Es un término que se refiere a la selección de auditores en
donde se tiene que cumplir con un alto perfil para poder pertenecer a este puesto,
ya que al momento de desempeñar su trabajo lograra detectar un número considerable
de incidencias o fallos los cuales siempre son buenos que se localicen dentro
de una auditoría interna. Ya que de ser encontrados en la auditoría externa la
empresa podría verse afectada y en su caso, perder reputación, por no seguir
los estándares o metodologías establecidas.
2.4 Licenciamiento se software
Se refiere al contrato o autorización en cual los autores
son quienes ostentan el derecho intelectual del uso de los programas.
Los autores otorgan distintos tipos de licencias,
autorizando su uso, modificación o distribución. A continuación se mencionan
algunos tipos de las licencias de software más comunes.
Freeware: Programas gratuitos, totalmente funcionales, sin limitación
en el tiempo de uso. No pueden ser utilizados en el ámbito comercial, recomendados
para uso personal.
Shareware y Trial: Su distribución es a través de diferentes
medios para que el usuario pueda probar el producto, su uso es limitado al
igual que el tiempo de prueba.
Evaluación y demo: Misma funcionalidad que el shareware pero
con funcionalidad mucho más imitada.
Adware: Se distribuyen por diferentes medios como shareware
pero estos contienen un alto contenido de publicidad, al momento de adquirir la
versión registrada esta se elimina o bloquea desde el panel de instalación.
Software libre: Son los casos en el que el autor da libertad
a los usuarios de usar, modificar y
copiar el programa, para después ser re distribuido nuevamente. No todos
los programas son gratis, algunas licencias son de pago suelen ser económicas.
2.5 Evaluación de Hardware y Software
En este caso se evalúan las distintas herramientas
necesarias para el desarrollo de aplicaciones, siendo la selección de parámetros
o de indicadores el paso en el que se evalúan las herramientas útiles para
llevar a cabo un objetivo. Calificando los equipos después de haber sido
utilizados y asignando pesos a los parámetros o calificando los equipos y
herramientas utilizadas.
Seleccionando o filtrando los equipos o herramientas a
evaluar, tomando en cuenta la importancia que estos representan para la empresa
y por el flujo o contacto de usuarios que generan. Siendo el análisis y la evaluación
de los equipos o herramientas el último de los pasos.
2.6 Evaluación de la red
En este paso se mide el impacto de las políticas en cuestión
de la red, comprobando la adecuación del nivel de cuidados a nivel de riesgo.
Evaluando el funcionamiento de la red cumpliendo las recomendaciones inscritas
en las políticas, midiendo la eficacia de dicha política en todas las redes que
se tengan según las topologías.
La evaluación se basa en los elementos siguientes:
- Puesta en común de los datos anónimos en cada estructura de la red de manera contínua.
- Evaluación interna de la red partiendo de la puesta en común de los datos anónimos de la red (presentación de la actividad anual de la red).
No hay comentarios:
Publicar un comentario