Auditoria de Sistemas

Sesin 3.2

Profesor Lic. Jorge Arvalos

1

Introduccin
La informacin que es tratada en una organizacin es un recurso critico que deberia ser protegido, ya que es la misma base de la mayoria de las decisiones que son adoptadas a lo largo del tiempo. Para tener una seguridad razonable sobre si la informacin es exacta y completa, estar disponible cuando lo necesita y ser confidencial, la implementacin de controles internos informaticos es necesario y ademas para cumplir con las exigencias legales en materias de derecho informatico.

Introduccin

Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica.

El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas.
El concepto de auditora es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc

Control Interno

Para un mejor control de la auditoria informtica no nos podemos olvidar del control interno y la veracidad que este tiene que tener, como cuando el sistema esta en funcionamiento su evaluacin y control se tienen que hacerse siempre El control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o la direccin informtica, as como los requerimientos legales

Clasificacin de los Controles Internos

Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.

Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad.

Auditoria en sistemas

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizados salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. De este modo la auditoria informatica sustenta y confirma la consecucin de los objetivos tradicionales de la auditoria

El auditor es responsable de revisar e informar a la direccin de la organizacin sobre el diseo y el funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada.

Objetivos de Auditoria de Sistemas

Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.

Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD(Departamento de Procesamiento de Datos).

Incrementar la satisfaccin de los usuarios de los computarizados

Seguridad de personal, datos, hardware, software e instalaciones

Objetivos de Auditoria de Sistemas

Apoyo de funcin informatica a las metas y objetivos de la organizacin

Seguridad, utilidad, confianza, privacidad disponibilidad en el ambiente informtico

Minimizar existencias de riesgo en el uso de Tecnolgia de informacin

Decisiones de inversin y gasto innecesarios de

Capacitacin y educacin sobre controles en los Informacin

Auditoria de Sistemas

A continuacin se analizaran algunas normas y buenas prcticas para TI desde la perspectiva de la auditoria de SI A modo de ejemplo, entre muchos otros, la publicacin por IBM, de su A Management System for the Information Business en 1981(GE20-0662-1 a 4) Que abarcaba en sus cuatro volumenes los siguientes temas: Visin general de la direccin / gerencia

Misin de los servicios de los sistemas de informacin

Misin del derarrollo de sistemas de informacin Direccin y Gestin de los recursos de sistemas de informacin

Auditoria de Sistemas

En la decada de 1970 se consolida la que hoy se llama Information System Audit And Control Association (ISACA), an hoy la nica entidad, a nivel mundial, de los auditores de SI, y que gestiona una certificacin en esta materia : Certified Information Systems Auditor (CISA). Esta asociacin, que esta presente en mas de 140 paises, a traves de mas de 170 capitulos en todo el mundo, establece normas y procedimientos para la funcin de la auditoria de SI y los profesionales que las realizan

El Cobit

El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA.

El Cobit

La adecuada implementacin de un modelo COBIT en una organizacin, provee una herramienta automatizada, para evaluar de manera gil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de informacin y tecnologa contribuyen al logro de los objetivos del negocio en un mercado cada vez ms exigente, complejo y diversificado
COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores personales y las redes. Est basado en la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.

El Cobit

define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber:

- Planificacin y organizacin - Adquisicin e implantacin - Soporte y Servicios - Monitoreo

Sistema de Gestin de Control

Dirigir y hacer funcionar una organizacin satisfactoriamente requiere gestionar de una manera sistemtica y visible.

Los dos sistemas de gestin del sector de las TIC que estan siendo mas implantados por las empresas ya sean grandes corporaciones o PYMES son los denominados SGSI y SGSTI.

Sistema de Gestin de Control

SGSI Sistema de Gestin de la Seguridad de la Informacin basado en la Norma UNE ISO / IEC 27001: 2007 (Motor -PDCA-) y en la Norma ISO/IEC 27002 (Conocimiento - Gua de buenas prcticas - Repositorio de Controles para la seguridad en TIC). SGSTI Sistemas de Gestin del La gran ventaja de estos sistemas Informacin- basado en la Norma UNE ISO/IEC 20000-1:2005 (Motor PDCA) y en la Norma UNE ISO/IEC 20000 2 ( (Conocimiento guia de buenas practicas repositorio de controles para la seguridad en TIC).

