AUDITORIA DE

SISTEMAS

CAPITULO 15

AUDITORIA DE TECNICA
DE SISTEMAS
 15.1 AMBITO DE LA TECNICA DE SISTEMAS

Sistema Conjunto de elementos que cooperan en un

todo armónico.

El ambito de la técnica de sistemas se compone por la

infraestructura informática, es decir el conjunto de
instalaciones, equipos de proceso y el software base.

Instalaciones Incluye salas de proceso, con sus sistemas

de seguridad y control, asi como elementos
de conexión y cableado.
 15.1 AMBITO DE LA TECNICA DE SISTEMAS

Equipos de Incluye los computadores, así como sus

proceso periféricos (pantallas, mouse, impresora,
etc) y los dispositivos de conmutación y
comunicaciones(routers, modems, etc)

Software Se compone de los sistemas operativos,

Base compiladores, traductores y programas,
junto con los gestores de datos (sistema de
administración de base de datos) y una serie
de herramientas y componentes auxiliares e
intermedios ( herramientas de desarrollo,
paquetes de seguridad, middleware, etc)
 15.2 DEFINICION DE LA FUNCION

Tecnica de sistemas consiste en la actividad a desempeñar

para instalar y mantener en adecuado orden de utilización la
infrestructura informática.

El funcionamiento correcto se caracteriza por:

 Disponer de todos los elementos necesarios
 Por parte de los usuarios autorizados
 En el momento requerido
 Con el rendimiento adecuado
 15.3 NIVEL DE SERVICIO
El cuplimiento de las caracteristicas constituye el objetivo de
los Sistemas de Información y su consecución se expresa en
terminos de nivel de servicio.

Nivel de servicio es una serie de parametros cuya medición

determina el mayor o menor grado de eficacia del servicio
prestado.

Sin los clientes el Sistema de información (SI) no tiene

sentido, y lo que los clientes necesitan es la garantia de que
este cumpla su función adecuadamente.

La garantia del funcionamiento se obtiene consiguiendo la de

cada uno de los elementos del sistema, determinando los
puntos criticos que afecten a la actividad del SI y a preveer su
fallo y planificar los controles y acciones para evitarlos.
 15.3 NIVEL DE SERVICIO

La disponibilidad no se trata solo de tener un sistema que

responda durante un determinado numero de horas al año,
sino que además debe hacerlo bien.

La satisfacción de los usuarios depende tanto de la eficacia de

las aplicaciones como de la eficiencia del sistema, el cual esta
representado por los parametros de disponibilidad y tiempo de
respuesta, pero se complementa con el análisis de incidencias
originadas por la infraestructura y las opiniones de los
usuarios sobre el servicio.
 VALOR AGREGADO

REVISION DE LOS CENTROS DE

COMPUTO

http://www.geocities.com/lsialer/areas2.htm
 REVISION DE LOS CENTROS DE COMPUTO

Consiste en revisar los controles en las operaciones del centro de

procesamiento de información en los siguientes aspectos:

Revisión de controles en el equipo: Se hace para verificar si

existen formas adecuadas de detectar errores de procesamiento,
prevenir accesos no autorizados y mantener un registro detallado de
todas las actividades del computador que debe ser analizado
periódicamente.

Revisión de programas de operación: se verifica que el

cronograma de actividades para procesar la información asegure la
utilización efectiva del computador.
 REVISION DE LOS CENTROS DE COMPUTO
Revisión de controles ambientales: se hace para verificar si los
equipos tienen un cuidado adecuado, es decir si se cuenta con aire
acondicionado, fuentes de energía continua, extintores de incendios,
etc.

Revisión del plan de mantenimiento: Aquí se verifica que todos los

equipos principales tengan un adecuado mantenimiento que garantice
su funcionamiento continuo.

Revisión del sistema de administración de archivos: se hace

para verificar que existan formas adecuadas de organizar los archivos
en el computador, que estén respaldados, así como asegurar que el uso
que le dan es el autorizado.

Revisión del plan de contingencias: Aquí se verifica si es

1.
adecuado el plan de recupero en caso de desastre, el cual se detalla
mas adelante.
 15.4 LOS PROCEDIMIENTOS

1. Instalación y puesta en Servicio.

2. Mantenimiento y Soporte.
3. Requisitos para otros componentes.
4. Resolución de incidencias.
5. Seguridad y Control.
6. Información sobre la actividad.
 Procedimiento general del suministrador
Planificación adaptado a la instalación concreta.

