auditoria de sistemas, Apuntes de Informática General

¡Descarga auditoria de sistemas y más Apuntes en PDF de Informática General solo en Docsity!

Facultad de Informática

Universidad de A Coruña

Auditoría Informática

Apuntes de la Asignatura

Serafín Caridad Simón

Temas 1 al 3 adaptados de EDP Auditing: Conceptual Foundations and Practice. Ron Weber, 1982.

Apuntes de Auditoría Informática Indice

1.2 Aproximación General a Auditoría Informática

1.2.1 El Sistema de Controles Internos y el Enfoque de Auditoría 1.2.2 Controles y Potencial de Pérdidas 1.2.3 La Naturaleza de los Controles de Ordenador

1.2.3.1 Controles de Gerencia y Aplicación

1.2.3.1.1 El Marco de Control de Gestión 1.2.3.1.2 El Marco de Control de Aplicación

1.2.3.2 Controles Preventivos, de Detección y Correctores

1.2.4 Visión General de los Pasos de una Auditoría Informática

1.2.4.1 Fase I: Revisión Preliminar 1.2.4.2 Fase II: Revisión Detallada 1.2.4.3 Fase III: Pruebas de Comportamiento 1.2.4.4 Prueba y Evaluación de los Controles del Usuario 1.2.4.5 Fase IV: Pruebas de Apoyo

1.2.5 Algunas Decisiones Importantes de Auditoría

1.2.5.1 El Criterio de Evaluación 1.2.5.2 Planificación de los Procedimientos de Auditoría 1.2.5.3 Uso del Ordenador en Auditoría 1.2.5.4 Qué Aplicaciones Seleccionar para una Auditoría Informática

1.2.6 Resumen 1.2.7 Ejercicios y Casos

1.2.7.1 Independencia del Auditor 1.2.7.2 Causas de Pérdidas y Potencial de Pérdidas 1.2.7.3 Auditoría con Ordenador o sin Ordenador

1.3 Organización y Gestión de la Función de Auditoría Informática

1.3.1 Necesidad de una Función de Auditoría Informática Independiente

1.3.1.1 La Necesidad de Especialistas en Auditoría Informática 1.3.1.2 Ubicación de los Especialistas de Auditoría Informática en la Empresa

1.3.2 Centralización / Descentralización de la Función de Auditoría Informática 1.3.3 La Función de Auditoría Informática como Staff

1.3.3.1 Número de Auditores Necesario 1.3.3.2 Origen de los Auditores Informáticos

1.3.4 Formación en Auditoría Informática

Apuntes de Auditoría Informática Indice

1.3.5 Relación entre Auditoría Informática y la Gerencia con otros Grupos

1.3.5.1 Problemas Conocidos 1.3.5.2 Métodos para Mejorar las Relaciones

1.3.6 Posibilidades de Promoción para un Auditor Informático 1.3.7 Ciclo de Vida del Grupo de Auditoría Informática 1.3.8 Resumen 1.3.9 Ejercicios y Casos

1.3.9.1 Escasez de Personal de A.I. 1.3.9.2 Cambio de Infraestructura Hardware 1.3.9.3 Selección de Personal

Tema 2 El Marco de Control de Gestión

2.1 Gestión General y Gestión de Auditoría Informática

2.1.1 Evaluación de la Función de Planificación 2.1.2 Evaluación de la Función de Organización 2.1.3 Evaluación de la Función de Staff 2.1.4 Evaluación de la Función de Dirección General y de Informática 2.1.5 Evaluación de la Función de Control

2.2 Desarrollo de Sistemas 2.3 Gestión de la Programación 2.4 Administración de Bases de Datos 2.5 Gestión de Operaciones 2.6 Resumen 2.7 Ejercicios y Casos

