Академический Документы
Профессиональный Документы
Культура Документы
INFORMACIN AUTOMTICA
Conjunto de conocimientos cientficos y tcnicas que hacen posible el tratamiento automtico de la informacin por medio de
ordenadores.
En la informtica convergen los fundamentos de:
Ciencias de la computacin.
Programacin y metodologas para el desarrollo de software.
Arquitectura de computadores.
Redes de computadores.
Inteligencia artificial.
Electrnica.
Hardware
Representa la parte fsica de una computadora o sistema informtico, es decir, todos los elementos materiales que lo componen.
Software
El software de un sistema informtico es el conjunto de elementos lgicos necesarios para realizar las tareas encomendadas al
mismo.
El software es la parte lgica que dota al equipo fsico de capacidad para realizar cualquier tipo de trabajos.
Datos
Son smbolos que describen hechos, condiciones, valores o situaciones.
Un dato puede ser una letra, un nmero, un signo ortogrfico o cualquier smbolo y que representa una cantidad, una medida, una
palabra o una descripcin. Por s mismos los datos no tienen capacidad de comunicar un significado.
Informacin
Es el elemento a tratar y se define como todo aquello que permite adquirir cualquier tipo de conocimiento. Existir informacin
cuando se da a conocer algo que se desconoce
Los datos, una vez procesados, constituyen informacin til.
Proceso
Conjunto de operaciones necesarias para transformar los datos iniciales en los resultados que se desean obtener en un
determinado trabajo.
Aplicacin informtica
Conjunto de uno o varios programas que realizan un determinado trabajo completo.
Ejemplo: procesadores de texto, hojas de clculo, gestores base de datos, etc
Auditoria
Es el examen profesional, objetivo e independiente de las operaciones financieras y/o administrativas, que se realiza con
posterioridad a su ejecucin en las entidades pblicas o privadas, y cuyo producto final es un informe, conteniendo opinin sobre la
informacin financiera y/o administrativa auditada, as como conclusiones y recomendaciones tendientes a promover la
economa, eficiencia y eficacia de la gestin empresarial o gerencial.
-
Caractersticas de la auditora
Es objetiva
Significa que el examen es imparcial, sin presiones ni halagos, con una actitud mental independiente, sin influencias personales ni
polticas.
En todo momento debe prevalecer el criterio del auditor, que estar sustentado por su capacidad profesional y conocimiento
pleno de los hechos que refleja en su informe.
Es sistemtica y profesional:
La auditora debe ser cuidadosamente planeada y llevada a cabo por profesionales conocedores del ramo que cuentan con la
capacidad tcnica y profesional requerida, los cuales se atienen a las normas de auditora establecidas, a los principios de
Contabilidad generalmente aceptados y al cdigo de tica Profesional.
El desarrollo de la auditora se lleva a cabo cumpliendo en forma estricta los pasos que contienen las fases del proceso de la
auditora:
Planeacin, Ejecucin e Informe.
Informe final:
Finaliza con la elaboracin de un informe escrito (dictamen) que contiene los resultados del examen practicado, el cual debe
conocer de previo la persona auditada, para que tenga a bien hacer las correspondientes observaciones del mismo; adems el
informe contiene las conclusiones tendientes a la mejora de las debilidades encontradas.
Auditoria Informtica
Es el proceso de recolectar y evaluar evidencias para determinar si los Sistemas Informticos y recursos relacionados:
Salvaguardan adecuadamente los activos
Mantienen la integridad de los datos y del sistema
Proveen informacin confiable y oportuna
Logran efectivamente las metas de la organizacin
Consumen los recursos de manera eficiente
Tienen en vigor los controles internos que proveen una garanta razonable de que se alcanzarn los objetivos del negocio,
operativos y de control.
Auditoria Informtica
Es una revisin de carcter objetivo (independiente), crtico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas,
normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados,
con el fin de emitir una opinin profesional (imparcial) con respecto a la:
Efciencia y eficacia en la utilizacin de los recursos informticos
Seguridad de los recursos informticos
Efectividad de los controles establecidos.
Es un proceso formal ejecutado por especialistas del rea de auditoria y de informtica cuyo objetivo es el de verifcar y asegurar
que las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa en la organizacin se realicen de
manera eficiente y efcaz.
Dicha evaluacin deber ser la pauta para la entrega del informe de auditoria en informtica, el cual debe contener las
observaciones, recomendaciones y reas de oportunidad para el mejoramiento y optimizacin permanente de la tecnologa de
informtica en el negocio.
Antecedentes
El incremento constante de las expectativas y necesidades relacionadas con la informtica, al igual que la actualizacin
continua de los elementos que componen la tecnologa de este campo, obligan a las entidades que la aplican, a disponer de
controles, polticas y procedimientos que aseguren a la alta direccin la correcta utilizacin de los recursos humanos,
materiales, y financieros involucrados, para que se protejan adecuadamente y se orienten a la rentabilidad y competitividad del
negocio
La tecnologa informtica (hardware, software, redes, bases de datos, etc.) es una herramienta estratgica que brinda rentabilidad
y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas
si no es bien administrada por el personal encargado
La
solucin clara es entonces realizar evaluaciones oportunas y completas de la funcin informtica, a cargo de personal
calificado, consultores externos, auditores en informtica o evaluaciones peridicas
Entonces la auditora en informtica se encarga de evaluar y verifcar polticas, controles, procedimientos y seguridad en los
recursos dedicados al manejo de la informacin, mediante la aplicacin de una metodologa que debe de ejecutarse con formalidad y
oportunidad.
El rol del auditor en informtica es el de funcionar como un punto de control y confianza para la alta direccin o los dueos de
la empresa, adems debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de conducir siempre a la
empresa a optimizar el uso de los recursos informticos
La auditora
- Seguridad
- Integridad
- Eficiencia
- Eficacia
- Rentabilidad
informtica
sirve
para
mbito.
Verificar la gestin
Asegurar
la
eficaz
integridad,
y disponibilidad de la informacin
mediante
Falta total o parcial de seguridad que garantice la integridad del personal, equipos e informacin.
Descubrimiento
de
fraudes
efectuados
con
el computador
Descontento
general
de
los
usuarios
por incumplimiento de plazos y mala calidad de los resultados
el
Falta
mantenimiento
de
de
documentacin
los
sistemas
en produccin
En nuestro pas existe un vaco legal por la ausencia de normativas que defina claramente:
-
En
que
casos
es
necesaria
una
auditora informtica?
pruebas
para
realizar
una auditoria
- Prueba Clsica:
Consiste en probar las aplicaciones/sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida.
Existen paquetes que permiten la realizacin de estas pruebas.
Cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio
que dichas personas sean las responsables ofciales de las diversas reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especfcos para
cada situacin.
Esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos
preimpresos hubieran proporcionado.
Entrevistas
El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma
de una conversacin correcta y lo menos tensa posible, el auditado conteste
sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo
aparente. Tras ella debe existir una preparacin muy elaborada
y sistematizada, y que es diferente para cada caso
particular.