Inventario de componentes del elemento

Documentación y normas de actualización.

Valores de parámetros del sistema en

Parametrización función del resto de elementos planificados
(número y tipos de usuarios, aplicaciones…

Verificaciones a realizar y sus resultados.

Pruebas
 Control del periodo de garantía y comienzo del
Planificación mantenimiento del elemento.

Procedimiento para contactar con el

Documentación soporte.

Adaptación de los parámetros del sistema

Parametrización en función de nuevos requerimientos o
como resultado de nuevas versiones o
resolución de incidencias.

Verificaciones de los cambios o

Pruebas adaptaciones realizadas.
 Planificación Considerar los requisitos cruzados de unos
elementos con otros.

Documentación Procedimiento que determina los efectos a

considerar en otros componentes.

Adaptación de los parámetros del sistema en

Parametrización función de nuevos requerimientos o como
resultado de nuevas incidencias.

Pruebas Verificación de los cambios o adaptaciones

realizadas.
 Supone abrir un formulario en el medio habilitado
Registrar (papel, electrónico…) que permita recoger los datos
que identifican la anomalía.

Analizar Supone buscar una relación entre el efecto y sus

posibles causas.

Determinar de entre las causas posibles aquella que

Diagnosticar tuviera más probabilidad de resultar origen del
problema.

Es un dato importante en el enfoque de la resolución,

Calificar pues no tiene el mismo tratamiento una anomalía
bloqueante que un error que se produce de forma
esporádica.

Resolución Para resolver definitivamente un problema hace falta

conocer su causa y la forma de evitar que se
reproduzcan las condiciones origen.

Acción continua y normalizada para conseguir el

Seguimiento diagnóstico de una incidencia y la persecución de su
resolución.
 La protección debe considerar tanto la posibilidad de hechos
fortuitos como malintencionados.
 Es necesario proteger los accesos a la información y funciones
con criterio de mínimos reservando funciones y accesos
especiales a niveles de responsabilidad superiores con los
controles adecuados.
 Los entornos de desarrollo y mantenimiento de programas
deben dejar información sobre las sentencias borradas,
modificadas y añadidas, así como los autores de las
modificaciones.
 Es importante que exista una serie de normativas para
realizar las funciones informáticas, aunque es igual de
importante que tales normas se cumplan.
Forma parte de la esencia de cualquier actividad rendir cuentas al
responsable superior del trabajo realizado. Disponer de información
estructurada, de acuerdo con los parámetros de seguimiento más
acordes con los objetivos de desempeño, es cuestión primordial para:

• Conocer la evolución de la actividad.

• Comparar la realidad con los objetivos y estándares.
• Mejorar la calidad de la tarea.
• Anticiparse a situaciones críticas analizando las tendencias.

