Menu

Inicio Metodología para Auditar CRMR Checklist y Trazas Entrevistas y Cuestionarios Herramientas y Técnicas Tipos de Prueba

Metodología para realizar auditoria


Definición de metodología: es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria informática. 

     El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoria, donde se debe identificar de forma clara  las razones por las que se va a realizar la auditoria, la determinación del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución, terminando con la elaboración de la documentación de los planes, programas y presupuestos para llevarla a cabo.

Identificar el origen de la auditoria: Este es el primer paso para iniciar la planeación de la auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿porqué?, ¿Quién? o ¿para qué? Se quiere hacer la evaluación

      En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

  • Evaluación de los sistemas y procedimientos. 
  • Evaluación de los equipos de cómputo.



El método de trabajo del auditor pasa por las siguientes etapas: 

Alcance y Objetivos de la Auditoría Informática:
Definición de Alcance y Objetivos alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

Estudio inicial del entorno auditable: Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para su realización el auditor debe conocer lo siguiente:


  • Organización Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en: 

1) Organigrama: El organigrama expresa la estructura oficial de la organización a auditar.Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia
  • Entorno Operacional 
  1. Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección.
  2. Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes.
  3.  Flujos de Información: Además de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepartamentales. 
  4. Número de Puestos de trabajo: El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas
  • Entorno Operacional: 
  1.  Situación geográfica de los Sistemas: Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo.
  2.  Arquitectura y configuración de Hardware y Software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado.
  3. Inventario de Hardware y Software: El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remotas, periféricos de todo tipo, entre otros.
  • Aplicaciones bases de datos y ficheros El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente: Volumen, antigüedad y complejidad de las Aplicaciones Metodología del Diseño.Se clasificará globalmente la existencia total o parcial de metodologia en el desarrollo de las aplicaciones Cantidad y complejidad de Bases de Datos y Ficheros. El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías
 Determinación de los recursos necesarios para realizar la auditoría        Determinación de recursos de la auditoria Informática Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoria.

Elaboración del plan y de los Programas de Trabajo
      Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen un plan del trabajo. Decidido éste, se procede a la programación del mismo.


Actividades propiamente dichas de la auditoría
      Auditoria por temas generales o por áreas específicas: La auditoria Informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos.


Confección y redacción del Informe Final
      La función de la auditoria se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. 
Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoria y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.

        Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: 
  • Situación actual. Se expondrá la situación prevista y la situación real del lugar.
  • Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras
  • Puntos débiles y amenazas. 
  • Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoria informática. 
  •  Redacción posterior de la Carta de Introducción o Presentación.



Redacción de la Carta de Introducción
La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos:

  • Tendrá como máximo 4 folios.
  • Incluirá fecha, naturaleza, objetivos y alcance
  • Cuantificará la importancia de las áreas analizadas. 
  • Proporcionará una conclusión general, concretando las áreas de gran debilidad. 
  • Presentará las debilidades en orden de importancia y gravedad
  • En la carta de Introducción no se escribirán nunca recomendaciones. 








Publicadas por

CRMR (Computer Resource Management Review)


Definición:  Evaluación de la gestión de recursos informáticos. En cualquier caso, esta terminología quiere destacar la posibilidad de realizar una evaluación de eficiencia de utilización de los recursos por medio del management.Una revisión de esta naturaleza no tiene en sí misma el grado de profundidad de una auditoría informática global, pero proporciona soluciones más rápidas a problemas concretos y notorios. En palabras más simples es una metodología que realiza una evaluación de eficiencia de utilización de los recursos informáticos por medio del administrador.

Etapas:

  • Alcances y objetivos.
  • Estudio inicial del entorno auditable 
  • Determinación de los recursos necesarios
  • Elaboración del plan y de los Programas de trabajo
  • Actividades propiamente dichas de la auditoria
  • Confección y redacción del informe final
  • Redacción de la carta de introducción o Carta de presentación del informe final


 Áreas en las que CRMR es aplicada:

  • Gestión de Datos
  • Control de Operaciones
  • Control y utilización de recursos materiales y humanos
  • Interfaces y relaciones con usuarios
  • Planificación
  • Organización y administración.

Objetivos:

  • Identificar y fijar responsabilidades


  • Mejorar la flexibilidad de realización de actividades
  • Aumentar la productividad
  • Disminuir costos y optimizar recursos informáticos
  • Mejorar los métodos y procedimientos de dirección


 Información necesaria:

  • Datos de mantenimiento preventivo de hardware
  • Informes de anomalías de los sistemas 
  • Procedimientos estándar de actualización
  • Procedimientos de emergencia
  • Monitoreo de los sistemas 
  • Informe del rendimiento de los sistemas
  • Mantenimiento de las librerías de programas 

Ciclos de seguridad


  • Segmento 1: Seguridad de cumplimiento de normas y estándares 
  • Segmento 2: Seguridad de sistema operativo
  • Segmento 3: Seguridad de software 
  • Segmento 4: Seguridad de comunicaciones
  • Segmento 5: Seguridad de bases de datos
  • Segmento 6: Seguridad de procesos
  • Segmento 7: Seguridad de aplicaciones
  • Segmento 8: Seguridad física




Publicadas por

Checkelist- Trazas Y/O Huellas

Checklists:

Definición checklist: conjunto de preguntas respondidas en la mayoría de las veces oralmente, destinados principalmente a personal técnico. Por estos motivos deben ser realizadas en un orden determinado, muy sistematizadas, coherentes y clasificadas por materias, permitiendo que el auditado responda claramente.

