Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE SOFTWARE II
FACULTAD DE INGENIERÍA
ESCUELA PROFESIONAL: Ingeniería De Sistemas
ASIGNATURA:
Ing. De Software II
CICLO:
Octavo
DOCENTE TUTOR:
PAGINA 1
INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas
independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión
se utiliza generalmente para designar a la auditoría externa. La auditoría informática es el
proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de
Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Objetivos de la Auditoría.
A continuación veremos una lista de los objetivos de la auditoria del entorno software:
PAGINA 2
INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
Supervisar el uso de las herramientas potentes al servicio de los usuarios.
Comprobar la seguridad e integridad de las bases de datos.
PAGINA 3
INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
Las instalaciones de proceso de datos disponen de potentes utilidades que acceden a datos
y programas prácticamente sin ningún tipo de control ni restricción, permitiendo la
modificación directa de estos al margen de cualquier sistemática. Esto supone un gran
riesgo para la información almacenada. Por ello se hace necesario establecer controles
sobre su utilización. Como primera medida se catalogarían “sensibles” aquellas utilidades
peligrosas para la integridad de la información (accesos a ficheros, copias de ficheros, etc...)
y que, sólo podrán ser utilizadas por personal autorizado. Si por necesidades de la
instalación alguna de estas rutinas deben permanecer “on-line” se dispondrá de un sistema
de passwords para su utilización.
Al igual que las utilidades, determinados comandos del sistema deben tener un carácter de
uso restringido, por lo que se examinará la corrección en la definición de los perfiles de
usuario para evitar el uso indiscriminado de tales comandos.
Una frase muy utilizada en informática viene a decir que “a un sistema al que se le
proporcione basura a la entrada, nos dará basura a la salida”. El tratamiento automático de
los datos ignora su significado y atiende tan sólo a su contenido y estructura. Ello implica
que el control informático debe vigilar no sólo el valor de la información sino también su
forma. El control de los datos a la entrada es fundamental y en la auditoría se examinará la
forma en que se han establecido los programas de control de datos en las diferentes
aplicaciones productivas, verificando que, estos programas permitan detectar:
Errores en los indicativos que están aportando falsa información sobre un ítem
erróneo o una falta de información sobre el verdadero. La mayoría de los métodos
utilizados para este fin se basan en la utilización de una letra o dígito de control que
se añade al dispositivo a depurar.
Errores en la zona de enunciado que, al no ser muy graves, en la mayoría de los casos
puede no ser necesaria su detección por el excesivo coste de las redundancias
necesarias para tal fin. El criterio del auditor dilucidará sobre la necesidad de este
tipo de control.
PAGINA 4
INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
ningún momento la falibilidad de estos procedimientos.
Errores por pérdida de información. Estos fallos son más fáciles de detectar y
prevenir, ya que por ejemplo se pueden programar la obligatoriedad de lleno de
campos.
Dentro del marco de seguridad integral de la instalación hay que contemplar una revisión
regular de ficheros y programas, detectando, por ejemplo, que procesos que concluyan
anormalmente alteren información contenida en los ficheros, o que las versiones
disponibles de los programas fuente son las adecuadas y no han sufrido modificación
alguna.
El cotejo aleatorio de la coherencia entre los datos contenidos en los ficheros antes
y después de su procesamiento.
Vitales: por lo que deberá existir una copia exterior, es decir, almacenada en un local
diferente a aquel en que se asienta el centro de informática.
PAGINA 5
INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
Útiles: estos registros necesitarán también de una copia de seguridad que se puede
guardar en la propia sala del servicio informático.
Copia de seguridad.
Selección de paquetes.
El proceso de selección deberá concluir con un informe detallado que incluya todos los
posibles análisis efectuados, así como las razones que indujeron a tomar una u otra
alternativa.
PAGINA 6
INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
La coordinación necesaria entre el staff de proceso de datos y los departamentos de
usuarios. Se trata así de evitar el uso indiscriminado de estas herramientas de
desarrollo, pues de lo contrario no sería nada anormal encontrarse con aplicaciones
alternativas a las convencionales desarrolladas por informática para solucionar
problemas puntuales.
Los sistemas de bases de datos soportan hoy en día los sistemas de información de la
mayoría de las empresas mecanizadas. Son, por tanto, un elemento a tener en cuenta a la
hora de dictaminar sobre la situación de la informática de una empresa.
PAGINA 7
INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
Actualizaciones en el software base.
Documentación no actualizada.
A la hora de auditar una base de datos se pueden establecer una serie de puntos a
controlar, puntos con cuya revisión se conformará una idea sobre la situación real de la
base, y son:
PAGINA 8
INGENIERÍA DE SISTEMAS ING. DE SOFTWARE II
PAGINA 9