Вы находитесь на странице: 1из 7

UNIVERSIDAD AUTONOMA DE QUITO UNAQ

AUDITORIA INFORMATICA
PROFESOR : Ing. Fernando Andrade ALUMNO FECHA CURSO : Jess Cisneros Valle : Quito, 23 de Octubre del 2012 : 10ASM

RESPONDER LAS CUESTIONES DE REPASO DE LOS CAPITULOS 19 y 20 DEL LIBRO AUDITORIA INFORMATICA Un enfoque prctico.

CAPITULO 19
AUDITORIA DE APLICACIONES Cuestiones de Repaso: 1. Qu fines persigue una Aplicacin Informtica? Registrar fielmente la informacin considerada de inters en torno a las operaciones llevadas a cabo por una determinada organizacin: magnitudes fsicas o econmicas, fechas, descripciones, atributos o caractersticas, identificacin de las personas fsicas o jurdicas que intervienen o guardan relacin con cada operacin, nombres, direcciones, etc. Permitir la realizacin de cuantos procesos de clculo y edicin sean necesarios a partir de la informacin registrada, pudiendo, por tanto almacenar automticamente ms informacin que la de partida, aunque basada en aquella. Generar informes que sirvan de ayuda para cualquier finalidad de inters en la organizacin, prestando la informacin adecuada: se aplica segn convengacriterios de seleccin, ordenacin, recuento y totalizacin por agrupamientos, clculos de todo tipo, desde estadsticos comunes (media, desviacin tpica, valores mnimo, mximo, primero y ltimo, etc.) hasta los ms sofisticados algoritmos. 2. Enumere las principales amenazas que pueden impedir a las aplicaciones informticas cumplir sus objetivos. Pese a todas las previsiones o al rigor en la creacin de la aplicacin ni la profesionalidad en el uso de la misma pueden ser garantizados. 1. El cansancio o el estrs puede incurrir en fallas del uso de la aplicacin por parte humana.

UNIVERSIDAD AUTONOMA DE QUITO UNAQ


2. Posibilidad de fallo en cualquier de los elementos que intervienen en el proceso informtico: software mltiple perteneciente a diferentes firmas, computador central y dispositivos perifricos, transmisin de datos (servidores, mdems, lneas de comunicaciones, etc.) constituyen otra fuente de posibles riesgos. 3. La conexin cada vez ms generalizada de las empresas a entornos abiertos como la internet multiplican los riesgos que amenazan la confidencialidad de integridad de la informacin de los sistemas. Y en este caso el nmero de interesados en descubrir debilidades que le abra las puertas para enredar y manipular la informacin a la que sean capaces de acceder no tiene lmites. 3. Que es una Pista de Auditora? El registro de informacin especfica son las pistas de auditora, facilitan la futura auditabilidad del proceso del proceso respecto de los riesgos. Las pistas de auditora facilitan las futuras auditorias informticas de la aplicacin. 4. Explique en qu ocasiones utilizara la tcnica de encuesta frente a la de entrevista. Utilizara una entrevista cuando: Para tener un contacto ms directo con la persona a entrevistar (dialogo directo), la entrevista sirve para obtener informacin de las personas que puedan aportar al propsito que se pretende alcanzar; la utilizara con los usuarios de la aplicacin para tener una apreciacin directa de su uso y bondades de seguridad, flexibilidad, escalabilidad. Es decir que piensan de la aplicacin. Utilizara una encuesta cuando: Desee saber o determinar el alcance y objetivos de la auditoria, saber el nivel de satisfaccin del usuario sin poner algn tipo de presin en las respuestas (La encuesta podra ser tomada sin tener el encuestado que poner su datos en ella), la usara para tener una opinin sobre los puntos especficos que trata la encuesta pues solicitara sugerencias u observaciones que me ayudaran a ampliar mi conocimiento de la aplicacin y la performance de la misma. 5. Cuando se debe llevar a cabo pruebas de conformidad? Y pruebas substantivas? Prueba de conformidad: Se lleva a cabo para comprobar determinados procedimientos, normas o controles internos, particularmente los que merecen confianza de estar adecuadamente establecidos, se cumplen o funcionan de acuerdo a lo establecido y esperado, segn lo descrito en la informacin oportuna. Es decir verificamos el funcionamiento de la aplicacin. Las evidencia encontrada debe ser puesta de manifiesto en informes de excepcin. Pruebas substantivas: Se las realiza cuando se trata de detectar o determinar la presencia o ausencia de errores o irregularidades en los procesos, actividades, transacciones o controles internos integrados en ellos. Son especialmente indicadas en situaciones en las que no hay evidencia de que existan controles internos relevantes, suficientes como garantizar

