Descargar

Guía sobre Auditoría de Sistemas (página 3)

Enviado por Gabriel Pineda

Partes: 1, 2, 3

  1. Desarrollo de Sistemas

  2. El auditor deberá conocer en detalle las distintas etapas en la formulación de los sistemas y las metodologías más usuales en la construcción de los mismos.

    Se debe hacer auditoria cada vez que se realice una aplicación nueva o una modificación importante.

    El objetivo es que la calidad de las estructuras y procedimientos del sistema sea tan buena como sea posible.

    1. Objetivos y puntos a verificar
  • Examinar metodología de construcción en uso.
  • Revisar la definición de los objetivos del sistema, analizar si cumple con las necesidades de los usuarios.
  • Revisar el control y planificación del proyecto.
  • Verificar que el control de datos sea adecuado.
  • Verificar el control de formularios.
  • Controlar si los manuales son suficientes (en cantidad de información).
  • Existencia de una adecuada separación de funciones entre las áreas administrativas y las mecanizadas.
  • Asegurar la fiabilidad y continuidad del sistema
  • Verificar los medios dispuestos para el desarrollo del sistema
  • Analizar los medios de seguridad con que se va a dotar al sistema.
  • Analizar las insuficiencias detectadas y su impacto en los procedimientos futuros.

Se deberá asegurar en el desarrollo del sistema: seguridad, precisión y eficacia.

  1. Momento para efectuar la auditoria de desarrollo.
  1. Cuando esta realizándose el desarrollo: las modificaciones sugeridas pueden incorporarse al sistema en forma oportuna y económica.
  2. Antes del desarrollo: las recomendaciones del auditor se resumen a pautas teóricas y los esquemas de diseño iniciales pueden variar durante el desarrollo, con lo cual realizar una auditoria en este momento, seria una perdida de tiempo.
  3. Después de implementar, su único objetivo seria poder medir la efectividad del sistema.
  1. Distintos tipos de Auditoria Durante el Desarrollo

Auditoria del comienzo del desarrollo del sistema

En esta etapa se deberá tomar contacto con las propuestas nuevas, analizar los elementos de gestión y de control, tomar contacto con los estándares de procedimientos, control de proyecto y de documentación.

Auditoria de la propuesta de mecanización

La propuesta de mecanización define las pautas del nuevo sistema y una vez aceptada se emprendería el trabajo de diseño y programación. La auditoria debería asegurarse de que son adecuados los principios básicos de diseño, en todo lo relacionado a control y verificación interna.

Auditoria de la propuesta detallada.

Aquí se brinda detalle sobre las variaciones y particularidades del esquema general de actividad y contempla los procedimientos mecanizados y los administrativos (diagramas, diseños, registros, etc.). Se verifica las propuestas de implementación y la calidad de las comprobaciones internas, la separación de las funciones y fiabilidad del control.

Ahora deben solucionarse los puntos débiles o tenerse en cuenta para planificar futuras auditorias. Las especificaciones planteadas tratarán sobre la entrada, procesos, salida de archivos y su control, y las instrucciones operativas. La auditoria verificará los procedimientos para asegurar:

  • Evidencia que deja el sistema es suficiente para rastrear errores y corregirlos.
  • Procedimientos de salida llevan incorporados sistemas correctos de validación y detección de errores.
  • El diseño de datos de salida puede adaptarse a las modificaciones que vayan surgiendo.
  • Documentación de todos los archivos magnéticos obedece a los estándares adecuados.
  • Si todos los archivos están sometidos a controles.
  • Si la ejecución de los procesos contiene una validación suficiente.
  • Proteger al sistema contra usos no autorizados.
  • Si se ha planificado adecuadamente todas las etapas de desarrollo, con tiempo, recursos y costos, previendo los puntos de control.
  • Previsión de una capacitación adecuada.
  • Prever emergencias e interrupciones del proceso al igual que la rutina normal de trabajo.

Auditoria de los programas y pruebas.

Se realizan comprobaciones en el trabajo real de programación:

  • Procedimientos de gestión adecuados para controlar programas y pruebas.
  • Controlar y verificar las pruebas de programas
  • Registración adecuada de modificaciones
  • Que los programas en desarrollo se mantengan separados de los operativos.

