Auditoria de Sistemas

1.- Introduccin a la auditoria de sistemas

Antecedentes histricos de la auditoria de sistemas Auditoria: Viene del Latn auditorius que es el que tiene la virtud de or. La auditoria necesita un juicio profesional. Informtica va ms all del simple uso de procesos electrnicos. Auditoria La auditora puede definirse como el examen comprensivo y constructivo de la estructura organizativa de una empresa de una institucin o departamento gubernamental; o de cualquier otra entidad y de sus mtodos de control, medios de operacin y empleo que d a sus recursos humanos y materiales. Informacin Informacin es un conjunto de datos estructurados. La informacin se ha dividido en varios niveles. -Primer nivel es tcnico, referente a los canales de comunicacin. -El segundo es semntico, se preocupa por el significado de la informacin. -El tercero es pragmtico, el cual considera al receptor; pragmtico es que solo es verdadero si funciona. -El cuarto es normativo y tico; cuando, donde y a quien se destina la informacin. Definicin de la Auditora en Informtica Es el conjunto de procedimientos y tcnicas para evaluar y controlar un sistema informtico con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informticas y generales en la organizacin. Segn el libro, este trmino vara en cada organizacin, solo coincide en que se tienen mtodos manuales y asistidos por computadora para la auditoria. Objetivos principales de la auditora en informtica -Salvaguardar los activos; Se refiere a la proteccin del hardware, software y recursos humanos -Integridad de los datos; Los datos deben mantener consistencia y no duplicarse (Normalizacin -Efectividad de sistemas; Los sistemas deben cumplir con los objetivos de la organizacin -Eficiencia de sistemas; Que se cumplan los objetivos con los menores recursos -Seguridad y confidencialidad; Seguridad en los sistemas y BD La evaluacin de la auditora en informtica debe ser hecha por personas con un alto grado de conocimientos en informtica y con mucha experiencia en el rea. La informacin recibida a los auditores debe de ser confiable, oportuna, verdica y se debe de manejar en forma segura y con la suficiente confidencialidad, todo esto dentro de los parmetros legales y ticos.

2.- Administrador de sistemas

Un Administrador de sistemas tiene la responsabilidad de ejecutar, mantener, operar y asegurar el correcto funcionamiento de un sistema informtico y/o una red de cmputo. Caractersticas del profesional Ser capaz de adaptarse a las situaciones, responder a las exigencias, capacidad para discernir, analizar y evaluar las repercusiones que tienen en el comportamiento de los individuos y las organizaciones, la aplicacin de las distintas filosofas, fundamentos, teoras, conceptos, tcnicas y procedimientos que son objeto de la Administracin de Sistemas Informticos, Impulsar la realizacin y desarrollo de investigaciones en el campo de los sistemas. Ciclo de vida del desarrollo de sistemas El ciclo de vida del desarrollo de sistemas consiste en las siguientes actividades: 1. Investigacin preliminar

2. Determinacin de requerimientos 3. Desarrollo de sistema prototipo 4. Diseo de sistema 5. Desarrollo de software 6. Prueba de los sistemas 7. Puesta en marcha Aplicaciones de la programacin En informtica, una aplicacin es un tipo de programa informtico diseado como herramienta para permitir a un usuario realizar uno o diversos tipos de trabajos. Esto lo diferencia principalmente de otros tipos de programas como los sistemas operativos (que hacen funcionar al ordenador), las utilidades (que realizan tareas de mantenimiento o de uso general), y los lenguajes de programacin (con el cual se crean los programas informticos). Algunas compaas agrupan diversos programas de distinta naturaleza para que formen un paquete (llamados suites o suite ofimtica) que sean satisfactorios para las necesidades ms apremiantes del usuario. Todos y cada uno de ellos sirven para ahorrar tiempo y dinero al usuario, al permitirle hacer cosas tiles con el ordenador (o computadora); algunos con ciertas prestaciones, otros con un determinado diseo; unos son ms amigables o fciles de usar que otros, pero bajo el mismo principio. Implementacin y desarrollo fsico Codificacin y documentacin del programa Evaluacin y seleccin del equipo de cmputo Desarrollo de sistemas de auditora, control y seguridad y desarrollo de los procedimientos de prueba Desarrollo de los programas de entrenamiento Programas en desarrollo Los programas de desarrollo incluyen software que solo puede ser usado por el personal que ha tenido entrenamiento y experiencia, este software incluye Tipos de programas: Lenguajes de programacin -Lenguaje de maquina -Ensambladores -De tercera generacin -De cuarta generacin -4 GLS -Query languajes -Generadores de reportes -Lenguajes naturales -Generadores de aplicaciones CASE (computer aided software engineering) Bases de datos El banco de datos es el conjunto de datos que guardan entre s una coherencia temtica independiente del medio de almacenamiento. DBMS El sistema de administracin de base de datos (DBMS) es un conjunto de programas que permite manejar cmodamente una base de datos. En las bases de datos se deben evaluar: -La independencia de los datos. -Redundancia de los datos. -Consistencia de los datos.

