- Desarrollo de
Sistemas El auditor deberá conocer en detalle las
distintas etapas en la formulación de los sistemas
y las metodologías más usuales en la construcción de los
mismos.Se debe hacer auditoria cada vez que se realice
una aplicación nueva o una modificación
importante.El objetivo
es que la calidad
de las estructuras y procedimientos del sistema
sea tan buena como sea posible.- Objetivos y puntos a
verificar
- Objetivos y puntos a
- Examinar metodología de construcción en
uso. - Revisar la definición de los objetivos
del sistema, analizar si cumple con las necesidades de los
usuarios. - Revisar el control y
planificación del proyecto. - Verificar que el control de datos sea
adecuado. - Verificar el control de formularios.
- Controlar si los manuales son
suficientes (en cantidad de información). - Existencia de una adecuada separación de
funciones
entre las áreas administrativas y las
mecanizadas. - Asegurar la fiabilidad y continuidad del
sistema - Verificar los medios
dispuestos para el desarrollo
del sistema - Analizar los medios de seguridad
con que se va a dotar al sistema. - Analizar las insuficiencias detectadas y su impacto
en los procedimientos futuros.
Se deberá asegurar en el desarrollo del
sistema: seguridad, precisión y eficacia.
- Momento para efectuar la auditoria de
desarrollo.
- Cuando esta realizándose el desarrollo: las
modificaciones sugeridas pueden incorporarse al sistema en
forma oportuna y económica. - Antes del desarrollo: las recomendaciones del
auditor se resumen a pautas teóricas y los esquemas de
diseño iniciales pueden variar durante
el desarrollo, con lo cual realizar una auditoria en este
momento, seria una perdida de tiempo. - Después de implementar, su único
objetivo seria poder
medir la efectividad del sistema.
- Distintos tipos de Auditoria Durante el
Desarrollo
Auditoria del comienzo del desarrollo del
sistema
En esta etapa se deberá tomar contacto con las
propuestas nuevas, analizar los elementos de gestión y de control, tomar contacto con
los estándares de procedimientos, control de proyecto y
de documentación.
Auditoria de la propuesta de
mecanización
La propuesta de mecanización define las pautas
del nuevo sistema y una vez aceptada se emprendería
el trabajo
de diseño y programación. La auditoria debería
asegurarse de que son adecuados los principios
básicos de diseño, en todo lo relacionado a
control y verificación interna.
Auditoria de la propuesta
detallada.
Aquí se brinda detalle sobre las variaciones y
particularidades del esquema general de actividad y contempla
los procedimientos mecanizados y los administrativos (diagramas,
diseños, registros,
etc.). Se verifica las propuestas de implementación y la
calidad de las comprobaciones internas, la separación de
las funciones y fiabilidad del control.
Ahora deben solucionarse los puntos débiles o
tenerse en cuenta para planificar futuras auditorias.
Las especificaciones planteadas tratarán sobre la
entrada, procesos,
salida de archivos y su
control, y las instrucciones operativas. La auditoria
verificará los procedimientos para asegurar:
- Evidencia que deja el sistema es suficiente para
rastrear errores y corregirlos. - Procedimientos de salida llevan incorporados
sistemas correctos de validación y detección de
errores. - El diseño de datos de salida puede adaptarse
a las modificaciones que vayan surgiendo. - Documentación de todos los archivos
magnéticos obedece a los estándares
adecuados. - Si todos los archivos están sometidos a
controles. - Si la ejecución de los procesos contiene una
validación suficiente. - Proteger al sistema contra usos no
autorizados. - Si se ha planificado adecuadamente todas las etapas
de desarrollo, con tiempo, recursos y
costos,
previendo los puntos de control. - Previsión de una capacitación adecuada.
- Prever emergencias e interrupciones del proceso al
igual que la rutina normal de trabajo.
Auditoria de los programas y
pruebas.
Se realizan comprobaciones en el trabajo real de
programación:
- Procedimientos de gestión adecuados para
controlar programas y pruebas. - Controlar y verificar las pruebas de
programas - Registración adecuada de
modificaciones - Que los programas en desarrollo se mantengan
separados de los operativos.