UNIVERSIDAD AUTONOMA DE QUITO UNAQ


el correcto funcionamiento del proceso o elemento considerado. Todo tipo de error o incidencia imaginable puede ser objeto de investigacin en este tipo de pruebas. 6. Valore la importancia del manual de usuario para la auditoria de aplicaciones. El manual del usuario nos permite tener una primera visin global del sistema, es un documento muy importante ya que nos permite tener una visin amplia del uso y alcance de la aplicacin. Es un soporte que permite conocer el uso de la aplicacin informtica, este documento debe ser claro, completo y estar bien estructurado para facilitar su consulta. 7. Que aspectos se debe considerar en la preparacin del plan de trabajo detallado? La planificacin de los trabajos y el tiempo a emplear Las herramientas y los mtodos El programa de trabajo detallado Test de confirmacin sobre los datos y los resultados 8. Proponga tcnicas para medir el nivel de satisfaccin del usuario con el modo de operar de las aplicaciones. Nivel de cobertura de funcionalidades implementadas respecto al total de las posibilidades y deseables en opinin de los usuarios, incluyendo en el concepto de funcionalidad la posibilidad de obtencin de informes de gestin y de indicadores de seguimiento de las actividades de la organizacin usuaria. Nivel de satisfaccin con el modo de operar las diferentes funcionalidades soportadas por la aplicacin, incluyendo los diseos de pantallas e informes de salida, mensajes y ayudas: identificacin de mejoras. Nivel de satisfaccin con la formacin recibida para el uso de la aplicacin, utilidad del manual del usuario y funcionamiento de los canales establecidos para resolver los problemas que surgen por el uso del sistema Nivel de satisfaccin con los tiempos de respuesta de la aplicacin y con la dotacin de equipos informticos y sus prestaciones. Nivel de satisfaccin con la herramienta de usuario para procesar informacin de la aplicacin en el caso de disponer de ella. 9. Como verificara el grado de fiabilidad de la informacin tratada por una aplicacin? Revisin de la eficacia de los controles manuales y programados de entrada, salida y proceso: seguimiento de varias operaciones concretas identificables a lo largo del ciclo completo del tratamiento Comprobacin de muestreo de la exactitud de la informacin almacenada en los archivos de la aplicacin con respecto a documentos originales Pruebas de validez y consistencia de datos de la aplicacin mediante proceso informtico de la BD real con herramienta de usuario. Pruebas de conciliacin de magnitudes totalizadas en la aplicacin durante varios periodos de tiempo frente a las disponibles.
3

UNIVERSIDAD AUTONOMA DE QUITO UNAQ


10. Cree conveniente que el auditor tenga autorizacin para actualizar datos de las aplicaciones que est auditando? No creo conveniente que el auditor tenga autorizacin para actualizar datos de las aplicaciones que esta auditando, pues en cierto modo se convertira en juez y parte del trabajo que esta realizando y un auditor debe tener la independencia y profesionalidad suficientes para evitar poner en duda todo su trabajo.

CAPITULO 20
AUDITORIA INFORMATICA DE EIS/DSS Y APLICACIONES DE SIMULACION Cuestiones de Repaso: 1. Definicin operativa amplia de Auditoria Informtica. Una actividad profesional de investigacin, evaluacin, dictamen y recomendaciones centrada en la informtica como actividad o fin e si misma como instrumento al servicio de otras funciones mas o menos dependientes de ella o en ambos aspectos con el fin de enjuiciar si ayudar (consultores, auditores) a que la organizacin y su funcionamiento sean conformes (control interno) con lo dispuesto (estructura polticas, procedimientos) por quien tiene el poder legitimo para disponerlo (Los propietarios, Director General, Administracin publica, Presidente, etc.) 2. Resuma la evolucin de los SID. Los SID (EIS) Sistemas Informacin a la Direccin/ SAD (DSS) Sistemas de Ayuda a la Decisin, tienen sus inicios por la dcada de los sesenta en los sistemas de Informacin Administrativa (Nominas, contabilidad), los sistemas de informacin en los setenta pero esos sistemas no entregaban al Directivo la informacin que requera o necesitaba, tambin en los setenta inicio la dcada de los MIS (Sistema de informacin de gestin) que dio buenas aportaciones tericas y prcticas y amplio en impacto en la mercadotecnia, pero su impacto en la informacin a la direccin fue limitado, por los aos ochenta empez la proliferacin de los paquetes SID con planteamientos variados muchos de los cuales no han quedado retenidos en la actualidad. 3. Principales caractersticas de los SID actuales. Interfaz grafica Consultas Formatos de presentacin Bancos de Datos Estructuras de datos Vistas mbito Deteccin de desviaciones
4

UNIVERSIDAD AUTONOMA DE QUITO UNAQ


Entorno informtico Herramientas mnimas Herramientas usuales Mtodos de desarrollo Programacin