Sistema de Gestin de Control

La principal ventaja que presentan estos sistemas de Gestin en las TIC la constituye su capacidad de integracin con otros sistemas ya muy difundidos en las empresas, como son el sistema de Gestin de calidad (UNE ISO 9001) y el sistema medioambiental (UNE ISO 14000). Por este motivo, con su implantacin se logra que las TIC queden integradas y alineadas con otros procesos de negocios.
La auditoria en SI se ver beneficiada con la implantacin de estas normas en que tendran mejores evidencias y sustentacin de los controles implantados en un entorno de TI.

seguridad y la auditoria en sistemas de informacin

La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. La seguridad lgica, se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.

Seguridad lgica y confidencialidad

seguridad y la auditoria en sistemas de informacin

1. Seguridad lgica y confidencialidad
En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado virus de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin (piratas) y borra toda la informacin que se tiene en un disco.

Al auditar los sistemas, se debe tener cuidado que no se tengan copias piratas o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos.

seguridad y la auditoria en sistemas de informacin

1. Seguridad lgica y confidencialidad
Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes.

El sistema integral de seguridad debe comprender: Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes (incendio, terremoto, etc.) Practicas de seguridad del personal Plizas de seguros Planeacin de programas de desastre y su prueba

21

seguridad y la auditoria en sistemas de informacin

1. Seguridad fsica
Se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. El objetivo es establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a contingencias como incendio, inundacin huelgas, disturbios, sabotaje, etc. y continuar en un medio de emergencia hasta que sea restaurado el servicio completo.

22

seguridad y la auditoria en sistemas de informacin

1. Seguridad fsica
Entre las precauciones que se deben revisar estn: Los ductos del aire acondicionado deben estar limpios, ya que son unas de las principales causas de polvo y se habr de contar con detectores de humo que indiquen la posible presencia de fuego. En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y los equipos de teleproceso.

seguridad y la auditoria en sistemas de informacin

1. Seguridad fsica
Entre las precauciones que se deben revisar estn: En cuanto a los extintores, se debe revisar el numero se stos, su capacidad, fcil acceso, peso y tipo de producto que utilizan. Se deben verificar que existan suficientes salidas de emergencia y que estn debidamente controladas para evitar robos por medio de estas salidas. Los materiales ms peligrosos son las cintas magnticas que, al quemarse, producen gases txicos y el papel carbn que es altamente inflamable.

seguridad y la auditoria en sistemas de informacin

Tcnicas de aseguramiento del sistema
Codificar la informacin: Criptologa, Criptografa y Criptociencia, contraseas difciles de averiguar a partir de datos personales del individuo. Vigilancia de red. Tecnologas repelentes o protectoras: Cortafuegos, sistema de detencin de intrusos, antivirus, llaves para proteccin de software, etc. Mantener los sistemas de informacin con las actualizaciones que ms impacten en la seguridad.

seguridad y la auditoria en sistemas de informacin

Tcnicas de aseguramiento del sistema
Consideraciones de software Tener instalado en la mquina nicamente el software necesario reduce riesgos. As mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantas aumenta los riesgos).

Consideraciones de una red Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles.

seguridad y la auditoria en sistemas de informacin

Fases de una auditora
Los servicios de auditora constan de las siguientes fases: Enumeracin de redes, topologas y protocolos Identificacin de sistemas y dispositivos Identificacin de los sistemas operativos instalados Anlisis de servicios y aplicaciones Deteccin, comprobacin y evaluacin de vulnerabilidades Medidas especficas de correccin Recomendaciones sobre implantacin de medidas preventivas.

seguridad y la auditoria en sistemas de informacin

Tipos de auditora
Los servicios de auditora pueden ser de distinta ndole: Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carcter interno Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin no deseada.

