Auditoria de la seguridad de los datos y del

software de aplicación

Unidad IV

Controles internos sobre el análisis, desarrollo e implementación de

sistemas Las actividades que se realizan para el

análisis, diseño, desarrollo e implementación de sistemas de cualquier empresa son únicas y por lo tanto, no tienen parecido alguno con otras actividades.

Por esta razón merecen un tratamiento más especializado.

Puntos básicos

Las consecuencias de un error (generalmente deben ser consideradas para cada campo en la información de entrada).

Los puntos en el procesamiento de información en los cuales se puede introducir un error en ésta.

Puntos básicos

Lo adecuado de los controles introducidos para prevención, detección y corrección de errores de entrada.

¿Cómo pueden ocurrir errores en los datos de entrada?

Pueden estar registrados incorrectamente en el punto de entrada.

Pueden haber sido convertidos incorrectamente a forma legible por la máquina.

¿Cómo pueden ocurrir errores en los datos de entrada?

Pueden haber sido perdidos al manejarlos; Pueden haber sido incorrectamente

procesados al ser leídos por el equipo del computador.

El auditor debe investigar puntos tales como:

¿Qué ocurre a la información de entrada en que se encuentran los errores?

¿Qué sucede con una operación no correspondida?

¿Qué sucede si los totales de control no coinciden?

Tipos de controles.

Control de distribución. Validación de datos. Totales de control. Control de secuencia. Pruebas de consistencia y verosimilitud. Dígito de control.

Control de distribución

La información de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no están autorizados para recibirla.

Validación de datos

Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer.

Estas pruebas actúan como filtros de la información.

Validación de datos

Los datos que logran pasar el filtro se dice que están validados.

Aquellos que contienen errores son examinados, y una vez corregidos pasan de nuevo por el filtro.

Totales de control

Un sistema de validación consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artículos de un archivo.

El resultado se compara con el total de estos mismos obtenidos manualmente.

Totales de control

Si el total manual no coincide con el total de la computadora es señal de que se ha producido un error, esto es debido a que no están escritos los datos correctamente, o se omita un registro, duplicar registros.

Control de secuencia

En datos como las facturas que están foliadas, la computadora puede ejercer un control de secuencia sobre este número de folio, con lo cual se detectará si se omitieron o duplicaron registros.

Control de secuencia

Algunas veces se dan rangos de secuencia con vacíos entre rango y rango, entonces la investigación se hace dentro de los límites de cada rango.

Control de secuencia

En la mayoría de las veces el control de secuencia se produce sobre la clave de identificación del artículo, pero en otras se incorpora un campo adicional al artículo en donde se inserta el número de orden que permita el control de secuencia.

Pruebas de consistencia y verosimilitud

Una prueba típica de consistencia es ver si un campo de un registro al que hemos definido como numérico, efectivamente soporta información numérica.

Dígito de control

Dado que la clave de identificación de los artículos de un registro, permite individualizar cada uno de los artículos.

Es necesario asegurarse de que el contenido de la clave esté correcto.

Dígito de control Cuando se escribe un número es factible

cometer ciertos errores ya típicos:– Error de omisión.– Error de adición.– Error de transposición.– Error de repetición.– Error de transcripción.– Error aleatorio.

Dígito de control

Para detectar que el contenido de un campo de una clave es el correcto, lo que se hace es añadir una cifra más, obtenida como una combinación matemática de las distintas cifras que integran el número de la clave de identificación.

Dígito de control

Existen dos fases en el problema:– Asignar a cada número de la clave su

correspondiente dígito de control de manera que desde este momento para cualquier transacción el número de artículo tiene que aparecer acompañado de su dígito de control.

Dígito de control

– Validación de cualquier movimiento o transacción en que intervenga el artículo.

• Para ello se forma la parte que será propiamente el número de clave, se calcula el dígito de control y se compara con el que aparece asociado en la clave.