Checklist
El auditor conversar y har preguntas que servirn para complementar la informacin obtenida de los cuestionarios.
El conjunto de preguntas realizadas por el auditor, recibe el nombre de checklist. Salvo excepciones, los checklist deben ser
contestadas en forma oral, ya que superan en riqueza y generalizacin a cualquier otra forma.
Software de interrogacin
Hasta hace ya algunos aos se han utilizado productos software llamados genricamente <paquetes de auditora>, capaces
de generar programas para auditores escasamente cualifcados desde el punto de vista informtico.
Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de
consecuencias e hiptesis de la situacin real de una instalacin.
En la actualidad, los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que
permiten la interrogacin de fcheros y bases de datos de la empresa auditada.
TAACS (TECNICAS DE AUDITORIA ASISTIDA POR COMPUTADORAS)
Son programas y datos de computadora que el auditor utiliza como parte de los procedimientos de auditoria para
procesar datos importantes para la Auditoria en los Sistemas de Informacin de una organizacin.
Propsito
-
Identifcar tendencias
Sealar excepciones
Permiten:
-
UNIDAD II
AUDITORIA INFORMATICA
Auditoria Informtica
Es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin,
efciencia y seguridad de la organizacin que participan en el procesamiento de la informacin, a fn de que por medio del
sealamiento de cursos alternativos se logre una utilizacin mas efciente y segura de la informacin que servir para una
adecuada toma de decisiones.
Una metodologa de auditora es un conjunto de procedimientos documentados de auditora diseados para alcanzar los
objetivos planeados de la auditora .
Componentes
- Declaracin del alcance,
- Declaracin de los objetivos de la auditoria y
- Declaracin de los programas de auditora
- Organigrama
- Estructura del rea o departamento de TI
- Relaciones funcionales y jerrquicas
- Recursos con los que se cuenta
- Aplicaciones en desarrollo
- Aplicaciones en produccin
- Infraestructura tecnolgica.
- Plan de trabajo
Tareas
Calendario
Resultados parciales
Presupuesto
Objetivos de Auditoria
Se refieren a la metas especficas que deben cumplirse por parte de la auditora. Deben comprender los deseos y pretensiones del
cliente, de forma que las metas fijadas puedan ser cumplidas.
Los objetivos de auditora se enfocan a menudo en validar: Que existan controles internos para minimizar los riesgos
del negocio, y que estos funcionen como se espera.
Asegurar que se estn cumpliendo los requerimientos legales, y exista una seguridad razonable implementada sobre los activos,
como ser: confidencialidad, integridad y disponibilidad de los recursos de informacin.
Ejemplo de definicin de objetivo
Determinar un nivel de confiabilidad e integridad de los datos, sistemas y programas con relacin al entorno de procesamiento
electrnico de datos.
Identificar y medir los riesgos relativos al negocio y ambiente de Tecnologa Informtica, comunicando las recomendaciones para
mitigar los riesgos.
Fases de la Auditoria
Planeacin Ejecucin Informe
Planeamiento de una Auditoria
Toma de contacto: Conocimiento de la organizacin y del objeto de la auditoria
Anlisis inicial:
1 Sobre la organizacin global
2 Sobre la estructura del departamento y recursos
Anlisis detallado:
Se analiza la informacin anterior y se generan los papeles de trabajo
La planifcacin de la auditoria requiere:
1 Obtener informacin general sobre la organizacin
2 Revisar la documentacin de la organizacin
Se determinan:
Objetivos Alcance - Programas y procedimientos
3 Realizar una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo.
Se deber incluir:
1 Tiempo,
2 Costo,
3 Personal necesario
4 Documentos auxiliares a solicitar o formular durante el desarrollo de la misma
Objetivos de la Auditora
Metas especfcas que deben cumplirse por parte de la auditora. Deben comprender los deseos y pretensiones del cliente, de
forma que las metas fjadas puedan ser cumplidas.
Los objetivos de auditora se enfocan a menudo en validar:
- Que existan controles internos para minimizar los riesgos del negocio, y que estos funcionen como se espera.
- Asegurar que se estn cumpliendo los requerimientos legales, y exista una seguridad razonable implementada
sobre los activos, como ser:
1 Confdencialidad
2 Disponibilidad
3 Integridad
OBJETIVO DE LA REVISION.
- Determinar un nivel de confabilidad e integridad de los datos, sistemas y programas con relacin al entorno de
procesamiento electrnico de datos.
- Identifcar y medir los riesgos relativos al negocio y ambiente de Tecnologa Informtica, comunicando las
recomendaciones para mitigar los riesgos.
ALCANCE DE LA AUDITORIA
Se ha de defnir con precisin el entorno y los lmites en que va a desarrollarse la auditoria.
Tiene que ver con:
La extensin y profundidad del examen,
El rea o actividad en particular se va a verifcar,
El perodo a examinar (actividades desarrolladas en un ao, de un mes, etc.)
Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a
auditar y las excepciones de alcance de la auditora, es decir cuales materias, funciones u organizaciones no van a ser
auditadas. Tanto los alcances como las excepciones deben fgurar al comienzo del Informe Final.
PROGRAMA DE AUDITORIA
RECOPILACION DE EVIDENCIAS
Se llama evidencia de auditoria "Cualquier informacin que utiliza el auditor para determinar si la informacin cuantitativa o
cualitativa que se est auditando, se presenta de acuerdo al criterio establecido".
Para que la evidencia tenga valor de prueba, debe ser:
Relevante: tiene relacin lgica con el objeto de auditoria.
Sufciente: si el alcance de las pruebas es adecuado. Solo una evidencia encontrada, podra ser no suficiente para demostrar
un hecho.
Adecuada: es de tipo cualitativo para afectar a las conclusiones del auditor
Fiable: es vlida y objetiva, aunque con nivel de confanza
EVIDENCIA DE AUDITORIA
Permite demostrar un hecho.
Evidencia = prueba adecuada de auditoria.
La evidencia adecuada es la informacin que cuantitativamente es sufciente y apropiada para lograr los resultados de la
auditoria y que cualitativamente, tiene la imparcialidad necesaria para inspirar confanza y fabilidad.
Tipos de Evidencias:
1.
2.
3.
4.
Papeles de Trabajo
Son los archivos o legajos que maneja el auditor y que contienen todos los documentos que sustentan su trabajo efectuado
durante la auditoria y constituyen la principal evidencia de la tarea de auditora realizada y de las conclusiones alcanzadas que
se reportan en el informe de auditoria.
Estos archivos se dividen en Permanentes y Corrientes;
Archivo permanente: conformados por documentos que tienen el carcter de permanencia en la empresa, es decir, que no
cambian y que por lo tanto se pueden volver a utilizar en auditorias futuras; como los Estatutos de Constitucin, contratos de
servicios, informe de auditorias anteriores,etc.
