REPBLICA BOLIVARIANA DE VENEZUELA

INSTITUTO UNIVERSITARIO POLITCNICO

SANTIAGO MARIO
AMPLIACIN MARACAIBO


























REALIZADO POR:

Marbelys Hernndez
C. I.: 17.568.868



MARACAIBO, AGOSTO DE 2012

LA AUDITORA DEL DESARROLLO

La funcin del desarrollo abarca todas las fases que se deben de seguir
desde que aparece la necesidad de disponer de un SI hasta que ste es
construido e implantado. Incluye todo el ciclo de vida del SW, exceptuando
explotacin, mantenimiento y retiro. La auditora de desarrollo trata de
verificar la existencia y aplicacin de procedimientos de control adecuados
que permitan garantizar que el desarrollo de SI se ha llevado a cabo
siguiendo los principios de ingeniera de SW (entendindose por Ingeniera
de SW el establecimiento y uso de principios de ingeniera robustos,
orientados a obtener SW econmico que sea fiable, cumpla con los requisitos
previamente establecidos y funcione de manera eficiente sobre mquinas
reales)
El rea de desarrollo y, por lo tanto, tambin su auditora, es importante
por las siguientes razones: los avances en TI ha hecho que el principal factor
de xito en informticas sea mejorar la calidad del SW; el gasto destinado al
SW s cada vez mayor; el SW como producto es muy difcil de validar (a
mayor control, mejor calidad y menores costos de mantenimiento); el ndice
de fracasos en proyectos de desarrollo es demasiado alto; los SI son una
herramienta de trabajo esencial para la administracin y toma de decisiones.
La auditora se divide en dos grandes reas: auditora de la organizacin y
administracin del rea de desarrollo y auditora de proyectos de desarrollo
de SI. ISACA (Information Systems Audit and Control Association) propone
una metodologa basada en administracin de riesgos, y determina controles
para minimizar stos. Algunos de los controles se mencionan a continuacin.
Auditora de la organizacin y administracin del rea de desarrollo
1. El rea de desarrollo debe tener cometidos asignados dentro del
departamento y una organizacin que permita el cumplimiento de los
mismos.
a. Se deben establecer en forma clara las funciones del rea de
desarrollo, por lo que se debe comprobar que: existe un documento que
contiene las funciones que corresponden al rea, aprobado por la direccin
de informtica y que se respeta.
b. Debe especificarse el organigrama con la relacin de puestos del rea,
as como del personal y el puesto que cada uno ocupa. Debe existir un
procedimiento para la promocin del personal.
c. El rea debe tener y difundir su propio plan a corto, mediano y largo
plazo. Se debe comprobar que: El plan existe, es claro y realista; los recursos
actuales y los que se planifica se integrarn posteriormente son suficientes
para su cumplimiento; se revisa y actualiza peridicamente en funcin de las
nuevas situaciones; se difunde a todos los empleados
2. El personal del rea de desarrollo debe contar con la formacin
adecuada y estar motivado para realizar su trabajo
a. Debe existir un protocolo de recepcin/abandono para las personas
que se incorporan o dejan el rea. Se debe comprobar que: el protocolo
existe y se respeta para cada incorporacin/abandono; para la incorporacin,
incluye al menos los estndares definidos, manual de organizacin del rea,
definicin de puestos, etc.; en los abandonos del personal se garantiza la
proteccin del rea.
b. El personal debe estar motivado en la realizacin de su trabajo. Se
debe comprobar que: existe algn mecanismo que permite a los empleados
hacer sugerencias sobre mejoras en la organizacin del rea; no existe gran
rotacin de personal y hay un buen ambiente de trabajo; el rendimiento del
personal no cae por debajo de los mismos y que el absentismo laboral es
similar al del resto de la organizacin
3. La propuesta y aprobacin de nuevos proyectos debe realizarse de
forma regulada
a. Debe existir un procedimiento para la propuesta de realizacin de
nuevos proyectos. Debe comprobarse que: existe un mecanismo para
registrar necesidades de desarrollo de nuevos SI, con al menos la
descripcin de la necesidad, departamento solicitante, riesgos, tiempo, costo
de realizacin, ventajas que aporta, adaptacin a los planes del negocio, etc.;
se respeta el mecanismo en todas las propuestas
b. Debe existir un procedimiento de aprobacin de nuevos proyectos. Se
debe comprobar que: hay un procedimiento para estudiar la justificacin y
llevar un estudio de viabilidad de cada nuevo proyecto, incluyendo anlisis
costo-beneficio; estn designadas las reas que decidirn la realizacin y
prioridades de nuevos proyectos.
4. El desarrollo de SI debe hacerse aplicando principios de ingeniera de
SW ampliamente aceptados
a. Debe tenerse implementada una metodologa de desarrollo de SI
soportada por herramientas de ayuda (CASE).
b. Debe existir un mecanismo de creacin y utilizacin de estndares, as
como estndares definidos para las actividades principales.

