AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 15 y 16

UNIVERSIDAD AUTONOMA DE QUITO – UNAQ

1

AUDITORIA INFORMATICA

PROFESOR : Ing. Fernando Andrade

ALUMNO : Jesús Cisneros Valle

FECHA : Quito, 03 de Octubre del 2012

CURSO : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 15 y 16 DEL

LIBRO “AUDITORIA INFORMATICA” Un enfoque práctico.

CAPITULO 15

AUDITORIA DE TECNICA DE SISTEMAS

Cuestiones de Repaso:

1. Qué ámbito abarca actualmente la técnica de sistemas?

El ámbito de tarea de TS, obliga a acotar con claridad la materia para después

establecer las correspondientes actividades de control. Se puede determinar cómo

ámbito la infraestructura informática, es decir el conjunto de instalaciones, equipos de

proceso y el llamado software de base, desde los puntos antes citados.

Instalaciones: Este apartado incluye salas de proceso, con sus sistemas de seguridad y

control, así como elementos de conexión y cableado.

Equipos de proceso: Como las computadoras, los periféricos y los dispositivos de

conmutación y comunicaciones.

Software de base: son los sistemas operativos, compiladores, traductores e intérpretes

de comandos y programas junto con los gestores de datos.

Considerando infraestructura todo cuanto hemos detallado, es decir, todo lo necesario

para que las aplicaciones funcionen, esto sería en si el ámbito de la TS.

2. Defina nivel de servicio?

Se entiende por nivel de servicio una serie de parámetros cuya medición es capaz de

determinar objetivamente el mayor o menor grado de eficacia del servicio prestado. No

hay duda de que la obtención de dicho nivel se ve afectada por las incidencias de


2

cualquier tipo, que impactan el normal desenvolvimiento de la actividad de los Sistema

de Información.

El nivel de servicio obliga a determinar los puntos críticos que afectan la actividad de

SI y prever su fallo y planificar los controles y acciones correspondientes para

subsanarlo.

3. Qué procedimientos deberían existir para la instalación y puesta en servicio de un

equipo?

Comprendería las siguientes actividades:

• Planificación: procedimiento general del suministrador adaptado a la instalación

concreta.

• Documentación: Inventario de componentes del elemento y normas de

actualización.

• Parametrización: Parámetros del sistema en función del resto de elementos

planificados.

• Pruebas: Verificaciones a realizar y sus resultados.

4. Enumere los principales aspectos a contemplar en la resolución de incidencias?

Procedimientos para registrar, analizar, diagnosticar, calificar y seguir las incidencias

que se produzcan con relación al elemento en cuestión con el objetivo de su resolución.

1. Registrar 2. Analizar 3. Diagnosticar 4. Calificar 5. Resolución 6. Seguimiento

5. Con qué criterios auditaría un plan de infraestructura tecnológica?

1. Eficacia 2. Eficiencia 3. Confidencialidad 4. Integridad 5. Disponibilidad 6. Legalidad 7. fiabilidad

6. Como afecta la heterogeneidad de los entornos a la auditoría de sistemas?

En entornos heterogéneos se requiere conocimientos específicos de cada sistema

operativo, gestor de base de datos, herramientas de desarrollo, administración,

monitorización y seguridad.


3

La auditoría debe hacerse desde dos perspectivas diferentes y con equipos de personas

distintas:

• Equipo de organización con conocimientos generales de chequeo de aspectos operativos, como establecimiento y reparación de entornos y los procedimientos

inherentes a dicha separación y a las funciones generales como resolución de

incidencias, planes de contingencia, niveles de servicio o informes periódicos de

técnicas de sistemas sobre el desarrollo de la tarea.

• Equipos expertos en entornos específicos que sean capaces de analizar los parámetros claves del software de base en sus distintas concepciones: SO, gestores

de bases de datos y herramientas varias.

7. Porqué son peligrosas algunas utilidades que permiten acceso directo a los datos o

al núcleo del sistema operativo?

Un control especial deben aplicarse a las utilidades de uso restringido que permiten

accesos directos al núcleo del sistema operativo o a los datos. Se trata de elementos

sensibles cuyo uso debe estar especificado, toda vez que (en determinados casos) no

dejan pistas de las modificaciones realizadas. Pueden crear espacios de debilidad de

seguridades del SO y de los datos.

