CAPITULO IV IV.

EVALUACIN DE LOS SISTEMAS Introduccin

Es el primer paso prctico del auditor en informtica dentro de las empresas o instituciones al efectuar un proyecto de auditora en informtica. Se busca la opinin de la alta direccin para estimar el grado de satisfaccin y confianza que tiene en los productos, servicios y recursos de informtica del negocio; asimismo, es posible detectar las fortalezas, aciertos y apoyo que brinda dicha funcin desde la perspectiva de los directivos del negocio. Un punto importante que debe quedar plasmado en esta fase son las reas de oportunidad que tiene informtica para hacer ms competitivo y rentable el negocio, sea este soporte directo o indirecto, en alto o menor grado. Es conveniente aclarar que no se debe tratar esta etapa como un conjunto de tareas que requieren muchos recursos involucrados ni un tiempo considerable; es simplemente un aspecto necesario y generalizado para entender los puntos dbiles y fuertes de la funcin de informtica desde un punto de vista de los usuarios clave y la alta direccin. Todas las actividades del auditor en informtica deben estar claramente definidas en todos los componentes formales que integran cualquier trabajo dentro de una organizacin. Los aspectos por evaluar son al menos los tres mencionados a continuacin. Ahora bien, si el auditor considera .que la complejidad del negocio, la fusin o compra de la empresa, la informalidad palpable en informtica o alguna consideracin especfica para el lder de proyectos o a peticin de la alta direccin requieren ms puntos por considerar y un tiempo ms prolongado, conviene que los integre en esta fase, ya que aqu se detectan los primeros sntomas de informtica que, a la postre, pueden ser los ms relevantes. Los temas evaluacin de los sistemas, objetivos especficos de la evaluacin de los sistemas, evaluacin del sistema lgico, evaluacin del desarrollo de sistemas y auditora informtica de comunicaciones y redes entre otros, corresponden a las obras elaboradas por Oscar Toro, Nez de Balboa, Eduardo Horacio Quinn y Julin Gutirrez Melo.

IV.1 Evaluacin de los sistemas

Fuente: http://www.monografias.com/trabajos/maudisist/maudisist.shtml

La elaboracin de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratgico para la elaboracin de los sistemas o si se estn elaborados sin el adecuado sealamiento de prioridades y de objetivos. El plan estratgico deber establecer los servicios que se presentarn en un futuro contestando preguntas como las siguientes: Cules servicios se implementarn? Cundo se pondrn a disposicin de los usuarios? 43

Qu caractersticas tendrn? Cuntos recursos se requerirn? La estrategia de desarrollo deber establecer las nuevas aplicaciones, recursos y la arquitectura en que estarn fundamentados: Qu aplicaciones sern desarrolladas y cuando? Qu tipo de archivos se utilizarn y cuando? Qu bases de datos sern utilizarn y cuando? Qu lenguajes se utilizarn y en que software? Qu tecnologa ser utilizada y cuando se implementar? Cuantos recursos se requerirn aproximadamente? Cul es aproximadamente el monto de la inversin en hardware y software? En lo referente a la consulta a los usuarios, el plan estratgico debe definir los requerimientos de informacin de la dependencia. Qu estudios van a ser realizados al respecto? Qu metodologa se utilizar para dichos estudios? Quin administrar y realizar dichos estudios? En el rea de auditora interna debe evaluarse cul ha sido la participacin del auditor y los controles establecidos. Por ltimo, el plan estratgico determina la planeacin de los recursos. Contempla el plan estratgico las ventajas de la nueva tecnologa? Cul es la inversin requerida en servicios, desarrollo y consulta a los usuarios? El proceso de planeacin de sistemas deber asegurarse de que todos los recursos requeridos estn claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) debern ser compatibles con la arquitectura y la tecnologa, conque se cuenta actualmente. Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseo general, anlisis, diseo lgico, desarrollo fsico, pruebas, implementacin, evaluacin, modificaciones, instalacin, mejoras. Y se vuelve nuevamente al ciclo inicial. el cual a su vez debe comenzar con el de factibilidad. La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cul es su relacin costo/beneficio y si es recomendable elaborarlo. Se deber solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operacin, as como los que estn en la fase de anlisis para evaluar si se considera la disponibilidad y caractersticas del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilizacin de los sistemas, el costo y los beneficios que reportar el sistema, el efecto que producir en quines lo usarn y el efecto que stos tendrn sobre el sistema y la congruencia de los diferentes sistemas.

