REPBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACION UNIVERSITARIA

MISIN ANTONIO JOS DE SUCRE
ALDEA ANA MARIA CAMPOS
PLAN NACIONAL DE FORMACIN INGENIERIA EN SISTEMAS E INFORMATICA





AUDITORIA DE SISTEMAS












San Carlos Edo. Zulia, Octubre 2013
Integrantes:


PEDRO PREZ C.I 20.533.337
RUBEN ORTEGA C.I 20.529.241
ALEJANDRO PIRELA C.I 19.934.581
SECCIN 0701
Introduccin

La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso
las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a
los generales de la misma. En consecuencia, las organizaciones informticas forman parte
de lo que se ha denominado el management o gestin de la empresa. Cabe aclarar que
la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero
no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditoria Informtica.

El trmino de Auditoria se ha empleado incorrectamente con frecuencia ya que se
ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A
causa de esto, se ha tomado la frase Tiene Auditoria como sinnimo de que, en dicha
entidad, antes de realizarse la Auditoria, ya se haban detectado fallas. El concepto de
Auditoria es mucho ms que esto. Es un examen crtico que se realiza con el fin de
evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc.

El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos
que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de
Informacin. Claro est, que para la realizacin de una Auditoria informtica eficaz, se
debe entender a la empresa en su ms amplio sentido, ya que una Universidad, un
Ministerio o un Hospital son tan empresas como una Sociedad Annima o empresa
Pblica. Todos utilizan la informtica para gestionar sus negocios de forma rpida y
eficiente con el fin de obtener beneficios econmicos y de costes.

Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control
correspondiente, o al menos debera estarlo. La importancia de llevar un control de esta
herramienta se puede deducir de varios aspectos. He aqu algunos:

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos
apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En
este caso interviene la Auditoria Informtica de Seguridad.
Las computadoras creadas para procesar y difundir resultados o informacin
elaborada pueden producir resultados o informacin errnea si dichos datos son, a
su vez, errneos. Este concepto obvio es a veces olvidado por las mismas
empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de
entrada a sus Sistemas Informticos, con la posibilidad de que se provoque un
efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la
Auditoria Informtica de Datos.

Un Sistema Informtico mal diseado puede convertirse en una herramienta harto
peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes
recibidas y la modelizacin de la empresa est determinada por las computadoras
que materializan los Sistemas de Informacin, la gestin y la organizacin de la
empresa no puede depender de un Software y Hardware mal diseados.

TIPOS Y CLASES DE AUDITORIAS INFORMTICAS

Dentro de las reas generales, es posible establecer las siguientes divisiones:

1. Auditoria Informtica de Explotacin
2. Auditoria Informtica de Sistemas
3. Auditoria Informtica de Comunicaciones y redes
4. Auditoria Informtica de Desarrollo de Proyectos
5. Auditoria Informtica de Seguridad

Debe evaluarse la diferencia entre la generalidad y la especificacin que posee la
Seguridad. Segn ella, realizarse una Auditoria Informtica de la Seguridad del entorno
global de la informtica, mientras en otros casos puede auditarse una aplicacin concreta,
en donde ser necesario analizar la seguridad de la misma. Cada rea especfica puede
ser auditada con los criterios que detallamos:

Cada rea especfica puede ser auditada con los criterios que detallamos:

Desde su propia funcionalidad interna.
Con el apoyo que recibe de la Direccin, y en forma ascendente, del grado de
cumplimiento de las directrices de que sta imparte.
Desde la visin de los usuarios, destinatarios verdaderos de la informtica.
Desde el punto de vista de la seguridad, que ofrece la Informtica en general o la
rama auditada.

Las combinaciones descritas pueden ser ampliadas o reducidas, segn las
caractersticas de la empresa auditada. Las Auditorias ms usuales son las referidas a las
actividades especficas e internas de la propia actividad informtica.

1. AUDITORIA INFORMTICA DE EXPLOTACIN DE SISTEMAS.

Se ocupa de producir resultados informticas de todo tipo: listados impresos,
archivos magnticos para otros informticos, rdenes automatizadas para lanzar o
modificar procesos industriales, etc. Para realizar la Explotacin informtica se dispone de
materia prima los Datos, que es necesario transformar, y que se someten previamente a
controles de integridad y calidad.

La transformacin se realiza por medio del Proceso Informtico, el cual est dirigido
por programas. Obtenido el producto final, los resultados son sometidos a controles de
calidad, y finalmente son distribuidos al cliente, al usuario. En ocasiones, el propio cliente
realiza funciones de reelaboracin del producto terminado.