8. Cómo afecta el avance de las comunicaciones a la técnica de sistemas? Y a su

auditoría?

La liberación de las telecomunicaciones y el incremento de las redes y la mejora de la

calidad de los enlaces junto con el incremento de los costes de desarrollo y

mantenimiento de los sistemas. Las comunicaciones permitirán trabajar desde

cualquier punto a través de redes globales, sea en el trabajo, oficinas, la

comunicaciones permite enlazarse desde cualquier punto con las posibles

consecuencias de afectación de la seguridad. Esto hará más difícil la auditorias por lo

que se deberá implementar pista de auditoria.

9. Analice el impacto de la replicación de datos en un entorno distribuido?

La complejidad de los sistemas distribuidos no compensa su aparente eficiencia. Por

ejemplo para conseguir consistencia en la información de los diferentes nodos se ha

tenido que normalizar el comit de doble fase. Es decir basta un enlace de

comunicaciones fiable y permanente para garantizar que todos los nodos se actualizan

con la información. La comunicación debe ser fiable sin la cual no funcionaría

adecuadamente con una operatividad correcta.

El sistema distribuido puede en si tener ventajas de costes de comunicaciones siempre

que los accesos puedan ser locales y la diferencia compense las actualizaciones

distribuidas.

Pero si por alguna circunstancia se cayera el enlace en un sistema distribuido solo están

activos los accesos locales y hasta que no se restaure el enlace caído no funciona el


4

sistema para actualizaciones que deban replicarse. Para solventar estas deficiencias los

sistemas distribuidos han creado estrategias basadas en replicadores de transacciones y

permitiendo registros pendientes de actualizar que se ponen al día al levantarse la línea

de comunicación caída.

Lo que sucede es que para que el esquema de replicación funcione, obliga a mantener

la actualización del único nodo, lo que supone la única opción para mantener la

consistencia de los datos.

10. Establezca los principales criterios para evaluar herramientas de monitorización

de sistemas.

Cada fabricante dispone de ofertas complementarias en cuanto a herramientas para

administrar, controlar y monitorizar los sistemas, los especialistas tratan de normalizar

todos los aspectos relacionados con la seguridad, el control y la monitorización de los

sistemas que se convierten en las piezas básicas para la articulación de los

procedimientos de que hemos hablado.

Existen muchas herramientas para administrar la potencialidad de los sistemas de

información entre los criterios que debería tener esas herramientas pueden estar:

• Deben ser homogéneas para los distintos sistemas operativos

• Que permita obtener en tiempo real una revisión de la seguridad, integridad y mecanismos de control

• Monitorización de los sistemas, alertas de sistemas operativos, bases de datos y aplicaciones.

• Control de elementos remotos

• Ser seguros dando soporte a datos, software, mantenimiento de actividades ante contingencias y pérdida de beneficios

• Permita realizar pruebas de rendimiento estándar

• Evaluar la potencialidad de las máquinas y contrastar la validez de la instalación.

CAPITULO 16

AUDITORIA DE LA CALIDAD

Cuestiones de Repaso:

1. Elabore su propia definición de calidad?

La calidad en si es un producto, es la carta de presentación de lo que ofrecemos dentro

de un mundo globalizado, es lo que nos hace distinguir de los demás (la competencia),

la calidad es el objetivo último de la empresa, que deberá impulsar la productividad pero bajo normas estrictas de calidad que la hagan sobresalir dentro del mercado donde

se desenvuelva. Por la calidad paga el cliente y ésta debe satisfacer totalmente y


5

promover su consumo de manera consuetudinaria y ser ella misma la que posicione al

producto en la preferencia de los clientes.

