Examen U3 Niebla Sortillon
Jesús Francisco Niebla Sortillón ITI 9-3. 2015 2015 Proyecto Auditoria RCR Refrigeración S.A. de C.V. Auditoria al sistema RCR WEB. Auditores: TSU-SI Jesús Francisco Niebla Sortillon. 0 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Índice. INTRODUCCIÓN. ............................................................................................................................ 2 1.13. EVIDENCIAS CONCRETAS ....................................................................................................... 3 2.2. ESTANDARES DE CALIDAD. ..................................................................................................... 6 2.3. ASEGURAMIENTO DE LA CALIDAD DE LA AUDITORIA. ............................................................10 2.4. ASPECTOS LEGALES EN LOS QUE SE FUNDAMENTARA ...........................................................11 2.5. TECNOLOGIA A UTILIZAR. .....................................................................................................15 2.6. CONTROLES INTERNOS. .........................................................................................................16 2.7. PLANEACION DE LA COMUNICACIÓN. ....................................................................................21 2.8. DEFINICION DE MÉTRICAS. ....................................................................................................22 2.9. PRESUPUESTOS Y PROGRAMAS. ............................................................................................23 2.10. PROGRAMA DE AUDITORIA DE RCR REFRIGERACIÓN S.A. de C.V..........................................27 2.11. IDENTIFICAR DESVIACIONES Y ELABORAR BORRADORES DE INFORMES. ..............................27 2.12. PRESENTAR DESVIACIONES A DISCUSIÓN. ...........................................................................31 CONTRO DE LA CALIDAD .......................................................................................................41 CONCLUSIÓN. ...............................................................................................................................50 BIBLIOGRAFÍA. ..............................................................................................................................51 1 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. INTRODUCCIÓN. RCR Refrigeración es una empresa nacional que se encuentra ubicada en la ciudad de Hermosillo sonora, la empresa se dedica a la venta de equipo de refrigeración y refacciones para las mismas, actualmente se encuentran utilizando un sistema el cual les ayuda a realizar las ventas. Dicho sistemas esta realizado en XHTML, JavaScript y PHP. Para evaluar el sistema de esta empresa se llevara a cabo una auditoría con el fin de identificar el nivel de seguridad y las vulnerabilidades con las que cuenta y así poder corregirlas. En el documento que se presenta a continuación se encuentra la planeación de la auditoria de sistemas, así como los software que la empresa usa para utilizar el sistema. 2 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. 1.13. EVIDENCIAS CONCRETAS Entre nuestras evidencias concretas tomadas en cuenta para demostrar que este necesita una auditoria para demostrar a las personas que aspectos se puede mejorar son: El sistema de comunicación es inexistente y el usado mecánicamente es muy eficiente debido a que el factor humano. El sistema, pueda tener un tipo de fuga de información o pérdida de la misma, lo cual hace peligroso al proceso de trabajo. También existe la posibilidad de no tener un control al momento de pérdida de información, por varios motivos (Negligencia, Perdida de Electricidad, etc.) No exista una validación, en la entrada y salida de los datos, generando también que no se presente información veraz. No existan manuales, que expliquen la forma de manejo del sistema, haciendo que las personas no sepan el uso de la misma. La gerencia es posible, que no conozca mucho del uso de este sistema, por eso es necesaria la realización de nuestra auditoria. Una interfaz gráfica obsoleta El uso de computadoras obsoletas de generaciones bastante atrás El ser un sistema realizado en una plataforma de programación desfasado y con errores de seguridad. 3 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. Jesús Francisco Niebla Sortillón ITI 9-3. 2015 CRONOGRAMA DE ACTIVIDADES DE AUDITORIA JUNIO ACTIVIDADES Elección del tema Entrevista con el experto Visitas de auditoría Entrega de anteproyecto Realización de encuesta Trabajo con la base de datos Observación del Hardware Observación del Software 4 RESPONSABLE TSU-SI Jesús Francisco Niebla Sortillón OBJETIVOS Elegir el tema de investigación TSU-SI Jesús Francisco Niebla Sortillón Se conocerá el tema TSU-SI Jesús Francisco Niebla Sortillón Recopilar informacion TSU-SI Jesús Francisco Niebla Sortillón TSU-SI Jesús Francisco Niebla Sortillón TSU-SI Jesús Francisco Niebla Sortillón Se dá el anteproyecto con el tema Para conocer opiniones Ver el funcionamiento de la misma TSU-SI Jesús Francisco Niebla Sortillón Ver hardware TSU-SI Jesús Francisco Niebla Sortillón Ver software JULIO 01-jun 06-12 Jun 13-19 Jun S0 S1 S2 20-27 Jun 28- Jun 03-Jul S3 S4 04-10 Jul S5 11-17 Jul S6 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Ver procesos gerenciales TSU-SI Jesús Francisco Niebla Sortillón Ver todo el proceso que se genera Análisis final TSU-SI Jesús Francisco Niebla Sortillón Análisis final Defensa final TSU-SI Jesús Francisco Niebla Sortillón Defensa final 5 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. Jesús Francisco Niebla Sortillón ITI 9-3. 2.2. ESTANDARES DE CALIDAD. Dada la naturaleza especializada de la auditoria de sistemas de información, se requiere de ciertas destrezas necesarias para llevarla a cabo satisfactoriamente, es por eso que es necesaria la aplicación de determinados estándares que se apliquen específicamente a la ASI. Los estándares que utilizaremos en la auditoria serán: Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA). Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI). Administración de seguridad de información de la GAO. Definimos cada uno de estos estándares de la siguiente manera Directrices Gerenciales de COBIT: Las Directrices Gerenciales de COBIT son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados. Modelo de Evolución de Capacidades de software (CMM): Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT. La razón por la cual hemos escogido estos estándares es porque nos parece idónea la utilización de dichos estándares, en el marco de actuación de la empresa auditada. Y además nos parece que estos estándares desarrollan la 6 2015 2015 Jesús Francisco Niebla Sortillón ITI 9-3. fórmula adecuada de trabajo ya que se complementan entre si y no presentan discrepancias en el desarrollo de una y otra. Además son estándares mundialmente reconocidos que se apegan mucho a la realidad que enfrentamos actualmente, y dada su imagen internacional puede con ello aportar dicha imagen a la casa auditora. Administración de seguridad de información de la GAO desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO): Este modelo considera ocho organizaciones privadas reconocidas como líderes respecto a seguridad en cómputo. Este trabajo hace posible la identificación de 16 prácticas necesarias para asegurar una adecuada administración de la seguridad de cómputo, las cuáles deben ser suficientes para incrementar significativamente el nivel de administración de seguridad en tecnología de información y comunicación electrónica. (Esta última se tomó en cuenta debido a que engloba aspectos de seguridad que eran desapercibidos por los dos anteriores, que nosotros consideramos de vital importancia) Definición formal de lo que consideramos aplicable de los estándares aportados por ISACA a nuestra auditoria: Los Estándares definen requisitos obligatorios para la auditoría y el reporte de SI así como de las obligaciones de algunos actuadores. En ellos Informan a: Los auditores de SI respecto al nivel mínimo de desempeño aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Código de Ética Profesional. La dirección y otras partes interesadas en las expectativas de la profesión con respecto al trabajo de sus profesionales. Establecen directrices. 