Universidad Nacional de Chimborazo Facultad de Ciencias Políticas y Administrativas Carrera de Contabilidad y Auditoría Auditoría de Sistemas Informáticos I - Noveno A
Técnicas Especiales de Auditoría de Sistemas Elva Patricia Carrillo Rocío Maribel Criollo Rosa Gavilanes Sofía Sánchez
Riobamba, 23 de diciembre de 2016
* Ing. Jorge Cruz
TÉCNICAS ESPECIALES
2
ÍNDICE DE CONTENIDO INTRODUCCIÓN .......................................................................................................................... 3 TÉCNICAS ESPECIALES DE AUDITORÍA DE SISTEMAS .................................................... 4 CONCEPTOS GENERALES ..................................................................................................... 4 TÉCNICAS ESPECIALES ......................................................................................................... 4 CONCLUSIONES ........................................................................................................................ 10 REFERENCIAS ............................................................................................................................ 11 ANEXOS ...................................................................................................................................... 12 ANEXO 1: GUÍA DE EVALUACIÓN .................................................................................... 12 ANEXO 2: PONDERACIÓN ................................................................................................... 14 ANEXO 3: SIMULACIÓN ...................................................................................................... 18 ANEXO 4: EVALUACIÓN ..................................................................................................... 19 ANEXO 5: LISTA DE CHEQUEOS ....................................................................................... 20 ANEXO 6: ANÁLISIS DE LA DIAGRAMACIÓN DE SISTEMAS ..................................... 22
TÉCNICAS ESPECIALES
3
INTRODUCCIÓN El presente trabajo da a conocer las técnicas especiales utilizadas en la auditoría de sistemas, iniciando el trabajo con unos breves conceptos que se han considerado necesarios para entender su pertinencia. Las herramientas que hemos analizado son las siguientes: Guías de evaluación, que integra los procedimientos que sean necesarios para examinar las diferentes áreas seleccionadas del departamento informático, Ponderación, esta técnica asigna un peso porcentual a cada procedimiento involucrado en el área de sistemas y que luego será comparado con la calificación otorgada de acuerdo al grado de cumplimiento, Simulación, es una herramienta utilizada especialmente por desarrolladores de nuevos sistemas, esta permite evaluar el comportamiento anterior, actual y futuro de un sistema computacional, Evaluación, a través de esta técnica se busca evaluar el cumplimiento de una actividades y efectuar una comparación entre lo observado con lo planificado con la finalidad de realizar las observaciones pertinentes. Lista de Chequeo, esta es la más sencilla de todas las herramientas, implica elaborar un listado de aspectos a revisar y se coloca un visto o una equis según la empresa haya cumplido o no con dichos aspectos. Análisis de la diagramación de sistemas, al utilizar esta herramienta permite representar a través de diagramas los flujos de información, actividades, operaciones, procesos y otros que intervendrán en el desarrollo de los propios sistemas; y Programas de verificación, esta herramienta nos permite evaluar el funcionamiento de un sistema mediante la utilización de un programa adquirido en el mercado o desarrollado por la propia firma auditor. Para finalizar presentamos en el apartado de “anexos” los ejemplos prácticos que permitirán comprender la metodología de cada una de las herramientas, culminando el mismo con conclusiones por parte del equipo de trabajo.