Para mantener el criterio finalista y utilitario, el concepto de centro productivo ayuda
a la elaboracin de la Auditoria de la Explotacin. Auditar Explotacin consiste en auditar
las secciones que la componen y sus interrelaciones. Las Bsicas son la planificacin de
la produccin y la produccin misma de resultados informticos. El auditor debe tener en
cuenta que la organizacin informtica est supeditada a la obtencin de resultados en
plazo y calidad, siendo subsidiario a corto plazo cualquier otro objetivo. Se quiere insistir
nuevamente en que la Operatividad es prioritaria, al igual que el plan crtico diario de
produccin que debe ser protegido a toda costa.


2. AUDITORIA INFORMTICA DE SISTEMAS

Se ocupa de analizar la actividad propia de lo que se conoce como "Tcnica de
Sistemas" en todas sus facetas. En la actualidad, la importancia creciente de las
telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las
instalaciones informticas, se auditen por separado, aunque formen parte del entorno
general de "Sistemas".

3. AUDITORIA INFORMTICA DE COMUNICACIONES Y REDES

La creciente importancia de las Comunicaciones ha determinado que se estudien
separadamente del mbito de Tcnica de Sistemas. Naturalmente, siguen siendo trminos
difciles en los conceptos generales de Sistemas y de Arquitecturas de los Sistemas
Informticos.

Se ha producido un cambio conceptual muy profundo en el tratamiento de las
comunicaciones informticas y en la construccin de los modernos Sistemas de
Informacin, basados en Redes de Comunicaciones muy sofisticadas.

Para el Auditor Informtico, el entramado conceptual que constituyen las Redes
Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc., no son sino el
soporte fsico-lgico del Tiempo Real. El lector debe reflexionar sobre este avanzado
concepto, que repetimos: Las Comunicaciones son el Soporte Fsico-Lgico de la
Informtica en Tiempo Real. El auditor informtico tropieza con la dificultad tcnica del
entorno, pues ha de analizar situaciones y hechos alejados entre s, y est condicionado a
la participacin del monopolio telefnico que presta el soporte en algunos lugares.
Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros casos, la
Auditoria de este sector requiere un equipo de especialistas, expertos simultneamente en
Comunicaciones y en Redes Locales. No debe olvidarse que en entornos geogrficos
reducidos, algunas empresas optan por el uso interno de Redes Locales, diseadas y
cableadas con recursos propios.

El entorno del Online tiene una especial relevancia en la Auditoria Informtica
debido al alto presupuesto anual que los alquileres de lneas significan. El auditor de
Comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas contratadas,
con informacin abundante sobre tiempos de desuso.

Deber proveerse de la topologa de la Red de Comunicaciones, actualizada. La
des actualizacin de esta documentacin significara una grave debilidad. La inexistencia
de datos sobre cuntas lneas existen, cmo son y dnde estn instaladas, supondra que
se bordea la Inoperatividad Informtica. Sin embargo, y como casi siempre, las
debilidades ms frecuentes e importantes en la informtica de Comunicaciones se
encuentran en las disfunciones organizativas. La contratacin e instalacin de lneas va
asociada a la instalacin de los Puestos de Trabajo correspondientes (Monitores,
Servidores de Redes Locales, Ordenadores Personales con tarjetas de Comunicaciones,
impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible,
dependientes de una sola organizacin.


4. AUDITORIA INFORMTICA DE DESARROLLO DE PROYECTOS

El rea de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la
Auditoria informtica. Indicando inmediatamente que la funcin de Desarrollo es una
evolucin del llamado Anlisis y Programacin de Sistemas y Aplicaciones, trmino
presente en los ltimos aos. La funcin Desarrollo engloba a su vez muchas reas,
tantas como sectores informatizables tiene la empresa.

Muy escuetamente, una Aplicacin recorre las siguientes fases:

Prerrequisitos del Usuario (nico o plural), y del entorno.
Anlisis funcional.
Anlisis orgnico. (Pre programacin y Programacin).
Pruebas.
Entrega a Explotacin y alta para el Proceso.

Se deduce fcilmente la importancia de la metodologa utilizada en el desarrollo de
los Proyectos informticos. Esta metodologa debe ser semejante al menos en los
Proyectos correspondientes a cada rea de negocio de la empresa, aunque
preferiblemente debera extenderse a la empresa en su conjunto.
En caso contrario, adems del aumento significativo de los costos, podr producirse
fcilmente la insatisfaccin del usuario, si ste no ha participado o no ha sido consultado
peridicamente en las diversas fases del mismo, y no solamente en la fase de
prerrequisitos. Finalmente, la Auditoria informtica deber comprobar la seguridad de los
programas, en el sentido de garantizar que los ejecutados por la mquina son totalmente
los previstos y no otros.