7 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Las Directrices proporcionan asesoramiento en la aplicación de los Estándares de Auditoría de SI. El auditor de SI debe considerarlas al determinar cómo lograr la implementación de los estándares, utilizar un buen juicio profesional en su aplicación y estar dispuesto a justificar cualquier desviación de las mismas. El objetivo de las Directrices de Auditoría de SI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de SI. Establecen procedimientos. Los Procedimientos proporcionan ejemplos de procedimientos que podría seguir un auditor de SI en el curso de un contrato de auditoría. Los documentos sobre procedimientos proporcionan información sobre cómo cumplir con los estándares al realizar trabajos de auditoría de SI, pero no establecen los requisitos correspondientes. El objetivo de los Procedimientos de Auditoría de SI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de SI. Los recursos de COBIT® deben utilizarse como fuente de asesoramiento con respecto a las mejores prácticas. El Marco Referencial de COBIT que será parte de la metodología de desarrollo Establece que: "Es responsabilidad de la gerencia salvaguardar todos los activos de la empresa. Para descargar esta responsabilidad, así como para lograr sus expectativas, la gerencia debe establecer un adecuado sistema de control interno. “COBIT proporciona un conjunto detallado de controles y de técnicas de control para el entorno de administración/gestión de sistemas de información. La selección del material más relevante en COBIT aplicable al alcance de la auditoría en particular se basa en la selección de procesos específicos de COBIT para TI, considerando además los criterios de información de COBIT. Su utilización permite la comprensión de los objetivos del negocio, la comunicación de las mejores prácticas y las recomendaciones que deben hacerse, basándose en una referencia de estándares comúnmente comprendida y bien respetada. COBIT incluye: 8 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. „ Objetivos de control „ Directrices de auditoría: Asesoramiento para cada área de control sobre cómo obtener un entendimiento, evaluar cada control, evaluar el cumplimiento y sustanciar el riesgo de que los controles no se cumplan „ Directrices gerenciales: Asesoramiento sobre cómo evaluar y mejorar el desempeño del proceso de TI, utilizando modelos de madurez, métricas y factores críticos de éxito. Proporcionan un marco de referencia administrativo orientado hacia una continua y proactiva autoevaluación del control, enfocada específicamente en: o Medición del desempeño: ¿Qué tan adecuadamente está apoyando la función de TI los requisitos del negocio? Las directrices gerenciales se pueden utilizar para apoyar talleres de autoevaluación, y también se pueden utilizar para apoyar a la gerencia en la implementación de procedimientos de monitoreo y mejora continuos, como parte de un esquema de gobernabilidad de TI. o Perfil del control de TI: ¿Cuáles procesos de TI son importantes? ¿Cuáles son los factores críticos de éxito para el control? o Concientización: ¿Cuáles son los riesgos de no lograr los objetivos? o Benchmarking: ¿Qué hacen los demás? ¿Cómo pueden medirse y compararse los resultados? Las directrices gerenciales proporcionan ejemplos de métricas que permiten la evaluación del desempeño de TI en términos del negocio. Los indicadores claves de resultados identifican y miden los resultados de los procesos de TI, y los indicadores claves de desempeño evalúan lo bien que están funcionando los procesos, al medir los facilitadores del proceso. Los modelos y los atributos de madurez proporcionan evaluaciones de capacidad así como benchmarking, ayudando a que la gerencia pueda medir la capacidad de control y pueda identificar vacíos de control y determinar estrategias para su mejora. 9 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. 2.3. ASEGURAMIENTO DE LA CALIDAD DE LA AUDITORIA. En cuanto a la calidad de los servicios prestados por nuestra entidad auditora nos comprometemos a proporcionar una auditoria de calidad en la que los resultados cumplen las expectativas proyectadas. Para lograr esto nos enfocamos en ciertas partes: Efectividad a la hora de satisfacer las necesidades de las partes interesadas Eficiencia y efectividad en el uso de las últimas mejores prácticas de auditoría informática. Efectividad a la hora de cumplir con las normas y requerimientos profesionales y/o regulatorios de auditoría informática aplicables. Rigurosa aplicación de seguridad y confidencialidad. Los procesos de Auditoría informática deben abordar estas partes para ser considerada altamente efectiva en el contexto desafiante actual. Para lograr cada parte se considera: La asignación de roles (establecimiento de funciones específicas acorde a capacidades), asignación de personal calificado. Uno de los esquemas que usaremos para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la 10 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas. En esta parte también cabe mencionar que dependiendo de la capacidad del auditor y de su perfil como tal se le asignaran diferentes funciones acorde a la necesidad de la auditoria y la capacidad del auditor. Garantizando así tener siempre a una persona idónea ejerciendo la auditoria. Además cada función que sea asignada será evaluada, es decir los miembros devolverán un informe a parte de los procesos de la auditoria en el que se detalle los resultados de cada una de las funciones adjudicadas, la cual será revisada por el encargado de grupo quien rendirá cuentas y exigirá al resto de grupo resultados. En cuanto al desarrollo de la comunicación. Es claro que cuando se trate de dar a conocer resultados o informes, la comunicación es de vital importancia y debido a que la información es de alta confidencialidad, nosotros garantizamos guardar con el respectivo cuidado, los canales de comunicación a usar siempre cuidando no perder la efectividad en la transmisión de la información. Ya que parte de nuestra calidad está en la comunicación pronta de resultados, debido a que para la organización auditada el material a entregar no incluirá simplemente un informe de auditoría sino también un plan de acción para abordar las brechas identificadas. En esta etapa, el uso de las diferentes normativas como ISO 9000 y la herramienta de referencia de mejores prácticas de auditoría interna registrada de CobiT, se utiliza para evaluar comparativamente las prácticas de una función de auditoría. Más importante aún, el uso de estos estándares también permite identificar mejores prácticas que posiblemente puedan ajustarse a los impulsores de valor de la organización. Esta etapa también incluye evaluaciones en materia de cumplimiento de normas profesionales. 2.4. ASPECTOS LEGALES EN LOS QUE SE FUNDAMENTARA En nuestro país no existen normativas que se apeguen al desarrollo de las auditorias, por lo que el marco legal se basa en las normativas internacionales. 11 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. En este punto se describen la regulación de las mejores prácticas de Auditoría en Informática como administrar los riesgos en tecnología Informática, la auditoría en el sector público en base a los organismos nacionales(los cuales no encontramos) e internacionales. Institute of System Audit and Association, ISACA La Information Systems Audit and Control Association –Asociación de Auditoría y Control de Sistemas de Información– ISACA, comenzó en 1967. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association – Asociación de Auditores de Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI. Actualmente, los miembros de ISACA –más de 28.000 en todo el mundo– se caracterizan por su diversidad ya que están presentes en más de 100 países y cubren una variedad de puestos profesionales relacionados con TI, como son los Auditores de SI, Consultores, Educadores, Profesionales de Seguridad de SI, Reguladores, Directores Ejecutivos de Información y Auditores Internos, por mencionar sólo algunos. En las tres décadas transcurridas desde su creación, ISACA se ha convertido en una organización global que establece las pautas para los profesionales de gobernación, control, seguridad y auditoría de información. Su certificación Certified Information Systems Auditor –Auditor Certificado de Sistemas de Información– CISA, es reconocida en forma global y ha sido obtenida por más de 30.000 profesionales. Su nueva certificación Certified Information Security Manager –Gerente Certificado de Seguridad de Información– CISM, se concentra exclusivamente en el sector de gerencia de seguridad de la información. Publica un periódico técnico líder en el campo de control de la información, el Information Systems Control Journal –Periódico de Control de Sistemas de Información. Las empresas públicas y privadas están valorando cada día más la creciente importancia que representa mantener sistemas informáticos seguros, confiables y 12 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. confidenciales, que eviten o prevengan la ocurrencia de errores u operaciones ilegales a partir de debilidades en los sistemas de control. Certified Information Security Auditor, CISA La Asociación de Auditoría y Control de Sistemas de Información (ISACA) provee una Certificación en Auditor en Sistemas de Información (CISA), por medio de un examen anual que realiza el Instituto a los candidatos, el cual cubre el conocimiento de actividades requeridas para la función de Auditoría en TI, para lo cual presenta un Manual de Información Técnica para la preparación de los candidatos. La certificación de CISA (Certified Information Systems Auditor) es otorgada por la (ISACA), desde 1978 y es considerada en la actualidad como un reconocimiento de que se cuenta con los conocimientos teóricos y prácticos necesarios para desempeñarse como Auditor de Sistemas siguiendo los estándares y directrices definidos para una mejor preparación. La designación de CISA, se considera hoy en día, una ventaja competitiva y resulta de beneficio no solo para las organizaciones que deben cumplir con requerimientos de certificación profesional de sus colaboradores, sino para las personas que buscan un desarrollo profesional y la obtención de certificaciones que ofrecen oportunidades a nivel internacional. Certified Information Security Manager, CISM También ISACA provee la Certificación para la Administración de la Seguridad de la Información del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organización. La certificación CISM está diseñada para dar la certeza de que los individuos certificados tengan los conocimientos para ofrecer una eficaz administración y consultoría de seguridad. Está orientada a profesionales que administran la seguridad de la información en una organización y tienen el conocimiento y la experiencia para montar, implementar y dirigir una estructura de seguridad para administrar el riesgo con 13 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. eficacia y tienen la responsabilidad de entender la relación entre las necesidades comerciales y la seguridad de TI. Para obtener esta certificación, los profesionales deben aprobar el examen, adherirse a un código ético y presentar pruebas verificadas de que tienen una experiencia laboral de cinco años en seguridad de la información. El Institute of Internal Auditors (IIA) –organización profesional con sede en Estados Unidos, con más de 70.000 miembros en todo el mundo y 60 años de existencia– anualmente organiza su Conferencia Internacional, la que habitualmente congrega a más de un millar de auditores de todos los continentes. EI IIA es reconocido mundialmente como una autoridad, pues es el principal educador y el líder en la certificación, la investigación y la guía tecnológica en la profesión de la auditoría interna. El desarrollo de los Estándares de la Práctica Profesional de Auditoría Interna, así como las Certificaciones de Auditor Interno (CIA), de Auto evaluación de Control (CCSA) y de Auditor Interno Gubernamental (CGAP), y su participación en el diseño del Enfoque COSO son sólo algunos de los hitos que han transformado al IIA en la entidad internacional señera en la profesión. Establecen el IIA como el recurso de conocimiento primario sobre las mejores prácticas y publicaciones (cuestiones) que afectan la profesión interna de auditoría. Encuentran las necesidades de desarrollo de profesional que se desarrollan de médicos internos de auditoría. Certified Internal Auditor, CIA El IIA cuenta con su propia Certificación de Auditores Internos CIA, la cual se da tanto a proveedores de estos servicios. Contar con profesionales certificados en auditoría interna, para la organización significa contar con un valioso recurso para la dirección y el consejo de administración, que ayuda a garantizar el avance en la dirección correcta para el logro de sus metas y objetivos. La certificación como auditor interno la otorga el Institute of Internal Auditors que es una asociación internacional de profesionales 14 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. especialistas en auditoría interna, administración de riesgos, gobierno corporativo. Control interno, auditoría a tecnología de información, educación y seguridad. Para obtener la certificación CIA además de los requisitos educacionales y de experiencia sino el apego al Código de Ética, y el desarrollo profesional continúo. Los rigurosos requerimientos de este programa, aseguran que los auditores internos que logran la certificación, están armados con herramientas invaluables que pueden ser aplicadas globalmente en cualquier organización o industria. Para mantener la certificación CIA se requiere que los CIA mantengan y actualicen sus habilidades y conocimientos. Los CIA practicantes deben completar e informar cada dos años, 80 horas de educación profesional continua. 2.5. TECNOLOGIA A UTILIZAR. Ordenadores: El equipo a utilizar esta detallado a continuación. Hardware Equipo Modelo Sistema Operativo Procesador Memoria RAM Memoria de Gráficos Red HP 1110-LA Windows 8.1de 64 bits. Procesador Intel Celeron B820 a 1,70 GHz (Bus frontal a 1333 MHz) 4 GB. Intel HD con memoria total de gráficos hasta 782 MB. Adaptador de red Broadcom 802.11n Servicios: Herramientas CASE: Para la realización de la auditoria no se utilizaran herramientas CASE. 15 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. 2.6. CONTROLES INTERNOS. CONTROLES INTERNOS. Los controles internos son la guía de nuestra auditoria que mencionara lo que se piensa evaluar al momento de la aplicación de esta en el sistema. Controles internos sobre la organización del área de informática. En estos controles veremos el grado de organización que posee el departamento, es decir si se encuentra bien estructurado en la forma de trabajo, con la determinación de roles de las personas que trabajan. A continuación detallamos los puntos que se evaluaran: Dirección: La dirección es uno de los subelementos básicos del control interno en cualquier empresa, ya que esta es la función primordial de la entidad o persona que tiene la misión de dirigir la actividades en la institución o en un área específica, así como la de coordinar el uso de los recursos disponibles en el área para cumplir en objetivo institucional. División de Trabajo: Para el buen desarrollo de las actividades de cualquier empresa es necesario que las actividades se realicen de acuerdo a como hayan sido diseñadas en la estructura de la organización y de acuerdo con lo delimitado por el perfil de puestos. Asignación de Responsabilidad y Autoridad: Es la asignación de las líneas de autoridad por puesto y el establecimiento de los límites de responsabilidad de las líneas de autoridad por puesto y el establecimiento de los límites de responsabilidad que tendrá cada uno de estos. Establecimiento de Estándares y Métodos: Es de suma importancia estandarizar el desarrollo de todas las actividades y funciones a fin de que estas se realicen de manera uniforme conforme a las necesidades concretas de las unidades de informática que integran la empresa. Perfiles de Puestos: Este elemento del control interno informático ayuda a identificar y establecer los requisitos, habilidades, experiencia y conocimientos específicos que necesita tener el personal que ocupa un puesto en el área de sistemas. 