AUDITORIA DE TCNICA DE SISTEMAS

Julio Valero

INFRAESTRUCTURA INFORMTICA
El mbito de la tcnica de sistemas se compone por la infraestructura informtica, es decir el conjunto de instalaciones, equipos de proceso y el software base.

Instalaciones

Incluye salas de proceso, con sus sistemas de seguridad y control, as como elementos de conexin y cableado.

INFRAESTRUCTURA INFORMTICA
Equipos de proceso
Incluye los computadores, as como sus perifricos (pantallas, mouse, impresora, etc) y los dispositivos de conmutacin y comunicaciones(routers, modems, etc)

Software Base

Se compone de los sistemas operativos, compiladores, traductores y programas, junto con los gestores de datos (sistema de administracin de base de datos) y una serie de herramientas y componentes auxiliares e intermedios ( herramientas de desarrollo, paquetes de seguridad, middleware, etc)

DEFINICIN DE LA FUNCIN
Tcnica de sistemas consiste en la actividad a desempear para instalar y mantener en adecuado orden de utilizacin la infraestructura informtica. El funcionamiento correcto se caracteriza por: Disponer de todos los elementos necesarios Por parte de los usuarios autorizados En el momento requerido Con el rendimiento adecuado

NIVEL DE SERVICIO
Nivel de servicio
determina el mayor o menor grado de eficacia del servicio prestado. Sin los clientes, el sistema de informacin no tiene sentido, y lo que los clientes necesitan es la garanta de que este cumpla su funcin adecuadamente. La garanta del funcionamiento se obtiene consiguiendo que cada uno de los elementos del sistema, determinen los puntos crticos que afecten a la actividad del SI y a prever su fallo y planificar los controles y acciones para evitarlos.

es una serie de parmetros cuya medicin

NIVEL DE SERVICIO
La disponibilidad no se trata solo de tener un sistema que responda durante un determinado numero de horas al ao, sino que adems debe hacerlo bien. La satisfaccin de los usuarios depende tanto de la eficacia de las aplicaciones como de la eficiencia del sistema, el cual esta representado por los parametros de disponibilidad y tiempo de respuesta, pero se complementa con el anlisis de incidencias originadas por la infraestructura y las opiniones de los usuarios sobre el servicio.

REVISIN DE LOS CENTROS DE CMPUTO

Consiste en revisar los controles en las operaciones del centro de procesamiento de informacin en los siguientes aspectos: Revisin de controles en el equipo: Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado peridicamente. Revisin de programas de operacin: se verifica que el cronograma de actividades para procesar la informacin asegure la utilizacin efectiva del computador.

REVISIN DE LOS CENTROS DE CMPUTO

Revisin de controles ambientales: se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con aire acondicionado, fuentes de energa continua, extintores de incendios, etc. Revisin del plan de mantenimiento: Aqu se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo. Revisin del sistema de administracin de archivos: se hace para verificar que existan formas adecuadas de organizar los archivos en el computador, que estn respaldados, as como asegurar que el uso que le dan es el autorizado. Revisin del plan de contingencias: Aqu se verifica si es adecuado el plan de recupero en caso de desastre, el cual se detalla mas adelante.

LOS PROCEDIMIENTOS
Toda tarea organizada debe estar descompuesta en una serie de actividades o acciones a realizar con unos procedimientos especficos que garanticen su calidad (o correcto funcionamiento).

1. 2. 3. 4. 5. 6.

Instalacin y puesta en Servicio Mantenimiento y soporte Requisitos para otros componentes Resolucin de incidencias Seguridad y control Informacin sobre la actividad

Planificacin Documentacin Parametrizacin Pruebas

Procedimiento general del suministrador adaptado a la instalacin concreta. Inventario de componentes del elemento y normas de actualizacin. Valores de parmetros del sistema en funcin del resto de elementos planificados (nmero y tipos de usuarios, aplicaciones Verificaciones a realizar y sus resultados.

