La auditoria en la informática
Auditoria de sistemas.
La auditoria en informática es la
revisión y la evaluación de los controles, sistemas, procesos de informática;
de los equipos de cómputo, su utilización, eficiencia y seguridad, de la
organización que participan en el procedimiento de cursos alternativos se logre
una utilización más eficiente y segura de la información que servirá para una
adecuada toma de decisiones.
La auditoria deberá comprender no
solo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico,
sino que además habrá de evaluar los sistemas de información en general desde
sus entradas, procedimientos, controles, archivos, seguridad, y obtención de
información.
La auditoria en informática es de
vital importancia para el buen desempeño de los sistemas de información, ya que
proporcionan los controles necesarios para que los sistemas sean confiables y
con un buen nivel de seguridad.
Planeación de la auditoria en la informática.
Para hacer una adecuada planeación de
la auditoria en informática hay que seguir una serie de pasos previos que
permitan dimensionar el tamaño y características de área dentro del organismo a
auditar, sus sistemas, organización y equipos.
El caso de la auditoria en informática,
la planeación es fundamental, pues habrá que hacer desde el punto de vista de
los dos objetivos:
· 1. Evaluación de los sistemas y procedimientos.
· 2. Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo
primero que se requiere es obtener información general sobre la función de
informática a evaluar. Para ello es preciso hacer una investigación preliminar
y algunas entrevistas previas, con esto planear el programa de trabajo, el cual
deberá incluir tiempo, costo, personal necesario y documentos auxiliares a
solicitar o formular durante el desarrollo de la misma.
Investigación Preliminar.
Se deberá observar el estado general
del área, su situación dentro de la organización, si existe la información
solicitada, si es o no necesaria y la dicha de su última actualización.
Se debe hacer la investigación preliminar
solicitando y revisando la información de cada una de las áreas basándose en
los siguientes puntos:
Administración: Se recopila la
información para obtener una visión general del departamento por medio de
observaciones, entrevistas preliminares y solicitud de documentos para poder
definir el objetivo y alcances del departamento.
“para analizar y dimensionar la
estructura ir auditoria se debe solicitar”:
A nivel de área de informática:
Objetivo a corto y largo plazo.
Recursos materiales y técnicos:
Solicitar documentos sobre los equipos, números de ellos, localización y
características.
Sistemas: Descripción general de los
sistemas instalados y de los que estén por instalarse que contengan volúmenes
de información.
Personal participante.
Una de las partes más importantes
dentro de la planeación de la auditoria en informática es el personal que
deberá participar y sus características.
Uno de los esquemas generalmente aceptados
para tener un adecuado control es que el personal que investigan esté
debidamente capacitado, con alto sentido de moralidad, al cual se le exija la
optimización de recursos y se le retribuya o consense justamente por su
trabajo.
Este es un punto muy importante ya que, de no tener el apoyo de la alta
dirección, ni contar con un grupo multidisciplinario en el cual este presentes
una o varias personas del área a auditar, sería casi imposible obtener
información en el momento y con las características deseadas.
Para completar el grupo, con
colaboradores directos en la realización de la auditoria se deben tener
personas con las siguientes características:
· +
Técnico en informática.
·
+ Experiencia en el área de informática.
·
+ Experiencia en operaciones y análisis de
sistema.
·
+ Conocimientos en los sistemas importantes
En caso de sistemas complejos se
deberá contar con personal con conocimientos y experiencias en el área
específicas como base de datos, redes, etc. Lo añeros no significa que una sola
persona tenga los conocimientos y experiencias señaladas, pero si deben
intervenir una o varias personas con las características apuntadas.
Evaluación de Sistemas.
La elaboración de sistemas debe ser
evaluada con mucho detalles, para lo cual se debe revisar si existen realmente
sistemas entrelazados como un todo o bien si existen programas aislados. Otros
de los factores a evaluar es si existe un plan estratégico para la elaboración
de los sistemas o si se están elaborados
sin el adecuado señalamiento de prioridades y de objetivos.
En lo referente a la consulta a los
usuarios, el plan estratégico debe definir los requerimientos de información de
la dependencia.
En el área de auditoria interna debe
evaluarse cuál ha sido la participación del auditor y los controles
establecidos.
Evaluación del Análisis.
En esta etapa se evaluara las
políticas, procedimientos y normas que tienen para llevar a cabo el análisis.