16 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Controles internos sobre el análisis, desarrollo e implementación de sistemas. Estandarización de Metodologías para el Desarrollo de Proyectos: La empresa debe adoptar alguna metodología que sea acorde al desarrollo de sus proyectos de sistemas, la aplicación de una metodología estandarizada para el desarrollo de un proyecto informático. Asegurar que el beneficio del sistema sea óptimo: Se busca la optimización de las tareas, operaciones y funciones que resultaran con la implementación de los sistemas, contando para ello con el seguimiento de una metodología uniforme para el desarrollo de nuevos sistemas. Elaborar estudios de factibilidad Del sistema: Todo proyecto de informática tiene que evaluar desde dos puntos de vista específicos: la viabilidad y la factibilidad, es decir se deben analizar la viabilidad de realizar el proyecto y la factibilidad de llevarlo a cabo. Garantizar la eficiencia y eficacia en el análisis y diseño del sistema: La premisa fundamental del análisis y diseño de sistemas es la realización de proyectos que optimicen las actividades que se desarrollaran con la implementación de un nuevo sistema computacional, además un nuevo proyecto solo se justifica si con él se busca satisfacer la eficiencia y eficacia de las actividades de la empresa lo cual se logra mediante la adopción de una metodología estándar en la realización de los sistemas. Vigilar la efectividad y eficacia en la implementación y en el mantenimiento del sistema: Es necesario vigilar la efectividad en la implementación del sistema y, una vez liberado, también se debe procurar su eficiencia a través del mantenimiento. Lograr un uso eficiente del sistema por medio de su documentación: Después de terminado el desarrollo del sistema o durante su elaboración es requisito indispensable ver una buena documentación en relación al sistema. 17 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Controles internos para la operación del sistema. Permite evaluar la adecuada operación de los sistemas, se requiere de un elemento que se encargue de vigilar y verificar la eficiencia y eficacia en la operación de dichos sistemas, su existencia ayuda a garantizar el cumplimiento de los objetivos básicos del control interno. Controles internos para los procedimientos de entrada de datos, procesamiento de información y emisión de resultados. Son de gran ayuda por la confiabilidad que brindan en el procesamiento de información, permiten verificar que el procedimiento de entrada-proceso-salida se lleve a cabo correctamente. Controles internos para la seguridad del área de sistemas. Seguridad de los recursos informáticos, del personal, de la información, de sus programas, etc., lo cual se puede lograr a través de medidas preventivas o correctivas, o mediante el diseño de programas de prevención de contingencias para la disminución de riesgos. Controles para prevenir y evitar amenazas, riesgos y contingencias en las áreas de sistematización Estos tipos de controles son los que deberán llevarse a cabo dentro de nuestra auditoria de sistemas, para así, determinar los datos que se evaluaran para poder dar una solución a algún problema que se presente. 18 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. A continuación mostramos la aplicación de esos controles internos, que se verán en nuestra auditoria. APLICACIÓN DE CONTROLES INTERNOS. Actividad. Entrevista. Encuesta. Tipo de Control a Aplicar. -Organización del área de ventas. -Los procedimientos de entrada de datos, procesamiento de información y emisión de resultados. Información a Encontrar. -Dirección. -División de Trabajo -Asignación de Responsabilidad y Autoridad. -Establecimiento de Estándares y Métodos. -Perfiles de Puestos -Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos. -Asegurar que el beneficio del sistema sea óptimo. -El análisis, desarrollo e implementación de sistemas. Listas de Chequeo. TODOS Observación. -La operación del sistema. -La seguridad del área de sistemas. -Los procedimientos de entrada de datos, procesamiento de información y emisión Se espera que estas listas nos brinden toda la información del sistema. -Prevenir y corregir errores de operación. -Prevenir y evitar la manipulación fraudulenta de la información. -Implementar y mantener la seguridad en la operación. -Mantener la confiabilidad, oportunidad, veracidad y suficiencia 19 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. de resultados. -El análisis, desarrollo e implementación de sistemas. Evaluación de -El análisis, desarrollo Documentación e implementación de sistemas. en el procesamiento de la información en la institución. -Control de accesos físicos del personal del área de cómputo. -Control de accesos al sistema, a las bases de datos, a los programas y a la información. -Uso de niveles de privilegios para acceso, de -palabras clave y de control de usuarios. -Monitoreo de accesos de usuarios, información y programas de uso. -Existencia de manuales e instructivos, así como difusión y vigilancia del cumplimiento de los reglamentos del sistema. -Identificación de los riesgos y amenazas para el sistema, con el fin de adoptar las medidas preventivas necesarias. -Elaboración de planes de contingencia, simulacros y bitácoras de seguimiento. -Verificar la existencia y funcionamiento de los procedimientos de captura de datos. -Comprobar que los datos sean debidamente procesados. -Comprobar la suficiencia de la emisión de información. -Vigilar la efectividad y eficacia en la implementación y en el mantenimiento del sistema. -Lograr un uso eficiente del sistema por medio de su documentación. -Estandarización de Metodologías para el Desarrollo de Proyectos. -Elaborar estudios de factibilidad Del sistema. -Garantizar la eficiencia y eficacia en 20 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. el análisis y diseño del sistema. 2.7. PLANEACION DE LA COMUNICACIÓN. Para poder dar a conocer todos los resultados de la información recolectada, así como los resultados de los datos analizados, procederemos de la siguiente manera. Para definir la manera de dar a conocer los resultados se hará con una semana de anticipación para que todos estén conocedores y se hagan presente el día acordado. La información será divulgada por medio de una reunión con todas las personas involucradas en la auditoria. Se investigara que personas pueden sufrir achaques de salud para evitar complicaciones con los resultados a mostrar La reunión procederá de la siguiente manera. o Se hará firmar a todos los presentes una carta en la que juraran confidencialidad total de: Los procesos en los cuales se les evaluó. La información que se obtuvo de ellos y se está dando a conocer. Discreción con los demás compañeros de trabajo. o Se hará por medio de un reporte el cual será expuesto en un breve planteamiento; el reporte completo será entregado al encargado del área para que lo analice y se le entregaran dos copias: 21 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Digital: la cual será enviada por correo electrónica de la manera más discreta y confidencial, para confirmar su recepción se dará un plazo de dos días y con un correo de confirmación y una respuesta secreta que solo el líder del equipo y el encargado del área conocerán. Impresa: el reporte será entregado personalmente al encargado y se le pasara una hoja de recibido y tendrá que firmarla, para su entrega. o Se mostraran todos los resultados obtenidos. Después de mostrar los resultados se procederá a: o Evaluar de manera general con los involucrados los resultados. o Evitar desavenencias entre los empleados, tales como: Señalar culpables. Negar responsabilidades. Al finalizar la reunión se acordara con el jefe de área el punto en el cual se explica cómo se hará la entrega del reporte completo. 