DESARROLLO

Este es el segundo paso en un texto, este expresa con profundidad el contenido de los conceptos
manejados, su extensión puede ser muy breve o en extremo extensa, llegando a engrosar tratados.
En este apartado debes desarrollar las preguntas del control o la tarea.

Desarrollo:

Se requiere que usted participe como auditor informático del desarrollo de un software que permite
registrar el manejo de compras y ventas de autos de una reconocida empresa automotriz.

1. Identifique una tarea que usted deba realizar en cada etapa del ciclo de desarrollo del sistema.

El ciclo de vida de desarrollo de un sistema (SDLC, por sus siglas en inglés) es un proceso lógico utilizado
en el mundo del desarrollo de software sistemas para desarrollar un sistema de información, incluidos
los requisitos, la validación, formación, como los usuarios (interesados) en la propiedad.

Cualquier SDLC debe resultar en un sistema de alta calidad que cumple o excede las expectativas del
cliente, llega a término en el tiempo y estimaciones de costos, sea barato de mantener y rentable. Para
gestionar este nivel de complejidad, se han creado una serie de sistemas de ciclo de vida de desarrollo
(SDLC): «Cascada», «Fuente», «Espiral», «Construir y arreglar», «Prototipado rápido», «Incremental»,
«Sincronizar y estabilizar», etc.

• Estudio de factibilidad

El estudio de factibilidad de un proyecto es una herramienta que se utiliza para guiar la toma de
decisiones en la evaluación de un proyecto, esta herramienta se utiliza en la última fase preoperativa de
formulación del proyecto y sirve para identificar las posibilidades de éxito o fracaso de un proyecto de
inversión, de esta manera se podrá decidir si se procede o no a la implementación.

Con el estudio de factibilidad podemos saber si será factible llevar a cabo el proyecto, o bien, con el
estudio los analistas y especialistas nos podrán hacer recomendaciones a considerar para mejorar su
diseño.

• Adquisición de software

Para la adquisición del software intervienen 7 factores principales que son:

a) Asignar el personal.

b) Preparar listas de requerimientos.

c) Requisición de propuestas.

d) Evaluar alternativas.

e) Contactar usuarios para confirmar.

f) Financiamiento para la adquisición.

g) Negociación de contrato.
 • Diseño

Diseño de procesos es el acto de transformar la visión, los objetivos y los recursos disponibles en un
medio discernible y medible para lograr la visión de la organización. El diseño del proceso puede
comenzar con el análisis del proceso; mejores prácticas organizacionales similares; modelos de
referencia de procesos de los estándares de la industria organizaciones (por ejemplo, SCOR o eTOM) o
consultores de terceros; o “campo verde” – ideas junto con la experiencia y las ideas del equipo de
diseño de procesos.

En esta etapa se deberán analizar las especificaciones del sistema. ¿Qué deberá hacer?, ¿cómo lo
deberá hacer?, ¿secuencia y ocurrencia de los datos, el proceso y salida de reportes?

Una vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la
identificación del nuevo sistema, la participación de auditoría interna en el diseño de los controles y la
determinación de los procedimientos de operación y decisión.

Al tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está
obteniendo en el cual debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está
obteniendo.

Los puntos a evaluar son:

• Entradas.

• Salidas.

• Procesos.

• Especificaciones de datos.

• Especificaciones de proceso.

• Métodos de acceso.

• Operaciones.

• Manipulación de datos (antes y después del proceso electrónico de datos).

• Proceso lógico necesario para producir informes.

• Identificación de archivos, tamaño de los campos y registros.

• Proceso en línea o lote y su justificación.

• Frecuencia y volúmenes de operación.

• Sistemas de seguridad.

• Sistemas de control.

• Responsables.
• Número de usuarios.

Dentro del estudio de los sistemas en uso se deberá solicitar:

• Manual del usuario.

• Descripción de flujo de información y/o procesos.

• Descripción y distribución de información.

• Manual de formas.

• Manual de reportes.

• Lista de archivos y especificaciones.

• Programación:

Un proceso es la ejecución de un programa, es decir, los datos e instrucciones están cargados en la

memoria principal, ejecutándose o esperando a hacerlo.

Un proceso no tiene por qué estar siempre en ejecución. Puede pasar por diferentes estados:

a) Preparado. Un proceso preparado es un proceso que está preparado para ejecutarse. Solo le “falta”"
la CPU.

b) En ejecución. Un proceso en ejecución es un proceso que “tiene” CPU, se está ejecutando.

En esta etapa del sistema se deberán auditar los programas, su diseño, el lenguaje utilizado,
interconexión entre los programas y características del hardware empleado (total o parcial) para el
desarrollo del sistema. Al evaluar un sistema de información se tendrá presente que todo sistema debe
proporcionar información para planear, organizar y controlar de manera eficaz y oportuna, para reducir
la duplicidad de datos y de reportes y obtener una mayor seguridad en la forma más económica posible.
De ese modo contará con los mejores elementos para una adecuada toma de decisiones.

Al tener un proceso distribuido, es preciso considerar la seguridad del movimiento de la información

entre nodos. El proceso de planeación de sistemas debe definir la red óptima de comunicaciones, los
tipos de mensajes requeridos, el tráfico esperado en las líneas de comunicación y otros factores que
afectan el diseño. Es importante considerar las variables que afectan a un sistema: ubicación en los
niveles de la organización, el tamaño y los recursos que utiliza. Las características que deben evaluarse
en los sistemas son:

• Dinámicos (susceptibles de modificarse).

• Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo).

• Integrados (un solo objetivo). En él habrá sistemas que puedan ser interrelacionados y no programas
aislados.
• Accesibles (que estén disponibles).

• Necesarios (que se pruebe su utilización).

