ENSAYO AUDITORIA DE SISTEMAS DE TI

ASESOR NINFA DIANA VELAZQUEZ SANTILLAN

PRESENTA JESSICA ISABEL VELAZQUEZ LOPEZ JACOB EDUARDO GONZALEZ TORRES

TORREN, COAHUILA

NOVIEMEBRE 2013

Como ya sabemos la auditora informtica es aquel proceso que va a requerir toda empresa con el fin de asegurar todos los activos de una forma adecuada. Esto activos son: la informacin y la tecnologa. Durante la auditora se suelen dar algunas recomendaciones para que las polticas, contratos y todos los procedimientos que existen dentro de la empresa se lleven de manera adecuada, o en caso de no contar con esto, la recomendacin es viable ya que es necesario cumplir con todos los estndares para lograr que la empresa sea ms competitiva. Para esto existe un procedimiento, el cual ayuda a evaluar la seguridad, el hardware y software, los sistemas que maneja la empresa, la red y tambin facilita el conocimiento que hay que tener para saber cules deben ser las caractersticas con las que debe contar un proveedor. Para saber todo esto es necesario conocer las fases de una auditoria.

Fases de la auditoria
Fase 1: Conocimiento del sistema.

En esta fase se encuentran todos los aspectos legales y polticas internas que hay dentro de la empresa lo cual quiere decir que es el marco de referencia para realizar la evaluacin. Es necesario saber cmo est constituida tal empresa, esto mediante el organigrama del rea que va a participar en el sistema operativo as como el de toda la empresa y checar el informe de las auditoras realizadas con anterioridad. En esta fase hay conocimiento sobre los manuales tcnicos del sistema y los equipos utilizados en la aplicacin de computadora necesarios para la evaluacin, los usuarios autorizados para la administracin de cierta aplicacin y otra que es de gran importancia, hay que tener el conocimiento de las calves de accesos de estas aplicaciones.

Fase 2: Anlisis de transacciones.

Las transacciones se han de dividir en procesos y estos a su vez son divididos en subprocesos, y con esto se va a establecer el flujo de los documentos que van a facilitar la visualizacin del procedimiento e identificar y codificar los recursos que participan en el sistema ya que los fallos e incidencias son cada da ms visibles y aumenta exponencialmente el nmero de demandantes de servicios TI.

Fase 3: Anlisis de riesgos y amenazas.

Durante la realizacin de esta fase se tendrn que identificar los riesgos que hay dentro del departamento o ya sea la empresa. Y una parte de esta accin es identificar todos aquellos riesgos que podran ser dainos como los daos fsicos o destruccin de los recursos (equipos, medios de almacenamiento, documentos, archivos, informes, etc.), prdida por fraude o desfalco contra la empresa, interrupcin de las operaciones del negocio, perdida de integridad de los datos, la ineficiencia de las operaciones por parte de los empleados y errores.

El siguiente paso sera la identificacin de las amenazas. Por ejemplo si la empresa auditada vende servicios a las dems empresas, algunas amenazas que puede tener es: o Amenazas sobre los equipos que manejan informacin importante para la empresa. o Amenazas sobre documentos fuente. o Amenazas sobre programas de aplicaciones, que no fallen y que las licencias estn activas. o Entre otras.

fase 4: Anlisis de controles.

Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles debe contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido.

Fase 5: Evaluacin de controles.

Esta fase consiste en verificar la existencia de los controles requeridos en cada uno de los recursos de un sistema de informacin.

Fase 6: Informe de auditoria

Es el elemento ms importante de auditora, est orientada a la solucin de las causas que originan los hechos deficientes, hay que dar un informe detallado de todas las recomendaciones que hay para que el usuario auditado trabaje sobre ello y mediante encuestas realizadas a los diferentes usuarios ser posible hacer una evaluacin y sacar estadsticas sobre problemas presentes en el departamento y realizar un resumen de todo el proceso de la auditoria para la alta gerencia y que tome las decisiones basadas en la auditoria.

