Monografias.com > Sin categoría
Descargar Imprimir Comentar Ver trabajos relacionados

Guía sobre Auditoría de Sistemas (página 3)




Enviado por Gabriel Pineda



Partes: 1, 2, 3

  1. Desarrollo de
    Sistemas
  2. El auditor deberá conocer en detalle las
    distintas etapas en la formulación de los sistemas
    y las metodologías más usuales en la construcción de los
    mismos.

    Se debe hacer auditoria cada vez que se realice
    una aplicación nueva o una modificación
    importante.

    El objetivo
    es que la calidad
    de las estructuras y procedimientos del sistema
    sea tan buena como sea posible.

    1. Objetivos y puntos a
      verificar
  • Examinar metodología de construcción en
    uso.
  • Revisar la definición de los objetivos
    del sistema, analizar si cumple con las necesidades de los
    usuarios.
  • Revisar el control y
    planificación del proyecto.
  • Verificar que el control de datos sea
    adecuado.
  • Verificar el control de formularios.
  • Controlar si los manuales son
    suficientes (en cantidad de información).
  • Existencia de una adecuada separación de
    funciones
    entre las áreas administrativas y las
    mecanizadas.
  • Asegurar la fiabilidad y continuidad del
    sistema
  • Verificar los medios
    dispuestos para el desarrollo
    del sistema
  • Analizar los medios de seguridad
    con que se va a dotar al sistema.
  • Analizar las insuficiencias detectadas y su impacto
    en los procedimientos futuros.

Se deberá asegurar en el desarrollo del
sistema: seguridad, precisión y eficacia.

  1. Momento para efectuar la auditoria de
    desarrollo.
  1. Cuando esta realizándose el desarrollo: las
    modificaciones sugeridas pueden incorporarse al sistema en
    forma oportuna y económica.
  2. Antes del desarrollo: las recomendaciones del
    auditor se resumen a pautas teóricas y los esquemas de
    diseño iniciales pueden variar durante
    el desarrollo, con lo cual realizar una auditoria en este
    momento, seria una perdida de tiempo.
  3. Después de implementar, su único
    objetivo seria poder
    medir la efectividad del sistema.
  1. Distintos tipos de Auditoria Durante el
    Desarrollo

Auditoria del comienzo del desarrollo del
sistema

En esta etapa se deberá tomar contacto con las
propuestas nuevas, analizar los elementos de gestión y de control, tomar contacto con
los estándares de procedimientos, control de proyecto y
de documentación.

Auditoria de la propuesta de
mecanización

La propuesta de mecanización define las pautas
del nuevo sistema y una vez aceptada se emprendería
el trabajo
de diseño y programación. La auditoria debería
asegurarse de que son adecuados los principios
básicos de diseño, en todo lo relacionado a
control y verificación interna.

Auditoria de la propuesta
detallada.

Aquí se brinda detalle sobre las variaciones y
particularidades del esquema general de actividad y contempla
los procedimientos mecanizados y los administrativos (diagramas,
diseños, registros,
etc.). Se verifica las propuestas de implementación y la
calidad de las comprobaciones internas, la separación de
las funciones y fiabilidad del control.

Ahora deben solucionarse los puntos débiles o
tenerse en cuenta para planificar futuras auditorias.
Las especificaciones planteadas tratarán sobre la
entrada, procesos,
salida de archivos y su
control, y las instrucciones operativas. La auditoria
verificará los procedimientos para asegurar:

  • Evidencia que deja el sistema es suficiente para
    rastrear errores y corregirlos.
  • Procedimientos de salida llevan incorporados
    sistemas correctos de validación y detección de
    errores.
  • El diseño de datos de salida puede adaptarse
    a las modificaciones que vayan surgiendo.
  • Documentación de todos los archivos
    magnéticos obedece a los estándares
    adecuados.
  • Si todos los archivos están sometidos a
    controles.
  • Si la ejecución de los procesos contiene una
    validación suficiente.
  • Proteger al sistema contra usos no
    autorizados.
  • Si se ha planificado adecuadamente todas las etapas
    de desarrollo, con tiempo, recursos y
    costos,
    previendo los puntos de control.
  • Previsión de una capacitación adecuada.
  • Prever emergencias e interrupciones del proceso al
    igual que la rutina normal de trabajo.

Auditoria de los programas y
pruebas
.

Se realizan comprobaciones en el trabajo real de
programación:

  • Procedimientos de gestión adecuados para
    controlar programas y pruebas.
  • Controlar y verificar las pruebas de
    programas
  • Registración adecuada de
    modificaciones
  • Que los programas en desarrollo se mantengan
    separados de los operativos.