Planificacin

Control del periodo de garanta y comienzo del mantenimiento del elemento. Procedimiento soporte. para contactar con el

Documentacin
Parametrizacin

Adaptacin de los parmetros del sistema en funcin de nuevos requerimientos o como resultado de nuevas versiones o resolucin de incidencias. Verificaciones de los adaptaciones realizadas. cambios o

Pruebas

Planificacin Documentacin Parametrizacin Pruebas

Considerar los requisitos cruzados de unos elementos con otros.

Procedimiento que determina los efectos a considerar en otros componentes.

Adaptacin de los parmetros del sistema en funcin de nuevos requerimientos o como resultado de nuevas incidencias. Verificacin de los cambios o adaptaciones realizadas.

Registrar

Supone abrir un formulario en el medio habilitado (papel, electrnico) que permita recoger los datos que identifican la anomala. Supone buscar una relacin entre el efecto y sus posibles causas. Determinar de entre las causas posibles aquella que tuviera ms probabilidad de resultar origen del problema. Es un dato importante en el enfoque de la resolucin, pues no tiene el mismo tratamiento una anomala bloqueante que un error que se produce de forma espordica. Para resolver definitivamente un problema hace falta conocer su causa y la forma de evitar que se reproduzcan las condiciones origen. Accin continua y normalizada para conseguir el diagnstico de una incidencia y la persecucin de su resolucin.

Analizar Diagnosticar

Calificar Resolucin
Seguimiento

La proteccin debe considerar tanto la posibilidad de hechos fortuitos como malintencionados.

Proteger los accesos a la informacin y funciones con criterio de mnimos reservando funciones y accesos especiales a niveles de responsabilidad superiores con los controles adecuados.
Los entornos de desarrollo y mantenimiento de programas deben dejar informacin sobre las sentencias borradas, modificadas y aadidas, as como los autores de las modificaciones. Que exista una serie de normativas para realizar las funciones informticas, aunque es igual de importante que tales normas se cumplan.

Forma parte de la esencia de cualquier actividad rendir cuentas al responsable superior del trabajo realizado. Disponer de informacin estructurada, de acuerdo con los parmetros de seguimiento ms acordes con los objetivos de desempeo, es cuestin primordial para: Conocer la evolucin de la actividad. Comparar la realidad con los objetivos y estndares. Mejorar la calidad de la tarea. Anticiparse a situaciones crticas analizando las tendencias. La informacin debe servir para gestionar y, por tanto, debe ser resumida y expresiva en cuanto a la representacin de la realidad, permitiendo profundizar si se requiere un anlisis ms exhaustivo de algn parmetro.

LOS CONTROLES
Deberan determinar el comportamiento del sistema y prevenir situaciones no deseadas desde cualquier punto de vista: HARDWARE: * * * * SOFTWARE: * * * *

Existen los componentes adquiridos Estn correctamente instalados Se mantienen adecuadamente Dan el rendimiento requerido Se dispone de las correspondientes licencias Est correctamente instalado Se mantiene adecuadamente Dan el rendimiento adecuado

LOS CONTROLES
COMUNICACIONES: * Existen componentes * Estn correctamente instalados CONMUTACIN: * Se mantiene adecuadamente * Dan el rendimiento adecuado COMUNICACIONES: * Existen los contratos y servicios * Estn correctamente parametrizados ENLACES: * Se mantiene adecuadamente * Dan el ancho de banda y respuesta necesarios

LOS CONTROLES
SEGURIDAD: * Existen los procedimientos * Se llevan a cabo * Se controlan las excepciones * Se toman medidas INFORMACIN: * Se dispone de procedimientos de back-up * Se realizan los back-up correspondientes * Se guardan adecuadamente * Se comprueban por muestreo PLAN DE CONTINGENCIA: * Se dispone de un procedimiento * Estn contratados los servicios necesarios * Est debidamente actualizado * Se realizan los ensayos peridicos