Archivo corriente: est formado por todos los documentos que el auditor va utilizando durante el desarrollo de su trabajo y
que le permitirn emitir su informe previo y fnal.
Los papeles de trabajo son utilizados para:
a) Registrar el conocimiento de la entidad y su sistema de control interno.
b) Documentar la estrategia de auditoria.
c) Documentar la evaluacin detallada de los sistemas, las revisiones de transacciones y las pruebas de cumplimiento.
d) Documentar los procedimientos de las pruebas de sustentacin aplicadas a las operaciones de la entidad.
e) Mostrar que el trabajo de los auditores fue debidamente supervisado y revisado.
f) Registrar las recomendaciones para el mejoramiento de los controles observados durante el trabajo.
EL INFORME
El informe de Auditora debe contener a lo menos:
1-Dictamen sobre el rea auditada.
2-Informe sobre la estructura del Control Interno de la entidad.
3-Conclusiones y recomendaciones resultantes de la Auditora.
4-Deben detallarse en forma clara y sencilla, los hallazgos encontrados.
HALLAZGOS
Se considera que los hallazgos en auditoria son las diferencias signifcativas encontradas en el trabajo de auditoria con relacin
a lo normado o a lo presentado por la gerencia.
Atributos del hallazgo:
1. Condicin: la realidad encontrada
2. Criterio: cmo debe ser (la norma, la ley, el reglamento, lo que debe ser)
3. Causa: qu origin la diferencia encontrada.
4. Efecto: qu efectos puede ocasionar la diferencia encontrada.
Al plasmar el hallazgo el auditor deber indicar:
UNIDAD III
RIESGOS INFORMATICOS
La Organizacin Internacional de Normalizacin (ISO) defne riesgo tecnolgico como:
La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de
un activo, generando un impacto especfco, el cual puede estar representado por prdidas y daos.
Riesgo Informtico O tecnolgico
Riesgos: La incertidumbre que ocurra un evento que podra tener un impacto negativo en el logro de los
objetivos.
Los riesgos cuando se materializan, se denominan errores, irregularidades u omisiones, los cuales pueden generar
una prdida monetaria, en la imagen de la empresa o incumplimiento de normativa externa.
Para el auditor informtico el riesgo est defnido como el potencial de prdida de confdencialidad, disponibilidad o
integridad de la informacin.
Amenaza: cualquier circunstancia que posee el potencial de daar un recurso de TI.
Ej: destruccin, revelacin, modifcacin de datos, negacin de servicio
- Amenazas ms comunes:
- Errores, Fraude
- Desastres naturales, incendios accidentales, tormentas e inundaciones.
- Dao intencional / Ataque
- Falla de hardware/ software
- Disturbios, sabotajes internos y externos deliberados.
Tipos de Amenazas
- Factor Humano: Esta formada principalmente por personas malintencionadas o por incumplimiento de medidas de
seguridad. Ejemplos: curioso, intruso remunerado, personal de la organizacin, terroristas, robo, sabotaje, fraude,
ingeniera social
- Hardware: fallas fsicas de los dispositivos de computo de la organizacin, pueden ocurrir por un desperfecto de
fabrica, por una mala utilizacin o descuido en el mantenimiento.
- Red de datos: se presentan cuando la red de comunicacin no se encuentra disponible para su uso, puede ser
provocado por un ataque deliberado o por un error fsico o lgico. Las principales amanezas para una red son la no
disponibilidad de la red o la extraccin de informacin no autorizada a travs de ella
- Software: fallas lgicas en los sistemas. Pueden ser causadas por otro software que ha sido diseado para atacar
un sistema, por cdigo malicioso diseado para afectar un sistema o errores de programacin o de diseo del
mismo.
- Desastres naturales: eventos que tienen su origen en las fuerzas de la naturaleza, no solo pueden afectar la
informacin contenida en los sistemas, sino tambin la integridad del sistema completo. Ejemplos: inundaciones,
terremotos, incendios, huracanes, tormentas elctricas, etc.)
Vulnerabilidad
Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se
manifestan como debilidades o carencias
Las amenazas ocurren por causa de las vulnerabilidades asociadas con el uso de los recursos de TI.
Ejemplo de debilidades:
Falta de conocimientos del usuario
Falta de conocimientos de la funcionalidad de la seguridad
Eleccin deficiente de contraseas
Tecnologa no probada
Transmisin por comunicaciones no protegidas
Impacto
Consecuencias de la ocurrencia de las distintas amenazas: pueden ser fnancieras o no fnancieras.
Prdidas de uno u otro tipo
-Prdida directa de dinero
-Prdida de reputacin
-Prdida de oportunidad de negocio
-Reduccin en la efciencia / desempeo operativo
-Interrupcin de la actividad del negocio
Error en la asignacin o defnicin de perfles debido al cual se otorgan ms privilegios de lo necesario, permitiendo
la ejecucin de transacciones por personal sin las debidas atribuciones.
Ejemplos (Cont )
Prdida de confidencialidad de la informacin sensible
Exposicin no deseada de la informacin que es sensible que puede producir perjuicios a la organizacin o a sus
clientes al ser conocida por personas no autorizadas.
Comunicacin / Informacin defectuosa
Errores de comunicacin entre sistemas o plataformas tecnolgicas que pueden generar interrupcin de servicios,
informacin errnea, confusa o incompleta, de forma voluntaria o intencional.
Error en abonos / cargos de dineros en cuentas de clientes
Defciencias en el procesamiento de operaciones fnancieras y/o contables, con contrapartes comerciales, que
signifcan cargos o abonos a clientes que no corresponden.
Tipos de riesgos
Riesgo de Crdito
Riesgo Financiero
Riesgo Operacional
Riesgo de Tecnologa de la Informacin
Riesgo Calidad de Servicio y transparencia de la Informacin
Aspectos a considerar en la gestin del riesgo.
La gestin de riesgo debe considerar los siguientes aspectos:
Identificacin de activos
Identificacin de la Amenazas
Identificacin de las Vulnerabilidades
Determinar la Probabilidad de ocurrencia
Anlisis de Impacto
Determinacin del Riesgo
Recomendacin de Controles
Documentar los Resultados
Riesgos de Tecnologa de la Informacin
Agrupa todos los riesgos asociados con:
- la autorizacin,
- la integridad, y
- exactitud de las transacciones
Segn:
- se ingresan,
- se procesan,
- se resumen y
- se informan en los sistemas computacionales de una organizacin
Se manifestan en los siguientes componentes de un sistema:
Interfaz usuaria: se refiere a si existen restricciones que hagan que los trabajadores de una organizacin estn
autorizados a desarrollar funciones del negocio con una razonable segregacin de funciones.
Procesamiento; se relacionan a la existencia de controles que aseguran que el procesamiento de datos se ha
completado y realizado a tiempo.
Interface: Los riesgos en esta rea generalmente se relacionan con la existencia de controles adecuados,
preventivos o de deteccin, que aseguren que los datos que han sido procesados y/o resumidos sean transmitidos
adecuada y completamente a otro sistema de aplicacin que se alimente de estos datos/informacin y sean
procesados por dicho sistema.