2.7.1 Reunificación de Centros de Cálculo 2.7.2 Cambio de Inventario 2.7.3 CPD Centralizado / Descentralizado 2.7.4 Problemas, problemas… 2.7.5 Equipos de Programación (I) 2.7.6 Equipos de Programación (II) 2.7.7 Actividades del Desarrollo e Implementación de Programas 2.7.8 Reorganización de la Base de Datos 2.7.9 Mejora en los Tiempos de Acceso 2.7.10 Librerías de Ficheros 2.7.11 Seguridad Física 2.7.12 Mantenimiento de la Documentación

Apuntes de Auditoría Informática Indice

3.3.2.2 Tratamiento de los Errores 3.3.2.3 Informe de Errores

3.3.3 Control sobre la Entrada de Datos 3.3.4 Resumen 3.3.5 Ejercicios y Casos

3.3.5.1 Sistema de Pedidos 3.3.5.2 Control de Personal

3.4 Controles de Proceso

3.4.1 Controles de Validación 3.4.2 El "Estilo" de Programación 3.4.3 Control de Concurrencia 3.4.4 Integridad del Software de Sistemas

3.4.4.1 Integridad del Sistema Operativo 3.4.4.2 Amenazas del Sistema Operativo 3.4.4.3 Fallos del Sistema Operativo 3.4.4.4 Requisitos de un Sistema Operativo seguro

3.4.5 Control sobre el mal funcionamiento del Hardware 3.4.6 Controles de Relanzamiento y Puntos de Verificación 3.4.7 Resumen 3.4.8 Ejercicios y Casos

3.4.8.1 Totales Incorrectos 3.4.8.2 Particionamiento de la Base de Datos

3.5 Controles de Salida

3.5.1 Controlando la Salida del Batch

3.5.1.1 Control sobre Formularios 3.5.1.2 Control sobre Programas en Ejecución 3.5.1.3 Control sobre Ficheros de Impresión 3.5.1.4 Control sobre la Impresión 3.5.1.5 Control sobre la Acumulación de Informes 3.5.1.6 Controles de Revisión de Informes 3.5.1.7 Controles de Distribución de Informes 3.5.1.8 Controles de Retención / Almacenamiento 3.5.1.9 Controles sobre las Salidas On Line

3.5.2 Controles sobre Ficheros 3.5.3 Consideraciones de Efectividad / Eficiencia 3.5.4 Resumen

Apuntes de Auditoría Informática Indice

3.6 Controles de Pistas de Auditoría

3.6.1 Pistas de Auditoría de Contabilidad

3.6.1.1 Requerimientos Operativos de las Pistas de Auditoría de Contabilidad

3.6.1.1.1 Creación 3.6.1.1.2 Modificación 3.6.1.1.3 Recuperación 3.6.1.1.4 Borrado

3.6.2 Pistas de Auditoría de Operaciones

3.7 Controles de Copias de Seguridad y de Recuperación

3.7.1 Estrategias de Copias de Seguridad y Recuperación 3.7.2 Ejercicios y Casos

3.7.2.1 Control de Informes 3.7.2.2 Informes con Colores

3.8 Bibliografía Temas 1 al 3

Tema 4 Quality Assurance: Control de Calidad de Proyectos

4.0 Introducción 4.1 Concepto de Control de Calidad 4.2 Necesidad de QA 4.3 Requisitos de QA 4.4 Ambito y Severidad de QA 4.5 Niveles de QA

4.5.1 QA de Desarrollo 4.5.2 QA Interno 4.5.3 QA Independiente 4.5.4 QA de Migración

4.6 Tareas de QA

4.6.1 Funciones QA 4.6.2 Soporte de QA durante el desarrollo 4.6.3 Revisiones principales

4.6.3.1 Revisiones de Diseño 4.6.3.2 Revisiones de Código 4.6.3.3 Revisiones de Documentación 4.6.3.4 Auditorías de la Configuración 4.6.3.5 QA durante la etapa de Operación / Mantenimiento