Se deberá evaluar la planeación de
las aplicaciones que pueden provenir de tres fuentes principales:
- La
planeación estratégica: agrupadas las aplicaciones en conjuntos
relacionados entre sí y no como programas aislados. Las aplicaciones deben
comprender todos los sistemas que puedan ser desarrollados en la
dependencia, independientemente de los recursos que implique sus
desarrollos y justificación en el momento de la planeación.
- Los
requerimientos de los usuarios.
- El
inventario de sistemas en proceso al recopilar la información de los
cambios que han sido solicitados, sin importar si se efectuaron o se
registraron.
Es importante revisar la situación en
que se encuentran los manuales de análisis y si están acordes con las
necesidades de la dependencia. En algunas ocasiones se tiene una
microcomputadora, como sistema sumamente sencillo y se solicita que se lleve a
cabo una serie de análisis que después hay que plasmar en documentos señalados
en los estándares, lo cual hace que esta fase sea muy compleja y costosa. Los
sistemas y su documentación deben estar acordes con las características y
necesidades de una dependencia específica.
Evaluación del diseño lógico del Sistema.
En esta etapa se deberá analizar las
especificaciones del sistema.
Una vez que hemos analizado las
etapas, se deberá estudiar la participación que tuvo el usuario en la
identificación del nuevo sistema, la participación de auditoria interna en el
diseño de los controles y la determinación de los controles y la determinación
de los procedimientos de operación y decisión.
Los puntos para evaluar son:
·
Entradas
·
Salidas
·
Procesos
·
Especificaciones de datos
·
Especificaciones de proceso
·
Método de acceso
·
Operaciones
·
Manipulación de datos
·
Proceso lógico necesario para producir
informes
·
Identificación de archivos, tamaños de los
campos y registros
·
Proceso en línea o lote y su justificación
·
Frecuencia y volúmenes de operación
·
Sistemas de seguridad
·
Sistemas de control
·
Responsables
·
Números de usuarios
Evaluación del desarrollo del Sistema.
En
esta etapa del sistema se deberá auditar los programas, su diseño, el lenguaje
utilizado, interconexión entre los programas y características del hardware
empleado para el desarrollo del sistema.
El
proceso de planeación de sistema debe definir la red optima de comunicación y
otros factores que afectan el diseño. Es importante considerar las variables
que afectan a un sistema: ubicados en los niveles de la organización, el tamaño
y los recursos que utiliza, las características que deben evaluarse en los
sistemas son:
·
Dinámicos.
·
Estructurados.
·
Integrados.
·
Accesibles.
·
Necesarios.
·
Comprensibles.
·
Oportunos.
·
Funcionales.
·
Estándar.
·
Modulares.
·
Jerárquicos.
·
Seguros.
·
Únicos.
Control de proyectos.
Debido a la característica propia del
análisis y la programación, es muy frecuente que la implantación de los
sistemas se retrase y se llegue a suceder que una persona lleva trabajando
varios años dentro de un sistema o bien que se presente irregularidades en las
que los programadores se ponen a realizar actividades ajenas a la distribución
de información. Para poder controlar el avance de los sistemas, ya que esta es
una actividad de difícil evaluación, se recomienda que se utilice la técnica de
administración por proyectos para su adecuado control.
Para tener una buena administración
por proyectos se requiere que el analista o el programador y su jefe inmediato
elaboren un plan de trabajo en el cual se especifiquen actividades metas,
personal participante y tiempos. Este plan debe ser revisado periódicamente
para evaluar el avance respecto a lo programado. La estructura estándar de la
planeación de proyectos deberá incluir la facilidad de asignar fechas predefinidas de ternubacuib de cada
tarea definida de estas fechas debe estar el calendario de reuniones de
revisión, las cuales tendrán diferentes niveles de detalle.
Control de diseño de sistema y programación.
El objetivo es asegurarse de que el sistema
funcione conforme a las especificaciones funcionales, a fin de que el usuario
tenga la suficiente información para su manejo, operación y aceptación. Las
revisiones se efectúan en forma paralela desde el análisis hasta la
programación y sus objetivos son los siguientes:
ETAPA DE ANÁLISIS:
Identificar inexactitudes, ambigüedades y omisiones en las
especificaciones.
ETAPA DE DISEÑO: Descubrir
errores, debilidades, omisiones antes de iniciar la codificación.
ETAPA DE PROGRAMACIÓN: Buscar la
claridad, modularidad y verificar con base en las especificaciones.
