www.monografias.

com

Auditoria de Sistemas
Indice 1. Introduccin 2. Evaluacin de la Seguridad 3. Ciclo de Seguridad 4. Conclusin 5. Bibliograf a 1. Introduccin La naturaleza especializada de la auditora de los sistemas de informacin y las habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el desarrollo y la promulgacin de Normas Generales para la uditora de los !istemas de "nformacin. La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos #o de cualquier porcin de ellos$ de los sistemas autom%ticos de procesamiento de la informacin, incluidos los procedimientos no autom%ticos relacionados con ellos y las interfaces correspondientes. &ara hacer una adecuada planeacin de la auditora en inform%tica, hay que seguir una serie de pasos previos que permitir%n dimensionar el tama'o y caractersticas de %rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. continuacin, la descripcin de los dos principales ob(etivos de una auditora de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cmputo, con controles, tipos y seguridad. )n el caso de la auditora en inform%tica, la planeacin es fundamental, pues habr% que hacerla desde el punto de vista de los dos ob(etivos*

)valuacin de los sistemas y procedimientos. )valuacin de los equipos de cmputo.

&ara hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de inform%tica a evaluar. &ara ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de traba(o, el cual deber% incluir tiempo, costo, personal necesario y documentos au+iliares a solicitar o formular durante el desarrollo de la misma. ,onsta de* -.. )valuacin de los !istemas )valuacin de los diferentes sistemas en operacin #flu(o de informacin, procedimientos, documentacin, redundancia, organizacin de archivos, est%ndares de programacin, controles, utilizacin de los sistemas$. )valuacin del avance de los sistemas en desarrollo y congruencia con el dise'o general )valuacin de prioridades y recursos asignados #humanos y equipos de cmputo$ !eguridad fsica y lgica de los sistemas, su confidencialidad y respaldos /.. )valuacin de los equipos ,apacidades 0tilizacin Nuevos &royectos !eguridad fsica y lgica )valuacin fsica y lgica ,ontroles administrativos en un ambiente de &rocesamiento de 1atos La m%+ima autoridad del 2rea de "nform%tica de una empresa o institucin debe implantar los siguientes controles que se agruparan de la siguiente forma*

-.. ,ontroles de &reinstalacin /.. ,ontroles de 3rganizacin y &lanificacin 4.. ,ontroles de !istemas en 1esarrollo y &roduccin 5.. ,ontroles de &rocesamiento 6.. ,ontroles de 3peracin 7.. ,ontroles de uso de 8icrocomputadores -.. ,ontroles de &reinstalacin 9acen referencia a procesos y actividades previas a la adquisicin e instalacin de un equipo de computacin y obviamente a la automatizacin de los sistemas e+istentes. 3b(etivos*

Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de

que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. Garantizar la seleccin adecuada de equipos y sistemas de computacin segurar la elaboracin de un plan de actividades previo a la instalacin

cciones a seguir*

)laboracin de un informe t:cnico en el que se (ustifique la adquisicin del equipo, software

y servicios de computacin, incluyendo un estudio costo.beneficio.

;ormacin de un comit: que coordine y se responsabilice de todo el proceso de adquisicin

e instalacin )laborar un plan de instalacin de equipo y software #fechas, actividades, responsables$ el mismo que debe contar con la aprobacin de los proveedores del equipo. )laborar un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos, programas y servicios computacionales. )ste proceso debe enmarcarse en normas y disposiciones legales. )fectuar las acciones necesarias para una mayor participacin de proveedores. segurar respaldo de mantenimiento y asistencia t:cnica.

/.. ,ontroles de organizacin y &lanificacin !e refiere a la definicin clara de funciones, lnea de autoridad y responsabilidad de las diferentes unidades del %rea & 1, en labores tales como*

1ise'ar un sistema )laborar los programas 3perar el sistema ,ontrol de calidad

!e debe evitar que una misma persona tenga el control de toda una operacin. cciones a seguir

La unidad inform%tica debe estar al mas alto nivel de la pir%mide administrativa de manera
que cumpla con sus ob(etivos, cuente con el apoyo necesario y la direccin efectiva. Las funciones de operacin, programacin y dise'o de sistemas deben estar claramente delimitadas. 1eben e+istir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operacin del computador y los operadores a su vez no conozcan la documentacin de programas y sistemas. 1ebe e+istir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento.

