Upload File

artículo auditoria de sistemas

7
Universidad Don Bosco – Escuela de Ingeniería en Computación – Auditoría de Sistemas ESTÁNDARES DE CALIDAD Y SU IMPORTANCIA PARA LA REALIZACIÓN DE UNA AUDITORÍA DE SISTEMAS. Mejía Rodríguez, Diego Francisco e-mail: [email protected] Lara Alvarenga, Rafael Ernesto e-mail: [email protected] RESUMEN: Hoy en día es de mucha importancia tener en cuenta y basarse en estándares de calidad para poder realizar una Auditoría de Sistemas. Esto brinda una serie de pasos que se deben seguir para la elaboración de la misma y, además de estar acreditadas internacionalmente, sirven de respaldo y credibilidad cuando se lleva a cabo la Auditoría de Sistemas. En el presente trabajo se tratará de mostrar la importancia que tienen estos estándares o normas para la adecuada gestión de la seguridad de la información, además de la evaluación de los riesgos a los que puede estar sometida la información organización auditada. INDICE DE TÉRMINOS: Auditoría, ISO, SGC, ISACA, COBIT. I. INTRODUCCIÓN En primer lugar hay que definir el término de Auditoría para entender los alcances y cuáles son sus objetivos. Entendemos por auditoría según la Real Academia de la Lengua Española como: “Revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse”. Ahora bien teniendo en cuenta esta definición podemos ver que la Auditoría debe ser un proceso sistemático, es decir que debe seguir ciertos pasos preestablecidos por un ente regulador que en este caso es la ISO (Organización Internacional de Normalización) el cual es el organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación para todas las ramas industriales. Esta organización impulsa la Auditoría de Calidad con sus normas y estándares y se puede definir como “un proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría”. (Según la ISO 9000:2005). Hay que diferenciar también que existen 2 tipos de auditoría: Auditorías Internas: También llamadas auditorías de primera parte, son las que una organización hace a sus propios sistemas y procedimientos. Su objetivo es asegurar el cumplimiento, mantenimiento y desarrollo del sistema de calidad. Auditorías Externas: Las que se hacen al sistema de gestión de 1

Upload: rafael-lara

Post on 15-Sep-2015

217 views

Category:

Documents


2 download

Report

DESCRIPTION

articulo sobre auditoria de sistemas

TRANSCRIPT

Preparacin de Informes en formato IEE

ESTNDARES DE CALIDAD Y SU IMPORTANCIA PARA LA REALIZACIN DE UNA AUDITORA DE SISTEMAS.

Meja Rodrguez, Diego Franciscoe-mail: [email protected]

Lara Alvarenga, Rafael Ernestoe-mail: [email protected]

Universidad Don Bosco Escuela de Ingeniera en Computacin Auditora de Sistemas

5

RESUMEN:

Hoy en da es de mucha importancia tener en cuenta y basarse en estndares de calidad para poder realizar una Auditora de Sistemas. Esto brinda una serie de pasos que se deben seguir para la elaboracin de la misma y, adems de estar acreditadas internacionalmente, sirven de respaldo y credibilidad cuando se lleva a cabo la Auditora de Sistemas. En el presente trabajo se tratar de mostrar la importancia que tienen estos estndares o normas para la adecuada gestin de la seguridad de la informacin, adems de la evaluacin de los riesgos a los que puede estar sometida la informacin organizacin auditada.

INDICE DE TRMINOS: Auditora, ISO, SGC, ISACA, COBIT.

INTRODUCCIN

En primer lugar hay que definir el trmino de Auditora para entender los alcances y cules son sus objetivos. Entendemos por auditora segn la Real Academia de la Lengua Espaola como: Revisin sistemtica de una actividad o de una situacin para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse. Ahora bien teniendo en cuenta esta definicin podemos ver que la Auditora debe ser un proceso sistemtico, es decir que debe seguir ciertos pasos preestablecidos por un ente regulador que en este caso es la ISO (Organizacin Internacional de Normalizacin) el cual es el organismo encargado de promover el desarrollo de normas internacionales de fabricacin, comercio y comunicacin para todas las ramas industriales. Esta organizacin impulsa la Auditora de Calidad con sus normas y estndares y se puede definir como un proceso sistemtico, independiente y documentado para obtener evidencias de la auditora y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditora. (Segn la ISO 9000:2005).

Hay que diferenciar tambin que existen 2 tipos de auditora:

Auditoras Internas: Tambin llamadas auditoras de primera parte, son las que una organizacin hace a sus propios sistemas y procedimientos. Su objetivo es asegurar el cumplimiento, mantenimiento y desarrollo del sistema de calidad.

