Title: Auditoria de la seguridad de los datos y del software de aplicaci
1Auditoria de la seguridad de los datos y del
software de aplicación
2Controles internos sobre el análisis, desarrollo
e implementación de sistemas
- Las actividades que se realizan para el análisis,
diseño, desarrollo e implementación de sistemas
de cualquier empresa son únicas y por lo tanto,
no tienen parecido alguno con otras actividades. - Por esta razón merecen un tratamiento más
especializado.
3Puntos básicos
- Las consecuencias de un error (generalmente deben
ser consideradas para cada campo en la
información de entrada). - Los puntos en el procesamiento de información en
los cuales se puede introducir un error en ésta.
4Puntos básicos
- Lo adecuado de los controles introducidos para
prevención, detección y corrección de errores de
entrada.
5Cómo pueden ocurrir errores en los datos de
entrada?
- Pueden estar registrados incorrectamente en el
punto de entrada. - Pueden haber sido convertidos incorrectamente a
forma legible por la máquina.
6Cómo pueden ocurrir errores en los datos de
entrada?
- Pueden haber sido perdidos al manejarlos
- Pueden haber sido incorrectamente procesados al
ser leídos por el equipo del computador.
7El auditor debe investigar puntos tales como
- Qué ocurre a la información de entrada en que se
encuentran los errores? - Qué sucede con una operación no correspondida?
- Qué sucede si los totales de control no
coinciden?
8Tipos de controles.
- Control de distribución.
- Validación de datos.
- Totales de control.
- Control de secuencia.
- Pruebas de consistencia y verosimilitud.
- Dígito de control.
9Control de distribución
- La información de salida debe ser controlada en
el sentido de que debe ser distribuida a aquellas
personas que necesitan los datos y no debe ser
enviada a aquellos que no están autorizados para
recibirla.
10Validación de datos
- Es necesario tener confianza en los datos a ser
procesados, por eso mismo son sometidos a una
serie de pruebas para detectar los posibles
errores que puedan traer. - Estas pruebas actúan como filtros de la
información.
11Validación de datos
- Los datos que logran pasar el filtro se dice que
están validados. - Aquellos que contienen errores son examinados, y
una vez corregidos pasan de nuevo por el filtro.
12Totales de control
- Un sistema de validación consiste en sumar por
medio de la computadora el contenido de un
determinado campo de cada uno de los artículos de
un archivo. - El resultado se compara con el total de estos
mismos obtenidos manualmente.
13Totales de control
- Si el total manual no coincide con el total de la
computadora es señal de que se ha producido un
error, esto es debido a que no están escritos los
datos correctamente, o se omita un registro,
duplicar registros.
14Control de secuencia
- En datos como las facturas que están foliadas, la
computadora puede ejercer un control de secuencia
sobre este número de folio, con lo cual se
detectará si se omitieron o duplicaron registros.
15Control de secuencia
- Algunas veces se dan rangos de secuencia con
vacíos entre rango y rango, entonces la
investigación se hace dentro de los límites de
cada rango.
16Control de secuencia
- En la mayoría de las veces el control de
secuencia se produce sobre la clave de
identificación del artículo, pero en otras se
incorpora un campo adicional al artículo en donde
se inserta el número de orden que permita el
control de secuencia.
17Pruebas de consistencia y verosimilitud
- Una prueba típica de consistencia es ver si un
campo de un registro al que hemos definido como
numérico, efectivamente soporta información
numérica.
18Dígito de control
- Dado que la clave de identificación de los
artículos de un registro, permite individualizar
cada uno de los artículos. - Es necesario asegurarse de que el contenido de la
clave esté correcto.
19Dígito de control
- Cuando se escribe un número es factible cometer
ciertos errores ya típicos - Error de omisión.
- Error de adición.
- Error de transposición.
- Error de repetición.
- Error de transcripción.
- Error aleatorio.
20Dígito de control
- Para detectar que el contenido de un campo de una
clave es el correcto, lo que se hace es añadir
una cifra más, obtenida como una combinación
matemática de las distintas cifras que integran
el número de la clave de identificación.
21Dígito de control
- Existen dos fases en el problema
- Asignar a cada número de la clave su
correspondiente dígito de control de manera que
desde este momento para cualquier transacción el
número de artículo tiene que aparecer acompañado
de su dígito de control.
22Dígito de control
- Validación de cualquier movimiento o transacción
en que intervenga el artículo. - Para ello se forma la parte que será propiamente
el número de clave, se calcula el dígito de
control y se compara con el que aparece asociado
en la clave.
23Auditoría de la seguridad de los datos y del
software de aplicación
Unidad IV segunda parte
24PROTECCIÓN DE LOS REGISTROS Y DE LOS ARCHIVOS
- FORMAS EN QUE SE PUEDEN PERDER LOS ARCHIVOS
- 1. Su presencia en un ambiente destructivo.
- 2. Manejo indebido por parte del operador.
- 3. Mal funcionamiento de la máquina.
25- CONSIDERACIONES DE AUDITORÍA
- El auditor debe advertir a la gerencia acerca de
cualesquiera deficiencias que haya en los
procedimientos para protección de registros y
archivos y para su restitución en caso de
pérdida. - Aún cuando no ocurra una pérdida, un sistema
débil pone en peligro los archivos.
26PLAN DE PRESERVACIÓN DE LA INFORMACIÓN
- DOCUMENTOS FUENTE Los documentos fuente en los
que se basa un archivo de entrada deben ser
retenidos intactos hasta el momento en que el
archivo sea comprobado. - ARCHIVO DE DISCOS Una característica del archivo
de discos es que el registro anterior es
destruído, no produce una copia automáticamente
una copia en duplicado. - VACIADO A OTROS MEDIOS Esto puede ser vaciado a
otros discos, o a papel de impresión.
27OBJETIVOS DE LA AUDITORÍA DELSOFTWARE DE
APLICACIÓN
- VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y
CONTROLES. - Para satisfacer
- La instalación del software
- La operación y seguridad del software.
- La administración del software
- DETECTAR EL GRADO DE CONFIABILIDAD.
- Grado de confianza, satisfacción y desempeño
28 Investigar si existen políticas con relación al
software.Detectar si existen controles de
seguridad.Verificar que sea software
legalizado.Actualización del software de
aplicación.
29EVALUACIÓN DEL SOFTWARE
- El auditor debe evaluar qué software se encuentra
instalado en la organización. - Este software puede ser paquetes, lenguajes,
sistemas operativos, bases de datos, etc. - También debe investigar las versiones de cada uno.
30ORGANIZACIÓN
- El auditor debe de verificar que existan
políticas para - La evaluación del software.
- Adquisición o instalación.
- Soporte a usuarios.
- Seguridad.
31INSTALACIÓN Y LEGALIZACIÓN
- Procedimientos para la instalación del software.
- El auditor debe investigar si existen
procedimientos que aseguren la oportuna
instalación del software. - Actividades durante la instalación.
- Por ejemplo revisión de contenido del paquete,
fecha de instalación, número de máquina,
responsable de instalación, etc.
32- Justificación
- En algunas ocasiones se adquiere software pero
su compra no estaba planeada, entonces se debe
formular una justificación del porqué de esta
adquisición. - Software legal
- El auditor debe de investigar las políticas
cuando se encuentra software instalado en
máquinas sin licencias de uso.
33ENTRADA Y SALIDA DEL SOFTWARE
- Que el software que salga de la empresa sea
- Revisado (contenido, cantidad, destino).
- Esté registrado formalmente en la empresa.
- Justificada plenamente su salida.
- Aprobado por el responsable del área de
informática.
34ENTRADA Y SALIDA DEL SOFTWARE
- Que el software que salga de la empresa sea
- Registrado en bitácora (quién y a qué hora lo
sacó) - Devuelto en las mismas condiciones.
- El personal está comprometido a no hacer mal uso
del mismo.
35ENTRADA Y SALIDA DEL SOFTWARE
- Que el software que ingrese a la empresa sea
- Revisado (contenido, cantidad, procedencia).
- Aprobado por el responsable de informática.
- Registrado (quién y a qué hora lo introdujo)
36ENTRADA Y SALIDA DEL SOFTWARE
- Que el software que ingrese a la empresa sea
- Devuelto en tiempo (comparar con fecha estipulada
de devolución). - Devuelto en las mismas condiciones.
- El personal está comprometido a no hacer mal uso
del mismo.
37