Tipos de filosofía en la generación de checklists:


  • De rango: las preguntas han de ser puntuadas en un rango establecido (por ejemplo de 1 a 5, siendo 1 la respuesta más negativa y 5 la más positiva). La primera filosofía permite una mayor precisión en la evaluación, aunque depende, claro está, del equipo auditor. Los binarios, con una elaboración más compleja, deben ser más precisos.




  •  Binaria: las respuestas sólo tienen dos valores (de ahí su nombre) cuya respuesta puede ser Si o No. son excelentes si los cuestionarios están muy cuidados en su formulación. El trabajo previo es mucho mas arduo y complejo para el auditor.
  • ·       Tener claro lo que se necesita saber, y por qué.
  • ·     Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior.
Características:

¿Cómo se realiza un checklists?
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas “normales”, que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.



TRAZAS Y/O HUELLAS



Definición de Trazas: se basa en el uso de software, que permiten conocer todos los pasos seguidos por la información, sin interferir el sistema. Además del uso de las trazas, el auditor utilizará, los ficheros que el próximo sistema genera y que recoge  todas las actividades que se realizan y la modificación de los datos, que se conoce con el nombre de log. El log almacena toda aquella información que ha ido cambiando y como ha ido cambiando, de forma cronológica. 
Para que se utilizan: se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema


Publicadas por

Entrevistas y Cuestionarios para Auditar

Entrevista: es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.


¿Cómo se realiza una entrevista?
El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas
  • El auditor comienza a continuación las relaciones personales con el auditado. 
  • La entrevista es una de las actividades personales más importante del auditor; recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. 
  • Interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo.


Cuestionario:es la herramienta punto de partida que permiten obtener información y documentación de todo el proceso de una organización, que piensa ser auditado. Conjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos.


Características de un cuestionario: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.

  • Las auditorias informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. 
  • El trabajo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. 
  • Se suele solicitar la completación de cuestionarios que se envían a las personas concretas que el auditor cree adecuadas.

·         Estos cuestionarios deben ser específicos para cada situación, y muy cuidados en su fondo y su forma.


        Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos pre-impresos hubieran proporcionado.



Publicadas por

Herramientas y Técnicas para Auditar


Definición de auditoria informática: Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información: 

  • Salvaguarda el activo 
  • Mantiene la integridad de los datos
  • Lleva a cabo eficazmente los fines de la organización
  • Utiliza eficientemente los recursos, 
  • Cumple con las leyes y regulaciones establecidas
Beneficios:

  • Mejora la imagen pública
  • Confianza en los usuarios
  • Optimiza las relaciones internas
  • Disminuye los costos
  • Genera un balance de los riesgos en TI (Tecnología de la Información)
  • Realiza un control en la inversión




Razones importantes para su utilización:
  • Información errónea
  • Fraude, espionaje, delincuencia y terrorismo informático
  • Sistemas mal diseñados
  • Atentados y accesos de usuario no autorizados
  • Piratería de software
  • Mala imagen e insatisfacción de usuario





Las herramientas son el conjunto de elementos que permiten llevar a cabo las acciones definidas en las técnicas. Las herramientas utilizadas son: 
  • Cuestionarios
  • Entrevistas
  • Checklist
  • Trazas/ Huellas
  • Software de interrogación.


Las técnicas: Son los procedimientos que se usan en el desarrollo de un proyecto de auditoria informática. Estas son algunas de las técnicas más comunes y aceptadas:

  • Análisis y diseño estructurado 
  • Gráficas de Pert 
  • Gráficas de Gantt 
  • Documentación 
  • Programación estructurada 
  • Modulación de datos y procesos Entrevistas

Técnicas de trabajo:

  • Análisis de la información recabada del auditado
  • Análisis de la información propia
  • Cruzamientos de las informaciones anteriores
  • Entrevistas
  • Simulación
  • Muestreos

Técnicas avanzadas: Se emplea cuando en una simulación se encuentren operando sistemas avanzados de computación, como procesamiento en línea, bases de datos y procesamiento distribuido. 
  • Pruebas integrales
  • Simulación
  • Revisión de acceso
  • Operaciones en paralelo
  • Evaluación de un sistema con datos de prueba
  • Registros extendidos
Publicadas por

Tipos de prueba

Definición de Pruebas; Es la ejecución del código usando combinaciones de entradas, en un determinado estado, para revelar defectos.

 “Prueba de Software es el diseño e implantación de un software especial: uno que ejercita otro software con la intención de hallar defectos.” Robert V. Binder, Testing Object-Oriented Systems: Models, Patterns, and Tools (1999)


En que consisten las pruebas 

  • Determinar qué partes del sistema desea probar 
  • Definir valores de entrada que aporten información significativa 
  • Correr el software con los valores de entrada 
  • Comparar los resultados producidos con los esperados
  •  (Medir características de ejecución: tiempo, memoria usada, entre otros).


