Unidad II

1,217 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,217
On SlideShare
0
From Embeds
0
Number of Embeds
92
Actions
Shares
0
Downloads
27
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Unidad II

  1. 1. 1METODOS DE AUDITORIAPapel Del Auditor Informático.Si se entiende que la auditoria informática comprende las tareas de evaluar, analizar los procesosinformáticos, el papel de auditor debe estar encaminado hacia la búsqueda de problemas existentesdentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas. Además que elauditor Informático debe estar capacitado en los siguientes aspectos:Deberá ver cuándo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de laempresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistemay del estudio de las soluciones más idóneas, según los problemas detectados en el sistema informático,siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos.Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos,aconsejables y óptimos para su adecuación con la finalidad de que cumpla para lo que fue diseñado,determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos. El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas,dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificacionescarentes de bases científicas insuficientemente probadas o de imprevisible futuro.El auditor al igual que otros profesionales (Ej. Médicos, abogados, educadores, etc.) pueden incidir en latoma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía, dado la dificultadpráctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientostécnicos existente entre al auditor y los auditados (Puede pesar gravemente).El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a sualcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicasadecuadas para el idóneo cumplimiento de su labor. En los casos en que precariedad de los mediospuestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarserealizar hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad desus servicios o dictámenes.Cuando durante la ejecución de la auditoria, el auditor considere conveniente recabar informe de otrosmás calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo enidóneas condiciones deberá remitir el mismo a un especialista en la materia o recabar su dictamen parareforzar la calidad y viabilidad global de la auditoria. El auditor debe actuar con cierto grado de humildadevitando dar la impresión de estar al corriente de una información privilegiada sobre nuevas tecnologíasa fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado. El auditortanto en sus relaciones con el auditado como con terceras personas deberá en todo momento, deberáactuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en eltrato personal. (Que en todo momento, como cuando estamos en el bar, cafetería, o fiesta por que losauditores tienen la responsabilidad). El auditor deberá facilitar e incrementar la confianza de auditado enbase a una actuación de transparencia, en su actividad profesional sin alardes científico- técnico, que,por su incomprensión, pueden restar credibilidad a los resultados obtenidos y a las directricesaconsejadas. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  2. 2. 2Tipos de Auditoria Informática.Auditoria Informática De Explotación: La explotación informática se ocupa de producir resultados, talescomo listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos,etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación yse someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirvenlos datos, pero pueden que no sirvan; estos dos juntos realizan una información buena)Auditoria Informática De Desarrollo De Proyectos O Aplicaciones: La función de desarrollo es unaevaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tenerlas siguientes fases:  Prerrequisitos del usuario y del entorno  Análisis funcional  Diseño  Análisis orgánico (pre programación y programación)  Pruebas  ExplotaciónTodas estas fases deben estar sometidas a un exigente control interno, de lo contrario, puedenproducirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoriadeberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutadopor la máquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es mediopor los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada)Auditoria Informática De Sistemas: Se ocupa de analizar la actividad que se conoce como técnica desistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que lascomunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunqueformen parte del entorno general del sistema (Ej. De auditar el cableado estructurado, ancho de bandade una red LAN)Auditoria Informática De Comunicación Y Redes: Este tipo de auditoría deberá inquirir o actuar sobre losíndices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberáconocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocercuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición deinoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una solaorganización (Debemos conocer los tipos de mapas actuales y anteriores, como son las líneas, el anchode banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).Auditoria De La Seguridad Informática: Se debe tener presente la cantidad de información almacenadaen el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, lasempresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de losrobos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debetambién cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañansistemáticamente los datos. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  3. 3. 3 Campos de Acción de la Auditoria Informática. Su campo de acción será:a) Evaluación administrativa del área de informática. 1. Los objetivos del área 2. Metas, planes, políticas y procedimientos de procesos electrónicos estándar. 3. Organización del área y su estructura orgánica. 4. Funciones, niveles de autoridad y responsabilidad del área de sistemas. 5. Integración de los recursos materiales y técnicos 6. Costos y controles presupuestales 7. Controles administrativos del áreab) Evaluación de los sistemas, procedimientos, y de la eficiencia que se tiene en el uso de la información. 1. Análisis de los sistemas y sus diferentes etapas. 2. Evaluación del diseño lógico del sistema. 3. Evaluación del desarrollo físico del sistema 4. Control de proyectos 5. Control de sistemas y programación 6. Instructivos y documentación 7. Formas de implantación 8. Seguridad lógica y física de los sistemas y sus datos. 9. Confidencialidad de los sistemas 10. Controles de mantenimiento y forma de respaldo de los sistemas. 11. Utilización de los sistemas.c) Evaluación del proceso de datos y de los equipos de procesamiento. 1. Controles de los datos fuentes y manejo de cifras de control 2. Control de operación 3. Control de salida 4. Control de asignación de trabajos 5. Control de asignación de medios de almacenamiento masivos Auditoria de Sistemas Prof. Zoraivett Rodriguez
  4. 4. 4 6. Control de otros elementos de cómputo 7. Orden en el Centro de Procesamiento. 8. Seguridad física y lógica. 9. Respaldos.Planeación de la Auditoria Informática. La definición de los objetivos perseguidos en la auditoria informática debe preceder a la elección de los medios y de las acciones, si se pretende evitar el predominio de estos últimos. Para lograr un buena planeación es conveniente primero obtener información general sobre la organización y sobre la función informática a evaluar. Para ello es preciso una investigación preliminar y algunas entrevistas previas, para establecer un programa de trabajo en el que se incluirá el tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la AI. Investigación Preliminar Se debe recopilar información para obtener una visión general del área a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación. La planeación de la auditoría debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito. Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las áreas de la organización. Para poder analizar y dimensionar la estructura por auditar se debe solicitar: 1- A nivel Organización Total: a) Objetivos a corto y largo plazo b) Manual de la Organización c) Antecedentes o historia del Organismo d) Políticas generales 2- A nivel Área informática: a) Objetivos a corto y largo plazo b) Manual de organización del área que incluya puestos, niveles jerárquicos y tramos de mando. c) Manual de políticas, reglamentos internos y lineamientos generales. d) Número de personas y puestos en el área e) Procedimientos administrativos en el área. f) Presupuestos y costos del área. 3- Recursos materiales y técnicos a) Solicitar documentos sobre los equipos, número (de los equipos por instalados, por instalar y programados), localización y características. b) Fechas de instalación de los equipos y planes de instalación. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  5. 5. 5 c) Contratos vigentes de compra, renta y servicio de mantenimiento. d) Contrato de seguros e) Convenios que se mantienen con otras instalaciones f) Configuración de los equipos, capacidades actuales y máximas. g) Planes de expansión h) Ubicación general de los equipos i) Políticas de operación j) Políticas de uso o de equipos 4- Sistemas a) Manual de formularios. b) Manual de procedimientos de los sistemas c) Descripción genérica d) Diagrama de entrada, archivo y salida. e) Salidas impresas f) Fecha de instalación de los sistemas g) Proyectos de instalación de nuevos sistemas.COMENTARIOS:En el momento de planear la AI – auditoria informática - (o bien cuando se está efectuando)debemos evaluar que pueden presentarse las siguientes situaciones:a) Se solicita información y se ve que: No se tiene y SE necesita No se tiene y NO se necesitab) Se tiene la información pero: No se usa Es incompleta No está actualizada No es la adecuadac) Se usa, esta actualizada, es la adecuada y está completaa1) En el caso de que no se disponga de la información y se considere que no se necesita para laAI, se debe evaluar la causa por la que no es necesaria. (este parámetro nos servirá para laplaneación de la auditoria)a2) En el caso de que no se tenga la información pero que la misma sea necesaria para la AI, sedebe recomendar que se elabore de acuerdo a las necesidades y al uso que se le va a dar.b) en el caso de que se tenga la información pero no se use, se debe analizar porque no se usa: esincompleta, no está actualizada, no sea la adecuada, etc.Como resultado de los trabajos preliminares se debe explicitar: Auditoria de Sistemas Prof. Zoraivett Rodriguez
  6. 6. 6  objetivo  alcance  limitaciones y colaboración necesarias  grado de responsabilidad  Informes que se entregaranEtapas de la Metodología Informática.El método de trabajo del auditor pasa por las siguientes etapas:  Alcance y Objetivos de la Auditoría Informática  Estudio inicial del entorno auditable  Determinación de los recursos necesarios para realizar la auditoría  Elaboración del plan y de los Programas de Trabajo  Actividades propiamente dichas de la auditoría  Confección y redacción del Informe Final  Redacción de la Carta de Introducción o Carta de Presentación del Informe finalFase 1: Definición de Alcance y ObjetivosEl alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entreauditores y clientes sobre las funciones, las materias y las organizaciones a auditar.A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepcionesde alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas.Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a losque su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que lasmetas fijadas puedan ser cumplidas.Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales ycomunes de a toda auditoría Informática: La operatividad de los Sistemas y los Controles Generales deGestión Informática.Fase 2: Estudio InicialPara realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática.Para su realización el auditor debe conocer lo siguiente: Auditoria de Sistemas Prof. Zoraivett Rodriguez
  7. 7. 7Organización:Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental.Para realizar esto en auditor deberá fijarse en:1)Organigrama: El organigrama expresa la estructura oficial de la organización a auditar.Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto talcircunstancia.2) Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a laDirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.3) Relaciones Jerárquicas y funcionales entre órganos de la Organización:El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por elorganigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes.Las de Jerarquía implican la correspondiente subordinación. Las funcionales por el contrario, indicanrelaciones no estrictamente subordinables.4) Flujos de Información: Además de las corrientes verticales intradepartamentales, la estructuraorganizativa cualquiera que sea, produce corrientes de información horizontales y oblicuasextradepartamentales.Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión,siempre y cuando tales corrientes no distorsionen el propio organigrama.En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin loscuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque haypequeños o grandes fallos en la estructura y en el organigrama que los representa.Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simplecomodidad. Estos flujos de información son indeseables y producen graves perturbaciones en laorganización.5) Números de Puesto de Trabajo: El equipo auditor comprobará que los nombres de los Puesto de losPuestos de Trabajo de la organización corresponden a las funciones reales distintas.Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia defunciones operativas redundantes.Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer talcircunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes.6) Números de Personas por Puestos de Trabajo: Es un parámetro que los auditores informáticos debenconsiderar. La inadecuación del personal determina que el número de personas que realizan las mismasfunciones rara vez coincida con la estructura oficial de la organización.Fase 3: Entorno Operacional Auditoria de Sistemas Prof. Zoraivett Rodriguez
  8. 8. 8El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va adesenvolverse.Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos: a. Situación geográfica de los Sistemas: Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo. b. Arquitectura y configuración de Hardware y Software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas esta muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos. c. Inventario de Hardware y Software: El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remotas, periféricos de todo tipo, etc. El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables. d. Comunicación y Redes de Comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la Empresa.Aplicaciones bases de datos y ficherosEl estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de losprocesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente: a. Volumen, antigüedad y complejidad de las Aplicaciones b. Metodología del Diseño Auditoria de Sistemas Prof. Zoraivett Rodriguez
  9. 9. 9 Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto. c. Documentación La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La documentación de programas disminuye gravemente el mantenimiento de los mismos. d. Cantidad y complejidad de Bases de Datos y Ficheros. El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática.Fase 4: Determinación de recursos de la Auditoría Informática Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos ymateriales que han de emplearse en la auditoría. - Recursos humanos - Recursos materialesRecursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por elcliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistemaauditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos:a. Recursos materiales Software Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se añaden a lasejecuciones de los procesos del cliente para verificarlos. Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica deSistemas del auditado y de la cantidad y calidad de los datos ya existentes.b. Recursos materiales Hardware Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos decontrol deben efectuarse necesariamente en las Computadoras del auditado. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  10. 10. 