 )l mane(o y custodia de dispositivos y archivos magn:ticos deben estar e+presamente

definidos por escrito.

Las actividades del & 1 deben obedecer a planificaciones a corto, mediano y largo plazo
su(etos a evaluacin y a(ustes peridicos <&lan 8aestro de "nform%tica<

1ebe e+istir una participacin efectiva de directivos, usuarios y personal del & 1 en la
planificacin y evaluacin del cumplimiento del plan.

Las instrucciones deben impartirse por escrito.

4.. ,ontroles de !istema en 1esarrollo y &roduccin !e debe (ustificar que los sistemas han sido la me(or opcin para la empresa, ba(o una relacin costo. beneficio que proporcionen oportuna y efectiva informacin, que los sistemas se han desarrollado ba(o un proceso planificado y se encuentren debidamente documentados. cciones a seguir* Los usuarios deben participar en el dise'o e implantacin de los sistemas pues aportan conocimiento y e+periencia de su %rea y esta actividad facilita el proceso de cambio

)l personal de auditora interna=control debe formar parte del grupo de dise'o para sugerir y
solicitar la implantacin de rutinas de control

)l desarrollo, dise'o y mantenimiento de sistemas obedece a planes especficos,

metodologas est%ndares, procedimientos y en general a normatividad escrita y aprobada. ,ada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores. Los programas antes de pasar a &roduccin deben ser probados con datos que agoten todas las e+cepciones posibles. >odos los sistemas deben estar debidamente documentados y actualizados. La documentacin deber% contener*

. "nforme de factibilidad . 1iagrama de bloque . 1iagrama de lgica del programa . 3b(etivos del programa . Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobacin de modificaciones . ;ormatos de salida . ?esultados de pruebas realizadas

"mplantar procedimientos de solicitud, aprobacin y e(ecucin de cambios a programas,

formatos de los sistemas en desarrollo. )l sistema concluido ser% entregado al usuario previo entrenamiento y elaboracin de los manuales de operacin respectivos

5.. ,ontroles de &rocesamiento Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de seguridades para*

segurar que todos los datos sean procesados. Garantizar la e+actitud de los datos procesados. Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora segurar que los resultados sean entregados a los usuarios en forma oportuna y en las
me(ores condiciones. cciones a seguir*

 @alidacin de datos de entrada previo procesamiento debe ser realizada en forma

autom%tica* clave, dgito autoverificador, totales de lotes, etc.

&reparacin de datos de entrada debe ser responsabilidad de usuarios y consecuentemente

su correccin.

?ecepcin de datos de entrada y distribucin de informacin de salida debe obedecer a un

horario elaborado en coordinacin con el usuario, realizando un debido control de calidad. doptar acciones necesaria para correcciones de errores. nalizar conveniencia costo.beneficio de estandarizacin de formularios, fuente para agilitar la captura de datos y minimizar errores. Los procesos interactivos deben garantizar una adecuada interrelacin entre usuario y sistema. &lanificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la informacin y el buen servicio a usuarios.

6.. ,ontroles de 3peracin barcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de almacenamiento, la administracin de la cintoteca y la operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas on line. Los controles tienen como fin*

&revenir o detectar errores accidentales que puedan ocurrir en el ,entro de ,mputo

durante un proceso

)vitar o detectar el mane(o de datos con fines fraudulentos por parte de funcionarios del
& 1

Garantizar la integridad de los recursos inform%ticos. segurar la utilizacin adecuada de equipos acorde a planes y ob(etivos.
cciones a seguir*

