Universidad Catlica de El Salvador Centro Regional de Ilobasco Facultad Multidisciplinaria

Ingeniera en Sistemas Informticos Asignatura: Auditoria de Sistemas Tema: Auditoria de Software Catedrtico:

Autores: Jos Mercedes Alfaro Boris Carmelo Barrera Allam Adolfo Chacn

Ilobasco, 28 de julio de 2013

ndice

pg.

Introduccin ......................................................................................................................................... i Objetivos ............................................................................................................................................. ii Auditora de Software ......................................................................................................................... 1 Objetivos de la Auditora................................................................................................................. 2 Procedimientos para una auditora de software. ........................................................................... 3 Requerimientos del auditor de software. ....................................................................................... 4 Software del sistema ................................................................................................................... 5 Base de datos .............................................................................................................................. 5 Etapas de la auditoria de software. ................................................................................................ 6 Herramientas de uso ms comn en la auditoria de una aplicacin. ............................................. 6 Conclusin........................................................................................................................................... 8 Bibliografa ......................................................................................................................................... 9

Introduccin
El software es uno de los recursos ms importantes con lo que cuentan las organizaciones modernas, los programas son los responsables de hacer posible muchos de los procesos que se realizan, existen un sin nmero de software especficos para automatizar los procesos de las organizaciones y lograr una mayor eficiencia en el desempeo de las personas en sus trabajos. La auditora de software es una herramienta que nos permite determina la procedencia, el uso y la valides de los programas que se utilizan en la empresa que est siendo auditada. Aunque las empresas a lo largo de la historia no han dedicado mucho de su tiempo y dinero en realizar una auditora de software, hoy en da estn conociendo de mayor y mejor manera los grandes beneficios que se obtiene al realizar una pronta y adecuada auditora del software con el que cuentan, ya que con ello se logran identificar grandes problemas que se piensan inexistentes y que a la larga ocasionan ineficiencia y en algunos casos problemas legales para las empresas. La auditora de software es muy importante y por ende realizarla de la mejor manera es fundamental ya que es raz de los resultados de ella las empresas toman decisiones importantes que contribuyan al beneficio organizacional.

Objetivos
General Identificar las diferentes partes que componen la auditoria de software Especficos Analizar los procedimientos para la auditora de software. Determinar los requerimientos que debe poseer un auditor de software. Detallar las epatas para realizar una auditora de software. Especificar las herramientas de uso ms comn en la auditora de una aplicacin.

ii

Auditora de Software
La auditora de software es un trmino general que se refiere a la investigacin y al proceso de entrevistas que determina cmo se adquiere, distribuye y usa el software en la organizacin. Se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, seguridad y confidencialidad de la informacin que se procesa a travs de las aplicaciones de software. La auditora de software es una rama especializada de la auditora que promueve y aplica conceptos de auditora en el rea de programas de software. Tradicionalmente, en el entorno del proceso de datos, cuando se habla de software, de un modo genrico, se est haciendo referencia a los programas que se ejecutan en el ordenador. Cuando se trata de auditar el software el concepto puede generalizarse ms y extenderse con la parte que no se ve de una instalacin de proceso de datos. Estos aspectos lgicos de la informtica son: software del sistema, utilidades, datos, programas, bases de datos, etc. Conducir la auditora es una de las partes ms crticas de un Programa de Administracin de Software, porque la auditora ayuda a la organizacin a tomar decisiones que optimicen sus activos de software. Una de las razones por las que las organizaciones no maximizan su inversin en activos de software es que no hay informacin exacta disponible. La recopilacin de toda la informacin necesaria es un proceso intenso, especialmente cuando se hace por primera vez. Otro problema es que la perspectiva de una auditora puede ser vista con algunas reservas por algunos directivos de la organizacin, preocupados porque pueda interrumpir el flujo de trabajo, y por algunos usuarios finales que pueden ser forzados a abandonar sus programas o procedimientos favoritos.

Una de las formas de evitar las objeciones y dejar de lado estos problemas es planificar cuidadosamente la auditora de software y comunicar su valor por adelantado. Los siguientes factores favorecern la colaboracin entre la gerencia y el personal a travs del proceso de planificacin, el cual es una llave para el xito de cualquier auditora de software.

Establecer y acordar una serie clara de objetivos y comunicarla a todos los empleados asociados con la auditora.

Focalizarse en los resultados que se requieran de la auditora y discutir las reas donde se crea pueda haber problemas.

Disear el plan y el cronograma de la auditora, as como tambin las herramientas de auditora que sern usadas.

