EVALUACION DE SISTEMAS

ITIC 51D
YENI DURAN BARCO
RAUL ISRAEL NAVARRO HERNANDEZ
JAVIER DE DIOS
 DEFINICIONES BASICAS

UN SISTEMA ES MODULO
ORDENADO DE ELEMENTOS QUE
SE ENCUENTRAN
INTERRELACIONADOS Y QUE
INTERACTUAN ENTRE SI.
 PARA QUE NOS
SIRVE?
LA EVALUACION SE USA PARA CARACTERIZAR Y
EVALUAR TEMAS DE INTERES.
EN EL CONTEXTO DE LOS SISTEMAS, LA
EVALUACION ES NECESARIA PARA LA MEJORA
DE LACALIDAD.
ES UN PROCESO QUE REALIZA UN ANALISIS DE
INFORMACION QUE INCREMENTA LOS
CONOCIMIENTOS SOBRE EL SISTEMA
EL DISEO DEL SITEMA DE EVALUACION
REQUIERE UNA TAREA RIGUROSA A NIVEL
TECNICO Y EN EL DISEO DE INSTRUMENTOS Y
ESTRATEGIAS DE RECOLECCION DE
INFORMACION.
ES EL PRIMER PASO PRACTICO DEL
AUDITOR EN INFORMATICA DENTRO DE
LAS EMPRESAS O INSTITUCIONES AL
EFECTUAR UN PROYECTO DE AUDITORIA
EN INFORMATICA.

ESTA ETAPA ES UN ASPECTO

NECESARIO PARA ENTENDER LO
PUNTOS DEBILES Y FUERTES DE
LA FUNCION INFORMATICA
DESDE UN PUNTO DE VISTA DE
LOS USUARIOS CLAVE Y LA
ALTA DIRECCION.
TODAS LAS ACTIVIDADES
DEL AUDITOR EN
INFORMATICA DEBEN ESTAR
CLARAMENTE DEFINIDAS

LA ELABORACION DE SISTEMAS
DEBE SER EVALUADAS CON
MUCHO DETALLE Y REVISAR SI
EXISTEN SISTEMAS
ENTRELAZADOS COMO UN
TODO O BIEN SI EXISTEN
PROGRAMAS AISLADOS.
OTRO FACTOR A EVALUAR ES SI
EXISTE UN PLAN ESTRATEGICO
PARA LA ELABORACION DE LOS
SISTEMAS O SI ESTAN
ELABORADOS SIN EL
ADECUADO SEALAMIENTO DE
PRIORIDADES Y DE OBJETIVOS.
 PLAN ESTRATEGICO

DEBERA ESTABLECER LOS

SERVICIOS QUE SE
PRESENTARAN EN UN FUTURO
CONTESTANDO PREGUNTAS
COMO:
-Cules servicios se
implementaran?
-Cundo se pondrn a
disposicin de los usuarios?
.. etc
LA ESTRATEGIA DE DESARROLLO DEBER ESTABLECER LAS NUEVAS
APLICACIONES, RECURSOS Y LA ARQUITECTURA EN QUE ESTARN
FUNDAMENTADOS:

Qu aplicaciones sern
desarrolladas y cuando?
Qu tipo de archivos se
utilizarn y cuando?
Qu bases de datos sern
utilizarn y cuando?
Qu lenguajes se utilizarn y
en que software?
Qu tecnologa ser utilizada y
cuando se implementar?
Cuantos recursos se requerirn
aproximadamente?
Cul es aproximadamente el
monto de la inversin en
hardware y software?
EN LO REFERENTE A LA CONSULTA A LOS USUARIOS, EL PLAN
ESTRATGICO DEBE DEFINIR LOS REQUERIMIENTOS DE
INFORMACIN DE LA DEPENDENCIA.

QU ESTUDIOS VAN A SER

REALIZADOS AL RESPECTO?
QU METODOLOGA SE
UTILIZAR PARA DICHOS
ESTUDIOS?
QUIN ADMINISTRAR Y
REALIZAR DICHOS ESTUDIOS?