TÉCNICAS ESPECIALES
4
TÉCNICAS ESPECIALES DE AUDITORÍA DE SISTEMAS CONCEPTOS GENERALES Es de importancia dar a conocer específicamente dos conceptos que nos permitirán entender el presente tema: Las técnicas son “los procedimientos e instrumentos que utilizamos para acceder al conocimiento” (Pontificia Universidad Católica de Valparaíso, 2016). La auditoría de sistemas: Es el proceso de recolección y evaluación de los controles en el procesamiento de la información, el desarrollo de sistemas e instalación, con la finalidad de llegar a establecer el grado de efectividad, eficiencia y economía de los sistemas computarizados de una empresa y presentar conclusiones y recomendaciones a fin de corregir deficiencias. (Durán, s.f., pág. 2) TÉCNICAS ESPECIALES Son herramientas de gran importancia porque permiten al auditor evaluar los procedimientos y estructuras propias de la informática. Las técnicas especiales de auditoría de sistemas son las siguientes:
“Guías de evaluación Ponderación Modelos de Simulación Evaluación Lista de chequeo o lista de verificación Análisis de la diagramación de sistemas Programas de verificación” (Muñoz, 2002, pág. 447)
Guía de evaluación Es un documento formal que indica los aspectos concretos y áreas que deben ser revisadas en la unidad de informática, así como las técnicas y herramientas que deben ser utilizados en la auditoría. Muestra el método y la ponderación que se manejará en cada uno de estos puntos. Como este documento contiene todos los procedimientos que se llevarán a cabo en el examen, facilita monitorear el cumplimiento de cada uno de ellos, así como las aptitudes y conocimientos de los responsables de su ejecución. Según (Muñoz Razo, 2002) la estructura contiene los siguientes campos:
TÉCNICAS ESPECIALES
5
Logo y nombre de la empresa que realiza la auditoría, Nombre de la empresa y área de sistemas que será auditada, Fecha (día, mes y año) de inicio de la evaluación, Número de hoja (_de_) que lleve el orden numérico del documento y el total de hojas que lo conforman, Referencia que indique el orden en que se realizará cada procedimiento, Actividad que será evaluada, se redacta en forma clara la función, actividad o punto que será evaluado. El procedimiento de auditoría por cada actividad especificada, Herramientas que serán utilizadas, y Observaciones. Este último campo permite realizar las aclaraciones pertinentes.
Para obtener la ejemplificación de esta herramienta (Ver Anexo 1) Ponderación Esta técnica permite dar un valor específico a cada una de los puntos que serán evaluados. El peso que tenga cada actividad será asignado de acuerdo a la importancia dentro del área de sistemas y con relación a los demás componentes. La estructura de las tablas de ponderación según (Muñoz Razo, 2002) es la siguiente:
Actividades que van a ser evaluadas y ponderadas Peso por actividad Peso por ponderar Valor de ponderación Calificación Porcentaje de puntos obtenidos
Para su desarrollo se siguen los siguientes pasos: PASO 1: Del área sujeta a examen se deben seleccionar los factores más significativos a evaluar con la finalidad de darle a cada uno un peso porcentual que refleje su importancia, el peso total de ponderación por área siempre debe ser 100%. PASÓ 2: a cada factor elegido se le designan actividades específicas de evaluación y a cada actividad un peso porcentual de acuerdo a su importancia dentro de ese factor. Estos porcentajes también deben sumar 100% dentro del factor al que corresponden. Las columnas 2 y 3 representan la puntuación que a cada uno le corresponde según su peso; para esto se aplica una regla de tres, así: En el factor número seis, si 2 es igual a 100%, ¿cuánto representará 30%? Se aplica la fórmula: (2.0 * .30)/100 = .06, lo cual equivale a 0.6% del valor total de este factor.
TÉCNICAS ESPECIALES
6
PASO 3: Aplicamos la guía de evaluación y registramos las calificaciones obtenidas de acuerdo al grado de cumplimiento de cada actividad. El auditor otorga el valor más alto cuando la actividad no tiene fallas, este valor desciende cuando la actividad no cumple completamente lo establecido en normas. Se debe formar un criterio uniforme para calificar las actividades en todos los factores. Así por ejemplo: Excelente 1.00% (para el cumplimiento más alto) Bueno 0.80% (para un cumplimiento bueno sin llegar a ser excelente) Regular 0.60% (para un cumplimiento mínimamente aceptable) Deficiente 0.40% (para un cumplimiento malo y mucho peor de lo esperado) Pésimo 0.20% (para el “incumplimiento” francamente desastroso) (Muñoz Razo, 2002, pág. 493) El porcentaje de puntos obtenidos se obtiene de multiplicar: el peso por ponderar por la calificación. Hacemos esta evaluación con todos los factores y actividades específicas seleccionadas. PASO 4: Se comparan los puntos obtenidos con el peso de ponderación inicialmente establecido con la finalidad de emitir un informe sobre las variaciones existentes. El ejemplo práctico de esta herramienta se puede observar paso a paso en el siguiente anexo. (Ver Anexo 2)