La información debe servir para gestionar y, por tanto, debe ser

resumida y expresiva en cuanto a la representación de la realidad,
permitiendo profundizar si se requiere un análisis más exhaustivo de
algún parámetro.
 15.5. LOS CONTROLES
Deberían determinar el comportamiento del sistema y
prevenir situaciones no deseadas desde cualquier punto de
vista:
HARDWARE:
* Existen los componentes adquiridos
* Están correctamente instalados
* Se mantienen adecuadamente
* Dan el rendimiento requerido
SOFTWARE:
* Se dispone de las correspondientes licencias
* Está correctamente instalado
* Se mantiene adecuadamente
* Dan el rendimiento adecuado
 15.5. LOS CONTROLES
COMUNICACIONES:
* Existen componentes
* Están correctamente instalados
CONMUTACION:
* Se mantiene adecuadamente
* Dan el rendimiento adecuado
COMUNICACIONES:
* Existen los contratos y servicios
* Están correctamente parametrizados
ENLACES:
* Se mantiene adecuadamente
* Dan el ancho de banda y respuesta necesarios
 15.5. LOS CONTROLES
SEGURIDAD:
* Existen los procedimientos
* Se llevan a cabo
* Se controlan las excepciones
* Se toman medidas
INFORMACION:
* Se dispone de procedimientos de back-up
* Se realizan los back-up correspondientes
* Se guardan adecuadamente
* Se comprueban por muestreo
PLAN DE CONTINGENCIA:
* Se dispone de un procedimiento
* Están contratados los servicios necesarios
* Está debidamente actualizado
* Se realizan los ensayos periódicos
 15.5. LOS CONTROLES
La Fundación de Auditoria y Control de Sistemas de
Información (ISACF) que otorga la certificación de CISA
(Certified Information System Auditor)
Los Objetivos de Control para la información y la
Tecnología relacionada (COBIT).
* Organización y Planificación
* Compras e Implantación
* Puesta en Servicio Y Soporte
* Monitorización
Por otra parte tienen una conexión mayor o menor con
siete Criterios de Información:
1- Eficacia
2- Eficiencia
3- Confidencialidad
4- Integridad
5- Disponibilidad
6- Legalidad
7- Fiabilidad
 15.5. LOS CONTROLES
Objetivos de Control en los que se involucra la Técnica de
Sistemas:
Definición del Plan Estratégico tecnológico:
* Pretende la satisfacción de los requerimientos del
negocio buscando un balance óptimo entre las
oportunidades de la tecnología de la información.
* Permite un proceso de planificación estratégica que, a
intervalos regulares, va cumpliendo los planes a largo
plazo.
* Estos planes a largo plazo deben traducirse
periódicamente en planes operativos con objetivos
claros y concretos a corto plazos.
* Toma en consideración objetivos de negocio y
necesidades de tecnología de la información,
inventario de soluciones tecnológicas e infraestructura
actual y estudio de factibilidad.
 15.5. LOS CONTROLES
Determinación de la Dirección Tecnológica:
* Pretende crear y mantener un plan de infraestructura
tecnológica, adecuando y haciendo evolucionar la
capacidad de la infraestructura actual siguiendo los
desarrollos tecnológicos, las restricciones del negocio y los
planes de adquisición.
Gestión de Inversiones:
* Asegura la Disposición y el control de desembolsos de
recursos financieros por medio de los correspondientes
presupuestos operativos periódicos establecidos y
convenientemente aprobados.
Apreciación de Riesgos:
* Pretende el aseguramiento de la obtención de los
objetivos de Tecnología de Información (TI), previniendo
las amenazas en la obtención de los servicios de TI.
* Considera distintos tipos de riesgos (tecnología, seguridad,
continuidad), los momentos de análisis (periódicos o durante
la implantación de nuevos sistemas).
 15.5. LOS CONTROLES
Gestión de Proyectos:
* Permite a la organización identificar y priorizar proyectos en
línea con el plan operativo.
* La organización debe adoptar y aplicar técnicas seguras de
gestión de proyectos para cada proyecto emprendido.
Identificación de Soluciones automatizados:
* Se trata de asegurar la mejor aproximación para satisfacer
los requerimientos de los usuarios, facilitando un análisis
claro de las oportunas alternativas ajustadas a los requisitos.
* Se han de tomar en consideración las restricciones internas y
externas, la dirección de la tecnología, los estudios de
factibilidad, los requerimientos y la arquitectura informática.
Adquisición y Mantenimiento de Infraestructura Tecnológica :
* Permite definir consideraciones específicas de requerimientos
funcionales y operativos y una implantación por fases con
hitos claros.
* Se deben considerar: la disponibilidad de la tecnología, la
dirección de su evolución, las políticas de seguridad, el ajuste
de los procedimientos a la instalación y la flexibilidad.
 15.5. LOS CONTROLES
Desarrollo y Mantenimiento de Procedimientos
relacionados con los Sistemas de Información:
* Pretende asegurar el uso adecuado de las aplicaciones y de
las soluciones tecnológicos instaladas.
* Supone una aproximación estructurada, al desarrollo del
usuario y a los manuales de procedimientos operativos.
Instalación y Certificación de Sistemas:
* Verifica y confirma que la solución encaja con el propósito
perseguido, lo que permite la realización de una
correctamente formalizada instalación, migración y
conversión así como un plan de aceptación.
* Considera la aprobación de la estructura, la documentación,
pruebas específicas, entrenamiento, conversión y/o carga de
datos y revisiones post-implantación.
Gestión de Cambios:
* Pretende minimizar disfunciones, alteraciones no autorizadas
y errores, habilitando la gestión del sistema para el análisis,
la implantación y el seguimiento de los cambios solicitados y
realizados en la infraestructura de TI existente.
 15.5. LOS CONTROLES
Definición de niveles de servicio:
* Permite el establecimiento de acuerdos de nivel de servicio
que formalizan los criterios de rendimiento con los que deben
medirse cantidad y calidad del servicio.
* Involucra definición de responsabilidades, volúmenes y
tiempo de respuesta, dependencias, cargas, garantías de
integridad y acuerdos de discreción.
Gestión de Relaciones de servicios de Terceros:
* Facilitan medidas de control para revisar y monitorizar los
contratos existentes y los procedimientos para su eficacia de
las políticas de la organización.
* Tiene que ver con los acuerdos de nivel de servicio, con los
acuerdos de discreción, las políticas de la compañía, las leyes
y regulaciones y los contratos outsourcing.
Gestión de Rendimiento y Capacidad:
* Permite controles para gestionar la capacidad y el
rendimiento que recopilan datos e informan para gestionar la
carga, el tamaño de las aplicaciones y la gestión de recursos y
peticiones.
 15.5. LOS CONTROLES
Aseguramiento de la Continuidad del Servicio:
* permite el ejercicio regular de un plan de contingencia
estructurado facilitando distintas fases e hitos claros,
alineando las TI con los aspectos del negocio.
* Considera la clasificación crítica, el plan documentado, los
procedimientos alternativos y las pruebas y ensayos
sistemáticos y regulares.
Aseguramiento e la Seguridad de los Sistemas:
* Para salvaguardar la información contra usos no autorizados,
revelación de información, modificación, corrupción o
pérdida, controla el acceso lógico al sistema, a los datos y a
los programas, restringiendo éstos a los usuarios
autorizados.
Identificación y Reparto de Costes:
* Debe disponerse de un sistema de contabilidad de costes que
garantice el registro de los mismos, con el consiguiente
cálculo y distribución de detalle.
* Utiliza criterios de eficiencia y fiabilidad.
 15.5. LOS CONTROLES
Gestión de la Configuración:
* Inventariar todos los componentes de los SI, previendo
alteraciones no autorizadas, verificando su existencia física y
facilitando una base precisa para gestionar el cambio, los
controles que identifican y registran todos los bienes y su
localización física, así como un programa regular de
verificación que asegure su existencia.
Gestión de Problemas e Incidencias:
* Determina la existencia de pistas de auditoria suficientes
sobre problemas y soluciones, el tiempo de resolución de los
problemas reportados, procedimientos de escalado e
informes de incidencias.
Monitorización de los Procesos:
* Persigue la consecución de los objetivos buscados por los
procesos de los SI, definiendo la gestión de informes
relevantes para la dirección y de indicadores de rendimiento
de la implantación del soporte de los sistemas, así como
clarificando los informes sobre una base regular y
normalizada.
 15.5. LOS CONTROLES