Tambin se puede decir que es una sugerencia sobre las alternativas de solucin a las novedades planteadas as como tambin la esencia del valor agregado del auditor, es la propuesta de la implementacin de las recomendaciones.

Fase 7: Seguimiento de recomendaciones.

Para esto siempre habr un informe de seguimiento, que ayudar a la administracin de los sistemas informticos y a mantener las condiciones para mejorar los procedimientos y objetivos del rea, lo cual determinar la viabilidad y el costo-beneficios que hay respecto al implementar las recomendaciones. Durante el seguimiento se han de determinar los efectos e impactos que hay al haber adoptado las recomendaciones, para esto existen algunos sealamientos para mejorar el desempeo de las propuestas y se toma en cuenta lo siguiente: o Propsito de la recomendaciones o Detalles de actividades o Financiamiento o Responsables o Plazos de ejecucin o Firmas de aceptacin

Evaluacin de la seguridad.
En la evaluacin de la seguridad hablamos sobre la proteccin de todos los sistemas de informacin existentes como lo que viene siendo el hardware, software y todos los equipos utilizados que ayudan para que la organizacin tenga funcionamiento en sus transacciones. La evaluacin de la seguridad es dividida en dos partes, que es: seguridad fsica y seguridad lgica. La seguridad fsica habla acerca de la proteccin de hardware utilizado dentro de la organizacin, que todo esto est resguardado ante los daos que pueden presentarse dentro de la organizacin, por ejemplo en algunas ocasiones pueden surgir robos, incendios, etc. Esto lleva de la mano la proteccin de los programas utilizados, los documentos importantes, y todos los equipos de redes. Cuando hablamos de seguridad no solo nos referimos a mantener los equipos seguros, sino tambin que el personal este seguro dentro de la organizacin, para esto son necesarias las salidas de emergencia, alarmas, y que los extintores estn a la mano. La seguridad lgica habla sobre la seguridad de los datos, y programas. Esto quiere decir que se tiene que asegurar lo que los usuarios pueden manejar, ya que ellos no deben tener acceso a toda la informacin y mucho menos a modificar archivos ni programas y en caso de que sea necesario la transmisin de archivos, se verifica que el destinatario sea el correcto. Tambin es necesario la restriccin de acceso a diferentes aplicaciones ya que no todos los usuarios hacen uso de ellas. Otra parte que se verifica es la seguridad de la red y para esto es necesario el conocimiento de la topologa utilizada y todas las conexiones utilizadas, si las terminales son lgicas o fsicas. Para realizar esto se toma en cuenta un plan de contingencia que ayudar a realizar la evaluacin correctamente, donde se asegurarn respaldos, comunicacin, se establecen objetivos y prioridades en el proceso. un adecuado

Proceso de bsqueda de proveedores.

Para la bsqueda de proveedores, es necesario tener conocimiento sobre las caractersticas que deben tener. Al tener contacto con el proveedor se debe tomar en cuenta que ste tenga cierta experiencia ya que con esto se determina la eficiencia que se tiene y mediante esto la reputacin se hace presente puesto que las dems empresas suelen recomendarlos. Hablando sobre la ubicacin que deben tener, es preferible que se encuentre cerca ya que en algunas ocasiones podemos der nosotros los que tengamos que acudir a donde este. Cuando requerimos de mercanca, es bueno saber qu tipo de proveedores es conveniente elegir, si fabricante o mayorista; la diferencia de estos es que el fabricante vende a menor costo pero es posible que no nos pueda ofrecer la variedad que necesitamos como lo hacen los mayoristas, es entonces cuando hay que tomar decisiones que son importantes para la empresa. El proceso de bsqueda tiene tres fases: bsqueda de informacin, solicitud de informacin y evaluacin y seleccin de proveedores. Bsqueda de informacin: este proceso se hace mediante todos los medios de comunicacin posibles como internet, radio folletos, publicaciones, anuncios entre otros Solicitud de informacin: estas solicitudes se hacen acerca de las condiciones econmicas y tcnicas que tiene la empresa proveedora, esto se hace mediante cartas, representantes y algunas visitas tcnicas para conocer las condiciones. Evaluacin y seleccin del proveedor: aqu se realiza una seleccin de los proveedores ms adecuados implicando todos los estudios posibles y se realiza la eliminacin basndose en los criterios de seleccin. Para esto se realizan cuadros de comparacin acerca de las condiciones ofrecidas en cuento a la economa y calidad. La seleccin se realiza teniendo en cuenta los precios, descuentos de los productos, la forma de pago que tiene cada uno, si existen descuentos por volumen de compra.

