UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS CONTABLES

Auditoria de TI:
10: Auditoría de los
Componentes de los Sistemas
 Auditoría de los Componentes de
los Sistemas

CONTENIDO
 Sistemas
 Procesos de datos y equipos de TI
 Seguridad.
 Un Sistema

Es un conjunto de cosas que ordenadamente

relacionadas entre sí contribuyen a un determinado
objetivo (Real Academia Española)

Un modelo formado por una serie de elementos

interrelacionados entre sí, que opera en un
entorno cambiante y con unos determinados
objetivos.
 Elementos de un Sistema

El entorno del sistema: aquello que lo

Los componentes del sistema
rodea, entro del cual está ubicado.
Las relaciones entre ellos, que determinan
Los límites del sistema: la frontera entre lo
la estructura del sistema
que es el sistema y lo que constituye el
El objetivo del sistema.
entorno.
Un Sistema se Integra de:

Agentes Externos

Internet
Internet
Auditoría de los Sistemas
 Auditoría de los Sistemas

 La palabra Auditoría viene del latín auditorius y de

esta proviene auditor, que tiene la virtud de oír y
revisar cuentas, pero debe estar encaminado a un
objetivo específico que es el de evaluar la eficiencia
y eficacia con que se está operando.

 Objetivo: Tiene como objetivo el señalamiento de

cursos alternativos de acción, se tomen decisiones
que permitan corregir los errores, en caso de que
existan, o bien mejorar la forma de actuación.
Auditoría de Sistemas

 La Auditoría de Sistemas es el
conjunto de técnicas que permiten
detectar deficiencias en las
organizaciones de informática y en
los sistemas que se desarrollan u
operan en ellas, incluyendo los
servicios externos de computación,
que permitan efectuar acciones
preventivas y correctivas para
eliminar las fallas y carencias que se
detecten.

Fuente: http://www.ongei.gob.pe
 Auditoría de Sistemas

 Se verifica la existencia y aplicación de todas las

normas y procedimientos requeridos para minimizar
las posibles causas de riesgos tanto en las
instalaciones y equipos, como en los programas
computacionales y los datos, en todo el ámbito del
Sistema: usuarios, instalaciones, equipos.
 Las Instituciones afectan Auditorías de Sistemas, con
la finalidad de asegurar la eficiencia de las
organizaciones de informática, as¡ como la
confiabilidad y seguridad de sus sistemas.

Fuente: http://www.ongei.gob.pe
ASPECTOS A CONTROLAR

Para lograr desarrollar e implantar un Sistema con Calidad,

dentro de los plazos y costos previstos, cuyos beneficios sean
los planificados, es necesario controlar que:
 El Proyecto de Desarrollo de Sistemas está‚ enmarcado
dentro del Plan General de Sistemas.
 El Cronograma del Proyecto sea realista y el Sistema esté
operativo en forma oportuna, de acuerdo a las
necesidades de la Institución.
 Se aplique la Metodología de Desarrollo de Sistemas.
 Exista un control permanente de la consistencia y
confiabilidad de los Sistemas Informáticos.
ASPECTOS A CONTROLAR

 La Calidad del Sistema producido, permita una óptima

operatividad del mismo.
 La tecnología utilizada sea la más adecuada a los fines
del sistema y permita una vida útil satisfactoria para la
inversión realizada.
 Los Costos, tanto del desarrollo como de su operación y
mantenimiento, sean los planificados y exista un retorno
de la inversión.
 Se hayan logrado los beneficios esperados.
 Se Espera del Sistema que:

1. El Proyecto de Desarrollo de Sistemas esté‚

enmarcado dentro del Plan General de Sistemas.
2. El Cronograma del Proyecto permita o haya
permitido que el Sistema esté‚ operativo
oportunamente.
3. Se aplique la Metodología de Desarrollo de Sistemas.
4. Documentación de Sistemas:
 Documentación de Sistemas:

 Si el control es realizado preventivamente, la

documentación deber ser revisada al finalizar cada
sub-etapa, siendo recomendable que se revise
internamente en la Dirección de Informática, previa a
la entrega del mismo al Comité‚ del Sistema.
 Deber llevarse un Registro de la Documentación
generada, para efectos de seguimiento permanente y
control posterior.
 Deber contarse con la firma de conformidad del
usuario de la documentación que éste deba aprobar.
 Etapas de Desarrollo de Sistemas a
Auditar
Análisis de Diseño de Programación : Implantación de
Sistemas Sistemas Sistemas
• Entrevistas. • Diseño • Programación • Capacitación.
• Diagrama de Estructurado. Estructurada. • Creación de
Flujo de Datos • Diagrama de • Pruebas Unitarias. archivos iniciales.
(D.F.D.). Estructura de • Pruebas de • Proceso en
• Modelización de Cuadros. Integración. paralelo.
Datos. • Optimización del • Prueba del
• Diagrama de Diseño Físico. Sistema.
Estructura de • Diseño de
Datos (D.E.D.). Pruebas.
• Historia de Vida • Prototipeo.
de la Entidad
(H.E.V.).
• Análisis de Costo-
Beneficio (A.C.B.).
• Prototipeo.
Procesos de datos y equipos de TI
Procesos de datos y equipos de TI
 Controles:

 Los datos son uno de los recursos más valiosos. Por lo

cual se debe tener presente:

1. La responsabilidad de los datos es compartida.

2. Un problema que se debe considerar es el que se

origina por la duplicación de los datos.
 Políticas de respaldo

Los respaldos de la información deben realizarse

mensual, semanal o diario y se deben observar los
siguientes puntos:

Backup’s
 Políticas de respaldo

1. Se debe contar con políticas que sean formales (por escrito) para
realizar copias de seguridad.

2. El almacenamiento de datos debe ser replicado en otros

dispositivo de almacenamiento.

3. El acceso debe ser restringido al área en donde se tienen

almacenada la información.

Riesgo de Información cuando

no hay política de Seguridad.
 Políticas de respaldo
4. También se debe especificar la forma de:

a. Etiquetación,
b. Nomenclatura
c. Rotación de cintas,
d. Nombres de los responsables de efectuar
los respaldos
e. Cintas que serán designadas para ser
resguardadas fuera de las instalaciones.
 Políticas y Procedimientos

 Las políticas existentes deben estar actualizadas

en todas las actividades, estar debidamente
documentadas y ser del conocimiento del
personal.
 Políticas y Procedimientos

Conviene tener políticas y

procedimientos actualizados que
administre el área de sistemas.
 Políticas y Procedimientos

Relajamiento Inadecuada
Administración
en el división de
inadecuada
cumplimiento labores
 Políticas y Procedimientos

Las políticas y procedimientos deben incluir los siguientes puntos:

Seguridad de la
información física y lógica

Adquisición de Hardware
y Software

Operación del centro de

computo
Al proceder de esta manera se
obtendrán las siguientes ventajas:
1. Se tiene una base uniforme, estable y formal para
capacitación y fomenta la eficiencia del personal.

2. Ante la rotación del personal, se evita el

desvirtuamiento de las normas y procedimientos.

3. Se precisa la responsabilidad individual de los

participantes en una operación.
 Política de Revisión de Bitácora

Deben existir bitácoras de operación en las que se

registren:
- Los procesos realizados
- Los resultados de ejecución
- La concurrencia de errores
- Los procesos ejecutados en el equipo
- La manera en que se concluyeron.
No contar con una política de revisión de
bitácoras puede ocasionar :

1. Carecer de las bases para el rastreo de errores.

2. Falta de parámetros de evaluación respecto al
funcionamiento.
3. Ausencia de controles respecto a registro de
seguimiento de problemas.
 Controles de licencia del software

Todas las organizaciones deben tener un inventario

de las licencias actualizado, que asegure que toda
la paquetería y software en general sea legal.
 Políticas de Seguridad Física del Sitio

Las instalaciones del sitio deben ser las adecuadas para

asegurar el buen funcionamiento y continuidad
necesaria en las operaciones.

Por tal motivo durante la visita de las instalaciones se

deben observar los siguientes puntos:
 Políticas de Seguridad Física del Sitio

• Diseñar un lugar • El acceso debe • Debe existir un plan

exclusivo y estar restringido por que permita que los
adecuado para los llaves electrónicas, sistemas sigan
equipos centrales. chapas funcionando en
magnéticas, etc. caso de algún
siniestro o en caso
de alguna huelga.
Que contiene el Plan de Contingencias?

1. Delegación de funciones y entrenamiento.

2. Resumen de actividades a seguir en contingencia.
3. Estudio detallado con la zona geográfica.
4. Realizar un estudio de tiempo de restablecimiento
de operaciones a una determinada contingencia.
 Control de Operación

Esta parte se relaciona con la eficiencia y satisfacción

del usuario.
Control de medio de almacenamiento
masivo

Los dispositivos de almacenamiento representan para

cualquier centro de cómputo archivos
extremadamente importantes cuya pérdida podría
tener repercusiones muy serias no solo en la unidad
de informática sino en la dependencia en la cual se
presta servicio.
Control de mantenimiento

Total

TIPOS

Programado Alerta
 CONTROLES

 Prevenir o detectar errores accidentales que puedan

ocurrir en el Centro de Cómputo durante un
proceso.
 Evitar o detectar el manejo de datos con fines
fraudulentos por parte de funcionarios Garantizar la
integridad de los recursos informáticos.
 Asegurar la utilización adecuada de equipos acorde
a planes y objetivos.
 CONTROL DE LOS DATOS FUENTE Y
CIFRAS DE CONTROL
 Duplicar procesos. Esto es de suma importancia en caso
de equipos de cómputo que cuentan con sistemas en
línea.
 Primer nivel
 Segundo nivel
 Tercer nivel
 CONTROL DE ASIGNACION DE
TRABAJO

 Trabajar con archivos de una carpeta.

 Crear un área de trabajo compleja.
 Trabajar en varias ramificaciones crear una
compilación local.
 Mantenimiento y Orden

Mantenimiento Periódico y
Diagnóstico Preventivo

Por otro lado, debe haber Orden en el centro de cómputo: Una dirección
de informática bien administrada debe tener y observar reglas relativas
al orden y cuidado en la sala de maquinas.
Evaluación de la configuración del
sistema de cómputo

Esta sección esta orientada a:

Evaluar posibles cambios en el hardware a fin de
nivelar el sistema de cómputo.

Evaluar las posibilidades de modificar el equipo

para reducir el costo o bien el tiempo de proceso.

Evaluar la utilización de los diferentes dispositivos

periféricos.
 Puntos a evaluar en los equipos

Forma de adquisición, estándares y opciones de

renta, renta con opción a compra o compra.
 EVALUACION DEL PROCESO DE
DATOS Y DE LOS EQUIPOS DE TI

 Relación de los datos

 Duplicidad de datos
 Clasificación e identidad de los datos
 Responsabilidad de los datos
Seguridad
Todos los Riesgos Posibles debemos:

 Evitarlos.- No direccionar acciones donde siempre

hay peligro
 Transferirlos.- Con un servicio externo especializado.
 Reducirlo.- Detectarlo y extinguirlo en lo mayor
posible.
 Asumirlos.- Cuando no se asume el riesgo absoluto.
 Niveles de Seguridad

Se debe verificar que los siguientes elementos sean

los más adecuados:
 Equipos.
 Sistema de Red.
 Sistema de Base de Datos.
 Sistema de Comunicaciones.
 Lenguaje de Programación.
 Factores que Intervienen en la
Composición de una Contramedida

Normas
Estándares Políticas

Organización Funciones,
(Personas) procedimientos, planes

Metodologías

Objetivos de Control

Procedimientos de Control Informática, Usuarios

Tecnología de Seguridad Hardware, Software

Herramientas
Factores que Intervienen en una
Contramedida
Política
de
Seguridad

Plan de
Seguridad

Normas y
Procedimientos

Medidas Tecnológicas
Implantadas