seguridad y la auditoria en sistemas de informacin

Tipos de auditora
Los servicios de auditora pueden ser de distinta ndole: Anlisis forense. El anlisis forense es una metodologa de estudio ideal para el anlisis posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha penetrado en el sistema, a la par que se valoran los daos ocasionados. Si los daos han provocado la inoperatividad del sistema, el anlisis se denomina anlisis postmortem. Auditora de pginas web. Entendida como el anlisis externo de la web, comprobando vulnerabilidades como la inyeccin de cdigo SQL, Verificacin de existencia y anulacin de posibilidades de Cross Site Scripting (XSS), etc. Auditora de cdigo de aplicaciones. Anlisis del cdigo tanto de aplicaciones pginas Web como de cualquier tipo de aplicacin, independientemente del lenguaje empleado

Estndares de Auditora Informtica y de Seguridad

Una auditora se realiza con base a un patrn o conjunto de directrices o buenas practicas sugeridas. Existen estndares orientados a servir como base para auditoras de informtica. Uno de ellos Tecnologas de definidos como Seguridad de los es COBIT (Objetivos de Control de la la Informacin), dentro de los objetivos parmetro, se encuentra el "Garantizar la Sistemas".

Estndares de Auditora Informtica y de Seguridad

Adicional a este estndar podemos encontrar el estndar ISO 27002, el cual se conforma como un cdigo internacional de buenas prcticas de seguridad de la informacin, este puede constituirse como una directriz de auditora apoyndose de otros estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas de gestin de seguridad, como lo es el estndar ISO 27001 analizado por maritee.

Metodologas de Auditoria Informtica

La metodologa usada por el auditor interno debe ser diseada y desarrollada por el propio auditor.
Se basa en su grado de experiencia y habilidad. Se deben crear las metodologas necesarias para auditar los distintos aspectos definidos en el plan auditor informtico.

Metodologas de Auditoria Informtica

Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el control informtico, se puede agrupar en dos grandes familias: Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo, estn diseadas par producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados unos valores numrico. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el nmero de incidencias tiende al infinito.

Metodologas de Auditoria Informtica

Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el control informtico, se puede agrupar en dos grandes familias: Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/gua). Basadas en mtodos estadsticos y lgica borrosa, que requiere menos recursos humanos / tiempo que las metodologas cuantitativas.

Metodologas de Auditoria Informtica

Ventajas: Enfoque lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identificacin de eventos. Desventajas Depende fuertemente de la habilidad y calidad del personal involucrado. Identificacin de eventos reales ms claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia profesional.

Metodologas de Auditoria Informtica

Metodologas en Auditora Informtica

Las metodologas de auditora informtica son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen en gran profesionalidad y formacin continua. Solo existen dos tipos de metodologas para la auditora informtica: Controles Generales Metodologas de los auditores internos

Metodologas de Auditoria Informtica

Metodologas en Auditora Informtica. Controles Generales.- Son el producto estndar de los auditores profesionales. El objetivo aqu es dar una opinin sobre la fiabilidad de los datos del computador para la auditora financiera, es resultado es escueto y forma parte del informe de auditora, en donde se hacen notar las vulnerabilidades encontradas. Estn desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan.

Metodologas de Auditoria Informtica

Metodologas en Auditora Informtica.

Metodologas de los auditores internos.Estn formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. Tambin se define el objetivo de la misma, que habr que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genricos, con una orientacin de los controles a revisar. El auditor interno debe crear sus metodologas necesarias para auditar los distintos aspectos o reas en el plan auditor.

El Departamento de Auditoria de los SI

La misin principal de la funcin de auditoria de los SI es proveer a los organos del gobierno y a los de gestin de una organizacin de una seguridad razonable que los sistemas de control interno de los recursos de informacin de dicha organizacin estn bien definidos y efectivamente administrados, y que apoyan y ayudan a la creacin de valor de la oranizacin.

El Departamento de Auditoria de los SI

Revisar la existencia y suficiencia de los controles de los recursos de informacion que soportan los procesos de negocio.

Validar que los recursos de informacion apoyan los objetivos de negocio y cumplen los requerimientos establecidos.

Analizar los nuevos riesgos derivados de las nuevas tecnologas y de los nuevos negocios.

Formar y divulgar respecto de los riesgos y amenazas que se derivan de una inadecuada utilizacin de los recursos de informacin.