4. Qu diferencias destacara entre un SID y un SAD? En una base de datos privada o local los SID reduce y resume la informacin y plantea el problema de los criterios y filtros de extraccin y ciclo de refresco (La tendencia es el ataque directo a la BD se usa herramientas sencillas) Los SAD usa herramientas complejas, si se aplica herramientas que rebasa las propias del SAD (Estamos en una situacin de SAD) pero usando otras herramientas otras fuentes de datos. 5. Riesgos de control general de los SID. AREA: Datos RIESGOS: Se puede acceder y manipularlos va SGBD u otras utilidades Datos en PC o laptop: entornos poco seguros Informacin sensible: informes, memorandos y mensajes Procedimientos normales de control de telecomunicaciones no son aplicables AREA: Logical (Herramienta de auditora asistida por computador) RIESGOS: La arquitectura de sistema abierto tiene ms debilidades de control Desarrollo rpido puede suponer fallos de anlisis o diseo La gestin de control de accesos es compleja La programacin del usuario final es difcil de controlar AREA: Material RIESGOS: Equipos y datos distribuidos dificultan las copias de seguridad Los planes de contingencia pueden no cubrir suficientemente a las PC AREA: Personal y procedimientos RIESGOS: Los directivos pueden resistirse en la prctica a procedimientos de seguridad y control Control sobre datos cualitativos es ms difcil de implementar Los propietarios de los datos pueda que decidan comunicarlos sin haberlos revisado suficientemente

UNIVERSIDAD AUTONOMA DE QUITO UNAQ


A efectos de AI los auditores deben tener una alta calificacin: el uso de herramientas CAAT ser difcil y encarecer la auditoria.

AREA: Entradas RIESGOS: Dependencia de fuentes muy dispersas Carencia de controles normalizados sobre fuentes externas Dificultad de controlar datos cualitativos Presin para introduccin de datos urgente, antes de su revisin Acceso no autorizado gracias a la interface fcil de usar Gestin de accesos compleja AREA: Procesos RIESGOS: Rutinas de procesos complejas En el caso de herramientas estadsticas y de simulacin, el algoritmo, sus limitaciones su aplicabilidad y su documentacin pueden ser inadecuadas o insuficientes. La modificacin continua del Logical puede prohibir controles de mantenimiento y gestin de la configuracin. Carencia de procesos estructurados de desarrollo AREA: Salidas RIESGOS: Se puede enviar salidas va e-mail a destinatarios no autorizados La exactitud de las salidas graficas es ms difcil de verificar 6. Cules son los principales medios de control de aplicacin de los SID? Liderazgo y participacin comprometida con la alta direccin son cruciales. SID puentea a los mandos medios, que sern hostiles. El directivo responsable del proyecto debe tener el nivel, el poder, el tiempo y el propsito de que el sistema se adapte a las necesidades de la organizacin y este claramente enlazado con sus objetivos de negocio. El AI debe participar desde el estudio de la vialidad El SID est destinado a la toma (asistida por SAD o no) de decisiones estratgicas. Esto muestra una situacin de altsimo riesgo para el AI. Principales factores crticos del xito: gestin de problemas de datos, gestin de resistencia organizativa, gestin de mbito y la evolucin. 7. Objetivos de control de una Auditoria informtica de las aplicaciones de simulacin. Utiliza los principales objetivos de control de CobiT 96 Evaluar riesgos
6

UNIVERSIDAD AUTONOMA DE QUITO UNAQ


Gestionar proyectos Gestionar la calidad Identificar soluciones Adquirir y mantener Logical de Aplicacin Gestin de funcionamiento y capacidad Formar y entrenar a los usuarios Gestin de Datos Gestin de servicios por terceros Obtencin de garantas independientes

8. Que es la autoevaluacin del control? CSA (Control SelfAssessment) mtodo insuficientemente normalizado con un enfoque de gestin de salud primaria y preventiva, es un suplemento y no sustituto de la auditoria convencional. Por el que el personal a todos los niveles en todas las funciones, lo constituyen los analistas informadores de control primario. 9. Porque resulta tan importante la auditoria de los SAD, SID y de las Aplicaciones de simulacin? Porque la AI debe recomendar el mximo de controles generales y controles de aplicacin (de los que alimentan de datos a estos sistemas) extremar el uso de tcnicas indirectas (indicadores externos, systems walkthrus) y recurrir a tcnicas CSA alineadas con la calidad total. 10. Elabore listas de control para auditar algn sistema que conozca para el desarrollo de aplicaciones de simulacin.
1. 2. 3. 4. 5. 6. Gestionar proyectos Evaluar riesgos Gestionar la calidad Adquirir y mantener los sistemas de informacin Gestin de BD Gestin de servicios de terceros