INGENIERÍA DE SISTEMAS ING.

DE SOFTWARE II

“AÑO DEL BUEN SERVICIO AL CIUDADANO”

FACULTAD DE INGENIERÍA
ESCUELA PROFESIONAL: Ingeniería De Sistemas

CENTRO ULADECH: Huaraz

ASIGNATURA:
Ing. De Software II

CICLO:
Octavo

DOCENTE TUTOR:

Mg. Ing. Heber Gómez Hurtado

NOMBRE DEL ESTUDIANTE

Victor José Carreño Guerra

FECHA 28 de Junio del 2017

PAGINA 1
 INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II

Auditoría informática del Software.

La Auditoría de Software es un término general que se refiere a la investigación y al proceso

de entrevistas que determina cómo se adquiere, distribuye y usa el software en la
organización.

La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas
independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión
se utiliza generalmente para designar a la auditoría externa. La auditoría informática es el
proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de
Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que están

implantados en una empresa u organización, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos.

Conducir la auditoría es una de las partes más críticas de un Programa de Administración

de Software, porque la auditoría ayuda a la organización a tomar decisiones que optimicen
sus activos de software.

Objetivos de la Auditoría.

A continuación veremos una lista de los objetivos de la auditoria del entorno software:

 Revisar las librerías utilizadas por los programadores.

 Examinar que los programas realizan lo que realmente se espera de ellos.
 Revisar el inventario de software.
 Comprobar la seguridad de datos y software.
 Examinar los controles sobre los datos.
 Revisar los procedimientos de entrada y salida.
 Verificar las previsiones y procedimientos de back-up.
 Revisar los procedimientos de planificación, adecuación y mantenimiento del
software del sistema.
 Revisar la documentación sobre software de base.
 Revisar los controles sobre programas producto (paquetes externos).
 Examinar la utilización de estos paquetes.
 Verificar periódicamente el contenido de los ficheros de usuario.
 Determinar que el proceso para usuarios está sujeto a los controles adecuados.
 Examinar los cálculos críticos.

PAGINA 2
 INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
 Supervisar el uso de las herramientas potentes al servicio de los usuarios.
 Comprobar la seguridad e integridad de las bases de datos.

El objetivo fundamental de un trabajo de auditoría es permitir que el auditor llegue a estar

en condiciones de informar fundamentalmente sobre la fidelidad y razonabilidad de la
situación que refleja la documentación aportada por la empresa. El auditor está obligado a
establecer de forma inequívoca, según su criterio, si la imagen de la empresa es fiel y
razonable en la documentación aportada. Si no ha podido confirmar estos términos, debe
calificar su informe justificando las razones que le han llevado a considerar las desviaciones
de fidelidad y razonabilidad, y en qué aspectos, y en qué medida, se ha incurrido en una
formulación errónea. El auditor debe expresar con independencia su opinión.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema de información salvaguarda los activos, mantiene la integridad de
los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los
recursos. De esta forma la auditoría informática sustenta y confirma la consecución de los
objetivos tradicionales de auditoría. El auditor evalúa y comprueba en determinados
momentos del tiempo los controles y procedimientos informativos más complejos,
desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de
software.

Auditoría informática del entorno software.

Software del sistema.

Para un eficiente funcionamiento del ordenador y garantizar su continuidad es importante

la puesta en marcha y el control de todas las modificaciones al sistema operativo, y en
general, de todo el software de base del sistema. Garantizando así la no interrupción por
falta de actualización en las diferentes versiones que con frecuencia lanzan las casas
constructoras. También es necesario establecer controles y restricciones adecuados para
evitar los cambios desautorizados en el software del sistema y el uso incontrolado de
determinadas utilidades potentes, y que no dejan la menor huella para auditoría tras su
ejecución.