2. Qué características de la calidad define la norma ISO 9126?

Un conjunto de atributos del producto software a través de los cuales la calidad es

descrita y evaluada. Posee 6 características:

Funcionalidad: Conjunto de atributos que se refieren a la existencia de un conjunto de

funciones y sus propiedades específicas,

Fiabilidad: Conjunto de atributos que se refiere a la capacidad del software de

mantener su nivel de rendimiento bajo unas condiciones específicas durante un periodo

definido,

Usabilidad: Conjunto de atributos que se refiere al esfuerzo necesario para usarlo y

sobre la valoración individual de tal uso por un conjunto de usuarios definidos o

implícitos,

Eficiencia: Conjunto de atributos que se refiera a las relaciones entre el nivel de

rendimiento de software y la cantidad de recursos utilizados bajo condiciones predefinidas,

Mantenibilidad: Conjunto de atributos que se refiere al esfuerzo necesario para hacer

modificaciones específicas,

Portabilidad: Conjunto de atributos que se refieren a la habilidad del software para ser

transferido desde un entorno a otro.

3. Objetivos de las auditorías de la calidad?

Mostrar la situación real para aportar confianza y destacar las áreas que pueden afectar

adversamente esa confianza.

4. Que prerrequisitos se exigen a los técnicos de desarrollo en un proceso de

revisión?

1. Objetivo de la auditoria, criterios existentes (Contratistas, requerimientos, planes, especificaciones, estándares) en relación con los elementos software y los procesos

que puedan ser evaluados.

2. El personal de auditoria es seleccionado para promover los objetivos del grupo. Son independientes de cualquier responsabilidad directa para los productos y los

procesos examinados y pueden provenir de una organización externa.

3. El personal de auditoria debe tener la suficiente autoridad que le permita una adecuada gestión con el fin de realizar la auditoria.

5. Resuma las principales fases del proceso de auditoría del software.

1. Objetivo.- Proveer la confirmación de la conformidad de los productos y los

procesos para certificar la adherencia con los estándares, líneas, guía,

especificaciones y procedimientos.

2. Resumen.- La auditoría es realizada de acuerdo con los planes y procedimientos

documentados. El plan de auditoria establece el procedimiento para dirigir la

auditoria y las acciones de seguimiento sobre las recomendaciones de la auditoria.


6

Al realizar la auditoria el personal de la auditoria evalúa los elementos de software,

los resultados de la auditoria son documentados y remitidos al director de la

organización auditada, la entidad iniciadora de la auditoria o cualquier esxterna

identificada en el plan de auditoria. Las recomendaciones son informadas e

incluidas en el plan de auditoria.

3. Responsabilidades especiales.- es responsabilidad del líder del equipo de auditoria

organizar y dirigir la auditoria y la coordinación de la preparación de los puntos del

informe de auditoría. El líder del equipo deberá asegurar que el equipo está

preparado para hacer la auditoria y que todo lo encontrado se verá reflejado en el

informe. La entidad iniciadora de la auditoria es responsable para autorizarla, la

dirección de la organización asume la responsabilidad de la auditoría y la

asignación de los recursos necesarios para llevarla a cabo. Aquellos cuyos

productos son auditados suministraran todos los materiales y recursos relevantes y

corregirán las deficiencias citadas por el equipo auditor.

4. Entrada.- Se requieren de las siguientes entradas para realizar la auditoria.

4.1. El propósito y alcance de la auditoria 4.2. Criterios objetivos de la auditoria (contratos, requerimientos, planes,

especificaciones, procedimientos, líneas guías y estándares)

4.3. Los elementos de software y los procesos a auditar y cualquier antecedente

4.4. Información complementaria respecto a la organización responsable de los

productos y procesos a auditar (organigrama de la organización)

5. Criterios de conocimiento.- La necesidad para que una auditoria se inicie debe ser

por uno de los siguientes procesos:

5.1. Se ha alcanzado un hito especial del proyecto. La auditoría es iniciada planes

previos (plan de desarrollo del software).

5.2. Partes externas (agencias reguladoras) demandando una auditoria en una fecha

específica o en un hito de proyecto, puede ser por un acto contractual

5.3. Un elemento de la organización local (director del proyecto, ingeniería de

sistemas, control interno) ha requerido la auditoria estableciendo una necesidad

clara y precisa.

5.4.Un hito espacial del proyecto, fecha de calendario u otro criterio alcanzado

dentro de la planificación de la organización de auditoria le corresponde la iniciación de la auditoria.