Modelos de Simulación Esta herramienta es una de las más utilizadas para el análisis y diseño de sistemas, e indispensable para aquellas personas que desarrollan nuevos sistemas, el propósito de su utilización es efectuar una simulación sin afectar su operación normal, que permita conocer cuál es, fue y será el comportamiento de un sistema computacional, de un programa, de una base de datos, de una operación, actividad o cualquier tarea de sistemas; una vez culminadas las pruebas de simulación y en el caso de haber detectado deficiencias en el sistema se puede efectuar las respectivas correcciones. Es importante que el auditor supervise la aplicación de esta herramienta, e incluso debe tomar medidas preventivas, de seguridad y de control necesarias para salvaguardar la información antes de aplicar cualquier prueba o simulacro al sistema, esto con la finalidad de contar con un respaldo del sistema original por si su funcionamiento se llegara a alterar debido a las pruebas efectuadas. La simulación es a través de modelos de metodologías de sistemas, existen diversos modelos de simulación para evaluar el comportamiento de un sistema, sin embargo se presentará
TÉCNICAS ESPECIALES
7
solamente dos con su respectiva definición y la metodología a seguir sin entrar a detalle puesto que cada desarrollo de sistemas es especial (Ver Anexo 3). Evaluación La evaluación es una herramienta típica en la aplicación de la auditoria, ya sea al área de sistemas o cualquier otra área, ya que la misma busca determinar mediante pruebas concretas si se está cumpliendo o no con la actividad evaluada de acuerdo a lo que se esperaba en cuanto a eficiencia y desempeño en la asignación y cumplimiento de tareas. El trabajo de evaluación requiere la aplicación de varios pasos lo cuales se detallan a continuación: PASO 1: se establece anticipadamente parámetros o relaciones de carácter cualitativo, a los cuales se les asigna un cierto valor numérico, matemático, estadístico, contable o de cualquier otro tipo que generalmente es en porcentaje. PASO 2: se aplican las pruebas y herramientas de auditoría para recopilar la información y se asigna un puntaje de acuerdo al grado de cumplimiento de cada parámetro, según sus resultados. PASO 3: El valor obtenido en el paso anterior se compara con el valor esperado el que supuestamente deberá cumplir la actividad que estamos evaluando. PASO 4: Después de hacer la comparación se sacan conclusiones para valorar el grado de cumplimiento del sistema que está siendo auditado. PASO 5: Elaborar el informe sobre los resultados obtenidos. Presentamos dos tipos de evaluaciones que se pueden realizar dentro de la auditoría de sistemas (Ver Anexo 4). Lista de chequeo o lista de verificación La lista de verificación es una herramienta sencilla que permite detectar las desviaciones con mayor agilidad. (…) consiste en la elaboración de una lista ordenada, en la cual se anotan todos los aspectos que se tienen que revisar del funcionamiento de un sistema, de sus componentes, del desarrollo de una actividad, del cumplimiento de una operación o de cualquier otro aspecto relacionado con la evaluación del área de sistemas (…) (Muñoz Razo, 2002, pág. 535) Su estructura está formada de dos o más columnas (Ver Anexo 5).
TÉCNICAS ESPECIALES
8
Cuando se construye con dos columnas, en la primera se registra el listado de los aspectos a revisar y la segunda se asigna para valorar el cumplimiento con un visto (√) o el incumplimiento con una equis (X). La lista de chequeo se forma por más de dos columnas cuando el auditor quiere valorar porcentualmente el cumplimiento de las diferentes actividades. Análisis de la diagramación de sistemas Al igual que las anteriores esta herramienta también es utilizada por los desarrolladores de sistemas y sirve como apoyo para el análisis y diseño de los sistemas computacionales, un analista por medio de diagramas puede representar los flujos de información, actividades, operaciones, procesos y otros que intervendrán en el desarrollo de los propios sistemas, el programador a través de estos diagramas puede visualizar un panorama específico del sistema para elaborar con mayor precisión la codificación de instrucciones para el programa; y el auditor de sistemas computacionales puede aprovechar esto para evaluar el correcto desarrollo de los proyectos de sistemas que se realizan en la empresa, le ayuda a valorar el desempeño correcto de las actividades de los líderes de proyectos, de los analistas de sistemas, de los programadores y de todas las personas que intervienen en el desarrollo del proyecto, además el auditor puede utilizar esta herramienta para diseñar sistemas de diferentes formas en una auditoría de sistemas, de acuerdo a su experiencia, conocimientos y habilidades. Presentamos dos formas de como efectuar un análisis de la diagramación de sistemas. (Ver Anexo 6)
Programas de verificación Es la técnica que permite revisar desde el computador y mediante un programa específico el funcionamiento del sistema, de una base de datos, de un programa en especial o de alguna aplicación de interés; ya sean sus procesamientos, su funcionamiento interno, el aprovechamiento de las aplicaciones informáticas entre otras. (Muñoz, 2002, pág. 89) Esta herramienta puede ser de dos formas: 1. Programas de revisión elaborados por desarrolladores Este tipo de programas ya se han desarrollado previamente por distribuidores y fabricantes de software, de acuerdo con una necesidad específica del mercado o para propósitos específicos; aunque también son realizados por desarrolladores de la misma empresa. Con ellos se busca evaluar alguna orientación sustantiva de los sistemas computacionales, en cuanto al hardware, software, instalaciones, conexiones del sistema, rendimientos de equipo o cualquier otro aspecto especial que el auditor pueda aprovechar para evaluar el sistema.
