INGENIERA DE SISTEMAS ING.

DE SOFTWARE II

AO DEL BUEN SERVICIO AL CIUDADANO

FACULTAD DE INGENIERA
ESCUELA PROFESIONAL: Ingeniera De Sistemas

CENTRO ULADECH: Huaraz

ASIGNATURA:
Ing. De Software II

CICLO:
Octavo

DOCENTE TUTOR:

Mg. Ing. Heber Gmez Hurtado

NOMBRE DEL ESTUDIANTE

Victor Jos Carreo Guerra

FECHA 28 de Junio del 2017

PAGINA 1
 INGENIERA DE SISTEMAS ING. DE SOFTWARE II

Auditora informtica del Software.

La Auditora de Software es un trmino general que se refiere a la investigacin y al proceso

de entrevistas que determina cmo se adquiere, distribuye y usa el software en la
organizacin.

La auditora es el examen crtico y sistemtico que realiza una persona o grupo de personas
independientes del sistema auditado. Aunque hay muchos tipos de auditora, la expresin
se utiliza generalmente para designar a la auditora externa. La auditora informtica es el
proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de
Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que estn

implantados en una empresa u organizacin, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberan realizar para la consecucin de los mismos.

Conducir la auditora es una de las partes ms crticas de un Programa de Administracin

de Software, porque la auditora ayuda a la organizacin a tomar decisiones que optimicen
sus activos de software.

Objetivos de la Auditora.

A continuacin veremos una lista de los objetivos de la auditoria del entorno software:

Revisar las libreras utilizadas por los programadores.

Examinar que los programas realizan lo que realmente se espera de ellos.
Revisar el inventario de software.
Comprobar la seguridad de datos y software.
Examinar los controles sobre los datos.
Revisar los procedimientos de entrada y salida.
Verificar las previsiones y procedimientos de back-up.
Revisar los procedimientos de planificacin, adecuacin y mantenimiento del
software del sistema.
Revisar la documentacin sobre software de base.
Revisar los controles sobre programas producto (paquetes externos).
Examinar la utilizacin de estos paquetes.
Verificar peridicamente el contenido de los ficheros de usuario.
Determinar que el proceso para usuarios est sujeto a los controles adecuados.
Examinar los clculos crticos.

PAGINA 2
 INGENIERA DE SISTEMAS ING. DE SOFTWARE II
Supervisar el uso de las herramientas potentes al servicio de los usuarios.
Comprobar la seguridad e integridad de las bases de datos.

El objetivo fundamental de un trabajo de auditora es permitir que el auditor llegue a estar

en condiciones de informar fundamentalmente sobre la fidelidad y razonabilidad de la
situacin que refleja la documentacin aportada por la empresa. El auditor est obligado a
establecer de forma inequvoca, segn su criterio, si la imagen de la empresa es fiel y
razonable en la documentacin aportada. Si no ha podido confirmar estos trminos, debe
calificar su informe justificando las razones que le han llevado a considerar las desviaciones
de fidelidad y razonabilidad, y en qu aspectos, y en qu medida, se ha incurrido en una
formulacin errnea. El auditor debe expresar con independencia su opinin.

La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema de informacin salvaguarda los activos, mantiene la integridad de
los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los
recursos. De esta forma la auditora informtica sustenta y confirma la consecucin de los
objetivos tradicionales de auditora. El auditor evala y comprueba en determinados
momentos del tiempo los controles y procedimientos informativos ms complejos,
desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso de
software.

Auditora informtica del entorno software.

Software del sistema.

Para un eficiente funcionamiento del ordenador y garantizar su continuidad es importante

la puesta en marcha y el control de todas las modificaciones al sistema operativo, y en
general, de todo el software de base del sistema. Garantizando as la no interrupcin por
falta de actualizacin en las diferentes versiones que con frecuencia lanzan las casas
constructoras. Tambin es necesario establecer controles y restricciones adecuados para
evitar los cambios desautorizados en el software del sistema y el uso incontrolado de
determinadas utilidades potentes, y que no dejan la menor huella para auditora tras su
ejecucin.