2.8. DEFINICION DE MÉTRICAS. Para el desarrollo de las métricas nos hemos basado en listas de control o checklist, en las cuales hemos establecido métricas que nos devuelven un indicador que va catalogado del 1 al 5 en donde el límite inferior 1, significa la ausencia total de este control lo cual es catalogado como inexistente, y el límite superior que es 2, lo cual significa la existencia de este control, o cumplimiento de este, y además de manera óptima, luego existen las ponderaciones intermedias que muestran el grado de deficiencia en que se encuentran dichos controles actualmente en la empresa. 22 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Para establecer el rigor con que son aplicadas las métricas nos basamos en la experiencia del personal y en las normativas de trabajo, dichas unidades de medición son escalables, simples, y objetivas. Dichos controles quedan evidenciados en los anexos 2.9. PRESUPUESTOS Y PROGRAMAS. RCR Refrigeración S.A. de C.V. Presente Propuesta de auditoria informática. La presente propuesta abarca todo el desarrollo de la auditoria, así como los suministros necesarios. Presupuesto auditoria de RCR Refrigeración S.A. de .C.V. Auditoria externa. 23 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. PRESUPUESTO CONCEPTO Caja Hojas Cartucho de Tinta Carga de Gasolina(Tanque) Cantid ad(C) Utilidad Precio Unitario (PU) INSUMOS (MATERIAL DE OFICINA) Impresión y entrega de 1 $250.00 informes y encuestas Impresión y entrega de 3 $240.00 informes y encuestas 2 Transporte PU*C $250.00 $720.00 $450.00 $900.00 ASPECTOS DE EVALUACION Evaluación de los sistemas en el área de programación de las mismas. Evaluación de los sistemas en el área de redes de las mismas Evaluación en el área administrativa de la empresa. 1 Se realiza el cobro en la evaluación de dicho aspecto. $200.00 $200.00 1 Se realiza el cobro en la evaluación de dicho aspecto. $220.00 $200.00 1 Se realiza el cobro en la evaluación de dicho aspecto. $200.00 $200.00 TOTAL Monto en Pesos (MN). Los precios incluyen IVA (Impuesto al Valor Agregado). 24 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. $2,470.00 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Los pagos puede realizarlos por medio de: Paypal. Moneygram. Transferencia bancaria. Cheque.1 Atentamente auditor. 1 Para todo cheque rechazado se hará un recargo extra. Programa de la auditoria. Unidad encargada Activida Descripción Día d Unidad s 1 Solicitud de la auditoria. 2 Reunión 1 administrativa Unidad administrativa del equipo con los 1 solicitantes de la auditoria. 3 Delimitación de cargos en el equipo 1 auditor. Unidad de 4 informática Unidad informática Concretización del día y hora de la 1 primera reunión con el encargado. 5 Reunión del encargado del área de 2 25 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. sistemas con los auditores para definir una fecha en la que se visitaran las instalaciones de informática. 6 Delimitar el plan de la auditoria y 1 evaluar los aspectos a tomar en cuenta. Unidad informática 7 Entrevistas con el jefe de 2 informática y el personal. 8 Procesamiento de la información 4 obtenida. Unidad administrativa 9 e Concretar la fecha de la reunión del 1 análisis de resultados. informática Unidad administrativa 10 e Reunión con el personal y el jefe 1 sobre los resultados del informe. informática 26 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. 2.10. PROGRAMA DE AUDITORIA DE RCR REFRIGERACIÓN S.A. de C.V. Algunos de los procesos por los que deberá pasar son: EXAMEN •el examen sirvira para dar pauta de como se encuentra la empresa INSPECCION •la inspeccion sirve para ver las condiciones en las que se encuentran los quipos y en especial a la pagian auditada CONFIRMACON •en este se hara al confirmacion y aceptacion de la auditoria CONPARACION •se hara una comparacion provicional de como seria el mejoramiento de la pagina despues de la auditoria REVISION DOCUMENTAL •se revisara al documentaci on si esta existe. ACTA TESTIMONIAL •aqui se presentara el informe final de la auditoria Se ha decidido utilizar el modelo de cascada debido a que éste modelo es el más completo según mi punto de vista, porque la secuencia que el modelo sigue se adapta mejor al proceso de auditoría del Sistema Web de RCR Refrigeración S.A de C.V. 2.11. IDENTIFICAR DESVIACIONES Y ELABORAR BORRADORES DE INFORMES. DESVIACIONES Y BORRADORES DE INFORMES. 27 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. En el caso de nuestro proyecto vamos a evaluar alrededor de 6 áreas de gran importancia para el sistema y obtener los resultados que serán brindados en el informe final de la auditoria. Mencionamos las áreas: Hardware. Software. Base de Datos. Redes. Gerencia. Documentación. Con los resultados de la aplicación de las actividades a realizar, se deberá tener un plan de clasificación de hallazgos. Este plan consistirá de la siguiente forma: 1. Para el hallazgo de información en cada uno de las actividades se tomara una metodología diferente. Actividad. Entrevista. Manejo de los Hallazgos. -Se tomara en base a la opinión del entrevistado que contestara las preguntas, que hayamos diseñado. -Tomando en cuenta puntos positivos y negativos. -Se dividirá la entrevista en cada área para abarcar la mayor cantidad de información que se posea. Encuesta. -Dicha encuesta será pasada, a la persona o personas que utilizan el sistema. En caso de ser solo una, se puede convertir la actividad en entrevista. -Se evaluara los puntos que fueron planteados en los controles descritos. -De acuerdo a la opinión que se encuentre, se tomara muy en cuenta en el informe final. Listas de -Se tomaran muy en cuenta las mayores y menores notas Chequeo. que se brinden a cada aspecto de la lista de chequeo. -Se comparara con las demás actividades. Observación. -Se anotara aspectos positivos y negativos. -Se anotaran los más mínimos detalles de la auditoria. -Se tomara pruebas de los resultados, como fotos, para la comprobación. Evaluación de -Se anotara todos los aspectos positivos o negativos de la Documentación documentación que se presente. 2. Se clasificaran los hallazgos por áreas de estudio. Y en cada área se clasificara en: 28 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Positivos: No se necesita ningún cambio a ese aspecto. Menores: No representan una mayor urgencia de cambio, es decir que puede seguir manteniendo por un tiempo. Mayores: Necesitan una mayor atención y posiblemente sean requeridos un cambio, a los aspectos que estén en esta categoría. REPORTES DE ASPECTOS ENCONTRADOS. Sistema: Fecha: 05 de Julio del 2015 Área: Ventas Aspectos Positivos. - Diseño agradable. Fácil interacción. Muestra la información correctamente. Aspectos Negativos. - Poca seguridad de la información. - No cuenta con validaciones. - Las contraseñas no están encriptadas. Carácter Menor - La funcionalidad es deficiente. Suele estar lento a veces. Carácter Mayor. - Estructura de red deficiente. La estructura de la red es deficiente. 