10 Para lo cuál habrá de convenir el, tiempo de máquina, espacio de disco, impresoras ocupadas, etc.Recursos Humanos La cantidad de recursos depende del volumen auditable. Las características y perfiles delpersonal seleccionado depende de la materia auditable. Es igualmente señalable que la auditoría en general suele ser ejercida por profesionalesuniversitarios y por otras personas de probada experiencia multidisciplinaria.Perfiles Profesionales de los auditores informáticosProfesión Actividades y conocimientos deseablesInformático en general Con experiencia amplia en ramas distintas. Es deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes.Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación.Experto en Bases de Datos y Con experiencia en el mantenimiento de Bases deAdministración de las mismas. Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotaciónExperto en Software de Comunicación Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso.Experto en Explotación y Gestión de Responsable de algún Centro de Computos. AmpliaCPD´S experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas.Técnico de Organización Experto organizador y coordinador. Especialista en el análisis de flujos de información.Técnico de evaluación de Costes Economista con conocimiento de Informática. Gestión de costes. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  11. 11. 11Elaboración del Plan y de los programas de trabajo Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen unplan de trabajo. Decidido éste, se procede a la programación del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboraciónes más compleja y costosa.b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente elnúmero de auditores necesarios, sino las especialidades necesarias del personal.  En el Plan no se consideran calendarios, porque se manejan recursos genéricos y no específicos  En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios  En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.  El Plan establece disponibilidad futura de los recursos durante la revisión.  El Plan estructura las tareas a realizar por cada integrante del grupo.  En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser losuficientemente como para permitir modificaciones a lo largo del proyecto.Fase 5: Actividades de la Auditoría InformáticaAuditoría por temas generales o por áreas específicas:La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si se examina porgrandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos.Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades queafectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor calidad.Técnicas de Trabajo: · Análisis de la información recabada del auditado · Análisis de la información propia · Cruzamiento de las informaciones anteriores · Entrevistas · Simulación Auditoria de Sistemas Prof. Zoraivett Rodriguez
  12. 12. 12 · MuestreosHerramientas: · Cuestionario general inicial · Cuestionario Checklist · Estándares · Monitores · Simuladores (Generadores de datos) · Paquetes de auditoría (Generadores de Programas) · Matrices de riesgoFase 6: Informe Final La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración finales el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final,los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallosde apreciación en el auditor.Estructura del informe final El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Seincluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, conindicación de la jefatura, responsabilidad y puesto de trabajo que ostente.· Definición de objetivos y alcance de la auditoría.· Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temasobjeto de la auditoría.· Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: Auditoria de Sistemas Prof. Zoraivett Rodriguez
  13. 13. 13 a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c) Puntos débiles y amenazas d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e) Redacción posterior de la Carta de Introducción o Presentación.Modelo conceptual de la exposición del informe final:· El informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.· El Informe debe consolidar los hechos que se describen en el mismo. El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y deestar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, almenos los siguientes criterios:1. El hecho debe poder ser sometido a cambios.2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación.3. No deben existir alternativas viables que superen al cambio propuesto.4. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de unadebilidad que ha de ser corregida.Flujo del hecho o debilidad:1 – Hecho encontrado· Ha de ser relevante para el auditor y pera el cliente· Ha de ser exacto, y además convincente.· No deben existir hechos repetidos.2 – Consecuencias del hecho· Las consecuencias deben redactarse de modo que sean directamentededucibles del hecho.3 – Repercusión del hecho· Se redactará las influencias directas que el hecho pueda tener sobre otrosaspectos informáticos u otros ámbitos de la empresa. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  14. 14. 144 – Conclusión del hecho· No deben redactarse conclusiones más que en los casos en que laexposición haya sido muy extensa o compleja.5 – Recomendación del auditor informático· Deberá entenderse por sí sola, por simple lectura.· Deberá estar suficientemente soportada en el propio texto.· Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación.· La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personasque puedan implementarla.Fase 7: Carta de Introducción o Presentación del Informe Final La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoríarealizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta queencargo o contrato la auditoría. Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no harácopias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos:  Tendrá como máximo 4 folios  Incluirá fecha, naturaleza, objetivos y alcance  Cuantificará la importancia de las áreas analizadas.  Proporcionará una conclusión general, concretando las áreas de gran debilidad.  Presentará las debilidades en orden de importancia y gravedad. En la carta de Introducción no se escribirán nunca recomendaciones.Herramientas y Técnicas para la Auditoría InformáticaCuestionarios Las auditorías informáticas se materializan recabando información y documentación de todo tipo.Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones dedebilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr todala información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechosdemostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionariospreimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que seaobligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes ymuy específicos para cada situación, y muy cuidados en su fondo y su forma. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  15. 15. 15 Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determinea su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos deinformación es una de las bases fundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otromedios la información que aquellos preimpresos hubieran proporcionado.Entrevistas El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto desometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano ybusca unas finalidades concretas. La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recogemás información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o porlas respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basafundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interrogaa sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistemapreviamente establecido, consistente en que bajo la forma de una conversación correcta y lo menostensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas,también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparaciónmuy elaborada y sistematizada, y que es diferente para cada caso particular.Checklist El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en funciónde los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitalespara el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someteral auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditorconversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemáticade sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de los Checklists, ya que consideran que leerle una pila depreguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no esusar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamientointerno de información a fin de obtener respuestas coherentes que permitan una correcta descripción depuntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han deformularse flexiblemente. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  16. 16. 16 El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklistsdeben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posicionesmuy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión,percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de laspreguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que elauditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentesy clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresasexternas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utilizaadecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases deautoridad, prestigio y ética. El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Sedeberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se apartensustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que expongacon mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presiónsobre el mismo. Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto,bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas,en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad lospuntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntascomplementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. Elentrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomarálas notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios ensu presencia. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificacióno evaluación:a. Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo) Ejemplo de Checklist de rango: Se supone que se está realizando una auditoría sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Computos. Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes significados: Auditoria de Sistemas Prof. Zoraivett Rodriguez
  17. 17. 17 1 : Muy deficiente 2 : Deficiente 3 : Mejorable 4 : Aceptable 5 : Correcto Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan clasificadas previamente. Basta con que el auditor lleve un pequeño guión. La cumplimentación del Checklist no debe realizarse en presencia del auditado. ¿Existe personal específico de vigilancia externa al edificio? -No, solamente un guardia por la noche que atiende además otra instalación adyacente. <Puntuación: 1> Para la vigilancia interna del edificio, ¿Hay al menos un vigilante por turno en los aledaños del Centro de Computos? -Si, pero sube a las otras 4 plantas cuando se le necesita. <Puntuación: 2> ¿Hay salida de emergencia además de la habilitada para la entrada y salida de máquinas? -Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan. <Puntuación: 2> El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de Computadoras? -No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas que por causa muy justificada, y avisando casi siempre al Jefe de Explotación. <Puntuación: 4> El resultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Deficiente.b. Checklist Binario Es el constituido por preguntas con respuesta única y excluyente: Si o No. Aritméticamente,equivalen a 1(uno) o 0(cero), respectivamente.Ejemplo de Checklist Binario: Se supone que se está realizando una Revisión de los métodos de pruebas de programas en elámbito de Desarrollo de Proyectos. ¿Existe Normativa de que el usuario final compruebe los resultados finales de los programas?<Puntuación: 1> ¿Conoce el personal de Desarrollo la existencia de la anterior normativa?<Puntuación: 1> Auditoria de Sistemas Prof. Zoraivett Rodriguez
  18. 18. 18 ¿Se aplica dicha norma en todos los casos? <Puntuación: 0> ¿Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Basesde Datos reales? <Puntuación: 0> Obsérvese como en este caso están contestadas las siguientes preguntas: ¿Se conoce la norma anterior? <Puntuación: 0> ¿Se aplica en todos los casos? <Puntuación: 0> Los Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criteriosuniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en elchecklist binario. Sin embargo, la bondad del método depende excesivamente de la formación ycompetencia del equipo auditor. Los Checklists Binarios siguen una elaboración inicial mucho más ardua y compleja. Deben ser degran precisión, como corresponde a la suma precisión de la respuesta. Una vez construidos, tienen laventaja de exigir menos uniformidad del equipo auditor y el inconveniente genérico del <si o no> frentea la mayor riqueza del intervalo. No existen Checklists estándar para todas y cada una de las instalaciones informáticas a auditar.Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacióncorrespondientes en las preguntas a realizar.Trazas y/o Huellas Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas comode usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productosSoftware muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen losdatos a través del programa. Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones dedatos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramientaauditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas másadecuadas para su empleo. Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos quecomprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de lasLibrerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalomarcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el número deiniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos opermisivos en la asignación de unidades de servicio para según cuales tipos carga. Estas actuaciones, enprincipio útiles, pueden resultar contraproducentes si se traspasan los límites. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  19. 19. 19 No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripción de la auditoríainformática de Sistemas: el auditor informático emplea preferentemente la amplia información queproporciona el propio Sistema: Así, los ficheros de “Accounting” o de “contabilidad”, en donde seencuentra la producción completa de aquél, y los “Log” de dicho Sistema, en donde se recogen lasmodificaciones de datos y se pormenoriza la actividad general. Del mismo modo, el Sistema genera automáticamente exacta información sobre el tratamiento deerrores de maquina central, periféricos, etc. La auditoría financiero-contable convencional emplea trazas con mucha frecuencia. Son programasencaminados a verificar lo correcto de los cálculos de nóminas, primas, etc.Software de Interrogación Hasta hace ya algunos años se han utilizado productos software llamados genéricamente “paquetesde auditoría”, capaces de generar programas para auditores escasamente cualificados desde el punto devista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos quepermitieran la obtención de consecuencias e hipótesis de la situación real de una instalación. En la actualidad, los productos Software especiales para la auditoría informática se orientanprincipalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresaauditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internosdisponen del software nativo propio de la instalación. Del mismo modo, la proliferación de las redes locales y de la filosofía "Cliente-Servidor", han llevadoa las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales ymainframe, de modo que el auditor informático copia en su propia PC la información más relevante parasu trabajo. Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e información parcialgenerada por la organización informática de la Compañía. Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados poreste, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente,dependiendo del alcance de la auditoría) a recabar información de los mencionados usuarios finales, locual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opinionesmás autorizadas indican que el trabajo de campo del auditor informático debe realizarse principalmentecon los productos del cliente. Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmentedeterminadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo deProcesadores de Texto, paquetes de Gráficos, Hojas de Cálculo, etc. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  20. 20. 20Clasificación por Áreas de Aplicación de la Auditoria InformáticaPLANIFICACIÓN: Donde se pasa revista a las distintas fases de la planificación.ORGANIZACIÓN Y ADMINISTRACIÓN: en este punto se examinaran aspectos como las relaciones con losusuarios, con los proveedores, asignación de recursos, procedimientos, etc.DESARROLLO DE SISTEMAS: área importante donde la auditoría deberá velar por la adecuación de lainformática a las necesidades reales de la Empresa.EXPLOTACIÓN: aquí se analizarán los procedimientos de operación y explotación en el centro de procesode datos.ENTORNO DE HARDWARE: donde se vigilará entre otras cosas los locales, el software de acceso, alarmas,sistemas anti-incendios, protección de los sistemas, fiabilidad del Hardware, etc.ENTORNO DEL SOFTWARE: en esta área la Auditoria Informática analizará los sistemas de prevención ydetección de fraudes, los exámenes a aplicaciones concretas, los controles a establecer, en definitiva,todo lo relacionado con la fiabilidad, integridad y seguridad del software. Planificación Objetivos - Determinar que planes del proceso de datos están coordinados con los planes generales de la organización. - Revisar planes de informática y determinar su idoneidad. - Contrastar el plan con su realización - Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación. - Participar incluso en el proceso de la planificación - Revisar los planes de desarrollo de software de aplicaciones. El auditor informático centrará especialmente su atención en: a) El sistema de información b) La planificación del desarrollo c) La planificación de proyectos d) La definición y distribución de la cartera de aplicaciones. Riesgos de una planificación inadecuada - Información redundante - Difícil coordinación de equipos de trabajo - Desarrollo de aplicaciones inconexas. Organización y Administración Establece una serie de revisiones y comparaciones tendientes a emitir un juicio sobre la administración y organización del departamento de procesamiento. Objetivos - Revisión del organigrama y dependencias funcionales - Verificar estándares de documentación - Revisar la política de personal. - Evaluar distribución de funciones - Análisis de la departamentalización utilizada Auditoria de Sistemas Prof. Zoraivett Rodriguez
  21. 21. 21La información nos servirá para determinar:  Si las responsabilidades de la organización definidas adecuadamente  Si la estructura organizacional esta adecuada a las necesidades  Control organizacional adecuado  Existencia de objetivos y políticas adecuadas  Documentación de las actividades  Análisis y descripción de puestos  Si los planes de trabajo concuerdan con los objetivos de la empresa.Un caso particular de la Auditoria de la organización y administración es la auditoria delos Procedimientos.Auditoria de los procedimientosEstá orientada a asegurar que existe suficiente protección: control interno, separaciónde funciones, seguridad y fiabilidad del sistema, continuidad y seguridad en losprocedimientos en las distintas áreas: Área de control o Producción  Comprobar la calidad de los trabajos entregados.  Establecer separación de funciones  Mantener registro de la recolección de datos de control  Mantener verificación total e independiente de las actividades mecanizadas, comprobar la exactitud del proceso.  Existencia de manuales actualizados que especifican los procedimientos de control. Área de ingreso de datos (ingreso de información Online)  Registro adecuado de trabajos, fallos, problemas y acciones que se adopten frente a los errores.  Control eficaz de los procedimientos y manutención de la integridad de los trabajos.  Procedimientos de verificación independientes de la preparación inicial de los datos. Cintoteca  Adecuado lugar de almacenamiento  Existencia de medidas de protección de archivos a largo plazo.  Registro actualizado, completo y oportuno de los movimientos de archivos.  Cumplimiento de normas y procedimientos  Procedimientos para una manipulación adecuada, almacenamiento seguro y uso automatizado de soportes magnéticos. Implementaciones  Registro de streams (jobs)  Existencia de jobs para reprocesos y recuperación de sistemas.  Existencia de estándares, instrucciones y manuales adecuados que gobiernen la preparación de los jobs. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  22. 22. 22Mantenimiento de programas  Existencia de una metodología de control de cambios. Incluye los métodos para solicitar y autorizar modificaciones.  Existencia de registro de las modificaciones.Seguridad de los programas y bibliotecas de programas.  Que el contenido de las bibliotecas de programas esté respaldado por eficientes normas de seguridad.  Documentación adecuada.  Programas en desarrollo separado de los productivos.Carga de maquina  Existencia de estándares, procedimientos, instrucciones y manuales adecuados que cubran todas las posibilidades de procesos que se puedan suscitar.  Observar procedimientos  Mantener registros adecuados  Trabajos debidamente autorizados.Planificación  Análisis de la planificación de las tareas  Existencia de estándares, procedimientos e instrucciones relativas a la planificación del los trabajos.Operadores del computador  Existencia de estándares operativos adecuados (generales y específicos) de cada sistema de aplicación. Deberán establecerse procedimientos y métodos de operación seguros.  Estándares documentados y a disposición del operador  Cubrir las medidas de operación, los casos de contingencia  Observar si la jefatura realiza inspecciones periódicas controlando procedimientos de autorización, trabajos realizados vs planificados, cumplimiento de normas, etc.  Verificar que el operador no pueda modificar datos de entrada.Dirección de proyectos.  Verificar si el líder de proyecto controla eficazmente las normas de desarrollo, diseño, programación, documentación, pruebas e implantación de los sistemas.  Verificar si se ha establecido un grupo de gestión a nivel de diseño.  Verificar si el personal de desarrollo no tiene acceso a datos operativos.  Documentación adecuada de todos los trabajos.Programador  Existencia de supervisión eficaz, con control sobre la calidad de los trabajos (cumplimiento de normas de programación)  Prueba de los sistemas, documentadas y sin datos reales.  Existencia de programas en librerías de desarrollo y su envío a producción cuenta con la autorización necesaria.  Trabajos de mantenimiento controlados y debidamente documentados y autorizados. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  23. 23. 23 Sección de despacho  Existencia de estándares y procedimientos adecuados para el despacho de trabajos y su prioridad.  Existencia de procedimientos para manejar información confidencial.  Existencia de registro de errores y problemas  Existencia de impresos controlados en manos de personas no autorizadas o manipuladas incorrectamente.  Existencia de métodos de destrucción de impresos caducados y asegurarse de que no se corren riesgos innecesarios. Biblioteca de documentación (sí existiera)  Responsabilidad de las personas para que las modificaciones de software o sistemas sean depositadas (sus copias) en la biblioteca.  Existencia de encargados de mantener registro, seguridad de documentos, actualización de copias y autorización la salida de documentos. Equipo de backup  Determinar los distintos niveles de fallos del sistema y equipos asociados. Deberán establecerse las necesidades mínimas del usuario para cada nivel y duración de la avería.  Existencia de un análisis de riesgos, posibles perdidas o efectos, disponiendo de la cobertura de seguros. Seguridad de archivos y datos.  Existencia de estándares y procedimientos para el almacenamiento y protección de los datos.  Existencia de condiciones y tiempos de retención de documentos y archivos de las aplicaciones. Control de teleproceso  Examinar el registro de control de teleproceso  Probar la seguridad del sistema y procesos de teleproceso.  