Administracin del Cambio: Los riesgos en esta rea pueden ser generalmente considerados parte del Riesgo de
Infraestructura, pero ellos impactan signifcativamente sobre los sistemas de aplicacin. Estos riesgos estn
asociados con procesos inadecuados de administracin del cambio incluyendo tanto la participacin y
entrenamiento del usuario como el proceso por el cual los cambios de cualquier aspecto del sistema de aplicacin
son comunicados e implementados.
Riesgos de Tecnologa de la Informacin
Riesgo de Acceso no autorizado: puede ocurrir en los siguientes cinco niveles:
Red, el riesgo en esta rea est generado por el riesgo de acceso no autorizado a la red a pcs y servidores.
Ambiente de Procesamiento, el riesgo se genera con el acceso indebido al ambiente de procesamiento a los
programas y datos que estn almacenados en ese ambiente.
Sistemas de Aplicacin, est dado por una inadecuada segregacin de funciones que podra ocurrir si el acceso a
los sistemas estuviese concedido a personas con necesidades de negocio sin defniciones claras.
Acceso Funcional, dentro de aplicaciones (Cdigo fuente)
Acceso a nivel de campo o dato.
Riesgo de Disponibilidad
Riesgos asociados con la interrupcin de los sistemas a corto plazo donde las tcnicas de restitucin/recuperacin
se pueden utilizar para minimizar el alcance de la interrupcin.
Riesgos asociados con desastres que causan interrupciones en el procesamiento de la informacin a largo plazo y
que se centran en controles como backups y planes de contingencia.
La capacidad de la empresa para continuar con sus operaciones y procesos crticos puede depender en gran medida
de la disponibilidad de determinados sistemas de informacin. Si no se dispusiera de sistemas crticos o importantes
por un perodo importante, la compaa podra experimentar difcultades para continuar con sus operaciones.
Sistemas de informacin crticos e importantes que no estn disponibles para dar soporte a determinadas
operaciones pueden provocar:
Prdidas de ingresos,
Prdidas de ventajas competitivas,
Insatisfaccin de clientes y
Prdida de participacin de mercado,
Problemas de imagen,
Multas y sanciones.
Riesgos de Tecnologa de la Informacin
Riesgo de Infraestructura
El riesgo de que una organizacin no tenga una infraestructura efcaz de informacin tecnolgica (HW, SW, personas
y procesos) para apoyar las necesidades actuales y futuras del negocio de una forma efciente y efcaz en trminos
de costos y controles.
Principalmente estn relacionados con:
Planificacin organizacional; el riesgo de que los planes de informacin tecnolgica no estn integrados con los
planes del negocio presentes y futuros, afectando el proceso de toma de decisiones y planifcaciones inadecuadas.
Definicin requerimientos de sistemas de aplicacin; el riesgo de que las definiciones y necesidades de los
usuarios para nuevas soluciones de sistemas provoquen diseos inefcaces o incompletos. Los esfuerzos de
desarrollo no siguen un enfoque consistente para confrmar la satisfaccin del usuario y del negocio. Los esfuerzos
de implantacin no consideran adecuadamente el entrenamiento usuario.
Seguridad Lgica y Administracin de Seguridad; el riesgo de
acceso no autorizado a los sistemas, datos o transacciones crticos, tanto por personal de la compaa como
externos, resultando en prdida de la integridad de los datos/informacin y la exposicin o mal uso de informacin
confdencial..
Operaciones con computador y red; es el riesgo que los computadores y/o redes no sean eficientemente
administrados derivando en problemas de desempeo o de capacidad de los usuarios.
Administracin de Bases de Datos; es el riesgo de que los datos carezcan de la integridad necesaria para dar
apoyo a las decisiones de negocio.
Recuperacin del centro de proceso de datos; es el riesgo de que los sistemas, procesos y datos/informacin no
puedan ser restablecidos luego de una interrupcin del servicio de manera oportuna para las necesidades del
negocio.
procedimientos,
prcticas
Son desarrollados para proveer certeza razonable de que se alcanzarn los objetivos del negocio
de una organizacin y que los eventos de riesgo no deseados sern evitados o detectados y corregidos, ya
sea por cumplimiento de los controles o por iniciativa de la direccin.
La alta direccin es responsable de establecer la cultura apropiada para facilitar un sistema efectivo y
eficiente de control interno y de supervisar continuamente la efectividad del sistema de control interno
Control: actividad realizada manual o automticamente
para prevenir, corregir errores o irregulares que puedan afectar al funcionamiento de un sistema a la hora de
conseguir sus objetivos.
El Control Interno Informtico controla diariamente que todas las actividades de los sistemas de informacin sean
realizadas cumpliendo los procedimientos, estndares y normas fijados por la Direccin de la Organizacin y/o la
Direccin de Informtica, as como los requerimientos legales.
La misin del Control Interno Informtico es asegurarse de que las medidas que se obtienen de los mecanismos
implantados por cada responsable sean correctas y vlidas.
Objetivos
Verificar que todo se hace segn los procedimientos internos y normas legales se debe controlar que
todas las actividades se realizan cumpliendo con los procedimientos y normas fijados, evaluar su bondad y
asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas al resto de la organizacin.
Colaborar y apoyar al trabajo de la Auditora Informtica, as como de las auditoras externas al Grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del
servicio informtico
ACTIVIDADES QUE CONTROLAR:
Se debe realizar en los diferentes sistemas y entornos informticos
el control de las diferentes actividades operativa sobre:
El cumplimiento de procedimientos, normas y controles dictados.
Controles:
Sobre la produccin diaria.
Sobre la calidad y eficiencia del desarrollo y mantenimiento
del software y del servicio informtico.
En las redes de comunicaciones
Sobre el software de base.
En los sistemas microinformticos.
La seguridad informtica.
Licencias y relaciones contractuales con terceros.
Asesor y transmitir cultura sobre el riesgo informtico.
Los controles sirven para prevenir, detectar o corregir eventos ilcitos.
Clasifcacin de los controles:
Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas de riesgo o evitan que ocurran errores.
Funcin:
Detectar problemas antes que surjan, realizar ajustes
Monitorear tanto las operaciones como las entradas de datos
Impedir que ocurra un error, una omisin o un acto malicioso
Ejemplos:
para
Detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. En cierta
forma sirven para evaluar la eficiencia de los controles preventivos.
Funcin:
Usar
controles
que
detecten
reporten
que
Ejemplos
Puntos de verifcacin en los trabajos de produccin
Funciones de auditora interna
Doble verifcacin de clculos
Reportes de cuentas de usuarios caducados
Correctivos
Ayudan a la investigacin y correccin de las causas del riesgo
FUNCION
Minimizar el impacto de una amenaza
Remediar problemas descubiertos por controles
detectivos
Identifcar la causa de un problema
Corregir errores resultantes de un problema
Planeamiento de contingencias
Procedimientos de respaldo
Entorno de red.