El auditor, revisar la forma en que se est realizando el proceso de modificacin o

alteracin del software de base: es necesario que tal operacin est organizada y dotada
del nivel de seguridad que requiere una operacin de esta ndole, con una correcta
normativa al respecto y contemplando las oportunas autorizaciones por parte de la
direccin informtica. La supervisin en este sentido es fundamental dada la propia
importancia del software a modificar.

PAGINA 3
 INGENIERA DE SISTEMAS ING. DE SOFTWARE II

Las instalaciones de proceso de datos disponen de potentes utilidades que acceden a datos
y programas prcticamente sin ningn tipo de control ni restriccin, permitiendo la
modificacin directa de estos al margen de cualquier sistemtica. Esto supone un gran
riesgo para la informacin almacenada. Por ello se hace necesario establecer controles
sobre su utilizacin. Como primera medida se catalogaran sensibles aquellas utilidades
peligrosas para la integridad de la informacin (accesos a ficheros, copias de ficheros, etc...)
y que, slo podrn ser utilizadas por personal autorizado. Si por necesidades de la
instalacin alguna de estas rutinas deben permanecer on-line se dispondr de un sistema
de passwords para su utilizacin.

Al igual que las utilidades, determinados comandos del sistema deben tener un carcter de
uso restringido, por lo que se examinar la correccin en la definicin de los perfiles de
usuario para evitar el uso indiscriminado de tales comandos.

El control de los datos.

Una frase muy utilizada en informtica viene a decir que a un sistema al que se le
proporcione basura a la entrada, nos dar basura a la salida. El tratamiento automtico de
los datos ignora su significado y atiende tan slo a su contenido y estructura. Ello implica
que el control informtico debe vigilar no slo el valor de la informacin sino tambin su
forma. El control de los datos a la entrada es fundamental y en la auditora se examinar la
forma en que se han establecido los programas de control de datos en las diferentes
aplicaciones productivas, verificando que, estos programas permitan detectar:

Inverosimilitudes en los datos, con lo que se captan algunas posibilidades de error.

Errores en los indicativos que estn aportando falsa informacin sobre un tem
errneo o una falta de informacin sobre el verdadero. La mayora de los mtodos
utilizados para este fin se basan en la utilizacin de una letra o dgito de control que
se aade al dispositivo a depurar.

Errores en la zona de enunciado que, al no ser muy graves, en la mayora de los casos
puede no ser necesaria su deteccin por el excesivo coste de las redundancias
necesarias para tal fin. El criterio del auditor dilucidar sobre la necesidad de este
tipo de control.

Errores en campos de importe que por su naturaleza deben cuidarse sobremanera.

Desgraciadamente, no existen procedimientos infalibles que estn exentos de
rechazar datos que s son correctos o que, por el contrario, permitan el paso a los
incorrectos. Se pueden establecer test programados basndose en la experiencia
previa y utilizando, por ejemplo, tcnicas estadsticas, pero sin perder de vista en

PAGINA 4
 INGENIERA DE SISTEMAS ING. DE SOFTWARE II
ningn momento la falibilidad de estos procedimientos.

Errores por prdida de informacin. Estos fallos son ms fciles de detectar y

prevenir, ya que por ejemplo se pueden programar la obligatoriedad de lleno de
campos.

Control peridico de ficheros y programas.

Dentro del marco de seguridad integral de la instalacin hay que contemplar una revisin
regular de ficheros y programas, detectando, por ejemplo, que procesos que concluyan
anormalmente alteren informacin contenida en los ficheros, o que las versiones
disponibles de los programas fuente son las adecuadas y no han sufrido modificacin
alguna.

Con el objetivo de eliminar este tipo de problemas es conveniente que en la auditora se

revisen ciertos puntos:

La auditabilidad de las aplicaciones, lo que se consigue proporcionando cuadros de

valores numricos, totales de registros, con indicacin de su tipo y, en suma, toda
una serie de medidas que permitan un mejor seguimiento.

El procesamiento regular de los ficheros, investigando cualquier tipo de informacin

que proporcione una nocin del estado de los mismos.

El cotejo aleatorio de la coherencia entre los datos contenidos en los ficheros antes
y despus de su procesamiento.

