DGTIC participa en validación de componentes de sistemas auditados
Por Susana Corona y Hugo Cuéllar
A través de la Dirección de Colaboración y Vinculación, la DGTIC participó en diferentes procesos de validación de componentes de software para cotejar que los que se encuentran en operación correspondan con los elementos de un sistema auditado previamente.
Este trabajo contribuye a cerrar el ciclo de una auditoría de software mediante la confirmación de que la aplicación revisada es la que posteriormente se encuentra en operación en las etapas en las que se ha verificado, lo que fomenta una mayor confianza en que la aplicación auditada no ha sido alterada sin autorización.
En caso de que hubiera diferencias, éstas son detectadas y notificadas, lo que permite realizar su seguimiento para determinar si las modificaciones fueron hechas de acuerdo con un proceso de cambios adecuado y con la autorización esperada o se trata de alteraciones no autorizadas con la finalidad de llevar a cabo acciones previstas por la organización auditada en estos escenarios.
Durante una primera fase se llevó a cabo la preparación del proceso, esto contempla actividades de planeación, identificación de riesgos, análisis de necesidades del usuario y cumplimiento normativo, revisión de la arquitectura del sistema, diseño del proceso, documentación y aprobación de los procedimientos a realizar.
El proceso de validación consistió en la extracción, por parte del proveedor, del nombre y el identificador único de cada servicio utilizado en el sistema auditado, con el cual se comparó, con el fin de verificar que no existan alteraciones, la información obtenida del ambiente de producción con la información del ambiente auditado.
Asimismo, se desarrolló un programa en el lenguaje de programación Python, el cual obtiene de manera única los identificadores de cada servicio necesario para mantener la disponibilidad del sistema. Además, se generan dos archivos, uno que contiene la información del ambiente de auditoría y otro que contiene la información del ambiente de producción. Estos datos son comparados para verificar que sus identificadores y nombres sean iguales.