Auditoria del aprovisionamiento del sistema y
planificación de la
implantación.
Es importante asignar suficiente tiempo a la
adquisición de equipos y material para el nuevo sistema
y a especificarlo minuciosamente. El equipo de auditoria
deberá asegurarse de que se preparen unas
especificaciones adecuadas indicando la calidad, nivel,
capacidad, posibilidades y plazo de entrega.
Los analistas deberán trazar un plan de
desarrollo e implantación del sistema, dividiendo en
etapas, indicando los tiempos y recursos necesarios.
La auditoria verificará que este plan sirva
para gestionar y gobernar las tareas y tendrá en cuenta
los tiempos para adaptar su auditoria al ritmo del
proyecto.
Auditoria de la documentación y manuales
de usuario y operación del sistema.
Cuando el sistema quede operativo deberá
preparar una documentación completa de todos sus
aspectos. El auditor asegurará que están todos
los documentos que
corresponden, completos y actualizados.
La auditoria deberá verificar si los manuales
describen procedimientos de emergencia y respaldo, así
como la rutina normal de trabajo. También deberá
existir un buen sistema de actualización de
manuales.
Auditoria de la conversión de
archivos.
Cuando se desarrollan sistemas nuevos suele hacer
falta preparar archivos magnéticos y convertir todos los
datos que se tengan al formato del nuevo medio.
La auditoria se preocupará que la
conversión de los archivos permita que el sistema
arranque con datos exactos y verificará que:
- La conversión de archivos se ha planificado
totalmente - Programas utilizados para la conversión de
archivos han sido probados suficientemente. - Utiliza un sistema de
información adecuado que identifique claramente
los errores.
Auditoria de las pruebas del
sistema.
Cuando los programadores enlazan sus programas para
formar una secuencia, ésta ha de probarse en su conjunto
para garantizar que cumplen su cometido. La auditoria
deberá verificar, si la preparación de los datos
de prueba deberá llevar consigo:
- Recopilación de un conjunto de datos que
refleje todas las variantes de los
valores y errores que puedan surgir. - Preparación de una planificación de
los resultados que ha de producir el sistema cuando ejecute
los datos de prueba.
Una vez verificada la preparación de los datos
de prueba, el auditor se preocupará de la calidad de la
verificación de los resultados, la oportunidad de las
pruebas y que las mismas no han provocado corrupciones en las
rutinas y/o archivos.
Auditoria de la
implantación.
Se puede tener un sistema paralelo, en donde esta fase
es una ampliación de las pruebas del sistema. Si se hace
directamente, el sistema arranca inmediatamente.
Se estudiará el sistema de control para
corroborar que los empleados lo utilizan bien desde el
principio y evaluar la calidad de dicho sistema.
Auditoria de la continuidad del
sistema
Los sistemas importantes deben ser capaces de
funcionar en todo momento. Las averías de los equipos,
errores en archivos, falta de energía y otros recursos
no deberían interrumpir las actividades
esenciales.
La auditoria debería asegurarse que:
- Se mantienen copias de seguridad de datos, archivos
e instrucciones a un nivel de permita su recuperación
dentro de un plazo preestablecido. - Existencia de medidas alternativas para utilizar
equipos auxiliar (durante las caídas) - Que el retorno al trabajo normal se haga con
facilidad y que los controles enlacen al sistema sin problemas
para verificar si la reactivación ha sido
correcta.
Evaluar la eficiencia y
eficacia de operación del área de
producción.
Comprende la evaluación de los equipos de computación, procedimientos de entradas
de datos, controles, archivos, seguridad y obtención de
la información.
El campo de acción de este tipo de auditoria
sería:
Metas, políticas, planes y procedimientos de
procesos electrónicos estándares.Organización del área y estructura orgánica.
Integración de los recursos materiales y técnicos
Controles administrativos del
área.- Evaluación administrativa del área de
producción - Evaluación de los sistemas y procedimientos,
y de la eficiencia que se tiene en el uso de los
equipos. - Evaluación del proceso de datos y de los
equipos de procesamiento.