29 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. DESVIACIONES. En el caso de las desviaciones hasta el momento se han hallado varios descubrimientos. A continuación detallamos algunas desviaciones. Hardware. -El hardware encontrado, no es muy adecuado con respecto a las necesidades del sistema. -Algunos de los dispositivos no se encuentran activados dentro de las computadoras, esto puede ser debido a no se encuentran activados o no se les ha colocado los drivers que se deberá tener. -Algunos de los equipos se encuentran desubicados, es decir que no se encuentran dentro de una misma área específica. Software. -Los reportes que se están desarrollando en el sistema, no son de mucha confianza, debido a que toman informaciones más de lo debido. -El software no posee una contraseña de acceso, esto genera un gran error de acceso, porque puede ser visto por otras personas. Base de Datos. -La base de datos se encuentra insegura, es decir que no se encuentra encriptado. Redes. -El sistema en general no tiene instalado un área de redes que conecte el sistema. Es decir que para poder pasar una información a otra computadora debe ser solo por diskette Gerencia. -No existe personas que puedan desarrollar un mantenimiento del equipo en su totalidad. Documentación. 30 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. -No existe documentación hasta el momento encontradas. Se estará encontrando más adelante más puntos o desviaciones que ofrezcan la auditoria. 2.12. PRESENTAR DESVIACIONES A DISCUSIÓN. GLOSARIO Auditoría de la información 31 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Metodología global que permite detectar de forma sistemática el uso, los recursos y los flujos de información dentro de una organización, y determinar qué información es crítica para el cumplimiento de su misión y objetivos. Identifica necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes. Auditores externos. Profesionales facultados que no son empleados de la organización cuyas afirmaciones o declaraciones auditan. Auditores internos. Profesionales empleados por una organización para examinar continuamente y evaluar el sistema de control interno y presentar los resultados de su investigación y recomendaciones a la alta dirección de la entidad. Auditoría financiera o de estados financieros. Consiste en el examen y evaluación de los documentos, operaciones, registros y estados financieros del auditado, para determinar si éstos reflejan razonablemente, su situación financiera y los resultados de sus operaciones, así como el cumplimiento de las disposiciones económico-financieras, con el objetivo de mejorar los procedimientos relativos a la gestión económico-financiera y el control interno. Evaluación de servicios de información Valoración, desde el punto de vista cuantitativo, cualitativo y de impacto en el seno de la organización del servicio de información, para determinar en qué medida cumple los objetivos para los que fue creado y detectar áreas de mejora donde concentrar intervenciones posteriores. Flujo de información Movimiento de información entre departamentos e individuos dentro de una organización y entre una organización y su entorno. 32 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Control interno. Todas las medidas utilizadas por una empresa para protegerse contra errores, desperdicios o fraudes y para asegurar la confiabilidad de los datos contables. Está diseñado para ayudar a la operación eficiente de una empresa y para asegurar el cumplimiento de las políticas de la empresa. Economía. Se obtiene cuando se reduce al mínimo el costo de los recursos que se emplean en una actividad, con la debida consideración a su calidad apropiada. Eficacia. El grado en que se cumplen los objetivos y la relación entre el efecto deseado en una actividad y su efecto real. Eficiencia. La relación que existe entre el producto (en término de bienes, servicios u otros resultados) y los recursos empleados en su producción. Entidad (empresarial). Una unidad económica que realiza transacciones comerciales que se deben registrar, resumir y reportar. Se considera la entidad separada de su propietario o propietarios. Estados Financieros. Fuentes de información sobre la marcha de la entidad empresarial. Incumplimiento. No pago de intereses o capital de un pagaré en la fecha de vencimiento. Objetivo de la auditoría. Propósito o fin que persigue la auditoría, o la pregunta que se desea contestar por medio de la auditoría. Riesgo. Posibilidad de que no puedan prevenirse o detectarse errores o irregularidades importantes. Riesgo inherente. Existe un error que es significativo y se puede combinar con otros errores cuando no hay control. 33 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Riego de control. Error que no puede ser evitado o detectado oportunamente por el sistema de control interno. Riesgo de detección. Se realizan pruebas exitosas a partir de un procedimiento de prueba inadecuado. Técnicas de auditoría. Métodos que el auditor emplea para realizar las verificaciones planteadas en los programas de auditoría, que tienen como objetivo la obtención de evidencia. 34 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. FUENTES DE INFORMACION A. BIBLIOGRAFÍA. 1. AUDITORIA EN SISTEMAS COMPUTACIONALES. CARLOS MUÑOZ RAZO. Editorial Prentice Hall. 2006. México. B. SITIOS WEB. 1.- http //auditoriasistemas.com/auditoria-de-sistemas-informaticos/, Sitio informativo de Auditores y consultores en seguridad informática. 2.http://www.mitecnologico.com/Main/InvestigacionPreliminarAuditoriaInformatica/, Sitio informativo de tecnología , articulo de auditoría informática. 3.- http://www.encolombia.com/medicina/enfermeria/Enfermeria8405-Sistemas.htm, Sitio informático de auditoría de sistemas en la Salud y sus sistemas. 35 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. PARTICIPACION EN EL PROYECTO Nombre TSU-SI Jesús Francisco Niebla Sortillón Participación Etapa 1 Etapa 2 Etapa 3 X X X Etapa 4 X 36 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. Etapa 5 X Etapa 6 X 2015 Jesús Francisco Niebla Sortillón ITI 9-3. ANEXOS AREA DE AUDITORIA DE SISTEMAS DE INFORMACIÓN. EMPRESA: RCR Refrigeración S.A. de C.V. PAGINA WEB: Sistema WEB RCR. Objetivo: Determinar por medio de esta lista de chequeo, el grado de seguridad que ofrecen al momento de protección de la información. En la siguiente lista coloque un cheque según crea conveniente, basado en una escala de rangos donde 1 es inexistente, 2 deficientes, 3 mejorable, 4 aceptable, 5 correcto. ACCESO A LA INFORMACIÓN. Preguntas. 1. ¿El sistema posee una petición de usuario y contraseña a la entrada del sistema? 2. ¿La digitación de la contraseña se hace de forma encriptado? 3. ¿El sistema no posee deficiencias al momento de ingresar, con un usuario y contraseña correcta? 1 x 4. ¿El sistema guarda el usuario y su contraseña en la base de datos respectiva? 5. ¿La modificación de usuario y contraseña se hace de forma efectiva? 6. ¿La eliminación de usuario y contraseña se hace de forma efectiva? 37 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2 3 4 x x x x x 5 2015 Jesús Francisco Niebla Sortillón ITI 9-3. 7. ¿Se puede agregar de forma correcta el usuario y contraseña y establecer su existencia? 8. ¿Se puede diferenciar los permisos de usuario ya administrativo? PUNTAJE EN ESTA SECCIÓN. ENTRADA DE DATOS. Preguntas 1. ¿Los formularios se encuentran validados de acuerdo a la especificación de cada dato que se debe ingresar? 2. ¿Existen las notificaciones de los datos obligatorios que necesita el sistema? 3. ¿Existen las alertas necesarias al momento que falte datos obligatorios? 4. ¿El sistema ingresa correctamente los datos a la base de datos que se está empleando? PUNTAJE EN ESTA SECCIÓN. REDES DE COMUNICACIÓN. Preguntas. 1. ¿La información que se envía por medio de redes computacionales llega de forma segura a su destino? 2. ¿La red del sistema posee el cableado necesario, sin fuga de información? 3. ¿El cableado cumple las normas para evitar la latencia y la atenuación de las señales? 4. ¿La información que se envía por las redes se encuentran encriptados? PUNTAJE EN ESTA SECCIÓN. BASE DE DATOS. Preguntas 1. ¿Está protegido el ingreso al sistema gestor y a la x x 1 2 6 16 0 1 2 3 x 4 5 x x x 0 4 3 4 0 1 2 3 4 x 5 x x x 0 2 0 12 0 1 2 3 4 x 38 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 5 2015 Jesús Francisco Niebla Sortillón ITI 9-3. base de datos? x 2. ¿Se encuentran encriptados los datos que se están utilizando? x 3. ¿Se modifica información, desde la base de datos, sin necesidad de ingresar al sistema? 