TÉCNICAS ESPECIALES
9
2. Programas de revisión elaborados por el auditor Para utilizar esta opción, el auditor identifica los aspectos de los sistemas, de la gestión administrativa o de las bases de datos que debe revisar en el área de sistemas y establece, en forma anticipada, uno a uno los asuntos concretos que va a revisar mediante el apoyo de un sistema computacional; para ello diseña un programa de revisión que contemple sus intereses de evaluación, determinando, lo más preciso posible, las rutinas de revisión que necesita, las bases de datos, el lenguaje o programas especiales de desarrollo que va a utilizar, y en sí diseña, y si es posible programa, el sistema de evaluación que requiere para realizar su revisión. En los dos casos propuestos el auditor de sistemas determina de acuerdo con su experiencia, conocimientos y necesidades específicas de evaluación, el programa que va a utilizar, ya sea alguno de los programas existentes en la empresa o el mercado si cumplen con sus necesidades concretas de evaluación, o bien algún programa que él mismo diseñará para evaluar el aspecto de sistemas o de gestión administrativa que le interese.
TÉCNICAS ESPECIALES
10
CONCLUSIONES Como grupo hemos llegado a las siguientes conclusiones: Un auditor para llevar a cabo una eficiente auditoria de sistemas debe tomar en cuenta las diferentes técnicas especiales que le permitirán evaluar el desempeño de los usuarios y talento humano, el desarrollo y funcionamiento de los sistemas informáticos y, la integridad y oportunidad de la información, ya que todos en conjunto forman el sistema computacional. Las técnicas especiales implican cierta complejidad y especialización del auditor en temas relacionados a sistemas informáticos, de tal forma que al aplicar de estas herramientas se obtengan resultados válidos y confiables.
TÉCNICAS ESPECIALES
11
REFERENCIAS
Durán, M. (s.f.). Conceptos de auditoría de Sistemas . Obtenido de itchetumal.edu.mx: http://itchetumal.edu.mx/v2014/paginasvar/Maestros/mduran/Archivos/auditoria%20de% 20sistemas%20ok.pdf Kendall, K., & Kendall, J. (1995). Análisis y diseño de sistemas . Mèxico: Pearson Educación. Muñoz, C. (2002). Auditoría en Sistemas Computacionales. México: Pearson Educación. Pontificia Universidad Católica de Valparaíso. (2016). Métodos y Técnicas de Investigación. Obtenido de biblioteca.ucv.cl: http://biblioteca.ucv.cl/site/servicios/metodos_tecnicas_investigacion.php
TÉCNICAS ESPECIALES
12
ANEXOS
REF.
ACTIVIDAD QUE SERÁ EVALUADA
ÁREA: Centro de servicios sistematización PROCEDIMIENTOS AUDITORÍA
de DE
Entrar al sistema de red sin ninguna autorización y acceder a la información, alterar bases de datos o cambios al sistema, hasta donde permita el sistema.
SAS-01
Evaluar la seguridad de los niveles de acceso de usuarios
Entrar al sistema y dar de alta a distintos accesos sin tener autorización. Solicitar a un usuario sin forzarle, que ingrese a un nivel que no le corresponda y verificar si el sistema le permite la operación.
19
AÑO
EMPRESARIOS AUDITORES S.A.
