Transcripcin de Estndares Internacionales de Auditoria en Sistemas

La Naturaleza de la Auditora de Sistemas de Informacin, y las capacidades

necesarias para la realizacin de dichas auditoras, requieren estndares de
aplicacin especfica a la auditora de sistemas. Por lo mismo que la informacin
es un activo vital para el xito y la continuidad en el mercado de cualquier
organizacin. El aseguramiento de dicha informacin y de los sistemas que la
procesan es, por tanto, un objetivo de primer nivel para la organizacin. Para la
adecuada gestin de la seguridad de la informacin, es necesario implantar un
sistema que a borde esta tarea de una forma metdica, documentada y basada en
unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est
sometida la informacin de la organizacin. Estndares Internacionales de
Auditora de Sistemas Estndares Aplicables a la Auditora de Sistemas de
Informacin Calidad del Producto Software y la norma ISO/IEC 25000 Directrices
Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control
Association
(ISACA)
The Management of the Control of data Information Technology, desarrollado por
el
Instituto
Canadiense
de
Contadores
Certificados
(CICA)
Administracin de la inversin de tecnologa de Inversin: un marco para la
evaluacin y mejora del proceso de madurez, desarrollado por la Oficina de
Contabilidad
General
de
los
Estados
Unidos
(GAO)
Los estndares de administracin de calidad y aseguramiento de calidad ISO
9000, desarrollados por la Organizacin Internacional de Estndares (ISO).
SysTrust Principios y criterios de confiabilidad de Sistemas, desarrollados por la
Asociacin
de
Contadores
Pblicos
(AICPA)
y
el
CICA
El Modelo de Evolucin de Capacidades de software (CMM), desarrollado por el
Instituto
de
Ingeniera
de
Software
(SEI)
Administracin de sistemas de informacin: Una herramienta de evaluacin
prctica, desarrollado por la Directiva de Recursos de Tecnologa de Informacin.
Gua para el cuerpo de conocimientos de administracin de proyectos,
desarrollado por el comit de estndares del instituto de administracin de
proyectos.
Ingeniera de seguridad de sistemas Modelo de madurez de capacidades (SSE
CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de
la
Universidad
de
Carnegie
Mellon.
Administracin de seguridad de informacin: Aprendiendo de organizaciones
lderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos
(GAO) La calidad del producto junto con la calidad del proceso son los aspectos
ms importantes actualmente en el desarrollo de Software. En calidad del
producto recientemente ha aparecido una nueva versin de la norma ISO/IEC
9126: la norma ISO/IEC 25000. Esta proporciona una gua para el uso de las
nuevas series de estndares internacionales, llamados Requisitos y Evaluacin de
Calidad de Productos de Software (SQuaRE). Constituyen una serie de normas
basadas en la ISO 9126 y en la ISO 14598 (Evaluacin del Software), y su objetivo
principal es guiar el desarrollo de los productos de software con la especificacin y
evaluacin de requisitos de calidad. Establece criterios para la especificacin de

requisitos de calidad de productos software, sus mtricas y su evaluacin. The

Management of the Control of data Information Technology, desarrollado por el
Instituto
Canadiense
de
Contadores
Certificados
(CICA):
Este modelo est basado en el concepto de roles y establece responsabilidades
relacionadas con seguridad y los controles correspondientes. Dichos roles estn
clasificados con base en siete grupos: administracin general, gerentes de
sistemas, dueos, agentes, usuarios de sistemas de informacin, as como
proveedores de servicios, desarrollo y operaciones de servicios y soporte de
sistemas. Adems, hace distincin entre los conceptos de autoridad,
responsabilidad y responsabilidad respecto a control y riesgo previo al
establecimiento del control, en trminos de objetivos, estndares y tcnicas
mnimas a considerar. Alcance de los Estndares Directrices Gerenciales de
COBIT, desarrollado por la Information Systems Audit and Control Association
(ISACA):
Las Directrices Gerenciales son un marco internacional de referencias que
abordan las mejores prcticas de auditora y control de sistemas de informacin.
Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados
con la tecnologa de informacin y establezca el enlace entre los procesos de
administracin, aspectos tcnicos, la necesidad de controles y los riesgos
asociados. Administracin de la inversin de tecnologa de Inversin: un marco
para la evaluacin y mejora del proceso de madurez, desarrollado por la Oficina
de
Contabilidad
General
de
los
Estados
Unidos
(GAO):
Este modelo identifica los procesos crticos, asegurando el xito de las
inversiones en tecnologa de informacin y comunicacin electrnicas. Adems los
organiza en cinco niveles de madurez, similar al modelo CMM. Estndares de
administracin de calidad y aseguramiento de calidad ISO 9000, desarrollados por
la
Organizacin
Internacional
de
Estndares
(ISO):
La coleccin ISO 9000 es un conjunto de estndares y directrices que apoyan a
las organizaciones a implementar sistemas de calidad efectivos, para el tipo de
trabajo que ellos realizan. SysTrust Principios y criterios de confiabilidad de
Sistemas, desarrollados por la Asociacin de Contadores Pblicos (AICPA) y el
CICA:
Este servicio pretende incrementar la confianza de la alta gerencia, clientes y
socios, con respecto a la confiabilidad en los sistemas por una empresa o
actividad en particular. Este modelo incluye elementos como: infraestructura,
software de cualquier naturaleza, personal especializado y usuarios, procesos
manuales y automatizados, y datos. El modelo persigue determinar si un sistema
de informacin es confiable, (i.e. si un sistema funciona sin errores significativos, o
fallas durante un periodo de tiempo determinado bajo un ambiente dado). Modelo
de Evolucin de Capacidades de software (CMM), desarrollado por el Instituto de
Ingeniera
de
Software
(SEI):
Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de

una organizacin, con respecto al desarrollo y mantenimiento de sistemas de

informacin. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles
de madurez. Se puede considerar que CMM es la base de los principios de
evaluacin recomendados por COBIT, as como para algunos de los procesos de
administracin de COBIT. Administracin de sistemas de informacin: Una
herramienta de evaluacin prctica, desarrollado por la Directiva de Recursos de
Tecnologa
de
Informacin
(ITRB):
Este es una herramienta de evaluacin que permite a entidades
gubernamentales, comprender la implementacin estratgica de tecnologa de
informacin y comunicacin electrnica que puede apoyar su misin e incrementar
sus productos y servicios. Gua para el cuerpo de conocimientos de administracin
de proyectos, desarrollado por el comit de estndares del instituto de
administracin
de
proyectos:
Esta gua esta enfocada en las mejores prcticas sobre administracin de
proyectos. Se refiere a aspectos sobre los diferentes elementos necesarios para
una administracin exitosa de proyectos de cualquier naturaleza. En forma
precisa, este documento identifica y describe las prcticas generalmente
aceptadas de administracin de proyectos que pueden ser implementadas en las
organizaciones. Ingeniera de seguridad de sistemas Modelo de madurez de
capacidades (SSE CMM), desarrollado por la agencia de seguridad nacional
(NSA) con el apoyo
de la Universidad de Carnegie Mellon:
Este modelo describe las caractersticas esenciales de una arquitectura de
seguridad organizacional para tecnologa de informacin y comunicacin
electrnica, de acuerdo con las prcticas generalmente aceptadas observadas en
las organizaciones. Administracin de seguridad de informacin: Aprendiendo de
organizaciones lderes, desarrollado por la Oficina de Contabilidad General de los
Estados
Unidos
(GAO):
Este modelo considera ocho organizaciones privadas reconocidas como lderes
respecto a seguridad en cmputo. Este trabajo hace posible la identificacin de 16
prcticas necesarias para asegurar una adecuada administracin de la seguridad
de cmputo, las cules deben ser suficientes para incrementar significativamente
el nivel de administracin de seguridad en tecnologa de informacin y
comunicacin electrnica. Actualmente existen en el mercado normativo diversas
opciones
de
las
que
destacamos:
ISO 9001 en el alcance sobre el software y sobre los procesos productivos de la
organizacin. No siempre sobre el desarrollo, puede ser en la identificacin de
requisitos, en el propio desarrollo y por ejemplo en la entrega y mantenimiento.
ISO/IEC 9003 Ingeniera del software. Gua de aplicacin de la ISO 9001:2000 al
software (NO es CERTIFICABLE. Es una norma de buenas prcticas para definir
con ms detalle los conceptos de software sobre los procesos de la organizacin).

ISO/IEC 12207 Information Technology / Software Life Cycle Processes, es el

estndar para los procesos de ciclo de vida del software de la organizacin. Es la
base
para
ISO
15504-SPICE.
ISO/IEC 15504 (conocida como SPICE - Software Process Improvement And
Assurance Standards Capability Determination). Un conjunto de 7 normas para
establecer y mejorar la capacidad y madurez de los procesos de las
organizaciones, proporcionando los principios requeridos para realizar una
evaluacin de la calidad de los procesos. La definicin de los procesos se realiza
sobre ISO/IEC 12207. La familia de normas 15504 espera que la nueva ISO 29110
sea publicada para crear definitivamente el esquema internacional de certificacin,
que actualmente est creado con procesos de calidad en las entidades de
certificacin (realizando evaluaciones externas sobre ISO/IEC 15504-2 e ISO/IEC
TR 15504-7:2008. Capability Maturity Model Integration (CMMI) CMMI se ha
convertido mundialmente en un requisito para acceder a la exportacin de
servicios de software. La norma provee una gua para implementar una estrategia
de calidad y mejorar los procesos de una organizacin que se dedica al desarrollo
y/o mantenimiento de software. Dispone de un esquema de certificacin creado
sobre
organismos
privados.
(no
normas
ISO)
ISO/IEC 9126. Desarrolladas entre 1991 y 2001. Software engineering Product
quality consta de 4 partes. La serie de normas ISO/IEC 9126 define las
caractersticas de calidad del producto de software (parte 1), las mtricas internas
y externas (partes 2 y 3), y la calidad en uso, que explica cmo la calidad del
producto est sujeta a las condiciones particulares de uso (parte 4).
ISO/IEC 14598. Desarrolladas entre 1999 y 2001. Software product evaluation,
Evaluacin del producto de software, la familia consta de 6 partes. Directamente
relacionada
con
ISO
9126.
ISO 25000. La familia de normas 25000 establecen un modelo de calidad para el
producto software adems de definir la evaluacin de la calidad del producto.
Tiene 5 partes publicadas, y se encuentra en desarrollo. Pretenden sustituir a ISO
9126 e ISO 14598 ya que desde 2001 no se publicaron nuevas versiones
SCRUM. Un mtodo sencillo y prctico para empezar a practicar calidad. Fabricar
y gestiona el desarrollo en tres fases fundamentales: una breve fase de
planificacin, en la cual se realizan las labores bsicas de una planificacin breve:
visin general del proyecto (estimacin muy general, viabilidad del sistema) y
construccin del Backlog. por un lado y por otro el desarrollo de la arquitectura al
detalle; otra de desarrollo, en la cual tienen lugar los famosos Sprints, y otra final
de entrega y balance de los xitos y fracasos logrados
Objetivos Generales de una Auditora de Sistemas
Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e
implantados por el PAD

Incrementar la satisfaccin de los usuarios de los sistemas computarizados

Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la
recomendacin de seguridades y controles.
Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los
objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Apoyo de funcin informtica a las metas y objetivos de la organizacin.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico.
Minimizar existencias de riesgos en el uso de Tecnologa de informacin.
Decisiones de inversin y gastos innecesarios.
Capacitacin y educacin sobre controles en los Sistemas de Informacin.

Perfil de auditor de Sistemas

Profesional en sistemas de informacin
Conocimiento Gral. De auditoria
Conocimiento Gral. De gestin de empresas
Conocimientos especficos
Desarrollo de sistemas
Gestin de TI
Anlisis de riesgo de TI
Telecomunicaciones y redes
Base de datos
Seguridad fsica aplicada a centro de procesamiento de datos
Seguridad lgica
Mejores prcticas de continuidad de sistemas
E Commerce-

El Auditor de Sistemas debe Evalar la estructura de control interno de laempresa. Estudia los
controles organizativos definidos dentro del rea de TI,realiza el anlisis de aplicativos en
desarrollo, produccin y mantenimiento,realiza auditoria sobre datos y redes. 3 aspectos:
confidencialidad, integridad ydisponibilidad (CIA).
METODOLOGA DE UNA AUDITORA DE SISTEMAS
Existen algunas metodologas de Auditoras de Sistemas y todas dependen de lo
que se pretenda revisar o analizar, pero como estndar analizaremos las cuatro
fases bsicas de un proceso de revisin:
Estudio preliminar
Revisin y evaluacin de controles y seguridades
Examen detallado de reas criticas
Comunicacin de resultados
Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditora,
efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar
un cuestionario para la obtencin de informacin para evaluar preliminarmente el
control interno, solicitud de plan de actividades, Manuales de polticas,
reglamentos,
Entrevistas con los principales funcionarios del PAD.
Revisin y evaluacin de controles y seguridades.- Consiste de la revisin de los
diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las
seguridades, revisin de aplicaciones de las reas crticas, Revisin de procesos
histricos (backups), Revisin de documentacin y archivos, entre otras
actividades.
Examen detallado de reas crticas.-Con las fases anteriores el auditor descubre
las reas crticas y sobre ellas hace un estudio y anlisis profundo en los que
definir concretamente su grupo de trabajo y la distribucin de carga del mismo,
establecer los motivos, objetivos, alcance Recursos que usar, definir la
metodologa de trabajo, la duracin de la auditora, Presentar el plan de trabajo y
analizar detalladamente cada problema encontrado con todo lo anteriormente
analizado.
Comunicacin de resultados.- Se elaborar el borrador del informe a ser discutido
con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se
presentar esquemticamente en forma de matriz, cuadros o redaccin simple y
concisa que destaque los problemas encontrados, los efectos y las
recomendaciones de la Auditora.
El informe debe contener lo siguiente:
Motivos de la Auditora
Objetivos
Alcance
Estructura Orgnico-Funcional del rea Informtica
Configuracin del Hardware y Software instalado
Control Interno
Resultados de la Auditora