Implantacin de un software que permita un control de las versiones de los

programas, impidiendo que se obtenga copia de un programa mientras no se
devuelva otra copia previa y manteniendo un fichero histrico de las
modificaciones.

La adecuada concienciacin ante la importancia de registros y documentos de forma que

stos estn clasificados al menos en las siguientes categoras:

Vitales: por lo que deber existir una copia exterior, es decir, almacenada en un local
diferente a aquel en que se asienta el centro de informtica.

Importantes: En este caso su salvaguarda se almacenar en una sala diferente de

aquellas utilizadas por informtica.

PAGINA 5
 INGENIERA DE SISTEMAS ING. DE SOFTWARE II

tiles: estos registros necesitarn tambin de una copia de seguridad que se puede
guardar en la propia sala del servicio informtico.

Copia de seguridad.

Un elemento clave en la auditora del entorno de datos y programas lo constituye la revisin

de los procedimientos de obtencin de copias de seguridad.

La necesidad de la obtener copias de ficheros y programas es ms que evidente y cualquier

instalacin ha de intervenir unos minutos del tiempo de los operadores al final de la jornada
para obtener tales copias, como mnimo de los ficheros y/o programas que hayan sufrido
alguna modificacin a lo largo del da. Adems de estas copias diarias se obtendr otra con
una periodicidad marcada por la propia naturaleza de los procedimientos en explotacin.

Si en la instalacin auditada existen ordenadores personales bajo control directo de los

departamentos de usuarios, el auditor comprobar que se han adoptado medidas segn los
cuales los usuarios son conscientes de la necesidad de obtencin de copias de seguridad de
una manera regular, as como capaces de obtener y almacenar dichas copias.

En todo caso es necesario que los procedimientos de back-up estn debidamente

documentados.

Seleccin de paquetes.

En un examen de este tipo, no debe descuidarse la revisin de la metodologa que tenga la

empresa auditada en lo que se refiere a la seleccin y adquisicin de paquetes de software.
Esta metodologa de seleccin deber incluir una evaluacin tcnica que nos asegure que
efectivamente el programa que vamos a adquirir podr funcionar en la empresa y evalu
los aspectos de seguridad, documentacin, mantenimiento, etc.

El proceso de seleccin deber concluir con un informe detallado que incluya todos los
posibles anlisis efectuados, as como las razones que indujeron a tomar una u otra
alternativa.

Desarrollos con herramientas evolucionadas.

Los lenguajes de cuarta generacin constituyen una importante lnea de evolucin de la

informtica de gestin. Ahora bien, la utilizacin de estas tcnicas no debe hacerse
perdiendo de vista algunos puntos de importancia de cara a las aplicaciones ya existentes y
a los futuros desarrollos, por lo cual la revisin y seguimiento que se realice sobre el uso de
estas herramientas se fijara en:

PAGINA 6
 INGENIERA DE SISTEMAS ING. DE SOFTWARE II
La coordinacin necesaria entre el staff de proceso de datos y los departamentos de
usuarios. Se trata as de evitar el uso indiscriminado de estas herramientas de
desarrollo, pues de lo contrario no sera nada anormal encontrarse con aplicaciones
alternativas a las convencionales desarrolladas por informtica para solucionar
problemas puntuales.

La documentacin y formacin facilitadas a los usuarios. Se trata de evitar los

individualismos de los usuarios cuando estos estn realizando desarrollos
valindose de las tcnicas evolucionadas que se les han facilitado. Adems de la
adecuada formacin que requiere la ptima explotacin del paquete, es necesario
imbuir al usuario las normas imprescindibles de seguridad y documentacin que
conlleva cualquier desarrollo.

La fiabilidad e integridad de la informacin que los usuarios consiguen con estos

procedimientos. A tal fin se hace necesario la implantacin de procedimientos de
seguridad que restrinjan la libre disposicin de la informacin por cualquier tipo de
usuario.

En definitiva se trata de que el auditor se fije en la forma en que se est utilizando el

software evolucionado y cmo puede esto repercutir en el nivel de eficiencia y seguridad
general de datos y programas de la instalacin.

Seguridades en bases de datos.