Auditoras Externas: Las que se hacen al sistema de gestin de una organizacin por parte de un cliente o de un tercero independiente. Pueden clasificarse en auditoras de segunda y tercera parte.

La primera de estas es realizada por la misma organizacin a sus proveedores o contratistas o que recibe por parte de sus clientes, y su objetivo es evaluar la adecuacin de los proveedores para el cumplimiento de las especificaciones dadas. La segunda es aquella que se realiza por un organismo con reconocimiento y prestigio y que es independiente de la organizacin.

Estas auditoras son llevadas a cabo por organismos de certificacin de acuerdo a las normas establecidas en que se basa el sistema de calidad de la organizacin. Su objetivo es determinar si dicho sistema ha implementado y est funcionando de acuerdo con los parmetros establecidos por la norma reguladora. Se le puede hacer una auditora a cualquier tipo de sistema para el que se haya establecido un estndar o norma que describa los requisitos que debe cumplir ya que el proceso de auditora consiste en comprobar el cumplimiento de dicho estndar.De esta forma encontramos auditoras de sistemas de gestin de la calidad, ambiental, de prevencin de riesgos laborales, de seguridad de la informacin, entre otras. En nuestro caso nos enfocaremos en la Auditora de Sistemas de la Informacin.

AUDITORA DE SISTEMAS.

En la Auditora de Sistemas es muy importante conocer los roles que participan en l entre los que se encuentran:

Equipo Auditor: El cual puede estar conformado por un grupo de auditores o un auditor individual, que deben estar designados para desempear una auditora dada, este equipo puede incluir expertos tcnicos y auditores en prcticas. Uno de estos auditores se desempaar como auditor lder.

Auditor Lder: Debe ser una persona calificada y acreditada para manejar y realizar auditoras de calidad.

Experto Tcnico: Es la persona que nicamente provee el conocimiento y la experiencia adquirida al equipo auditor, pero no participa directamente como auditor. Adems el auditor de sistemas debe de cumplir con ciertos requisitos o un perfil adecuado a la labor que desempear por lo que es muy importante que el auditor se apegue a las normas o polticas establecidas, ya sean internas o externas; por otra parte todo auditor debe de estar totalmente desvinculado de cualquier tipo de influencia, es decir, debe de actuar de manera autnoma y no permitir ningn tipo de relacin que pueda influir en l, ya sea esta laboral, moral, entre otras. Otro de los requisitos es que el auditor debe de tener un amplio conocimiento en sistemas de la informacin, de igual manera en reas vinculadas al trabajo, mtodos, herramientas y tcnicas de auditora de tal forma que pueda realizar su trabajo con eficiencia y eficacia. Adems el auditor debe ser una persona con los siguientes valores: honradez, confianza, capacidad analtica. Pero uno de los que debe destacar es la independencia, ya que esto permito al auditor actuar con libertad respecto a su juicio profesional y ser totalmente imparcial a la hora de formular sus conclusiones y emitir el dictamen, por lo que el auditor no debe tener intereses ajenos a los profesionales ni sujetarse a influencias que puedan comprometer la solucin de sus conclusiones. Adems el auditor debe de cumplir con integridad, es decir, debe ejercer con actitud intachable su ejercicio profesional y tambin ser honesto y sincero en la realizacin de su trabajo, y en la emisin de informes, adems debe actuar con confidencialidad, responsabilidad y las normas tcnicas reconocidas internacionalmente, En conclusin debe ser justo y no permitir ningn tipo de influencia o prejuicio.

OBJETIVO DE LA AUDITORA DE SISTEMAS.

Si bien es cierto que varios de los objetivos deben ser establecidos por el cliente y comunicados al auditado, respecto a los objetivos de carcter general que se deben perseguir al realizar una auditora de calidad estn:

Verificar que el sistema de calidad ha sido desarrollado y definido. Verificar que el sistema de calidad ha sido implementado y est siendo cumplido por la organizacin. Identificar los puntos dbiles del sistema de gestin de calidad. Asegurar que se corregirn las anomalas identificadas y potenciales utilizando acciones correctivas o preventivas, segn el caso que corresponda. Verificar el cumplimiento de los requisitos legales y reglamentarios. Suministrar evaluaciones imparciales. Promover la comunicacin. Evaluar reas que no sean fcilmente visibles por la organizacin. Validar acciones correctoras e incluir mejoras en los procesos. Asegurar el cumplimiento de los requisitos exigidos para la certificacin del Sistema de Control de Calidad y su mantenimiento.