6. Procedimientos.-

6.1 Planificación: La organización de auditoría debe desarrollar y documentar un plan de auditoría para cada auditoria. Este plan debe apoyarse en el

alcance de la auditoria.

6.1.1 El proceso del proyecto a examinar y el tiempo de observación

del equipo de auditoria

6.1.2 Los requerimientos del software a examinar y su disponibilidad

6.1.3 Los informes serán identificados, si las recomendaciones son

incluidas o excluidas debe ser informado explícitamente

6.1.4 Distribución de informes

6.1.5 Requerimientos de las actividades de seguimiento


7

6.1.6 Requerimientos: actividades necesarias, elementos y

procedimientos para cubrir el alcance de la auditoria

6.1.7 Objetos y criterios de auditoria

6.1.8 Procedimientos de auditoría y listas de comprobación

6.1.9 Personal de auditoria

6.1.10 Organizaciones involucradas en la auditoria 6.1.11 Fecha, hora y lugar, agenda y la audiencia a quien se dirige la

sesión de introducción.

El líder del equipo de auditoría, asegura que su equipo está preparado e

incluyen a los miembros con la experiencia y la pericia necesaria.

6.2 Introducción: Es opcional hacer una reunión introductoria con la

organización a auditar en el momento del arranque para examinar las fases

de la auditoria. Se determinaran los siguientes puntos: Introducción sobre

los acuerdos existentes, introducción de la producción y procesos a ser

auditados, introducción del proceso de auditoría, sus objetivos y salidas, contribuciones esperadas de la organización auditada al proceso de

auditoría, planificación especifica de auditoría.

6.3 Preparación: Del equipo de auditoría. Entender la organización, Entender los productos y los procesos, Entender los objetivos y los criterios de

auditoría, Preparación para el informe de auditoría, Detalle del plan de

auditoría.

El líder del equipo debe hacer los preparativos para: Orientar a su equipo y formarlos de ser necesario, preparar lo necesario para las entrevistas de

auditoría, Preparar los materiales, los documentos y herramientas necesarias

para los procedimientos de auditoría, Identificar los elementos de software

a auditar, Planificar las entrevistas.

6.4 Examen: Los elementos que han sido seleccionados para auditarse deberán ser valorados en relación con el objetivo y criterios de la auditoria. Las

evidencias deberán ser examinadas con la profundidad necesaria para ver si

esos elementos cumplen con los criterios especificados.

A la auditoria se la adecuara para conseguir: Revisar los procedimientos e

instrucciones, Examinar la estructura de descomposición de los trabajos,

Examinar las evidencias de la implantación y lo equilibrado del control,

Entrevistar al personal para averigua el estado y funcionamiento de los

procesos y estado de los productos. Examinar el documento, Comprobar

cada elemento.

6.5 Informes: Deberá emitir un borrador del informe de auditoria a la

organización auditada para su revisión y comentarios. El informe final de


8

auditoria deberá ser preparado, aprobado y distribuido por el líder del

equipo de auditoria a las organizaciones especificas en el plan de auditoria.

6.6 Criterio de terminación: La auditoria terminara cuando: Se ha examinado cada elemento dentro del alcance de la auditoria, Los resultados han sido

presentados a la organización auditada, La respuesta al borrador ha sido

recibida y aprobada, El resultado final ha sido formalmente presentado a la

organización auditada y a la entidad iniciadora, El informe final ha sido

preparado y enviado a los receptores designados en el plan de auditoria, El

informe de recomendaciones ha sido enviado a los receptores designados en

el plan de auditoria, Se ha realizado todas las acciones d seguimiento

incluidas en el alcance la auditoria.