Apuntes de Auditoría Informática Indice

Tema 5 Recuperación de Sistemas Informáticos en Situaciones de Desastre

5.0 Introducción

5.1 El entorno del plan de recuperación

5.1.1 El coordinador de recuperación

5.2 Metodología

5.2.1 Definición de objetivos y recursos

5.2.1.1 Definición de metodologías 5.2.1.2 Definición de objetivos 5.2.1.3 Nombramiento del coordinador

5.2.2 Análisis de riesgo

5.2.2.1 Definición y distribución de cuestionarios 5.2.2.2 Identificación de funciones críticas

5.2.2.2.1 Tolerancia y criticidad 5.2.2.2.2 Identificación de peligros

5.2.2.3 Definir objetivos de recuperación

5.2.3 Desarrollar sistemas de protección

5.2.3.1 Desarrollar protección de recursos informáticos 5.2.3.2 Desarrollar estrategia de backup 5.2.3.3 Desarrollar protección de sistemas 5.2.3.4 Desarrollar protección de redes de telecomunicación

5.2.4 Definir equipos de recuperación y escribir el plan

5.2.4.1 Definir equipos de recuperación 5.2.4.2 Escribir el plan 5.2.4.3 Probar el plan 5.2.4.4 Aprobar el plan

5.2.5 Mantenimiento del plan

5.2.5.1 Registro de cambios 5.2.5.2 Revisiones periódicas

5.3 Resumen 5.4 Anexos 5.5 Bibliografía

Apuntes de Auditoría Informática Indice

Tema 6 Sistemas de Gestión de Problemas

6.0 Introducción 6.1 Control de Problemas

6.1.1 Incidencias y Problemas 6.1.2 Ambito de Control de Problemas 6.1.3 Necesidad de Control de Problemas

6.2 Metodología de Resolución de Problemas

6.2.1 Fase 1: Identificación y Registro de las Incidencias

6.2.1.1 Identificar el problema potencial 6.2.1.2 Reunir la Información sobre las Incidencias detectadas 6.2.1.3 Registrar las Incidencias

6.2.2 Fase 2: Análisis del Problema

6.2.2.1 Descomposición del Problema 6.2.2.2 Técnicas de Reuniones y Diagramas asociados al Análisis del Problema

6.2.2.2.1 Tormenta de Ideas (Brainstorming) 6.2.2.2.2 Consenso 6.2.2.2.3 Diagrama Causa/Efecto o de "Espina de Pez" 6.2.2.2.4 Diagrama de Pareto

6.2.3 Fase 3: Generación de posibles soluciones

6.2.3.1 Solución temporal 6.2.3.2 Solución definitiva

6.2.4 Fase 4: Implantación de la Solución 6.2.5 Fase 5: Seguimiento de la Solución

6.3 Anexos 6.4 Bibliografía

Apuntes de Auditoría Informática Tema 1: Introducción

1.1.1 Necesidad de Control y AI

Estando en un medio informático en el que el ordenador realiza de forma automática las tareas tendremos que controlar si lo que hace es lo que realmente queremos que haga.

Los ordenadores juegan un papel muy importante al ayudarnos en el proceso de datos, por lo que hay que controlar su uso, ya que en el procesamiento de datos es uno de los puntos donde se puede producir el fraude con mayor facilidad.

Estos controles son necesarios ya que los medios abusan de la capacidad del proceso de datos, dando lugar a intercambio de datos privados entre empresas o fraudes por falta de controles en los sistemas, por ejemplo.

Además con el aumento de la potencia de los ordenadores se puede ver incrementado el denominado “abuso informático”. Definiremos el abuso informático un poco más adelante, en este mismo tema.

Por todo ello, es necesario establecer mecanismo de Control y Auditoría de Ordenadores en las organizaciones.

1.1.1.1 Coste de la pérdida de datos en las organizaciones

En la actualidad, los datos son recursos críticos para la continuidad de las funciones de cualquier empresa, y su importancia dependerá de lo vital que sean para la organización.

Para poder proteger estos recursos será necesario establecer una política a nivel organización, de copias de seguridad y recuperación. Por su importancia, se estudiarán estos temas con más profundidad más adelante.