Esta actividad es muy importante ya que el costo
de corregir errores es directamente proporcional al momento que se detectan: si
se descubren en el momento de programación será más alto que si se detecta en
la etapa de análisis. Esta función tiene una gran importancia en el ciclo de evaluación
de aplicaciones de los sistemas de información y busca comprobar que la
aplicación cumple las especificaciones del usuario, que se haya desarrollado
dentro de lo presupuestado, que tenga los controles necesarios y que
efectivamente cumpla con los objetivos y beneficios esperados.
Entrevista a Usuarios.
La entrevista se deberá llevar a cabo
para comprobar datos proporcionados y la situación de la dependencia en el
departamento de sistemas de información.
Su objetivo es conocer la opinión que
tienen los usuarios sobre los servicios proporcionados, así como la difusión de
las aplicaciones de la computadora y los sistemas en operación.
Las entrevistas se deberán hacer, en
caso de ser posible, a todos los usuarios o bien sea forma aleatoria a algunos
de los usuarios, tanto de los más importantes como de los menos importantes, en
cuanto al uso del equipo.
Para que un sistema cumpla los
requerimientos del usuario, se necesita una comunicación completa entre usuarios
y responsables del desarrollo del sistema.
Con esta información se puede
comenzar a realizar la entrevista para determinar si los servicios
proporcionados y planteados por la dirección de información cubren las
necesidades de información de las dependencias.
Controles
Los datos son uno de los recursos más
valiosos de las organizaciones y, aunque son intangibles, necesitan ser
controlados y auditados con el mismo cuidado que los demás inventarios de la
organización, por lo cual se debe presentar.
Control de los datos fuente y manejo cifras de control.
La mayoría de los Delitos por computadora son
cometidos por modificaciones de datos fuente al:
·
Suprimir u omitir datos.
·
Adicionar Datos.
·
Alterar datos.
·
Duplicar procesos.
Esto es de suma importancia en caso de equipos de
cómputo que cuentan con sistemas en línea, en los que los usuarios son los
responsables de la captura y modificación de la información al tener un
adecuado control con señalamiento de responsables de los datos (uno de los
usuarios debe ser el único responsable de determinado dato), con claves de
acceso de acuerdo a niveles.
El primer nivel es el que puede hacer únicamente
consultas. El segundo nivel es aquel que puede hacer captura, modificaciones y
consultas y el tercer nivel es el que solo puede hacer todos lo anterior y
además puede realizar bajas.
Control de medio de Almacenamiento Masivo.
Los dispositivos de almacenamiento representan,
para cualquier centro de cómputo, archivos extremadamente importantes cuya pérdida parcial o total podría
tener repercusiones muy serias, no sólo en la unidad de informática, sino en la
dependencia de la cual se presta servicio. Una dirección de informática bien administrada debe tener perfectamente
protegidos estos dispositivos de almacenamiento, además de mantener
registros sistemáticos de la utilización de estos archivos, de modo que
servirán de base a registros sistemáticos de la utilización de estos
archivos, de modo que sirvan de base a los programas de limpieza (borrado de
información), principalmente en el caso de las cintas.
Además se deben tener perfectamente identificados los carretes para reducir
la posibilidad de utilización errónea o destrucción de la información.
Un manejo adecuado de estos dispositivos
permitirá una operación más eficiente y segura, mejorando además los tiempos de
procesos.
CONTROL DE ALMACENAMIENTO MASIVO.
El objetivo de este cuestionario es evaluar la
forma como se administran los dispositivos de almacenamiento básico de la
dirección.
Segunda lógica y confidencial.
La computadora es un instrumento que
estructura gran cantidad de información, la cual puede ser mal utilizada o
divulgada a personas que hagan mal uso de esta de esta. También pueden ocurrir
robos, fraudes o sabotajes que provoquen la destrucción total o parcial Ed la
actividad computacional.
Esta información puede ser de suma
importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente
costosos. Antes esta situación, en el transcurso del siglo XX, el mundo ha sido
testigo de la transformación de algunos aspectos de seguridad y de derecho. En
la actualidad y principalmente en las computadoras personales, se ha dado otro
factor que hay q considerar el llamado virus de las computadoras, el cual
aunque tiene diferentes intenciones se encuentra principalmente para paquetes
que son copiados sin autorización y borrar toda la información que se tiene en
el disco.
