Auditoria de Sistemas

Introduccin
La naturaleza especializada de la auditora de los sistemas de informacin y las
habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el
desarrollo y la promulgacin de Normas Generales para la Auditora de los
Sistemas de nformacin!
La auditora de los sistemas de informacin se define como cualquier auditora
que abarca la revisin y evaluacin de todos los aspectos "o de cualquier porcin
de ellos# de los sistemas autom$ticos de procesamiento de la informacin,
incluidos los procedimientos no autom$ticos relacionados con ellos y las
interfaces correspondientes!
%ara hacer una adecuada planeacin de la auditora en inform$tica, hay que
seguir una serie de pasos previos que permitir$n dimensionar el tama&o y
caractersticas de $rea dentro del organismo a auditar, sus sistemas,
organizacin y equipo!
A continuacin, la descripcin de los dos principales ob'etivos de una auditora de
sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de
cmputo, con controles, tipos y seguridad!
(n el caso de la auditora en inform$tica, la planeacin es fundamental, pues
habr$ que hacerla desde el punto de vista de los dos ob'etivos)
(valuacin de los sistemas y procedimientos!
(valuacin de los equipos de cmputo!
%ara hacer una planeacin eficaz, lo primero que se requiere es obtener
informacin general sobre la organizacin y sobre la funcin de inform$tica a
evaluar! %ara ello es preciso hacer una investigacin preliminar y algunas
entrevistas previas, con base en esto planear el programa de traba'o, el cual
deber$ incluir tiempo, costo, personal necesario y documentos au*iliares a
solicitar o formular durante el desarrollo de la misma!
+onsta de)
,!- (valuacin de los Sistemas
(valuacin de los diferentes sistemas en operacin "flu'o de informacin,
procedimientos, documentacin, redundancia, organizacin de archivos,
est$ndares de programacin, controles, utilizacin de los sistemas#!
(valuacin del avance de los sistemas en desarrollo y congruencia con el dise&o
general
(valuacin de prioridades y recursos asignados "humanos y equipos de cmputo#
Seguridad fsica y lgica de los sistemas, su confidencialidad y respaldos
.!- (valuacin de los equipos
+apacidades
/tilizacin
Nuevos %royectos
Seguridad fsica y lgica
(valuacin fsica y lgica
+ontroles administrativos en un ambiente de %rocesamiento de 0atos
La m$*ima autoridad del 1rea de nform$tica de una empresa o institucin debe
implantar los siguientes controles que se agruparan de la siguiente forma)
,!- +ontroles de %reinstalacin
.!- +ontroles de 2rganizacin y %lanificacin
3!- +ontroles de Sistemas en 0esarrollo y %roduccin
4!- +ontroles de %rocesamiento
5!- +ontroles de 2peracin
6!- +ontroles de uso de 7icrocomputadores
,!- +ontroles de %reinstalacin
8acen referencia a procesos y actividades previas a la adquisicin e instalacin
de un equipo de computacin y obviamente a la automatizacin de los sistemas
e*istentes!
2b'etivos)
Garantizar que el hard9are y soft9are se adquieran siempre y cuando tengan la
seguridad de que los sistemas computarizados proporcionaran mayores
beneficios que cualquier otra alternativa!
Garantizar la seleccin adecuada de equipos y sistemas de computacin
Asegurar la elaboracin de un plan de actividades previo a la instalacin
Acciones a seguir)
(laboracin de un informe t:cnico en el que se 'ustifique la adquisicin del
equipo, soft9are y servicios de computacin, incluyendo un estudio costo-
beneficio!
;ormacin de un comit: que coordine y se responsabilice de todo el
proceso de adquisicin e instalacin
(laborar un plan de instalacin de equipo y soft9are "fechas, actividades,
responsables# el mismo que debe contar con la aprobacin de los
proveedores del equipo!
(laborar un instructivo con procedimientos a seguir para la seleccin y
adquisicin de equipos, programas y servicios computacionales! (ste
proceso debe enmarcarse en normas y disposiciones legales!