44

En el caso de sistemas que estn funcionando, se deber comprobar si existe el estudio de factibilidad con los puntos sealados y compararse con la realidad con lo especificado en el estudio de factibilidad. Por ejemplo en un sistema que el estudio de factibilidad seal determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema. Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operacin, cosa que en fa prctica son costos directos, indirectos y de operacin. Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operacin, la reduccin del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejora en los procedimientos de control, mayor confiabilidad y seguridad. Fuente: http://html.rincondelvago.com/auditoria-de-Ios-sistemas-de-informacion.html Se encarga de llevar a cabo la evaluacin de normas, tcnicas y procedimientos que se tiene establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de los sistemas de informacin. La auditora de sistemas es una rama especializada de la auditoria que promueve y aplica conceptos de auditora en el rea de sistemas de informacin. El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa.

IV.2 Objetivos especficos de la auditora de sistemas:

1. Participacin en el desarrollo de nuevos sistemas: a. Evaluacin de controles b. Cumplimiento de la metodologa. 2. Evaluacin de la seguridad en el rea Informtica. 3. Evaluacin de suficiencia en los planes de contingencia. a. Respaldos, prever qu va a pasar si se presentan fallas. 4. Opinin de la utilizacin de los recursos informticos. a. Resguardo y proteccin de activos. . 5. Control de modificacin a las aplicaciones existentes. a. Fraudes b. Control a las modificaciones de los programas. 6. Participacin en la negociacin de contratos con los proveedores. 7. Revisin de la utilizacin del sistema operativo y los programas. a. Utilitarios b. Control sobre la utilizacin de los sistemas operativos c. Programas utilitarios. 8. Auditora de la base de datos. a. Estructura sobre la cual se desarrollan las aplicaciones. 9. Auditoria de la red de teleprocesos 10. Desarrollo de software de auditora. 45

Es el objetivo final de una auditoria de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del rea de procesamiento de datos. Fines de la auditora de sistemas: 1. Fundamentar la opinin del auditor interno (externo) sobre la confiabilidad de los sistemas de informacin, 2. Expresar la opinin sobre la eficiencia de las operaciones en el rea de TI. Fuente: (http://www.inforarea.es/servicio7.htm) Nez de Balboa. Desde un Web site, una biblioteca, un archivo a un Centro de documentacin, cualquier sistema de informacin puede ser evaluado para comprobar en que medida cumple con los objetivos para los que fue creado y detectar reas de mejora en las que centrar las intervenciones futuras. En nuestras evaluaciones seguimos una metodologa adaptada a cada situacin concreta que fundamentalmente recoge las siguientes fases: Identificacin y eleccin de los indicadores que permiten la medicin de los distintos aspectos a evaluar Recogida de datos mediante los medios mas adecuados a cada situacin (encuestas, cuestionarios on-line, entrevistas, observacin directa, test de usabilidad, trabajo en grupo, etc.) Anlisis de los indicadores Deteccin de reas de mejora Propuestas de mejora En muchos casos utilizamos la evaluacin comparativa, que permite situar el sistema evaluado con respecto al mejor (benchmarking) o comparar el sistema con un grupo de sistemas similares para situarlo dentro de una escala.

IV.3 Evaluacin del Diseo Lgico del Sistema

Fuente: (http://www.itapizaco.edu.mx/paginas/maudisist.html) Toro Oscar.

En esta etapa se debern analizar las especificaciones del sistema. Qu deber hacer?, Cmo lo deber hacer?, Secuencia Y ocurrencia de los datos, el proceso y salida de reportes? Una vez que hemos analizado estas partes, se deber estudiar la participacin que tuvo el usuario en la identificacin del nuevo sistema, la participacin de auditora interna en el diseo de los controles y la determinacin de los procedimientos de operacin y decisin. Al tener el anlisis del diseo lgico del sistema debemos compararlo con lo que realmente se est obteniendo en la cual debemos evaluarlo planeado, cmo fue planeado y lo que realmente se est obteniendo. 46

Los puntos a evaluar son: Entradas. Salidas. Procesos. Especificaciones de datos. Especificaciones de proceso. Mtodos de acceso. Operaciones. Manipulacin de datos (antes y despus del proceso electrnico de datos). Proceso lgico necesario para producir informes. Identificacin de archivos, tamao de los campos y registros. Proceso en lnea o lote y su justificacin. Frecuencia y volmenes de operacin. Sistemas de seguridad. Sistemas de control. Responsables. Nmero de usuarios.

