Auditora Inf ormtica

Presenta:

Luis F elipe Gallegos Hernndez

Anal Ro jas Zavaleta Carlos Jess Lpez Lpez Cesar Ivn Bernal Mndez

La auditora de la calidad es un proceso mediante el cual, se busca, obtener evidencias de los registros que se emiten en el proceso de calidad, en base a declaraciones de hechos o cualquier informacin, para evaluarlas de manera practica, su objetivo es determinar si realmente se estn cumpliendo polticas y los procedimientos previamente establecidos.

El concepto de calidad conforme el tiempo ha pasado, ha sufrido diversos cambios, hasta llegar a lo que hoy conocemos como: Calidad total, que significa crear productos o servicios, que satisfagan las necesidades de los clientes en un 100%, en donde estn involucrados, los empleados, los accionistas y de la sociedad, en un sentido ms amplio. Todas las formas a travs de las cuales la empresa satisface las necesidades y expectativas de sus clientes, sus empleados, las entidades implicadas financieramente y toda la sociedad en general.

La auditora informtica es el proceso mediante el cual se recoge, agrupa y evala todo tipo de evidencias para determinar si un Sistema de Informacin, trabaja adecuadamente, con los parmetros establecidos, mantiene la integridad y seguridad de los datos, llevando eficazmente los fines de la organizacin.

El control total de todo lo relacionado con la informtica empresarial. El estudio de la eficiencia de los Sistemas Informticos. La verificacin del cumplimiento de los parmetros que se establecieron. La revisin de la eficaz gestin de los recursos informticos.

CRMR (Evaluacin de la gestin de recursos informticos. ) es el mtodo de trabajo en la cual auditor pasa por las siguientes etapas:

1. 2. 3. 4. 5. 6. 7.

Alcance y Objetivos de la Auditora Informtica Estudio inicial del entorno auditable Determinacin de los recursos necesarios para realizar la auditora Elaboracin del plan y de los Programas de Trabajo Actividades propiamente dichas de la auditora Confeccin y redaccin del Informe Final Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final

F ase 1
El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. Las personas que realizan la auditora han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

F ase 2:
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informtica. Para su realizacin el auditor debe conocer lo siguiente: Organizacin: Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. Para realizar esto en auditor deber fijarse en: 1) Organigrama: 2) Departamentos: 3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin 4) Flujos de Informacin 5) Nmero de Puestos de trabajo. 6) Nmero de personas por Puesto de Trabajo

El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que va a desenvolverse
a. b. c. d. Situacin geogrfica de los Sistemas: Arquitectura y configuracin de Hardware y Software: Inventario de Hardware y Software: Comunicacin y Redes de Comunicacin:

F ase 3:
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditora. Recursos humanos (La cantidad de recursos depende del volumen auditable) Recursos materiales(Hardware y software)

F ase 4
Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un plan de trabajo. Decidido ste, se procede a la programacin del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la elaboracin es ms compleja y costosa. b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de auditores necesarios, sino las especialidades necesarias del personal.

F ase 5
La auditora Informtica general se realiza por reas generales o por reas especficas, utilizando lo siguiente:
Tcnicas de Trabajo: Anlisis de la informacin recabada del auditado Anlisis de la informacin propia Cruzamiento de las informaciones anteriores Entrevistas Simulacin Muestreos

Herramientas: Cuestionario general inicial Cuestionario Checklist Estndares Monitores Simuladores (Generadores de datos) Paquetes de auditora (Generadores de Programas) Matrices de riesgo

F ase 6
La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad.
El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente.
Definicin de objetivos y alcance de la auditora. Enumeracin de temas considerados: Cuerpo expositivo: Para cada tema, se seguir el siguiente orden a saber: a) Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin real b) Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras. c) Puntos dbiles y amenazas d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica. e) Redaccin posterior de la Carta de Introduccin o Presentacin.

F ase 7
La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora. La carta de introduccin poseer los siguientes atributos: Tendr como mximo 4 folios Incluir fecha, naturaleza, objetivos y alcance Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad. En la carta de Introduccin no se escribirn nunca recomendaciones.

Tcnicas de Trabajo: Anlisis de la informacin recabada del auditado Anlisis de la informacin propia Cruzamiento de las informaciones anteriores Entrevistas Simulacin Muestreos Herramientas: Cuestionario general inicial Cuestionario Checklist Estndares Monitores Simuladores (Generadores de datos) Paquetes de auditora (Generadores de Programas) Matrices de riesgo

Cuestionarios Conjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma. Entrevista La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.

Checklists:
Responden fundamentalmente a dos tipos de filosofa de calificacin o evaluacin: Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo) Checklist Binaria Es la constituida por preguntas con respuesta nica y excluyente: Si o No. Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente

Trazas y/o Huellas : Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa. Muy especialmente, estas Trazas se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo

Software de Interrogacin: Los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin

ISO 9000, 9000-3 , 12207 y Modelo CMM

Aspectos y cuestiones que se ven involucrados en una certificacin de calidad, la cual implica un fuerte compromiso en todos los niveles de la empresa por la excelencia y profesionalismo del servicio o producto certificado.

Proporcionar elementos para que una organizacin pueda lograr la calidad del producto o servicio, a la vez que mantenerla en el tiempo, de manera que las necesidades del cliente sean satisfechas permanentemente, permitindole a la empresa reducir costos de calidad, aumentar la productividad, y destacarse o sobresalir frente a la competencia.

Es un conjunto de normas sobre calidad y gestin de calidad, establecidas por la Organizacin Internacional de Normalizacin (ISO). Se pueden aplicar en cualquier tipo de organizacin o actividad orientada a la produccin de bienes o servicios. Las normas recogen tanto el contenido mnimo como las guas y herramientas especficas de implantacin como los mtodos de auditora. El ISO 9000 especifica la manera en que una organizacin opera sus estndares de calidad, tiempos de entrega y niveles de servicio.