Los sistemas de bases de datos soportan hoy en da los sistemas de informacin de la

mayora de las empresas mecanizadas. Son, por tanto, un elemento a tener en cuenta a la
hora de dictaminar sobre la situacin de la informtica de una empresa.

Las caractersticas de construccin de las bases de datos motivan la aparicin de nuevos

riesgos por lo que el auditor debe conocer los principios y conceptos fundamentales de
diseo de una base de datos (ms concretamente del sistema de gestin de la base de
datos). Esto, de forma global y en particular obtendr una visin preliminar de la base de
datos a examinar, en sus aspectos de implementacin y soporte fsicos, de administracin,
etc.

Principales riesgos a los que est sometida una base de datos:

Inadecuada asignacin de responsabilidades.

Inexactitud de los datos.
Prdida de actualizaciones.
Adecuacin de los audit trail.
Accesos desautorizados a los datos.

PAGINA 7
 INGENIERA DE SISTEMAS ING. DE SOFTWARE II
Actualizaciones en el software base.
Documentacin no actualizada.

A la hora de auditar una base de datos se pueden establecer una serie de puntos a
controlar, puntos con cuya revisin se conformar una idea sobre la situacin real de la
base, y son:

Mantenimiento de programas que manejan datos de la base.

Controles de la validacin en la entrada de datos.
Autorizaciones de acceso
Procedimiento de manejo de datos errneos.
Objeto del procesamiento.
Datos concurrentes o compartidos.
Prevencin y detecciones de los interbloqueos.
Asignacin de funciones y responsabilidades.
Controles de salida.
Situacin del diccionario de datos.
Documentacin del sistema y de sus configuraciones
Entrenamiento del personal.

Etapas de la auditoria de una aplicacin informtica.

1. Recogida de informacin y documentacin Sobre la aplicacin: se realiza un

estudio preliminar en el que recogemos toda aquella informacin que nos pueda ser
til para determinar los puntos dbiles existentes y aquellas funciones de la
aplicacin que puedan entraar riesgos.

2. Determinacin de los objetivos y alcance de la auditoria: Es preciso conseguir una

gran claridad y precisin en la definicin de objetivos de la auditoria, del trabajo y
pruebas que se proponen realizar, delimitando perfectamente su alcance de manera
que no ofrezca dudas de interpretacin.

3. Planificacin de la auditoria: en este caso es de crucial importancia acertar con el

momento mas adecuado para su realizacin. No es conveniente que coincida con el
periodo de implantacin porque los usuarios no estn muy familiarizados con la
aplicacin, pero al mismo tiempo el retraso excesivo puede alargar el periodo de
exposicin a riesgos.

4. Trabajo de campo, informe e implantacin de mejoras: consiste en la ejecucin del

programa de trabajo establecido. Respecto al informe se recogern las
caractersticas del trabajo realizado, sus conclusiones, recomendaciones o
propuestas de mejora. La implentacin de las mejoras identificadas en la auditoria.

PAGINA 8
 INGENIERA DE SISTEMAS ING. DE SOFTWARE II

Herramientas de uso ms comn en la auditoria de una aplicacin.

Entrevistas: son de larga utilizacin a lo largo de toda la auditoria.

Encuestas: pueden ser de utilidad tanto para determinar el alcance y

objetivos de la auditoria, como para la materializacin de los objetivos
relacionados con el nivel de satisfaccin de los usuarios.

Observacin del trabajo realizado por los usuarios: es necesario observar

como trabajan los usuarios: Puede ayudar a detectar que el trabajo final sea
bueno y por lo tanto los controles establecidos sean efectivos.

Pruebas de conformidad: son actuaciones orientadas especficamente a

comprobar que determinados procedimientos, normas o controles internos,
se cumplen o funcionan de acuerdo a lo previsto o esperado.

Pruebas substantivas o de validacin: orientadas a detectar la presencia o

ausencia de errores o irregularidades en procesos, controles o actividades
internos integrados en ellos.

Uso de ordenador: es el uso de las aplicaciones software que se pueden

utilizar para realizar la auditoria, los cuales son de gran ayuda para facilitar
el trabajo.

PAGINA 9