)l acceso al centro de computo debe contar con las seguridades necesarias para reservar el
ingreso al personal autorizado "mplantar claves o password para garantizar operacin de consola y equipo central #mainframe$, a personal autorizado. ;ormular polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como* incendio, vandalismo, robo y uso indebido, intentos de violacin y como responder ante esos eventos. 8antener un registro permanente #bit%cora$ de todos los procesos realizados, de(ando constancia de suspensiones o cancelaciones de procesos. Los operadores del equipo central deben estar entrenados para recuperar o restaurar informacin en caso de destruccin de archivos. Los bacAups no deben ser menores de dos #padres e hi(os$ y deben guardarse en lugares seguros y adecuados, preferentemente en bvedas de bancos. !e deben implantar calendarios de operacin a fin de establecer prioridades de proceso. >odas las actividades del ,entro de ,omputo deben normarse mediante manuales, instructivos, normas, reglamentos, etc. )l proveedor de hardware y software deber% proporcionar lo siguiente* . 8anual de operacin de equipos . 8anual de lengua(e de programacin . 8anual de utilitarios disponibles . 8anual de !istemas operativos

Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, asi
como e+tintores de incendio, cone+iones el:ctricas seguras, entre otras.

"nstalar equipos que prote(an la informacin y los dispositivos en caso de variacin de

volta(e como* reguladores de volta(e, supresores pico, 0&!, generadores de energa.

 ,ontratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo
que se produzca por casos fortuitos o mala operacin. 7.. ,ontroles en el uso del 8icrocomputador )s la tarea mBs difcil pues son equipos mas vulnerables, de f%cil acceso, de f%cil e+plotacin pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la informacin. cciones a seguir*

dquisicin de equipos de proteccin como supresores de pico, reguladores de volta(e y de ser posible 0&! previo a la adquisicin del equipo @encida la garanta de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. )stablecer procedimientos para obtencin de bacAups de paquetes y de archivos de datos. ?evisin peridica y sorpresiva del contenido del disco para verificar la instalacin de aplicaciones no relacionadas a la gestin de la empresa. 8antener programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos. &ropender a la estandarizacin del !istema 3perativo, software utilizado como procesadores de palabras, ho(as electrnicas, mane(adores de base de datos y mantener actualizadas las versiones y la capacitacin sobre modificaciones incluidas.

?evisin de ,entros de ,mputo ,onsiste en revisar los controles en las operaciones del centro de procesamiento de informacin en los siguientes aspectos* -.. ?evisin de controles en el equipo !e hace para verificar si e+isten formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado peridicamente. /.. ?evisin de programas de operacin !e verifica que el cronograma de actividades para procesar la informacin asegure la utilizacin efectiva del computador. 4.. ?evisin de controles ambientales !e hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores, aire acondicionado, fuentes de energa continua, e+tintores de incendios, etc. 5.. ?evisin del plan de mantenimiento qu se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo. 6.. ?evisin del sistema de administracin de archivos !e hace para verificar que e+istan formas adecuadas de organizar los archivos en el computador, que est:n respaldados, as como asegurar que el uso que le dan es el autorizado. 7.. ?evisin del plan de contingencias qu se verifica si es adecuado el plan de recupero en caso de desastre, el cual se detalla mas adelante. 2. Evaluacin de la Seguridad La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. >ambi:n pueden ocurrir robos, fraudes o sabota(es que provoquen la destruccin total o parcial de la actividad computacional. )sta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. )n la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar* el llamado <virus< de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin #<piratas<$ y borra toda la informacin que se tiene en un disco.

l auditar los sistemas se debe tener cuidado que no se tengan copias <piratas< o bien que, al conectarnos en red con otras computadoras, no e+ista la posibilidad de transmisin del virus. )l uso inadecuado de la computadora comienza desde la utilizacin de tiempo de m%quina para usos a(enos de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos. La seguridad en la inform%tica abarca los conceptos de seguridad fsica y seguridad lgica* La seguridad fsica, se refiere a la proteccin del 9ardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. ,ontempla las situaciones de incendios, sabota(es, robos, cat%strofes naturales, etc. La seguridad lgica, se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.

0n m:todo eficaz para proteger sistemas de computacin es el software de control de acceso. 1icho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrase'a antes de permitirle el acceso a informacin confidencial. 1ichos paquetes han sido populares desde hace muchos a'os en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes. ,ausas de realizacin de una uditora de !eguridad )sta constituye la ; !) C de la auditora y el orden C de actividades de la misma. )l equipo auditor debe conocer las razones por las cuales el cliente desea realizar el ,iclo de !eguridad. &uede haber muchas causas* ?eglas internas del cliente, incrementos no previstos de costes, obligaciones legales, situacin de ineficiencia global notoria, etc.

1e esta manera el auditor conocer% el entorno inicial. s, el equipo auditor elaborar% el &lan de >raba(o. 3. Ciclo de Seguridad )l ob(etivo de la auditora de seguridad es revisar la situacin y las cuotas de eficiencia de la misma en los rganos m%s importantes de la estructura inform%tica. &ara ello, se fi(an los supuestos de partida* )l %rea auditada es la !eguridad. )l %rea a auditar se divide en* !egmentos. Los segmentos se dividen en* !ecciones. Las secciones se dividen en* !ubsecciones.

1e este modo la auditora se realizara en 4 niveles. Los segmentos a auditar, son*

!egmento -* !eguridad de cumplimiento de normas y est%ndares. !egmento /* !eguridad de !istema 3perativo. !egmento 4* !eguridad de !oftware. !egmento 5* !eguridad de ,omunicaciones. !egmento 6* !eguridad de Dase de 1atos. !egmento 7* !eguridad de &roceso.

 !egmento E* !eguridad de plicaciones. !egmento F* !eguridad ;sica.

,onceptualmente la auditoria inform%tica en general y la de !eguridad en particular, ha de desarrollarse en seis fases bien diferenciadas* ;ase C. ,ausas de la realizacin del ciclo de seguridad. ;ase -. )strategia y logstica del ciclo de seguridad. ;ase /. &onderacin de sectores del ciclo de seguridad. ;ase 4. 3perativa del ciclo de seguridad. ;ase 5. ,%lculos y resultados del ciclo de seguridad. ;ase 6. ,onfeccin del informe del ciclo de seguridad.

su vez, las actividades auditoras se realizan en el orden siguiente*

1. ,omienzo del proyecto de uditora "nform%tica. 2. signacin del equipo auditor. 3. signacin del equipo interlocutor del cliente. 4. ,umplimentacin de formularios globales y parciales por parte del cliente. 5. signacin de pesos t:cnicos por parte del equipo auditor. 6. signacin de pesos polticos por parte del cliente. 7. signacin de pesos finales a segmentos y secciones. 8. &reparacin y confirmacin de entrevistas. 9. )ntrevistas, confrontaciones y an%lisis y repaso de documentacin. 10. ,Blculo y ponderacin de subsecciones, secciones y segmentos. 11. "dentificacin de %reas me(orables. 12. )leccin de las %reas de actuacin prioritaria. 13. &reparacin de recomendaciones y borrador de informe 14. 1iscusin de borrador con cliente. 15. )ntrega del informe.
4. Conclusin La auditora en inform%tica es la revisin y la evaluacin de los controles, sistemas, procedimientos de inform%ticaG de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del se'alamiento de cursos alternativos se logre una utilizacin m%s eficiente y segura de la informacin que servir% para una adecuada toma de decisiones. La auditora en inform%tica deber% comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adem%s habr% de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditora en inform%tica es de vital importancia para el buen desempe'o de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. dem%s debe evaluar todo #inform%tica, organizacin de centros de informacin, hardware y software$. 5. Bibliograf a http*==www.geocities.com=lsialer=Notas"nteresantes.htm http*==www.monografias.com=traba(os=auditoinfo=auditoinfo.shtml http*==www.monografias.com=traba(os=maudisist=maudisist.shtml

>raba(o enviado por* ,armen 1H!ousa cecidsousaIcantv.net