4. En la base de datos, ¿Los permisos de acceso están definidos? x 5. ¿Existe el uso del backup, para guardar la información? x 6. ¿El backup es realizado con frecuencia? x PUNTAJE EN ESTA SECCIÓN. HARDWARE. Preguntas. 1. ¿El área donde se encuentra el equipo hardware está protegido? 0 0 12 8 0 1 2 3 5 x 2. ¿Dicha área, posee las herramientas necesarias en casos de emergencias (extintores, aire acondicionado, otros)? 3. ¿El acceso al área es muy restringido? 4. ¿El personal es capacitado para manejar, ese equipo y la información que lo posea? PUNTAJE EN ESTA SECCIÓN. TOTALES. TOTAL FINAL 4 x x x 0 0 0 16 0 1 8 21 56 0 86 OBSERVACIONES: por la puntuación obtenida en el check list (86 puntos), se puede constatar 39 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. que la página web RCR Refrigeración S.A. de C.V. cumple con las condiciones necesarias para seguir funcionando dentro de la empresa. Pero también queda decir que no necesariamente está al 100%. LISTA DE CHEQUEO CONTROL DE LA CALIDAD Objetivo: El objetivo principal que se persigue al llevar acabo esta lista de chequeo es la Evaluación de cómo gestionan la calidad de los sistemas y procedimientos. Aun cuando se han dejado sólo dos columnas para verificar la existencia o detección de evidencia/s de cumplimiento de cada requisito exigido por la norma de referencia, en ocasiones, la respuesta o valoración podría ser matizada en un campo anexado nominado como “Observaciones” cuando se aprecien indicios o evidencias no suficientes pero que manifiestan cierto nivel de cumplimiento del requisito. 40 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. SI NO CONTRO DE LA CALIDAD Sobre La Organización: x a) Identifica y reconoce los procesos necesarios para la gestión de la calidad y su aplicación a través de la organización. x b) determina la secuencia e interacción de estos procesos, x c) determina los métodos y criterios requeridos para asegurar: el funcionamiento efectivo y el control de los procesos, x d) asegura la disponibilidad de recursos e información necesarios para apoyar el funcionamiento y el seguimiento de los procesos, x e) mide, realiza el seguimiento y analiza estos procesos, f) implanta las acciones necesarias para alcanzar los resultados previstos x y la mejora continua de estos procesos. Si la organización tiene contratado externamente algún proceso que afecte a la interacción del sistema informático y por ende su calidad de desarrollo x a) ¿Se asegura el control sobre tales procesos? x b) ¿El control de dichos procesos contratados externamente está identificado en el sistema de gestión de la calidad? La documentación del sistema de gestión de la calidad incluye: a) declaraciones documentadas de una política de la calidad y de objetivos x de la calidad, El manual de la calidad incluye: x Todas las funciones desempeñadas por el proceso de la organización, especificando el protocolo a desarrollar en cada una. x Documentación acerca de normas o estándares que se están cumpliendo o deberían de cumplirse. El procedimiento documentado para el control de documentos contempla entre otras, las disposiciones necesarias: x para asegurar que las versiones pertinentes de los documentos aplicables se encuentran disponibles en los puntos de uso x paraasegurar que los documentos permanecen legibles y fácilmente identificables x para asegurar que se identifican los documentos de origen externo y que se controla su distribución. x Los registros de calidad permanecen legibles, fácilmente identificables y 41 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. recuperables Acerca de las salidas y entradas de información. Se cumple una normativa o estándar en la que se respalde los métodos de ingreso y salida de datos El ingreso de datos se lleva a cabo acorde a las normas de calidad establecidas por la empresa x OBSERVACIONES: en este chek list se puede constatar que la pagina web tiene un alto grado de calidad. 42 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. x 2015 Jesús Francisco Niebla Sortillón ITI 9-3. AREA DE AUDITORIA DE SISTEMAS DE INFORMACIÓN. EMPRESA: RCR Refrigeración S.A. de C.V. PAGINA WEB: RCR Refrigeración S.A. de C.V. Objetivo: Determinar el nivel de control que se posee el sistema evaluado. Indicaciones: Coloque un cheque en la casilla donde más le parezca sabiendo que 1-Deficiente y 5-Aprobado. ENTRADA AL SISTEMA. Preguntas. 9. ¿El acceso al sistema se hace de acuerdo a un usuario y contraseña? 10. ¿Los permisos que se brindan son definidos en el interior del sistema? 11. ¿El sistema es capaz de eliminar esos permisos? 1 x 2 3 x x 13. ¿Existen opciones en caso de no conocer usuario y contraseña? x ENTRADA DE DATOS. Preguntas 5. ¿Los formularios se encuentran validados de acuerdo a la especificación de cada dato que se debe ingresar? 6. ¿Existen los botones para la administración de la información? 5 x 12. ¿Se puede modificar los permisos en el sistema? PUNTAJE EN ESTA SECCIÓN. 4 1 0 12 0 0 1 2 x 3 5 7. ¿Existen las alertas necesarias al ingresar información? 8. ¿El sistema ingresa correctamente los datos a la base de datos que se está empleando? 43 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 4 x x x 2015 Jesús Francisco Niebla Sortillón ITI 9-3. PUNTAJE EN ESTA SECCIÓN. REDES DE COMUNICACIÓN. Preguntas. 5. ¿La información que se envía por medio de redes computacionales llega de forma segura a su destino? 6. ¿Están definidas las rutas que llevaran los paquetes de un punto a otro? 7. ¿El cableado cumple las normas para evitar la latencia y la atenuación de las señales? 8. ¿Están definidos los protocolos de enrutamiento que se usan para conocer las rutas? 9. ¿Está definida físicamente la topología (física y lógica) que lleva el sistema? PUNTAJE EN ESTA SECCIÓN. BASE DE DATOS. Preguntas 7. ¿Están normalizadas la base de datos que se usara? 0 4 3 4 0 1 2 3 4 x 5 x x x x 0 0 6 12 0 1 2 3 x 4 8. ¿Están estructuradas las bases de datos con la información coherente para la entrada y salida? x 9. ¿Se modifica información, desde la base de datos, sin necesidad de ingresar al sistema? 10. ¿Se hace el uso de trigger, procedimientos, con el fin de ayudar al sistema gestor de base de datos para realizar procesos más eficientes? x 5 x x 11. ¿Los datos que se guardan son muy necesarios a la hora de su uso? PUNTAJE EN ESTA SECCIÓN. 0 44 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 0 12 8 0 2015 Jesús Francisco Niebla Sortillón ITI 9-3. 12. SALIDA DE DATOS. 13. Preguntas. 14. ¿Los reportes están definidos con la información necesaria? 1 2 3 x 15. ¿Existe el equipo para la salida de información con buen funcionamiento (Impresoras, pantallas, etc)? 16. ¿Los datos están bien marcados dentro del reporte? x 17. ¿Existen las opciones de modificación de la información con los datos ya evaluados? 18. PUNTAJE EN ESTA SECCIÓN. x 19. TOTALES. 20. TOTAL FINAL 4 5 0 x 0 0 12 0 1 4 45 24 0 74 Aspectos generales 1. -¿Cumple el sitio con sus objetivos? Si, el sitio cumple con los objetivos planteados antes de su creación. 2. ¿Está diseñado para darle a los usuarios lo que ellos quieren? Si cumple con las necesidades de los usuarios, aunque podría haber un mejoramiento en cuanto a este punto. 3. ¿Es eficiente? Si, su nivel de eficacia es medio. 4. ¿Es intuitivo? Si, el sitio cuenta con un diseño bastante intuitivo para el usuario, lo cual lo hace muy fácil de manejar. 5. ¿Mantiene una consistencia tanto en su funcionamiento como en su apariencia? Si, la apariencia es agradable a simple vista y su funcionamiento es a modo de la apariencia, todo está donde se debe, no hay nada fuera de lugar dentro del sitio. 6. ¿Facilita que el usuario se sienta cómodo con el control del sitio? Si, el usuario en todo momento se siente cómodo dado a que los botones, imágenes y distintas funcionalidades están en un fácil acceso y uso. 45 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. Branding 7. ¿Muestra la home page la naturaleza del negocio y se identifica bien el logotipo o marca? La página de inicio de RCR Refrigeración S.A. de C.V. da una clara vista del giro de la empresa, y su logotipo es visible perfectamente. 