Auditoria del aprovisionamiento del sistema y planificación de la implantación.

Es importante asignar suficiente tiempo a la adquisición de equipos y material para el nuevo sistema y a especificarlo minuciosamente. El equipo de auditoria deberá asegurarse de que se preparen unas especificaciones adecuadas indicando la calidad, nivel, capacidad, posibilidades y plazo de entrega.

Los analistas deberán trazar un plan de desarrollo e implantación del sistema, dividiendo en etapas, indicando los tiempos y recursos necesarios.

La auditoria verificará que este plan sirva para gestionar y gobernar las tareas y tendrá en cuenta los tiempos para adaptar su auditoria al ritmo del proyecto.

Auditoria de la documentación y manuales de usuario y operación del sistema.

Cuando el sistema quede operativo deberá preparar una documentación completa de todos sus aspectos. El auditor asegurará que están todos los documentos que corresponden, completos y actualizados.

La auditoria deberá verificar si los manuales describen procedimientos de emergencia y respaldo, así como la rutina normal de trabajo. También deberá existir un buen sistema de actualización de manuales.

Auditoria de la conversión de archivos.

Cuando se desarrollan sistemas nuevos suele hacer falta preparar archivos magnéticos y convertir todos los datos que se tengan al formato del nuevo medio.

La auditoria se preocupará que la conversión de los archivos permita que el sistema arranque con datos exactos y verificará que:

  • La conversión de archivos se ha planificado totalmente
  • Programas utilizados para la conversión de archivos han sido probados suficientemente.
  • Utiliza un sistema de información adecuado que identifique claramente los errores.

Auditoria de las pruebas del sistema.

Cuando los programadores enlazan sus programas para formar una secuencia, ésta ha de probarse en su conjunto para garantizar que cumplen su cometido. La auditoria deberá verificar, si la preparación de los datos de prueba deberá llevar consigo:

  • Recopilación de un conjunto de datos que refleje todas las variantes de los valores y errores que puedan surgir.
  • Preparación de una planificación de los resultados que ha de producir el sistema cuando ejecute los datos de prueba.

Una vez verificada la preparación de los datos de prueba, el auditor se preocupará de la calidad de la verificación de los resultados, la oportunidad de las pruebas y que las mismas no han provocado corrupciones en las rutinas y/o archivos.

Auditoria de la implantación.

Se puede tener un sistema paralelo, en donde esta fase es una ampliación de las pruebas del sistema. Si se hace directamente, el sistema arranca inmediatamente.

Se estudiará el sistema de control para corroborar que los empleados lo utilizan bien desde el principio y evaluar la calidad de dicho sistema.

Auditoria de la continuidad del sistema

Los sistemas importantes deben ser capaces de funcionar en todo momento. Las averías de los equipos, errores en archivos, falta de energía y otros recursos no deberían interrumpir las actividades esenciales.

La auditoria debería asegurarse que:

  • Se mantienen copias de seguridad de datos, archivos e instrucciones a un nivel de permita su recuperación dentro de un plazo preestablecido.
  • Existencia de medidas alternativas para utilizar equipos auxiliar (durante las caídas)
  • Que el retorno al trabajo normal se haga con facilidad y que los controles enlacen al sistema sin problemas para verificar si la reactivación ha sido correcta.
  1. Explotación
    1. Objetivos

Evaluar la eficiencia y eficacia de operación del área de producción.

Comprende la evaluación de los equipos de computación, procedimientos de entradas de datos, controles, archivos, seguridad y obtención de la información.

El campo de acción de este tipo de auditoria sería:

  1. Metas, políticas, planes y procedimientos de procesos electrónicos estándares.

    Organización del área y estructura orgánica.

    Integración de los recursos materiales y técnicos

    Controles administrativos del área.

  2. Evaluación administrativa del área de producción
  3. Evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de los equipos.
  4. Evaluación del proceso de datos y de los equipos de procesamiento.

Se deben verificar los siguientes puntos:

Estructura del servicio

Control de operaciones

Documentación de los procedimientos

Modificación de programas

Control de almacenamiento de soportes.