EN EL REA DE AUDITORA
INTERNA DEBE EVALUARSE
CUL HA SIDO LA
PARTICIPACIN DEL AUDITOR Y
LOS CONTROLES
ESTABLECIDOS.
POR LTIMO, EL PLAN ESTRATGICO DETERMINA LA PLANEACIN
DE LOS RECURSOS.

Contempla el plan estratgico

las ventajas de la nueva
tecnologa?
Cul es la inversin requerida
en servicios, desarrollo y
consulta a los usuarios?
 El proceso de planeacin de sistemas deber asegurarse de que todos los
recursos
requeridos estn claramente identificados en el plan de desarrollo de
aplicaciones y datos. Estos recursos (hardware, software y comunicaciones)
debern ser compatibles con la arquitectura y la tecnologa, conque se cuenta
actualmente.

Los sistemas deben evaluarse de

acuerdo con el ciclo de vida que
normalmente siguen:
requerimientos del usuario, estudio
de factibilidad, diseo general,
anlisis, diseo lgico,
desarrollo fsico, pruebas,
implementacin, evaluacin,
modificaciones, instalacin, mejoras.
Y
se vuelve nuevamente al ciclo inicial.
el cual a su vez debe comenzar con el
de factibilidad.
 EVALUACION
INTERNA
ESTA EN RELACION A LOS
FACTORES DE:
EFICACIA(SE LOGRAN
REALIZAR LAS METAS
DESEADAS?),
FACTIBILIDAD(Qu TAN
REALIZABLE ES?RECURSOS,
POSIBILIDAD DE
REALIZARSE,EXISTENCIA EN
MERCADO, COSTO),
EFICIENCIA (COINCIDEN
OBJETIVOS CON
RESULSTADOS ESPERADOS)
Y FIABILIDAD (Qu TAN
CONFIABLE ES?SE LOGRAN
METAS Y RESULTADOS
ESPERADOS)
 EVALUACION
EXTERNA

SON TODOS LOS FACTORES

RELACIONADOS CON LOS
USUARIOS DEL SISTEMA ESTOS
PUEDEN SER:
COSTO, IMPACTO EN LA
SOCIEDAD, A LA CULTURA, ASI
COMO RIESGOS Y
CONSECUENCIAS A LA
NATURALEZA
LA PRIMERA ETAPA A EVALUAR DEL SISTEMA ES EL ESTUDIO DE FACTIBILIDAD, EL
CUAL DEBE ANALIZAR SI EL SISTEMA ES FACTIBLE DE REALIZARSE, CUL ES SU
RELACIN COSTO/BENEFICIO Y SI ES RECOMENDABLE ELABORARLO.

EN EL CASO DE SISTEMAS QUE

ESTN FUNCIONANDO, SE
DEBER COMPROBAR SI EXISTE
EL ESTUDIO DE
FACTIBILIDAD CON LOS PUNTOS
SEALADOS Y COMPARARSE
CON LA REALIDAD CON LO
ESPECIFICADO EN EL
ESTUDIO DE FACTIBILIDAD.
 OBJETIVOS

El objetivo final que tiene el

auditor de sistemas es dar
recomendaciones a la alta
gerencia
para mejorar o lograr un
adecuado control interno en
ambientes de tecnologa
informtica con el
fin de lograr mayor eficiencia
operacional y administrativa.
Objetivos especficos de
1. Participacin en el desarrollo de
la auditora de sistemas:
nuevos sistemas:
a. Evaluacin de controles
b. Cumplimiento de la metodologa.
2. Evaluacin de la seguridad en el
rea Informtica.
3. Evaluacin de suficiencia en los
planes de contingencia.
a. Respaldos, prever qu va a pasar
si se presentan fallas.
4. Opinin de la utilizacin de los
recursos informticos.
a. Resguardo y proteccin de
activos. .
5. Control de modificacin a las
aplicaciones existentes.
a. Fraudes
b. Control a las modificaciones de
los programas.
6. Participacin en la negociacin de
contratos con los proveedores.
7. Revisin de la utilizacin del
sistema operativo y los programas.
a. Utilitarios
b. Control sobre la utilizacin de los
sistemas operativos
c. Programas utilitarios.
8. Auditora de la base de datos.
a. Estructura sobre la cual se
desarrollan las aplicaciones.
9. Auditoria de la red de teleprocesos
10. Desarrollo de software de
auditora.
 EVALUACION DEL DISEO LOGICO DEL SISTEMA