(fectuar las acciones necesarias para una mayor participacin de
proveedores!
Asegurar respaldo de mantenimiento y asistencia t:cnica!
.!- +ontroles de organizacin y %lanificacin
Se refiere a la definicin clara de funciones, lnea de autoridad y responsabilidad
de las diferentes unidades del $rea %A0, en labores tales como)
0ise&ar un sistema
(laborar los programas
2perar el sistema
+ontrol de calidad
Se debe evitar que una misma persona tenga el control de toda una operacin!
Acciones a seguir
La unidad inform$tica debe estar al mas alto nivel de la pir$mide
administrativa de manera que cumpla con sus ob'etivos, cuente con el
apoyo necesario y la direccin efectiva!
Las funciones de operacin, programacin y dise&o de sistemas deben
estar claramente delimitadas!
0eben e*istir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operacin del computador
y los operadores a su vez no conozcan la documentacin de programas y
sistemas!
0ebe e*istir una unidad de control de calidad, tanto de datos de entrada
como de los resultados del procesamiento!
(l mane'o y custodia de dispositivos y archivos magn:ticos deben estar
e*presamente definidos por escrito!
Las actividades del %A0 deben obedecer a planificaciones a corto, mediano
y largo plazo su'etos a evaluacin y a'ustes peridicos <%lan 7aestro de
nform$tica<
0ebe e*istir una participacin efectiva de directivos, usuarios y personal
del %A0 en la planificacin y evaluacin del cumplimiento del plan!
Las instrucciones deben impartirse por escrito!
3!- +ontroles de Sistema en 0esarrollo y %roduccin
Se debe 'ustificar que los sistemas han sido la me'or opcin para la empresa,
ba'o una relacin costo-beneficio que proporcionen oportuna y efectiva
informacin, que los sistemas se han desarrollado ba'o un proceso planificado y
se encuentren debidamente documentados!
Acciones a seguir)
Los usuarios deben participar en el dise&o e implantacin de los sistemas pues
aportan conocimiento y e*periencia de su $rea y esta actividad facilita el proceso
de cambio
(l personal de auditora interna=control debe formar parte del grupo de
dise&o para sugerir y solicitar la implantacin de rutinas de control
(l desarrollo, dise&o y mantenimiento de sistemas obedece a planes
especficos, metodologas est$ndares, procedimientos y en general a
normatividad escrita y aprobada!
+ada fase concluida debe ser aprobada documentadamente por los
usuarios mediante actas u otros mecanismos a fin de evitar reclamos
posteriores!
Los programas antes de pasar a %roduccin deben ser probados con datos
que agoten todas las e*cepciones posibles!
>odos los sistemas deben estar debidamente documentados y actualizados!
La documentacin deber$ contener)
nforme de factibilidad
- 0iagrama de bloque
- 0iagrama de lgica del programa
- 2b'etivos del programa
- Listado original del programa y versiones que incluyan los cambios
efectuados con antecedentes de pedido y aprobacin de modificaciones
- ;ormatos de salida
- ?esultados de pruebas realizadas
mplantar procedimientos de solicitud, aprobacin y e'ecucin de cambios a
programas, formatos de los sistemas en desarrollo!
(l sistema concluido ser$ entregado al usuario previo entrenamiento y
elaboracin de los manuales de operacin respectivos
4!- +ontroles de %rocesamiento
Los controles de procesamiento se refieren al ciclo que sigue la informacin
desde la entrada hasta la salida de la informacin, lo que conlleva al
establecimiento de una serie de seguridades para)
Asegurar que todos los datos sean procesados!
Garantizar la e*actitud de los datos procesados!
Garantizar que se grabe un archivo para uso de la gerencia y con fines de
auditora
Asegurar que los resultados sean entregados a los usuarios en forma
oportuna y en las me'ores condiciones!
Acciones a seguir)
@alidacin de datos de entrada previo procesamiento debe ser realizada en
forma autom$tica) clave, dgito autoverificador, totales de lotes, etc!