Plan de mantenimiento preventivo

Personal de producción

Control de la utilización del ordenador

  1. Entorno del Hardware
    1. Objetivo
  • Determinación de la performance del hardware
  • Revisar la utilización del hardware
  • Examinar los estudios de adquisición del hardware
  • Comprobar condiciones ambientales y de seguridad del hardware
  • Verificar los controles de acceso y seguridad física
  • Revisar inventario del hardware
  • Verificar los procedimientos de la seguridad física
  • Comprobar los procedimientos de prevención, detección y/o corrección ante desastres.
  • Revisar plan de contingencias.
  • Examinar las seguridades y debilidades de los componentes físicos del equipo, de las comunicaciones, etc. y de las instalaciones donde se ubica el centro de cómputos.
  1. Seguridad física del local
  • Riesgos naturales (inundaciones, descargas eléctricas, etc.)
  • Riesgos de vecindad derivadas de construcciones cerca del centro de cómputos (incendios, vibraciones, etc.)
  • Riesgos del propio edificio (almacenamiento de material combustible, polvo, etc.)
  • Suministro de energía (generador de energía, UPS, etc.)
  • Acondicionador de aire
  • Armarios ignífugos.

  1. Controlar el acceso a los recursos para protegerlos de cualquier uso no autorizado, daño, perdida o modificaciones.

  2. Control de acceso y seguridad física

    En caso de interrupciones inesperadas deben existir planes adecuados para el respaldo de recursos críticos del centro de cómputos y para el reestablecimiento de los servicios de sistemas de información.

    1. Tipos de desastres
  3. Planes de desastre.
  • Destrucción total
  • Destrucción parcial de los recursos centralizados de procesamiento de datos.
  • Destrucción o mal funcionamiento de los recursos ambientales destinados al procesamiento (energía, etc.)
  • Destrucción total o parcial de los recursos descentralizados de procesamiento de datos.
  • Destrucción total o parcial de los procedimientos manuales del usuario.
  • Perdida del personal clave para el procesamiento.
  • Huelga (interrupción)
  • Acciones malintencionadas
  • Perdida total o parcial de la información, manuales o documentación.
  1. Alcance de la planeación contra desastres.

La planeación debe abarcar tanto las aplicaciones en proceso de desarrollo como las operativas. Los recursos que deben estar disponibles para la recuperación son:

  • Documentación de los sistemas, la programación y los procedimientos operativos.
  • Recursos operativos: equipos, datos, archivos, programas, etc.

  1. Un desastre puede ocurrir en alguna fase avanzada del desarrollo de una aplicación vital y será necesario tomar medidas para garantizar que no se retrase o pierda la inversión.

  2. Aplicaciones en proceso de desarrollo

    1. Mantener copias actualizadas de programas, documentación, jobs, procedimientos operativos.

    2. Sistemas y programación
    3. Operaciones de procesamiento
  3. Aplicaciones terminadas

Comprender el sistema completo. La planeación debe incluir las actividades y los procedimientos del usuario, los recursos de transmisión y redes, el procesamiento centralizado y la redistribución de los resultados.

  1. Procedimientos en casos de desastres

Existencia de procedimientos formales (por escrito), en donde se haga referencia detalladamente los diversos tipos de desastres. Se debe especificar:

  • Responsabilidades en caso de desastres
  • Acción inmediata a seguir

Estos planes deben ser los más detallados posibles. Todo el personal requiere adiestramiento regular en el plan contra desastres. El plan de emergencia, una vez aprobado, se distribuye entre el personal responsable de su operación (información confidencial o de acceso restringido).

El plan en caso de desastre debe incluir:

  • Políticas de la dirección
  • Objetivos
  • Responsabilidades
  • Equipo humano
  • Inventario de hardware y software de la instalación
  • Estrategias de contingencias
  • Metodología a utilizar (prioridades)
  • Matriz de riesgos/ acciones preventivas /acciones alternativas
  • Mantenimientos y pruebas del plan
  • Normas de divulgación y distribución del plan.

El auditor deberá verificar que:

  • Existe una fase de prevención de emergencias separadas de las fases de respaldo y restauración.
  • Figura responsable de la supervisión de la emergencia.
  • Existencia de conjunto de normas de emergencias.
  • Procedimientos sistemáticos de clasificación de emergencias.