Auditoria del aprovisionamiento del sistema y
planificación de la
implantación
.

Es importante asignar suficiente tiempo a la
adquisición de equipos y material para el nuevo sistema
y a especificarlo minuciosamente. El equipo de auditoria
deberá asegurarse de que se preparen unas
especificaciones adecuadas indicando la calidad, nivel,
capacidad, posibilidades y plazo de entrega.

Los analistas deberán trazar un plan de
desarrollo e implantación del sistema, dividiendo en
etapas, indicando los tiempos y recursos necesarios.

La auditoria verificará que este plan sirva
para gestionar y gobernar las tareas y tendrá en cuenta
los tiempos para adaptar su auditoria al ritmo del
proyecto.

Auditoria de la documentación y manuales
de usuario y operación del sistema
.

Cuando el sistema quede operativo deberá
preparar una documentación completa de todos sus
aspectos. El auditor asegurará que están todos
los documentos que
corresponden, completos y actualizados.

La auditoria deberá verificar si los manuales
describen procedimientos de emergencia y respaldo, así
como la rutina normal de trabajo. También deberá
existir un buen sistema de actualización de
manuales.

Auditoria de la conversión de
archivos
.

Cuando se desarrollan sistemas nuevos suele hacer
falta preparar archivos magnéticos y convertir todos los
datos que se tengan al formato del nuevo medio.

La auditoria se preocupará que la
conversión de los archivos permita que el sistema
arranque con datos exactos y verificará que:

  • La conversión de archivos se ha planificado
    totalmente
  • Programas utilizados para la conversión de
    archivos han sido probados suficientemente.
  • Utiliza un sistema de
    información adecuado que identifique claramente
    los errores.

Auditoria de las pruebas del
sistema.

Cuando los programadores enlazan sus programas para
formar una secuencia, ésta ha de probarse en su conjunto
para garantizar que cumplen su cometido. La auditoria
deberá verificar, si la preparación de los datos
de prueba deberá llevar consigo:

  • Recopilación de un conjunto de datos que
    refleje todas las variantes de los
    valores y errores que puedan surgir.
  • Preparación de una planificación de
    los resultados que ha de producir el sistema cuando ejecute
    los datos de prueba.

Una vez verificada la preparación de los datos
de prueba, el auditor se preocupará de la calidad de la
verificación de los resultados, la oportunidad de las
pruebas y que las mismas no han provocado corrupciones en las
rutinas y/o archivos.

Auditoria de la
implantación
.

Se puede tener un sistema paralelo, en donde esta fase
es una ampliación de las pruebas del sistema. Si se hace
directamente, el sistema arranca inmediatamente.

Se estudiará el sistema de control para
corroborar que los empleados lo utilizan bien desde el
principio y evaluar la calidad de dicho sistema.

Auditoria de la continuidad del
sistema

Los sistemas importantes deben ser capaces de
funcionar en todo momento. Las averías de los equipos,
errores en archivos, falta de energía y otros recursos
no deberían interrumpir las actividades
esenciales.

La auditoria debería asegurarse que:

  • Se mantienen copias de seguridad de datos, archivos
    e instrucciones a un nivel de permita su recuperación
    dentro de un plazo preestablecido.
  • Existencia de medidas alternativas para utilizar
    equipos auxiliar (durante las caídas)
  • Que el retorno al trabajo normal se haga con
    facilidad y que los controles enlacen al sistema sin problemas
    para verificar si la reactivación ha sido
    correcta.
  1. Explotación
    1. Objetivos

Evaluar la eficiencia y
eficacia de operación del área de
producción
.

Comprende la evaluación de los equipos de computación, procedimientos de entradas
de datos, controles, archivos, seguridad y obtención de
la información.

El campo de acción de este tipo de auditoria
sería:

  1. Metas, políticas, planes y procedimientos de
    procesos electrónicos estándares.

    Organización del área y estructura orgánica.

    Integración de los recursos materiales y técnicos

    Controles administrativos del
    área.

  2. Evaluación administrativa del área de
    producción
  3. Evaluación de los sistemas y procedimientos,
    y de la eficiencia que se tiene en el uso de los
    equipos.
  4. Evaluación del proceso de datos y de los
    equipos de procesamiento.

Se deben verificar los siguientes puntos:

Estructura del servicio

Control de operaciones

Documentación de los
procedimientos

Modificación de programas

Control de almacenamiento de soportes.

