Herramientas de Auditora de Aplicaciones a) Simuladores Esta herramienta es una de las ms utilizadas para el anlisis y diseo de sistemas, pero tambin

puede ser de mucha utilidad para la auditora de sistemas computacionales, ya que mediante el uso de un modelo, conceptual o fsico, se simula el comportamiento de un sistema computacional, de un programa, de una base de datos, de una operacin, de una actividad o de cualquier tarea de sistemas que tenga que ser revisada, con el propsito de investigar cul es, fue o ser el comportamiento del fenmeno de sistemas en estudio, bajo ciertas condiciones y caractersticas concretas, en las que se presentan todas las simulaciones necesarias que se asemejen al medio ambiente real en donde acta dicho fenmeno para valorar su autntico aprovechamiento, sus eficiencias y deficiencias de funcionamiento, sus principales problemas, etctera. El uso de esta tcnica de simulacin es indispensable para el trabajo de los desarrolladores de nuevos sistemas, ya que permite elaborar un ambiente anlogo al del nuevo sistema, con el fin de estudiar su posible comportamiento. Una vez estudiado el posible comportamiento del sistema, se pueden sacar conclusiones para corregir sus fallas de funcionamiento, as como sus principales problemas antes de implantar dicho sistema. De hecho, todos los analistas de sistemas utilizan modelos conceptuales antes de programar (codificar) un sistema computacional, mientras que los programadores elaboran su programacin con base en estos modelos. En el caso concreto de auditora de sistemas computacionales, la simulacin es la elaboracin de modelos, conceptuales o fsicos, muy similares a los sistemas institucionales de las empresas; inclusive pueden ser los mismos que stas utilizan actualmente. Muchos se prueban con bases de datos ficticias o con datos reales pero sin validez. El auditor hace pruebas en esos modelos de simulacin, para verificar el comportamiento y funcionamiento de los sistemas computacionales, la forma en que se realiza el procesamiento de datos, la emisin de informes, la captura de datos o cualquier otro aspecto de dichos sistemas. Esta simulacin se puede hacer para evaluar cualquier fenmeno de sistemas computacionales, lo mismo para el anlisis, diseo y programacin de sistemas, para la instalacin y liberacin de un nuevo sistema, o para evaluar el comportamiento de las bases de datos, el comportamiento del hardware, el mobiliario y equipo, el diseo e instalacin de una red de cmputo o cualquier otro aspecto de sistemas. Incluso en el ambiente de seguridad se utiliza esta herramienta para hacer simulacros de alguna posible contingencia, con el propsito de capacitar al personal para que sepa cmo actuar en caso de siniestros. Los simulacros ms comunes en una empresa son: simulacros de evacuacin, de recuperacin de archivos, de primeros auxilios, simulacros para combatir incendios, etctera. A continuacin se presentan algunas definiciones de esta herramienta, con el fin de entender mejor su utilidad: Simular Del latn simular, de similis: Semejante. Aparentar, fingir. Simulacro Imagen hecha a semejanza de una cosa [...] Cosa que forma la fantasa. Ficcin, imitacin, falsificacin. Modelo Lo que se sigue, imita o reproduce [...] Representacin en pequeo de una cosa. Ejemplar perfecto, digno de ser imitado. Para el caso de una auditora de sistemas computacionales, definiremos la simulacin de la siguiente manera: La imitacin formal del sistema computacional, mediante un modelo simulado, en cuanto al funcionamiento del hardware, software, informacin, instalaciones o aplicaciones, en la cual se representan sus principales caractersticas de operacin, forma de captura, procesamiento de datos y emisin de resultados del sistema original, con el propsito de estudiar el comportamiento del sistema y evaluar su funcionamiento real. En estos modelos se pueden aplicar datos ficticios o datos reales, pero sin que esta simulacin llegue a influir en la actividad normal del sistema original.