Confguracin del ordenador/es central/es (hots).
Entorno de aplicaciones.
Productos y herramientas de desarrollo de software.
Seguridad (en especial del ordenador central y bases de datos).
Para la implantacin de un sistema de controles internos informticos habr que defnir objetivos, mtodos y
poltica de control para:
Gestin de sistemas de informacin: a travs de polticas, pautas y normas tcnicas que sirvan de base para el
diseo y la implantacin de los sistemas de informacin y de los controles correspondientes.
Administracin de sistemas.: a travs de controles sobre la actividad de los centros de datos y otras funciones de
apoyo al sistema, incluyendo la administracin de las redes.
Seguridad: que debe incluir las tres clases de controles fundamentales implantados en el software del sistema,
como integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestin de cambio: separacin de las pruebas y la produccin a nivel de software y controles de procedimientos,
para la migracin de programas software aprobados y probados.
A continuacin algunos controles internos, agrupados por secciones funcionales, y que seran los que el Control
Interno Informtico y la Auditora Informtica deberan verificar para determinar su cumplimiento y validez:
controles
incorporados
Autenticidad.-
Passwords
Huellas digitales
Iris, etc.
Exactitud.- Aseguran la coherencia de los datos
Validacin de campos
Validacin de excesos o casos de borde
Conteo de registros
Cifras de control.
Redundancia.- Evitan la duplicidad de datos.
Verificacin de secuencias
Privacidad.- Aseguran la proteccin de los datos.
Encriptacin.
Proteccin de Activos.Destruccin o corrupcin de
informacin o del hardware.
Extintores
Passwords.
Efectividad.- Aseguran el logro de los objetivos.
Encuestas de satisfaccin
Medicin de niveles de servicio.
Eficiencia.- Aseguran el uso ptimo de los recursos.
Anlisis costo-beneficio
Ej. Gestin de accesos de usuarios - Controles
Objetivo: Asegurar el acceso del usuario autorizado y prevenir el
acceso no autorizado a los sistemas de informacin.
Registro de usuarios.
Control.- Debe existir un procedimiento formal para el registro y cancelacin de usuarios con el fin de conceder y revocar acceso a
todos los servicios y sistemas de informacin.
Gestin de privilegios
metodologas
Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros
mecanismos a fn de evitar reclamos posteriores.
Controles de Desarrollo de Aplicaciones (Cont)
Los programas antes de pasar a Produccin deben ser probados con datos que agoten todas las excepciones
posibles.
Todos los sistemas deben estar debidamente documentados y actualizados
Implantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas, formatos de los sistemas
en desarrollo.
El sistema concluido ser entregado al usuario previo entrenamiento y elaboracin de los manuales de operacin
respectivos
Controles de Procesamiento
Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida
de la informacin, lo que conlleva al establecimiento de una serie de medidas de seguridad para:
Asegurar que todos los datos sean procesados
Garantizar la exactitud de los datos procesados
Garantizar que se grabe un archivo para uso de la
gerencia y con fnes de auditora (Log)
Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.
Controles de Operacin
Abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de
almacenamiento, la administracin de discos, la operacin de terminales y equipos de comunicacin por parte
de los usuarios de sistemas on line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir
en el Centro de Cmputo durante un proceso
Evitar o detectar el manejo de datos con fines fraudulentos
por parte de funcionarios del Centro de Procesamiento
Garantizar la integridad de los recursos informticos.
Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos
UNIDAD IV
COBIT
Para que la TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implantar un sistema de
control interno o un marco de trabajo.
COBIT contribuye a esto de la siguiente manera:
1. Identifcando los principales recursos de TI a ser utilizados
2. Organizando las actividades de TI en un modelo de procesos generalmente aceptado
3. Estableciendo un vnculo con los requerimientos del negocio
Defniendo los objetivos de control gerenciales a ser considerados
Objetivo del COBIT
El objetivo de COBIT es:
Requerimientos Fiduciarios:
Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser
proporcionada en forma oportuna, correcta, consistente y utilizable.
Efciencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva
y econmica).
Confabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas
para manejar la empresa y cumplir con sus responsabilidades.
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la
empresa
Requerimientos de seguridad:
o Confdencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada
o Integridad: Refere a lo exacto y completo de la informacin as como a su validez de acuerdo
con las expectativas de la empresa.
o Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio
y la salvaguarda de los recursos y capacidades asociadas a la misma.
Recursos de TI
El COBIT establece los siguientes recursos de TI necesarios para alcanzar los objetivos del negocio
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grfcas,
sonidos, etc.
Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y
sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de
datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar
servicios, dar soporte y monitorear los SI.
Niveles de COBIT
Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad
organizacional
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Dominios del COBIT
Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio?
Adquisicin e implementacin
AI4 Facilitar la Operacin y el Uso
El conocimiento sobre los nuevos sistemas debe estar disponible.
Este proceso requiere la generacin de documentacin y manuales para usuarios y para TI, y proporciona
entrenamiento para garantizar el uso y la operacin correcta de las aplicaciones y la infraestructura que satisface el
requerimiento del negocio de TI para garantizar la satisfaccin de los usuarios fnales mediante ofrecimientos de
servicios y niveles de servicio, y de forma transparente integrar las soluciones de aplicacin y tecnologa dentro de
los procesos del negocio
Enfocndose en
Proporcionar manuales efectivos de usuario y de operacin y materiales de entrenamiento para transferir el
conocimiento necesario para la operacin y el uso exitosos del sistema.
Se logra con
- El desarrollo y la disponibilidad de documentacin para transferir el conocimiento
- Comunicacin y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al personal de
operacin
- La generacin de materiales de entrenamiento
Y se mide con
- El nmero de aplicaciones en que los procedimientos de TI se integran en forma transparente dentro de los
procesos de negocio
- El porcentaje de dueos de negocios satisfechos con el entrenamiento de aplicacin y los materiales de
apoyo.
- El nmero de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario y a la operacin
DOMINIOS
PROCESOS
DS11 Administrar Datos: El objetivo es asegurar que los datos permanezcan com
durante su entrada, actualizacin, salida y almacenamiento, a travs de una com
controles generales y de aplicacin sobre las operaciones de TI.
DS12 Administrar Instalaciones: El objetivo es proporcionar un ambiente fsic
el equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesi
MONITOREO (M)
Todos los procesos de una organizacin necesitan ser evaluados
regularmente a travs del tiempo para verificar su calidad y
suficiencia en cuanto a los requerimientos de control, integridad y
confidencialidad.
UNIDAD V
SEGURIDAD INFORMATICA
NDICE
Seguridad Informtica
Caractersticas
Objetivos de la Seguridad Informtica
Trminos relacionados con la Seguridad Informtica
2. Polticas de la Seguridad Informtica
3. Clasifcacin de la informacin
4. Auditoria de la Seguridad Informtica
5. Tipos de medidas de seguridad
Medidas Fsicas
Medidas Lgica
Seguridad Informtica
Podemos entender como seguridad un estado de cualquier sistema (informtico o no) que nos indica que ese
sistema est libre de peligro, dao o riesgo.