Dentro del estudio de los sistemas en uso se deber solicitar: Manual del usuario. Descripcin de flujo de informacin y/o procesos. Descripcin y distribucin de informacin. Manual de formas. Manual de reportes. Lista de archivos y especificaciones.

Lo que se debe determinar en el sistema: En el procedimiento: Quin hace, cuando y como? Qu formas se utilizan en el sistema? Son necesarias, se usan, estn duplicadas? El nmero de copias es el adecuado? Existen puntos de controlo faltan?

En la grfica de flujo de informacin: Es fcil de usar? Es lgica? Se encontraron lagunas? Hay faltas de control?

En el diseo: Cmo se usar la herramienta de diseo si existe? Qu tambin se ajusta la herramienta al procedimiento? 47

IV.4 Evaluacin del desarrollo del Sistema

Fuente: (http://www.ilustrados.com/publicaciones/EpyppFZZkpIJTHHuCg.php) Toro Oscar.

En esta etapa del sistema se debern auditar los programas, su diseo, el leguaje utilizado, interconexin entre los programas y caractersticas del hardware empleado (total o parcial) para el desarrollo del sistema. Al evaluar un sistema de informacin se tendr presente que todo sistema debe proporcionar informacin para planear, organizar y controlar de manera eficaz y oportuna, para reducir la duplicidad de datos y de reportes y obtener una mayor seguridad en la forma ms econmica posible. De ese modo contar con los mejores elementos para una adecuada toma de decisiones. Al tener un proceso distribuido, es preciso considerar la seguridad del movimiento de la informacin entre nodos. El proceso de planeacin de sistemas debe definir la red ptima de comunicaciones, los tipos de mensajes requeridos, el trafico esperado en las lneas de comunicacin y otros factores que afectan el diseo. Es importante considerar las variables que afectan a un sistema: ubicacin en los niveles de la organizacin, el tamao y los recursos que utiliza. Las caractersticas que deben evaluarse en los sistemas son: Dinmicos (susceptibles de modificarse). Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo) Integrados (un solo objetivo). En l habr sistemas que puedan ser interrelacionados y no programas aislados. Accesibles (que estn disponibles). Necesarios (que se pruebe su utilizacin). Comprensibles (que contengan todos los atributos). Oportunos (que est la informacin en el momento que se requiere). Funcionales (que proporcionen la informacin adecuada a cada nivel). Estndar (que la informacin tenga la misma interpretacin en los distintos niveles). Modulares (facilidad para ser expandidos o reducidos). Jerrquicos (por niveles funcionales). Seguros (que slo las personas autorizadas tengan acceso). nicos (que no duplique informacin).

IV.5 Auditora informtica de comunicaciones y redes

Fuente: (http:/www.monografias.com/trabajos5/audi/audi.shtml#redeS) Horacio Quinn Eduardo.

Para el informtico Y para el auditor informtico, el entramado conceptual que constituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte fsico-lgico del Tiempo Real. El auditor tropieza con la dificultad tcnica del entorno, pues ha de analizar situaciones y hechos alejados entre si, y est condicionado a la participacin del monopolio telefnico que presta el soporte. Como en otros casos, la auditora de este sector requiere un equipo de especialistas, expertos simultneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geogrficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseadas y cableadas con recursos propios). El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la desactualizacin de esta documentacin significarla una grave debilidad. La inexistencia de datos sobre cuantas lneas existen, cmo son y donde estn instaladas, supondra que se bordea la inoperatividad 48

Informtica. Sin embargo, las debilidades ms frecuentes o importantes se encuentran en las disfunciones organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y de ser posible, dependientes de una sola organizacin.

IV.6 Auditora de comunicaciones

Ha de verse:

Fuente: (http://monografias.com/trabajos10/auap/auap.shtml#au) Gutirrez Melo Julin.