6.7 Salidas: Como un marco estándar para los informes, el informe de borrador de auditoria y el informe final de auditoria, deberán contener:

• Identificación de la auditoria

• Alcance

• Conclusiones

• Sinopsis

• Seguimiento

6.8 Auditabilidad: Los materiales que documentan el proceso de auditoria deben ser mantenidos por la organización auditora un periodo estipulado

después de la auditoria e incluyendo:

• Todos los programas de trabajo, listas de aprobación, todos los comentarios

• El equipo de técnicos

• Comentarios de las entrevistas así como las observaciones

• Evidencias de pruebas de continuidad

• Copias de los elementos examinados con sus comentarios

• Informes borradores con las respuestas de la organización auditada

• Memorándum del seguimiento si es necesario

6. Como se incluyen los procesos de auditoría en la norma ISO/IEC 12207?

Para realizar cualquier proceso de auditoría se debe conocer la actividad que se va a

auditar:

• Procesos primarios del ciclo de vida

• Procesos de soporte del ciclo de vida

• Procesos organizativos del ciclo de vida

Procesos de aseguramiento de la calidad: sirven para suministrar la seguridad de que

durante el ciclo de vida del producto y los procesos están de acuerdo con los

requerimientos especificados y se adhieren a los planes establecidos. El aseguramiento


9

de la calidad puede ser interno o externo, el aseguramiento de la calidad puede hacer

uso de otros procesos de soporte: Verificación, validación, revisiones conjuntas,

auditorias y resolución de problemas.

7. Diferencias entre aseguramiento del producto y aseguramiento del proceso?

Aseguramiento del producto:

1. Asegurarse que se cumpla todo lo establecido en el contrato, que este todo documentado, son consistentes y se está cumpliendo como se requiere.

2. Asegurarse que el software y la documentación cumplen con el contrato y los planes

3. En la preparación de los suministros de software asegurarse que satisfacen totalmente los requerimientos contractuales y son aceptados por el cliente.

Aseguramiento del proceso:

1. Asegurarse que el ciclo de vida esta de acuerdo con las especificaciones y ajustes del contrato

2. Asegurarse que las practicas internas de ingeniería de software, entorno de desarrollo y librerías está de acuerdo con el contrato

3. Asegurarse que los requerimientos del contrato principal son trasladaos al subcontratista y que los productos de software del subcontratista satisface los

requerimientos del contrato principal

4. Asegurarse que el cliente y las otras partes tendrán el soporte y cooperación requeridos de acuerdo al contrato, negociaciones y planes.

5. Asegurarse que el producto software y los procesos medios están de acuerdo a estándares y procedimientos establecidos

6. Asegurarse que el personal técnico asignado tiene el perfil y conocimientos necesarios para cumplir los requerimientos del proyecto.

8. Elementos a incluir en un plan para el aseguramiento de la calidad.

Las actividades adicionales de gestión de calidad deberán asegurar su concordancia

con la clausula de ISO 9001 según especifique el contrato.

9. Que conocimientos se requieren para poder llevar a cabo con éxito una auditoría

de calidad?

a) Los productos de software codificados reflejaran el diseñado en la documentación b) Los requerimientos de aceptación y de pruebas prescritos por la documentación son

adecuados para la aceptación de los productos software

c) Los datos de prueba cumplen con la especificación d) Los productos software fueron sucesivamente probados y alcanzaron sus

especificaciones

e) Los informes de pruebas son correctos y las discrepancias entre los resultados conseguidos y esperados han sido resueltas

f) Los documentos del usuario cumplen con los estándares tal como se ha

especificado


10

g) Las actividades han sido llevadas de acuerdo con los requerimientos aplicables, los planes y el contrato

h) El coste y el cronograma se ajustan a los planes establecidos

10. Cómo explicaría a un director de informática las ventajas de llevar a cabo una

auditoria de calidad?

Iniciaría explicándole que la calidad del producto final es la carta de presentación de

una empresa, que es la que determina la preferencia de los clientes a tal o cual

producto, la auditoria de calidad permitiría llegar a esta crucial final de “producto de

calidad”, ya que al seguir las especificaciones técnicas, las normas ISO o el estándar

ANSI/IEEE asentirá no solo mantener la calidad sino mejorarla de manera consecutiva.

La Auditoria mejorará las partes del proceso de producción que estén débiles o que no

se han tomado en cuenta o implementado, permitirá hacer un seguimiento de todo el

proceso producción/producto a fin conseguir mantener la calidad de los entregables a

los clientes que le satisfagan sus necesidades y además mejorar los ingresos a la

empresa.

AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 15 y 16

Documents

Transcript of AUDITORIA INFORMATICA Tarea Cuestiones de Repaso Capitulos 15 y 16