Plan de mantenimiento preventivo

Personal de producción

Control de la utilización del
ordenador

  1. Entorno del
    Hardware
    1. Objetivo
  • Determinación de la performance del
    hardware
  • Revisar la utilización del
    hardware
  • Examinar los estudios de adquisición del
    hardware
  • Comprobar condiciones ambientales y de seguridad
    del hardware
  • Verificar los controles de acceso y seguridad
    física
  • Revisar inventario
    del hardware
  • Verificar los procedimientos de la seguridad
    física
  • Comprobar los procedimientos de prevención,
    detección y/o corrección ante
    desastres.
  • Revisar plan de contingencias.
  • Examinar las seguridades y debilidades de los
    componentes físicos del equipo, de las comunicaciones, etc. y de las instalaciones
    donde se ubica el centro de cómputos.
  1. Seguridad física del
    local
  • Riesgos naturales (inundaciones, descargas
    eléctricas, etc.)
  • Riesgos de vecindad derivadas
    de construcciones cerca del centro de cómputos
    (incendios,
    vibraciones, etc.)
  • Riesgos del propio edificio (almacenamiento de
    material combustible, polvo, etc.)
  • Suministro de energía (generador de
    energía, UPS, etc.)
  • Acondicionador de aire
  • Armarios ignífugos.
  1. Controlar el acceso a los recursos para
    protegerlos de cualquier uso no autorizado, daño, perdida o
    modificaciones.

  2. Control de acceso y seguridad
    física

    En caso de interrupciones inesperadas deben
    existir planes adecuados para el respaldo de recursos
    críticos del centro de cómputos y para el
    reestablecimiento de los servicios de sistemas de
    información.

    1. Tipos de desastres
  3. Planes de desastre.
  • Destrucción total
  • Destrucción parcial de los recursos
    centralizados de procesamiento de datos.
  • Destrucción o mal funcionamiento de los
    recursos ambientales destinados al procesamiento
    (energía, etc.)
  • Destrucción total o parcial de los recursos
    descentralizados de procesamiento
    de datos.
  • Destrucción total o parcial de los
    procedimientos manuales del usuario.
  • Perdida del personal
    clave para el procesamiento.
  • Huelga (interrupción)
  • Acciones malintencionadas
  • Perdida total o parcial de la información,
    manuales o documentación.
  1. Alcance de la planeación contra
    desastres.

La planeación debe abarcar tanto las
aplicaciones en proceso de desarrollo como las operativas. Los
recursos que deben estar disponibles para la
recuperación son:

  • Documentación de los sistemas, la
    programación y los procedimientos
    operativos.
  • Recursos operativos: equipos, datos, archivos,
    programas, etc.
  1. Un desastre puede ocurrir en alguna fase avanzada
    del desarrollo de una aplicación vital y será
    necesario tomar medidas para garantizar que no se retrase o
    pierda la inversión.

  2. Aplicaciones en proceso de desarrollo

    1. Mantener copias actualizadas de programas,
      documentación, jobs, procedimientos
      operativos.

    2. Sistemas y programación
    3. Operaciones de procesamiento
  3. Aplicaciones terminadas

Comprender el sistema completo. La planeación
debe incluir las actividades y los procedimientos del usuario,
los recursos de transmisión y redes, el procesamiento
centralizado y la redistribución de los
resultados.

  1. Procedimientos en casos de desastres

Existencia de procedimientos formales (por escrito),
en donde se haga referencia detalladamente los diversos tipos
de desastres. Se debe especificar:

  • Responsabilidades en caso de desastres
  • Acción inmediata a seguir

Estos planes deben ser los más detallados
posibles. Todo el personal requiere adiestramiento regular en el plan contra
desastres. El plan de emergencia, una vez aprobado, se
distribuye entre el personal responsable de su operación
(información confidencial o de acceso
restringido).

El plan en caso de desastre debe incluir:

  • Políticas de la dirección
  • Objetivos
  • Responsabilidades
  • Equipo humano
  • Inventario de hardware y software de
    la instalación
  • Estrategias de contingencias
  • Metodología a utilizar
    (prioridades)
  • Matriz de riesgos/
    acciones
    preventivas /acciones alternativas
  • Mantenimientos y pruebas del plan
  • Normas de divulgación y distribución del plan.

El auditor deberá verificar que:

  • Existe una fase de prevención de emergencias
    separadas de las fases de respaldo y
    restauración.
  • Figura responsable de la supervisión de la
    emergencia.
  • Existencia de conjunto de normas de
    emergencias.
  • Procedimientos sistemáticos de
    clasificación de emergencias.