En esta etapa se debern analizar

las especificaciones del sistema.
Qu deber hacer?,
Cmo lo deber hacer?,
Secuencia Y ocurrencia de los
datos, el proceso y salida de
reportes?
 LOS PUNTOS A
EVALUAR SON:
Entradas.
Salidas.
Procesos.
Especificaciones de datos.
Especificaciones de proceso.
Mtodos de acceso.
Operaciones.
Manipulacin de datos (antes y despus del
proceso electrnico de datos).
Proceso lgico necesario para producir informes.
Identificacin de archivos, tamao de los
campos y registros.
Proceso en lnea o lote y su justificacin.
Frecuencia y volmenes de operacin.
Sistemas de seguridad.
Sistemas de control.
Responsables.
Nmero de usuarios.
 Dentro del estudio de los sistemas en uso se
deber solicitar:

Manual del usuario.

Descripcin de flujo de informacin y/o
procesos.
Descripcin y distribucin de informacin.
Manual de formas.
Manual de reportes.
Lista de archivos y especificaciones.
LO QUE SE DEBE DETERMINAR
EN EL SISTEMA:
 En el procedimiento:

Quin hace, cuando y

como?
Qu formas se utilizan en
el sistema?
Son necesarias, se usan,
estn duplicadas?
El nmero de copias es el
adecuado?
Existen puntos de control o
faltan?
 En la grfica de flujo de
informacin:

Es fcil de usar?
Es lgica?
Se encontraron
lagunas?
Hay faltas de control?
 En el diseo:

Cmo se usar la
herramienta de diseo si
existe?
Qu tambin se ajusta la
herramienta al
procedimiento?
Evaluacin del desarrollo del
Sistema
En esta etapa del sistema se debern auditar los programas, su diseo,
el leguaje utilizado, interconexin entre los programas y caractersticas
del hardware empleado (total o parcial) para el desarrollo del sistema.

Es importante considerar las

variables que afectan a un
sistema: ubicacin en los
niveles de la organizacin, el
tamao y los recursos que
utiliza.
 Las caractersticas que deben evaluarse en los
sistemas son:
Dinmicos (susceptibles de modificarse).
Estructurados (las interacciones de sus componentes o
subsistemas deben actuar como un todo)
Integrados (un solo objetivo). En l habr sistemas que
puedan ser interrelacionados y no programas aislados.
Accesibles (que estn disponibles).
Necesarios (que se pruebe su utilizacin).
Comprensibles (que contengan todos los atributos).
Oportunos (que est la informacin en el momento que
se requiere).
Funcionales (que proporcionen la informacin adecuada
a cada nivel).
Estndar (que la informacin tenga la misma
interpretacin en los distintos niveles).
Modulares (facilidad para ser expandidos o reducidos).
Jerrquicos (por niveles funcionales).
Seguros (que slo las personas autorizadas tengan
acceso).
nicos (que no duplique informacin).
Auditora informtica de
comunicaciones y redes
 PARA EL INFORMTICO Y PARA EL AUDITOR INFORMTICO, EL ENTRAMADO CONCEPTUAL QUE
CONSTITUYEN LAS REDES NODALES, LNEAS, CONCENTRADORES, MULTIPLEXORES, REDES
LOCALES, ETC. NOSON SINO EL SOPORTE FSICO-LGICO DEL TIEMPO REAL.

