Evaluación (SI)

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajoredes de comunicaciones o servidores.
 
EVALUACIÓN DE LOS SISTEMAS DE INFORMACIÓN (SI)
 
La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos. 
 
El plan estratégico deberá establecer los servicios que se presentarán en un futuro contestando preguntas como las siguientes: 
 
¿Cuáles servicios se implementarán? 
¿Cuándo se pondrán a disposición de los usuarios?
¿Qué características tendrán? 
¿Cuántos recursos se requerirán? 
 
La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados: 
 
¿Qué aplicaciones serán desarrolladas y cuando? 
¿Qué tipo de archivos se utilizarán y cuando? 
¿Qué bases de datos serán utilizarán y cuando? 
¿Qué lenguajes se utilizarán y en que software? 
¿Qué tecnología será utilizada y cuando se implementará? 
¿Cuantos recursos se requerirán aproximadamente? 
¿Cuál es aproximadamente el monto de la inversión en hardware y software? 
 
En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de información de la dependencia. 
 
¿Qué estudios van a ser realizados al respecto? 
¿Qué metodología se utilizará para dichos estudios? 
¿Quién administrará y realizará dichos estudios? 
 
En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los controles establecidos. 
 
Por último, el plan estratégico determina la pleneación de los recursos. 
 
¿Contempla el plan estratégico las ventajas de la nueva tecnología? 
¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios? 
 
El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y la tecnología, con que se cuenta actualmente. 
 
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen
requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación, mejoras, y se vuelve nuevamente al ciclo inicial. el cual a su vez debe comenzar con el de factibilidad. 
 
La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable elaborarlo. 
 
Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como los que estén en la fase de análisis para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quiénes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas. 
 
En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de factibilidad con los puntos señalados y compararse con la realidad con lo especificado en el estudio de factibilidad. 
 
Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema. 
 
Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en fa práctica son costos directos, indirectos y de operación. 
 
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.