De esta forma se puede verificar que estos objetivos estn orientados hacia la mejora continua de los procesos y el sistema de la organizacin pero que a stos se le pueden aadir ms de acuerdo a los requisitos del cliente.NORMAS ISO 9000

Entrando en materia hay que conocer primero cuales son estas normas establecidas y cul es el ente regulador de las mismas. En este trabajo nos centraremos en las normas ISO 9000 las cuales son un conjunto de normas sobre calidad y gestin de calidad, establecidas por la Organizacin Internacional de Normalizacin (ISO por sus siglas en ingls) que pueden ser aplicadas a cualquier tipo de organizacin o actividad orientada a la produccin de bienes o servicios. Dichas normas recogen el contenido mnimo, como tambin guas y herramientas para la implantacin de mtodos de auditora.

Entre las ventajas que se tienen al implementar estas normas estn:

Mejora continua en los procesos, productos, eficacia, eficiencia.

Incrementar la eficacia y eficiencia de la organizacin en el logro de sus objetivos.

Estandarizar las actividades del personal que trabaja dentro de la organizacin por medio de la documentacin.

Medir y monitorear el desempeo de los procesos en la organizacin.

De esta manera podemos ver que las normas ISO 9000 estn orientadas a la mejora continua de los procesos en la organizacin para alcanzar sus objetivos.

Figura 1. Ventajas de la norma ISO 9000.Si bien estas normas ISO 9000 se refieren a procesos y sistemas de calidad, es importante reconocer que tambin existen normas y estndares que se enfocan principalmente en informtica, especficamente en la calidad del Software. Una de ellas es el estndar ISO/IEC 25000 SQuaRE (Evaluacin y requerimientos de producto de software, por sus siglas en ingls) la cual tiene por objetivo organizar, enriquecer y unificar las series que cubren dos procesos principales: Especificacin de requisitos de calidad del software y evaluacin de la calidad del software, con soporte en el proceso de medicin de calidad del software.

ESTNDAR ISO/IEC 25000

Como punto de partida hay que entender en qu consiste este estndar: Este estndar es una familia de normas creadas para dar una gua del uso de los nuevos estndares internacionales llamada SQuaRE que se relaciona con la calidad del producto de software y proviene de las normas ISO 9126 e ISO 14598 que trata sobre la evaluacin de software. La norma ISO/IEC 25000 establece ciertos criterios para especificar requisitos de calidad de producto de software, mtricas y su futura evaluacin adems de incluir un modelo de calidad para unificar las definiciones de calidad de clientes con los atributos en el proceso de desarrollo.

El alcance de este estndar va dirigido a empresas de software, sin importar su tamao. De igual forma a empresas que crean sus propias herramientas de software para desarrollar su negocio o facilitar un proceso interno.

Este estndar tiene varias subdivisiones que la componen las cuales son:

ISO/IEC 2500n Divisin de Gestin de Calidad:

Las normas que se encuentran en este apartado definen los modelos y trminos referenciados por la familia 25000. Se encuentra formada por:

ISO/IEC 25000: Guide to SQuaRE, el cual contiene el modelo de la arquitectura de SQuaRE, terminologa de familia, resumen de las partes, cuales son los usuarios previstos y partes asociadas al igual que modelos de referencia.

ISO/IEC 25001: Planning and Management: En el cual se establecen los requisitos y orientaciones para gestin de la evaluacin y especificacin de requisitos de producto de software.

ISO/IEC 2501n Divisin de Modelo de Calidad:

En este apartado las normas presentan modelos de calidad detallados incluyendo las caractersticas para calidad interna, externa y en uso del producto software. Actualmente esta divisin se encuentra formada por:

ISO/IEC 25010 - System and Software Quality Models: Que describe el modelo de calidad para el producto de software y para la calidad en uso. Adems de presentar caractersticas de calidad frente a las que se puede evaluar el software.

ISO/IEC 25012 Data quality model: Que define un modelo generalizado para la calidad de los datos y puede ser aplicado a aquellos datos que se encuentran almacenados de forma estructurada y forman parte de un Sistema de Informacin.

ISO/IEC 2502n Divisin de Medicin de Calidad:

Este apartado incluye un modelo de referencia de la medicin de la calidad del producto, definiciones de medidas de calidad (interna, externa y en uso) adems de guas prcticas para su aplicacin. Actualmente se encuentra formada por:

ISO/IEC 25020, 25021, 25022, 25023, 25024: Que bsicamente tratan sobre un conjunto de mtricas que sirven para medir la calidad del producto y sistemas software y los datos.