El auditor de Comunicaciones
deber inquirir sobre los ndices de
utilizacin de las lneas
contratadas con informacin
abundante sobre tiempos de
desuso. Deber proveerse de la
topologa de la Red de
Comunicaciones, actualizada, ya
que la desactualizacin de esta
documentacin significarla una
grave debilidad.
Auditora de comunicaciones
 Ha de verse:

La gestin de red = los equipos y

su conectividad.
La monitorizacin de las
comunicaciones.
La revisin de costes y la
asignacin formal de proveedores.
Creacin y aplicabilidad de
estndares.
 Cumpliendo como objetivos de control:
Tener una gerencia de
comunicaciones con plena
autoridad de voto y accin.
Llevar un registro actualizado de
mdems, controladores,
terminales, lneas y todo
equipo relacionado con las
comunicaciones.
Mantener una vigilancia constante
sobre cualquier accin en la red.
Registrar un coste de
comunicaciones y reparto a
encargados.
Mejorar el rendimiento y la
resolucin de problemas
presentados en la red.
 Para lo cual se debe comprobar:

El nivel de acceso a diferentes funciones

dentro de la red.
Coordinacin de la organizacin de
comunicacin de datos y voz.
Han de existir normas de comunicacin en:
o Tipos de equipamiento como adaptadores
LAN.
o Autorizacin de nuevo equipamiento, tanto
dentro, como fuera de las horas
laborales.
o Uso de conexin digital con el exterior
como Internet.
o Instalacin de equipos de escucha como
Sniffers (exploradores fsicos) o
Traceadores (exploradores lgicos).
La responsabilidad en los contratos de
proveedores.
Auditora de la red fsica
 Se debe garantizar que exista:

reas de equipo de comunicacin con

control de acceso.
Proteccin y tendido adecuado de
cables y lneas de comunicacin para
evitar accesos
fsicos.
Control de utilizacin de equipos de
prueba de comunicaciones para
monitorizar la
red y el trfico en ella.
Prioridad de recuperacin del sistema.
Control de las lneas telefnicas.
 Comprobando que:

El equipo de comunicaciones ha de
estar en un lugar cerrado y con acceso
limitado.
la seguridad fsica del equipo de
comunicaciones sea adecuada.
Se tomen medidas para separar las
actividades de los electricistas y de
cableado de lneas telefnicas.
las lneas de comunicaci6n estn
fuera de la vista.
Se d un cdigo a cada lnea, en vez
de una descripcin fsica de la misma.
 Comprobando que:

Haya procedimientos de proteccin de los

cables y las bocas de conexin para evitar
pinchazos a la red.
Existan revisiones peridicas de la red
buscando pinchazos a la misma.
El equipo de prueba de comunicaciones
ha de tener unos propsitos y funciones
especficas.
Existan alternativas de respaldo de las
comunicaciones.
Con respecto a las lneas telefnicas: No
debe darse el nmero como pblico y
tenerlas configuradas con retrollamada,
cdigo de conexin o interruptores.
Auditoria de la red lgica
 inhabilitar un equipo que empieza a enviar mensajes hasta
que satura por completo la red. Para ste tipo de
situaciones:

Se deben dar contraseas de acceso.

Controlar los errores.
Garantizar que en una transmisin,
sta solo sea recibida por el
destinatario. Para
esto, regularmente se cambia la ruta
de acceso de la informaci6n a la red.
Registrar las actividades de los
usuarios en la red.
Encriptar la informacin pertinente.
Evitar la importacin y exportacin de
datos.
 Inhabilitar el software o hardware con
acceso libre.
Generar estadsticas de las tasas de errores
y transmisin.
Crear protocolos con deteccin de errores.
Los mensajes lgicos de transmisin han de
llevar origen, fecha, hora y receptor.
El software de comunicacin, ha de tener
procedimientos correctivos y de control
ante mensajes duplicados, fuera de orden,
perdidos o retrasados.
Los datos sensibles, solo pueden ser
impresos en una impresora especificada y ser
vistos desde una terminal debidamente
autorizada.
Se debe hacer un anlisis del riesgo de
aplicaciones en los procesos.
Se debe hacer un anlisis de la conveniencia
de cifrar los canales de transmisin entre
diferentes organizaciones.
 Deben existir polticas que prohban la
instalacin de programas o equipos
personales en la red.
Los accesos a servidores remotos han
de estar inhabilitados.
La propia empresa generara propios
ataques para probar solidez de la red y
encontrar posibles fallos en cada una
de las siguientes facetas:
o Servidores = Desde dentro del
servidor y de la red interna.
o Servidores web.
o Intranet = Desde dentro.
o Firewall = Desde dentro.
o Accesos del exterior y/o Internet.