1.1.1.2 Toma de decisiones incorrecta

Los datos nos van a permitir entre otras cosas realizar tomas de decisión. Pero para que las decisiones tomadas a partir de los datos sean correctas, tendremos que garantizar que los datos que nos son suministrados son asimismo correctos.

La importancia de la veracidad de los datos viene dada por el tipo de decisiones que se toman a partir de ellos. Por ejemplo:

• En planes estratégicos a largo plazo: Los datos que facilitan la toma de decisiones pueden ser “algo” imprecisos, puesto que el resultado es global, genérico. Se pueden utilizar “grandes números”, es decir, cantidades brutas aproximadas, sin importar el detalle.
• En cambio, en control de operaciones y en control de gestión se necesitan datos totalmente precisos.

Apuntes de Auditoría Informática Tema 1: Introducción

1.1.1.3 Abuso Informático o Abuso del Ordenador

“Cualquier incidente asociado con la tecnología de ordenadores en el cual una víctima sufrió o pudo haber sufrido pérdidas, y el que lo ocasiona tuvo o pudo haber tenido beneficios” [Parker, 1976]

Dada la definición, se podría pensar que el abuso informático constituye la causa principal de la necesidad de AI. No obstante, tras estudios intensivos se ha llegado a la conclusión de que existen otras dos causas de problemas, que son aún más importantes que el abuso informático:

1. Errores y omisiones que originan pérdidas: frecuentemente, son el motivo de toma de decisiones erróneas. Por ejemplo: un simple error en el inventario que indique que existen 500 unidades de un determinado producto, cuando en realidad hay 5.000, puede inducir a realizar un nuevo pedido, con el consiguiente coste de adquisición, almacenamiento o pérdidas si el producto es perecedero.

2. Destrucción de datos ocasionada por desastres naturales (agua, fuego, y fallos de energía)

Esto nos obliga a plantear soluciones para estas dos causas en primer lugar, antes incluso que al abuso informático.

De todos modos, no podemos dejar de establecer controles para evitar el abuso informático, dado que los costes derivados de éste suelen ser muy superiores a los producidos por el abuso “manual”, o a los derivados de las dos causas anteriormente citadas. En general, los fraudes que se pueden realizar con los ordenadores producen más pérdidas que los que se realizan con sistemas manuales.

1.1.1.4 Privacidad de los datos

Desde siempre se han recogido datos de personas para su uso comercial: datos personales, médicos, de impuestos, etc. Pero desde la llegada de los ordenadores la difusión “incontrolada” de estos datos se ha convertido en un serio problema, principalmente debido a que crear, actualizar y difundir una base de datos con datos personales de posibles clientes es mucho más fácil ahora que cuando los sistemas eran manuales.

En muchos países, la privacidad de los datos es un derecho. En nuestro país, la Ley de Protección de Datos de Carácter Personal asegura la confidencialidad de los datos y protege a los propietarios de los mismos del uso ilegítimo de ellos por terceras personas.

No obstante, en la sociedad actual existe un sentimiento general de que en alguna parte hay una enorme base de datos, donde todos estamos incluidos, y de que “alguien” la controla.

Lo que tenemos es que garantizar de que esto no ocurra, y que los datos sólo se utilizan con el propósito para el que fueron dados por su propietario, fin último de la Auditoría Informática.

Apuntes de Auditoría Informática Tema 1: Introducción

para que sea rentable su utilización. No obstante, disposiciones legales pueden obligar a establecer controles, al margen de su rentabilidad.

Para determinar los costes y beneficios, estudiaremos dos factores que afectan al valor de un dato para la empresa:

El valor de la información que proporciona el dato. Este valor depende de la capacidad que ésta tenga para reducir la ambigüedad en una toma de decisiones. Es decir, los datos que influyen directamente en las tomas de decisiones serán los más importantes y deberán de ser especialmente protegidos.

Las veces en que el dato es usado por personas que toman decisiones. Si el dato es compartido, su falta de integridad afectará a todos los usuarios, por lo que en un entorno compartido es vital mantener esta integridad.

