Auditoria de la seguridad de los datos y del software de

aplicacin



Controles internos sobre el anlisis, desarrollo e implementacin de sistemas.

Las actividades que se realizan para el anlisis, diseo, desarrollo e
implementacin de sistemas de cualquier empresa son nicas y por lo tanto, no
tienen parecido alguno con otras actividades.
Por esta razn merecen un tratamiento ms especializado.

Puntos bsicos

Las consecuencias de un error (generalmente deben ser consideradas para
cada campo en la informacin de entrada).
Los puntos en el procesamiento de informacin en los cuales se puede
introducir un error en sta.
Lo adecuado de los controles introducidos para prevencin, deteccin y
correccin de errores de entrada.

Cmo pueden ocurrir errores en los datos de entrada?

Pueden estar registrados incorrectamente en el punto de entrada.
Pueden haber sido convertidos incorrectamente a forma legible por la
mquina.
Pueden haber sido perdidos al manejarlos;
Pueden haber sido incorrectamente procesados al ser ledos por el equipo
del cmputo.

El auditor debe investigar puntos tales como:

Qu ocurre a la informacin de entrada en que se encuentran los errores?
Qu sucede con una operacin no correspondida?
Qu sucede si los totales de control no coinciden?






Tipos de controles.

Control de distribucin.
Validacin de datos.
Totales de control.
Control de secuencia.
Pruebas de consistencia y verosimilitud.
Dgito de control

Control de distribucin.

La informacin de salida debe ser controlada en el sentido de que debe ser
distribuida a aquellas personas que necesitan los datos y no debe ser enviada a
aquellos que no estn autorizados para recibirla.

Validacin de datos.

Es necesario tener confianza en los datos a ser procesados, por eso mismo son
sometidos a una serie de pruebas para detectar los posibles errores que puedan
traer.
Estas pruebas actan como filtros de la informacin.
Los datos que logran pasar el filtro se dice que estn validados.
Aquellos que contienen errores son examinados, y una vez corregidos
pasan de nuevo por el filtro.

Totales de control.

Un sistema de validacin consiste en sumar por medio de la computadora el
contenido de un determinado campo de cada uno de los artculos de un archivo.
El resultado se compara con el total de estos mismos obtenidos manualmente.

Si el total manual no coincide con el total de la computadora es seal de
que se ha producido un error, esto es debido a que no estn escritos los
datos correctamente, o se omita un registro, duplicar registros.







Control de secuencia.

En datos como las facturas que estn foliadas, la computadora puede ejercer un
control de secuencia sobre este nmero de folio, con lo cual se detectar si se
omitieron o duplicaron registros.
Algunas veces se dan rangos de secuencia con vacos entre rango y rango,
entonces la investigacin se hace dentro de los lmites de cada rango.
En la mayora de las veces el control de secuencia se produce sobre la clave de
identificacin del artculo, pero en otras se incorpora un campo adicional al artculo
en donde se inserta el nmero de orden que permita el control de secuencia.

Pruebas de consistencia y verosimilitud.

Una prueba tpica de consistencia es ver si un campo de un registro al que hemos
definido como numrico, efectivamente soporta informacin numrica

Dgito de control

Dado que la clave de identificacin de los artculos de un registro, permite
individualizar cada uno de los artculos.
Es necesario asegurarse de que el contenido de la clave est correcto.

Cuando se escribe un nmero es factible cometer ciertos errores ya tpicos:

Error de omisin.
Error de adicin.
Error de transposicin.
Error de repeticin.
Error de transcripcin.
Error aleatorio.

Para detectar que el contenido de un campo de una clave es el correcto, lo que se
hace es aadir una cifra ms, obtenida como una combinacin matemtica de las
distintas cifras que integran el nmero de la clave de identificacin.

Existen dos fases en el problema:

Asignar a cada nmero de la clave su correspondiente dgito de control de manera
que desde este momento para cualquier transaccin el nmero de artculo tiene
que aparecer acompaado de su dgito de control.
Validacin de cualquier movimiento o transaccin en que intervenga el artculo.
Para ello se forma la parte que ser propiamente el nmero de clave, se calcula el
dgito de control y se compara con el que aparece asociado en la clave.

PROTECCIN DE LOS REGISTROS Y DE LOS ARCHIVOS.

Formas en que se pueden perder los archivos:
1. Su presencia en un ambiente destructivo.
2. Manejo indebido por parte del operador.
3. Mal funcionamiento de la mquina.

CONSIDERACIONES DE AUDITORA:
El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que
haya en los procedimientos para proteccin de registros y archivos y para su
restitucin en caso de prdida.
Aun cuando no ocurra una prdida, un sistema dbil pone en peligro los archivos.

PLAN DE PRESERVACIN DE LA INFORMACIN

Documentos fuente: Los documentos fuente en los que se basa un archivo
de entrada deben ser retenidos intactos hasta el momento en que el archivo
sea comprobado.
Archivo de discos: Una caracterstica del archivo de discos es que el
registro anterior es destruido, no produce una copia automticamente una
copia en duplicado.
Vaciado a otros medios: Esto puede ser vaciado a otros discos, o a papel
de impresin

Objetivos de la auditora del software de aplicacin

Verificar la presencia de procedimientos y controles.
Para satisfacer:
La instalacin del software
La operacin y seguridad del software.
La administracin del software






Detectar el grado de confiabilidad.
Grado de confianza, satisfaccin y desempeo.
Investigar si existen polticas con relacin al software.
Detectar si existen controles de seguridad.
Verificar que sea software legalizado.
Actualizacin del software de aplicacin


Evaluacin del software.


El auditor debe evaluar qu software se encuentra instalado en la organizacin.
Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de
datos, etc.
Tambin debe investigar las versiones de cada uno


Organizacin.

El auditor debe de verificar que existan polticas para:
La evaluacin del software.
Adquisicin o instalacin.
Soporte a usuarios.
Seguridad.


Instalacin y legalizacin.

Procedimientos para la instalacin del software.
El auditor debe investigar si existen procedimientos que aseguren la
oportuna instalacin del software.
Actividades durante la instalacin.
Por ejemplo: revisin de contenido del paquete, fecha de instalacin,
nmero de mquina, responsable de instalacin, etc.








Justificacin.
En algunas ocasiones se adquiere software pero su compra no estaba planeada,
entonces se debe formular una justificacin del porqu de esta adquisicin.
Software legal
El auditor debe de investigar las polticas cuando se encuentra software instalado
en mquinas sin licencias de uso.






Entrada y salida del software


Que el software que salga de la empresa sea:
Revisado (contenido, cantidad, destino).
Est registrado formalmente en la empresa.
Justificada plenamente su salida.
Aprobado por el responsable del rea de informtica
Registrado en bitcora (quin y a qu hora lo sac)
Devuelto en las mismas condiciones.
El personal est comprometido a no hacer mal uso del mismo.
Revisado (contenido, cantidad, procedencia).
Aprobado por el responsable de informtica.
Registrado (quin y a qu hora lo introdujo)
Devuelto en tiempo (comparar con fecha estipulada de devolucin).
Devuelto en las mismas condiciones.
El personal est comprometido a no hacer mal uso del mismo.