Una vez que todos los riesgos han sido clasificados se
está en condiciones de fijar los procedimientos que
aseguraran la continuidad del funcionamiento del
negocio.

  1. Seguros contra desastres.

A pesar que existan medidas para reducir el riesgo de
interrupciones de las actividades y un plan de emergencia
adecuado, en caso de ocurrir un siniestro, los gastos
resultarán muy oneroso.

El seguro es una
forma de transferir el riesgo de que se produzca un
acontecimiento muy costoso.

Tipos de seguros:

  • Todo riesgo
  • Daños determinados
  • Seguro contra averías
  • Seguro de fidelidad
  • Seguro contra interrupción del negocio;
    cubre las perdidas que sufrirían la empresa en
    el caso que las actividades informáticas se
    interrumpiesen.
  1. Plan de desastre, respaldo y
    recuperación.

Lineamientos de control que cubren los elementos de
respaldo y recuperación.

  1. Plan de recuperación en caso de
    siniestro: debe existir un plan documentación de
    respaldo para el procesamiento de trabajos
    críticos.
  2. Procedimientos de urgencia y capacitación
    del personal: deben garantizar la seguridad del
    personal.
  3. Aplicaciones criticas: el plan de respaldo
    debe contener una prioridad preestablecida para el
    procesamiento de las aplicaciones.
  4. Recursos críticos: deben estar
    identificados en el plan de respaldo la producción critica, el sistema
    operativos y los archivos necesarios para la
    recuperación
  5. Servicios de comunicación
  6. Equipo de comunicación
  7. Equipo de respaldo
  8. Programación de operaciones
    de respaldo
  9. Procedimientos de respaldo de
    archivos
  10. Suministro de respaldo: considerar una
    fuente de abastecimiento para la recuperación de
    materiales especiales.
  11. Pruebas de plan de respaldo
  12. Reconstrucción del centro de sistemas de
    información
  13. Procedimientos manuales de
    respaldo.
  1. Entorno del
    Software
    1. Objetivos
  • Revisar la seguridad lógica de los datos y
    programas
  • Revisar la seguridad lógica de las
    librerías de los programadores
  • Examinar los controles sobre los datos
  • Revisar procedimientos de entrada /
    salida
  • Verificar las previsiones y procedimientos de
    backup
  • Revisar los procedimientos de planificación,
    adecuación y mantenimiento del software del
    sistema.
  • Revisar documentación del software del
    sistema.
  • Revisar documentación del software de
    base.
  • Revisar controles sobre paquetes
    externos(sw)
  • Supervisar el uso de herramientas peligrosas al servicio
    del usuario.
  • Comprobar la seguridad e integridad de la base de
    datos.
  1. Software del sistema (software de
    base)
  • Control de modificaciones al sistema
    operativo
  • Evitar cambios no autorizados y el uso
    incontrolable de herramientas potentes
  • Revisión de los procedimientos de
    obtención de backup.
  • Metodología de selección de paquetes de
    software
  • Evaluación de herramientas de desarrollo de
    sistemas y software de gestión de la base de
    datos.
  1. Software de la base de datos.
  • Verificación de la integridad de la base de
    datos
  • Establecer estándares de
    documentación
  • Limitar las acciones del DBA
  • Existencia de backup
  • Uso de utilitarios y modificaciones de los métodos de acceso.
  1. Riesgos en una base de datos:
  1. Inexactitud de los datos
  2. Inadecuada asignación de
    responsabilidades
  3. Acceso no autorizado a datos
  4. Documentación no actualizada
  5. Adecuación de las pistas de
    auditoria.
  1. Sistemas de procesamiento distribuido y
    redes
  • Debe proveer abastecimiento de información
    sobre una base descentralizada.
  • Planes de implantación, conversiones y
    pruebas de aceptación adecuadas de la red.
  • Estándares y políticas para el
    control de la red.
  • Facilidades de control del hardware y el
    software
  • Compatibilidad, la integridad y el uso de
    datos.
  • Control de acceso a datos
  • Software de comunicación y sistema
    operativo de red – control de rendimiento de la
    red.
  1. Sistemas basados en
    microcomputadoras
  • Criterio de adquisición / políticas
    de la gerencia
  • Software aplicativo, de desarrollo y sistema
    operativo.
  • Documentación de programas
  • Procedimientos para la creación y
    mantenimiento de archivos.
  • Seguridad física
  • Compartir recursos /
    autorización
  1. Sistemas Online

El usuario tiene acceso directo al sistema y lo
controla de algún modo a través de terminales del
software disponible.