Se entiende como peligro o dao todo aquello que pueda afectar su funcionamiento directo o los
resultados que se obtienen del mismo.
Consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de
una organizacin sean utilizados de la manera que se decidi, y que el acceso a la informacin all contenida
as como su modifcacin slo sea posible a las personas que se encuentren autorizadas y dentro de los lmites
de su autorizacin.
Trminos relacionados con la Seguridad Informtica
Amenaza: es un evento que pueden desencadenar un incidente en la organizacin, produciendo daos
materiales o prdidas inmateriales en sus activos.
Vulnerabilidad: es una debilidad que puede ser utilizada para causar un dao.
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Contingencia: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs
de computadoras necesarias para la operacin normal de un negocio.
Objetivos de Seguridad para satisfacer necesidades del negoci
Asegurar la disponibilidad de los sistemas de informacin
Asegurar la integridad de la informacin en sus sistemas informticos (almacenada y en transito)
Preservar la confdencialidad de los datos sensibles mientras estn almacenados y en transito
Asegurar el cumplimiento de leyes, regulaciones y estndares aplicables
Asegurar que todos los datos sensibles estn protegidos cuando se almacenan y cuando estn en transito,
en funcin a los requerimientos del negocio
Para que un sistema se pueda defnir como seguro debe tener estas cuatro caractersticas:
Integridad: La informacin slo puede ser modifcada por quien est autorizado.
Confdencialidad: La informacin slo debe ser legible para los autorizados.
Disponibilidad: Debe estar disponible cuando se necesita.
Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autora.
Confdencialidad, Integridad y Disponibilidad
La Seguridad de la Informacin protege la confdencialidad, integridad y disponibilidad de los sistemas de
informacin.
Confidencialidad busca asegurar que la informacin no es revelada a personas o procesos sin
autorizacin.
La prdida de confdencialidad puede ocurrir de varias maneras tal como:
1 La revelacin intencional de informacin privada de la organizacin o
2 Por medio de la mala aplicacin de derechos sobre la red informtica.
Integridad se refere al control de la informacin a travs de la preservacin de la consistencia
de los sistemas de informacin.
Disponibilidad busca asegurar que usuarios autorizados a un sistema posean acceso oportuno
e ininterrumpido a la informacin del sistema.
Clasifcacin de activos
Un control efectivo requiere de un inventario y una clasifcacin de activos de informacin, dicha lista es el primer
paso para clasifcar los activos y determinar el nivel de proteccin que se debe proveer a cada uno de ellos.
La clasifcacin de activos debe defnir:
- Quien es el propietario?
- Quien tiene derechos de acceso (necesita saber)
- Nivel de acceso otorgado
- Responsable de determinar sus derechos
y nivel de acceso
- Aprobaciones que se requieren para su acceso?
- Grado de controles de seguridad a aplicar
Tipos de Activos
Informacin
Bases de datos y archivos de datos
Contratos y acuerdos
Documentacin impresa o en lnea
Informacin de investigacin
El auditor informtico debe contemplar situaciones de incendios, inundaciones, robos, sabotajes, catstrofes
naturales, etc.
La seguridad lgica se refere a la seguridad en el uso del software, la proteccin de los datos y procesos
as como la del acceso ordenado y autorizado de los usuarios a la informacin.
El auditar la seguridad de los sistemas, tambin implica que se debe tener cuidado que no existan copias
piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin de
virus.
A la hora de responder a las preguntas anteriores hemos de diferenciar cuatro tipos fundamentales de
usuarios. A cada tipo se le aplicar una poltica distinta de control de accesos y se le imputaran distinto
grado de responsabilidad sobre el sistema:
El administrador del sistema y en su caso el administrador de la seguridad.
Los usuarios del sistema.
Las personas relacionadas con el sistema pero sin necesidad de usarlo
Las personas ajenas al sistema
Consideraciones de software
Tener instalado en la mquina nicamente el software
necesario reduce riesgos.
Tener controlado el software asegura la calidad de la
procedencia del mismo (el software pirata o sin garantas aumenta
los riesgos).
Un inventario de software proporciona un mtodo correcto de
asegurar la reinstalacin en caso de desastre.
Consideraciones de una red
Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de fcheros
desde discos, o de ordenadores ajenos, como porttiles.
Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores infectados
propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mnimo.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin, cmo se ha
introducido el virus.
Ejercicio
Una compaa dedicada a la produccin y distribucin de videos
clips, ha respaldado activamente el uso de notebooks por su
personal, de modo que cuando ellos viajan o trabajan desde sus
casas, puedan utilizarlas.
A travs de Internet, ellos pueden acceder a las bases de datos de la compaa y proveer informacin en lnea
a clientes.
Esto ha tenido un aumento en la productividad de los empleados . Basado en procedimientos escritos y
capacitacin, los empleados aprenden procedimientos de seguridad para evitar el acceso no autorizado a los datos
de la compaa.
Para el acceso, los empleados utilizan un inicio de sesin y contraseas para el servidor de aplicacin. Las
contraseas iniciales son asignadas por el administrador de seguridad y cuando el empleado inicia por 1ra vez, el
sistema fuerza un cambio de contrasea para mejor confdencialidad.
Actualmente, la gerencia esta considerando formas de mejorar la proteccin de seguridad para el acceso
remoto de sus empleados, ayuda a la gerencia contestando las siguientes preguntas:
Cul de los siguientes niveles crees que un grado mas alto de proteccin al aplicar un control de acceso para
evitar riesgos de acceso no autorizado?
1 Nivel de red
2 Nivel de aplicacin
3 Nivel de base de datos
4 Nivel de archivo de registro de auditoria
Cuando un empleado notifca a la compaa que ha olvidado su contrasea Qu te parece que debe hacer
PRIMERO el administrador?
1 Permitir que el sistema genere aleatoriamente una nueva contrasea.
2 Verifcar la identifcacin del usuario a travs de un sistema de pregunta/respuesta
3 Proveer al empleado la contrasea predeterminada y explicar que la cambie lo antes posible
4 Pedir al empleado que se traslade a la computadora del administrador para generarle una nueva
contrasea para asegurar la confdencialidad
Cual de las siguientes remocomendaciones es MAS probable que reduzca el riesgo de acceso remoto no
autorizado?
1 Mantener un registro de acceso (fecha, hora)
2 Actualizar polticas de corta fuegos (frewall) y verifcar su implementacin
3 Tener instalado un software antivirus en el servidor
Tarea de investigacin
Auditoria del ciclo de vida de los sistemas
1 Objetivos de control a auditar
2 Importancia de la auditoria del desarrollo
3 Tareas del auditor en:
El estudio de factibilidad /viabilidad, la defnicin de requerimientos, el proceso de adquisicin de
software, el diseo de sistemas, el desarrollo de sistemas, la etapa de implementacin, la etapa
de pruebas, el mantenimiento de los sistemas, la revisin posterior a la implementacin, la
administracin y gestin de proyectos
Determinar los componentes, objetivos y requerimientos principales de los usuarios de la aplicacin e identifcar las
reas que exigen controles al hacer entrevistas con miembros claves del proyecto.
