UNIVERSIDAD ESAN

II Programa de Alta Especializacin Implantacin de un sistema de Gestin de Seguridad de la Informacin: ptica ISO 27001:2005

Curso : Profesor : Ttulo :

Mdulo III Auditora de un SGSI Juan Dvila Ramrez Auditora Interna al rea de Desarrollo y Mantenimiento de Software de la Empresa Nacional de Servicios

Presentado por :

Ricaldi Arauzo, Reymer Melchor

Surco, julio de 2010

Introduccin

Auditora, en su sentido ms general, se puede entender como la investigacin, consulta, revisin, verificacin, comprobacin y obtencin de evidencia, desde una posicin de independencia, sobre la documentacin e informacin de una organizacin, realizadas por un profesional, el auditor, designado para desempear tales funciones. El auditor, cuando acta como tal, no es responsable ni de la operacin del organismo ni del control de su funcionamiento. Tales funciones son responsabilidad de los rganos directivos del organismo auditado. La funcin del auditor es la de examinar e informar sobre la documentacin elaborada por los rganos directivos. Ante la creciente complejidad de las estructuras empresariales y la creciente dinmica de los mercados y las interrelaciones de las empresas con sus mercados, la Auditora ha tenido que ir ampliando su campo de aplicacin y salir del entorno Contable y Financiero, para abordar otras reas operativas y funcionales de las empresas. Tambin ha tenido que abarcar toda la diversidad de empresas y organismos pblicos y privados que componen el tejido industrial, econmico y social de nuestra sociedad. Por lo que, segn el mbito en que se aplique, hay que hablar de Auditora Contable, Auditora Financiera, Auditora de Gestin, que comprende las dos anteriores, y, desde hace algunos aos, de Auditora de los Sistemas de Informacin.

Contenido

Introduccin................................................................................................................................................i Contenido ................................................................................................................................................... ii Auditora al rea de Desarrollo y Mantenimiento de Software de la Empresa Nacional de Servicios .................................................................................................................................................... 1 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 2. 2.1. 1.1. 1. Plan de Auditora: ........................................................................................................................ 1 Alcance ........................................................................................................................................ 1 Objetivo ....................................................................................................................................... 1 Norma de Conformidad ............................................................................................................ 1 Equipo Auditor ............................................................................................................................ 1 Cronograma de fechas ............................................................................................................. 1 Lugar de Realizacin ................................................................................................................ 2 Involucrados en la auditora y Responsabilidades ............................................................... 2 Recursos ..................................................................................................................................... 2 Documentos a solicitar.............................................................................................................. 3 Ejecucin: ...................................................................................................................................... 4 Reunin de presentacin.......................................................................................................... 4 Reuniones de trabajo ................................................................................................................ 4 Informe final:................................................................................................................................. 5

ii

Auditora al rea de Desarrollo y Mantenimiento de Software de la Empresa Nacional de Servicios

La Empresa Nacional de Servicios (ENS) es una empresa dedicada a prestar servicios en todo el pas para lo cual cuenta con el soporte tecnolgico necesario. La Unidad de Auditora Interna realizar una auditora al rea de Desarrollo y Mantenimiento de Software, prevista en su programa de auditora para mejorar el servicio al pblico usuario.

1. Plan de Auditora:

1.1. Alcance Alcanza directamente al rea de Desarrollo y Mantenimiento de Software de la Gerencia de Informtica de la ENS. Alcanza indirectamente, y en menor grado, a la Gerencia de Administracin y Finanzas, Gerencia Registral, y Gerencia Legal por estar involucrados en el proceso.

1.2. Objetivo Revisar y evaluar los procedimientos y controles utilizados en el proceso de Desarrollo y Mantenimiento de Software, y su cumplimiento y alineamiento con las normas.

1.3. Norma de Conformidad La NTP ISO/IEC 12207:2007 en lo referente al ciclo de vida del software. La NTP ISO/IEC 27001:2005 en lo referente a la seguridad de la informacin.