El uso de modelos para la simulacin es una de las principales formas de evaluacin del funcionamiento de un sistema computacional, ya que permiten aplicar pruebas de su comportamiento, sin afectar su operacin normal. Lo mismo sucede cuando se aplican para simular la operacin de los sistemas computacionales, el acceso, manejo y proteccin de las bases de datos, el uso del software, hardware, datos, equipos e instalaciones, alguna contingencia de sistemas o cualquier otro tipo de pruebas que permitan imitar el funcionamiento del sistema original, con el propsito de compararlo con el sistema simulado. Con dichas comparaciones se pueden sacar conclusiones importantes, sin afectar la operacin normal de los sistemas de la empresa; adems, estas simulaciones tambin ayudan a vislumbrar las posibles problemticas del sistema computacional, si afectar el funcionamiento del mismo. Con el uso de modelos concretos o de pruebas de simulacin tambin se pueden evaluar la integridad, seguridad y confiabilidad de la informacin contenida en las bases de datos originales, as como verificar la existencia de redundancias, alteraciones y comportamientos irregulares de la informacin contenida en esas bases de datos; adems, tambin se puede simular, por medio de modificaciones controladas en el prototipo del sistema original, el acceso al sistema, la proteccin del mismo, el ingreso a las bases de datos, e incluso el comportamiento de los usuarios del sistema o el manejo de los datos. En algunos casos, cuando el sistema lo permite y con ello no se alteran sus datos originales, se pueden hacer todo tipo de pruebas de evaluacin, ya sean con datos ficticios o con datos reales del sistema. Si las pruebas de simulacin lo requieren, se pueden hacer alteraciones controladas del funcionamiento normal del sistema, para medir el comportamiento y conducta de los datos, la operacin o cualquier otro aspecto del sistema que se quiera evaluar. Tal y como se sugiere en la tcnica de observacin, slo que en lugar de aplicar la observacin ah sealada, aqu se realizan simulaciones del comportamiento o del medio ambiente del sistema con modelos similares al original. Debemos sealar que el auditor responsable de la auditora debe supervisar estrictamente la aplicacin de esta herramienta, e incluso debe tomar las medidas preventivas, de seguridad y de control necesarias para salvaguardar la informacin antes de aplicar cualquier prueba o simulacro al sistema, con el propsito de contar con un respaldo del sistema original, por si su funcionamiento se llegara a alterar debido a las pruebas que se le realicen. La importancia de la simulacin radica en que se pueden confeccionar pruebas controladas o libres que permiten realizar una buena evaluacin al sistema, sin necesidad de alterar el funcionamiento del sistema original. En este tipo de observacin se pueden hacer las pruebas en sistemas paralelos; uno es el propio sistema con datos reales o ficticios y el otro es un modelo semejante al sistema que ser evaluado. Estas pruebas en sistemas paralelos se realizan con el propsito de comparar ambos resultados y, si es necesario, modificar la conducta del modelo para cotejarlo con el sistema original. Con los resultados se puede obtener informacin muy valiosa para emitir conclusiones sobre el comportamiento de ambos. 1. Simulacin a travs de modelos de metodologa de sistemas Debido a que existen muchos modelos de simulacin para evaluar el comportamiento de un sistema, nicamente citaremos algunos; el propsito es ejemplificar las posibles aplicaciones de los modelos que se pueden utilizar como apoyo en la evaluacin de sistemas. Asimismo, solamente presentaremos las principales etapas y fases de estas metodologas, sin entrar en mayores detalles, ya que cada desarrollo de sistemas es especial y sera irrelevante sealar ejemplos especficos para cada caso. 1.1. Ciclo de vida de los sistemas Este modelo, tambin conocido como el ciclo de vida tradicional de los sistemas, es el que ms se utiliza para el desarrollo de sistemas computacionales, ya que es considerado como la metodologa fundamental y puede contener variaciones menores dentro de las fases que citaremos a continuacin, siempre y cuando se conserven dentro del esquema que presentaremos: Anlisis del sistema actual Diseo conceptual del sistema Diseo detallado del sistema

Programacin Pruebas y correcciones Implantacin del sistema Liberacin del sistema Mantenimiento del sistema

1.2. Metodologa de Kendall & Kendall Los desarrolladores de sistemas computacionales tienen que utilizar forzosamente la metodologa de estos autores, considerada como clsica para el anlisis y diseo de los sistemas computacionales, ya que se aplica fcilmente y es muy completa. Los propios autores presentan las siete fases del desarrollo de sistemas, las cuales presentamos a continuacin: Identificacin de problemas, oportunidades y objetivos Determinacin de requerimientos de informacin Anlisis de las necesidades del sistema Diseo del sistema recomendado Desarrollo del sistema Pruebas y mantenimiento de sistemas Implementacin y evaluacin del sistema