El auditor, revisará la forma en que se está realizando el proceso de modificación o

alteración del software de base: es necesario que tal operación esté organizada y dotada
del nivel de seguridad que requiere una operación de esta índole, con una correcta
normativa al respecto y contemplando las oportunas autorizaciones por parte de la
dirección informática. La supervisión en este sentido es fundamental dada la propia
importancia del software a modificar.

PAGINA 3
 INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II

Las instalaciones de proceso de datos disponen de potentes utilidades que acceden a datos
y programas prácticamente sin ningún tipo de control ni restricción, permitiendo la
modificación directa de estos al margen de cualquier sistemática. Esto supone un gran
riesgo para la información almacenada. Por ello se hace necesario establecer controles
sobre su utilización. Como primera medida se catalogarían “sensibles” aquellas utilidades
peligrosas para la integridad de la información (accesos a ficheros, copias de ficheros, etc...)
y que, sólo podrán ser utilizadas por personal autorizado. Si por necesidades de la
instalación alguna de estas rutinas deben permanecer “on-line” se dispondrá de un sistema
de passwords para su utilización.

Al igual que las utilidades, determinados comandos del sistema deben tener un carácter de
uso restringido, por lo que se examinará la corrección en la definición de los perfiles de
usuario para evitar el uso indiscriminado de tales comandos.

El control de los datos.

Una frase muy utilizada en informática viene a decir que “a un sistema al que se le
proporcione basura a la entrada, nos dará basura a la salida”. El tratamiento automático de
los datos ignora su significado y atiende tan sólo a su contenido y estructura. Ello implica
que el control informático debe vigilar no sólo el valor de la información sino también su
forma. El control de los datos a la entrada es fundamental y en la auditoría se examinará la
forma en que se han establecido los programas de control de datos en las diferentes
aplicaciones productivas, verificando que, estos programas permitan detectar:

 Inverosimilitudes en los datos, con lo que se captan algunas posibilidades de error.

 Errores en los indicativos que están aportando falsa información sobre un ítem
erróneo o una falta de información sobre el verdadero. La mayoría de los métodos
utilizados para este fin se basan en la utilización de una letra o dígito de control que
se añade al dispositivo a depurar.

 Errores en la zona de enunciado que, al no ser muy graves, en la mayoría de los casos
puede no ser necesaria su detección por el excesivo coste de las redundancias
necesarias para tal fin. El criterio del auditor dilucidará sobre la necesidad de este
tipo de control.

 Errores en campos de importe que por su naturaleza deben cuidarse sobremanera.

Desgraciadamente, no existen procedimientos infalibles que estén exentos de
rechazar datos que sí son correctos o que, por el contrario, permitan el paso a los
incorrectos. Se pueden establecer test programados basándose en la experiencia
previa y utilizando, por ejemplo, técnicas estadísticas, pero sin perder de vista en

PAGINA 4
 INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
ningún momento la falibilidad de estos procedimientos.

 Errores por pérdida de información. Estos fallos son más fáciles de detectar y
prevenir, ya que por ejemplo se pueden programar la obligatoriedad de lleno de
campos.

Control periódico de ficheros y programas.

Dentro del marco de seguridad integral de la instalación hay que contemplar una revisión
regular de ficheros y programas, detectando, por ejemplo, que procesos que concluyan
anormalmente alteren información contenida en los ficheros, o que las versiones
disponibles de los programas fuente son las adecuadas y no han sufrido modificación
alguna.

Con el objetivo de eliminar este tipo de problemas es conveniente que en la auditoría se

revisen ciertos puntos:

 La auditabilidad de las aplicaciones, lo que se consigue proporcionando cuadros de

valores numéricos, totales de registros, con indicación de su tipo y, en suma, toda
una serie de medidas que permitan un mejor seguimiento.

 El procesamiento regular de los ficheros, investigando cualquier tipo de información

que proporcione una noción del estado de los mismos.

 El cotejo aleatorio de la coherencia entre los datos contenidos en los ficheros antes
y después de su procesamiento.

 Implantación de un software que permita un control de las versiones de los

programas, impidiendo que se obtenga copia de un programa mientras no se
“devuelva” otra copia previa y manteniendo un fichero histórico de las
modificaciones.

La adecuada concienciación ante la importancia de registros y documentos de forma que

éstos estén clasificados al menos en las siguientes categorías:

 Vitales: por lo que deberá existir una copia exterior, es decir, almacenada en un local
diferente a aquel en que se asienta el centro de informática.

 Importantes: En este caso su salvaguarda se almacenará en una sala diferente de

aquellas utilizadas por informática.

PAGINA 5
 INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II

 Útiles: estos registros necesitarán también de una copia de seguridad que se puede
guardar en la propia sala del servicio informático.

Copia de seguridad.

Un elemento clave en la auditoría del entorno de datos y programas lo constituye la revisión

de los procedimientos de obtención de copias de seguridad.

La necesidad de la obtener copias de ficheros y programas es más que evidente y cualquier

instalación ha de intervenir unos minutos del tiempo de los operadores al final de la jornada
para obtener tales copias, como mínimo de los ficheros y/o programas que hayan sufrido
alguna modificación a lo largo del día. Además de estas copias diarias se obtendrá otra con
una periodicidad marcada por la propia naturaleza de los procedimientos en explotación.

Si en la instalación auditada existen ordenadores personales bajo control directo de los

departamentos de usuarios, el auditor comprobará que se han adoptado medidas según los
cuales los usuarios son conscientes de la necesidad de obtención de copias de seguridad de
una manera regular, así como capaces de obtener y almacenar dichas copias.

En todo caso es necesario que los procedimientos de back-up estén debidamente

documentados.

Selección de paquetes.

En un examen de este tipo, no debe descuidarse la revisión de la metodología que tenga la

empresa auditada en lo que se refiere a la selección y adquisición de paquetes de software.
Esta metodología de selección deberá incluir una evaluación técnica que nos asegure que
efectivamente el programa que vamos a adquirir podrá funcionar en la empresa y evalué
los aspectos de seguridad, documentación, mantenimiento, etc.

El proceso de selección deberá concluir con un informe detallado que incluya todos los
posibles análisis efectuados, así como las razones que indujeron a tomar una u otra
alternativa.

Desarrollos con herramientas evolucionadas.

Los lenguajes de cuarta generación constituyen una importante línea de evolución de la

informática de gestión. Ahora bien, la utilización de estas técnicas no debe hacerse
perdiendo de vista algunos puntos de importancia de cara a las aplicaciones ya existentes y
a los futuros desarrollos, por lo cual la revisión y seguimiento que se realice sobre el uso de
estas herramientas se fijara en:

PAGINA 6
 INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
 La coordinación necesaria entre el staff de proceso de datos y los departamentos de
usuarios. Se trata así de evitar el uso indiscriminado de estas herramientas de
desarrollo, pues de lo contrario no sería nada anormal encontrarse con aplicaciones
alternativas a las convencionales desarrolladas por informática para solucionar
problemas puntuales.

 La documentación y formación facilitadas a los usuarios. Se trata de evitar los

individualismos de los usuarios cuando estos estén realizando desarrollos
valiéndose de las técnicas evolucionadas que se les han facilitado. Además de la
adecuada formación que requiere la óptima explotación del paquete, es necesario
imbuir al usuario las normas imprescindibles de seguridad y documentación que
conlleva cualquier desarrollo.

 La fiabilidad e integridad de la información que los usuarios consiguen con estos

procedimientos. A tal fin se hace necesario la implantación de procedimientos de
seguridad que restrinjan la libre disposición de la información por cualquier tipo de
usuario.

En definitiva se trata de que el auditor se fije en la forma en que se está utilizando el

software evolucionado y cómo puede esto repercutir en el nivel de eficiencia y seguridad
general de datos y programas de la instalación.

Seguridades en bases de datos.