Se deben verificar los siguientes puntos:
Estructura del servicio
Control de operaciones
Documentación de los
procedimientos
Modificación de programas
Control de almacenamiento de soportes.
Plan de mantenimiento preventivo
Personal de producción
Control de la utilización del
ordenador
- Determinación de la performance del
hardware - Revisar la utilización del
hardware - Examinar los estudios de adquisición del
hardware - Comprobar condiciones ambientales y de seguridad
del hardware - Verificar los controles de acceso y seguridad
física - Revisar inventario
del hardware - Verificar los procedimientos de la seguridad
física - Comprobar los procedimientos de prevención,
detección y/o corrección ante
desastres. - Revisar plan de contingencias.
- Examinar las seguridades y debilidades de los
componentes físicos del equipo, de las comunicaciones, etc. y de las instalaciones
donde se ubica el centro de cómputos.
- Seguridad física del
local
- Riesgos naturales (inundaciones, descargas
eléctricas, etc.) - Riesgos de vecindad derivadas
de construcciones cerca del centro de cómputos
(incendios,
vibraciones, etc.) - Riesgos del propio edificio (almacenamiento de
material combustible, polvo, etc.) - Suministro de energía (generador de
energía, UPS, etc.) - Acondicionador de aire
- Armarios ignífugos.
Controlar el acceso a los recursos para
protegerlos de cualquier uso no autorizado, daño, perdida o
modificaciones.- Control de acceso y seguridad
físicaEn caso de interrupciones inesperadas deben
existir planes adecuados para el respaldo de recursos
críticos del centro de cómputos y para el
reestablecimiento de los servicios de sistemas de
información.- Tipos de desastres
- Planes de desastre.
- Destrucción total
- Destrucción parcial de los recursos
centralizados de procesamiento de datos. - Destrucción o mal funcionamiento de los
recursos ambientales destinados al procesamiento
(energía, etc.) - Destrucción total o parcial de los recursos
descentralizados de procesamiento
de datos. - Destrucción total o parcial de los
procedimientos manuales del usuario. - Perdida del personal
clave para el procesamiento. - Huelga (interrupción)
- Acciones malintencionadas
- Perdida total o parcial de la información,
manuales o documentación.
- Alcance de la planeación contra
desastres.
La planeación debe abarcar tanto las
aplicaciones en proceso de desarrollo como las operativas. Los
recursos que deben estar disponibles para la
recuperación son:
- Documentación de los sistemas, la
programación y los procedimientos
operativos. - Recursos operativos: equipos, datos, archivos,
programas, etc.
Un desastre puede ocurrir en alguna fase avanzada
del desarrollo de una aplicación vital y será
necesario tomar medidas para garantizar que no se retrase o
pierda la inversión.- Aplicaciones en proceso de desarrollo
Mantener copias actualizadas de programas,
documentación, jobs, procedimientos
operativos.- Sistemas y programación
- Operaciones de procesamiento
- Aplicaciones terminadas
Comprender el sistema completo. La planeación
debe incluir las actividades y los procedimientos del usuario,
los recursos de transmisión y redes, el procesamiento
centralizado y la redistribución de los
resultados.
- Procedimientos en casos de desastres
Existencia de procedimientos formales (por escrito),
en donde se haga referencia detalladamente los diversos tipos
de desastres. Se debe especificar:
- Responsabilidades en caso de desastres
- Acción inmediata a seguir
Estos planes deben ser los más detallados
posibles. Todo el personal requiere adiestramiento regular en el plan contra
desastres. El plan de emergencia, una vez aprobado, se
distribuye entre el personal responsable de su operación
(información confidencial o de acceso
restringido).
El plan en caso de desastre debe incluir:
- Políticas de la dirección
- Objetivos
- Responsabilidades
- Equipo humano
- Inventario de hardware y software de
la instalación - Estrategias de contingencias
- Metodología a utilizar
(prioridades) - Matriz de riesgos/
acciones
preventivas /acciones alternativas - Mantenimientos y pruebas del plan
- Normas de divulgación y distribución del plan.
El auditor deberá verificar que:
- Existe una fase de prevención de emergencias
separadas de las fases de respaldo y
restauración. - Figura responsable de la supervisión de la
emergencia. - Existencia de conjunto de normas de
emergencias. - Procedimientos sistemáticos de
clasificación de emergencias.