DÍA
EMPRESA: Bahía Express Cía. Ltda.
MES
ANEXO 1: GUÍA DE EVALUACIÓN
12
2016
HERRAMIEN_ TAS QUE SERÁN UTILIZADAS Observación participativa, oculta. Pruebas al sistema y las bases de datos. Experimentación en la seguridad del sistema. Revisión documental (electromagnética)
Ingresar al sistema de red sin contraseña. Reiniciar el sistema y utilizar teclas F5 o F8 al encender el sistema e ingresar sin contraseña. SAS 02
Evaluar la confiabilidad en la administración de la contraseña.
Entrar al sistema con disco de arranque externo e ingresar sin contraseña. Tratar de acceder al sistema alterando tres veces la contraseña y observar las acciones del sistema.
Observación participativa, oculta. Pruebas al sistema y las bases de datos. Experimentación en la seguridad del sistema. Revisión documental (electromagnética)
HOJA: 1 de 5
OBSERVACIONES
El sistema no debe permitir ningún acceso. Obtener respaldo previo del sistema y los movimientos previos a la prueba. Documentar los accesos y cambios que se realicen al sistema.
El sistema por ningún medio debe permitir el acceso sin contraseña y al tercer intento bloquea la terminal Obtener respaldo previo del sistema y los movimientos previos a la prueba. Documentar los accesos y cambios que se realicen al sistema
TÉCNICAS ESPECIALES
ELABORADO POR:
XXYY
29-NOV-2016
APROBADO POR:
AAZZ
30-NOV-2016
RESPONSABLE DE EJECUCIÓN:
MMNN
19-DIC-2016
13
SAS 00.- Seguridad en el Acceso al Sistema. Tomado de “Auditoría de Sistemas Computacionales” de (Muñoz Razo, 2002, pág. 22)
TÉCNICAS ESPECIALES
14
ANEXO 2: PONDERACIÓN Desarrollo: PASO 1 COLUMNA 1 Factores primarios que serán ponderados
COLUMNA 2 Peso por factor
Evaluación de la gestión informática del centro de cómputo
COLUMNA 3 Valor % específico 100%
1. Objetivos del centro de cómputo 10% 2. Estructura de organización 10% 3. Funciones y actividades 15% 4. Sistema de información 20% 5. Personal y usuarios 15% 6. Documentación de los sistemas 2% 7. Actividades y operación del sistema 14% 8. Configuración del sistema 4% 9. Instalaciones del centro de cómputo 10% Tomado de “Auditoría de Sistemas Computacionales” de (Muñoz Razo, 2002, pág.488) PASO 2: COLUMNA 1 COLUMNA 2 COLUMNA 3 Actividades que van a ser Peso por Peso por factor evaluadas y ponderadas actividad ponderar 1. Objetivos del centro de cómputo Establecimiento del objetivo 25% 2.5% general Cumplimiento del objetivo 30% 3.0% general Difusión del objetivo general 20% 2.0% Derivación de objetivos 15% 1.5% secundarios. Seguimiento y control de 10% 1.0% objetivos Total del factor a ponderar 100% 10.0% 2. Estructura de organización
COLUMNA 4 Valor ponderación 10.0%
10.0%
de
TÉCNICAS ESPECIALES Definición de estructura de organización Definición de funciones Descripción de puestos Definición de canales de comunicación Definición de niveles de autoridad Actualización de estructuras y puestos Evaluación periódica de funciones Total de factor a ponderar 3. Funciones y actividades Definición de funciones Cumplimiento de las funciones Manuales e instructivos Métodos y procedimientos Cumplimiento de actividades Seguimiento de actividades Total del factor a ponderar 4. Sistema de información Definición del sistema (software) Definición del equipo (hardware) Definición de instalaciones Evaluación de adquisiciones Interrelación de funciones Total del factor a ponderar 5. Personal y usuarios Manejo del sistema Aprovechamiento del sistema Oportunidad en la información Asesoría interna a usuarios y personal Asesoría externa a personal del área Capacitación y desarrollo del
25%
2.5%
25% 20%
2.5% 2.0%
10%
1.0%
10%
1.0%
5%
0.5%
5%
0.5%
100%
10.0% 15%
20% 30% 10% 15% 20% 5%
3.0% 4.5% 1.5% 2.25% 3.0% 0.75% 20%
30%
6.0%
30%
6.0%
15% 10% 15% 100%
3.0% 2.0% 3.0% 20.0% 15%
25% 15% 10%
3.75% 2.25% 1.50%
15%
2.25%
15%
2.25%
10%
1.50%
15