%reparacin de datos de entrada debe ser responsabilidad de usuarios y
consecuentemente su correccin!
?ecepcin de datos de entrada y distribucin de informacin de salida debe
obedecer a un horario elaborado en coordinacin con el usuario, realizando
un debido control de calidad!
Adoptar acciones necesaria para correcciones de errores!
Analizar conveniencia costo-beneficio de estandarizacin de formularios,
fuente para agilitar la captura de datos y minimizar errores!
Los procesos interactivos deben garantizar una adecuada interrelacin
entre usuario y sistema!
%lanificar el mantenimiento del hard9are y soft9are, tomando todas las
seguridades para garantizar la integridad de la informacin y el buen
servicio a usuarios!
5!- +ontroles de 2peracin
Abarcan todo el ambiente de la operacin del equipo central de computacin y
dispositivos de almacenamiento, la administracin de la cintoteca y la operacin
de terminales y equipos de comunicacin por parte de los usuarios de sistemas
on line!
Los controles tienen como fin)
%revenir o detectar errores accidentales que puedan ocurrir en el +entro de
+mputo durante un proceso
(vitar o detectar el mane'o de datos con fines fraudulentos por parte de
funcionarios del %A0
Garantizar la integridad de los recursos inform$ticos!
Asegurar la utilizacin adecuada de equipos acorde a planes y ob'etivos!
Acciones a seguir)
(l acceso al centro de computo debe contar con las seguridades necesarias
para reservar el ingreso al personal autorizado
mplantar claves o pass9ord para garantizar operacin de consola y equipo
central "mainframe#, a personal autorizado!
;ormular polticas respecto a seguridad, privacidad y proteccin de las
facilidades de procesamiento ante eventos como) incendio, vandalismo,
robo y uso indebido, intentos de violacin y como responder ante esos
eventos!
7antener un registro permanente "bit$cora# de todos los procesos
realizados, de'ando constancia de suspensiones o cancelaciones de
procesos!
Los operadores del equipo central deben estar entrenados para recuperar o
restaurar informacin en caso de destruccin de archivos!
Los bacAups no deben ser menores de dos "padres e hi'os# y deben
guardarse en lugares seguros y adecuados, preferentemente en bvedas
de bancos!
Se deben implantar calendarios de operacin a fin de establecer
prioridades de proceso!
>odas las actividades del +entro de +omputo deben normarse mediante
manuales, instructivos, normas, reglamentos, etc!
(l proveedor de hard9are y soft9are deber$ proporcionar lo siguiente)
7anual de operacin de equipos
- 7anual de lengua'e de programacin
- 7anual de utilitarios disponibles
- 7anual de Sistemas operativos
Las instalaciones deben contar con sistema de alarma por presencia de
fuego, humo, asi como e*tintores de incendio, cone*iones el:ctricas
seguras, entre otras!
nstalar equipos que prote'an la informacin y los dispositivos en caso de
variacin de volta'e como) reguladores de volta'e, supresores pico, /%S,
generadores de energa!
+ontratar plizas de seguros para proteger la informacin, equipos,
personal y todo riesgo que se produzca por casos fortuitos o mala
operacin!
6!- +ontroles en el uso del 7icrocomputador
(s la tarea mBs difcil pues son equipos mas vulnerables, de f$cil acceso, de f$cil
e*plotacin pero los controles que se implanten ayudaran a garantizar la
integridad y confidencialidad de la informacin!
Acciones a seguir)
Adquisicin de equipos de proteccin como supresores de pico, reguladores
de volta'e y de ser posible /%S previo a la adquisicin del equipo
@encida la garanta de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo!
(stablecer procedimientos para obtencin de bacAups de paquetes y de
archivos de datos!
?evisin peridica y sorpresiva del contenido del disco para verificar la
instalacin de aplicaciones no relacionadas a la gestin de la empresa!