LA AUDITORA DE SISTEMA DE INFORMACIN

La auditoria en informtica es la revisin y la evaluacin de los controles,
sistemas, procedimientos de informtica; de los equipos de cmputo, su
utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones.
La auditoria en informtica deber comprender no slo la evaluacin de
los equipos de cmputo, de un sistema o procedimiento especfico, sino que
adems habr de evaluar los sistemas de informacin en general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtencin de
informacin. La auditoria en informtica es de vital importancia para el buen
desempeo de los sistemas de informacin, ya que proporciona los controles
necesarios para que los sistemas sean confiables y con un buen nivel de
seguridad. Adems debe evaluar todo (informtica, organizacin de centros
de informacin, hardware y software).

LA AUDITORA DE LA EXPLOTACIN

El nivel de competencia que existe entre las empresas les obliga a tomar
decisiones rpidas y acertadas, por lo que el funcionamiento adecuado y la
continua actualizacin de los SI son muy necesarios. Los recursos de los SI
se han de utilizar de forma que permitan la eficacia y eficiencia de la
empresa, adems de que deben asegurar la confidencialidad de sus datos.
Para hacer el seguimiento y comprobar que el SI est actuando como debe,
ste habr de disponer de un control interno que prevenga los eventos no
deseados, o en su defecto que los detecte y los corrija. Para esta rea de la
auditora es posible seguir la gua de clasificacin de los controles que hace
el proyecto CobiT (es un marco reconocido internacionalmente, que permite
la estandarizacin de criterio relacionado con controles sobre TI).

LA AUDITORA DE REDES

Todos los sistemas de comunicacin, desde el punto de vista de auditora,
presentan una problemtica comn: la informacin transita por lugares
fsicamente alejados de las personas responsables. Esto presupone un
compromiso en seguridad, ya que no existen procedimientos fsicos para
garantizar la inviolabilidad de la informacin. En las redes, por causas
propias de la tecnologa, pueden producirse bsicamente tres tipos de
incidencias: alteracin de bits, ausencia de tramas y alteracin de la
secuencia. Los tres mayores riesgos a controlar son la indagacin (un tercero
puede leer la informacin), suplantacin (un tercero introduce un mensaje
falso que el receptor cree proviene del emisor legtimo) y la modificacin (un
tercero altera el contenido de un mensaje).
El primer punto de una auditora de comunicaciones es determinar que la
funcin de administracin de redes y comunicaciones est claramente
definida, y que exista (entre otros): una gerencia de comunicaciones con
autoridad para establecer procedimientos y polticas; procedimientos y
registros de inventarios y cambios; funciones de vigilancia y uso de la red,
ajustes a rendimientos, registro de incidencias y resolucin de problemas;
procedimientos para el seguimiento al costo de las comunicaciones y su
adecuada distribucin a las reas adecuadas; monitoreo de uso de la red
para realizar mejoras en rendimiento; planes de comunicacin a largo y corto
plazo, incluyendo estrategias de comunicaciones de voz y datos; normas
para el tipo de equipo que puede ser instalado en la red; procedimientos de
autorizacin para conectar nuevos equipos a la red.
En la auditora de la red fsica debe analizarse hasta qu punto las
instalaciones fsicas de los edificios ofrecen garantas y han sido estudiadas
las vulnerabilidades existentes. Debe comprobarse que los accesos fsicos
desde el exterior han sido registrados y que desde el interior del edificio no
se intercepte fsicamente el cableado. En caso de desastres debe poder
comprobarse cul es la parte del cableado que puedes seguir funcionando y
qu actividad puede soportar.
Algunos de los objetivos de control de esta rea son los siguientes, los
cuales deben asegurar la existencia de: reas controladas para los equipos
de comunicaciones para prevenir accesos no autorizados; proteccin y
tendido adecuado de cables y lneas de comunicaciones para evitar accesos
fsicos; controles de utilizacin y monitoreo de la red y su trfico; controles
especficos en caso de que se utilicen lneas telefnicas con acceso a red de
datos para prevenir accesos no autorizados. En el aspecto lgico, es
necesario monitorear la red, revisar errores que se producen y tener
establecidos procedimientos para detectar y aislar equipos que presenten
comportamiento inadecuado.
Como objetivos de control, se debe marcar la existencia de: contraseas y
otros procedimientos para limitar y detectar cualquier intento no autorizado a
la red; facilidades de control de errores para detectar errores de transmisin y
establecer las retransmisiones apropiadas; controles para asegurar que las
transmisiones van solamente a usuarios autorizados; registro de la actividad
de la red para ayudar a reconstruir incidencias y detener accesos no
autorizados; tcnicas de cifrado de datos donde existan riesgos de accesos
no autorizados a transmisiones confidenciales; pruebas peridicas donde se
simulen ataques para descubrir vulnerabilidades, documentando los
resultados y corrigiendo las deficiencias encontradas.

LA AUDITORA DE LA SEGURIDAD

Para muchos la seguridad sigue siendo el rea principal a auditar, hasta el
punto de que en algunas entidades se cre inicialmente la funcin de
auditora informtica para revisar la seguridad, aunque despus se hayan ido
ampliando los objetivos. Cada da es mayor la importancia de la informacin,
especialmente relacionada con sistemas basados en el uso de tecnologa de
informacin y comunicaciones, por lo que el impacto de las fallas, los
accesos no autorizados, la revelacin de la informacin, entre otros
problemas, tienen un impacto mucho mayor que hace algunos aos.