Seguridad Independiente:

* Para incrementar los niveles de confidencialidad y el

beneficio de referencias de las mejores prácticas es
importante realizar auditorias independientes a
intervalos regulares.
15.6. AUDITORÍA DE LA FUNCIÓN

El último informe de auditoria realizado debe servir para fijar un

objetivo expuestas y se han corregido debilidades.

El informe final deberá reflejar, en este caso, la realidad

contrastada, haciendo hincapié en aquellos objetivos no
conseguidos las razones expuestas por los responsables y unas
nuevas recomendaciones al respecto que pueden ratificar los
planteamientos originales o plantear alternativas o nuevos
objetivos para resolver las debilidades encontradas (controles
compensatorios).
En cuanto a los procedimientos debe comprobarse:

 1. Que existen.
 2. Que son consistentes con los objetivos de control.
 3. Que se ejecutan.

El ejercicio de auditoria supone coleccionar unos hechos observados

para emitir un juicio ecuánime, profesional e independiente. Por lo
que se realizan las pruebas cuyo resultado debe soportar las
conclusiones del informe de auditoria (acciones correctoras que
debe realizar para soslayar debilidades, problemas y mejorarlo ).
 Una adecuada metodología en el desarrollo de la auditoria es
fundamental y requiere de aspectos generales, tanto del campo de
la auditoria como de la organización de los Sistemas de
Información, tanto como de aspectos específicos que, en el caso de
TS son especialmente importantes.