Tร CNICAS ESPECIALES personal Administraciรณn de prestaciones Total del factor a ponderar 6. Documentaciรณn de los sistemas Manual de usuarios Manual tรฉcnico del sistema Manuales de capacitaciรณn Actualizaciรณn de manuales Total del factor a ponderar 7. Actividades y operaciones del sistema Definiciรณn del equipo (hardware) Definiciรณn de instalaciones Evaluaciรณn de adquisiciones Interrelaciรณn de funciones Total del factor a ponderar 8. Configuraciรณn del sistema Definiciรณn del equipo (hardware) Definiciรณn del equipo (software) Adaptaciรณn de instalaciones Adaptaciรณn del medio ambiente
10%
1.50% 15.00% 2%
30% 40% 20% 10% 100%
0.6% 0.8% 0.4% 0.2% 2.0% 14%
30%
4.2%
30% 20% 20%
4.2% 2.8% 2.8% 4%
25%
1.0%
25%
1.0%
15%
0.6%
15%
0.6%
Planes contra contingencias
20%
0.8%
Total del factor a ponderar
100%
4.0%
9. Instalaciones del centro de cรณmputo Adaptaciรณn de instalaciones Adaptaciรณn de medidas de seguridad Adaptaciรณn del medio ambiente Adaptaciรณn de las comunicaciones Mantenimiento del sistema
10% 30%
3.0%
30%
3.0%
10%
1.0%
20%
2.0%
10%
1.0%
16
TÉCNICAS ESPECIALES
17
Total del factor a ponderar Tomado de “Auditoría de Sistemas Computacionales” de (Muñoz Razo, 2002, pág.490) PASO 3 COLUMNA 1
COLUMNA COLUMNA COLUMNA COLUMNA COLUMNA 2 3 4 5 6 Actividades que van a Peso por Peso por Valor de Calificación Porcentaje ser evaluadas y actividad ponderar ponderación de puntos ponderadas obtenidos 6. Documentación de 2.0% los sistemas Manual de usuarios 30% 0.60% .60 .36% Manual técnico del 40% 0.80% .85 .68% sistema Manuales de 20% 0.40% 1.00 .40% capacitación Actualización de 10% 0.20% .85 .17% manuales Total del factor a 100% 2.00% .825 1.61% ponderar Tomado de “Auditoría de Sistemas Computacionales” de (Muñoz Razo, 2002, pág.493)
TÉCNICAS ESPECIALES
18
ANEXO 3: SIMULACIÓN Como primer ejemplo tenemos al “Ciclo de Vida de los Sistemas o Ciclo de Vida Tradicional” (Muñoz, 2002), este modelo es el que más se utiliza para el desarrollo de los sistemas computacionales, la metodología a seguir es la siguiente:
Análisis del sistema actual Diseño conceptual del sistema Diseño detallado del sistema Programación Pruebas y correcciones Implantación del sistema Programación Pruebas y correcciones Implantación del sistema Liberación del sistema Mantenimiento del sistema
Tenemos como segundo ejemplo la “Metodología de Kendall & Kendall” (Kendall & Kendall, 1995), es imprescindible para aquellas personas que desarrollan sistemas computacionales utilizar esta metodología ya que es considerada como clásica para el análisis y diseño de los sistemas computacionales, su aplicación es fácil y muy completa. Estos autores presentar las siete fases del desarrollo de sistemas las cuales de describen a continuación:
Identificación de problemas, oportunidades y objetivos Determinación de requerimientos de información Análisis de las necesidades del sistema Diseño del sistema recomendado Desarrollo del sistema Pruebas y mantenimiento de sistemas Implementación y evaluación del sistema
TÉCNICAS ESPECIALES
19
ANEXO 4: EVALUACIÓN Evaluación del equipo de cómputo La evaluación del equipo de cómputo es importante dentro de una auditoría de sistemas; se debe evaluar la forma en que se administra y controla la asignación de funciones y actividades de los sistemas computacionales de la empresa; sean éstos centralizados en el área de sistemas o asignados a cada área de la empresa. Evaluación del diseño lógico del sistema Es la evaluación interna del sistema computacional, software, arquitectura y configuración, conforme a las necesidades informáticas de la empresa. Evaluar la forma en que se lleva a cabo la configuración del sistema, equipos, bases de datos y de los archivos de información institucional. Evaluar que en la empresa existan y se apliquen las metodologías para el desarrollo y adquisición de sistemas computacionales. Evaluar la administración de los métodos de accesos, seguridad y operación del sistema. Evaluar la administración de las características lógicas del hardware, software, periféricos, instalaciones y componentes asociados al sistema. Evaluar la administración de la arquitectura y configuración de redes de cómputo. Evaluar los componentes, características y construcción de las bases de datos y archivos de información institucional, a fin de verificar que funcionen de acuerdo con las características, costumbres y necesidades de la empresa