Un sistema de bases de datos es un conjunto de programas que: -Almacena los datos en forma uniforme y de manera consistente -Organiza los datos en archivos -Permite el acceso a la informacin -Elimina la redundancia innecesaria en los archivos

El administrador de base de datos El desarrollo de las bases de datos ha creado la necesidad dentro de la organizacin de contar con un organismo encargado de administrar las bases de datos. Funciones: Planear Disear Organizar Operar Dar soporte a los usuarios Seguridad Mantenimiento Modelo de base de datos Jerrquicos De redes Relacionales Orientados a objetos Problemas de los sistemas de la administracin de base de datos. Cuando varios usuarios utilizan una base de datos, pueden existir problemas si no fue diseada para usuarios mltiples. Operaciones de Sistemas Instructivos de operacin Debemos evaluar los instructivos de operacin de los sistemas para evitar que los programadores tengan acceso a los sistemas en operacin. El contenido mnimo de los instructivos de operacin deber comprender: -Diagrama de flujo por cada programa -Diagrama particular de entrada-salida -Mensaje y su explicacin -Parmetros y su explicacin -Diseo de impresin de resultados -Cifras de control -Formulas de verificacin -Observaciones -Instrucciones en caso de error -Calendario de proceso y resultados Implantacin La finalidad es la de evaluar los trabajos que se realizan para iniciar la operacin de un sistema, esto comprende: -Prueba integral del sistema -Adecuacin -Aceptacin por parte del usuario - Entrenamiento de los responsables del sistema

Para ello deben considerarse los siguientes aspectos: 1- Indicar cuales puntos se toman en cuenta para la prueba de un sistema: Prueba particular de cada programa Prueba por fase, validacin, actualizacin Prueba integral de paralelo Prueba en sistema paralelo Pruebas de seguridad y confidencialidad Otros 2- En la implantacin se debe analizar la forma en que se van a cargar inicialmente los datos del sistema, lo cual puede ser captura o por transferencia de informacin. 3- Tambin se debe de hacer un plan de trabajo para la implantacin, el cual debe contener las fechas en que se realizaran cada uno de los procesos. Entrevista a usuarios Se deben llevar a cabo para comparar los datos proporcionados y la situacin de la direccin de informtica desde el punto de vista de los usuarios Cuestionario Requerimientos del usuario Desde el punto de vista del usuario los sistemas deben: 1- Cumplir con los requerimientos totales del usuario 2-Cubrir todos los controles necesarios 3-No exceder las estimaciones del presupuesto inicial, en tiempo y costo 4-Ser fcilmente modificables 5-Ser confiables y seguros 6-Poderlos usar a tiempo y con el menor tiempo y esfuerzo posible 7-Ser amigables Para que un sistema cumpla con los requerimientos del usuario se necesita una comunicacin completa entre este y el responsable del desarrollo del sistema. Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y que se estn proporcionando en forma adecuada, cuando menos ser preciso considerar la siguiente informacin: -Descripcin de los servicios prestados -Criterios que utilizan los usuarios para evaluar el nivel del servicio prestado -Reporte peridico del uso y concepto del usuario sobre el servicio -Registro de los requerimientos planteados por el usuario -Tiempo de uso

3.- Marco de Control de Aplicaciones

Preparacin y recepcin de los datos -La introduccin de datos en un ordenado consta de tres pasos: a) La captura de datos: Proceso de identificar y recoger datos del mundo real. b) La preparacin de datos: Proceso de convertir los datos capturados en un formato entendible por el ordenador. c) La entrada de datos: Proceso de lectura de datos para su introduccin en el ordenador. Evaluacin de los mtodos de captura de datos -Diseo de documentos fuente