Asignar recursos para cada elemento especfico de la auditora.

La auditora de software puede ser interna o externa. La interna es la que lleva acabo la misma empresa para determinar el funcionamiento del software que utiliza, mientras que la externa la llevan a cabo organismos encargados de verificar principalmente que el software utilizado en la organizacin es legal de lo contrario puede meterse en problemas legales, en algunos pases, existe una institucin que hace visitas peridicas a las empresas e instituciones con objeto de revisar que el software que tiene la empresa u organizacin sea legal.

Objetivos de la Auditora.
A continuacin veremos algunos de los ms importantes objetivos para realizar una auditora de software: Examinar que los programas realizan lo que realmente se espera de ellos. Revisar el inventario de software. Comprobar la seguridad de datos y software. Examinar los controles sobre los datos. Revisar los procedimientos de entrada y salida.
2

Verificar las previsiones y procedimientos de back-up. Revisar los procedimientos de planificacin, adecuacin y mantenimiento del software del sistema. Revisar la documentacin sobre software de base. Comprobar la seguridad e integridad de las bases de datos.

Procedimientos para una auditora de software.

Los procedimientos de auditora de software son importantes para evaluar las solicitudes y los programas que utilizan una empresa u organizacin, la validez de esos programas y la custodia de aplicaciones en un ambiente controlado y centralizado. La falta de controles en el manejo de software puede dar lugar a inspecciones, multas y demandas de organizaciones. Entre los procedimientos a tener en cuenta para realizar una auditora de software se encuentran los siguientes: Inventario de software: Los procedimientos de auditora de software deben comenzar con un inventario de todo el software asignado a una organizacin con un gestor asignado de datos en el control de la gestin del software. Problemas de licencia: La gerencia puede comprar licencias de software basado en el modelo de negocio de la organizacin y el nmero de usuarios finales que requieren la aplicacin de software. Uno de los procedimientos de auditora de software es revisar los contratos de licencia para ver si las licencias son actuales y adecuadas para apoyar las operaciones comerciales. Por ejemplo, un paquete de software de contabilidad puede tener una licencia de grupo de 50 usuarios, aunque slo cinco empleados utilizan la aplicacin y por otro lado se puede adquirir un software que tenga licencia solo para un usuario y la empresa la use para ms usuarios, lo cual provocara a ilegalidad de esa accin. Software de utilidad:

El software de utilidad proporciona soporte a los sistemas cuando los virus y otros programas maliciosos se encuentran en el sistema. Los procedimientos de auditora se dirigen a las herramientas adecuadas de utilidad para eliminar el software, la creacin de cortafuegos a travs del firmware para detener los ataques de intrusos externos y la pericia del personal para implementar y mantener un programa de seguridad de software. Recuperacin de desastres: Los procedimientos de recuperacin de desastres referentes al software dirigen la copia de seguridad y la reubicacin de los discos de software o programas a otros lugares para evitar la destruccin de los programas originales.

Requerimientos del auditor de software.

Al hablar sobre la auditora de software, una de las cosas ms importantes que hay que tener en cuenta es, el auditor. Es el encargado de realizar la auditora y por lo cual debe tener un perfil y una serie de requerimientos que se adapten a los objetivos que busca la organizacin para realizar la auditora de software, entre ellos tenemos: Entendimiento global e integral del negocio, de sus puntos claves, reas crticas, entorno econmico, social y poltico. Entendimiento del efecto del software en la organizacin. Entendimiento de los objetivos de la auditora. Conocimiento de los recursos de software de la empresa. Conocimiento de los proyectos de sistemas.

Las herramientas de auditoria ofrecen una gran cantidad de servicios diseados para asistir en la auditora que el software. Hay cuatro grandes tipos de herramientas de auditoria: Programas de inventario, que estn diseados para tomar un inventario del software existente instalador y generar un reporte. Programas de medicin, que monitorean el uso del software en la red, asistiendo a la administracin de las licencias de red.

Programas de administracin de redes, que combinan la medicin, inventario y otras tareas en un conjunto de software. Programas de administracin de software, que incluyen el inventario, medicin y administracin y tambin asisten con la instalacin del software, distribucin, proteccin antivirus, mesa de ayuda y otras funciones de administracin.