7antener programas y procedimientos de deteccin e inmunizacin de
virus en copias no autorizadas o datos procesados en otros equipos!
%ropender a la estandarizacin del Sistema 2perativo, soft9are utilizado
como procesadores de palabras, ho'as electrnicas, mane'adores de base
de datos y mantener actualizadas las versiones y la capacitacin sobre
modificaciones incluidas!
?evisin de +entros de +mputo
+onsiste en revisar los controles en las operaciones del centro de procesamiento
de informacin en los siguientes aspectos)
,!- ?evisin de controles en el equipo
Se hace para verificar si e*isten formas adecuadas de detectar errores de
procesamiento, prevenir accesos no autorizados y mantener un registro detallado
de todas las actividades del computador que debe ser analizado peridicamente!
.!- ?evisin de programas de operacin
Se verifica que el cronograma de actividades para procesar la informacin
asegure la utilizacin efectiva del computador!
3!- ?evisin de controles ambientales
Se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se
cuenta con deshumidificadores, aire acondicionado, fuentes de energa continua,
e*tintores de incendios, etc!
4!- ?evisin del plan de mantenimiento
Aqu se verifica que todos los equipos principales tengan un adecuado
mantenimiento que garantice su funcionamiento continuo!
5!- ?evisin del sistema de administracin de archivos
Se hace para verificar que e*istan formas adecuadas de organizar los archivos en
el computador, que est:n respaldados, as como asegurar que el uso que le dan
es el autorizado!
6!- ?evisin del plan de contingencias
Aqu se verifica si es adecuado el plan de recupero en caso de desastre, el cual
se detalla mas adelante!
Evaluacin de la Seguridad
La computadora es un instrumento que estructura gran cantidad de informacin,
la cual puede ser confidencial para individuos, empresas o instituciones, y puede
ser mal utilizada o divulgada a personas que hagan mal uso de esta! >ambi:n
pueden ocurrir robos, fraudes o sabota'es que provoquen la destruccin total o
parcial de la actividad computacional! (sta informacin puede ser de suma
importancia, y el no tenerla en el momento preciso puede provocar retrasos
sumamente costosos!
(n la actualidad y principalmente en las computadoras personales, se ha dado
otro factor que hay que considerar) el llamado <virus< de las computadoras, el
cual, aunque tiene diferentes intenciones, se encuentra principalmente para
paquetes que son copiados sin autorizacin "<piratas<# y borra toda la
informacin que se tiene en un disco!
Al auditar los sistemas se debe tener cuidado que no se tengan copias <piratas< o
bien que, al conectarnos en red con otras computadoras, no e*ista la posibilidad
de transmisin del virus! (l uso inadecuado de la computadora comienza desde la
utilizacin de tiempo de m$quina para usos a'enos de la organizacin, la copia de
programas para fines de comercializacin sin reportar los derechos de autor
hasta el acceso por va telefnica a bases de datos a fin de modificar la
informacin con propsitos fraudulentos!
La seguridad en la inform$tica abarca los conceptos de seguridad fsica y
seguridad lgica)
La seguridad fsica, se refiere a la proteccin del 8ard9are y de los
soportes de datos, as como a la de los edificios e instalaciones que los
albergan! +ontempla las situaciones de incendios, sabota'es, robos,
cat$strofes naturales, etc!
La seguridad lgica, se refiere a la seguridad de uso del soft9are, a la
proteccin de los datos, procesos y programas, as como la del ordenado y
autorizado acceso de los usuarios a la informacin!
/n m:todo eficaz para proteger sistemas de computacin es el soft9are de
control de acceso!
0icho simplemente, los paquetes de control de acceso protegen contra el acceso
no autorizado, pues piden del usuario una contrase&a antes de permitirle el
acceso a informacin confidencial!
0ichos paquetes han sido populares desde hace muchos a&os en el mundo de las
computadoras grandes, y los principales proveedores ponen a disposicin de
clientes algunos de estos paquetes!