Evaluacin de Hardware y Software

El objetivo de realizar esta evaluacin es para comprobar que existan los contratos de seguros necesarios para el hardware y software ya que son un elemento requerido para el buen funcionamiento de las aplicaciones bsicas utilizadas. Y esto se ha de verificar con el administrador de sistemas o con el personal que el auditor considere pertinentes. Para la evaluacin del hardware, existen lineamientos como: La distribucin del hardware: esto quiere decir que la manera en que se coloca un equipo es importante ya que tiene que ver que est al alcance de los usuarios que lo necesiten, tambin que se encuentren en un lugar seguro donde est libre de accidentes. Por ejemplo el aire acondicionado se utiliza en lugares de importancia como el site, ya que los dispositivos de red generan calor as que este cuarto debe de estar a cierta temperatura para evitar que haya sobrecalentamiento y daos. Se debe tener un registro del hardware instalado, dado de baja o que este en proceso de adquisicin. El acceso al hardware debe estar bajo seguridad, ya que no todos los usuarios tienen acceso a ciertos equipos. Se realizan bitcoras de uso acerca de quien, cuando, para qu hacen uso de tal equipo y entre otros puntos. Otra parte que es evaluada dentro de la empresa es que existan equipos de seguridad como rutas de evacuacin, carteles de seguridad en caso de cualquier desastre, inundacin, huracanes y terremotos, uso de extintor que debe estar a la mano para los usuarios en caso de incendios. As como tambin los usuarios deben de estar capacitados para el uso del mismo. Asi como el hardware, para la evaluacin del software existen lineamientos que consta de que los sistemas operativos utilizados, los paquetes y utilidades, tengan las licencias correspondientes y que todo lo que entra y sale de la empresa como informacin y software sea revisado, aprobado y devuelto en las mismas condiciones por el responsable del rea.

Tipos de Licencias

Como es conocido la licencia es el contrato establecido entre el desarrollador del software y el usuario final que define los derechos y los deberes de este ultimo por medio de clausulas que tienen que ser definidas antes del uso del software, donde el usuario tiene que aceptar estos trminos para poder hacer uso del mismo. Estos tipos de licencia estn definidos por tres puntos principales que son:

Utilizacin Copiado Distribucin

Estos tres puntos principales nos indican las limitantes del usuario, la utilizacin nos indica en que casos el usuario puede hacer uso del software, el copiado como su nombre lo indica es si el usuario tiene la posibilidad de generar copias de este software y pasando al ultimo punto que es distribucin va de la mano con el anterior pues de las copias que se generen nos dice si el usuario ser capaz de distribuirlo. Otro punto importante que genera demasiada confusin en los usuarios es la definicin de software libre y software gratuito, el software libre define que cualquier usuario sera capaz de hacer uso, copiar y distribuir el software dando por entendido que este tendr disponible el cdigo fuente dando posibilidad de modificarlo y redistribuirlo ya sea en su forma original o con dichas modificaciones, dejando claro que software libre no significa que sea gratuito, existe demasiado software gratuito pero no libre pues no podemos modificar su cdigo fuente, ni hacer copias y distribuirlas.