1.4. Equipo Auditor Auditor Lder: Auditor Tcnico: Auditor Junior: Reymer Ricaldi

1.5. Cronograma de fechas

1.6. Lugar de Realizacin Los lugares en las que se realizar la auditora son: Ambiente de Desarrollo de Sistemas Ambiente de Mantenimiento de Sistemas Ambiente de Testing Granja de Servidores de produccin

Ubicados en la Sede Central de la ENS cito en Av. Javier Prado N 1886

1.7. Involucrados en la auditora y Responsabilidades

Cargo Auditor Lder: Auditor Tcnico: Auditor Junior: Jefe de Desarrollo Analista de Sistemas Analista de Sistemas Analista de Sistemas Programador Programador Programador Nombre Reymer Ricaldi Responsabilidad Conduccin de la auditora Revisin de los procedimiento y controles Revisin de los procedimiento y controles

Documentacin de informes Apoyo en la auditora Interlocutor Atencin de requerimientos. Atencin de requerimientos. Atencin de requerimientos. Atencin de requerimientos. Atencin de requerimientos. Atencin de requerimientos. Atencin de requerimientos.

1.8. Recursos 2

Recursos financieros: Presupuesto de S/. 9850.00

Recursos Tcnicos: Acceso a los servidores de desarrollo, produccin y testing Manuales y documentacin de los sistemas Metodologa de desarrollo

Recursos de infraestructura: Ambiente de trabajo Equipo de cmputo (3 unidades) Una fotocopiadora Materiales de escritorio.

1.9. Documentos a solicitar Polticas, estndares, normas y procedimientos. Plan de sistemas. Planes de seguridad y continuidad Contratos, plizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Archivos Requerimientos de Usuarios

1.10.Elaboracin de herramientas de auditoria Cuestionarios Listas de comprobacin Entrevistas Formatos de Actas

2. Ejecucin:

2.1. Reunin de presentacin A continuacin detallamos el desarrollo de la reunin inicial:

N 1

Hora 08:00 hrs

Tema / evento El auditor lder presenta a los miembros del equipo auditor y a s mismo, citando la identificacin de su registro de auditor cualificado.

08:11 hrs

Invita a presentarse al personal de la empresa a auditar, mientras tanto, uno de los auditores toma nota de los asistentes presentes.

08:28 hrs

Explica el propsito de la auditora, y aclara que se trata de una auditora interna de la empresa. Recuerda a los asistentes el alcance de la auditora.

08:35 hrs

Confirma que el plan de auditora fue aceptado y acordado unas semanas antes sin objeciones por las partes y recuerda el itinerario (reas, oficinas) que seguirn los auditores.

08:45 hrs

Explica brevemente los mtodos y procedimientos que los auditores utilizarn para su trabajo. En este momento se informar de las necesidades de tomar notas, recoger evidencias documentales (fotocopias,...) y/o fsicas (muestras, fotografas,..), y comunicarse directamente con, los poseedores de la informacin de primera mano (tcnicos, usuarios de procesos, operarios,...). Explica adems la sistemtica de deteccin y categorizacin de no conformidades, as como la necesidad de acciones correctoras, como instrumentos que permiten la mejora de la organizacin.

08:59 hrs

Confirma la disponibilidad de medios tales como una sala donde reunirse el equipo auditor a solas, fotocopiadora, pases de seguridad, equipos de proteccin,... y manifiesta la necesidad de contar con un interlocutor o guas que lo conduzca por las dependencias de la empresa y le vaya introduciendo al personal cuya rea se va a auditar.

09:10 hrs

Recuerda la fecha prevista para la reunin final, aclara la garanta de confidencialidad de toda la informacin que recopile y agradece a los asistentes de la celebracin del encuentro.

1.1. Reuniones de trabajo A continuacin detallamos las reuniones de trabajo:

Tema / evento

Duracin

 1 3

Solicitud de Manuales y Documentaciones. Recopilacin de la informacin organizacional: estructura orgnica, recursos humanos, presupuestos. 8

Aplicacin del cuestionario al personal. Entrevistas a lderes y usuarios relevantes de los sistemas. Anlisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. Evaluacin de la estructura orgnica: departamentos, puestos, funciones, autoridad y responsabilidades. Evaluacin de los Recursos Humanos: desempeo, capacitacin, condiciones de trabajo, recursos en materiales y financieros,

mobiliario y equipos. Evaluacin de los sistemas: relevamiento de Hardware y Software, evaluacin del diseo lgico y del desarrollo del sistema. Evaluacin del Proceso de Datos y de los Equipos de Cmputos: seguridad de los datos, control de operacin, seguridad fsica y procedimientos de respaldo.