• Comprensibles (que contengan todos los atributos).

• Oportunos (que esté la información en el momento que se requiere).

• Funcionales (que proporcionen la información adecuada a cada nivel).

• Estándar (que la información tenga la misma interpretación en los distintos niveles).

• Modulares (facilidad para ser expandidos o reducidos).

• Jerárquicos (por niveles funcionales).

• Seguros (que solo las personas autorizadas tengan acceso).

• Únicos (que no dupliquen información).

• Pruebas:

Es el proceso de prueba básico que comprende la planificación y el control de pruebas, análisis y diseño
de pruebas, implementación y ejecución de pruebas, evaluación de criterios de salida y elaboración de
informes y actividades de cierre de prueba.

• Implantación:

La implantación consiste en poner en práctica lo que se ha escrito en los procedimientos. Es aquí cuando
se ponen de manifiesto las virtudes y defectos de los documentos redactados y es cuando surgen las
necesidades de cambios en dichos documentos.

• Herramientas de desarrollo y ayudas de productividad:

Son todas aquellas que ayudan a mejorar los procesos de producción aumentando la productividad. Se
pueden mencionar:

a) Recogida de información: se debe registrar en un sistema confiable, la información, actividades,

tareas, ideas nuevas que lleguen a la mente.

b) Procesar la información: identificar dentro de todos los elementos registrados cuál es la secuencia de
desarrollo de cada una de las actividades y su objetivo, es decir, cuál es el siguiente paso que se debe
hacer o cumplir, de manera secuencial, para lograr los objetivos planteados.

c) Organizar: se debe organizar todo lo que se ha registrado y procesado según los criterios que resulten
más convenientes, como trabajo, vida personal, hobbies, entre otros.
d) Revisar: hacer una revisión ya sea diaria o semanal, de todas las cosas que se han recogido, procesado
y organizado, para poder agendarlas en un calendario físico o digital.

e) Hacer las actividades: con enfoque, concentración y sentido de urgencia, se procede a realizar las
tareas agendadas, recordando que por el hecho de que seguirán apareciendo nuevas actividades, todos
los pasos anteriormente descritos se deben cumplir con regularidad, para que se puedan integrar al
calendario las tareas de acuerdo con su nivel de importancia y urgencia (ver Matriz de Eisenhower).

• Documentación:

La documentación de procesos consiste en llevar un registro de un proceso durante la ejecución de un

proyecto. El objetivo es aprender de la implementación para adaptar la estrategia y mejorar el
procedimiento.

Las siguientes son las fuentes en donde el auditor puede encontrar información para documentar los
procesos:

• Organigramas que identifiquen los puestos y responsabilidades.

• Entrevistas con los dueños de los procesos.

• Manuales de procedimientos.

• Políticas relacionadas con el proceso.

• Observación de las actividades del proceso.

• Inspección de información producida por el proceso.

• Informes de auditorías internas y/o externas (ayuda a que el auditor identifique debilidades y riesgos
del proceso).

• Revisión de las cartas de recomendaciones del auditor del año anterior.

2. Mencione al menos 3 pruebas que sugiera realizar al sistema y argumente en qué consistirá la prueba
y cuáles son los resultados esperados.

• Prueba de niveles de acceso:

En este caso crearia dos cuentas con distintos niveles de acceso al sistema, una gerencial con acceso
total y la otra a nivel basico, en los cuales generaria un informe, pensando que el software es de gestion
de un banco, realizaria informe sobre los clientes, en cual el resultado para el gerencia serian todos los
clientes junto con los valores asignados en los sistemas.
Los resultados esperados para la cuenta del usuario no puede seleccionar el informe cliente, como el
informe de gerencia.

• Comprobar los accesos a la información:

Realizaria una prueba con una cuenta de un personal de RRHH y uno del area de caja. Las pruebas seria
realizar unas consultas al software, en el cual, la cuenta del usuario de caja intentaria obtener
informacion que solo un usuario de RRHH podria obtener (pago de sueldo, cotizaciones, informacion
personal,etc.) y con la cuenta del usuario de RRHH realizaria la misma accion.

Los resultados esperados serian que el usuario de caja no deberian tener acceso a informacion, por el
que el sistema deberia arrojar un mensaje que no tengo los permisos necesarios para realizar dicha
accion, en cambio con el usuario de RRHH (con los permisos asignados por area) deberia poder obtener
los resultados esperados, segun el documento que requiera tener acceso.

• Pruebas sería el intento de corromper las claves:

Para esta tarea intentaria diversos metodos para poder obtener la clave que maneja un usuario
administrador del sistema, como por ejemplo poder reestablecer la cuenta, esto para ver si es confiable
el metodo o la herramienta para dicha accion, ademas podria realizar otros metodos como intentar
corroperla con palabras del diccionario y ver cual efectiva son las reglas o procedimiento para crear
contraseñas seguras.

El resulado esperado es que no podria reestablecer la contraseña y tampoco podria corromperla con
palabras del diccionario, ya que el proceso de programacion del software se encriptan de buena manera
los archivos de contraseñas, tambien que esta correctamente indicado las normas de creacion de
constraseñas seguras.

3. Defina con un diagrama (esquema) de libre diseño cuáles son los pasos para crear un plan de
auditoría informática para el proyecto asignado.
REFERENCIAS BIBLIOGRÁFICAS
Las referencias deben ser presentadas de acuerdo con las Normas APA, incluyendo información que
permita ubicar de forma inmediata la fuente utilizada.
Recuerda que siempre debes incluir el texto de lectura relacionado con la semana a evaluar.

Ejemplo texto de lectura de IACC:

IACC (2020). Desarrollo, aplicación y mantenimiento de la evaluación de procesos.

Evaluación de Procesos Informáticos. Semana 7.