METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III, Examen detallado de áreas críticas. Fase IV. Comunicación de resultados. FASE I.- ESTUDIO PRELIMINAR En esta fase preliminar el estudio es corto en tiempo y general en su investigación. La auditoría informática desarrolla actividades basado en un método de trabajo formal, que sea entendido por los auditores en informática y complementado con técnicas y herramientas propias. Las metodologías: son necesarias para desarrollar cualquier proyecto que se quiera hacer de forma ordenada y eficaz. 1. Realizar el Estudio preliminar del entorno a auditar 2. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.) 1 Etapa preliminar o diagnóstico Realizar el Estudio Preliminar del entorno a auditar. Las actividades del auditor en informática deben quedar bien definidas en los componentes formales que integran cualquier trabajo dentro de una organización. En esta fase, se visualizan los primeros síntomas, los cuales posteriormente pueden ser los más relevantes Ing.. Adin Sánchez S. Página 1
El primer paso que tiene el auditor en informática dentro de las empresas al efectuar un proyecto de auditoría en informática es hacer un diagnóstico del negocio, que incluye a la alta dirección y las áreas usuarias. Examinar situación general de funciones y actividades generales de la informática, tomar conocimiento de: Organización: Estructura organizativa del Departamento de Informática a auditar Entorno de Operación: Entorno de trabajo Aplicaciones Informáticas: Procesos informáticos realizados en la empresa auditada Bases de Datos Ficheros Organización Estructura organizativa del Departamento de Informática a auditar. Organigrama: estructura informática de la organización a auditar Departamentos: describir sus funciones Relaciones Jerárquicas y funcionales 1 Empleado con dos Jefes Flujos de Información, tanto horizontales y verticales como Ing.. Adin Sánchez S. Página 2
extradepartamentales Número de Puestos de Trabajo Nombres de los puestos de trabajo corresponden a funciones distintas: Deficiencias en estructura si varios nombres con 1 función Número de Personas por Puesto de Trabajo Distribución de recursos ineficiente Necesidad de reorganización Aquí el auditor se coordina directamente con el responsable de la función de informática. Estudio Inicial: Entorno Operativo Situación Geográfica Diferentes CPDs, (Centros de Procesamientos de Datos), con responsables Arquitectura y Configuración Hardware y Software Configuración de diferentes CPDs compatible y estén intercomunicados Inventario Hardware y Software CPUs, procesadores, PCs, periféricos, etc. Software básico, software interno y software comprado Comunicaciones y Redes de Comunicación Líneas de Comunicación Acceso a red pública e intranet En esta parte el auditor conocerá la estructura interna de informática, funciones, objetivos, estrategias, planes y políticas. Estudio Inicial: Aplicaciones Informáticas Procedimientos Informáticos realizados en la empresa Volumen, Antigüedad y Complejidad de las aplicaciones Ing.. Adin Sánchez S. Página 3
Periodicidad de ejecuciones de carga de trabajo Metodología de desarrollo de aplicaciones Documentación de aplicaciones Mantenimiento es el 70% de recursos Cantidad y Complejidad de Bases de Datos y Ficheros Tamaño y características de BD y Ficheros Número de Accesos a BD y Ficheros Frecuencia de Actualización 2. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.) Alcance Entorno y límites en que se realizará la A.I. HASTA DÓNDE SE LLEGA Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o cuando la empresa tiene varias sedes, de: Funciones (Seguridad, Dirección, etc.) Materias (S.O., BD, etc.) Departamentos o Áreas Organizativas (Explotación, Sistemas, Comunicaciones, etc.) Su no definición pondrá en peligro el éxito de la A.I. Limitaciones: QUÉ DEJA DE AUDITARSE Principalmente en materias que pueden suponerse incluidas Objetivos Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos Objetivos generales Operatividad de los S.I. Ing.. Adin Sánchez S. Página 4
Controles Generales de la Gestión Informática Verificar normas del Departamento de Informática y observar su consistencia con las del resto de la empresa Normas Generales de la Instalación Informática Procedimientos Generales y Específicos del Departamento de Informática (p.e. una aplicación no pasa a Explotación sin su correspondiente Documentación) Comprobar que no existen contradicciones con normas y procedimientos generales de la empresa Interlocutores Personas con poder de decisión y validación dentro de la empresa Personas a las que va dirigido el informe Objetivos específicos Necesidad de auditar una materia de gran especialización Contrastar algún informe interno con el que resulte del externo Evaluación del funcionamiento de áreas informáticas en un determinado departamento Aumentos de seguridad y fiabilidad FASE II, REVISIÓN Y EVALUACIÓN DE CONTROLES Y SEGURIDADES. Abarca la revisión de los diferentes diagramas de flujo de procesos como la realización de pruebas de cumplimiento de las seguridades informáticas existentes, la revisión de aplicaciones de las áreas críticas, la revisión de procesos históricos (backups), la revisión de documentación y archivos, entre otras actividades de importancia que nos permitan tener una idea más clara del entorno. Fase II: Evaluación de Controles Objetivos de la evaluación Verificar la existencia de los controles requeridos Ing.. Adin Sánchez S. Página 5
Determinar la operatividad y suficiencia de los controles existentes Plan de pruebas de los controles Incluye la selección del tipo de prueba a realizar. Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. CONTROLES Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos. Los procedimientos de control: son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control, cual deben estar aprobados por la dirección. Las herramientas de control: son los elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control. Ing.. Adin Sánchez S. Página 6
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. El sistema integral de seguridad debe comprender: Elementos administrativos Definición de una política de seguridad Organización y división de responsabilidades Seguridad física y contra catástrofes (incendio, terremotos, etc.) Prácticas de seguridad del personal Elementos técnicos y procedimientos Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Ing.. Adin Sánchez S. Página 7
Aplicación de los sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos Planeación de programas de desastre y su prueba. La informática crea riesgos informáticos, los cuales pueden causar grandes problemas en entidades, por lo cual hay que proteger y preservar dichas entidades con un entramado de contramedidas, la calidad y la eficacia de la mismas es el objetivo a evaluar para poder identificar así sus puntos débiles y mejorarlos, esta es una función de los auditores informáticos. Una contramedida nace de la composición de varios factores como: Análisis de plataformas Se trata de en determinar la plataforma para la colocación del producto más tarde. Catálogos de requerimientos previos de implantación Es determinar el inventario de lo que se va a conseguir y lo necesario para la implantación; acciones y proyectos, calendarizados, duración y seguimiento. Análisis de aplicación Se trata de inventariar las necesidades de desarrollo de INTERFASES con el diferente software de seguridad de las aplicaciones y bases de datos Fase III: EXAMEN DETALLADO DE ÁREAS CRÍTICAS Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas establecerá motivos, objetivos, alcance, recursos, metodología de trabajo, duración, plan de trabajo y análisis del problema. Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace: Un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo tablecerá los motivos, objetivos, alcance recursos que usará finirá la metodología de trabajo y la duración de la auditoría Ing.. Adin Sánchez S. Página 8
Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado. Fase IV: INFORME DE AUDITORÍA.- COMUNICACIÓN DE RESULTADOS Se elaborará del borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al definitivo. Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas. Debe contener: Motivos de la auditoria Introducción: objetivo y contenido del informe de auditoria Objetivos de la auditoría Alcance, cobertura de la evaluación realizada Estructuras Orgánicas Funcional del área informática Configuración del Hardware y software instalado Opinión: con relación a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones Ing.. Adin Sánchez S. Página 9