Ubicacin en la organizacin

El auditor de SI debe revisar el control interno de los recursos de informacin y esta afecta a toda la organizacin, debe por tanto ubicarse en un punto del organigrama de la organizacin que le dote de total independencia del resto de unidades, y ademas de suficiente autoridad para poder ejercer su labor. Es por ello que la funcin de auditoria de SI no pueden de modo alguno estar incluida en el departamento de sistemas de informacion de una compaa. Dado que limitaria esta independencia, ya que el auditor tiene que estar evaluando procesos que estan bajo la responsabilidad del cargo al que a su vez tambin reportaria al departamento de auditori de SI.

En la actualidad existen normativas, tanto nacionales como internacionales, de gobierno corporativo, que establecen y/o recomiendan la posicin y el rol que debe tener la funcin de la auditoria interna en una organizacn.
La funcin de la auditoria interna es un rgano dependiente del consejo de administracin, a traves del comit de auditoria por delegacin, tiene la responsabilidad de supervisar, controlar y designar al responsable de la funcin. El personal de auditoria interna no asumira responsabilidades operativas, y actuar con independencia de criterio respecto a las otras unidades de la organizacin. La funcin de la auditoria Interna tenga total acceso a los registros, archivos, documentos y fuentes de informacin de la organizacin necesarios para el adecuado ejercicio de su labor.

Recursos necesarios

Recursos Humanos: Personal de la unidad para desarrollar la misin definida al departamento.

Recursos tecnicos: Son los recursos necesarios para que el personal del departamento de auditoria de SI pueda desarrollar eficaz y eficientemente su labor.
Recursos econmicos, los cuales deberan ser presentados y aprobados por el comit de auditoria

Estructura del departamento de auditoria de SI

Tamao de la organizacin Dependencia de los organizacin de las TI Ubicacin geografica Dimensin del departamento Localizacin del departamento negocios de la

Topologia de los sistemas de Informacin

Principales areas de la auditoria informatica

Auditoria Informtica de Explotacin
La explotacin informtica se ocupa de producir resultados de todo tipo:
Listados impresos Ficheros soportados informticos magnticamente para otros

Ordenes automatizadas para lanzar o modificar procesos industriales

Auditar Explotacin consiste en auditar las secciones que la componen y sus interrelaciones. La Explotacin Informtica se divide en tres grandes reas: Planificacin, Produccin y Soporte Tcnico. Control de entrada de datos: Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a Norma.

Batch y Tiempo Real:

Las Aplicaciones que son Batch son Aplicaciones que cargan mucha informacin durante el da y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la informacin, calcular cosas y obtener como salida, por ejemplo, reportes. Es decir, recolecta informacin durante el da, pero todava no procesa nada. Es solamente un tema de "Data Entry" que recolecta informacin, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al da siguiente.
Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la informacin correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas que tienen que responder en Tiempo Real.

Planificacin y recepcin de aplicaciones

Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor nico. Debern realizarse muestreos selectivos de la Documentacin de las Aplicaciones explotadas.

Centro de Control y Seguimiento de Trabajos:

Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o lotes

Operacin. Salas de Ordenadores:

Se intentarn analizar las relaciones personales y la coherencia de cargos y salarios, as como la equidad en la asignacin de turnos de trabajo. Se verificar la existencia de un responsable de Sala en cada turno de trabajo. Se estudiarn los montajes diarios y por horas de cintas o cartuchos, as como los tiempos transcurridos entre la peticin de montaje por parte del Sistema hasta el montaje real. Se verificarn las lneas de papel impresas diarias y por horas, as como la manipulacin de papel que comportan.

Centro de Control de Red y Centro de Diagnosis:

Sus funciones se refieren exclusivamente al mbito de las Comunicaciones, estando muy relacionado con la organizacin de Software de Comunicaciones de Tcnicas de Sistemas. Se verificar la existencia de un punto focal nico, desde el cual sean perceptibles todos las lneas asociadas al Sistema.

El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averas o incidencias, tanto de Software como de Hardware.
El Centro de Diagnosis est especialmente indicado para informticos grandes y con usuarios dispersos en un amplio territorio.