Inspeccionar algunos procesos de entrada y analizar la eficacia del control. Desarrollo de Sistemas El auditor deberá conocer en detalle las distintas etapas en la formulación de los sistemas y las metodologías más usuales en la construcción de los mismos.Se debe hacer auditoria cada vez que se realice una aplicación nueva o una modificación importante. El objetivo es que la calidad de las estructuras y procedimientos del sistema sea tan buena como sea posible. Objetivos y puntos a verificar  Examinar metodología de construcción en uso.  Revisar la definición de los objetivos del sistema, analizar si cumple con las necesidades de los usuarios.  Revisar el control y planificación del proyecto.  Verificar que el control de datos sea adecuado.  Verificar el control de formularios. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  24. 24. 24  Controlar si los manuales son suficientes (en cantidad de información).  Existencia de una adecuada separación de funciones entre las áreas administrativas y las mecanizadas.  Asegurar la fiabilidad y continuidad del sistema  Verificar los medios dispuestos para el desarrollo del sistema  Analizar los medios de seguridad con que se va a dotar al sistema.  Analizar las insuficiencias detectadas y su impacto en los procedimientos futuros. Se deberá asegurar en el desarrollo del sistema: seguridad, precisión y eficacia.Momento para efectuar la auditoria de desarrollo. a) Cuando esta realizándose el desarrollo: las modificaciones sugeridas pueden incorporarse al sistema en forma oportuna y económica. b) Antes del desarrollo: las recomendaciones del auditor se resumen a pautas teóricas y los esquemas de diseño iniciales pueden variar durante el desarrollo, con lo cual realizar una auditoria en este momento, seria una perdida de tiempo. c) Después de implementar, su único objetivo seria poder medir la efectividad del sistema.Distintos tipos de Auditoria Durante el Desarrollo Auditoria del comienzo del desarrollo del sistema En esta etapa se deberá tomar contacto con las propuestas nuevas, analizar los elementos de gestión y de control, tomar contacto con los estándares de procedimientos, control de proyecto y de documentación. Auditoria de la propuesta de mecanización La propuesta de mecanización define las pautas del nuevo sistema y una vez aceptada se emprendería el trabajo de diseño y programación. La auditoria debería asegurarse de que son adecuados los principios básicos de diseño, en todo lo relacionado a control y verificación interna. Auditoria de la propuesta detallada. Aquí se brinda detalle sobre las variaciones y particularidades del esquema general de actividad y contempla los procedimientos mecanizados y los administrativos (diagramas, diseños, registros, etc.). Se verifica las propuestas de implementación y la calidad de las comprobaciones internas, la separación de las funciones y fiabilidad del control. Ahora deben solucionarse los puntos débiles o tenerse en cuenta para planificar futuras auditorias. Las especificaciones planteadas tratarán sobre la entrada, procesos, salida de archivos y su control, y las instrucciones operativas. La auditoria verificará los procedimientos para asegurar:  Evidencia que deja el sistema es suficiente para rastrear errores y corregirlos.  Procedimientos de salida llevan incorporados sistemas correctos de validación y detección de errores. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  25. 25. 25  El diseño de datos de salida puede adaptarse a las modificaciones que vayan surgiendo.  Documentación de todos los archivos magnéticos obedece a los estándares adecuados.  Si todos los archivos están sometidos a controles.  Si la ejecución de los procesos contiene una validación suficiente.  Proteger al sistema contra usos no autorizados.  Si se ha planificado adecuadamente todas las etapas de desarrollo, con tiempo, recursos y costos, previendo los puntos de control.  Previsión de una capacitación adecuada.  Prever emergencias e interrupciones del proceso al igual que la rutina normal de trabajo.Auditoria de los programas y pruebas.Se realizan comprobaciones en el trabajo real de programación: Procedimientos de gestión adecuados para controlar programas y pruebas.  Controlar y verificar las pruebas de programas  Registración adecuada de modificaciones  Que los programas en desarrollo se mantengan separados de los operativos.Auditoria del aprovisionamiento del sistema y planificación de la implantación.Es importante asignar suficiente tiempo a la adquisición de equipos y materialpara el nuevo sistema y a especificarlo minuciosamente. El equipo de auditoriadeberá asegurarse de que se preparen unas especificaciones adecuadasindicando la calidad, nivel, capacidad, posibilidades y plazo de entrega.Los analistas deberán trazar un plan de desarrollo e implantación del sistema,dividiendo en etapas, indicando los tiempos y recursos necesarios.La auditoria verificará que este plan sirva para gestionar y gobernar las tareas ytendrá en cuenta los tiempos para adaptar su auditoria al ritmo del proyecto.Auditoria de la documentación y manuales de usuario y operación del sistema.Cuando el sistema quede operativo deberá preparar una documentacióncompleta de todos sus aspectos. El auditor asegurará que están todos losdocumentos que corresponden, completos y actualizados.La auditoria deberá verificar si los manuales describen procedimientos deemergencia y respaldo, así como la rutina normal de trabajo. También deberáexistir un buen sistema de actualización de manuales.Auditoria de la conversión de archivos. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  26. 26. 26Cuando se desarrollan sistemas nuevos suele hacer falta preparar archivosmagnéticos y convertir todos los datos que se tengan al formato del nuevomedio.La auditoria se preocupará que la conversión de los archivos permita que elsistema arranque con datos exactos y verificará que:  La conversión de archivos se ha planificado totalmente  Programas utilizados para la conversión de archivos han sido probados suficientemente.  Utiliza un sistema de información adecuado que identifique claramente los errores.Auditoria de las pruebas del sistema.Cuando los programadores enlazan sus programas para formar una secuencia,ésta ha de probarse en su conjunto para garantizar que cumplen su cometido. Laauditoria deberá verificar, si la preparación de los datos de prueba deberá llevarconsigo:  Recopilación de un conjunto de datos que refleje todas las variantes de los valores y errores que puedan surgir.  Preparación de una planificación de los resultados que ha de producir el sistema cuando ejecute los datos de prueba. Una vez verificada la preparación de los datos de prueba, el auditor sepreocupará de la calidad de la verificación de los resultados, la oportunidad delas pruebas y que las mismas no han provocado corrupciones en las rutinas y/oarchivos.Auditoria de la implantación.Se puede tener un sistema paralelo, en donde esta fase es una ampliación de laspruebas del sistema. Si se hace directamente, el sistema arrancainmediatamente.Se estudiará el sistema de control para corroborar que los empleados lo utilizanbien desde el principio y evaluar la calidad de dicho sistema.Auditoria de la continuidad del sistemaLos sistemas importantes deben ser capaces de funcionar en todo momento. Lasaverías de los equipos, errores en archivos, falta de energía y otros recursos nodeberían interrumpir las actividades esenciales.La auditoria debería asegurarse que:  Se mantienen copias de seguridad de datos, archivos e instrucciones a un nivel de permita su recuperación dentro de un plazo preestablecido.  Existencia de medidas alternativas para utilizar equipos auxiliar (durante las caídas) Auditoria de Sistemas Prof. Zoraivett Rodriguez