La norma ISO 9000-3 son los estndares utilizados para el desarrollo, suministro y mantenimiento del software. mbito de aplicacin:

Desarrollo de Sistemas de Informacin Procesos del Ciclo de vida Calidad de Software

Con la norma se busca dar orientaciones en situaciones en las que se exija la demostracin de la capacidad de un proveedor para desarrollar, suministrar y mantener productos de software. La norma sugiere clases de control y mtodos para la produccin de software que satisfaga los requisitos establecidos.o

Esta norma esta orientada a los procesos de ciclo de vida del software de la organizacin ISO. Establece un proceso de ciclo de vida para el software que incluye procesos y actividades que se aplican desde la definicin de requisitos, pasando por la adquisicin y configuracin de los servicios del sistema, hasta la finalizacin de su uso.

Este estndar tiene como objetivo principal proporcionar una estructura comn para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y tcnicos involucrados en el desarrollo de software usen un lenguaje comn.

El CMM (Capability Maturity Model for Software), es decir, Modelo de Madurez de Capacidades. Fue creado por el Software Engineering Institute (SEI) y tiene como Meta el describir los elementos principales para llegar a cabo los procesos de software de una forma efectivos. El CMM consiste en una serie de procedimientos destinados a evaluar y mejorar los procesos de desarrollo, implementacin y mantenimiento del software.

CMM define cinco niveles de madurez para una organizacin y proporciona un marco para moverse a partir de un nivel al siguiente.

1 Inicial. Las organizaciones en este nivel no disponen de un ambiente estable para el desarrollo y mantenimiento de software. Aunque se utilicen tcnicas correctas de ingeniera, los esfuerzos se ven minados por falta de planificacin. 2 Repetible. En este nivel las organizaciones disponen de unas prcticas institucionalizadas de gestin de proyectos, existen unas mtricas bsicas y un razonable seguimiento de la calidad. 3 Definido. Adems de una buena gestin de proyectos, a este nivel las organizaciones disponen de correctos procedimientos de coordinacin entre grupos, formacin del personal, tcnicas de ingeniera ms detalladas y un nivel ms avanzado de mtricas en los procesos.

4 Gestionado. Se caracteriza por que las organizaciones disponen de un conjunto de mtricas significativas de calidad y productividad, que se usan de modo sistemtico para la toma de decisiones y la gestin de riesgos. El software resultante es de alta calidad.
5 Optimizado. La organizacin completa est volcada en la mejora continua de los procesos. Se hace uso intensivo de las mtricas y se gestiona el proceso de innovacin.

 Mayor efectividad en la deteccin de errores a lo largo del ciclo de vida del desarrollo del software, reduciendo drsticamente el nmero de defectos. Reduccin de las desviaciones en plazo de los proyectos. Mayor tolerancia al cambio e incremento de la capacidad de adopcin y adaptacin de nuevas Tecnologas. Mejora en la rapidez y efectividad de respuesta ante exigencias del negocio. Mejora en la colaboracin y comunicacin. Mitigacin de Riesgo.

Disposiciones oficiales mexicanas para desarrollo de software.

Plan Nacional de Desarrollo

PROSOFT
Es una estrategia institucional del gobierno federal para impulsar a la industria del software y servicios relacionados.

Mxico tiene un nivel de gasto en tecnologas de la informacin y comunicaciones (TIC) de 3.2% del PIB, ubicndose en el lugar 50 a nivel mundial

Este rezago es an mayor en trminos de gasto en software, que es 6 veces inferior al promedio mundial y 9 veces menor que el de EUA
Pases como la India, Irlanda y Singapur han sido exitosos en desarrollar su industria de software como motor de su crecimiento econmicos Mxico cuenta con un gran potencial para desarrollar esta industria

PROSOFT

Objetivos Metas Estrategias

1.- Promover las exportaciones y la atraccin de inversiones

2.- Educacin y formacin de personal competente en el desarrollo de software, en cantidad y calidad convenientes

3.- Contar con un marco legal promotor de la industria

4.- Desarrollar el mercado interno

5.- Fortalecer a la industria local 6.- Alcanzar niveles internacionales en capacidad de procesos 7.- Promover la construccin de infraestructura bsica y de telecomunicaciones

MOPROSOFT
Modelo de Procesos para la Industria del Software Modelo para la mejora y evaluacin de los procesos de desarrollo y mantenimiento de sistemas y productos de software. Norma tcnica a la que da contenido es la NMX-059/01NYCE-2005

Moprosoft identifica los procesos empleados por las empresas de desarrollo y mantenimiento de software y los clasifica en tres categoras:
Categora de alta direccin (DIR) Categora de Gerencia (GER) Categora de Operacin (OPE)

Nyce
Normalizacin y Certificacin Electrnica A. C.

Cmo surge?
De la necesidad de contar con un organismo de jurisdiccin nacional que tomara en cuenta sus necesidades, en la certificacin del cumplimiento con las Normas Oficiales Mexicanas aplicables a los productos de la rama.

Misin
Otorgar a las empresas de la rama electrnica, de telecomunicaciones y de tecnologas de informacin as como a las de otros sectores afines, un marco normativo que les permita comercializar sus productos y servicios y elevar su competitividad, dentro de los lineamientos internacionalmente aceptados.

Visin
Ser un organismo lder que inserte a Mxico en los esquemas globalmente armonizados de normalizacin y evaluacin de la conformidad, y extienda su campo de accin a otras reas del desarrollo tecnolgico.