Una vez que todos los riesgos han sido clasificados se
está en condiciones de fijar los procedimientos que
aseguraran la continuidad del funcionamiento del
negocio.
- Seguros contra desastres.
A pesar que existan medidas para reducir el riesgo de
interrupciones de las actividades y un plan de emergencia
adecuado, en caso de ocurrir un siniestro, los gastos
resultarán muy oneroso.
El seguro es una
forma de transferir el riesgo de que se produzca un
acontecimiento muy costoso.
Tipos de seguros:
- Todo riesgo
- Daños determinados
- Seguro contra averías
- Seguro de fidelidad
- Seguro contra interrupción del negocio;
cubre las perdidas que sufrirían la empresa en
el caso que las actividades informáticas se
interrumpiesen.
- Plan de desastre, respaldo y
recuperación.
Lineamientos de control que cubren los elementos de
respaldo y recuperación.
- Plan de recuperación en caso de
siniestro: debe existir un plan documentación de
respaldo para el procesamiento de trabajos
críticos. - Procedimientos de urgencia y capacitación
del personal: deben garantizar la seguridad del
personal. - Aplicaciones criticas: el plan de respaldo
debe contener una prioridad preestablecida para el
procesamiento de las aplicaciones. - Recursos críticos: deben estar
identificados en el plan de respaldo la producción critica, el sistema
operativos y los archivos necesarios para la
recuperación - Servicios de comunicación
- Equipo de comunicación
- Equipo de respaldo
- Programación de operaciones
de respaldo - Procedimientos de respaldo de
archivos - Suministro de respaldo: considerar una
fuente de abastecimiento para la recuperación de
materiales especiales. - Pruebas de plan de respaldo
- Reconstrucción del centro de sistemas de
información - Procedimientos manuales de
respaldo.
- Revisar la seguridad lógica de los datos y
programas - Revisar la seguridad lógica de las
librerías de los programadores - Examinar los controles sobre los datos
- Revisar procedimientos de entrada /
salida - Verificar las previsiones y procedimientos de
backup - Revisar los procedimientos de planificación,
adecuación y mantenimiento del software del
sistema. - Revisar documentación del software del
sistema. - Revisar documentación del software de
base. - Revisar controles sobre paquetes
externos(sw) - Supervisar el uso de herramientas peligrosas al servicio
del usuario. - Comprobar la seguridad e integridad de la base de
datos.
- Software del sistema (software de
base)
- Control de modificaciones al sistema
operativo - Evitar cambios no autorizados y el uso
incontrolable de herramientas potentes - Revisión de los procedimientos de
obtención de backup. - Metodología de selección de paquetes de
software - Evaluación de herramientas de desarrollo de
sistemas y software de gestión de la base de
datos.
- Software de la base de datos.
- Verificación de la integridad de la base de
datos - Establecer estándares de
documentación - Limitar las acciones del DBA
- Existencia de backup
- Uso de utilitarios y modificaciones de los métodos de acceso.
- Riesgos en una base de datos:
- Inexactitud de los datos
- Inadecuada asignación de
responsabilidades - Acceso no autorizado a datos
- Documentación no actualizada
- Adecuación de las pistas de
auditoria.
- Sistemas de procesamiento distribuido y
redes
- Debe proveer abastecimiento de información
sobre una base descentralizada. - Planes de implantación, conversiones y
pruebas de aceptación adecuadas de la red. - Estándares y políticas para el
control de la red. - Facilidades de control del hardware y el
software - Compatibilidad, la integridad y el uso de
datos. - Control de acceso a datos
- Software de comunicación y sistema
operativo de red – control de rendimiento de la
red.
- Sistemas basados en
microcomputadoras
- Criterio de adquisición / políticas
de la gerencia - Software aplicativo, de desarrollo y sistema
operativo. - Documentación de programas
- Procedimientos para la creación y
mantenimiento de archivos. - Seguridad física
- Compartir recursos /
autorización
- Sistemas Online
El usuario tiene acceso directo al sistema y lo
controla de algún modo a través de terminales del
software disponible.