Una vez que todos los riesgos han sido clasificados se está en condiciones de fijar los procedimientos que aseguraran la continuidad del funcionamiento del negocio.

  1. Seguros contra desastres.

A pesar que existan medidas para reducir el riesgo de interrupciones de las actividades y un plan de emergencia adecuado, en caso de ocurrir un siniestro, los gastos resultarán muy oneroso.

El seguro es una forma de transferir el riesgo de que se produzca un acontecimiento muy costoso.

Tipos de seguros:

  • Todo riesgo
  • Daños determinados
  • Seguro contra averías
  • Seguro de fidelidad
  • Seguro contra interrupción del negocio; cubre las perdidas que sufrirían la empresa en el caso que las actividades informáticas se interrumpiesen.
  1. Plan de desastre, respaldo y recuperación.

Lineamientos de control que cubren los elementos de respaldo y recuperación.

  2. Plan de recuperación en caso de siniestro: debe existir un plan documentación de respaldo para el procesamiento de trabajos críticos.
  3. Procedimientos de urgencia y capacitación del personal: deben garantizar la seguridad del personal.
  4. Aplicaciones criticas: el plan de respaldo debe contener una prioridad preestablecida para el procesamiento de las aplicaciones.
  5. Recursos críticos: deben estar identificados en el plan de respaldo la producción critica, el sistema operativos y los archivos necesarios para la recuperación
  6. Servicios de comunicación
  7. Equipo de comunicación
  8. Equipo de respaldo
  9. Programación de operaciones de respaldo
  10. Procedimientos de respaldo de archivos
  11. Suministro de respaldo: considerar una fuente de abastecimiento para la recuperación de materiales especiales.
  12. Pruebas de plan de respaldo
  13. Reconstrucción del centro de sistemas de información
  14. Procedimientos manuales de respaldo.
  1. Entorno del Software
    1. Objetivos
  • Revisar la seguridad lógica de los datos y programas
  • Revisar la seguridad lógica de las librerías de los programadores
  • Examinar los controles sobre los datos
  • Revisar procedimientos de entrada / salida
  • Verificar las previsiones y procedimientos de backup
  • Revisar los procedimientos de planificación, adecuación y mantenimiento del software del sistema.
  • Revisar documentación del software del sistema.
  • Revisar documentación del software de base.
  • Revisar controles sobre paquetes externos(sw)
  • Supervisar el uso de herramientas peligrosas al servicio del usuario.
  • Comprobar la seguridad e integridad de la base de datos.
  1. Software del sistema (software de base)
  • Control de modificaciones al sistema operativo
  • Evitar cambios no autorizados y el uso incontrolable de herramientas potentes
  • Revisión de los procedimientos de obtención de backup.
  • Metodología de selección de paquetes de software
  • Evaluación de herramientas de desarrollo de sistemas y software de gestión de la base de datos.
  1. Software de la base de datos.
  • Verificación de la integridad de la base de datos
  • Establecer estándares de documentación
  • Limitar las acciones del DBA
  • Existencia de backup
  • Uso de utilitarios y modificaciones de los métodos de acceso.
  1. Riesgos en una base de datos:
  1. Inexactitud de los datos
  2. Inadecuada asignación de responsabilidades
  3. Acceso no autorizado a datos
  4. Documentación no actualizada
  5. Adecuación de las pistas de auditoria.
  1. Sistemas de procesamiento distribuido y redes
  • Debe proveer abastecimiento de información sobre una base descentralizada.
  • Planes de implantación, conversiones y pruebas de aceptación adecuadas de la red.
  • Estándares y políticas para el control de la red.
  • Facilidades de control del hardware y el software
  • Compatibilidad, la integridad y el uso de datos.
  • Control de acceso a datos
  • Software de comunicación y sistema operativo de red – control de rendimiento de la red.
  1. Sistemas basados en microcomputadoras
  • Criterio de adquisición / políticas de la gerencia
  • Software aplicativo, de desarrollo y sistema operativo.
  • Documentación de programas
  • Procedimientos para la creación y mantenimiento de archivos.
  • Seguridad física
  • Compartir recursos / autorización
  1. Sistemas Online

El usuario tiene acceso directo al sistema y lo controla de algún modo a través de terminales del software disponible.