Auditora Informtica de Desarrollo de Proyectos o Aplicaciones:

La funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y Aplicaciones. A su vez, engloba muchas reas, tantas como sectores informatizables tiene la empresa. Una aplicacin recorre las siguientes fases: Pre-requisitos del Usuario (nico o plural) y del entorno Anlisis funcional Diseo Anlisis orgnico (Preprogramacion y Programacin) Pruebas Entrega a Explotacin y alta para el Proceso. Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del disparo de los costes, podr producirse la insatisfaccin del usuario.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del disparo de los costes, podr producirse la insatisfaccin del usuario. La auditora deber comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros. Una auditora de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de tres consideraciones:

Revisin de las metodologas utilizadas: Se analizaran stas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas. Control Interno de las Aplicaciones: se debern revisar las mismas fases que presuntamente han debido seguir el rea correspondiente de Desarrollo:
Estudio de Vialidad de la Aplicacin. Importante para Aplicaciones largas, complejas y caras. Definicin Lgica de la Aplicacin. Se analizar que se han observado los postulados lgicos de actuacin, en funcin de la metodologa elegida y la finalidad que persigue el proyecto.

Desarrollo Tcnico de la Aplicacin. Se verificar que ste es ordenado y correcto. Las herramientas tcnicas utilizadas en los diversos programas debern ser compatibles. Diseo de Programas. Debern poseer la mxima sencillez, modularidad y economa de recursos. Mtodos de Pruebas. Se realizarn de acuerdo a las Normas de la Instalacin. Se utilizarn juegos de ensayo de datos, sin que sea permisible el uso de datos reales.

Documentacin. cumplir la Normativa establecida en la Instalacin, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotacin.
Equipo de Programacin. Deben fijarse las tareas de anlisis puro, de programacin y las intermedias. En Aplicaciones complejas se produciran variaciones en la composicin del grupo, pero estos debern estar previstos. Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien desarrollada, deber considerarse fracasada si no sirve a los intereses del usuario que la solicit. La conformidad del usuario proporciona grandes ventajas posteriores, ya que evitar reprogramaciones y disminuir el mantenimiento de la Aplicacin.

Auditora Informtica de Sistemas:

Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus facetas.

Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de Sistemas.
Sistemas Operativos: Engloba los Subsistemas de Teleproceso, Entrada/Salda, etc. Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Bsico adquiridos por la instalacin y determinadas versiones de aquellas.

Deben revisarse los parmetros variables de las Libreras ms importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor.

Tunning:

Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del comportamiento de los Subsistemas y del Sistema en su conjunto. Se pueden realizar:
Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema. De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y estn planificados y organizados de antemano.

Optimizacin de los Sistemas y Subsistemas:

Tcnica de Sistemas debe realizar acciones permanentes de optimizacin como consecuencia de la realizacin de tunnings pre-programados o especficos. El auditor verificar que las acciones de optimizacin fueron efectivas y no comprometieron la Operatividad de los Sistemas. Optimizacin:

Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicacin se va poniendo cada vez ms lenta; Porque la informacin que est moviendo es cada vez mayor, entonces la Aplicacin se tiende a poner lenta.
Lo que se tiene que hacer es un anlisis, para luego optimizarla, mejorar el rendimiento de dicha Aplicacin.

Investigacin y Desarrollo: La auditora informtica deber cuidar de que la actividad de Investigacin y Desarrollo no interfiera ni dificulte las tareas fundamentales internas. Auditora Informtica de Comunicaciones y Redes: Para el informtico y para el auditor informtico, la estructura conceptual que constituyen las Redes Nodales, conmutadores, Concentradores, enrutadores, Redes Locales, etc. no son sino el soporte fsico-lgico del Tiempo Real.

La auditora de este sector requiere un equipo de especialistas, expertos simultneamente en Comunicaciones y en Redes Locales.
El auditor de Comunicaciones deber proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la des actualizacin de esta documentacin significara una grave debilidad.

Auditora de la Seguridad informtica:

La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta.

Tambin puede ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco.

Al auditar los sistemas se debe tener cuidado que al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.

La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. La seguridad informtica se la puede dividir como rea General y como rea Especifica As, se podrn efectuar auditoras de la Seguridad Global de una Instalacin Informtica Seguridad General y auditoras de la Seguridad de un rea informtica determinada Seguridad Especifica .

Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes.

Empresas de Auditoria en sistemas

Andersen
Ernst & Young

KPMG
PriceWaterHouseCoopers

Deloitte & Touche

Gracias a Todos por su Atencin

62