ISO/IEC 2503n Divisin de Requisitos de Calidad:

En este apartado se incluyen normas que ayudan a especificar requisitos de calidad que pueden ser utilizados en el proceso o como entrada del proceso de evaluacin. Se compone de:

ISO/IEC 25030 Quality requirements: Provee de un conjunto de recomendaciones para realizar la especificacin de los requisitos de calidad del producto de software.

ISO/IEC 2504n Divisin de Evaluacin de Calidad:

Este apartado incluye normas que proporcionan requisitos, recomendaciones y guas para llevar a cabo el proceso de evaluacin del producto software. Est formada por:

ISO/IEC 25040, 25041, 25042, 25045: Que tratan sobre la evaluacin de la gua y modelo de referencias para la evaluacin, desde el punto de vista de desarrolladores y otros mdulos de evaluacin entre los que destaca el de recuperabilidad.

Cabe tambin mencionar que segn la ISO/IEC 25000 se definen tres tipos de vistas diferenciadas en el estudio de la calidad de un producto:

Vista Interna: Se ocupa de propiedades del software como su tamao, complejidad o conformidad con las normas de orientacin a objetos.

Vista Externa: Se ocupa del anlisis del comportamiento del software en produccin y el estudio de sus atributos como el rendimiento, uso de memoria.

Vista en uso: Se encarga de la medicin de la productividad y efectividad del usuario final al utilizar software.

De esta manera se puede observar que este estndar incluye toda una familia de normas que se encargan de verificar la calidad de producto software mediante guas, procesos, y evaluaciones que al final y de la mano de un auditor podrn determinar un dictamen si se estn cumpliendo con dichas normas o qu se puede hacer o mejorar en el sistema para que se puedan alcanzar dichos objetivos de la organizacin.

Entre los principales beneficios que trae utilizar SQuaRE estn: Que permite una mayor eficacia en la definicin del software, propone una calidad final a travs de evaluaciones intermedias.

Figura 2. Cuadro donde se resumen las divisiones de la ISO/IEC 25000.

CONCLUSIONES Si bien la implementacin de las normas y estndares establecidos por los organismos internacionales en los procesos de auditora, estos son imprescindibles para obtener ptimos resultados, producto de las actividades y procesos realizados en una auditora de sistemas. Su implementacin no solo le otorga beneficios al auditor en la realizacin de sus labores, sino que tambin le brinda a la organizacin auditada parmetros que deben seguir para la mejora continua en el desarrollo de sus actividades.

BIBLIOGRAFIA

Para la elaboracin de este trabajo se consultaron diversas fuentes bibliogrficas entre las que estn:

Artculo EcuRed. www.ecured.cu. Obtenido en http://www.ecured.cu/index.php/ISO/IEC_25000 [En lnea] Consultado el 08 de Junio de 2015.

Artculo ISO 25000. Obtenido en: http://iso25000.com/index.php/normas-iso-25000 [En lnea] Consultado el 08 de Junio de 2015.

Documento. Calidad de Procesos y Productos Software ISO/IEC 25000. 16 de Julio de 2010. Disponible en lnea en: http://alarcos.esi.uclm.es/per/fruiz/curs/santander/mrodriguez-iso25000-update.pdf. Consultado el 08 de Junio de 2015.

Documento: La Norma ISO 9000. Disponible en lnea en: http://basica.sep.gob.mx/dgdgie/cva/sitio/DocumentosIWA2/02_Documentos_de_trabajo/La_norma_ISO_9000_y_la_Competencia_Laboral.pdf. Consultado el 09 de junio de 2015.

Documento: ISO 9001. Disponible en lnea en: http://farmacia.unmsm.edu.pe/noticias/2012/documentos/ISO-9001.pdf. Consultado el 09 de junio de 2015.


Auditoria de Sistemas Auditoria Centro de Computo

Auditoria sistemas estudiar

Auditoria en Sistemas

Auditoria de sistemas

AUDITORIA DE SISTEMAS INFORMATICOS - cotana.informatica…cotana.informatica.edu.bo/downloads/normas de auditoria de sistemas... · AUDITORIA DE SISTEMAS INFORMATICOS ... 3 Para la

Auditoria de Sistemas

Auditoria Sistemas

AUDITORIA DE SISTEMAS INFORMATICOS - …cotana.informatica.edu.bo/downloads/4. normas de auditoria de... · AUDITORIA DE SISTEMAS INFORMATICOS 4. Normas de Auditoria de Sistemas 1

Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

Auditoria de-sistemas