TÉCNICAS ESPECIALES
20
ANEXO 5: LISTA DE CHEQUEOS Primera estructura: dos columnas, en la primera se registra el listado de los aspectos a revisar y la segunda se asigna para valorar el cumplimiento con un visto (√) o el incumplimiento con una equis (X). Verificar el funcionamiento y cumplimiento adecuado de la red de cómputo, así como la inclusión de sus componentes, su aplicación y su uso. Descripción del concepto Cumple La instalación de la red es flexible y adaptable a las necesidades de la empresa. La lista de componentes de la red contiene todo el hardware requerido para su funcionamiento adecuado. La lista de componentes de la red contiene todo el software requerido para su funcionamiento adecuado. La red de cómputo es aprovechada al máximo en la empresa. Los recursos de la red se comparten de acuerdo con las necesidades de la empresa. La configuración de recursos de la red es la mejor para el uso correcto de los sistemas computacionales de la empresa. Se acepta la transferencia frecuente de grandes volúmenes de información. Existen niveles de acceso y seguridad en la red. Tomado de “Auditoría de Sistemas Computacionales” de (Muñoz Razo, 2002, pág.535) Segunda estructura: Formada por más de dos columnas para realizar una valoración porcentual. Verificar la seguridad en el centro de cómputo, y calificar sólo una de las columnas de cada concepto según su grado de cumplimiento. 100% 80% 60% 40% Descripción del concepto Excelente Cumple Mínimo Deficiente 1. Evaluación de la seguridad en el acceso al sistema Evaluar los atributos de acceso al sistema. Evaluar los niveles de acceso al sistema. Evaluar la administración de contraseñas del sistema. Evaluar la administración de la bitácora de acceso al sistema. Evaluar el monitoreo en el acceso al sistema
TÉCNICAS ESPECIALES Evaluar las funciones del administrador del acceso al sistema. Evaluar las medidas preventivas o correctivas en caso de siniestros en el sistema 2. Evaluación de la seguridad en el acceso al área física Evaluar el acceso del personal al centro de cómputo Evaluar el acceso de los usuarios y terceros al centro de cómputo Evaluar la administración de la bitácora de acceso físico al área de sistemas. Evaluar el control de entradas y salidas de bienes informáticos del centro de cómputo. Evaluar la vigilancia del centro de cómputo Evaluar las medidas correctivas o preventivas en caso de siniestros en el centro de cómputo. Tomado de “Auditoría de Sistemas Computacionales” de (Muñoz Razo, 2002, pág.536)
21
TÉCNICAS ESPECIALES
22
ANEXO 6: ANÁLISIS DE LA DIAGRAMACIÓN DE SISTEMAS Diagrama de Estado-Transición: En este diagrama se representan los flujos de información que se siguen en una relación de programación estructurada, esto con la finalidad de visualizar el proceso que se sigue para el desarrollo de las actividades del programa. Las entidades por lo general se expresan con el nombre del responsable del proceso y las flechas señalan el proceso que se ha de seguir en el programa; además los rectángulos señalan el estado que guardan en relación con la actividad del proceso que se están ejecutando.
Diagrama de Contexto: Este diagrama muestra de manera global los procesos que alimentan el objeto principal del sistema, los rectángulos representan la entidad o proceso en particular y la interacción de éstos con el proceso fundamental, las flechas señalan el flujo que se sigue para la interacción. En este ejemplo representa un sistema para el control de una biblioteca que es el procesamiento central del programa.