+ausas de realizacin de una Auditora de Seguridad
(sta constituye la ;AS( C de la auditora y el orden C de actividades de la misma!
(l equipo auditor debe conocer las razones por las cuales el cliente desea realizar
el +iclo de Seguridad!
%uede haber muchas causas)
?eglas internas del cliente,
incrementos no previstos de costes,
obligaciones legales,
situacin de ineficiencia global notoria, etc!
0e esta manera el auditor conocer$ el entorno inicial! As, el equipo auditor
elaborar$ el %lan de >raba'o!
Ciclo de Seguridad
(l ob'etivo de la auditora de seguridad es revisar la situacin y las cuotas de
eficiencia de la misma en los rganos m$s importantes de la estructura
inform$tica!
%ara ello, se fi'an los supuestos de partida)
(l $rea auditada es la Seguridad!
(l $rea a auditar se divide en) Segmentos!
Los segmentos se dividen en) Secciones!
Las secciones se dividen en) Subsecciones!
0e este modo la auditora se realizara en 3 niveles!
Los segmentos a auditar, son)
Segmento ,) Seguridad de cumplimiento de normas y est$ndares!
Segmento .) Seguridad de Sistema 2perativo!
Segmento 3) Seguridad de Soft9are!
Segmento 4) Seguridad de +omunicaciones!
Segmento 5) Seguridad de Dase de 0atos!
Segmento 6) Seguridad de %roceso!
Segmento E) Seguridad de Aplicaciones!
Segmento F) Seguridad ;sica!
+onceptualmente la auditoria inform$tica en general y la de Seguridad en
particular, ha de desarrollarse en seis fases bien diferenciadas)
;ase C! +ausas de la realizacin del ciclo de seguridad!
;ase ,! (strategia y logstica del ciclo de seguridad!
;ase .! %onderacin de sectores del ciclo de seguridad!
;ase 3! 2perativa del ciclo de seguridad!
;ase 4! +$lculos y resultados del ciclo de seguridad!
;ase 5! +onfeccin del informe del ciclo de seguridad!
A su vez, las actividades auditoras se realizan en el orden siguiente)
+omienzo del proyecto de Auditora nform$tica!
Asignacin del equipo auditor!
Asignacin del equipo interlocutor del cliente!
+umplimentacin de formularios globales y parciales por parte del cliente!
Asignacin de pesos t:cnicos por parte del equipo auditor!
Asignacin de pesos polticos por parte del cliente!
Asignacin de pesos finales a segmentos y secciones!
%reparacin y confirmacin de entrevistas!
(ntrevistas, confrontaciones y an$lisis y repaso de documentacin!
+Blculo y ponderacin de subsecciones, secciones y segmentos!
dentificacin de $reas me'orables!
(leccin de las $reas de actuacin prioritaria!
%reparacin de recomendaciones y borrador de informe
0iscusin de borrador con cliente!
(ntrega del informe!
Conclusin
La auditora en inform$tica es la revisin y la evaluacin de los controles,
sistemas, procedimientos de inform$ticaG de los equipos de cmputo, su
utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, a fin de que por medio del se&alamiento de
cursos alternativos se logre una utilizacin m$s eficiente y segura de la
informacin que servir$ para una adecuada toma de decisiones!
La auditora en inform$tica deber$ comprender no slo la evaluacin de los
equipos de cmputo, de un sistema o procedimiento especfico, sino que adem$s
habr$ de evaluar los sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de informacin!
La auditora en inform$tica es de vital importancia para el buen desempe&o de
los sistemas de informacin, ya que proporciona los controles necesarios para
que los sistemas sean confiables y con un buen nivel de seguridad! Adem$s debe
evaluar todo "inform$tica, organizacin de centros de informacin, hard9are y
soft9are#!
Bibliografa
http)==999!geocities!com=lsialer=Notasnteresantes!htm
http)==999!monografias!com=traba'os=auditoinfo=auditoinfo!shtml
http)==999!monografias!com=traba'os=maudisist=maudisist!shtml