 Existe, además, un problema que se origina en la variedad y

multiplicidad de los entornos. Existen distintas partes de los SI que
se ubican en máquinas de tipo mainframe, de tipo mini y micros.

 La tecnología de discos del entorno microinformático ha sido la base

de los actuales desarrollos de sistemas array.
 Una empresa de cierto tamaño tiene un entorno mainframe que
soporte una serie de funcionalidades, junto con entornos medios
para otras y un soporte microinformático, articulado generalmente
alrededor de una red que completa la infraestructura de sus
sistemas centrales e instalaciones con enlaces de comunicaciones y
la electrónica inherente.

 En entornos heterogéneos se requieren conocimientos específicos

de cada sistema operativo, gestor de base de datos, herramientas
de desarrollo, administración, seguridad y monitorización.
 La función, en estos casos, debo ser auditada desde dos perspectivas
diferentes y con equipos de personas distintas:

1. Equipo de organización con conocimientos generales que chequee

aspectos operativos

2. Equipos expertos en entornos específicos que sean capaces de

analizar los parámetros claves del software de base en sus
distintas concepciones: sistemas operativos, gestores de bases
datos y herramientas varias.

La existencia de una red de comunicaciones incorpora un nuevo

nivel de complejidad, para diferentes servicios, pueden existir
distintas infraestructuras que se solapan: líneas de datos para
conectar terminales/redes.
• En grandes organizaciones es relativamente sencillo urdir
estrategias organizativas que cumplan con los criterios básicos de
control en cuanto a establecimiento de procedimientos y
segregación de funciones

• En las organizaciones más pequeñas con menos recursos

operativos, de control, de grupos de servicio a determinados
objetivos parciales con elementos de proceso departamentales, se
producen situaciones donde la segregación funcional no existe y
surgen en consecuencia amenazas y debilidades que el auditor
debe determinar
• La separación de entornos de trabajo constituye un planteamiento
fundamental para aislar la producción de los riesgos del
desarrollo.

• Los datos reales no deben ser accesibles ni utilizados para

pruebas.

• El software de base debe aportar herramientas para modificar

programas y controlar los cambios dejando pistas de auditoría,
debiendo existir el correspondiente procedimiento que contemple
la segregación funcional.

• La consistencia de los programas ejecutables con las fuentes

origen es verificable y garantiza que las aplicaciones en ejecución
coinciden con las desarrolladas, validadas, y que sirven de base
para cualquier modificación posterior.
• Debe comprobarse la existencia de todas las fuentes. La pérdida
de alguno deja a la organización en precario frente a cualquier
modificación necesaria que afecte a la funcionalidad que soporta
el programa en cuestión.

• Un control especial debe aplicarse con las utilidades de uso

restringido que permiten accesos directos al núcleo del sistema
operativo o a los datos.

• Existen opiniones a favor de disponer de estas funciones fuera del

sistema, cargándolas únicamente cuando sean necesarias y
borrándolas después.
• Tenerse en cuenta el nivel de actualización de los módulos del SO
y si existen parches pendientes de aplicar.

• La planificación de acciones debe ser cuidadosa, documentada y

con posibilidad de alternativas y de marcha atrás ante cualquier
eventualidad imprevista que no permita el correcto
funcionamiento del sistema.

• Deben existir planes de respaldo y continuidad en cuanto al

software de sistemas, así como el adecuado soporte
interno/externo.
• El seguimiento de la adecuada sintonía del sistema y su
rendimiento debe ser una práctica habitual y continua.

• Los cambios sin una planificación adecuada y la existencia de

súper usuarios pueden atentar igualmente contra la segregación
funcional.
 En ciertos casos, como complemento o como sustitución por no
justificarse determinadas medidas en función de la complejidad y el
riesgo en cuestión, puede estudiarse una política de seguros:
SPS (Seguro de soportes de datos),SPW (Seguro de software), SICO
(Seguro para cobertura de contingencias), ISPB (Seguro de pérdida
de beneficios).