Los sistemas de bases de datos soportan hoy en día los sistemas de información de la
mayoría de las empresas mecanizadas. Son, por tanto, un elemento a tener en cuenta a la
hora de dictaminar sobre la situación de la informática de una empresa.

Las características de construcción de las bases de datos motivan la aparición de nuevos

riesgos por lo que el auditor debe conocer los principios y conceptos fundamentales de
diseño de una base de datos (más concretamente del sistema de gestión de la base de
datos). Esto, de forma global y en particular obtendrá una visión preliminar de la base de
datos a examinar, en sus aspectos de implementación y soporte físicos, de administración,
etc.

Principales riesgos a los que está sometida una base de datos:

 Inadecuada asignación de responsabilidades.

 Inexactitud de los datos.
 Pérdida de actualizaciones.
 Adecuación de los “audit trail”.
 Accesos desautorizados a los datos.

PAGINA 7
 INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
 Actualizaciones en el software base.
 Documentación no actualizada.

A la hora de auditar una base de datos se pueden establecer una serie de puntos a
controlar, puntos con cuya revisión se conformará una idea sobre la situación real de la
base, y son:

 Mantenimiento de programas que manejan datos de la base.

 Controles de la validación en la entrada de datos.
 Autorizaciones de acceso
 Procedimiento de manejo de datos erróneos.
 Objeto del procesamiento.
 Datos concurrentes o compartidos.
 Prevención y detecciones de los interbloqueos.
 Asignación de funciones y responsabilidades.
 Controles de salida.
 Situación del diccionario de datos.
 Documentación del sistema y de sus configuraciones
 Entrenamiento del personal.

Etapas de la auditoria de una aplicación informática.

1. Recogida de información y documentación Sobre la aplicación: se realiza un

estudio preliminar en el que recogemos toda aquella información que nos pueda ser
útil para determinar los puntos débiles existentes y aquellas funciones de la
aplicación que puedan entrañar riesgos.

2. Determinación de los objetivos y alcance de la auditoria: Es preciso conseguir una

gran claridad y precisión en la definición de objetivos de la auditoria, del trabajo y
pruebas que se proponen realizar, delimitando perfectamente su alcance de manera
que no ofrezca dudas de interpretación.

3. Planificación de la auditoria: en este caso es de crucial importancia acertar con el

momento mas adecuado para su realización. No es conveniente que coincida con el
periodo de implantación porque los usuarios no están muy familiarizados con la
aplicación, pero al mismo tiempo el retraso excesivo puede alargar el periodo de
exposición a riesgos.

4. Trabajo de campo, informe e implantación de mejoras: consiste en la ejecución del

programa de trabajo establecido. Respecto al informe se recogerán las
características del trabajo realizado, sus conclusiones, recomendaciones o
propuestas de mejora. La implentación de las mejoras identificadas en la auditoria.

PAGINA 8
 INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II

Herramientas de uso más común en la auditoria de una aplicación.

 Entrevistas: son de larga utilización a lo largo de toda la auditoria.

 Encuestas: pueden ser de utilidad tanto para determinar el alcance y

objetivos de la auditoria, como para la materialización de los objetivos
relacionados con el nivel de satisfacción de los usuarios.

 Observación del trabajo realizado por los usuarios: es necesario observar

como trabajan los usuarios: Puede ayudar a detectar que el trabajo final sea
bueno y por lo tanto los controles establecidos sean efectivos.

 Pruebas de conformidad: son actuaciones orientadas específicamente a

comprobar que determinados procedimientos, normas o controles internos,
se cumplen o funcionan de acuerdo a lo previsto o esperado.

 Pruebas substantivas o de validación: orientadas a detectar la presencia o

ausencia de errores o irregularidades en procesos, controles o actividades
internos integrados en ellos.

 Uso de ordenador: es el uso de las aplicaciones software que se pueden

utilizar para realizar la auditoria, los cuales son de gran ayuda para facilitar
el trabajo.

PAGINA 9