Existen otros tipos de licenciamiento aparte del software libre tales como: GPL - Llevando la distribucin a software libre protegindola de su inclusin en sistemas privativos. Open Source - Una derivada de Debian. BSD - Licencia permisiva pues pone pocas restricciones en el uso, y distribucin del software. Software con Dominio Publico - Software sin copyright. Freeware - Software gratuito para su distribucin pero no para su modificacin. Shareware - Software permisivo para su distribucin pero su uso requiere pago. Software Propietario - Su uso, copia y redistribucin esta prohibido por su propietario. Software Comercial Creado con fines de lucro. Adware Software con publicidad donde pagando por la versin Completa la publicidad se elimina. Trial Software gratuito pero por un tiempo determinado. Demo Software solo con una parte libre para su utilizacin.

Las condiciones de uso son las normas donde se estn definidas las obligaciones y los derechos de los usuarios y estas tienen que ser cumplidas obligatoriamente pues abarcan aspectos legales que pueden proteger al autor o al usuario de demandas y otros aspectos legales. Estas tienen que ser definidas de manera clara y directa dejando ver cual es la prioridad de las mismas poniendo la mas importante primero y consecutivamente las de menor importancia, esto no implica que ninguna no se cumplan. A la hora de la creacin de estos trminos se pueden basar en los trminos de otra empresa , tienen que ser revisados detenidamente evitando errores de ortografa y al final debern ser revisados por un abogado para conocer si todos los aspectos estn cubiertos adems de mantener estos trminos actualizados para su uso.

Desarrollo de sistemas
En el desarrollo de software se debe ser revisada a detalle pues se debe tener bien identificados en la planificacin todos los requerimientos as como establecer el alcance del proyecto, si este software a desarrollar se adapta al hardware y tecnologas con las que se cuentan y si son compatibles con el mismo.

Dentro del ciclo de desarrollo de software el primer paso es conocer los requerimientos del cliente, estos los podemos definir por medio de entrevistas programadas, as como recoleccin de datos y anlisis de necesidades, se debe tener en cuenta que el lenguaje utilizado con el cliente no debe ser tan tcnico y dependiendo de sus respuestas las debemos adaptar a nuestros conocimientos y explicarle claramente como lo resolveramos, se tienen que hacer las entrevistas que sean necesarias para tener identificados todas las necesidades para sobre esta informacin hacer un anlisis profundo estableciendo desde lenguajes de programacin, tcnicas a implementar, procesos, polticas y normas para el desarrollo y generar una propuesta de proyecto, presentarlo para ver que tan factible seria su desarrollo e implementacin.

Despus de que se haya aprobado su desarrollo se procede a hacer un diseo lgico estableciendo las especificaciones del sistema, Que es lo que se tiene que hacer y como se har?, El desarrollo y uso de la informacin de entrada as como la visualizacin de la salida de informacin, especificar que tipo de datos se tendrn, especificar los procesos a realizar con los datos, cuales sern los mtodos de acceso y operacin, la manipulacin de los datos que sistemas de seguridad y control se tienen que implementar para concluir desarrollando con toda la informacin anterior.

Teniendo desarrollada la aplicacin se somete a un periodo de evaluacin del sistema, en este se deber auditar tanto el software como su diseo, que lenguaje fue utilizado y su justificacin, si el software esta desarrollado en mdulos y si estos tienen la interconexin, si cuenta con compatibilidad con software de terceros as como las caractersticas especificas del hardware empleado para su desarrollo, toda la informacin recabada sera procesada y devuelta para sintetizar y facilitar la creacin del reporte de desarrollo, se puede apoyar la evaluacin del software en estndares como los ya establecidos en el ISO 9126 proporcionando un esquema de evaluacin de calidad del software en 6 subcategorias que son la funcionalidad, la fiabilidad, la usabilidad, la eficiencia, la mantenibilidad y la portabilidad del software a desarrollar..