Una razonable Auditoria informtica de Aplicaciones pasa indefectiblemente por la
observacin y el anlisis de estas consideraciones.

a) Revisin de las metodologas utilizadas

Se analizarn stas, de modo que se asegure la modularidad de las posibles
futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas.

b) Control Interno de las Aplicaciones

La Auditoria informtica de Desarrollo de Aplicaciones deber revisar las mismas
fases que presuntamente ha debido seguir el rea correspondiente de Desarrollo. Las
principales son:

Estudio de Viabilidad de la Aplicacin.
Definicin Lgica de la Aplicacin.
Desarrollo Tcnico de la Aplicacin.
Diseo de Programas.
Mtodos de Pruebas.
Documentacin.
Equipo de Programacin.

c) Satisfaccin de Usuarios

Una Aplicacin eficiente y bien desarrollada tericamente, deber considerarse un
fracaso si no sirve a los intereses del usuario que la solicit. Surgen nuevamente las
premisas fundamentales de la informtica eficaz: fines y utilidad. No puede desarrollarse
de espaldas al usuario, sino contando con sus puntos de vista durante todas las etapas
del Proyecto. La presencia del usuario proporcionar adems grandes ventajas
posteriores, evitar reprogramaciones y disminuir el mantenimiento de la Aplicacin.



d) Control de Procesos y Ejecuciones de Programas Crticos

El auditor no debe descartar la posibilidad de que se est ejecutando un mdulo lo
que no se corresponde con el programa fuente que desarroll, codific y prob el rea de
Desarrollo de Aplicaciones.

5. AUDITORIA INFORMTICA DE SEGURIDAD

La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad
lgica. La Seguridad fsica se refiere a la proteccin del Hardware y de los soportes de
datos, as como los edificios e instalaciones que los albergan. Contempla las situaciones
de incendios, sabotajes, robos, catstrofes naturales, etc. Igualmente, a este mbito
pertenece la poltica de Seguros. En cuanto La seguridad lgica, se refiere a la seguridad
de uso del software, a la proteccin de los datos, procesos y programas, as como la del
ordenado y autorizado acceso de los usuarios a la informacin.

Se ha tratado con anterioridad la doble condicin de la Seguridad Informtica:
Como rea General y como rea Especfica (seguridad de Explotacin, seguridad de las
Aplicaciones, etc.).

As, podrn efectuarse Auditorias de la seguridad global de una Instalacin
Informtica Seguridad General, y Auditorias de la Seguridad de un rea informtica de
terminada Seguridad Especfica.

Las agresiones a instalaciones informticas ocurridas en Europa y Amrica durante
los ltimos aos, han originado acciones para mejorar la Seguridad Informtica a nivel
fsico. Los accesos y conexiones indebidos a travs de las Redes de Comunicaciones,
han acelerado el desarrollo de productos de Seguridad lgica y la utilizacin de
sofisticados medios criptogrficos. La decisin de abordar una Auditoria Informtica de
Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos
potenciales a los que est sometida.

Tal estudio comporta con frecuencia la elaboracin de "Matrices de Riesgo" en
donde se consideran los factores de las "Amenazas" a las que est sometida una
instalacin y de los "Impactos" que aquellas pueden causar cuando se presentan. Las
matrices de riesgo se presentan en cuadros de doble entrada "Amenazas\Impacto", en
donde se evalan las probabilidades de ocurrencia de los elementos de la matriz.

Conclusin

Principalmente, con la realizacin de este trabajo prctico, la principal conclusin a
la que hemos podido llegar, es que toda empresa, pblica o privada, que posean Sistemas
de Informacin medianamente complejos, deben de someterse a un control estricto de
evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen
toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia
que los sistemas de informacin funcionen correctamente. La empresa hoy, debe/precisa
informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de
informacin.

Una empresa puede tener un staff de gente de primera, pero tiene un sistema
informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre
estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de la Auditoria
en s, podemos remarcar que se precisa de gran conocimiento de Informtica, seriedad,
capacidad, minuciosidad y responsabilidad; la Auditoria de Sistemas debe hacerse por
gente altamente capacitada, una Auditoria mal hecha puede acarrear consecuencias
drsticas para la empresa auditada, principalmente econmicas.