LOS CONTROLES
La Fundacin de Auditoria y Control de Sistemas de Informacin (ISACF) que otorga la certificacin de CISA (Certified Information System Auditor) Los Objetivos de Control para la informacin y la Tecnologa relacionada (COBIT). * Organizacin y Planificacin * Compras e Implantacin * Puesta en Servicio Y Soporte * Monitorizacin Por otra parte tienen una conexin mayor o menor con siete Criterios de Informacin: 1- Eficacia 2- Eficiencia 3- Confidencialidad 4- Integridad 5- Disponibilidad 6- Legalidad 7- Fiabilidad

LOS CONTROLES
Objetivos de Control en los que se involucra la Tcnica de Sistemas: Definicin del Plan Estratgico tecnolgico: * Pretende la satisfaccin de los requerimientos del negocio buscando un balance ptimo entre las oportunidades de la tecnologa de la informacin. * Permite un proceso de planificacin estratgica que, a intervalos regulares, va cumpliendo los planes a largo plazo. * Estos planes a largo plazo deben traducirse peridicamente en planes operativos con objetivos claros y concretos a corto plazos. * Toma en consideracin objetivos de negocio y necesidades de tecnologa de la informacin, inventario de soluciones tecnolgicas e infraestructura actual y estudio de factibilidad.

LOS CONTROLES
Determinacin de la Direccin Tecnolgica: * Pretende crear y mantener un plan de infraestructura
tecnolgica, adecuando y haciendo evolucionar capacidad de la infraestructura actual siguiendo desarrollos tecnolgicos, las restricciones del negocio y planes de adquisicin. la los los

Gestin de Inversiones: * Asegura la Disposicin y el control de desembolsos de

recursos financieros por medio de los presupuestos operativos peridicos convenientemente aprobados. correspondientes establecidos y

Apreciacin de Riesgos: * Pretende el aseguramiento de la obtencin de los

* objetivos de Tecnologa de Informacin (TI), previniendo las amenazas en la obtencin de los servicios de TI. Considera distintos tipos de riesgos (tecnologa, seguridad, continuidad), los momentos de anlisis (peridicos o durante la implantacin de nuevos sistemas).

LOS CONTROLES
Gestin de Proyectos: * Permite a la organizacin identificar y priorizar proyectos en
*
lnea con el plan operativo. La organizacin debe adoptar y aplicar tcnicas seguras de gestin de proyectos para cada proyecto emprendido.

Identificacin de Soluciones automatizados: * Se trata de asegurar la mejor aproximacin para satisfacer

los requerimientos de los usuarios, facilitando un anlisis claro de las oportunas alternativas ajustadas a los requisitos. * Se han de tomar en consideracin las restricciones internas y externas, la direccin de la tecnologa, los estudios de factibilidad, los requerimientos y la arquitectura informtica. Adquisicin y Mantenimiento de Infraestructura Tecnolgica : * Permite definir consideraciones especficas de requerimientos funcionales y operativos y una implantacin por fases con hitos claros. * Se deben considerar: la disponibilidad de la tecnologa, la direccin de su evolucin, las polticas de seguridad, el ajuste de los procedimientos a la instalacin y la flexibilidad.

LOS CONTROLES
Desarrollo y Mantenimiento de Procedimientos relacionados con los Sistemas de Informacin: * Pretende asegurar el uso adecuado de las aplicaciones y de
*

las soluciones tecnolgicos instaladas. Supone una aproximacin estructurada, al desarrollo del usuario y a los manuales de procedimientos operativos.

Instalacin y Certificacin de Sistemas: * Verifica y confirma que la solucin encaja con el propsito
perseguido, lo que permite la realizacin de una correctamente formalizada instalacin, migracin y conversin as como un plan de aceptacin. Considera la aprobacin de la estructura, la documentacin, pruebas especficas, entrenamiento, conversin y/o carga de datos y revisiones post-implantacin.