La gestin de red = los equipos y su conectividad. La monitorizacin de las comunicaciones. La revisin de costes y la asignacin formal de proveedores. Creacin y aplicabilidad de estndares.

Cumpliendo como objetivos de control: Tener una gerencia de comunicaciones con plena autoridad de voto y accin. Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo equipo relacionado con las comunicaciones. Mantener una vigilancia constante sobre cualquier accin en la red. Registrar un coste de comunicaciones y reparto a encargados. Mejorar el rendimiento y la resolucin de problemas presentados en la red.

Para lo cual se debe comprobar: El nivel de acceso a diferentes funciones dentro de la red. Coordinacin de la organizacin de comunicacin de datos y voz. Han de existir normas de comunicacin en: o Tipos de equipamiento como adaptadores LAN. o Autorizacin de nuevo equipamiento, tanto dentro, como fuera de las horas laborales. o Uso de conexin digital con el exterior como Internet. o Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o Traceadores (exploradores lgicos). La responsabilidad en los contratos de proveedores. La creacin de estrategias de comunicacin a largo plazo. Los planes de comunicacin a alta velocidad como fibra ptica y ATM ( tcnica de conmutacin de paquetes usada en redes MAN e ISDN). Planificacin de cableado. Planificacin de la recuperacin de las comunicaciones en caso de desastre. Ha de tenerse documentacin sobre el diagramado de la red. Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. Vigilancia sobre toda actividad on-line. La facturacin de los transportistas y vendedores ha de revisarse regularmente. 49

IV.7 Auditora de la red fsica

Se debe garantizar que exista: reas de equipo de comunicacin con control de acceso. Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trfico en ella. Prioridad de recuperacin del sistema. Control de las lneas telefnicas.

Comprobando que: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. la seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas. las lneas de comunicaci6n estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma. Haya procedimientos de protecci6n de los cables y las bocas de conexin para evitar pinchazos a la red. Existan revisiones peridicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retrollamada, cdigo de conexin o interruptores.

IV.8 Auditoria de la red lgica

En sta, debe evitarse un dao Interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para ste tipo de situaciones: Se deben dar contraseas de acceso. Controlar los errores. Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informaci6n a la red. Registrar las actividades de los usuarios en la red. Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos.

Que se comprueban si: El sistema pidi el nombre de usuario y la contrasea para cada sesin: En cada sesin de usuario, se debe revisar que no acceda a ningn sistema sin autorizacin, ha de inhabilitarse al usuario que tras un nmero establecido de veces errar en dar correctamente su propia contrasea, se debe obligar a los usuarios a cambiar su contrasea regularmente, las contraseas no deben ser mostradas en pantalla tras digitarlas, 50

para cada usuario, se debe dar informacin sobre su ltima conexin a fin de evitar suplantaciones. Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin. Crear protocolos con deteccin de errores. Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un anlisis del riesgo de aplicaciones en los procesos. Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones. Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red. Deben existir polticas que prohban la instalacin de programas o equipos personales en la red. Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generara propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: o Servidores = Desde dentro del servidor y de la red interna. o Servidores web. o Intranet = Desde dentro. o Firewall = Desde dentro. o Accesos del exterior y/o Internet.

51

Bibliografa Capitulo IV
05/11/1999. Auditora Informtica. http://www.monografias.com/trabajos/audotoinfo/auditoinfo.shtml Toro Oscar. 26/12/1999. Manual de auditora de sistemas. http://www.monografias.com/trabajos/maudisist/maudisist.shtml http://html.rincondelvago.com/auditoria-de-Ios-sistemas-de-informacion.html Nez de Balboa. Evaluacin de los sistemas de informacin. http://www.inforarea.es/servicio7.htm Toro Oscar. 04/08/2003. Manual de auditora de sistemas. http://www.itapizaco.edu.mx/paginas/maudisist.html Toro Oscar. 04/08/2003. Manual de auditora de sistemas. http://www.ilustrados.com/publicaciones/EpyppFZZkpIJTHHuCg.php Horacio Quinn Eduardo. 08/11/2000. La Auditoria informtica dentro de las etapas de anlisis de sistemas administrativos. http://www.monografias.com/trabajos5/audi/audi.shtml#redeS Gutirrez Melo Julin. 27/12/2001. Auditoria aplicada a la seguridad en redes de computadores. http://www.monografias.com/trabajos10/auap/auap.shtml#au

52