Entre las caractersticas que se evalan al final del desarrollo de software se encuentran si el software es dinmico, si se encuentra estructurado, si es integrado a alguna otra aplicacin, que tan accesible es, su evaluacin de necesidad, que tan comprensible es su funcionamiento, si es oportuno en tiempo de desarrollo, que tan funcional es en relacin a los requerimientos establecidos, si este software esta desarrollado en mdulos, como estn implementados estos mdulos y que tan segura es la aplicacin, si los puntos a evaluar son satisfactorios se procede a su implementacin. Se debe tener mucho cuidado en el proceso de desarrollo de software pues pueden llegar a darse casos que provoquen una insatisfaccin o problemas legales con el cliente, como por ejemplo que la planificacin haya sido insuficiente al producto que se espera por el cliente, tambin establecer los alcances del mismo pues nunca falta alguna cosa se le olvide al cliente de comentar y pueda quedar fuera de los requerimientos ya establecidos, para evitar estos problemas se debe proponer el seguimiento del cliente en todo el transcurso del desarrollo as el estar informado de los procesos y modificaciones que se lleguen a hacer.

Evaluacin de la red

La evaluacin de la red abarca muchos aspectos para su anlisis desde su implementacin, topologa, que tipo de cableado, canalizaciones, los equipos a usar, su distribucin y su configuracin, medidas de reas de trabajo as como las medidas de los cuartos de telecomunicaciones, el trafico de datos y el anlisis de los medios de transmisin, estndares implementados, mtodos y procesos de seguridad.

Lo primero a evaluar es la topologa, comparando la implementada y estableciendo que nivel de eficiencia es capaz de tener de acuerdo a las necesidades pero todo va a depender de las necesidades que se tengan, no podemos generar un anlisis demasiado simple para un sistema robusto que requiere un anlisis profundo. Al hacer esta parte del anlisis debemos tomar en cuenta el protocolo que se usara para establecer la comunicacin as como los medios de transmisin a utilizar, los equipos a implementar as como si la red estar segmentada y la distribucin de los equipos en cada rea de la red (ncleo, distribucin y acceso).

Dentro de la evaluacin de los cuartos de telecomunicaciones debemos tomar en cuenta la diferencia entre el cableado horizontal y el vertical, por su definicin podremos identificarlo mas fcil, el cableado horizontal se refiere al cableado que parte del cuarto de distribucin hacia las estaciones de trabajo y el cableado vertical (backbone) se define como aquel que hace la interconexin de cuartos de distribucin en diferentes pisos de un edificio.

Los puntos importantes a tomar en cuenta para el equipamiento de un cuarto de telecomunicaciones es conocer las limitantes de rea pues estos deben ser

mayores a 14m2, debe contener equipo contra incendios, aire acondicionado, tierras fsicas y que el el espacio til de trabajo corresponda con el rea ocupada por los equipos. Este cuarto es identificado por ser el distribuidor de cableado horizontal.

A la hora de hacer el cableado en una red se debe conocer que estndar se implementara y sobre este manejarlo en toda la red para tener un mejor administracin y funcionamiento, se definir que tipo de cableado sera (cobre, fibra), que categora si es utp el tipo de fibra (monomodo, multimodo), en caso de usar utp que configuracin de los conectores usar, ubicar eficientemente las canaletas y la canalizacin de la distribucin hasta los puntos de acceso tomando en cuenta las longitudes mnimas y mximas para cada tipo de cableado.

Si se implementara el uso de redes inalmbricas saber que equipos y tecnologas se implementaran, en el uso de Wi-Fi si se contara con algn tipo de encriptacin para su acceso (WEP,WPA,WPA2), que estndar se usara (a,b,g,n), frecuencia de transmisin, ubicacin de los equipos y mtodos de seguridad en los mismo.

La seguridad es parte primordial en una red pues nos permite mantener un control de la misma, esta la podremos definir si utilizaremos algn equipo o software especializado para llevar este control (Firewall) y cul ser su configuracin, tambin tomar en cuenta si los equipos que se conecten a la red tendrn acceso a los recursos de la misma o salida a Internet, algunos equipos nos permiten esta administracin.