1.1.2.3 Objetivos de efectividad del sistema

Para ver si un SPD (Sistema de Proceso de Datos) es efectivo hay que conocer las características del usuario y el tipo de decisiones que se van a tomar. No se debe de evaluar de igual manera la efectividad de un SPD de una gran empresa que la de un pequeño comercio, por ejemplo.

Para saber si el sistema está trabajando correctamente, y para poder medir su efectividad, es necesario esperar a que el sistema lleve funcionando un cierto tiempo, tras el cual, normalmente la gerencia solicita una auditoría para saber si el sistema alcanza los objetivos que se había planteado.

Como resultado de la auditoria se sabrá si hay que descartar el SPD, modificarlo, o si se debe de dejar como está. Téngase en cuenta que esta auditoría también se puede hacer durante la fase del Diseño del Sistema. Además, es posible que la gerencia solicite una auditoría independiente.

1.1.2.4 Objetivos de eficiencia del sistema

Un SPD eficiente es el que utiliza el mínimo de recursos (tiempo de máquina, periféricos, canales, software de sistemas, mano de obra, etc.) para alcanzar sus objetivos.

En cualquier sistema los recursos son escasos y hay que compartirlos, por lo que saber si se están utilizando los recursos de forma eficiente no siempre es fácil. Además, no se puede considerar la eficiencia de un sistema por sí solo, sino en conjunto con los demás sistemas dentro de la organización.

Suboptimización: Se produce cuando un sistema se optimiza a expensas de otros. Ejemplo: Dedicar exclusivamente un recurso a un sistema (que no lo utiliza a tiempo completo) penalizará a otros sistemas que necesiten el recurso.

La eficiencia se vuelve crítica cuando el ordenador comienza a estar escaso de recursos (escasez de capacidad de almacenamiento en discos, de memoria, de procesador, etc.),

Apuntes de Auditoría Informática Tema 1: Introducción

por lo que, si además los recursos son caros, hay que saber si se agotaron porque las aplicaciones son ineficientes, porque existen cuellos de botella, o simplemente porque el crecimiento natural de las aplicaciones ha reducido dichos recursos.

Una vez mas, el trabajo de un auditor independiente puede ser necesario para determinar este tipo de cuestiones.

1.1.3 Efectos de AI en el Control Interno

Los beneficios de AI solo se alcanzan si la gerencia organiza un sistema de control interno.

En la Auditoría tradicional, las características de dicho control interno son:

1. Separación de tareas
2. Delegación clara de autoridad y responsabilidad
3. Contratación y entrenamiento de personal altamente cualificado
4. Supervisión de la gerencia
5. Sistema de autorizaciones
6. Acceso limitado a bienes
7. Comparación de bienes con registros contables

En AI también existen estos controles, aunque su implementación es diferente, como se verá a continuación.

1.1.3.1 Separación de Tareas

Como su nombre indica, la idea fundamental de la separación de tareas es tener distintas personas para realizar distintas tareas o partes de una tarea, y poder así establecer controles cruzados. Por ejemplo, en un sistema manual, la iniciación y grabación de transacciones y la custodia de bienes deben de ser realizados por personas distintas, para garantizar una cierta integridad, y detectar errores y posibles fraudes.

En un SPD esta separación de tareas no siempre existe. Un único programa puede “casar” una factura con un pedido y emitir un cheque. Todas las tareas las hace el mismo programa. No obstante, una vez desarrollado, el programa puede ser probado por diferentes personas, para asegurar su correcto funcionamiento, y asimismo se puede separar la capacidad de ejecutarlo en un entorno de pruebas y en un entorno real de producción.

En un ordenador personal, esta separación de tareas aún es más difícil de conseguir. En este entorno cualquiera puede modificar o ejecutar un programa, ya que no existe un nivel de seguridad tan alto en los sistemas operativos de los ordenadores personales como en los de los grandes sistemas. Por eso, una de las funciones de AI es garantizar que sólo se compren ordenadores que proporcionen una capacidad de control básica, sobre todo si estos se van a usar en aplicaciones financieras.