  27. 27. 27  Que el retorno al trabajo normal se haga con facilidad y que los controles enlacen al sistema sin problemas para verificar si la reactivación ha sido correcta.Explotación Objetivos Evaluar la eficiencia y eficacia de operación del área de producción. Comprende la evaluación de los equipos de computación, procedimientos de entradas de datos, controles, archivos, seguridad y obtención de la información. El campo de acción de este tipo de auditoría sería: a) Evaluación administrativa del área de producción Metas, políticas, planes y procedimientos de procesos electrónicos estándares. Organización del área y estructura orgánica. Integración de los recursos materiales y técnicos Controles administrativos del área. b) Evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de los equipos. c) Evaluación del proceso de datos y de los equipos de procesamiento. Se deben verificar los siguientes puntos: Estructura del servicio Control de operaciones Documentación de los procedimientos Modificación de programas Control de almacenamiento de soportes. Plan de mantenimiento preventivo Personal de producción Control de la utilización del ordenadorEntorno del Hardware Objetivo - Determinación de la performance del hardware - Revisar la utilización del hardware - Examinar los estudios de adquisición del hardware - Comprobar condiciones ambientales y de seguridad del hardware - Verificar los controles de acceso y seguridad física - Revisar inventario del hardware - Verificar los procedimientos de la seguridad física Auditoria de Sistemas Prof. Zoraivett Rodriguez
  28. 28. 28 - Comprobar los procedimientos de prevención, detección y/o corrección ante desastres. - Revisar plan de contingencias. - Examinar las seguridades y debilidades de los componentes físicos del equipo, de las comunicaciones, etc. y de las instalaciones donde se ubica el centro de cómputos.Seguridad física del local  Riesgos naturales (inundaciones, descargas eléctricas, etc.)  Riesgos de vecindad derivadas de construcciones cerca del centro de cómputos (incendios, vibraciones, etc.)  Riesgos del propio edificio (almacenamiento de material combustible, polvo, etc.)  Suministro de energía (generador de energía, UPS, etc.)  Acondicionador de aire  Armarios ignífugos.Control de acceso y seguridad física Controlar el acceso a los recursos para protegerlos de cualquier uso no autorizado, daño, perdida o modificaciones.Planes de desastre. En caso de interrupciones inesperadas deben existir planes adecuados para el respaldo de recursos críticos del centro de cómputos y para el reestablecimiento de los servicios de sistemas de información. Tipos de desastres - Destrucción total - Destrucción parcial de los recursos centralizados de procesamiento de datos. - Destrucción o mal funcionamiento de los recursos ambientales destinados al procesamiento (energía, etc.) - Destrucción total o parcial de los recursos descentralizados de procesamiento de datos. - Destrucción total o parcial de los procedimientos manuales del usuario. - Perdida del personal clave para el procesamiento. - Huelga (interrupción) - Acciones malintencionadas - Pérdida total o parcial de la información, manuales o documentación. Alcance de la planeación contra desastres. La planeación debe abarcar tanto las aplicaciones en proceso de desarrollo como las operativas. Los recursos que deben estar disponibles para la recuperación son: - Documentación de los sistemas, la programación y los procedimientos operativos. - Recursos operativos: equipos, datos, archivos, programas, etc. a) Aplicaciones en proceso de desarrollo Auditoria de Sistemas Prof. Zoraivett Rodriguez
  29. 29. 29 Un desastre puede ocurrir en alguna fase avanzada del desarrollo de una aplicación vital y será necesario tomar medidas para garantizar que no se retrase o pierda la inversión. b) Aplicaciones terminadas 1. Sistemas y programación Mantener copias actualizadas de programas, documentación, jobs, procedimientos operativos. 2. Operaciones de procesamiento Comprender el sistema completo. La planeación debe incluir las actividades y los procedimientos del usuario, los recursos de transmisión y redes, el procesamiento centralizado y la redistribución de los resultados.Procedimientos en casos de desastresExistencia de procedimientos formales (por escrito), en donde se haga referenciadetalladamente los diversos tipos de desastres. Se debe especificar: - Responsabilidades en caso de desastres - Acción inmediata a seguirEstos planes deben ser los más detallados posibles. Todo el personal requiereadiestramiento regular en el plan contra desastres. El plan de emergencia, unavez aprobado, se distribuye entre el personal responsable de su operación(información confidencial o de acceso restringido).El plan en caso de desastre debe incluir: - Políticas de la dirección - Objetivos - Responsabilidades - Equipo humano - Inventario de hardware y software de la instalación - Estrategias de contingencias - Metodología a utilizar (prioridades) - Matriz de riesgos/ acciones preventivas /acciones alternativas - Mantenimientos y pruebas del plan - Normas de divulgación y distribución del plan.El auditor deberá verificar que:  Existe una fase de prevención de emergencias separadas de las fases de respaldo y restauración.  Figura responsable de la supervisión de la emergencia.  Existencia de conjunto de normas de emergencias.  Procedimientos sistemáticos de clasificación de emergencias.Una vez que todos los riesgos han sido clasificados se está en condiciones de fijarlos procedimientos que aseguraran la continuidad del funcionamiento delnegocio. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  30. 30. 30 Seguros contra desastres. A pesar que existan medidas para reducir el riesgo de interrupciones de las actividades y un plan de emergencia adecuado, en caso de ocurrir un siniestro, los gastos resultarán muy oneroso. El seguro es una forma de transferir el riesgo de que se produzca un acontecimiento muy costoso. Tipos de seguros:  Todo riesgo  Daños determinados  Seguro contra averías  Seguro de fidelidad  Seguro contra interrupción del negocio; cubre las perdidas que sufrirían la empresa en el caso que las actividades informáticas se interrumpiesen. Plan de desastre, respaldo y recuperación. Lineamientos de control que cubren los elementos de respaldo y recuperación. 1. Plan de recuperación en caso de siniestro: debe existir un plan documentación de respaldo para el procesamiento de trabajos críticos. 2. Procedimientos de urgencia y capacitación del personal: deben garantizar la seguridad del personal. 3. Aplicaciones criticas: el plan de respaldo debe contener una prioridad preestablecida para el procesamiento de las aplicaciones. 4. Recursos críticos: deben estar identificados en el plan de respaldo la producción critica, el sistema operativos y los archivos necesarios para la recuperación 5. Servicios de comunicación 6. Equipo de comunicación 7. Equipo de respaldo 8. Programación de operaciones de respaldo 9. Procedimientos de respaldo de archivos 10. Suministro de respaldo: considerar una fuente de abastecimiento para la recuperación de materiales especiales. 11. Pruebas de plan de respaldo 12. Reconstrucción del centro de sistemas de información 13. Procedimientos manuales de respaldo.Entorno del Software Objetivos - Revisar la seguridad lógica de los datos y programas - Revisar la seguridad lógica de las librerías de los programadores - Examinar los controles sobre los datos - Revisar procedimientos de entrada / salida - Verificar las previsiones y procedimientos de backup - Revisar los procedimientos de planificación, adecuación y mantenimiento del software del sistema. - Revisar documentación del software del sistema. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  31. 31. 31 - Revisar documentación del software de base. - Revisar controles sobre paquetes externos(sw) - Supervisar el uso de herramientas peligrosas al servicio del usuario. - Comprobar la seguridad e integridad de la base de datos.Software del sistema (software de base) - Control de modificaciones al sistema operativo - Evitar cambios no autorizados y el uso incontrolable de herramientas potentes - Revisión de los procedimientos de obtención de backup. - Metodología de selección de paquetes de software - Evaluación de herramientas de desarrollo de sistemas y software de gestión de la base de datos.Software de la base de datos. - Verificación de la integridad de la base de datos - Establecer estándares de documentación - Limitar las acciones del DBA - Existencia de backup - Uso de utilitarios y modificaciones de los métodos de acceso. Riesgos en una base de datos: 1. Inexactitud de los datos 2. Inadecuada asignación de responsabilidades 3. Acceso no autorizado a datos 4. Documentación no actualizada 5. Adecuación de las pistas de auditoria.Sistemas de procesamiento distribuido y redes - Debe proveer abastecimiento de información sobre una base descentralizada. - Planes de implantación, conversiones y pruebas de aceptación adecuadas de la red. - Estándares y políticas para el control de la red. - Facilidades de control del hardware y el software - Compatibilidad, la integridad y el uso de datos. - Control de acceso a datos - Software de comunicación y sistema operativo de red – control de rendimiento de la red.Sistemas basados en microcomputadoras - Criterio de adquisición / políticas de la gerencia - Software aplicativo, de desarrollo y sistema operativo. - Documentación de programas - Procedimientos para la creación y mantenimiento de archivos. - Seguridad física - Compartir recursos / autorizaciónSistemas OnlineEl usuario tiene acceso directo al sistema y lo controla de algún modo a través determinales del software disponible.Problemas de auditoría: 1. Sistemas de consultas Auditoria de Sistemas Prof. Zoraivett Rodriguez
  32. 32. 322. Entrada de datos Online (validaciones)3. Actualización de datos Online (actualización de archivos maestros)4. Remote Job Entry (un punto remoto actúa con control total del ordenador central)5. Programación Online (permite a los programadores trabajar desde puntos remotos del equipo central) Análisis del acceso Online Ningún usuario puede acceder a datos que no debería o realizar procesos no permitidos. - Verificar que las passwords de los usuarios posean cambios periódicos - Perfiles de usuarios (acceso limitado a archivos) - Bloqueo de terminales (time out o intentos de acceso) - Logueo de actividades del usuario - Encriptación de datos. Análisis de las consultas Online Verificar que el usuario no pueda modificar datos de los archivos. - Control de acceso al sistema - Uso de la información obtenida. - Tiempo de respuesta. Análisis de la introducción de datos Online La mayoría de los problemas son de control, validación y corrección de los mismos. - Control de acceso al sistema - Existencia de procedimientos previos a la entrada de datos, tratamiento de documentación, autorización adecuada. - Sistema de control que permita verificar la totalidad de los datos de entrada. - Controles que protejan contra omisiones o duplicaciones de datos. - Calidad de la validación - Existencia de registros de las correcciones efectuadas en caso de fallo del sistema: - Métodos que determinen que transacciones se ha perdido - Procedimientos Batch de reemplazo. - Procedimientos para comprobar el estado del sistema (luego del reinicio) Análisis de la actualización online - Control de acceso al sistema - Establecer puntos de control en la entrada - Mantener logs de actualizaciones - Realizar validaciones sobre los registros actualizados - Autoridad necesaria para la actualización del usuario. - Proveer oportunamente la corrección de errores y su impacto. - Mantener una relación de los archivos maestros que se hayan modificado, indicando el movimiento antes y después de la modificación. Auditoria de Sistemas Prof. Zoraivett Rodriguez
  33. 33. 33 Análisis de la seguridad Online Debido a que no es probable que las operaciones online puedan transferirse a otra maquina - Disponibilidad de equipos alternativos para cubrir necesidades mínimas. - Existencia de planes de emergencia, documentados y practicados. - Seguridad de archivos, backup, etc. - Medidas de seguridad contra accesos no autorizados. Análisis de la entrada de remote Job entry El control de los programas y archivos será responsabilidad del sistema central y deberá verificarse los niveles de autorización del usuario. Análisis de la programación Online. Se deberá comprobar que: - Acceso de programadores autorizados - Registro del uso del sistema con emisión de informes periódicos - Trabajos de programación autorizados y controlados. Análisis del desarrollo de aplicaciones Online - Asegurar rutinas de validación - Existencia de ayudas en las terminales - Procedimientos de corrección y modificación Online - Control de acceso simultanea a registros - Estándares organizativos operativos.Metodología CRMR CRMR son las siglas de “Computer resource management review”, su traducción más adecuada,Evaluación de la gestión de recursos informáticos. En cualquier caso, esta terminología quiere destacar laposibilidad de realizar una evaluación de eficiencia de utilización de los recursos por medio delmanagement. Una revisión de esta naturaleza no tiene en sí misma el grado de profundidad de una auditoríainformática global, pero proporciona soluciones más rápidas a problemas concretos y notorios.Supuestos de aplicación En función de la definición dada, la metodología abreviada CRMR es aplicable más a deficienciasorganizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de un Centrode Procesos de Datos. El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:  Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.  Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios en el momento oportuno Auditoria de Sistemas Prof. Zoraivett Rodriguez
  34. 34. 34  Se genera con alguna frecuencia información errónea por fallos de datos o proceso.  Existen sobrecargas frecuentes de capacidad de proceso.  Existen costes excesivos de proceso en el Centro de Proceso de Datos. Efectivamente, son éstas y no otras las situaciones que el auditor informático encuentra con mayorfrecuencia. Aunque pueden existir factores técnicos que causen las debilidades descritas, hay queconvenir en la mayor incidencia de fallos de gestión.Areas de Aplicación Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a las condicionesde aplicación señaladas en punto anterior:· Gestión de Datos· Control de Operaciones· Control y utilización de recursos materiales y humanos· Interfaces y relaciones con usuarios· Planificación· Organización y administración Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisición de nuevos equipos(Capacity Planning) o para revisar muy a fondo los caminos críticos o las holguras de un Proyectocomplejo.Objetivos CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de losprocedimientos y métodos de gestión que se observan en un Centro de Proceso de Datos. LasRecomendaciones que se emitan como resultado de la aplicación del CRMR, tendrán como finalidadalgunas de las que se relacionan:· Identificar y fijar responsabilidades· Mejorar la flexibilidad de realización de actividades· Aumentar la productividad· Disminuir costes· Mejorar los métodos y procedimientos de DirecciónAlcance Se fijarán los límites que abarcará el CRMR, antes de comenzar el trabajo. Se establecen tres clases: Auditoria de Sistemas Prof. Zoraivett Rodriguez
  35. 35. 35 1. Reducido. El resultado consiste en señalar las áreas de actuación con potencialidad inmediata de obtención de beneficios. 2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como se hace en la auditoría informática ordinaria. 3. Amplio. El CRMR incluye Planes de Acción, aportando técnicas de implementación de las Recomendaciones, a la par que desarrolla las conclusiones.Información necesaria para la evaluación del CRMRSe determinan en este punto los requisitos necesarios para que esta simbiosis de auditoría y consultoríapueda llevarse a cabo con éxito. 1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructura del Centro de Proceso de Datos del cliente, y con los recursos de éste. 2. Se deberá cumplir un detallado programa de trabajo por tareas. 3. El auditor-consultor recabará determinada información necesaria del cliente.Se tratan a continuación los tres requisitos expuestos: 1. Integración del auditor en el Centro de Procesos de Datos a revisar No debe olvidarse que se están evaluando actividades desde el punto de vista gerencial. El contacto permanente del auditor con el trabajo ordinario del Centro de Proceso de Datos permite a aquél determinar el tipo de esquema organizativo que se sigue. 2. Programa de trabajo clasificado por tareas Todo trabajo habrá de ser descompuesto en tareas. Cada una de ellas se someterá a la siguiente sistemática: · Identificación de la tarea · Descripción de la tarea · Descripción de la función de dirección cuando la tarea se realiza incorrectamente. · Descripción de ventajas, sugerencias y beneficios que puede originar un cambio o modificación de tarea · Test para la evaluación de la práctica directiva en relación con la tarea · Posibilidades de agrupación de tareas Auditoria de Sistemas Prof. Zoraivett Rodriguez

×