Problemas de auditoria:
- Sistemas de consultas
- Entrada de datos Online (validaciones)
- Actualización de datos Online
(actualización de archivos maestros) - Remote Job Entry (un punto remoto actúa con
control total del ordenador central) - Programación Online (permite a los
programadores trabajar desde puntos remotos del equipo
central)
- Análisis del acceso Online
Ningún usuario puede acceder a datos que no
debería o realizar procesos no permitidos.
- Verificar que las passwords de los usuarios posean
cambios periódicos - Perfiles de usuarios (acceso limitado a
archivos) - Bloqueo de terminales (time out o intentos de
acceso) - Logueo de actividades del usuario
- Encriptación de datos.
- Análisis de las consultas Online
Verificar que el usuario no pueda modificar datos de
los archivos.
- Control de acceso al sistema
- Uso de la información obtenida.
- Tiempo de respuesta.
- Análisis de la introducción de datos
Online
La mayoría de los problemas son de control,
validación y corrección de los mismos.
- Control de acceso al sistema
- Existencia de procedimientos previos a la entrada
de datos, tratamiento de documentación,
autorización adecuada. - Sistema de control que permita verificar la
totalidad de los datos de entrada. - Controles que protejan contra omisiones o
duplicaciones de datos. - Calidad de la validación
- Existencia de registros de las correcciones
efectuadas en caso de fallo del sistema: - Métodos que determinen que transacciones se
ha perdido - Procedimientos Batch de reemplazo.
- Procedimientos para comprobar el estado
del sistema (luego del reinicio)
- Análisis de la actualización
online
- Control de acceso al sistema
- Establecer puntos de control en la
entrada - Mantener logs de actualizaciones
- Realizar validaciones sobre los registros
actualizados - Autoridad necesaria para la actualización
del usuario. - Proveer oportunamente la corrección de
errores y su impacto. - Mantener una relación de los archivos
maestros que se hayan modificado, indicando el movimiento
antes y después de la modificación.
- Análisis de la seguridad Online
Debido a que no es probable que las operaciones online
puedan transferirse a otra maquina
- Disponibilidad de equipos alternativos para cubrir
necesidades mínimas. - Existencia de planes de emergencia, documentados y
practicados. - Seguridad de archivos, backup, etc.
- Medidas de seguridad contra accesos no
autorizados.
- Análisis de la entrada de remote Job
entry El control de los programas y archivos será
responsabilidad del sistema central y
deberá verificarse los niveles de
autorización del usuario.- Análisis de la programación
Online.
Se deberá comprobar que:
- Acceso de programadores autorizados
- Registro del uso del sistema con emisión de
informes
periódicos - Trabajos de programación autorizados y
controlados.
- Análisis del desarrollo de aplicaciones
Online
- Asegurar rutinas de validación
- Existencia de ayudas en las terminales
- Procedimientos de corrección y
modificación Online - Control de acceso simultanea a
registros - Estándares organizativos
operativos.
- Sistemas de Información. Auditoria de
Sistemas. Ing. Horacio Viña. K5AT2. CEIT.
2000. - Handbook of IT Auditing. Warren, Edelson,
Parker, Thrun. RIA Group. 1998. - Auditoria y Seguridad de los Sistemas de
Computación. Jorge Nardelli. Ed. Cangallo.
1984.
Poco frecuente Grado de Frecuencia Muy | ||||||
Elevadas Perdidas | 1 | 2 | 3 | 4 | 5 | |
1 | ||||||
2 | Robo de | |||||
3 | Cortes de energía | |||||
4 | Intrusiones | |||||
5 | ||||||
6 | Terremoto |
Grado | Frecuencia | Grado | Perdida |
1 | Una vez en 1000 años | 1 | 10 |
2 | Una vez en 100 años | 2 | 100 |
3 | Una vez en 10 años | 3 | 1000 |
4 | Una vez por año | 4 | 10000 |
5 | 10 veces al año | 5 | 100000 |
6 | 1000000 |
Gabriel Pineda
Página anterior | Volver al principio del trabajo | Página siguiente |