Problemas de auditoria:

  1. Sistemas de consultas
  2. Entrada de datos Online (validaciones)
  3. Actualización de datos Online (actualización de archivos maestros)
  4. Remote Job Entry (un punto remoto actúa con control total del ordenador central)
  5. Programación Online (permite a los programadores trabajar desde puntos remotos del equipo central)
  1. Análisis del acceso Online

Ningún usuario puede acceder a datos que no debería o realizar procesos no permitidos.

  • Verificar que las passwords de los usuarios posean cambios periódicos
  • Perfiles de usuarios (acceso limitado a archivos)
  • Bloqueo de terminales (time out o intentos de acceso)
  • Logueo de actividades del usuario
  • Encriptación de datos.
  1. Análisis de las consultas Online

Verificar que el usuario no pueda modificar datos de los archivos.

  • Control de acceso al sistema
  • Uso de la información obtenida.
  • Tiempo de respuesta.
  1. Análisis de la introducción de datos Online

La mayoría de los problemas son de control, validación y corrección de los mismos.

  • Control de acceso al sistema
  • Existencia de procedimientos previos a la entrada de datos, tratamiento de documentación, autorización adecuada.
  • Sistema de control que permita verificar la totalidad de los datos de entrada.
  • Controles que protejan contra omisiones o duplicaciones de datos.
  • Calidad de la validación
  • Existencia de registros de las correcciones efectuadas en caso de fallo del sistema:
  • Métodos que determinen que transacciones se ha perdido
  • Procedimientos Batch de reemplazo.
  • Procedimientos para comprobar el estado del sistema (luego del reinicio)
  1. Análisis de la actualización online
  • Control de acceso al sistema
  • Establecer puntos de control en la entrada
  • Mantener logs de actualizaciones
  • Realizar validaciones sobre los registros actualizados
  • Autoridad necesaria para la actualización del usuario.
  • Proveer oportunamente la corrección de errores y su impacto.
  • Mantener una relación de los archivos maestros que se hayan modificado, indicando el movimiento antes y después de la modificación.
  1. Análisis de la seguridad Online

Debido a que no es probable que las operaciones online puedan transferirse a otra maquina

  • Disponibilidad de equipos alternativos para cubrir necesidades mínimas.
  • Existencia de planes de emergencia, documentados y practicados.
  • Seguridad de archivos, backup, etc.
  • Medidas de seguridad contra accesos no autorizados.
  1. Análisis de la entrada de remote Job entry

  2. El control de los programas y archivos será responsabilidad del sistema central y deberá verificarse los niveles de autorización del usuario.

  3. Análisis de la programación Online.

Se deberá comprobar que:

  • Acceso de programadores autorizados
  • Registro del uso del sistema con emisión de informes periódicos
  • Trabajos de programación autorizados y controlados.
  1. Análisis del desarrollo de aplicaciones Online
  • Asegurar rutinas de validación
  • Existencia de ayudas en las terminales
  • Procedimientos de corrección y modificación Online
  • Control de acceso simultanea a registros
  • Estándares organizativos operativos.

  1. Bibliografía

  • Sistemas de Información. Auditoria de Sistemas. Ing. Horacio Viña. K5AT2. CEIT. 2000.
  • Handbook of IT Auditing. Warren, Edelson, Parker, Thrun. RIA Group. 1998.
  • Auditoria y Seguridad de los Sistemas de Computación. Jorge Nardelli. Ed. Cangallo. 1984.
    1. Matriz de Riesgo

  2. Anexo I

Poco frecuente Grado de Frecuencia Muy frecuente

Elevadas Perdidas Probables Bajas

 

1

2

3

4

5

1

2

Robo de información

3

Cortes de energía eléctrica

4

Intrusiones

5

6

Terremoto

Grado

Frecuencia

Grado

Perdida $/año

1

Una vez en 1000 años

1

10

2

Una vez en 100 años

2

100

3

Una vez en 10 años

3

1000

4

Una vez por año

4

10000

5

10 veces al año

5

100000

  

6

1000000

 

Gabriel Pineda

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente