CAPITULO 4

LIBRO AUDITORIA EN INFORMATICA

MERY SANABRIA SAENZ

Estudiante

CASSIUS JAIR SANCHEZ

Docente

AUDITORIA DE SISTEMAS

UNIVERSIDAD PEDAGOGICA Y TECNOLOGICA DE COLOMBIA

CHIQUINQUIRA
2016

CAPITULO 4
LIBRO AUDITORIA EN INFORMATICA
EVALUACIN DE LOS SISTEMAS
Existen diversas formas por medio de las cuales las organizaciones
pueden contar con el software necesario para cumplir con sus
requerimientos entre ellas:
o

ELABORADO POR EL USUARIO O BIEN UN SOFTWARE COMERCIAL:

VENTAJAS: puede ser modificado de acuerdo a las necesidades de la

organizacin: contiene sistemas de seguridad propios
DESVENTAJAS: Es ms costoso
Su tiempo de implementacin es ms largo

SOFTWARE COMPARTIDO O REGALADO

Software sencillo para computadores personales que pueden ser conseguidos a

bajo costo por internet , este software no puede cumplir con las necesidades
o

SOFTWARE TRANSPORTABLE

Se puede utilizar en una gran computadora o minicomputadora o cambiar en

diferentes tipos de minicomputadoras
o

CATEGORIZACION DEL SOFTWARE DE APLCACION POR USUSARIO

El software puede ser categorizado como de propsitos generales de funciones

especficas o especifica de la industria
o

SOFTWARE A L MEDIDA DE LA OFICINA

El software comercial puede ser vendido o bien puede ser elaborado internamente
como paquetes individuales o integrales
trabajar en conjunto.

y compatibles que son diseados para

La elaboracin o adquisicin de sistemas debe evaluarse con mucho detalle, para lo

cual se debe revisar desde la planeacin y elaboracin de los sistemas hasta su
desarrollo e implementacin se deber evaluar s:
Existen realmente sistemas entrelazados como un todo o bien si existen
programas aislados
Ls recursos son adecuados y si se estn utilizando en forma eficaz y
eficiente
El plan estratgico deber establecer los servicios que se presentarn en un futuro
contestando preguntas como las siguientes:

1. Cules servicios se implementarn?

2. Cundo se pondrn a disposicin de los usuarios?
3. Qu caractersticas tendrn?
4. Cuntos recursos se requerirn?
La estrategia de desarrollo deber establecer las nuevas aplicaciones, recursos y la
arquitectura en que estarn fundamentados:
Qu aplicaciones sern desarrolladas y cundo?
Qu tipo de archivos se utilizarn y cundo?
Qu bases de datos sern utilizarn y cundo?
Qu lenguajes se utilizarn y en que software?
Qu tecnologa ser utilizada y cuando se implementar?
Cuntos recursos se requerirn aproximadamente?
Cul es aproximadamente el monto de la inversin en hardware y software?

Ls sistemas debern ser evaluados de acuerdo con el ciclo de vida que normalmente
siguen. Para ello se recomiendan los siguientes pasos:

1. Definicin del problema y requerimientos del usuario

2. Estudio de factibilidad
3. Diseo general y anlisis del sistema
4. Diseo del sistema
5. Diseo detallado

6. Implementacin y desarrollo fsico

7. Pruebas del sistema, evaluacin y aceptacin por parte del usuario y de la
contralora interna

EVALACION DEL ANALISIS

En esta etapa se evaluaran, las polticas, pro0cedimientos y normas que se tienen a

cabo para llevar el anlisis
Se deber evaluar la planeacin de las aplicaciones que pueden provenir de 4 fuentes
principales:

1. La planeacin estratgica
2. Los requerimientos de los usuarios
3. El inventario de sistemas en proceso al recopilar la informacin de los cambios
que han sido solicitados
4. Los requerimientos de la organizacin y de los usuarios

La auditora en informtica debe evaluar los documentos y registros usados en la

elaboracin del sistema, as como todas las salidas (pantalla, las cuales deben tener
una estructura amigable) y reportes, la descripcio0n de las actividades de flujo de
la informacin y procedimientos.

ANALSIS Y DISEO ESTRUCTURADO

El objetivo es determinar los requerimientos exactos, de tal forma que se disee el

sistema correcto. Este diseo emplea una serie de herramientas grficas y tcnicas
que permiten el anlisis de tal forma que sea posible conocer errores antes de que
ocurran

DIAGRAMA DE FLUJO
Es muy til porque detecta los procesos lgicos, los requerimientos de informacin, el
flujo de informacin, y provee un modelo grafico del sistema actual, que puede ser
utilizado para detectar mejoras y desarrollar objetivos del nuevo sistema

EVALUACIN DEL DISEO LGICO DEL SISTEMA

En esta etapa se debern analizar las especificaciones del sistema
Qu deber hacer?
Cmo lo deber hacer?
Secuencia y ocurrencia de los datos, el proceso y salida de reportes?
Una vez que hemos analizado estas partes, se deber estudiar la participacin
que tuvo el usuario en la identificacin del nuevo sistema, la participacin de
auditora interna en el diseo de los controles y la determinacin de los
procedimientos de operacin y decisin.

PROGRAMAS DE DESARROLLO
Incluyen software que solo pueden ser usados por el personal que ha tenido
entrenamiento y experiencia, este software incluye:
LENGUAJE DE PROGRAMACIN
Lenguaje de maquina
Ensambladoras
De tercera generacin
Cuarta generacin
CASE
Programacin orientada a objetos
BASES DE DATOS

El banco de datos es el con junto de datos que guardan entre si una coherencia
temtica independiente del medio de almacenamiento.
La cantidad de informacin que contiene un banco de datos suele ser muy
grande, del orden de millones de datos.
Se considera que una base de datos es la organizacin sistemtica de archivo
de datos para facilitar su acceso, recuperacin y actualizacin, los cuales
estn relacionados unos con otros y son tratados como una entidad.
En las bases de datos se deben evaluar:
La independencia de los datos
Redundancia de los datos
Consistencia de los datos
Un sistema de bases de datos es un conjunto de programas que:
o Almacenan los datos en forma uniforme y de manera consistente
o Organiza los datos en archivos en forma uniforme y consistente
o Elimina la redundancia innecesaria en los archivos
EL ADMINISTRADOR DE BASES DE DATOS
El desarrollo de ms bases de datos ha creado la necesidad dentro de la
organizacin de contar con un organismo encargado de administrar las bases de
datos
Los modelos de bases de datos pueden ser:
o Jerrquicos
o De redes
o Relacionales
o Orientados a objetos
Ventajas:

Compartir datos
Reducir la redundancia de datos
Independencia de datos
Mejorar el control y la administracin de los datos

Problemas de los sistemas de administrador de bases de datos

Pueden existir problemas si no fue diseada para usuarios mltiples. Uno de
estos problemas surge cuando no existe un control sobre la actualizacin
inmediata
Pueden existir problemas en el uso de recursos excesivos de cmputo, lo cual
se agrava si no se tiene un mantenimiento constante sobre l bases de datos
COMUNICACIN
Se debe evaluar el modelo de comunicacin y el cdigo empleado.
Los componentes ms comunes dentro de un sistema de comunicacin son:

Servidor y husped
Terminal o estacin de trabajo
Equipo de conexin de terminales
Tipo de redes: local o internacional

Los puntos a revisar en las redes son:

Confiabilidad en las redes
Tiempo de respuesta
Los puntos a evaluar en el diseo lgico del sistema son:

Entradas.
Salidas.
Procesos.
Especificaciones de datos.
Especificaciones de proceso.
Mtodos de acceso.
Operaciones.

 Manipulacin de datos (antes y despus del proceso electrnico de

datos).
Proceso lgico necesario para producir informes.
Identificacin de archivos, tamao de los campos y registros.
Proceso en lnea o lote y su justificacin.
Frecuencia y volmenes de operacin.
Sistemas de seguridad.
Sistemas de control.
Responsables.
Nmero de usuarios
INFORMES
Cuando se analiza un sistema de informtica es muy comn pensar
exclusivamente en la parte relacionada con la informtica lo que debemos
determinar en el sistema es:
En el PROCEDIMIENTO:

Quin hace, cuando y cmo?

Qu formas se utilizan en el sistema?
Son necesarias, se usan, estn duplicadas?
El nmero de copias es el adecuado?
Existen puntos de controlo faltan?

En la GRFICA DE FLUJO DE INFORMACIN:

Es fcil de usar?
Es lgica?
Se encontraron lagunas?
Hay faltas de control?

En las FORMAS DE DISEO:

Cmo se usar la herramienta de diseo si existe?
Qu tambin se ajusta la herramienta al procedimiento?