Apuntes de Auditoría Informática Tema 1: Introducción

Implicación: Los controles internos que garanticen una alta calidad de los Sistemas de Proceso de Datos, en lo tocante a diseño e implementación, son siempre controles críticos.

1.1.4 Bases de AI

Auditoria Informática no es solo una prolongación de la auditoría tradicional, sino que es un aspecto importante en la seguridad y buen funcionamiento de la empresa.

El reconocimiento de la necesidad de AI es debido a:

• Los auditores comprobaron que los SPD’s cambiaron su capacidad de auditar sistemas, ya que no es lo mismo auditar un sistema manual que uno informático.
• La gerencia considera que los ordenadores son recursos valiosos que deben de ser controlados como cualquier otro recurso.

Se puede considerar AI como la intersección de cuatro disciplinas: Auditoría Tradicional, Ciencias del Comportamiento, Gestión de Sistemas de Información e Informática.

AUDITORIA INFORMATICA

Gestión de Sistemas de Información

Auditoría tradicional

Informática

Ciencias del Comportamiento

Fig. 1.0 A.I. como intersección de otras disciplinas

1.1.4.1 Auditoria Tradicional

Proporciona conocimiento y experiencia en Técnicas de Control Interno. Es decir, aspectos sobre cómo controlar las actividades de la empresa.

Un SPD tiene componentes manuales y mecanizados, que serán objeto de control.

Apuntes de Auditoría Informática Tema 1: Introducción

• Los manuales están sujetos a los principios de Control Interno de la auditoria tradicional: separación de tareas, personal fiable, definición clara de responsabilidades, etc.
• Los mecanizados pueden utilizar controles “clásicos”, desde el punto de vista informático: totales de control, cuadres, balances, etc.

Otra aportación de la auditoría tradicional la constituyen las metodologías de recogida y evaluación de evidencias, aunque el aspecto más importante es que la auditoria tradicional proporciona un “saber hacer”, un “modus operandi”, para examinar los datos y procesos con mente crítica, cuestionando la capacidad de un SPD de salvaguardar los bienes, y de mantener la integridad de los datos de un modo eficaz y eficiente.

1.1.4.2 Gestión de Sistemas de Información

En los comienzos de la era informática hubo grandes fracasos al implementar Sistemas de Proceso de Datos por no disponer de técnicas y herramientas adecuadas. Por desgracia, esto a veces sigue ocurriendo en nuestros días... por no utilizarlas.

Hoy en día disponemos de mejores técnicas: Programación Estructurada, Estándares de Gestión de Proyectos, Equipos de Trabajo, Metodologías de Análisis y Desarrollo, etc. La causa final de la existencia de estas técnicas es la de simplificar el mantenimiento de los SPD’s. Todos estos avances tienen un impacto en AI porque afectan directamente a las funciones de AI.

1.1.4.3 Ciencias del comportamiento

“La razón principal del fallo de los SPD’s es el desconocimiento de los problemas del comportamiento organizativo en el diseño e implantación de los Sistemas de Información”. [Lucas, 1975]

El auditor debe de conocer las condiciones que originan problemas de comportamiento y que pueden causar fallos en el Sistema. Es decir, es necesario conocer los problemas de las personas en las organizaciones.

Algunos investigadores están aplicando la Teoría de las Organizaciones al desarrollo e implantación de los Sistemas de Información. Es decir, se debe de considerar, de modo concurrente, el impacto de un SPD tanto en:

• El cumplimiento de las tareas (que se haga lo que se espera)
• El sistema técnico (que tengamos recursos técnicos para realizar las tareas)
• El sistema social (la calidad de trabajo de las personas; que haya un buen ambiente de trabajo)

1.1.4.4 Informática

La última de las disciplinas base de AI es la Informática. Los informáticos también están fuertemente involucrados en las funciones de AI.

En Ingeniería del Software se han desarrollado investigaciones sobre: