miércoles, 3 de junio de 2009

Auditoria en el Desarrollo de Sistemas

Explotación


1. Objetivos
Evaluar la eficiencia y eficacia de operación del área de producción. Comprende la evaluación de los equipos de computación, procedimientos de entradas de datos, controles, archivos, seguridad y obtención de la información.


El campo de acción de este tipo de auditoría sería:
a. Evaluación administrativa del área de producción

• Metas, políticas, planes y procedimientos de procesos electrónicos estándares.
• Organización del área y estructura orgánica.
• Integración de los recursos materiales y técnicos
• Controles administrativos del área.
b. Evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de los equipos.
c. Evaluación del proceso de datos y de los equipos de procesamiento.
• Se deben verificar los siguientes puntos:
• Estructura del servicio
• Control de operaciones
• Documentación de los procedimientos
• Modificación de programas
• Control de almacenamiento de soportes.
• Plan de mantenimiento preventivo
• Personal de producción
• Control de la utilización del ordenador


Entorno del Hardware
1. Objetivo

• Determinación de la performance del hardware
• Revisar la utilización del hardware
• Examinar los estudios de adquisición del hardware
• Comprobar condiciones ambientales y de seguridad del hardware
• Verificar los controles de acceso y seguridad física
• Revisar inventario del hardware
• Verificar los procedimientos de la seguridad física
• Comprobar los procedimientos de prevención, detección y/o corrección ante desastres.
• Revisar plan de contingencias.
• Examinar las seguridades y debilidades de los componentes físicos del equipo, de las comunicaciones, etc. y de las instalaciones donde se ubica el centro de cómputos.


2. Seguridad física del local
• Riesgos naturales (inundaciones, descargas eléctricas, etc.)
• Riesgos de vecindad derivadas de construcciones cerca del centro de cómputos (incendios, vibraciones, etc.)
• Riesgos del propio edificio (almacenamiento de material combustible, polvo, etc.)
• Suministro de energía (generador de energía, UPS, etc.)
• Acondicionador de aire
• Armarios ignífugos.


3. Control de acceso y seguridad física
Controlar el acceso a los recursos para protegerlos de cualquier uso no autorizado, daño, perdida o modificaciones.


4. Planes de desastre.
En caso de interrupciones inesperadas deben existir planes adecuados para el respaldo de recursos críticos del centro de cómputos y para el reestablecimiento de los servicios de sistemas de información.

a. Tipos de desastres
• Destrucción total
• Destrucción parcial de los recursos centralizados de procesamiento de datos.
• Destrucción o mal funcionamiento de los recursos ambientales destinados al procesamiento (energía, etc.)
• Destrucción total o parcial de los recursos descentralizados de procesamiento de datos.
• Destrucción total o parcial de los procedimientos manuales del usuario.
• Perdida del personal clave para el procesamiento.
• Huelga (interrupción)
• Acciones malintencionadas
• Perdida total o parcial de la información, manuales o documentación.

b. Alcance de la planeación contra desastres.
La planeación debe abarcar tanto las aplicaciones en proceso de desarrollo como las operativas. Los recursos que deben estar disponibles para la recuperación son:

• Documentación de los sistemas, la programación y los procedimientos operativos.
• Recursos operativos: equipos, datos, archivos, programas, etc.

c. Aplicaciones en proceso de desarrollo
Un desastre puede ocurrir en alguna fase avanzada del desarrollo de una aplicación vital y será necesario tomar medidas para garantizar que no se retrase o pierda la inversión.

d. Aplicaciones terminadas
1. Sistemas y programación
Mantener copias actualizadas de programas, documentación, jobs, procedimientos operativos.

2. Operaciones de procesamiento
Comprender el sistema completo. La planeación debe incluir las actividades y los procedimientos del usuario, los recursos de transmisión y redes, el procesamiento centralizado y la redistribución de los resultados.

e. Procedimientos en casos de desastres
Existencia de procedimientos formales (por escrito), en donde se haga referencia detalladamente los diversos tipos de desastres. Se debe especificar:

• Responsabilidades en caso de desastres
• Acción inmediata a seguir

Estos planes deben ser los más detallados posibles. Todo el personal requiere adiestramiento regular en el plan contra desastres. El plan de emergencia, una vez aprobado, se distribuye entre el personal responsable de su operación (información confidencial o de acceso restringido).

El plan en caso de desastre debe incluir:
• Políticas de la dirección
• Objetivos
• Responsabilidades
• Equipo humano
• Inventario de hardware y software de la instalación
• Estrategias de contingencias
• Metodología a utilizar (prioridades)
• Matriz de riesgos/ acciones preventivas /acciones alternativas
• Mantenimientos y pruebas del plan
• Normas de divulgación y distribución del plan.

El auditor deberá verificar que:
• Existe una fase de prevención de emergencias separadas de las fases de respaldo y restauración.
• Figura responsable de la supervisión de la emergencia.
• Existencia de conjunto de normas de emergencias.
• Procedimientos sistemáticos de clasificación de emergencias.

Una vez que todos los riesgos han sido clasificados se está en condiciones de fijar los procedimientos que aseguraran la continuidad del funcionamiento del negocio.

f. Seguros contra desastres.
A pesar que existan medidas para reducir el riesgo de interrupciones de las actividades y un plan de emergencia adecuado, en caso de ocurrir un siniestro, los gastos resultarán muy oneroso.

El seguro es una forma de transferir el riesgo de que se produzca un acontecimiento muy costoso.

Tipos de seguros:
• Todo riesgo
• Daños determinados
• Seguro contra averías
• Seguro de fidelidad
• Seguro contra interrupción del negocio; cubre las perdidas que sufrirían la empresa en el caso que las actividades informáticas se interrumpiesen.

a. Plan de desastre, respaldo y recuperación.

Lineamientos de control que cubren los elementos de respaldo y recuperación.
1. Plan de recuperación en caso de siniestro: debe existir un plan documentación de respaldo para el procesamiento de trabajos críticos.
2. Procedimientos de urgencia y capacitación del personal: deben garantizar la seguridad del personal.
3. Aplicaciones criticas: el plan de respaldo debe contener una prioridad preestablecida para el procesamiento de las aplicaciones.
4. Recursos críticos: deben estar identificados en el plan de respaldo la producción critica, el sistema operativos y los archivos necesarios para la recuperación
5. Servicios de comunicación
6. Equipo de comunicación
7. Equipo de respaldo
8. Programación de operaciones de respaldo
9. Procedimientos de respaldo de archivos
10.Suministro de respaldo: considerar una fuente de abastecimiento para la recuperación de materiales especiales.
11.Pruebas de plan de respaldo
12.Reconstrucción del centro de sistemas de información
13.Procedimientos manuales de respaldo.