Auditoría de la seguridad de los datos y del software

de aplicación

Unidad IV segunda parte

PROTECCIÓN DE LOS REGISTROS Y DE LOS ARCHIVOS

FORMAS EN QUE SE PUEDEN PERDER LOS ARCHIVOS:

1. Su presencia en un ambiente destructivo.

2. Manejo indebido por parte del operador.

3. Mal funcionamiento de la máquina.

CONSIDERACIONES DE AUDITORÍA:

El auditor debe advertir a la gerencia acerca de El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que haya en los cualesquiera deficiencias que haya en los procedimientos para protección de registros y procedimientos para protección de registros y archivos y para su restitución en caso de archivos y para su restitución en caso de pérdida.pérdida.

Aún cuando no ocurra una pérdida, un sistema Aún cuando no ocurra una pérdida, un sistema débil pone en peligro los archivos.débil pone en peligro los archivos.

PLAN DE PRESERVACIÓN DE LA INFORMACIÓN

DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado.

ARCHIVO DE DISCOS: Una característica del archivo de discos es que el registro anterior es destruído, no produce una copia automáticamente una copia en duplicado.

VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de impresión.

OBJETIVOS DE LA AUDITORÍA DELSOFTWARE DE APLICACIÓN

VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES.

Para satisfacer:

La instalación del software

La operación y seguridad del software.

La administración del software

DETECTAR EL GRADO DE CONFIABILIDAD.

Grado de confianza, satisfacción y desempeño

Investigar si existen políticas con relación al software.

Detectar si existen controles de seguridad.

Verificar que sea software legalizado.

Actualización del software de aplicación.

EVALUACIÓN DEL SOFTWARE

El auditor debe evaluar qué software se encuentra El auditor debe evaluar qué software se encuentra instalado en la organización. instalado en la organización.

Este software puede ser: paquetes, lenguajes, Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. sistemas operativos, bases de datos, etc.

También debe investigar las versiones de cada uno.También debe investigar las versiones de cada uno.

ORGANIZACIÓNEl auditor debe de verificar que existan políticas para:

La evaluación del software.

Adquisición o instalación.

Soporte a usuarios.

Seguridad.

INSTALACIÓN Y LEGALIZACIÓN

Procedimientos para la instalación del software.

El auditor debe investigar si existen procedimientos que aseguren la oportuna instalación del software.

Actividades durante la instalación.

Por ejemplo: revisión de contenido del paquete, fecha de instalación, número de máquina, responsable de instalación, etc.

JustificaciónJustificación

En algunas ocasiones se adquiere software pero su En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe compra no estaba planeada, entonces se debe formular una justificación del porqué de esta formular una justificación del porqué de esta adquisición.adquisición.

Software legalSoftware legal

El auditor debe de investigar las políticas cuando se El auditor debe de investigar las políticas cuando se encuentra software instalado en máquinas sin encuentra software instalado en máquinas sin licencias de uso.licencias de uso.

ENTRADA Y SALIDA DEL SOFTWARE

Que el software que salga de la empresa sea: Revisado (contenido, cantidad, destino).

Esté registrado formalmente en la empresa.

Justificada plenamente su salida.

Aprobado por el responsable del área de informática.

ENTRADA Y SALIDA DEL SOFTWARE

Que el software que salga de la empresa sea: Registrado en bitácora (quién y a qué hora lo sacó)

Devuelto en las mismas condiciones.

El personal está comprometido a no hacer mal uso del mismo.

ENTRADA Y SALIDA DEL SOFTWARE

Que el software que ingrese a la empresa sea:

Revisado (contenido, cantidad, procedencia).

Aprobado por el responsable de informática.

Registrado (quién y a qué hora lo introdujo)

ENTRADA Y SALIDA DEL SOFTWARE

Que el software que ingrese a la empresa sea:

Devuelto en tiempo (comparar con fecha estipulada de devolución).

Devuelto en las mismas condiciones.

El personal está comprometido a no hacer mal uso del mismo.

FinFin