Software del sistema

El auditor, revisar la forma en que se est realizando el proceso de modificacin o alteracin del software de base: es necesario que tal operacin este organizada y dotada del nivel de seguridad que requiere una operacin de esta ndole, con una correcta normativa al respecto y contemplando las oportunas autorizaciones por parte del de direccin informtica. La supervisin en este sentido es fundamental dada la propia importancia del software a modificar.
Base de datos

Los sistemas de bases de datos son muy importantes en las empresas hoy en da, por lo tanto es un elemento a tener en cuenta a la hora de dictaminar sobre la situacin de la informtica en una empresa. A la hora de auditar una base de datos se pueden establecer una serie de puntos a controlar, que nos dar una idea sobre la situacin real de la base, y son: Mantenimiento de programas que manejen datos de la base. Controles de la validacin en la entrada de datos. Autorizaciones de acceso. Procedimiento de manejo de datos errneos. Objeto del procesamiento. Datos concurrentes o compartidos. Prevencin y detecciones de los interbloqueos. Asignacin de funciones y responsabilidades. Controles de salida. Documentacin del sistema y de sus configuraciones.
5

Entrenamiento del personal.

Etapas de la auditoria de software.

Recogida de informacin y documentacin Sobre la aplicacin: se realiza un estudio preliminar en el que recogemos toda aquella informacin que nos pueda ser til para determinar los puntos dbiles existentes y aquellas funciones de la aplicacin que puedan entraar riesgos. Determinacin de los objetivos y alcance de la auditoria: Es preciso conseguir una gran claridad y precisin en la definicin de objetivos de la auditoria, del trabajo y pruebas que se proponen realizar, delimitando perfectamente su alcance de manera que no ofrezca dudas de interpretacin. Planificacin de la auditoria: en este caso es de crucial importancia acertar con el momento ms adecuado para su realizacin. No es conveniente que coincida con el periodo de implantacin porque los usuarios no estn muy familiarizados con la aplicacin, pero al mismo tiempo el retraso excesivo puede alargar el periodo de exposicin a riesgos. Trabajo de campo, informe e implantacin de mejoras: consiste en la ejecucin del programa de trabajo establecido. Respecto al informe se recogern las caractersticas del trabajo realizado, sus conclusiones, recomendaciones o propuestas de mejora. La implantacin de las mejoras identificadas en la auditoria.

Herramientas de uso ms comn en la auditoria de una aplicacin.

Entrevistas: son de larga utilizacin a lo largo de toda la auditoria. Encuestas: pueden ser de utilidad tanto para determinar el alcance y objetivos de la auditoria, como para la materializacin de los objetivos relacionados con el nivel de satisfaccin de los usuarios. Observacin del trabajo realizado por los usuarios: es necesario observar cmo trabajan los usuarios: Puede ayudar a detectar que el trabajo final sea bueno y por lo tanto los controles establecidos sean efectivos.

Pruebas de conformidad: son actuaciones orientadas especficamente a comprobar que determinados procedimientos, normas o controles internos, se cumplen o funcionan de acuerdo a lo previsto o esperado.

Pruebas substantivas o de validacin: orientadas a detectar la presencia o ausencia de errores o irregularidades en procesos, controles o actividades internos integrados en ellos.

El objetivo final que tiene el auditor de software es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno de las operaciones que se realizan en las aplicaciones de software con el fin de lograr mayor eficiencia operacional y administrativa.

Conclusin
Al realizar este trabajo de investigacin se descubri la manera de cmo se debe realizar una auditora de software en una organizacin o empresa, nos dimos cuenta de igual forma los perfiles que debe tener un auditor al momento de realizar esta prctica ya que si este no posee los conocimientos en el rea requerida, sera una prdida total el realizar este proceso. El auditor debe tener entendimiento del efecto del software, entendimiento de los objetivos de la auditoria, entendimiento de proyectos de sistemas, entre otros. De esta manera se le facilitar realizar una excelente auditoria. Tambin se descubri algunas de las herramientas que se pueden usar en una auditoria de software entre estas herramientas tenemos: Entrevistas, encuestas, observaciones, pruebas de conformidad, entre otras. Estas herramientas facilitan la obtencin de informacin.

Bibliografa
Microsoft Corporation, Auditora de Software [on line]. Disponible en: http://www.microsoft.com/argentina/public/kit_base/licenciamiento/licsemgt/softau dt/intro.htm Ehow en espaol, traducido por Enrique Pereira Vivas, Procedimientos de auditora de software [on line]. Disponible en:

http://www.ehowenespanol.com/procedimientos-auditoria-software-lista_146195/ Carlos Ernesto Martnez Prez, Auditora de Software [on line].

http://es.scribd.com/doc/51618603/auditoria-de-software Gonzalo Alonso Rivas, Auditoria Informtica [on line]. Disponible en: http://spi1.nisu.org/recop/al01/thyric/index.html