Revisin de los papeles de trabajo. Determinacin del Diagnostico e Implicancias. Elaboracin de la Carta de Gerencia. Elaboracin del Borrador. Elaboracin y presentacin del Informe

8 9

8 6

1. Informe final:

Informe Final de Auditora

Organizacin Solictud Tipo de Auditora Empresa Nacional de Servicios 085-2010-GG-ENS Interna Objetivo de la Auditora Revisar y evaluar los procedimientos y controles utilizados en el proceso de Desarrollo y Mantenimiento de Software, y su cumplimiento y alineamiento con las normas. Alcance de la Auditora Alcanza directamente al rea de Desarrollo y Mantenimiento de Software de la Gerencia de Informtica de la ENS. Alcanza indirectamente, y en menor grado, a la Gerencia de Administracin y Finanzas, Gerencia Registral, y Gerencia Legal por estar involucrados en el proceso Personal que realiz la auditora

Auditor Lder: Reymer Ricaldi Auditor Tcnico: Luis Medina Auditor Junior: Carlos Parra Elementos revisados N Elemento / Criterio / Actividad 1.- Sistema de Gestin de Seguridad 1.1 Requisitos Generales 2.- Requisitos de documentacin 2.1 Generalidades 2.2 Manual 2.3 Control de documentos 2.4 Control de registros 3.- Responsabilidades de la direccin 3.1 Compromiso de la direccin 3.2 Enfoque al cliente 3.3 Poltica de seguridad 4.- Planificacin 4.1 Objetivos del servicio de Mantto y Desar. de sistemas 4.2 Planificacin del servicio de Mantto y Desar. de sistemas 5.- Diseo y Desarrollo 5.1 Planificacin del Diseo y Desarrollo 5.2 Elementos de entrada para el diseo y desarrollo 5.3 Resultados del diseo y Desarrollo 5.4 Revisin del diseo y Desarrollo 5.5 Verificacin del diseo y Desarrollo 5.6 Validacin del diseo y Desarrollo 5.7 Control de los cambios del Diseo y desarrollo Resultado C C C C C C C C C C NC C C C C C NC Valoracin A A

Columna de RESULTADO, cumplimiento con el criterio de auditora: Calificacin C -> Conforme, NC -> No conforme, NR -> No Revisado

Columna de VALORACIN, en caso de No Cumplimiento: Calificacin A -> Alta, M -> Media, B -> Baja, - -> No existe gravedad

No Conformidad 1.- Ausencia de la planificacin del diseo y Desarrollo que permita priorizar las necesidades. Valoracin alta 2.- No existe un registro del control de cambios. Valoracin alta. Oportunidad de Mejora 1. Reforzar el mtodo empleado para implementar, documentar y dar seguimiento a las solicitudes de cambio de los usuarios. (8.5.1) 2. Analizar los periodos de tiempo descritos para generar evidencia que permita determinar la eficacia de las acciones correctivas implmentadas (8.5.2) Comentarios Se cumpli con el plan de auditora con la evaluacin de procesos y requisitos planificados. Durante la evaluacin se verific la atencin de las opoortunidades de mejora de auditoras previas.Se verific el seguimiento de las quejas y sugerencias con los responsables de los procesos.

Recomendaciones de Auditora 1.- Formalizar el Plan de Mantenimiento en el Proceso de Mejora Continua (6.3) 2.- Con las evidencias mostradas no es posible comprobar an que los preocesos evaluados hayan madurado en la mejora continua, por lo que con el propsito de mejorar el nivel de eficacia del servicios, se recomienda integrar el tratamiento oportuno de los hallazgos registrados. 3.- Se encuentra en etapa de anlisis de la informacin de nuevos indicadores de eficacia de los procesos, sin emargo, se deben documentar oportunidades de mejoraque la institucin debe analizar bajo el enfoque de su actual cumplimiento.

Firmas

________________________ Responsable de Desarrollo

______________________ Auditor Lder