RUIDO, REDUNDANCIA Y ENTROPIA

En la auditoria de sistemas hay que estudiar la redundancia, ruido y entropa
que tiene cada uno de los sistemas
EL RUIDO:
Es todo aquello que interfiere en una adecuada comunicacin; no solamente en
los sonidos si no todo aquello que impida la adecuada comunicacin
En el caso de un sistema computarizado, el error en una captura, una pantalla
de la terminal demasiado llena de informacin y poco entendible o un reporte
inadecuado se deben considerar como RUIDO en el sistema, ya que impiden una
buena comunicacin de la informacin.
REDUNDANCIA

Es toda aquella duplicidad que tiene el sistema con la finalidad de que, en caso
de que exista ruido, permita que la informacin llegue al receptor en forma
adecuada.
La redundancia puede ser conveniente en el caso de que haya que cerciorarse
de que la informacin se recibe correctamente. Esto estar en funcin de lo
delicada que sea la informacin y el riesgo que se corre en caso de una prdida
total o parcial de la misma.
ENTROPIA
Cantidad de energa que por su degradacin no puede aprovecharse
La entropa en un sistema , por ej de un motor, es el calor que genera, el cual
es energa que por sus caractersticas no puede aprovecharse. En el caso del
sistema llamado motor se utiliza esta entropa.
En un sistema computarizado debemos procurar reducir al mximo esta
entropa y una de las formas de reducirla es interconectar sistemas, de tal
manera que esa cantidad de energa no usada en un sistema pueda ser utilizada
en otro sistema.

EVALUACIN DEL DESARROLLO DEL SISTEMA

En esta etapa del sistema se debern auditar los programas, su diseo, el
leguaje utilizado,
Interconexin entre los programas y caractersticas del hardware empleado
(total o parcial) para el desarrollo del sistema. Al evaluar un sistema de
informacin se tendr presente que todo sistema debe proporcionar
informacin para planear, organizar y controlar de manera eficaz y oportuna,
para reducir la duplicidad de datos y de reportes y obtener una mayor
seguridad en la forma ms econmica posible. De ese modo contar con los
mejores elementos para una adecuada toma de decisiones.
SISTEMAS DISTRIBUIDOS , INTERNET, COMUNICACIN ENTRE
OFICINAS
Se pueden definir como el sistema en el cual las computadoras y los datos
estn en ms de un lugar, as como los programas de aplicacin.
Razones para implementarlo:
mejora en el tiempo de respuesta
Reduccin de costos
Mejora de exactitud en la informacin
Compartir recursos

Al tener un proceso distribuido es preciso considerar la seguridad del

movimiento de la informacin entre nodos, el proceso de planeacin de
sistemas debe definir la red optima de comunicaciones proporciona informacin
de la ubicacin planeada de las terminales, los tipos de mensajes requeridos, el
trafico esperado en las lneas de comunicacin y otros factores que afectan el
diseo.

Es importante considerar las variables que afectan a un sistema: ubicacin en

los niveles de la organizacin, el tamao y los recursos que utiliza. Las
caractersticas que deben evaluarse en los sistemas son:

Dinmicos (susceptibles de modificarse).

Estructurados (las interacciones de sus componentes o subsistemas
deben actuar como un todo)
Integrados (un solo objetivo). En l habr sistemas que puedan ser
interrelacionados y no programas aislados.
Accesibles (que estn disponibles).
Necesarios (que se pruebe su utilizacin).
Comprensibles (que contengan todos los atributos).
Oportunos (que est la informacin en el momento que se requiere).
Funcionales (que proporcionen la informacin adecuada a cada nivel).
Estndar (que la informacin tenga la misma interpretacin en los
distintos niveles).
Modulares (facilidad para ser expandidos o reducidos).
Jerrquicos (por niveles funcionales).
Seguros (que slo las personas autorizadas tengan acceso).
nicos (que no duplique informacin).

Se deben tener sistemas que tengan la necesaria redundancia, pero que esta no
sea tan grande que provoque que el sistema sea lento o ineficiente
CONTROL DE PROYECTOS

Debido a las caractersticas propias del anlisis y de la programacin es muy

frecuente que la implantacin de los sistemas se retrase, y llega a suceder que
una persona trabaje varios aos en un sistema o bien que se presenten
irregularidades en las que los programadores realicen actividades ajenas a la
direccin de informtica.
La estructura estndar de la planeacin de proyectos deber incluir la
facilidad de asignar fechas predefinidas de terminacin de cada tarea. entre

estas fechas debe estar el calendario de reuniones de revisin, las cuales

tendrn diferentes niveles de detalle.

CONTROL DE DISEO DE SISTEMAS Y PROGRAMACION

El objetivo es asegurarse que el sistema funcione conforme a las
especificaciones funcionales, a fin de que el usuario tenga la suficiente
informacin para su manejo, operacin y aceptacin
Las revisiones se efectan en forma paralela, desde el anlisis hasta la
programacin y sus objetivos son los siguientes:

Etapa de anlisis y definicin del problema

Etapa de estudio de factibilidad
Etapa de diseo
Etapa de programacin
Etapa de implementacin y pruebas del sistema

El excesivo mantenimiento de los sistemas generalmente es ocasionado por un

mal desarroll. Esto se inicia desde que el usuario establece su requerimiento
hasta al instalcio0n del sistema en que se haya establecido un plan de prueba
de este para medir su grado de confiabilidad en la operacin que se efectuara.
INSTRUCTIVOS DE OPERACION
El contenido mnimo de los instructivos de operacin deber comprender:
Diagrama de flujo por cada programa
Diagrama particular de entrada y salida
Mensaje y su explicacin
Parmetros y su explicacin
Observaciones
Calendario de proceso y resultados

FORMA DE IMPLNTACION

La finalidad es de evaluar los trabajos que se realizan para indicar la operacin

de un sistema; esto comprende:
1.
2.
3.
4.

Prueba integral del sistema

Adecuacin
Aceptacin por parte del usuario
Entrenamiento de los responsables del sistema

Para ello se deber considerar las siguientes aspectos:

Indicar cuales puntos se toman en cuenta para la prueba de un sistema
En la implantacin se debe analizar la forma en que se van a cargar
inicialmente los datos del sistema, lo cul puede ser captura o por
transferencia de informacin
Se debe hacer un plan de trabajo para la implantacin, el cual debe
contener las fechas en que se realizar cada uno de las procesos

EQUIPO Y FACILIDADES DE PROGRAMACION

El impacto en el rendimiento de un sistema de cmputo debido a cambios

transcendentales en el sistema operativo o en el equipo, puede ser
determinado por medio de un paquete de pruebas que haya sido elaborado para
este fin en la direccin de informtica.

ENTREVISTAS A USUARIOS
Se debern llevar a cabo para comparar los datos proporcionados y la situacin
de la direccin de informtica desde el punto de vistas de los usuarios
Las entrevistas se debern hacer, en caso de ser posible, a todos los usuarios
o bien en forma aleatorias algunos de ellos, tanto a los mas importantes como
a los de menor importancia en cuanto al uso de equipos

AUDITORA DE COMUNICACIONES

Ha de verse:
La gestin de red = los equipos y su conectividad.
La monitorizacin de las comunicaciones.
La revisin de costes y la asignacin formal de proveedores.
Creacin y aplicabilidad de estndares.
Cumpliendo como objetivos de control:
Tener una gerencia de comunicaciones con plena autoridad de voto y
accin.
Llevar un registro actualizado de mdems, controladores, terminales,
lneas y todo
equipo relacionado con las comunicaciones.
Mantener una vigilancia constante sobre cualquier accin en la red.
Registrar un coste de comunicaciones y reparto a encargados.
Mejorar el rendimiento y la resolucin de problemas presentados en la
red.

Para lo cual se debe comprobar:

El nivel de acceso a diferentes funciones dentro de la red.
Coordinacin de la organizacin de comunicacin de datos y voz.
Han de existir normas de comunicacin en:
Tipos de equipamiento como adaptadores LAN.
Autorizacin de nuevo equipamiento, tanto dentro, como fuera de las
horas
laborales.
Uso de conexin digital con el exterior como Internet.
Instalacin de equipos de escucha como Sniffers (exploradores fsicos)
o

AUDITORA DE LA RED FSICA

Se debe garantizar que exista:

reas de equipo de comunicacin con control de acceso.
Proteccin y tendido adecuado de cables y lneas de comunicacin para
evitar accesos fsicos.
Control de utilizacin de equipos de prueba de comunicaciones para
monitorizar la
red y el trfico en ella.
Prioridad de recuperacin del sistema.
Control de las lneas telefnicas.