Tipos de pruebas según su alcance: 

  • Pruebas Unitarias o de Componente:Son ejecutadas normalmente por el equipo de desarrollo, básicamente consisten en la ejecución de actividades que le permitan verificar al desarrollador que los componentes unitarios están codificados bajo condiciones de robustez, esto es,  soportando el ingreso de datos erróneos o inesperados y demostrando así la capacidad de tratar  errores de manera controlada. Adicionalmente,  las pruebas sobre  componentes unitarios,  suelen denominarse pruebas de módulos o  pruebas de clases,  siendo la convención definida por el lenguaje de programación la que influye en el término a utilizar.  Por último, es importante que toda la funcionalidad de cada componente unitario  sea cubierta,  por al menos,  dos casos de prueba, los cuales deben centrarse en probar al menos una funcionalidad positiva y una negativa.



  • Pruebas de Integración: Este tipo de pruebas son ejecutas por el equipo de desarrollo y consisten en la comprobación de que elementos del software que interactúan entre sí, funcionan de manera correcta.Ejercita las interfases entre componentes para demostrar que son operables en conjunto 
 Alcance: un sistema o subsistema completo de componentes de software y hardware 
  • Pruebas de Sistema: Este tipo de pruebas deben ser ejecutadas idealmente por un equipo de pruebas ajeno al equipo de desarrollo, una buena práctica en este punto corresponde a la tercerización de esta responsabilidad. La obligación de este equipo, consiste en  la ejecución de actividades de prueba en donde se debe verificar que la funcionalidad total de un sistema. Los casos de prueba a diseñar en este nivel de pruebas,  deben cubrir los aspectos funcionales y no funcionales del sistema. Para el diseño de los casos de prueba en este nivel, el equipo debe utilizar como bases de prueba entregables tales como: requerimientos iniciales, casos de uso, historias de usuario, diseños, manuales técnicos y de usuario final, etc. Por último, es importante que los tipos de pruebas ejecutados en este nivel se desplieguen en un ambiente de pruebas / ambiente de pre-producción cuya infraestructura y arquitectura sea  similar al ambiente de producción, evitando en todos los casos  utilizar el ambiente real del cliente, debido principalmente,  a que  pueda ocasionar fallos en los servidores, lo que ocasionaría indisponibilidad en otros servicios alojados en este ambiente.

Categorías: 
  • Funcional.
  • Rendimiento.
  • Estrés o carga.

  • Prueba dirigida a defectos intención: revelar defectos a través de fallas. Pruebas unitarias e integración.
  • Prueba dirigida a Cumplimiento intención: demostrar que está conforme con las capacidades requeridas. Prueba de sistema.
  • Prueba de aceptación intención: permitir a un usuario/cliente decidir si acepta un producto de software.
  • Prueba de aceptación: Independientemente de que se haya tercerizado el proceso de pruebas y así la firma responsable de estas actividades haya emitido un certificado de calidad sobre el sistema objeto de prueba, es indispensable,  que el cliente designe a personal que haga parte de los procesos de negocio para la ejecución de pruebas de aceptación, es incluso recomendable, que los usuarios finales que participen en este proceso, sean independientes al personal que apoyó el proceso de desarrollo. Cuando las pruebas de aceptación son ejecutadas en instalaciones o ambientes proporcionados por la firma desarrolladora se les denominan pruebas Alpha, cuando son ejecutadas desde la infraestructura del cliente se les denomina pruebas Beta. En los casos en que las pruebas de aceptación del producto se hayan ejecutado en el ambiente del proveedor, el aplicativo no podrá salir a producción, sin que se hayan ejecutados las respectivas pruebas Beta en el ambiente del cliente, de lo anterior es importante  concluir, que las pruebas Alpha son opcionales, pero las pruebas Beta son obligatorias.
  • Prueba de Regresión Intención: Volver a probar un programa previamente probado, después de algunas modificaciones para asegurarse que no se hayan introducido o aparecido defectos debido a los cambios realizados.
  •  Pruebas de Mutación Intención: Introducir defectos a propósito en el software para determinar la calidad de las pruebas.

Componentes de una prueba:Caso de Prueba – especifica
  • El estado y ambiente del programa antes de ejecutar la prueba 
  •  Las entradas a la prueba 
  • El resultado esperado 



Resultados esperados- qué debe producir el programa: 

  • Valores devueltos 
  •  Mensajes 
  • Excepciones 
  • Estado resultante del programa y el ambiente 


Oráculo  produce los resultados esperados del caso de prueba, puede decidir si se satisfizo la evaluación.

Diseño de Casos de Prueba:Definir los casos de prueba que tengan la mayor probabilidad de encontrar el mayor número de errores con la mínima cantidad de esfuerzo y tiempo. 
  • Pruebas de caja blanca: Encontrar casos de prueba “viendo” el código interno.
  • Pruebas de caja negra: Encontrar casos de prueba “viendo” los requerimientos funcionales 
Publicadas por
Suscribirse a: Entradas ( Atom )