Determinar y clasifcar los principales riesgos y exposicin a riesgos de la aplicacin, para permitir controles por medio
de discusiones con miembros del equipo del proyecto.
Identifcar los controles para minimizar los riesgos y exposiciones a riesgos de la aplicacin por referencia a fuentes
confables y por medio de discusiones con miembros del equipo del proyecto.
Asesorar al equipo del proyecto respecto del diseo de la aplicacin y la implantacin de controles al evaluar los
controles disponibles y al participar en discusiones con miembros del equipo del proyecto.
Monitorear el proceso de desarrollo, mantenimiento o adquisicin de las aplicaciones para asegurarse de que se
implantan los controles, se satisfacen los requerimientos de los usuarios y se sigue la metodologa mas adecuada en
cada caso, esto permite asegurarse que las aplicaciones son efcaces y efcientes, al realizar reuniones peridicas con
miembros del equipo del proyecto y al hacer exmenes de la documentacin y los productos en sus diversas etapas.
Cuando se revisa el proceso de desarrollo de sistemas, se espera que el auditor de sistemas obtenga la documentacin
necesaria y disponible de las diversas fases as como que asista a las reuniones del equipo del proyecto ofreciendo
asesoramiento durante todo el proyecto de desarrollo de sistemas. Tambin, el auditor de sistemas debe evaluar la capacidad
de los equipos del proyecto para producir los productos claves a entregar para las fechas prometidas. Durante todo el proceso
de desarrollo de sistemas el auditor de sistemas debe analizar los riesgos asociados y las exposiciones que son inherentes en
cada fase y asegurarse de que los mecanismos de control adecuados estn vigentes para minimizar esos riesgos y una forma
que sea efcaz en cuanto a costos. Debe utilizarse el tino para recomendar controles que no cuesten mas administrarlos que los
riesgos que deben minimizar.
Estudio de Factibilidad. El auditor de sistemas debe revisar la documentacin producida en esta fase y corroborar
su razonabilidad. Debe verifcarse todas las justifcaciones de costo / benefcio junto con el cronograma de cuando
se anticipaba que se realizaran los benefcios. Identifcar si la necesidad del negocio que se utiliza para justifcar
el sistema, realmente existe, y hasta que punto existe la necesidad. Determinar si puede obtenerse una solucin
con los sistemas vigentes. De no ser as corroborar la razonabilidad de la evaluacin de las soluciones
alternativas. Determinar si fnalmente se eligi la solucin mas apropiada.
Fase de diseo detallado y programacin. Revisar los flujogramas del sistema para observar el seguimiento del
diseo general, si se observan cambios, verifquen que fueron dadas sus aprobaciones apropiadas para los
cambios y que los cambios han sido discutidos y aprobados por los grupos de usuarios afectados. Revisar los
controles de entrada y salida diseados dentro del sistema, para comprobar que sean apropiados. Entrevistar a
los usuarios clave del sistema para comprobar su comprensin de cmo operar el sistema y evaluar su nivel de
entrada en el diseo de los formatos de pantalla y los informes de salida. Evaluar los rastros de auditora que se
programan, en el sistema para rastrear la informacin fuente clave. Verifcar la correccin de los clculos de los
procesos claves. Verifcar que el sistema puede identifcar y procesar correctamente datos errneos. Verifcar que
los procesos de prueba de los programas sean desarrollados durante esta fase. Verifcar que se hicieron las
correcciones recomendadas para los errores de programacin y que las pistas de auditora recomendados o los
mdulos de auditora fueron incorporadas en los programas correctos.
Fase de Prueba. La fase de prueba es crucial para determinar que los requerimientos han sido satisfechos y que el
sistema se comporta como se anticipaba. Por ende el auditor de sistemas debe participar en forma intensa y
revisar la fase. Examinar el plan de prueba, para verifcar que sea completo con la evidencia indicada de la
participacin del usuario, tal como escenario de situaciones de prueba creados por los usuarios y/o aprobacin
escrita de aceptacin de los resultados. Revisar todos los resultados de pruebas en paralelo para comprobar su
exactitud. Verifcar que la seguridad este funcionando adecuadamente, probando intentos de acceso no
permitidos. Examinar comprobando la precisin de los mensajes de error para reconocer los datos errneos y la
resolucin de estos errores.
Implantacin. Esta fase se inicia solo despus de una exitosa fase de prueba. Debe tenerse precaucin al
transferir un nuevo sistema a situacin de produccin. El auditor de sistemas debe verifcar que las aprobaciones
necesarias existen antes de implementar el nuevo sistema. Revisar los procedimientos programados que se
utilizan para hacer el cronograma y correr el sistema junto con los parmetros del sistema que se utilizan al
ejecutar el cronograma de actividades. Revisar la documentacin del sistema a fn de asegurarse de que esta
completo y que todas las actualizaciones posteriores a la fase de prueba han sido incorporadas. Verifcar toda la
conversin de datos para asegurarse de que es correcta y esta completa antes de implementar en produccin al
nuevo sistema.
Fase de Post-Implantacin. Luego que el nuevo sistema ha estado operando, por lo menos seis meses, el auditor
de sistemas independiente de las otras fases de la vida del sistema, revisar lo siguiente: Determinar si el
programa ha logrado los requerimientos de los objetivos, se debe prestar especial atencin a la utilizacin y la
satisfaccin de los usuarios fnales, ellos constituirn un indicador excelente. Verifcar que se miden, analizan e
informan adecuadamente a la gerencia los benefcios identifcados con el estudio de factibilidad. Revisar las
solicitudes de cambios a los programas que se han realizado, para evaluar el tipo de cambios que se exigen al
sistema, el tipo de cambios puede indicar problemas de diseo, programacin o interpretacin de los
requerimientos de usuario.
Para tomar la decisin de comprar el producto de un vendedor en lugar de crear una solucin interna, debe existir en el estudio
de factibilidad, documentacin sobre la decisin de "hacer vs. Comprar", esta documentacin debe ser analizada para
determinar si la decisin de comprar fue apropiada. y considerar lo siguiente respecto a los proveedores: Estabilidad fnanciera.
Nmero de aos de experiencia ofreciendo el producto. Nmero de sedes de clientes que usen el servicio. Compromiso de
servicio. Compromiso de desarrollar o mejorar el producto. Nivel de satisfaccin de otros clientes, si es posible visitar sus
instalaciones y ver como se utiliza en un ambiente real de produccin. Compromiso para la provisin de entrenamiento,
documentacin y upgrades a los productos. Aceptacin de pruebas de productos antes de la compra. Adicionalmente el auditor
de sistemas deber revisar el contrato en los siguientes puntos: Descripcin especfca de los productos a entregar.