8. ¿Aparecen elementos de la marca o de la imagen corporativa en todas las páginas? No, existen páginas en las que la imagen corporativa no se incorporó, es algo en lo que se pretende trabajar. 9. ¿Aparece la marca en un lugar importante dentro de la página? Claro que sí, el logotipo ademar de estar en la página de inicio, este también se encuentra en el apartado de historia del sitio. Navegcion 10. ¿Aparece la navegación en un lugar prominente, donde se vea fácilmente? Si, la navegación es más que óptima. 11. -¿Los enlaces que son imágenes tienen su atributo ALT escrito?- Si ha usado JavaScript para la navegación ¿ha preparado también una navegación en modo texto? Para esto la página cuenta con además de imágenes con link’s, texto en el cual el usuario puede apoyarse para comprender su funcionamiento y navegación. 12. ¿Existen enlaces rotos o que no conducen a ningún sitio? (Compruébelo y quítelos inmediatamente.) No, en RCR Refrigeración S.A. de C.V. no existe ningún link que no sea necesario. 13. ¿Tiene el sitio un site map o un buscador para quienes quieren acceder directamente a los contenidos sin tener que navegar? Si, el sitio cuenta con este tipo de enlaces, un ejemplo importante es el menú de productos. 14. ¿Se mantiene una navegación consistente y coherente a lo largo del sitio? Si, la navegación es adecuada en todo momento dado esto a la lógica con la que fue hecha. 46 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. 15. ¿Existen elementos que permitan al usuario saber exactamente dónde se encuentra dentro del sitio y cómo volver atrás (breadcrumbs)? Si, algunos elementos son la pestaña de navegación, y los títulos de las páginas, y para regresar están los botones de atrás que fueron incorporados. 16. ¿Indican los enlaces claramente hacia dónde apuntan? Si, cada enlace cuenta con un título coherente hacia donde te será redirigido. 17. ¿Está claro lo que el usuario encontrará detrás de cada uno? Si, dado a que cada enlace que se encuentra dentro del sitio tiene un nombre acorde a donde se quiere llegar con él. Imágenes 18. ¿Se han optimizado las imágenes para reducir el tamaño? Si, la imágenes cuentan con el tamaño adecuado de acuerdo para lo que son usadas. 19. ¿Tienen la resolución correcta (72 dpi)? Si. 20. Las imágenes demasiado grandes pueden cortarse en "trocitos" y unirlas mediante tablas para acelerar la descarga. Considere este recurso si la velocidad en su sitio es un factor importante. Esto no es necesario dado a que las imágenes del sitio están bien organizadas y el trato de resolución que se les dio fue el adecuado 21. ¿Tienen las imágenes que lo requieran una descripción mediante el atributo ALT? No, algunas imágenes no tienen descripción. Animaciones 22. Evite las animaciones cíclicas (i.e. gif animados que se repiten hasta el cansancio), a menos que cumplan con un propósito claro. La página no cuenta con ningún tipo de imagen con movimiento. 23. Use animaciones Flash sólo si es absolutamente necesario. Si es posible hacer lo mismo utilizando DHTML, hágalo. En el sitio no fe necesaria la utilización de flash. Banners y Publicidad 24. - Si el sitio contiene banners, trate de optimizar el tamaño al mínimo. El sitio de RCR Refrigeración S.A. de C.V. no cuenta con banners. 47 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. 25. - Ubicación de los banners. Si el sitio "vive" de la publicidad considere la posibilidad de ubicarlos en la parte superior de la página o en el margen derecho (según estudios, funcionan mejor los que se encuentran a la derecha, cerca de la barra de scroll) el sitio no cuenta con publicidad. Contenidos 26. - ¿Es coherente el contenido con el contexto de la página o sitio? Sí, no hay texto ni imagen que no se identifique con el giro de la empresa. 27. - ¿La redacción es corta y precisa? Evite los textos demasiado extensos. Si, el texto dentro de la página es concreto acorde lo que se quiere informar al usuario. 28. - ¿Existen referencias cruzadas entre textos que están relacionados? Evite usar líneas horizontales para hacer separaciones en los textos, pueden ser interpretadas como el fin de la información. No, cada texto es independiente a lo que quiere informar, y si así lo fuese su demarcación es con un punto. Tecnología 29. - ¿La tecnología utilizada en el sitio es compatible con el software y hardware de los usuarios objetivos? Sí, es para todos los HW y SW. 30. - ¿No tendrán que descargar elementos como plug-ins para poder usarlo? No, nada más deberá de contar con un navegador web y acceso a internet. 31. -Si es importante utilizar recursos técnicos que requieran la descarga de plug-ins, ¿se le informa al usuario de esta situación y se le explica la importancia de hacerlo? Si en su dado caso eso fuera necesario claro que se haría. Interfaz 32. -¿Tiene el sitio una interfaz amigable, con colores que concuerde con los objetivos y propósitos del sitio? Si el sitio es bastante amigable para el usuario, los colores utilizados son frescos y objetivos. 33. -¿Hay espacios blancos (libres) entre el contenido, para descansa la vista o existe una sobresaturación de elementos en la página que 48 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. desconcierta al usuario? Si, existen espacios en blanco y no hay sobresaturación en el sitio. 34. - ¿Se ve el sitio exactamente igual tanto en Mac como en PC? Si, el sitio fue echo para los dos SO 35. -¿Y en Explorer, Chrome, Mozillla y navegadores móviles? Si no, recurra a código específico para que se muestre igual (simplifique a versiones anteriores de HTML o utilice JavaScript para reconocimiento de navegadores) El código utilizado es compatible con estos navegadores. FeedBack 36. -¿Se han previsto respuestas del sistema frente a interaccione del usuario? (ej, se le informa que se ha recibido satisfactoriamente un formulario enviado). Si, cada vez que se realiza un cambio, eliminación, o alta de información el sistema lanza mensajes de confirmación. 37. -¿Puede el usuario ponerse en contacto para hacer sugerencias o comentarios? Por su puesto, el usuario es el encargado de retroalimentar para poder hacer mejoras al sitio. 49 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. CONCLUSIÓN. La realización de la auditoria es una parte importante en la administración y organización de cualquier empresa, ya que esta ayuda a detectar deficiencias y problemas a futuro, lo que puede ayudar a corregirlos y servir como medida preventivas para que no ocurran problemas al momento de utilizar. Una auditoria de sistemas también puede servir como apoyo a las empresas para ver la forma en que pueden mejorar los sistemas con los que cuentan y ver también más y mejores opciones de sistemas de información que les pueden ayudar a mejorar sus actividades. Antes de realizar un auditoria informática es muy importante resaltar los puntos que se van a evaluar durante esta, para poder así tener en claro los puntos que hay que mejorar después de obtener los resultados de la auditoría. Al realizar la auditoría a la empresa RCR Refrigeración me di cuenta que el sistema con el que cuentan es deficiente debido a que le hacen falta validaciones lo que pone en riesgo la seguridad de la información que manejan en el sistema. La auditoría fue precisamente para detectar los errores y que a futuro estos se puedan corregir y así hacer un sistema seguro para los usuarios y para la empresa. 50 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón. 2015 Jesús Francisco Niebla Sortillón ITI 9-3. BIBLIOGRAFÍA. Monografías.com, Recuperado el 03/07/15 http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml Auditoria.com, Recuperado el 03/07/15 http://www.auditoria.com.mx/auditoria-de-sistemas-de-informacion 51 Auditoría de Sistemas de TI, Jesús Francisco Niebla Sortillón.
© Copyright 2025