Problemas de auditoria:

  1. Sistemas de consultas
  2. Entrada de datos Online (validaciones)
  3. Actualización de datos Online
    (actualización de archivos maestros)
  4. Remote Job Entry (un punto remoto actúa con
    control total del ordenador central)
  5. Programación Online (permite a los
    programadores trabajar desde puntos remotos del equipo
    central)
  1. Análisis del acceso Online

Ningún usuario puede acceder a datos que no
debería o realizar procesos no permitidos.

  • Verificar que las passwords de los usuarios posean
    cambios periódicos
  • Perfiles de usuarios (acceso limitado a
    archivos)
  • Bloqueo de terminales (time out o intentos de
    acceso)
  • Logueo de actividades del usuario
  • Encriptación de datos.
  1. Análisis de las consultas Online

Verificar que el usuario no pueda modificar datos de
los archivos.

  • Control de acceso al sistema
  • Uso de la información obtenida.
  • Tiempo de respuesta.
  1. Análisis de la introducción de datos
    Online

La mayoría de los problemas son de control,
validación y corrección de los mismos.

  • Control de acceso al sistema
  • Existencia de procedimientos previos a la entrada
    de datos, tratamiento de documentación,
    autorización adecuada.
  • Sistema de control que permita verificar la
    totalidad de los datos de entrada.
  • Controles que protejan contra omisiones o
    duplicaciones de datos.
  • Calidad de la validación
  • Existencia de registros de las correcciones
    efectuadas en caso de fallo del sistema:
  • Métodos que determinen que transacciones se
    ha perdido
  • Procedimientos Batch de reemplazo.
  • Procedimientos para comprobar el estado
    del sistema (luego del reinicio)
  1. Análisis de la actualización
    online
  • Control de acceso al sistema
  • Establecer puntos de control en la
    entrada
  • Mantener logs de actualizaciones
  • Realizar validaciones sobre los registros
    actualizados
  • Autoridad necesaria para la actualización
    del usuario.
  • Proveer oportunamente la corrección de
    errores y su impacto.
  • Mantener una relación de los archivos
    maestros que se hayan modificado, indicando el movimiento
    antes y después de la modificación.
  1. Análisis de la seguridad Online

Debido a que no es probable que las operaciones online
puedan transferirse a otra maquina

  • Disponibilidad de equipos alternativos para cubrir
    necesidades mínimas.
  • Existencia de planes de emergencia, documentados y
    practicados.
  • Seguridad de archivos, backup, etc.
  • Medidas de seguridad contra accesos no
    autorizados.
  1. Análisis de la entrada de remote Job
    entry
  2. El control de los programas y archivos será
    responsabilidad del sistema central y
    deberá verificarse los niveles de
    autorización del usuario.

  3. Análisis de la programación
    Online.

Se deberá comprobar que:

  • Acceso de programadores autorizados
  • Registro del uso del sistema con emisión de
    informes
    periódicos
  • Trabajos de programación autorizados y
    controlados.
  1. Análisis del desarrollo de aplicaciones
    Online
  • Asegurar rutinas de validación
  • Existencia de ayudas en las terminales
  • Procedimientos de corrección y
    modificación Online
  • Control de acceso simultanea a
    registros
  • Estándares organizativos
    operativos.
  1. Bibliografía

  • Sistemas de Información. Auditoria de
    Sistemas
    . Ing. Horacio Viña. K5AT2. CEIT.
    2000.
  • Handbook of IT Auditing. Warren, Edelson,
    Parker, Thrun. RIA Group. 1998.
  • Auditoria y Seguridad de los Sistemas de
    Computación
    . Jorge Nardelli. Ed. Cangallo.
    1984.
    1. Matriz de
      Riesgo
  1. Anexo I

Poco frecuente Grado de Frecuencia Muy
frecuente

Elevadas Perdidas
Probables
Bajas

 

1

2

3

4

5

1

2

Robo de
información

3

Cortes de energía
eléctrica

4

Intrusiones

5

6

Terremoto

Grado

Frecuencia

Grado

Perdida
$/año

1

Una vez en 1000 años

1

10

2

Una vez en 100 años

2

100

3

Una vez en 10 años

3

1000

4

Una vez por año

4

10000

5

10 veces al año

5

100000

  

6

1000000

 

Gabriel Pineda

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter