Integrantes:

Josu Pinto
Sthefany Castellanos
Metodologa para realizar auditoras informticas

Planificacin.
La planificacin es el proceso de establecer objetivos y escoger el medio ms
apropiado para el logro de los mismos, la planificacin se anticipa a la toma de
decisiones, ese decir, que se tiene que decidir con anticipacin lo que hay que
hacer, quien tiene que hacerlo y como se deber hacer.
En la planificacin de la auditoria informtica se identifica los recursos que
permitirn llevar a cabo la auditoria, como, los objetivos que se necesitan alcanzar,
anlisis de costos y beneficios, personal humano que intervendr procedimientos y
acciones que necesitan para realizar la auditoria.
El auditor debe incluir y documentar dentro de la planificacin de la Auditoria
Informtica lo siguiente:
o Los objetivos y alcance.
o El procedimiento para realizar la inspeccin fsica y as conocer el
ambiente, como se ejecutan las actividades, controles y riesgos.
o La declaracin por escrito del programa de la auditoria.
o La supervisin y comunicacin del plan de trabajo.
Pruebas.
Es el proceso de ejecutar un programa con la intencin de descubrir defectos en l
mismo. En caso de auditoria se realizan para saber el funcionamiento de la
organizacin a auditar, as mismo descubrir sus fallas y riesgos sistema. La fase
de pruebas se debe realizar de forma eficiente.
Pasos para realizar las pruebas.
Excepto para programas de computador muy pequeos, no es realista intentar la
prueba de los sistemas como si se tratara de una sola unidad. Los sistemas
grandes se componen por subsistemas formados por mdulos que, a su vez,
pueden componerse de procedimientos. Si se intenta probar el sistema como una
sola entidad, es posible que no se identifiquen ms que un pequeo porcentaje de
errores. El proceso de prueba, al igual que el de programacin, debe avanzar en
etapas, siendo cada una de ellas la continuacin lgica de la anterior.
En el proceso de prueba se pueden encontrar 5 etapas:

o Obtener los requerimientos en forma clara.
o Planificacin de diseo.
o Determinas la funcionabilidad.
o Identificar las aplicaciones de alto riesgos o con prioridad de prueba.
o Elaborar el plan de prueba / Actualizar el plan de prueba.
o Ejecutar el plan de pruebas y reportar sus resultados.
Tipos de pruebas.
Prueba de Funcionabilidad: una prueba funcional est basada en la ejecucin,
revisin y retroalimentacin de las funcionalidades previamente diseadas para el
sistema.
Prueba Unitaria: es una forma de probar el correcto funcionamiento de un
mdulo, esto sirve para asegurar que cada uno de los mdulos funcione por
separado correctamente. Luego, con la prueba de integracin se podr asegurar el
correcto funcionamiento del sistema en cuestin.
Prueba de Integracin: tambin conocida como prueba de integral, es aquella
que se realiza una vez que se ha aprobado las pruebas unitarias. nicamente se
refieren a la prueba de todos los elementos que componen un proceso, hecha en
conjunto, de una sola vez.
Prueba de Avance: es la prueba centrada en la verificacin y la validacin. La
verificacin consiste en determinar si est construido el sistema correctamente a
partir de los requisitos. La validacin consiste en saber si el sistema es el correcto.
Prueba de Aceptacin: est basada en las especificaciones del usuario o
basadas en el uso por el usuario final. Son bsicamente pruebas funcionales,
sobre el sistema completo, es decir si satisface los requerimientos de la institucin.
Prueba de Caja Blanca: Se denomina cajas blancas a un tipo de pruebas de
software que se realiza sobre las funciones internas de un mdulo. Asegura que
las piezas del sistema operen y se ajusten a las especificaciones y todos sus
componentes internos se han aprobado de la forma adecuada. Las pruebas de
caja blanca se llevan a cabo en primer lugar, sobre un mdulo concreto, para
luego realizar las de caja negra sobre varios subsistemas (integracin).
Prueba de Caja Negra: se denomina caja negra a aquel elemento que es
estudiado desde el punto de vista de las entradas que recibe y las salidas o
respuestas que produce, sin tener en cuenta su funcionamiento interno. En otras
palabras, de una caja negra nos interesar su forma de interactuar con el medio
que le rodea entendiendo qu es lo que hace, pero sin dar importancia a cmo lo
hace. Por tanto, de una caja negra deben estar muy bien definidas sus entradas y
salidas, es decir, su interfaz; en cambio, no se precisa definir ni conocer los
detalles internos de su funcionamiento.
Prueba de Sensibilidad: estas pruebas tratan de descubrir combinaciones de
datos dentro de las clases de entradas validas que causen inestabilidad o
procesamiento inapropiado.
Prueba de Huracana: hacen referencia a algunos tipos de pruebas en el sistema
en forma de ciclos repetitivos para contemplar el diagnostico.
Prueba en Paralelo: Involucran probar los componentes o subcomponentes de
forma simultnea. Por tanto, con las pruebas en paralelo se puede reducir el
tiempo de pruebas al ejecutar las tareas de procesamiento.
Prueba Descendente: Esta ataca directamente a la implementaron de los
mdulos desde el programa principal hacia los mdulos inferiores de manera
jerrquica. Hay que tener presente que las pruebas se tienen que realizar cada
vez que se va incorporando un nuevo mdulo.
Prueba Ascendente: consiste bsicamente en tratar el mdulo atmico (mdulo
de nivel jerrquico ms bajo) hacia arriba. Dado que los mdulos son integrados
de abajo hacia arriba, e procesamiento requerido de los mdulos subordinados
siempre est disponible y se elimina la necesidad de resguardo.

Evaluacin del proceso de datos a nivel organizacional.
Controles.
Los datos son uno de los recursos ms valiosos de las organizaciones y, por lo
que se necesitan ser controlados y auditados con el mismo cuidado que los dems
inventarios de la organizacin, por lo cual se debe tener presente:
1. La responsabilidad de los datos es compartida conjuntamente por alguna
funcin determinada y el departamento de cmputo.
2. Un problema de dependencia que se debe considerar es el que se origina
por la duplicidad de los datos y consiste en poder determinar los
propietarios o usuarios posibles (principalmente en el caso de redes y
banco de datos) y la responsabilidad de su actualizacin y consistencia.
3. Los datos debern tener una clasificacin estndar y un mecanismo de
identificacin que permita detectar duplicidad y redundancia dentro de una
aplicacin y de todas las aplicaciones en general.
4. Se deben relacionar los elementos de los datos con las bases de datos
donde estn almacenados, as como los reportes y grupos de procesos
donde son generados.
Controles de los datos fuentes y manejo de cifras de control: la mayora de
los delitos por computadora son cometidos por modificaciones de datos al:
o Suprimir u omitir datos.
o Adicionar datos.
o Alterar datos.
o Duplicar procesos.
En caso de ser equipos que cuentan con un sistema en lnea, Esto es de suma
importancia en caso de equipos de cmputo que cuentan con sistemas en lnea,
en los que los usuarios son los responsables de la captura y modificacin de la
informacin, por lo que se tiene que tener un control adecuado con sealamiento
de responsables de los datos.
Control de operaciones: tiene como objetivo de sealar los procedimientos e
intrusivos formales de operacin, analizar su estandarizacin y evaluar el
cumplimiento de los mismo.
Control de medios de almacenamiento masivos: Los dispositivos de
almacenamiento representan, para cualquier centro de cmputo, archivos
extremadamente importantes cuya prdida parcial o total podra tener
repercusiones muy serias, por lo que se debe tener perfectamente protegidos
estos dispositivos de almacenamiento, adems de mantener registros de la
utilizacin de estos archivos, de modo que sirvan de base a los programas de
limpieza.
Orden en el centro de cmputo.
Una direccin de Sistemas de Informacin bien administrada debe tener y
observar reglas relativas al orden y cuidado del departamento de cmputo. Los
dispositivos del sistema de cmputo, los archivos magnticos, pueden ser
daados si se manejan en forma inadecuada y eso puede traducirse en prdidas
irreparables de informacin o en costos muy elevados en la reconstruccin de
archivos.
EVALUACIN DE LA CONFIGURACIN DEL SISTEMA DE CMPUTO
Los objetivos son evaluar la configuracin actual tomando en consideracin las
aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el
cual el sistema operativo satisface las necesidades de la instalacin y revisar las
polticas seguidas. Esta seccin est orientada a:
1. Evaluar posibles cambios en el hardware a fin de nivelar el sistema de
cmputo con la carga de trabajo actual o de comparar la capacidad
instalada con los planes de desarrollo a mediano y largo plazo.
2. Evaluar las posibilidades de modificar el equipo para reducir el costo o bien
el tiempo de proceso.
3. Evaluar la utilizacin de los diferentes dispositivos perifricos.