Controles de codificacin de datos Un buen cdigo debe ser: a) Flexible b) Significativo c) Compacto d) Conveniente Dgito de control Existen muchos mtodos de crear un dgito de control. El ms fcil consiste en sumar los dgitos a capturar, pero tiene el fallo de no detectar la transposicin. Se ver a continuacin un mtodo bastante empleado para la creacin de un dgito de control. Sea el numero 2148. Los pasos para crear el dgito de control son: a) Multiplicar cada dgito por un peso (ej: 5-4-3-2) 2*5 =10; 1*4=4; 4*3=12; 8*2=16; Sumar los resultados obtenidos: 42 Dividir por un mdulo (ej 11) 42/11 = 3, y sobran 9 Restar el sobrante del mdulo. El resultado ser el digito de control: 11-9 = 2 Aadirlo como sufijo al nmero original: 21482 Procesos de Entrada, Procesamiento y salida de los datos para aplicar el seguimiento de Auditoria Entrada de Informacin Es el proceso mediante el cual el Sistema de Informacin toma los datos que requiere para procesar la informacin Almacenamiento de informacin A travs de esta propiedad el sistema puede recordar la informacin guardada en la seccin o proceso anterior. Procesamiento de Informacin Es la capacidad del Sistema de Informacin para efectuar clculos de acuerdo con una secuencia de operaciones preestablecida Salida de Informacin La salida es la capacidad de un Sistema de Informacin para sacar la informacin procesada o bien datos de entrada al exterior. Respaldo de informacin. Respaldar la informacin significa copiar el contenido lgico de nuestro sistema informtico a un medio que cumpla con una serie de exigencias: 1. Ser confiable 2. Estar fuera de lnea, en un lugar seguro 3. La forma de recuperacin sea rpida y eficiente Puede llegar a ser necesario eliminar los medios de entrada/salida innecesarios en algunos sistemas informticos, tales como disqueteras y cdroms para evitar posible infecciones con virus trados desde el exterior de la empresa por el personal, o la extraccin de informacin de la empresa. Las copias de seguridad son uno de los elementos ms importantes y que requieren mayor atencin a la hora de definir las medidas de seguridad del sistema de informacin, la misin de las mismas es la recuperacin de los ficheros al estado inmediatamente anterior al momento de realizacin de la copia. La realizacin de las copias de seguridad se basar en las medidas tcnicas: Volumen de informacin a copiar -Copiar slo los datos, poco recomendable, ya que en caso de incidencia, ser preciso recuperar el entorno que proporcionan los programas para acceder a los mismos, influye negativamente en el plazo de recuperacin del sistema.

-Copia completa, recomendable, si el soporte, tiempo de copia y frecuencia lo permiten, incluye una copia de datos y programas, restaurando el sistema al momento anterior a la copia. -Copia incremental, solamente se almacenan las modificaciones realizadas desde la ltima copia de seguridad, con lo que es necesario mantener la copia original sobre la que restaurar el resto de copias. Utilizan un mnimo espacio de almacenamiento y minimizan el tipo de desarrollo, a costa de una recuperacin ms complicada. -Copia diferencial, como la incremental, pero en vez de solamente modificaciones, se almacenan los ficheros completos que han sido modificados. Tambin necesita la copia original. Soporte utilizado Es la primera decisin a tomar cuando se planea una estrategia de copia de seguridad, sin embargo esta decisin estar condicionada por un conjunto de variables, tales como la frecuencia de realizacin, el volumen de datos a copiar, la disponibilidad de la copia, el tiempo de recuperacin del sistema, etc. Mecanismos de comprobacin Se deben definir mecanismos de comprobacin de las copias de seguridad, aunque los propios programas que las efectan suelen disponer de ellos para verificar el estado de la copia, es conveniente planificar dentro de las tareas de seguridad la restauracin de una parte de la copia o de la copia completa peridicamente, como mecanismo de prueba y garanta.

Las metodologas de auditora informtica son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen en gran profesionalidad y formacin continua. Controles Generales.- Son el producto estndar de los auditores profesionales. El objetivo aqu es dar una opinin sobre la fiabilidad de los datos del computador para la auditora financiera, es resultado es escueto y forma parte del informe de auditora, en donde se hacen notar las vulnerabilidades encontradas La metodologa utilizada es la Evaluacin de Rasgos (ROA Risk Oriented Approach) recomendada por ISACA. Esta evaluacin de riesgos se desarrolla sobre determinadas reas de aplicacin y bajo tcnicas de Checklist (cuestionarios) adaptados a cada entorno especifico; deber tenerse en cuenta que determinados controles se repetiran en diversas reas de riesgo. Riesgo en la continuidad del proceso: Son aquellos riesgos de situaciones que pudieran afectar a la realizacin del trabajo informtico o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o incluso tambin a paralizarla. En cuanto a estos riesgos se analizarn aquellas posibilidades de desembolsos directos inadecuados, gastos varios que no deberan producirse, e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes Riesgos de la seguridad lgica Todos aquellos que posibiliten accesos no autorizados a la informacin mecanizada mediante tcnicas informticas o de otros tipos. Valoracin de resultados La auto gua se compone de una serie de cuestionarios de control. Dichos cuestionarios podrn ser contestados mediante dos sistemas indicados en los mismos.