Gestin de Cambios:
* Pretende minimizar disfunciones, alteraciones no autorizadas y errores, habilitando la gestin del sistema para el anlisis, la implantacin y el seguimiento de los cambios solicitados y realizados en la infraestructura de TI existente.

LOS CONTROLES
Definicin de niveles de servicio: * Permite el establecimiento de acuerdos de nivel de servicio
* que formalizan los criterios de rendimiento con los que deben medirse cantidad y calidad del servicio. Involucra definicin de responsabilidades, volmenes y tiempo de respuesta, dependencias, cargas, garantas de integridad y acuerdos de discrecin.

Gestin de Relaciones de servicios de Terceros: * Facilitan medidas de control para revisar y monitorizar los *

contratos existentes y los procedimientos para su eficacia de las polticas de la organizacin. Tiene que ver con los acuerdos de nivel de servicio, con los acuerdos de discrecin, las polticas de la compaa, las leyes y regulaciones y los contratos outsourcing.
Permite controles para gestionar la capacidad y el rendimiento que recopilan datos e informan para gestionar la carga, el tamao de las aplicaciones y la gestin de recursos y peticiones.

Gestin de Rendimiento y Capacidad:

*

LOS CONTROLES
Aseguramiento de la Continuidad del Servicio: * permite el ejercicio regular de un plan de contingencia
* estructurado facilitando distintas fases e hitos claros, alineando las TI con los aspectos del negocio. Considera la clasificacin crtica, el plan documentado, los procedimientos alternativos y las pruebas y ensayos sistemticos y regulares.

Aseguramiento e la Seguridad de los Sistemas: * Para salvaguardar la informacin contra usos no autorizados,

revelacin de informacin, modificacin, corrupcin o prdida, controla el acceso lgico al sistema, a los datos y a los programas, restringiendo stos a los usuarios autorizados. Debe disponerse de un sistema de contabilidad de costes que garantice el registro de los mismos, con el consiguiente clculo y distribucin de detalle. Utiliza criterios de eficiencia y fiabilidad.

Identificacin y Reparto de Costes:

*

LOS CONTROLES
Gestin de la Configuracin: * Inventariar todos los componentes de los SI, previendo
alteraciones no autorizadas, verificando su existencia fsica y facilitando una base precisa para gestionar el cambio, los controles que identifican y registran todos los bienes y su localizacin fsica, as como un programa regular de verificacin que asegure su existencia.

Gestin de Problemas e Incidencias: * Determina la existencia de pistas de auditoria suficientes

sobre problemas y soluciones, el tiempo de resolucin de los problemas reportados, procedimientos de escalado e informes de incidencias.

Monitorizacin de los Procesos: * Persigue la consecucin de los objetivos buscados por los

procesos de los SI, definiendo la gestin de informes relevantes para la direccin y de indicadores de rendimiento de la implantacin del soporte de los sistemas, as como clarificando los informes sobre una base regular y normalizada.

LOS CONTROLES
Seguridad Independiente: * Para incrementar los niveles de confidencialidad y el beneficio de referencias de las mejores prcticas es importante realizar auditorias independientes a intervalos regulares.

15.7 CONSIDERACIONES SOBRE TECNOLOGIA Y SU EVOLUCION

Uso ms flexible de recursos Computacin Mvil Redes y sistemas distribuidos LANs + WANSs

Tiempo compartido Batch Sistema Operativo monousuario

Nuevo modelo en evolucin de aplicaciones

Sistema centralizado

Las aplicaciones se desarrollan en entorno web. Los centros de proceso se centralizan y los servicios se concentran en intranets, extranets e internet. Cambios radicales en los usuarios (uso de redes globales) en oficinas, servicios, domicilios, etc.

Network Computer

Navegatores web

Internet y TCP/IP

Con paradigma de conexin