 También conviene destacar la existencia de herramientas que

ayudan en la metodología logrando de forma semiautomática el
informe de auditoria. De igual forma cabe utilizar útiles específicos
para sistemas concretos que en casos de sistemas complejos, son
especialmente recomendables.
 15.7 CONSIDERACIONES SOBRE TECNOLOGIA
Y SU EVOLUCION

Uso más Computación Móvil

flexible
de LANs + WANSs
Redes y sistemas distribuidos
recursos

Tiempo compartido

Batch

Sistema Operativo monousuario

 Sistema Distribuido

Suministrador Un sistema distribuido es aquel en el

que dos o más máquinas colaboran
Compras
13 para la obtención de un resultado.
12
En todo sistema distribuido se
14

Producción 8
establecen una o varias
comunicaciones siguiendo un
Contabilidad
9 protocolo
11 prefijado mediante un esquema
Depósito / almacén
10 cliente-servidor
Inspector de entrada
 Adolfo Held

 Uso de un sistema de comunicación

 Ausencia de memoria común
 Sincronización del trabajo
 Ausencia de un estado global perceptible por un observador
 Comunicación a través de mensajes
 Clasificación

 1. Representación distribuida. La interacción con el usuario

se realiza básicamente en el servidor. El cliente hace de
pasarela, de sistema de acceso a los elementos hardware
pantalla y teclado.

Base de datos Terminal físico

Lógica de aplicación
Interfase de usuario
 Clasificación

 2. Representación remota. Los datos se envían sin

formatear, y es el cliente el responsable de formatear los datos
y realizar las acciones de interacción con el usuario. En este
caso, la aplicación y la base de datos se encuentran en el
servidor

Base de datos Terminal inteligente

Lógica de aplicación Interfase básico de usuario
Interfase avanzado de usuario
 Clasificación
 3. Lógica distribuida. En el cliente se llevan a cabo la
interacción con el usuario y la parte más trivial de la lógica
de la aplicación. En este caso, se llevan a cabo controles
básicos de rango de campos, campos obligatorios, etc,
mientras que el grueso de la lógica permanece en el
servidor.

Base de datos Ordenador de sobremesa

Lógica de aplicación Lógica básica de aplicación
Interfase de usuario
 Clasificación

 4. Gestión remota de datos. Tanto la interacción con el

usuario como la aplicación residen en el cliente, siendo el
servidor el depositario de los datos.

Base de datos Ordenador de sobremesa

Lógica de aplicación
Interfase de usuario
 Clasificación

 5. B.D. Distribuidas. El cliente debe conocer la topología de

la red, así como la disposición y ubicación de los datos. En este
caso, se delega parte de la gestión de base de datos a los
clientes.

Ordenador de sobremesa
Distribución de datos
Lógica de aplicación
Interface de usuario
 Clasificación

 Cliente servidor a tres niveles (three tier). La aplicación se

distribuye en los tres niveles: aplicación, datos e interfase de
usuario
Aspectos principales de los Sistemas
Distribuidos

 Tolerancia a fallas
 Disponibilidad
 Confiabilidad
 Sistemas Abiertos
 Concurrencia
 Escalabilidad
 Transparencia
Paradigma ?
La complejidad de los Sistemas distribuidos
no compensa su aparente eficiencia

Es necesario un enlace
de comunicaciones fiable
Grandes volúmenes
de tráfico
Datos actualizados en tiempo real
 Nuevo modelo en evolución de aplicaciones

Sistema
centralizado Las aplicaciones se
desarrollan en entorno
web.

Los centros de proceso

se centralizan y los
Internet y TCP/IP servicios se concentran
Network Computer Navegatores web
en intranets, extranets e
internet.

Con paradigma Cambios radicales en

de conexión los usuarios (uso de
redes globales) en
oficinas, servicios,
domicilios, etc.
 15.8 REFERENCIAS

Recopilación de información
 AUDIFORM-LOGIC CONTROL-PC’S
Administrar, controlar y controlar sistemas
UNICENTER-COMPUTER ASSOCIATES-MVS DE IBM,UNIX,NT DE
MICROSOFT
Monitoreo de Sistemas
PATROL DE BMC SOFTWARE
 PORCENTAJE DE PARTICIPACIÓN

Apellidos y Nombres %

 DIAZ ESTRADA, Diana Margarita 100

 FLORES JOSEPH, Hugo 95
 FLORES SALDAÑA, Leon 95
 NAVARRO SOLSOL, Linda 100
 SALINAS MENDOZA, Evelina G. 100