Compromisos sobre fechas de entrega de los productos. Compromiso de entrega de los upgrades y entrenamiento. Entregas de
licencias y permisos para copiar el software para utilizarlo en esfuerzos de recuperacin de desastres.
El objetivo de esta revisin es identifcar, analizar y evaluar normas, tareas, procedimientos y controles en el proceso de control
de cambios a los programas. Las tareas de auditora en este aspecto son:
Evaluar los estndares y procedimientos para cambios a programas para asegurar su adecuacin por medio de
examen de la correspondiente documentacin, discusiones con personal clave y observaciones.
Probar los procedimientos de control de cambios para asegurar que se explican segn se describe en los
estndares por medio de discusin y examen de los registros respaldatorios.
Evaluar el proceso de control de cambios para determinar que los objetivos de control fueron cumplidos al
analizar los resultados de pruebas y otra evidencia de auditora.
Desde que un sistema es puesto en funcionamiento, se practican cambios, los cuales deben tener en cuenta una metodologa
para realizar y registrar estos cambios, esta metodologa debe incluir:
Procedimientos para autorizacin de los cambios a los programas de produccin. Documentacin de programas,
las solicitudes de cambio deben ser archivadas con la documentacin del programa afectado y debe incluirse la
documentacin de la razn del cambio (anlisis del costo / benefcio) si es necesario.
Rastros de auditora de cambios, siempre debe llevarse un rastro de auditora de todos los cambios o manejo de
versiones de los programas, esto generalmente lo posee el software de manejo de bibliotecas.
Concordancia del cdigo fuente y el ejecutable, se refere a que si un programa fuente es compilado nuevamente,
el programa ejecutable resultante es igual al programa que esta en produccin.
Controles de acceso a los programas de produccin, debe existir un riguroso control de acceso a los programas de
produccin, estos controles generalmente son manejados por el software de acceso al mainframe.
Qu es lo que hace?
Cmo se hace?
Con qu frecuencia se presenta?
Qu tan grande es el volumen de transacciones o de decisiones?
Cul es el grado de efciencia con el que se efectan las tareas?
Existe algn problema?
Si existe un problema. Qu tan serio es?
Si existe un problema. Cul es la causa de lo que origina?
Para contestar estas preguntas, el analista conversa con varias personas para reunir detalles relacionados con los
procesos de la empresa, sus opiniones sobre porque ocurren las cosas, las soluciones que proponen y sus ideas para
cambiar el proceso. Se emplea cuestionarios para obtener esta informacin cuando no es posible entrevistar, en
forma personal, a los miembros de grupos grandes dentro de la organizacin.
As mismo, las investigaciones detalladas requieren el estudio de manuales y reportes, la observacin en
condiciones reales de las actividades de trabajo y, en algunas ocasiones, muestras de formas y documentos con el
fn de comprender el proceso en su totalidad.
Conforme se renen los detalles, los analistas estudian los datos sobre requerimientos con la fnalidad de identifcar
las caractersticas que debe tener el nuevo sistema, incluyendo la informacin que deben producir los sistemas
junto con caractersticas operacionales tales como controles de procesamiento, tiempos de respuesta y mtodos de
entrada y salida.
construir todos los archivos de datos necesarios para utilizarla. Dependiendo del tamao de la organizacin que
emplear la aplicacin y el riesgo asociado con su uso, puede elegirse comenzar la operacin del sistema slo en un
rea de la empresa (prueba piloto). Cada estrategia de implantacin tiene sus mritos de acuerdo con la situacin
que se considere dentro de la empresa. Sin importar cul sea la estrategia utilizada, los encargados de desarrollar el
sistema procuran que el uso inicial del sistema se encuentre libre de problemas.
Una vez instaladas, las aplicaciones se emplean durante muchos aos. Sin embargo las organizaciones y los
usuarios cambian con el paso del tiempo, incluso el ambiente es diferente con el paso de las semanas y los meses.
Por consiguiente, es indudable que debe darse mantenimiento a las aplicaciones, realizar cambios y modifcaciones
en el software, archivos o procedimientos para satisfacer las nuevas necesidades de los usuarios. Dado que los
sistemas de las organizaciones junto con el ambiente de las empresas experimentan cambios de manera continua,
los sistemas de informacin deben mantenerse siempre al da. En este sentido la implantacin es un proceso en
constante evolucin.
La evolucin de un sistema se lleva a cabo para identifcar puntos dbiles y fuertes. La evaluacin ocurre a lo largo
de cualquiera de las siguientes dimensiones:
1. Evaluacin operacional: Valoracin de la forma en que funciona el sistema, incluyendo su facilidad de uso, tiempo
de respuesta, lo adecuado de los formatos de informacin, confabilidad global y nivel de utilizacin.
2. Impacto organizacional: Identifcacin y medicin de los benefcios para la organizacin en reas tales como
fnanzas, efciencia operacional e impacto competitivo. Tambin se incluye el impacto sobre el flujo de informacin
externo e interno.
3. Opinin de loa administradores: evaluacin de las actividades de directivos y administradores dentro de la
organizacin as como de los usuarios fnales.
4. Desempeo del desarrollo: La evaluacin de proceso de desarrollo de acuerdo con criterios tales como tiempo y
esfuerzo de desarrollo, concuerdan con presupuestos y estndares, y otros criterios de administracin de proyectos.
Tambin se incluye la valoracin de los mtodos y herramientas utilizados en el desarrollo.
Desafortunadamente la evaluacin de sistemas no siempre recibe la atencin que merece. Sin embargo, cuando se
conduce en forma adecuada proporciona mucha informacin que puede ayudar a mejorar la efectividad de los
esfuerzos de desarrollo de aplicaciones subsecuentes.
5. PRUEBA DE LOS SISTEMAS
Durante la fase de prueba de sistemas, el sistema se emplea de manera experimental para asegurarse de que el
software no tenga fallas, es decir que funcione de acuerdo con las especifcaciones y en la forma en que los usuarios
esperan que lo haga. Se alimentan como entradas conjuntos de datos de prueba para su procesamiento y despus
se examinan los resultados. En ocasiones se permite que varios usuarios utilicen el sistema para que los analistas
observen si tratan de emplearlo en formas no previstas. Es preferible descubrir cualquier sorpresa antes de que la
organizacin implante el sistema y dependa de l.
En muchas organizaciones, las pruebas son conducidas por personas ajenas al grupo que escribi los programas
originales; con esto se persigue asegurar, por una parte, que las pruebas sean completas e imparciales y, por otra,
que el software sea ms confable.
PRODUCCIN Y MANTENIMIENTO
Es el soporte continuado de un sistema despus de que se ha puesto en funcionamiento. Incluye el mantenimiento
de aplicaciones y mejoras al sistema.
Esta fase incluye actividades como:
-Correccin de Errores
-Recuperacin de datos por fallas del sistema
-Adaptacin del sistema a nuevas necesidades