1.3. Fases del desarrollo segn James Martn Antonio Lpez-Fuensalida resume con gran acierto esta metodologa de Martn, y tambin las de otros autores, en la cual presenta su mtodo de desarrollo de sistemas como prembulo; por esta razn tomaremos como vlidos estos resmenes de fases en el desarrollo de sistemas con herramientas CASE (Computer Aided Software Engineering: Ingeniera de Software Asistida por Computadora) Planeacin estratgica Marco del sistema Funciones Objetivos Plan del sistema Procedimientos Datos Anlisis Diseo Construccin Implantacin Mantenimiento Reingeniera

1.4. Ciclo de vida de los sistemas segn Yourdon El mismo autor cita las aportaciones de Yourdon en tres grandes niveles: Conceptual, Lgico y Fsico, y dentro de cada uno de ellos seala las fases de desarrollo de la siguiente manera: Nivel conceptual Especificaciones Nivel lgico Anlisis lgico Nivel fsico Diseo fsico Implantacin Mantenimiento

1.5. Anlisis y diseo segn Jackson El mismo autor conceptualiza las aportaciones de Jackson en tres grandes etapas: Anlisis conceptual, Diseo externo y Diseo interno, y coloca otras dentro de cada fase conforme al siguiente modelo: Anlisis conceptual Especificaciones del modelo de la realidad Identificar entidades y relaciones Definir estructura de las entidades Crear modelo inicial Diseo exterior Especificacin de funciones de la aplicacin Aadir funciones del modelo Determinar momentos de Ejecucin Diseo interior Implementacin Implementar el modelo 1.6. Las fases de un proyecto para MERICE Lpez-Fuensalida cita las cuatro etapas para el desarrollo de proyectos informticos y dentro de cada etapa propone fases para elaborar un proyecto: Etapa 1: Estudio preliminar Fase 1: Recogida de datos Recogida inicial Estudio de la situacin actual Sntesis y crtica de la situacin actual Fase 2: Concepcin de la nueva solucin Objetivos a alcanzar Descripcin de soluciones Fase 3: Evaluacin y plan de desarrollo de las fases Evaluacin de la nueva solucin Plan de desarrollo Etapa 2: Estudio detallado Fase 1: Concepcin general Fase 2: Concepcin detallada de fases Realizacin de las especificaciones detalladas de los procesos Fase 3: Plan de desarrollo Etapa 3: Realizacin Fase 1: Estudio tcnico Fase 2: Produccin Etapa 4: Puesta en marcha Fase 1: Preparacin de recursos Fase 2: Recepcin y lanzamiento de sistemas

1.7. Metodologa SSADM La metodologa consiste en una estructuracin de los pasos a seguir en el desarrollo de un proyecto informtico en las fases iniciales del ciclo de vida del mismo y en la descripcin de unas tcnicas y formalismos sobre las que se basan los trabajos para realizar cada fase. Esta metodologa contiene una estructuracin jerrquica de fases, tal y como se indica en este esquema:

Esquema de estructuracin jerrquica A su vez, estos puntos se contemplan dentro de las siguientes fases: Fase 1: Estudio de viabilidad Etapa 01: Definicin del problema Etapa 02: Identificacin del proyecto Fase 2: Anlisis Etapa 1: Anlisis del sistema actual Etapa 2: Especificacin de requerimientos Etapa 3: Seleccin de opciones tcnicas Fase 3: Diseo Etapa 4: Diseo de datos Etapa 5: Diseo de procesos Etapa 6: Diseo fsico Despus de que el estudio de viabilidad es aprobado, las etapas se realizan cronolgicamente conforme al siguiente proceso: 1. Anlisis del sistema actual 2. Especificacin de requerimientos 3. Seleccin de opciones tcnicas 4. Diseo de datos 5. Diseo de procesos 6. Diseo fsico El siguiente modelo de entidad/relacin tambin se puede aplicar para el diseo de las bases de datos:

