Auditoria de la seguridad de los datos y del software de aplicacin

Controles internos sobre el anlisis, desarrollo e implementacin de sistemas. Las actividades que se realizan para el anlisis, diseo, desarrollo e implementacin de sistemas de cualquier empresa son nicas y por lo tanto, no tienen parecido alguno con otras actividades. Por esta razn merecen un tratamiento ms especializado. Puntos bsicos  Las consecuencias de un error (generalmente deben ser consideradas para cada campo en la informacin de entrada).  Los puntos en el procesamiento de informacin en los cuales se puede introducir un error en sta.  Lo adecuado de los controles introducidos para prevencin, deteccin y correccin de errores de entrada. Cmo pueden ocurrir errores en los datos de entrada?  Pueden estar registrados incorrectamente en el punto de entrada.  Pueden haber sido convertidos incorrectamente a forma legible por la mquina.  Pueden haber sido perdidos al manejarlos;  Pueden haber sido incorrectamente procesados al ser ledos por el equipo del cmputo. El auditor debe investigar puntos tales como:  Qu ocurre a la informacin de entrada en que se encuentran los errores?  Qu sucede con una operacin no correspondida?  Qu sucede si los totales de control no coinciden?

Tipos de controles.       Control de distribucin. Validacin de datos. Totales de control. Control de secuencia. Pruebas de consistencia y verosimilitud. Dgito de control

Control de distribucin. La informacin de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no estn autorizados para recibirla. Validacin de datos. Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer.  Estas pruebas actan como filtros de la informacin.  Los datos que logran pasar el filtro se dice que estn validados.  Aquellos que contienen errores son examinados, y una vez corregidos pasan de nuevo por el filtro. Totales de control. Un sistema de validacin consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artculos de un archivo. El resultado se compara con el total de estos mismos obtenidos manualmente.  Si el total manual no coincide con el total de la computadora es seal de que se ha producido un error, esto es debido a que no estn escritos los datos correctamente, o se omita un registro, duplicar registros.

Control de secuencia. En datos como las facturas que estn foliadas, la computadora puede ejercer un control de secuencia sobre este nmero de folio, con lo cual se detectar si se omitieron o duplicaron registros. Algunas veces se dan rangos de secuencia con vacos entre rango y rango, entonces la investigacin se hace dentro de los lmites de cada rango. En la mayora de las veces el control de secuencia se produce sobre la clave de identificacin del artculo, pero en otras se incorpora un campo adicional al artculo en donde se inserta el nmero de orden que permita el control de secuencia. Pruebas de consistencia y verosimilitud. Una prueba tpica de consistencia es ver si un campo de un registro al que hemos definido como numrico, efectivamente soporta informacin numrica Dgito de control Dado que la clave de identificacin de los artculos de un registro, permite individualizar cada uno de los artculos. Es necesario asegurarse de que el contenido de la clave est correcto. Cuando se escribe un nmero es factible cometer ciertos errores ya tpicos:       Error de omisin. Error de adicin. Error de transposicin. Error de repeticin. Error de transcripcin. Error aleatorio.

Para detectar que el contenido de un campo de una clave es el correcto, lo que se hace es aadir una cifra ms, obtenida como una combinacin matemtica de las distintas cifras que integran el nmero de la clave de identificacin. Existen dos fases en el problema: Asignar a cada nmero de la clave su correspondiente dgito de control de manera que desde este momento para cualquier transaccin el nmero de artculo tiene que aparecer acompaado de su dgito de control.

Validacin de cualquier movimiento o transaccin en que intervenga el artculo. Para ello se forma la parte que ser propiamente el nmero de clave, se calcula el dgito de control y se compara con el que aparece asociado en la clave. PROTECCIN DE LOS REGISTROS Y DE LOS ARCHIVOS. Formas en que se pueden perder los archivos: 1. Su presencia en un ambiente destructivo. 2. Manejo indebido por parte del operador. 3. Mal funcionamiento de la mquina. CONSIDERACIONES DE AUDITORA: El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que haya en los procedimientos para proteccin de registros y archivos y para su restitucin en caso de prdida. Aun cuando no ocurra una prdida, un sistema dbil pone en peligro los archivos. PLAN DE PRESERVACIN DE LA INFORMACIN  Documentos fuente: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado.  Archivo de discos: Una caracterstica del archivo de discos es que el registro anterior es destruido, no produce una copia automticamente una copia en duplicado.  Vaciado a otros medios: Esto puede ser vaciado a otros discos, o a papel de impresin Objetivos de la auditora del software de aplicacin Verificar la presencia de procedimientos y controles.  Para satisfacer:  La instalacin del software  La operacin y seguridad del software.  La administracin del software

Detectar el grado de confiabilidad.  Grado de confianza, satisfaccin y desempeo.  Investigar si existen polticas con relacin al software. Detectar si existen controles de seguridad. Verificar que sea software legalizado. Actualizacin del software de aplicacin

Evaluacin del software.

El auditor debe evaluar qu software se encuentra instalado en la organizacin. Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. Tambin debe investigar las versiones de cada uno

Organizacin. El auditor debe de verificar que existan polticas para:  La evaluacin del software.  Adquisicin o instalacin.  Soporte a usuarios.  Seguridad.

Instalacin y legalizacin. Procedimientos para la instalacin del software.  El auditor debe investigar si existen procedimientos que aseguren la oportuna instalacin del software.  Actividades durante la instalacin.  Por ejemplo: revisin de contenido del paquete, fecha de instalacin, nmero de mquina, responsable de instalacin, etc.

Justificacin. En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificacin del porqu de esta adquisicin. Software legal El auditor debe de investigar las polticas cuando se encuentra software instalado en mquinas sin licencias de uso.

Entrada y salida del software

             

Que el software que salga de la empresa sea: Revisado (contenido, cantidad, destino). Est registrado formalmente en la empresa. Justificada plenamente su salida. Aprobado por el responsable del rea de informtica Registrado en bitcora (quin y a qu hora lo sac) Devuelto en las mismas condiciones. El personal est comprometido a no hacer mal uso del mismo. Revisado (contenido, cantidad, procedencia). Aprobado por el responsable de informtica. Registrado (quin y a qu hora lo introdujo) Devuelto en tiempo (comparar con fecha estipulada de devolucin). Devuelto en las mismas condiciones. El personal est comprometido a no hacer mal uso del mismo.

Instituto de estudios superiores del golfo de mexico.

Alumno: Aparicio Bautista Fernando.

Licenciatura:

Informtica.

Grado y grupo:

8 U

Catedrtico:

Lpez Villareal German.

Materia:

Auditoria de sistemas.

Trabajo:

Ensayo Auditoria de la seguridad de los datos y del Software de aplicacin

Oaxaca de Jurez Oaxaca