Modelo de entidad 2. Simulacin a travs de diagramas de flujo de sistemas En este tipo de simulaciones se utilizan diagramas con smbolos universalmente aceptados, los cuales tienen un significado especfico y determinado previamente por convencin, a fin de que todos los entiendan de la misma forma. A continuacin mostraremos un ejemplo de este tipo de modelos, el cual es un diagrama de flujo para programacin BASIC; debemos sealar que en este captulo tambin trataremos la diagramacin, ya que es una de las tcnicas especiales de auditora de sistemas computacionales:

3. Simulacin a travs del diseo de circuitos lgicos stos son diagramas de conexiones de circuitos lgicos, los cuales nos muestran grficamente como se solucionan los problemas de redes lgicas combinatorias de salida o entrada, establecidos a travs de operaciones matemticas con lgebra booleana.

Esta tcnica se utiliza principalmente para simular representaciones analgicas de una computadora, de sus circuitos y de sus operaciones mediante el lgebra booleana. En este ejemplo se ven las soluciones de una suma X=A+B+C y la tabla donde se presentan todos los posibles resultados de estos circuitos descritos en el la imagen anterior.

En el siguiente ejemplo se toma el diagrama de los teoremas booleanos18 del autor Ronald J. Tocci, con el nico propsito de mostrar el uso de este tipo de modelos de circuitos lgicos:

4. Simulacin a travs de otros documentos grficos Es evidente que se puede utilizar un sinnmero de modelos grficos, conceptuales o fsicos para simular el comportamiento de un sistema computacional; incluso los planes, diagramas de planeacin y control de proyectos, as como otros documentos de apoyo para la gestin administrativa se pueden tomar como ejemplos de modelos de simulacin utilizables en una auditora de sistemas computacionales; por esta razn, a continuacin mencionaremos nicamente algunos de los posible modelos de sistema que se pueden utilizar para simular el comportamiento de cualquier fenmeno de sistemas computacionales que se desee evaluar:

 Modelos para planeacin y control de proyectos: Grfica de Gantt Mtodo de la ruta crtica PERT costo/tiempo Project Grficas de proyecciones financieras Grficas de lneas de tiempo Tablas de decisiones rboles decisionales Modelos de simulacin de flujos de datos Diagrama de flujo de datos Diagrama entidad/relacin Diagrama de contexto Diagrama de datos lgicos Diagrama de datos fsicos Diseo de bases de datos Diagrama de modelos de datos Diagramas HIPO (tabla visual de contenido VTOC, diagramas de panoramas y diagramas de detalles) Diagramas de cdigos (seudocdigos) Grficas Nassi-Shneiderman Diagramas Warnier-Orr Grficas de estructura de datos Grficas de configuraciones de red Grficas de configuracin de sistemas distribuidos Grficas de Configuraciones de equipos mayores Modelos de simulacin de diagramas administrativos Organigramas Diagramas de mtodos y procedimientos Grficas de tiempos y movimientos Estudios ergonmicos Planos de distribucin de la planta Planos de instalaciones Planos de rutas de evacuacin Planos de configuracin de centros de cmputo Modelos de simulacin por medio de grficas financieras y estadsticas Curvas de tendencias Grficas de Pie, horizontales, verticales, de rea, circulares y semicirculares Grficas de punto de equilibrio Otros modelos de simulacin Grficas de pantalla Planes de contingencia informtica Digitalizacin de imgenes Procesamiento de datos ficticios Evidentemente existen muchos ms modelos que se pueden utilizar para simular el comportamiento de los sistemas en evaluacin, pero la intencin es destacar la importancia de utilizar los modelos de simulacin en una auditoria de sistemas computacionales. Para finalizar este punto, a continuacin veremos las siguientes definiciones. Modelo La duplicacin de la realidad emprica o de una teora cientfica con la cual guarda igualdad de formas (isomorfa), sus fines son diagnsticos explicativos y preventivos.

Representacin simplificada o esquemtica de un fenmeno o proyecto en el cual incluye sus variables ms significativas. Tambin puede significar una imitacin o patrn de comportamiento que simula casos reales. La construccin de un modelo es una tcnica comn para el estudio de las caractersticas o aspectos de la conducta de los objetos o sistemas bajo condiciones variables. En s mismo, el modelo es generalmente una representacin de objetos, eventos, procesos o sistemas y su uso es para la prediccin y el control. Es la imitacin matemtica o fsica de un sistema real.